[{"body":"Angie - форк известного веб-сервера nginx, созданный его бывшими разработчиками и преследующий цель стать лучшим nginx чем сам nginx и это не преувеличение. Начавшись как обычный проект импортозамещения Angie сегодня не только предоставляет все возможности nginx, но и предоставляет ряд новых функций и возможностей. А для пользователей, которым просто нужен веб-сервер Angie может предложить достаточно большой выбор готовых модулей в репозитории, это очень важное преимущество, так как в nginx для добавления тех или иных модулей вам потребуется самостоятельно пересобрать продукт\nВ данной статье мы будем рассматривать установку Angie в среде последних версий Debian и Ubuntu, они имеют небольшие различия по версиям используемого ПО, но при этом содержат актуальные версии, что позволит развернуть веб-сервер штатными средствами без подключения дополнительных репозиториев, кроме репозитория Angie. Набор используемого ПО на момент написания статьи таков:\nDebian 12: Angie 1.9.0, PHP 8.2, MariaDB 10.11 LTS Ubuntu 24.04 LTS: Angie 1.9.0, PHP 8.3, MySQL 8.0 LTS / MariaDB 10.11 LTS Все команды, если не указано иного, следует выполнять с правами суперпользователя root или через sudo.\nВ качестве примера имени сайта мы будем использовать:\nsite.example www.site.example Их следует заменить на реальное доменное имя, которое вы будете использовать.\nУстановка и настройка веб-сервера Angie Прежде всего установим некоторые утилиты, которые будут необходимы нам для подключения репозитория Angie:\n1apt install ca-certificates curl Затем скачаем открытый ключ для проверки подлинности пакетов в репозитории:\n1curl -o /etc/apt/trusted.gpg.d/angie-signing.gpg https://angie.software/keys/angie-signing.gpg И подключим сам репозиторий:\n1echo \u0026#34;deb https://download.angie.software/angie/$(. /etc/os-release \u0026amp;\u0026amp; echo \u0026#34;$ID/$VERSION_ID $VERSION_CODENAME\u0026#34;) main\u0026#34; \u0026gt; /etc/apt/sources.list.d/angie.list Данное выражение универсально и подходит для всех поддерживаемых выпусков Debian и Ubuntu. Ознакомиться со списком поддерживаемых версий можно на официальной странице.\nЗатем обновим список пакетов и установим веб-сервер Angie:\n1apt update 2apt install angie После чего установим дополнительные модули для поддержки современных алгоритмов сжатия brotli и zstd:\n1apt install angie-module-brotli angie-module-zstd Перейдем к настройке, для этого откроем основной конфигурационный файл /etc/angie/angie.conf, все опции перечислены в порядке их следования в файле. Сразу изменим пользователя, от имени которого будет работать веб-сервер на стандартного для DEB-систем:\n1user www-data; Сразу после строки:\n1pid /run/angie.pid; Добавим строки для подключения установленных модулей:\n1load_module modules/ngx_http_brotli_filter_module.so; 2load_module modules/ngx_http_brotli_static_module.so; 3load_module modules/ngx_http_zstd_filter_module.so; 4load_module modules/ngx_http_zstd_static_module.so; Далее, ниже строки:\n1access_log /var/log/angie/access.log main; Размещаем опции задающие таймауты и разрешающие сброс соединения по таймауту:\n1client_header_timeout 30; 2client_body_timeout 30; 3reset_timedout_connection on; Ниже укажем максимальный размер тела запроса клиента и буфер для чтения заголовка запроса. Имейте ввиду, что размер тела запроса ограничивает максимальный размер файла, который сможет загрузить веб-сервер:\n1client_max_body_size 32m; 2client_body_buffer_size 128k; Затем приведем к следующему виду опции, которые разрешают передачу файлов и оптимизируют этот процесс:\n1sendfile on; 2tcp_nopush on; И укажем таймаут для постоянных (keep-alive) соединений. С одной стороны они позволяют повысить производительность протокола HTTP/1.1, с другой - впустую потребляют ресурсы сервера, поэтому следует найти некоторую золотую середину, оптимальными значениями будет 30-90 сек:\n1 keepalive_timeout 65; Теперь перейдем к настройкам сжатия. Почему это важно? Скорость ответа сервера является важным параметром поведенческих факторов, который учитывается поисковыми системами, а также повышает отзывчивость сайта для пользователя, позволяя в несколько раз уменьшить размер передаваемой по сети информации. В конфигурации уже имеется блок для GZIP сжатия, это самый старый и наименее эффективный метод сжатия, но он обладает наилучшей совместимостью, так как поддерживается практически всеми браузерами, включая устаревшие. Поэтому не следует игнорировать его настройку.\nПриведем опции ниже к следующему виду:\n1gzip on; 2 gzip_disable \u0026#34;msie6\u0026#34;; 3 gzip_proxied any; 4 gzip_min_length 256; 5 gzip_comp_level 4; Следующей опцией укажем MIME-типы данных, которые подлежат сжатию, список не является исчерпывающим, вы можете добавить него свои типы данных, или исключить те, которые сжимать не считаете нужным:\n1gzip_types text/plain text/css application/json application/javascript application/x-javascript text/xml 2application/xml application/xml+rss text/javascript application/atom+xml application/rdf+xml image/svg+xml; На что здесь следует обратить внимание? Прежде всего на опцию gzip_min_length, которая указывает минимальный размер ответа подлежащий шифрованию, по умолчанию он имеет значение 20 байт, мы увеличили его до 256 чтобы исключить излишнюю нагрузку на шифрование коротких ответов, если у вас слабое оборудование или преимущественно статическое содержимое, то можно увеличить это значение до 1024. Опция gzip_comp_level задает степень сжатия, чем она выше - тем эффективнее сжатие, но выше нагрузка на оборудование, поэтому для динамического сжатия лучше выбирать средние уровни компрессии.\nНиже добавим блок для сжатия методом Brotli, это алгоритм сжатия без потери данных, представленный в 2015 году и на 20-25% превосходящий по степени сжатия Gzip при той же скорости сжатия и распаковки. Данный алгоритм поддерживается практически всеми современными браузерами, включая достаточно старые их версии.\n1brotli on; 2brotli_min_length 256; 3brotli_comp_level 6; 4brotli_types text/plain text/css application/json application/javascript application/x-javascript text/xml 5application/xml application/xml+rss text/javascript application/atom+xml application/rdf+xml image/svg+xml; Здесь все аналогично настройкам секции для gzip, поэтому все что было сказано выше одинаково применимо и здесь.\nИ, наконец, добавим поддержку наиболее современного и эффективного алгоритма сжатия zstd, который обеспечивает более высокую скорость сжатия и распаковки при таком же или более высоком уровне сжатия. Поддержка zstd присутствует во всех последних версиях браузеров и позволяет сделать работу с сайтом наиболее быстрой и эффективной:\n1zstd on; 2zstd_min_length 256; 3zstd_comp_level 3; 4zstd_types text/plain text/css application/json application/javascript application/x-javascript text/xml 5application/xml application/xml+rss text/javascript application/atom+xml application/rdf+xml image/svg+xml; Но что будет, если браузер посетителя не поддерживает какой-то из указанных нами алгоритмов? Ничего страшного, потому что выбор доступного алгоритма сжатия сервером происходит на основании специального заголовка Accept-Encoding, передаваемого клиентом, в котором он указывает поддерживаемые им алгоритмы. При наличии нескольких поддерживаемых методов они применяются в следующем порядке: zstd -\u0026gt; brotly -\u0026gt; gzip.\nСохраним конфигурационный файл и проверим его синтаксис командой:\n1angie -t Если ошибок не обнаружено, то перезапустим веб-сервер для применения настроек:\n1angie -s reload Теперь наберем в браузере доменное имя или IP-адрес сервера и мы увидим стандартную заглушку Angie. Теперь проверим работу алгоритмов сжатия, для этого отправим запрос с явным указанием поддерживаемого метода в заголовке, для указания методов используйте: gzip, br и zstd:\n1curl -I example.com -H \u0026#34;Accept-Encoding: br\u0026#34; В ответе вы должны получить строку с указанием используемого алгоритма:\n1Content-Encoding: br Также можете проверить приоритет выбора методов сжатия, указав сразу несколько доступных, например:\n1curl -I example.com -H \u0026#34;Accept-Encoding: br zstd gzip\u0026#34; Если все сделано правильно, то будет выбираться наиболее эффективный алгоритм согласно указанному выше приоритету. Все это время мы говорили о динамическом сжатии, но также можно настроить и статическое сжатие, когда веб-сервер будет отдавать заранее сжатые файлы. Это разумно сделать для редко изменяемых элементов: шрифтов, стилей, скриптов и т.п., которые можно заранее сжать с высокой степенью компрессии и тем самым значительно повысить скорость отдачи без увеличения нагрузки на оборудование.\nДля этого добавьте в соответствующие секции опции:\n1brotli_static on; 2zstd_static on; Теперь, при запросе файла веб-сервер проверит наличие рядом с ним сжатых версий с расширениями .br или .zst. Если такой файл будет найден, то он будет отдан веб-сервером вместо несжатого оригинала. Статическое сжатие имеет приоритет перед динамическим, а алгоритм zstd также имеет приоритет над Brotli.\nКак получить сжатые файлы? Для этого воспользуемся консольными версиями архиваторов, zstd обычно установлен в современных дистрибутивах по умолчанию, а для Brotli выполните:\n1apt install brotli После чего для сжатия достаточно выполнить:\n1brotli -9 myfile или\n1zstd -19 myfile В обоих случаях указаны максимальные степени сжатия, однако на практике следует выполнить проверку и, возможно, выбрать более низкий уровень компрессии, который будет давать приемлемую степень сжатия, чтобы уменьшить нагрузку на клиентские устройства.\nСоздание и настройка виртуальных хостов По умолчанию Angie хранит конфигурации виртуальных хостов в директории /etc/angie/http.d, на наш взгляд это не очень удобно и поэтому мы вернемся к приятной в среде DEB-систем схеме, когда конфигурации виртуальных узлов хранятся в отдельной директории sites-available, а для подключения на них делаются символические ссылки в директорию sites-enabled. Поэтому сразу создадим нужные директории в папке с конфигурационными файлами веб-сервера. Третьей директорией мы добавили папку для шаблонов конфигурации, куда будем выносить общие блоки настроек виртуальных хостов, например, настройки шифрования или работы с PHP-FPM.\n1mkdir /etc/angie/sites-available 2mkdir /etc/angie/sites-enabled 3mkdir /etc/angie/templates Откроем основной конфигурационный файл /etc/angie/angie.conf и после строки:\n1include /etc/angie/http.d/*.conf; Добавим:\n1include /etc/angie/sites-enabled/*.conf; Теперь создадим описание виртуального хоста для нашего сайта и сразу откроем его на редактирование, мы будем использовать для этого встроенный редактор nano, если вам больше нравится встроенный редактор mc, то замените в команде nano на mcedit:\n1nano /etc/angie/sites-available/site.example.conf И внесем в него следующие строки:\n1server { 2 listen 80; 3 server_name site.example; 4 5 charset utf-8; 6 root /var/www/site.example; 7 index index.html; 8 9 access_log /var/log/angie/site.example_access.log; 10 error_log /var/log/angie/site.example_error.log; 11} 12 13server { 14 listen 80; 15 server_name www.site.example; 16 return 301 http://site.example$request_uri; 17} В данном случае мы описываем размещение основного домена site.example и делаем на него постоянное перенаправление с www.site.example.\nЗатем создадим указанную в конфигурации директорию виртуального хоста и сделаем ее владельцем веб-сервер:\n1mkdir -p /var/www/site.example 2chown -R www-data:www-data /var/www/site.example Теперь создадим на него символическую ссылку в директорию с активными сайтами:\n1ln -s /etc/angie/sites-available/site.example.conf /etc/angie/sites-enabled/ Для проверки работы сразу создадим индексный файл:\n1echo \u0026#34;\u0026lt;body\u0026gt;\u0026lt;h1\u0026gt;TEST PAGE\u0026lt;/h1\u0026gt;\u0026lt;/body\u0026gt;\u0026#34; \u0026gt; /var/www/site.example/index.html Теперь проверим синтаксис и перезапустим веб-сервер:\n1angie -t 2angie -s reload Если все сделано правильно, то набрав в адресной строке имя сайта мы увидим созданную нами тестовую страницу. При необходимости вы можете создать аналогичным образом дополнительные виртуальные хосты.\nПолучение сертификатов Let's Encrypt и настройка HTTP/3 В Angie для получения сертификатов используется собственный ACME-клиент настройкой которого мы сейчас и займемся. В секцию http конфигурационного файла /etc/angie/angie.conf внесем следующие строки:\n1http { 2... 3 4resolver 127.0.0.53; 5acme_client example https://acme-v02.api.letsencrypt.org/directory; Опция resolver указывает на DNS-сервер для разрешения имен, в нашем случае это локальная служба systemd-resolve, если вы ее не используете, то можете указать любой иной DNS-сервер, например,8.8.8.8. Опция acme_client указывает имя экземпляра клиента (example) и адрес сервера Let's Encrypt с которым он будет работать. Для каждого виртуального хоста потребуется создать собственный ACME-клиент, который будет управлять сертификатами только этого хоста.\nТеперь откроем файл виртуального хоста /etc/angie/sites-available/site.example.conf и добавим в него секцию:\n1server { 2 listen 443 quic reuseport; 3 listen 443 ssl; 4 http2 on; 5 6 server_name site.example www.site.example; 7 8 charset utf-8; 9 root /var/www/site.example; 10 index index.html index.php; 11 12 access_log /var/log/angie/site.example_access.log; 13 error_log /var/log/angie/site.example_error.log; 14 15 acme example; 16 ssl_certificate $acme_cert_example; 17 ssl_certificate_key $acme_cert_key_example; 18 19 location / { 20 add_header Alt-Svc \u0026#39;h3=\u0026#34;:443\u0026#34;; ma=86400\u0026#39;; 21 } 22 } Данная конфигурация включает поддержку протоколов HTTP/2 и HTTP/3, а также автоматическое получение сертификатов Let's Encrypt при помощи экземпляра ACME-клиента example. Снова проверим конфигурацию и перезапустим сервер\n1angie -t 2angie -s reload Теперь обратимся к сайту явно указав протокол HTTPS, если все сделано правильно, то вы увидите валидный сертификат и защищенное соединение. Проверить работу протокола HTTP/3 можно при помощи сервиса https://http3check.net.\nЗащищенное соединение работает, но это только начало, для нормальной работы нам потребуется его тонкая настройка. Для этого воспользуемся сайтом moz://a SSL Configuration Generator где получим настройки для nginx. После чего создадим отдельный шаблон, чтобы не повторять данные настройки для каждого виртуального хоста:\n1nano /etc/angie/templates/ssl.conf В который внесем с некоторыми правками полученное на сайте содержимое, начнем с протоколов и шифров, явно отключив небезопасные протоколы и слабые, устаревшие шифры. В нашем случае оставлена поддержка только TLS 1.2 и TLS 1.3:\n1ssl_protocols TLSv1.2 TLSv1.3; 2ssl_ecdh_curve X25519:prime256v1:secp384r1; 3ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305; 4ssl_prefer_server_ciphers off; Ниже укажем путь к файлу параметров Диффи-Хеллмана:\n1ssl_dhparam /etc/angie/dhparam.pem; Настройки SSL-сессии:\n1ssl_session_timeout 1d; 2ssl_session_cache shared:MozSSL:10m; Что касается настроек OCSP Stapling, которые присутствуют в генераторе и могут быть приведены в иных инструкциях, в т.ч. наших, то их следует проигнорировать, так как Let's Encrypt полностью отключает эту технологию летом 2025 года.\nСохраняем файл шаблона и в самый конец секции server виртуального хоста добавляем:\n1include /etc/angie/templates/ssl.conf; Не забываем сгенерировать файл параметров Диффи-Хеллмана (делается один раз):\n1openssl dhparam -out /etc/angie/dhparam.pem 2048 После чего приведем остальные секции виртуального хоста к виду:\n1server { 2 listen 80; 3 server_name site.example; 4 return 301 https://site.example$request_uri; 5} 6 7server { 8 listen 80; 9 server_name www.site.example; 10 return 301 https://site.example$request_uri; 11} Это обеспечит нам перенаправление всех незащищенных запросов на защищенную версию сайта. Снова проверяем конфигурацию и перезапускаем веб-сервер:\n1angie -t 2angie -s reload Если вам нужны сертификаты, то ACME-клиент Angie хранит их по пути:\n1/var/lib/angie/acme/\u0026lt;acme_name\u0026gt; Где acme_name - имя экземпляра ACME-клиента.\nТеперь вам следует внимательно проверить работу защищенной версии сайта, особенно если вы переносите готовый сайт и убедиться что у вас нигде нет незащищенного содержимого и все работает корректно. После чего следует включить технологию HSTS, которая препятствует атакам на понижение защиты. В нашем случае браузер в случае успешного соединения с сайтом по HTTPS будет в течении двух лет автоматически переходить на защищенную версию, даже если мы явно укажем в адресной строке протокол HTTP. Для этого приведите к следующему виду секцию:\n1location / { 2 add_header Alt-Svc \u0026#39;h3=\u0026#34;:443\u0026#34;; ma=86400\u0026#39;; 3 add_header Strict-Transport-Security \u0026#34;max-age=63072000; includeSubDomains; preload\u0026#34; always; 4} Проверить настройки SSL можно на сайте https://www.ssllabs.com, если вы нигде не допустили ошибок, то ваш сайт должен получить оценку A+. Таким образом мы успешно настроили веб-сервер с автоматическим получением сертификатов и поддержкой всех современных технологий.\nНастройка сайта по умолчанию для блокирования несуществующих доменов Использование TLS-шифрования имеет одну особенность: если мы обратимся к веб-серверу по IP-адресу или по доменному имени, которое указывает на веб-сервер, но не обслуживается им (или не имеет HTTPS-версии), то будет показан сайт, сертификат которого указан первым в конфигурации веб-сервера.\nТакое поведение может быть нежелательным, так как позволяет раскрыть обслуживаемый сайт просто обратившись по имени или ввести пользователя в заблуждение. Поэтому настроим сайт по умолчанию, который будет блокировать все запросы к несуществующим доменам как в HTTP, так и в HTTPS версиях.\nДля HTTPS нам понадобится сертификат, можно использовать любой существующий, но это позволит раскрыть реальный обслуживаемый сайт, поэтому выпустим для этих целей самоподписанный сроком на 10 лет:\n1openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/angie/angie.key -out /etc/angie/angie.crt Затем откроем /etc/angie/http.d/default.conf и заменим его содержимое на следующее:\n1server { 2 listen 80 default_server; 3 listen 443 default_server ssl; 4 server_name _; 5 ssl_certificate /etc/angie/angie.crt; 6 ssl_certificate_key /etc/angie/angie.key; 7 ssl_reject_handshake on; 8 return 444; 9} После чего следует перезапустить веб-сервер. Теперь он будет сбрасывать все соединения к необслуживаемым доменам или по IP-адресу. Установка и настройка PHP-FPM Angie является чистым веб-сервером и не умеет обрабатывать динамическое содержимое, в то время как современные сайты требуют поддержки скриптовых языков, наиболее популярный из которых PHP. Для работы с ним мы будем использовать протокол FastCGI и популярный менеджер процессов PHP-FPM. Для его установки выполним:\n1apt install php-fpm PHP-FPM работает как служба и для управления ею используйте:\n1systemctl start|stop|restart|status php8.х-fpm Обратите внимание, что при работе с PHP-FPM нужно указывать точную версию интерпретатора, в Debian 12 это 8.2, а в Ubuntu 24.04 - 8.3.\nДля настройки откроем файл /etc/php/8.x/fpm/php.ini и приведем в нем к следующему виду опцию:\n1cgi.fix_pathinfo=0 Это закроет возможную уязвимость в обработке php-запросов.\nТакже найдем и изменим следующие параметры, отвечающие за максимальный размер передаваемого на сервер пакета данных и размера загружаемого файла. Обратите внимание, что эти значения не должны превышать аналогичное ограничение в конфигурации Angie:\n1post_max_size = 32M 2upload_max_filesize = 32M Сохраним изменения и перезагрузим сервис:\n1systemctl restart php8.х-fpm Для расширения возможностей PHP используются модули, скажем, для работы с графикой может потребоваться модуль GD или ImageMagick, для модулей используют следующий шаблон имен пакетов: php-\u0026lt;имя модуля\u0026gt;, например:\n1apt install php-gd php-imagick php-mcrypt После установка модулей необходимо также перезапустить PHP-FPM. Необходимые модули и их имена вы можете узнать из документации к используемому веб-приложению.\nТеперь создадим шаблон для работы Angie с PHP-FPM:\n1nano /etc/angie/templates/php-fpm.conf Внесем в него следующее содержимое:\n1location ~ \\.php$ { 2 fastcgi_pass unix:/run/php/php8.x-fpm.sock; 3 fastcgi_index index.php; 4 fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; 5 include fastcgi_params; 6} Данная секция предписывает использовать для обработки PHP-файлов Fast-CGI шлюз через UNIX-сокет, что является наиболее производительным способом соединения.\nНиже укажем параметры кеширования для статического содержимого:\n1location ~* \\.(gif|jpeg|jpg|png)$ { 2 expires 30d; 3} Указанные в данной локации типы файлов будут кешироваться на стороне браузера в течении 30 дней исключая их повторную загрузку. Указанный список является открытым, вы можете дополнить или изменить его по своему усмотрению.\nСохраним указанный файл, а в конце основной секции server конфигурационного файла /etc/angie/sites-available/site.example.conf добавим строку:\n1include /etc/angie/templates/php-fpm.conf; Сохраним изменения и перезапустим веб-сервер.\nДля проверки работы PHP создадим тестовый файл:\n1nano /var/www/site.examlpe/test.php И внесем в него следующие строки:\n1\u0026lt;?php 2 phpinfo(); 3?\u0026gt; Сохраним файл и обратимся по адресу https://site.examlpe/test.php, если все сделано правильно, то вы увидите страницу с информацией о PHP. Данная страница содержит много информации о применяемой версии PHP и установленных плагинах, поэтому после проверки файл test.php следует обязательно удалить.\nУстановка MySQL / MariaDB Сервер баз данных третий неотъемлемый компонент классического веб-сервера и один из первых по важности, так как именно в базе данных хранится основная пользовательская информация сайта. В современных версиях Debian и Ubuntu используются разные варианты СУБД: MariaDB и MySQL, которые являются совместимыми и принципиально разницы какую из них использовать нет, тем более что в репозиториях содержатся последние LTS-версии обоих СУБД.\nДля Debian безальтернативно используется MariaDB и ее можно установить командой:\n1apt install mariadb-server В Ubuntu мы можем выбирать между МariaDB и MySQL, для установки последнего используйте команду:\n1apt install mysql-server Вне зависимости от того, какой именно сервер вы поставили, для дальнейшего управления службой можете использовать один и тот же набор команд:\n1systemctl start|stop|restart|status mysql После установки сервера СУБД запустите специальный скрипт для установки рекомендуемых мер безопасности:\n1mysql_secure_installation В результате его выполнения вам будет задано несколько вопросов, на которые отвечаем положительно, а также предложено будет выбрать сложность пароля.\nУстановим модуль для работы с PHP:\n1apt install php-mysql Для повседневной работы с СУБД крайне не рекомендуется использовать учетную запись суперпользователя, поэтому заведем отдельных пользователей. В идеале для каждого виртуального хоста следует завести своего пользователя, т.к. учетные данные часто хранятся в настройках веб-приложений открытым текстом и компрометация веб-приложения может привести к компрометации всего сервера.\nПерейдем в командную строку MySQL с правами суперпользователя:\n1mysql -u root Создадим нового пользователя и разрешим ему вход по паролю:\n1CREATE USER \u0026#39;example\u0026#39;@\u0026#39;localhost\u0026#39; IDENTIFIED BY \u0026#39;Pa$$word_1\u0026#39;; В данном случае мы создали пользователя example с паролем Pa$$word_1.\nОтберем у него права на чужие базы:\n1GRANT USAGE ON *.* TO \u0026#39;example\u0026#39;@\u0026#39;localhost\u0026#39;; И выдадим полные права на базы шаблоном имениexample_\u0026lt;имя базы\u0026gt;, что позволит автоматически устанавливать права просто создав базу с нужным именем.\n1GRANT ALL PRIVILEGES ON `example\\_%`.* TO \u0026#39;example\u0026#39;@\u0026#39;localhost\u0026#39;; Обратите внимание, что шаблон оборачивается символами грависа (`), который находится на клавише с русской буквой Ё.\nПерезагрузим привилегии:\n1FLUSH PRIVILEGES; И выйдем из консоли MySQL:\n1QUIT; На этом настройка сервера СУБД закончена.\nУстановка phpMyAdmin phpMyAdmin - удобное веб-приложение для управления серверами баз данных MySQL или MariaDB, ставший стандартом де-факто и мы не видим причин отказываться от его использования. Тем более что его установка предельно проста:\n1apt install phpmyadmin После установки создадим еще один шаблон для Angie:\n1nano /etc/angie/templates/phpmyadmin.conf И внесем в него следующий текст:\n1location /phpmyadmin { 2 root /usr/share/; 3 index index.php; 4 5 location ~ ^/phpmyadmin/(.+\\.php)$ { 6 try_files $uri =404; 7 root /usr/share/; 8 fastcgi_pass unix:/run/php/php8.x-fpm.sock; 9 fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; 10 include fastcgi_params; 11 } 12 location ~* ^/phpmyadmin/(.+\\.(jpg|jpeg|gif|css|png|js|ico|html|xml|txt))$ { 13 root /usr/share/; 14 } 15} Сохраним шаблон и добавим в конец основной секции server конфигурации виртуального хоста строку:\n1include /etc/angie/templates/phpmyadmin.conf; Обратите внимание, что не нужно добавлять этот шаблон для всех виртуальных хостов, достаточно подключить к одному, основному. Доступные для управления базы зависят исключительно от прав пользователя, а не виртуального хоста к которому подключен phpMyAdmin.\nПерезапустим веб-сервер и наберем в адресной строке https://site.examlpe/phpmyadmin, для входа используйте учетные данные пользователя созданного нами на этапе установки SQL-сервера, в нашем случае это example. В результате у вас откроется веб-интерфейс утилиты с правами только на базы указанного пользователя. На этом настройка веб-сервера Angie с сертификатами Let's Encrypt и поддержкой HTTP/3 закончена. В нашем распоряжении быстрый и современный сервер с поддержкой всех актуальных технологий.\n","id":"dc3f7cecc47aa4230034c76e37c1bfd2","link":"https://interface31.ru/post/nastraivaem-web-server-angie-php-mysql-lets-encrypt-http3/","section":"post","tags":["Angie","Debian","Let's Encrypt","MySQL","Nginx","PHP","phpMyAdmin","SSL","Ubuntu Server","Web-сервер","Безопасность","Сайт"],"title":"Настраиваем веб-сервер Angie + PHP + MySQL с сертификатами Let's Encrypt и поддержкой HTTP/3"},{"body":"В последний день зимы, 28 февраля без лишнего шума был выпущен релиз новой операционной системы РОСА ФРЕШ 13 на базе платформы rosa13, это первое крупное обновление за последние 4 года, все предыдущие выпуски строились на базе платформы 2021.x. Выпущенная система в первую очередь адресуется энтузиастам и не рекомендуется для продуктивных сред, но это отличный повод посмотреть куда пришла РОСА и что ждать в коммерческих дистрибутивах, а также понять куда вообще движется данная платформа, которая является наследником легендарной Mandriva.\nКоротко напомним историю этого дистрибутива, которая началась с покупки российскими владельцами активов обанкротившейся французской компании - владельца дистрибутива Mandriva. Данный дистрибутив в представлении не нуждается и в свое время его популярность была крайне высока. Разработка была полностью выведена в Россию и на базе Mandriva был создан отечественный дистрибутив ROSA, сегодня владельцем дистрибутива является компания НТЦ ИТ РОСА. Более подробно почитать об истории развития и прошлых выпусках ROSA можно в наших материалах, настоятельно рекомендуем их прочесть, чтобы лучше понять, о чем мы будем вести речь:\nРекомендуем к прочтению ROSA Linux - продолжаем знакомиться с российскими ОС ROSA Fresh Desktop 12 - если честно, то уже и не ждали... ROSA Fresh Desktop 12 Gnome - для тех, кому хочется свежести Первоначально ROSA рассматривалась как крайне серьезный игрок на рынке импортозамещения, особенно с учетом того, что это был полностью российский дистрибутив без заимствования чужой пакетной базы, до этого этим мог похвастаться только Альт. И все перспективы занять свое место под солнцем у ROSA были. Первые дистрибутивы были достаточно самобытны и самодостаточны, предоставляя вместе со стандартным набором ПО собственные инструменты и утилиты, имели собственный, унаследованный от Mandriva стиль. Но разработчики явно не потянули полноценную разработку и очень скоро покинули большую тройку рынка отечественных ОС уступив место РЕД ОС, Альту и Астре.\nУже после выпуска ROSA 12 стало ясно, что ничего хорошего дистрибутив не ждет, самобытные черты быстро терялись, а сама система все больше начинала походить на очередной RHEL-совместимый дистрибутив. И вот перед нами новый выпуск - РОСА 13, теперь именно так, по-русски, но скажется ли смена названия на самом дистрибутиве? Появится ли в нем что-то новое, будут ли исправлены недочеты прошлых выпусков?\nПо факту разработчики еще при выпуске 12-й версии признались, что не тянут самостоятельную разработку вещей и отказались от многого наследства Mandriva в пользу стандартных для RHEL подсистем, а что-то и вовсе позаимствовали у Mageia - независимого форка Mandriva, который все это время развивался самостоятельно.\nНо хватит слов, давайте перейдем к знакомству. Установка производится при помощи стандартного для RHEL инсталлятора Anaconda, достаточно простого и удобного, реализующего современный подход к установке - когда сначала собираем все настройки, а только потом устанавливаем. Какая-либо собственная индивидуализация инсталлятора отсутствует, слайдов тоже не завезли. Собственно, так было и в прошлом выпуске, так что ничего нового. Экран входа в систему уже показывает некоторые попытки индивидуализации, во всяком случае это уже не стандартный экран из стандартной поставки KDE. Внешний вид - важная составляющая любого дистрибутива, это понятно всем отечественным разработчикам, разве что кроме Альта, и РЕД ОС и Астра проделали большую работу по улучшению графической составляющей, здесь же представлена единственная светлая тема РОСА и выглядит она достаточно неоднозначно. Век плоских одноцветных тем уходит в прошлое еще с начала 20-х, но здесь решили иначе. По факту просто очень много синего и бледно-синего, какие-либо акценты в интерфейсе отсутствуют, но сделано все достаточно аккуратно, ну кроме некоторых старых приложений, которые просто выглядят в этом интерфейсе чужеродно (обратите внимание на \u0026quot;светофор\u0026quot; с обновлениями справа внизу). Сказать, что дизайн плохой - мы не скажем, но его явно следовало сделать более ярким, добавив кроме синего еще какие-нибудь акцентные цвета. Хорошим примером может служить РЕД ОС, в ней акцентный цвет красный, в интерфейсе тоже достаточно красного, но это не единственный цвет интерфейса. Здесь же фактически все сливается, все одного цвета. С обоями тоже решили сэкономить, фирменные обои представлены в единственном экземпляре, в светлом и темном вариантах, второе достаточно странно, учитывая отсутствие темной темы. Ну да ладно, стиль какой-никакой есть, но стоит нам начать работу, как все это тут же ломается, причем все запущенные нами приложения входят в состав предустановленных. Libre Office - запускается со стандартной темой KDE - Breeze, GIMP использует тему ROSA, но почему-то устаревший набор значков, которые смотрятся в современном плоском интерфейсе абсолютно устаревшими и чужеродными. При этом для Libre Office есть тема ROSA 5 и на нее можно быстро переключиться, как и включить современные плоские значки в GIMP. Почему этого нельзя было сделать сразу? А вот видеоредактор Kdenlive стартует сразу в темной теме, хотя для него тоже есть тема РОСА. Такой подход на корню уничтожает единый визуальный стиль и делает дистрибутив не единой и стройной системой, а разрозненным набором разношерстного ПО. А вот выбор медиаплеера вообще вводит в недоумение, ну разве больше нет никаких альтернатив? Зачем тащить в стандартную поставку то, что выглядит как ископаемое из 90-х? И абсолютно не вписывается в используемую концепцию дизайна? Почему мы уделяем этому столько времени? Да потому, что встречают по одежке. Тем более что дистрибутив позиционируется как домашний. А что ожидает типичный домашний пользователь? Что хотя бы из коробки все будет выглядеть в одном стиле или хотя бы сильно не выбиваться, он хочет поставить систему и работать с ней, а не подбирать софт и настраивать внешний вид. Плюс такой подход не создает впечатления целостности дистрибутива, а вызывает острое ощущение недоделанности.\nИдем дальше, но не забываем, что дистрибутив позиционируется как домашний. Система обновлений, по сути, обычный текстовый скрипт, с обычным выводом. В целом просто, понятно и какого-то отторжения не вызывает, но в 2025 году от домашнего дистрибутива ожидаешь чего-то более современного. Можно было бы просто какой-нибудь прогресс-бар на форме нарисовать или что-то еще придумать. Но разработчикам этого не надо. Магазина приложений нет, вместо него предлагается допотопная dnfdragora, которая окончательно устарела еще лет 10-15 назад. И ладно бы это был дистрибутив для рабочих станций, не предполагающий домашнего использования и подразумевающий наличие администратора, но нет, пользователь должен страдать. Также нет никакой поддержки Snap и Flatpak, нет, все это, конечно, можно и руками поставить, но зачем? Вообще данный подход очень сильно удивляет, складывается впечатление, что разработчики не понимают требования целевой аудитории, либо представляют ее неправильно. Магазин приложений - это давно уже норма жизни, особенно в Linux, где софт распространяется централизованно через репозитории или Ftatpak и Snap-пакеты. Где приложения четко отделены от библиотек и плагинов, где есть нормальный поиск по наименованию и т.д. и т.п. Тем более что в KDE есть стандартные средства для всего этого, ничего и придумывать не надо.\nПри этом отметим, что ни одного собственного приложения РОСА в составе установленного ПО нет. Хотя еще в составе платформы R11 они были и выполнены были весьма неплохо. Но теперь от них полностью отказались, что полностью укладывается в озвученные разработчиками принципы: зачем тянуть что-то свое, когда все уже придумали до нас, возьмем готовое.\nНо даже взять готовое выходит как-то не очень. Встроенный медиаплеер Haruna и самый обычный MP4 файл из закромов родины. Не хватает кодеков? Да мне как-то все равно, я хочу просто посмотреть фильм, а не превозмогать очередные сложности, тем более что VLC на этой же системе никаких проблем с данным файлом не испытывает. Дальше мы хотели заглянуть под капот, а потом подумали и решили, что в данном случае это не имеет особого смысла, ну что мы напишем нового? Версию ядра и KDE? Схему разметки? Требовательность к ресурсам? Тут все плюс-минус все как у всех. Берем любой современный дистрибутив с KDE и получаем плюс-минус все тоже самое.\nЗато куда интереснее посмотреть, как наш отечественный дистрибутив будет работать с отечественным ПО, например, с 1С:Предприятие. А никак, 1С:Предприятие устанавливается, но не запускается. Ситуация для новых дистрибутивов стандартная, и это лечится, причем лечится достаточно несложно. Но мы помним, что РОСА - это самобытный дистрибутив на базе Mandriva, а следовательно готовые рецепты нам не помогут. Может быть, что-то подскажет документация, а где она? А ее нет, официальная вики лежит. В общем, дорогие пользователи, развлекайтесь как хотите. Учитывая низкую степень популярности и распространенности РОСЫ материалов в сети по ней практически нет, как запустить 1С мы нашли на официальном форуме, но не в виде рабочего решения, а в виде набора предположений и домыслов, но благо опыт работы с 1С:Предприятие имеется, и она все-таки запустилась. Там же мы узнали, что вики не лежит, вики удалена, а вместо нее сделана новая вики, которая пока состоит из одной единственной страницы. Фактически документации у нас нет, вся информация только на форуме, активность которого тоже не велика. Может быть, у пользователей коммерческих дистрибутивов поддержка будет лучше, а может и нет. В тоже время у того же РЕД ОС официальная документация в открытом виде содержит описание всех возможных ошибок при установке 1С и способы их обхода. Ну и заметим то, что РОСЫ нет в официально поддерживаемых 1С:Предприятием операционных системах.\nНе будем дальше о грустном, лучше давайте посмотрим на версию РОСА 13 с GNOME. Если вы читали наши прошлые обзоры, то должны помнить, что кастомизация GNOME в ROSA 12 нам понравилась, посмотрим, что изменилось с тех пор. Сама оболочка встречает нас уже привычным синим стилем, но здесь разработчики не смогли или не сумели сделать синим абсолютно все, поэтому смотрится такой стиль гораздо лучше, чем в дистрибутиве с KDE. Стартовое меню сделано по мобильному принципу с группировкой значков на одном экране, это достаточно удобно, все предустановленные приложения уже сгруппированы, пользоваться удобно. Повторим, что на наш взгляд это одна из лучших кастомизаций GNOME, который из коробки обладает весьма и весьма непонятной и запутанной эргономикой. Но есть и непонятные моменты, сетка программ внутри группы жестко ограничена как 3х3 значка. Зачем и почему? Ведь даже FHD экран позволяет разместить гораздо больше значков, не говоря о 2К или 4К мониторах. Кстати, в дистрибутиве на основе GNOME мы нашли единственное приложение марки РОСА - Rosa Image Writer, утилиту для записи образов на флешку, причем очень неплохую утилиту. По сути, это все, что осталось от самостоятельной разработки и скорее всего тоже будет предано забвению.\nВ общем, GNOME у РОСЫ сделан хорошо, внешне он получился даже лучше, чем KDE, возможно потому, что здесь не получилось залить все синим. Но если мы начинаем запускать встроенные приложения, то все это благолепие тут же разбивается о суровую реальность. Внешний вид у приложений - кто в лес, кто по дрова. Хотя все их можно быстро привести к единообразию прямо здесь, не отходя от кассы, просто переключив стили оформления в настройках. Почему это не было сделано сразу - загадка, зато налицо наплевательский подход - и так сойдет! В остальном все то, что было сказано о версии с KDE справедливо и для выпуска с GNOME.\nВыводы То, что РОСА не сумела закрепиться на рынке отечественных ОС - это факт, хотя все возможности у нее для этого были. Но увы, разработчики не справились со свалившимся на них наследством, не смогли развить его, много еще чего не смогли. А главное - не сумели правильно позиционировать систему. Поэтому мы на протяжении последних версий наблюдаем практически полный отказ от технологий Mandriva и замену их на стандартные RHEL механизмы. С точки зрения унификации может это и хорошо, но в случае с РОСА - это просто окончательно закапывает дистрибутив.\nИ дело тут не в том, что тащить наследство Mandriva дорого и неэффективно, Альт же вон тащит свой APT-RPM и многое другое, да еще умудряется подавать это как преимущества. Тут дело в другом. Любой дистрибутив должен создавать для пользователя некоторые ценности и давать некоторые преимущества. Чтобы сразу было понятно, ради чего я делаю этот выбор, что для меня действительно важно, а на что я готов закрыть глаза.\nРОСА не дает ответа ни на один этот вопрос. Начнем с домашнего пользователя, вот что его должно заставить сделать выбор в пользу именно этого дистрибутива? Неаккуратный дизайн, когда даже на идущих в коробке приложениях не удосужились настроить единую тему? Отсутствие современных систем управления пакетами? Минимум документации и неактивное сообщество? А оно ему надо? Вот зачем ему РОСА?\nЕсли же мы возьмем администратора, который решил присмотреться к этому семейству ОС и возможно сделать выбор в пользу коммерческих систем, то здесь вопросов будет еще больше. Начнем с того, что РОСА - это полностью самостоятельная платформа, это не RHEL и не DEB-based, т.е. опыт работы с этими системами тут не поможет или поможет частично. Документации нет. Удобства нет. Будущее туманно. И зачем ему это надо? Чтобы потом героически преодолевать проблемы, которых в других системах просто нет, или они изучены и задокументированы. А ведь операционная система - это не офисный пакет или браузер, не понравилось - поменял. Это серьезный выбор на годы.\nА сейчас РОСА видится нам как тот самурай, у которого нет цели - есть только путь. Складывается впечатление, что разработчики сами не понимают кто их целевая аудитория и какие ценности им нужно предоставить, вместо этого продолжая плыть по течению и выпуская новую версию дистрибутива просто потому, что нужно что-то выпустить.\nВ заключение хотелось бы написать что-то хорошее, но, к сожалению, мы так и не смогли придумать что. Нет, хорошие решения в РОСЕ есть, но сам дистрибутив вызывает только один вопрос - зачем? И ответа на него мы найти не можем.\n","id":"223fb71ea8f669df2842a98f4023c7fe","link":"https://interface31.ru/post/rosa-fresh-13-kogda-net-celi-a-est-tol-ko-put/","section":"post","tags":["Linux","Mandriva","ROSA","Импортозамещение"],"title":"РОСА ФРЕШ 13 — Когда нет цели, а есть только путь"},{"body":"В современном мире, с постоянно растущими объемами информации резервные копии являются важным элементом инфраструктуры и залогом ее устойчивости. Также они стали отдельным объектом атак и интереса злоумышленников, поэтому очень важно иметь более одной резервной копии и хранить второй экземпляр в отдельной физической локации. И если мы говорим о виртуальной инфраструктуре Proxmox, то самое время познакомиться со штатной возможностью Proxmox Backup Server - работой в режиме удаленного хранилища.\nРезервное копирование виртуальных сред сопряжено с рядом ограничений и компромиссов. В первую очередь это достаточно большие объемы данных, а также требуемая глубина копирования и возможность быстрого восстановления. Все это требует держать сервер резервного копирования рядом с инфраструктурой, соединённым быстрыми каналами связи. В тоже время по соображениям безопасности копии крайне желательно хранить на удаленной площадке. И не только потому, что в случае серьёзной аварии, например, пожара или затопления мы можем потерять как рабочие, так и резервные копии, но и потому, что бекапы сегодня являются отдельной мишенью интереса злоумышленников, наравне с рабочими данными.\nПоэтому оптимальной стратегией будет размешать основной рабочий сервер в составе инфраструктуры, что позволит быстро выполнять резервное копирование или восстановление. а на удаленной площадке держать резервный сервер, который будет синхронизироваться с основным по отдельному расписанию. Это позволит иметь две независимые копии, что существенно повысит безопасность и устойчивость вашей инфраструктуры.\nТакая возможность штатно присутствует в Proxmox Backup Server и называется Remote, она позволяет синхронизировать хранилища (Datastore) локального экземпляра с удаленным экземпляром Proxmox Backup Server и проводить синхронизацию между ними. При этом никакой особой настройки сервера не требуется, любой локальный экземпляр Proxmox Backup Server может выступать удаленным хранилищем для другого сервера и наоборот. Скажем если у вас есть сервера резервного копирования в офисе и филиале, то вы можете настроить их так, что каждый их них будет использовать своего партнера как удаленный сервер, все упирается только в наличие места в хранилище.\nЕсли вы не знакомы с Proxmox Backup Server и не устанавливали, и не настраивали его ранее, то советуем предварительно ознакомиться с нашей статьей:\nРекомендуем к прочтению Установка и настройка Proxmox Backup Server Далее мы будем подразумевать, что сервера у вас установлены и настроены. Режим удаленного хранилища работает по принципу синхронизации хранилищ (Datastore), при этом настройки локального и удаленного хранилища могут различаться, например, разной глубиной хранения, разной частотой верификации и т.д. и т.п. Также можно выбирать ведущую роль, инициировать синхронизацию может как основной, так и удаленный сервер. Это позволяет достаточно гибко организовать данный процесс в зависимости от требований безопасности и удобства администрирования.\nНастройка удаленного хранилища с ведущим основным сервером Наиболее простой, но менее безопасный способ, так как основной сервер имеет доступ к удаленному хранилищу и в случае его компрометации злоумышленники могут получить туда доступ. В тоже время он наиболее удобен для администрирования, так как все настройки делаются в одном месте и вам не нужен административный доступ к удаленному серверу.\nНастройка удаленного сервера Прежде всего создадим на удаленном сервере отдельное хранилище, для этого перейдите в раздел Datastore - Add Datastore, этот процесс ничем не отличается от создания локального хранилища. Что касается настроек, то их следует указать либо как в основном хранилище, либо изменить по собственному усмотрению, как мы уже говорили выше, вы можете сократить или увеличить количество хранимых копий, в зависимости от вашей политики резервного копирования и доступного дискового пространства. Также мы советуем выбирать название хранилища таким образом, чтобы сразу было понятно, что это удаленная копия. Например, мы используем префикс remote. Затем нам нужно создать нового пользователя, который будет иметь доступ к этому хранилищу, мы крайне не рекомендуем использовать для этого уже существующих пользователей и тем более суперпользователя root. Для этого перейдите в Configuration - Access Control - User Management, после чего укажите желаемое имя пользователя и его пароль. Затем здесь же переходим на вкладку Permissions и выдаем созданному пользователю права DatastoreAdmin для созданного хранилища (хранилищ). В зависимости от политик безопасности вы можете использовать как отдельных пользователей для каждого хранилища, так и одного для всех, но соблюдая условие, что удаленный пользователь не имеет прав к локальным хранилищам. На этом настройка удаленного сервера закончена.\nНастройка локального сервера На локальном сервере переходим в раздел Configuration - Remotes и подключаем удаленное хранилище. В поле Remote ID указываем желаемое имя хранилища, а в поле Auth ID - имя пользователя для доступа к нему, ниже указываем адрес сервера и пароль, также нам потребуется отпечаток сертификата удаленного сервера (Fingerprint), его можно получить на главной странице веб-интерфейса (Dashboard). Напоминаем, что подключаете вы не удаленный сервер, а только набор хранилищ, доступные указанному при подключении пользователю и если хранилищ и пользователей у вас несколько, то необходимо добавить в этом разделе несколько записей.\nПосле чего переходим в локальное хранилище, которое мы хотим синхронизировать и переходим на закладку Sync Jobs, там по кнопке Add доступно два варианта: Pull Sync Job - получить с удаленного сервера и Push Sync Job - отправить на удаленный сервер. Выбираем последний вариант. В открывшемся окне выбираем удаленный набор хранилищ - Target Remote и указываем доступное хранилище Target Datastore на удаленном сервере. Затем в поле Sync Schedule указываем расписание обмена и ограничение скорости Rate Limit, мы настоятельно советуем не пропускать эту настройку, если вы не хотите, чтобы синхронизация полностью положила вам внешний канал. Отдельно коснемся настройки Remove vanished - при ее включении в удаленном хранилище также будут удаляться копии, которые отсутствуют в локальном. Может показаться, что это хорошая идея, но на самом деле лучше настроить отдельное задание очистки удаленного хранилища, так как если по какой-то причине вы или кто-то еще удалит все локальные копии, то они также будут удалены и в удаленном хранилище.\nНастройка удаленного хранилища с ведущим удаленным сервером С точки зрения безопасности данная схема является предпочтительной, так как локальный сервер не имеет никакого доступа к удаленному и даже при его компрометации удаленному набору резервных копий ничего не угрожает, но требует наличия административного доступа к обоим серверам.\nНастройка локального сервера Настройка локального сервера как таковая не требуется, разве что вы хотите ограничить права доступа, для того чтобы получать копии с удаленного сервера вам не нужно право записи и поэтому можно создать пользователей, ограниченных в правах только чтением.\nВ этом случае их настройка аналогична подобной для удаленного сервера: на каждое хранилище / группу хранилищ нам потребуется пользователь с правами не ниже, чем DatastoreReader. Это серьезно увеличивает безопасность, так как при возможной компрометации удаленного сервера ваши локальные копии не смогут быть удалены, в отличии от доступа с ролью DatastoreAdmin.\nНастройка удаленного сервера Точно также переходим в Configuration - Remotes и подключаем удаленный набор хранилищ с локального сервера. Все настройки аналогичны настройке локального сервера в прошлом сценарии, только теперь нам потребуется отпечаток сертификата локального сервера.\nПосле чего создаем хранилище для синхронизации с хранилищем локального сервера. Никаких пользователей создавать не нужно, равно как и устанавливать на хранилище какие-то права. После создания хранилища переходим на закладку Sync Jobs - Add - Add Pull Sync Job и заполняем поля аналогично прошлому сценарию: в Source Remote указываем удаленный набор хранилищ и конкретное хранилище для синхронизации - Source Datastore. В Sync Sсhedule указываем расписание, а в Rate Limit - лимит скорости канала, остальные опции оставляем без изменений. На этом настройка удаленного сервера окончена.\nВ заключение хотелось бы заметить, что первичная синхронизация подразумевает большой объем передаваемых данных и поэтому, если есть такая возможность, ее желательно выполнить, разместив оба сервера в одной сети, а только потом разнести по разным локациям.\n","id":"7d731185c2cba58e121c26ba3787f8ed","link":"https://interface31.ru/post/nastraivaem-proxmox-backup-server-v-rezhime-udalennogo-hranilishha-remote/","section":"post","tags":["Proxmox","Виртуализация","Резервное копирование"],"title":"Настраиваем Proxmox Backup Server в режиме удаленного хранилища (Remote)"},{"body":"В настоящее время беспроводная передача данных Wi-Fi плотно вошла в повседневную жизнь, оборудование доступно в свободной продаже и мало кто задумывается о правилах его применения. Однако следует помнить, что средой передачи для данной технологии являются радиоволны, которые способны распространяться за пределы вашего дома или офиса, а следовательно, оказывать помехи другим пользователям. Поэтому во всех странах мира существуют нормы, регламентирующие использование беспроводного оборудования, в данной статье мы рассмотрим особенности регулирования Wi-Fi в России.\nДиапазон 2,4 ГГц Начнем с наиболее популярного и широко используемого диапазона 2,4 ГГц, сегодня это основной диапазон, поддерживаемый всеми Wi-Fi устройствами, он же наиболее загружен, особенно в районах многоэтажной застройки.\nОсновным регламентирующим документом в России является Постановление Правительства РФ от 20.10.2021 N 1800 \u0026quot;О порядке регистрации радиоэлектронных средств и высокочастотных устройств\u0026quot;, а именно пункт 14 приложения Изъятия из перечня радиоэлектронных средств и высокочастотных устройств, подлежащих регистрации, который гласит, что не подлежат регистрации:\nПользовательское (оконечное) оборудование передающее, включающее в себя приемное устройство, малого радиуса действия семейства стандартов IEEE 802.11 (Wi-Fi), работающее в полосе радиочастот 2400 - 2483,5 МГц, с допустимой мощностью излучения передатчика не более 100 мВт, в том числе встроенное либо входящее в состав других устройств.\nДанный диапазон частот соответствует международному диапазону ISM (Industrial, Scientific, Medical - Промышленный, Научный, Медицинский), который также разрешен к использованию без получения лицензии, а именно его \u0026quot;научной\u0026quot; части 2400-2500 МГц. Разрешенный в России диапазон включает в себя 13 каналов шириной в 20 МГц и частотным шагом в 5 МГц. Канал\r1\r2\r3\r4\r5\r6\r7\r8\r9\r10\r11\r12\r13\rЦентральная частота,МГц\r2412\r2417\r2422\r2427\r2432\r2437\r2442\r2447\r2452\r2457\r2462\r2467\r2472\rПолоса\rISM\rИз них независимыми или непересекающимися являются только три канала: 1-й, 6-й и 11-й. Формально в России можно отнести к непересекающися и наборы 2-7-12 и 3-8-13, но практически это не имеет никакого смысла. В большинстве стран Европы и Америки в данном диапазоне доступны только 11 каналов, которые не оставляют иных вариантов, кроме как 1-6-11.\nСтанции, работающие на смежных каналах, создают друг другу межканальные (интерференционные помехи), которые не устраняются на уровне протокола, в отличии от внутриканальных помех (коллизий). Более подробно об этом можно прочесть в нашей статье.\nПри этом нет никаких ограничений или общепринятых соглашений по использованию частотного диапазона и, по сути, сегодня в нем творится полный хаос. Масла в огонь добавило разрешение на использование в данном диапазоне широких (40 МГц) каналов, хотя первоначально разрешать их к использованию не планировалось. Таким образом говорить о непересекающихся каналах в данном диапазоне можно сугубо условно, например, широкие каналы 5+9 или 4+8 эффективно будут ставить помехи по всей ширине диапазона.\nДопустимая мощность передатчика составляет 100 мВт или 20 dBm, это компромиссная величина, позволяющая с одной стороны получить приемлемую зону покрытия в условиях города, с другой - ограничить зону действия таких сетей ближайшими помещениями. Тем не менее в многоэтажной застройке наблюдается серьезная перегрузка диапазона, которая выражается в большом количестве сетей, работающих на смежных каналах и активно мешающих друг другу. Выше показана типичная картина в многоэтажном доме. Как видно две широкие сети 7+3 и 8+12 практически полностью перекрывают диапазон и в такой радиообстановке единственным вариантом остается уйти в начало диапазона, который все равно приходится делить с достаточно сильной соседской точкой. В таких условиях соблюдение не только нормативных предписаний, но и рекомендаций по использованию диапазона выходит на первый план, но, к сожалению, следовать им не спешат не только пользователи, но и производители оборудования.\nА рекомендации в общем то просты: использовать только непересекающиеся каналы 1-6-11 и не использовать широкий канал в 40 МГц. Мы уже промолчим о том, что мощность точки доступа должна быть минимально достаточной для обеспечения необходимой зоны покрытия. Как вы думаете, сколько точек из нашего окружения было осознанно настроено пользователями? Зная своих соседей, могу твердо сказать - ни одной и то, что вы видите - это результат работы оборудования \u0026quot;из коробки\u0026quot;.\nЕсли трезво смотреть на вещи, то широкий канал в диапазоне 2,4 ГГц не дает никаких преимуществ. Теоретически он может обеспечить скорости до 150 Мбит/с, против 75 Мбит/с на канале шириной 20 МГц, но по факту даже такая скорость остается недостижимой. С другой стороны, основные потребители W-Fi - мобильные устройства, которые, кроме топовых моделей, не умеют работать с широким каналом, да и при скоростях доступа в интернет до 100 Мбит/с смысл его использования теряется.\nОтдельно стоит отметить использование каналов 12 и 13, если вы думаете с их помощью уйти в более свободную часть диапазона, то это не самая лучшая идея, тот же 11-й канал перекрывает большую часть 12-го и половину 13-го. При этом техника западного производства, даже сертифицированная к ввозу в РФ, может не уметь работать с каналами выше 11-го, яркий пример - устройства Apple. Это же касается международных версий многих популярных китайских смартфонов.\nДиапазон 5 ГГц Для решения проблемы загруженности диапазона 2,4 ГГц для Wi-Fi устройств был дополнительно выделен диапазон 5 ГГц, точнее ряд диапазонов в полосе частот 5-6 ГГц. При этом были учтены ошибки, допущенные при регулировании диапазона 2,4 ГГц и в диапазоне 5 ГГц доступны только непересекающиеся каналы.\nВ России данный диапазон также регулируется пунктом 14 указанного выше Постановления, который выводит из под регистрации:\nПользовательское (оконечное) оборудование передающее, включающее в себя приемное устройство, малого радиуса действия семейства стандартов IEEE 802.11 (Wi-Fi), работающее в полосах радиочастот 5150 - 5350 МГц и 5650 - 6425 МГц, с допустимой мощностью излучения передатчика не более 200 мВт, в том числе встроенное либо входящее в состав других устройств.\nКак мы уже говорили, 5 ГГц - это не единый диапазон, а целый ряд диапазонов, порядок использования которых в различных странах может отличаться. Выделяемые для нелицензируемой работы полосы частот называются UNII (Unlicensed National Information Infrastructure, Нелицензируемая национальная информационная инфраструктура).\nЧастотная сетка диапазона предусматривает использования для Wi-Fi только непересекающихся каналов шириной 20 МГц и с шагом 20 МГц, от начала и конца полосы частотный отступ составляет 30 МГц. Первоначально были разрешены к использованию полосы UNII-1 (Европа, Россия) и дополнительно к ней UNII-3 и один канал из \u0026quot;медицинского\u0026quot; ISM (США), позднее к ним добавили полосу UNII-2. В дальнейшем, учитывая возросшие требования к ширине каналов была также добавлена расширенная полоса UNII-2 Extended и, позже, полоса UNII-4, именуемая в некоторых источниках как диапазон 5,9 ГГц.\nДля Wi-Fi 4 (802.11n) в диапазоне могут использоваться каналы шириной 20 МГц и 40 МГц, а для Wi-Fi 5 (802.11ac) и более современных стандартов доступны каналы шириной 80 МГц и 160 МГц.\nРассмотрим эти полосы подробнее, сначала рассмотрим нижнюю (по частотам) часть полосы. Она представлена в виде двух диаграмм: международной и разрешенной в РФ. Полосы UNII-1 и UNII-2:\nКанал\r36\r40\r44\r48\r52\r56\r60\r64\rЦентральная частота, МГц\r5180\r5200\r5220\r5240\r5260\r5280\r5300\r5320\rПолоса\rUNII-1\rUNII-2\rПолоса UNII-2 Extended (звездочками отмечены каналы недоступные в РФ):\nКанал\r100*\r104*\r108*\r112*\r116*\r120*\r124*\r128*\r132\r136\r140\r144\rЦентральная частота, МГц\r5500\r5520\r5540\r5560\r5580\r5600\r5620\r5640\r5660\r5680\r5700\r5720\rПолоса\rUNII-2 Extended\rТаким образом нижняя часть диапазона содержит 12 непересекающихся каналов. Но не все так просто, частотные полосы UNII-2 и UNII-2 Extended выделенные для Wi-Fi пересекаются с частотами, на которых работают авиационные, судовые и военные радары, а также погодные радары аэродромов. Поэтому использование данных диапазонов возможно только при использовании технологии DFS (Dynamic Frequency Selection), которая заключается в том, что точка постоянно мониторит частоту на наличие импульсов от радара и при наличии таковых обязана изменить рабочий канал.\nВ России на текущий момент времени из диапазона UNII-2 Extended разрешено использование только четырех каналов 132-144, что дает нам следующую конфигурацию: 8 последовательных каналов в UNII-1 и UNII-2 и отдельно отстоящие от них по частотам 4 канала UNII-2 Extended. Это дает возможность использовать 6 каналов шириной 40 МГц, три канала шириной 80 МГц (каждый такой канал занимает полосу целиком) и один канал шириной 160 МГц, объединив полосы UNII-1 и UNII-2. Однако возможность его использования остается под вопросом, так как UNII-2 работает в полосе частот радаров. Эта же особенность может сделать затруднительной и использование каналов шириной 80 МГц на всю ширину полосы UNII-2 или UNII-2 Extended.\nВерхняя часть диапазона состоит из диапазонов UNII-3, UNII-4 и одного \u0026quot;медицинского\u0026quot; канала ISM (США) между ними. Никаких отличий между российской и международной версией полос нет. Однако полоса UNII-4 доступна только устройствам стандартов Wi-Fi 5 (802.11ac) и Wi-Fi 6 (802.11ax), поэтому она выделен другим цветом. Канал\r149\r153\r157\r161\r165\r169\r173\r177\rЦентральная частота, МГц\r5745\r5765\r5785\r5805\r5825\r5845\r5865\r5885\rПолоса\rUNII-3\rISM\rUNII-4\rВ верхней части диапазона нам доступно 8 непересекающихся каналов, в которых мы можем расположить два канала шириной 80 МГц или один канал шириной 160 МГц, при этом следует отметить, что это единственный в диапазоне канал шириной 160 МГц, который можно гарантированно использовать не пересекаясь с диапазонами радаров. Всего же в диапазоне 5 ГГц нам оказывается доступно 20 (17 для Wi-FI 4) непересекающихся канала, так же мы можем разместить здесь 5 каналов 80 МГц (два в полосе частот радаров) и всего 2 канала 160 МГц (один частично в полосе частот радаров). По сути диапазон оказался не так широк, как это казалось первоначально.\nЕще одним существенным фактором, осложняющим жизнь в диапазоне 5 ГГц является поддержка диапазона устройствами трех поколений Wi-Fi 4 - Wi-Fi 6, что может серьезно затруднять построение сетей с разнородными абонентскими устройствами. Это касается как производительности, так и возможности использования частотного диапазона. Многие старые устройства Wi-Fi 4 поддерживают только UNII-1 или какое-либо из сочетаний UNII-1 + UNII-2 или UNII-1 + UNII-3, что при наличии разнообразного парка устройств заставляет нас уходить в универсальный для всех UNII-1. Фактически это приводит к неравномерной загрузке диапазона, что нетрудно выявить при помощи любого сканера, большинство устройств будут толпиться именно в полосе UNII-1.\nВторой фактор - это остутствие в стандарте Wi-Fi 4 поддержки полос шириной 80 МГц и 160 МГц, что при совместном использовании с устройствами более современных стандартов (начиная с Wi-Fi 5) будет являться серьезным сдерживающим фактором для последних. Это либо снова заставить идти на компромиссы, либо разделять сети по принципу используемого поколения Wi-Fi, когда старые устройства помещаем в одну сеть, новые - в другую.\nС учетом того, что проницаемость радиоволн на частоте 5 ГГц ниже, чем на 2,4 ГГц, разрешена более высокая мощность передатчика - 200 мВт или 23 dBm, но злоупотреблять ей не стоит, межканальные помехи на данной частоте более сильные, чем в 2,4 ГГц. С другой стороны, существенно более высокое затухание волн частотой 5 ГГц в условиях городской застройки должно уменьшить взаимные помехи от клиентского оборудования.\nНо в целом, если сравнивать с диапазоном 2,4 ГГц введение диапазона 5 ГГц значительно улучшило качество беспроводной связи. Во-первых использование только непересекающихся каналов резко сократило количество межканальных помех, во-вторых более высокое затухание снизило взаимное влияние соседей, что благотворно сказалось на работе Wi-Fi в плотной городской застройке.\nДиапазон 6 ГГЦ Новый диапазон для беспроводной связи в полосе частот 5925 МГц - 7125 МГц и включающий в себя четрые полосы UNII-5 - UNII-8. Частотная сетка предусматривает использование только непересекающихся каналов шириной 20 МГц и с шагом 20 МГц, от начала и конца полосы частотный отступ составляет 30 МГц. При этом допускается использование широких каналов 40, 80 и 160 МГц.\nЧтобы не наступать на старые грабли совместимости новый диапазон могут использовать только устройства стандартов Wi-Fi 6E (802.11ax) и Wi-Fi 7 (802.11be), чтобы не вносить путаницу стандарт 802.11ax с поддержкой 6 ГГц получил название Wi-Fi 6E.\nВ России разрешение на использование данного диапазона было выдано только в последней редакции Постановления № 1080, где данный диапазон просто пристегнули к верней части диапазона 5 ГГц:\nПользовательское (оконечное) оборудование передающее, включающее в себя приемное устройство, малого радиуса действия семейства стандартов IEEE 802.11 (Wi-Fi), работающее в полосах радиочастот 5150 - 5350 МГц и 5650 - 6425 МГц, с допустимой мощностью излучения передатчика не более 200 мВт, в том числе встроенное либо входящее в состав других устройств.\nКак видно из текста постановления к использованию в РФ доступен не весь диапазон, а только полоса UNII-5, которая включает в себя 24 непересекающихся канала. При этом при планировании явно учитывалось преимущественное использование широких каналов, диапазон позволяет разместить три канала 160 МГц или 6 каналов 80 МГц, диаграмму ниже мы как раз скомпоновали по 160 МГц каналам. И так как у нас новый диапазон, то нумерация каналов стартует заново, а не продолжает нумерацию 5 ГГц. Канал\r1\r5\r9\r15\r17\r21\r25\r29\r33\r37\r41\r45\rЦентральная частота, МГц\r5955\r5975\r5995\r6015\r6035\r6055\r6075\r6095\r6115\r6135\r6155\r6175\rПолоса\rUNII-5\rКанал\r49\r53\r57\r61\r65\r69\r73\r77\r81\r85\r89\r93\rЦентральная частота, МГц\r6195\r6215\r6235\r6255\r6275\r6295\r6315\r6335\r6355\r6375\r6395\r6415\rПолоса\rUNII-5\rНа первый взгляд ничего нового, но если присмотреться повнимательнее, то можно заметить, что в отличие от лоскутного диапазона 5 ГГц все полосы и каналы диапазона 6 ГГц располагаются последовательно, что позволяет иметь задел на будущее для использование еще более широких каналов или несколько каналов стандартной ширины одновременно. Также было принято неоднозначное решение об отсутствии обратной совместимости, что позволяет избежать сложившейся в диапазоне 5 ГГц ситуации, когда устройства устаревшего стандарта серьезно снижали общую производительность сети. Хотя с диапазоном 6 ГГц все только начинается и через несколько поколений Wi-Fi мы снова сможем в нем прийти к аналогичной ситуации.\nДиапазон 60 ГГц Еще один новый диапазон беспроводной связи выделенный пунктом 26 указанного Постановления:\nУстройства малого радиуса действия, используемые в сетях беспроводной передачи данных, и другие устройства с функцией передачи данных в полосе радиочастот 57 - 66 ГГц, с прямым расширением спектра и другими видами модуляции с максимальной эквивалентной изотропно-излучаемой мощностью 40 дБм и максимальной спектральной плотности эквивалентной изотропно-излучаемой мощности 13 дБм/МГц внутри закрытых помещений.\nЭто абсолютно новый стандарт беспроводной связи описываемый стандартом WiGig (IEEE 802.11ad) который обеспечивает связь на скоростях до 7 Гбит/с на расстояниях до 10-15 метров в пределах прямой видимости. Дело в том, что волны таких крайневысоких частот (КВЧ) имеют длину волны около 5 мм и неспособны огибать препятствия, а также очень быстро затухают, отсюда и достаточно высокие разрешенные мощности.\nДля чего нужен этот стандарт? Прежде всего для передачи значительных объемов данных на небольшие расстояния, это может быть видеоконтент (стримы, видеонаблюдение), взаимодействие с накопителями NAS, беспроводными принтерами, телевизорами и т.д. и т.п. Всего диапазон 60 ГГц содержит 6 каналов частотой от 57 ГГц до 71 ГГц, в России разрешены только первые четыре: Канал\r1\r2\r3\r4\rЦентральная частота, ГГц\r58,32\r60,48\r62,64\r64,80\rПолоса\rWiGig\rОтличительной особенностью данного диапазона является ширина канала 2,16 ГГц, что позволяет достичь столь высоких скоростей, но за счет кардинального сокращения дальности действия. Также в данном диапазоне возможно использование широких каналов объединяя два (ширина канала 4,32 ГГц), три (6,48 ГГц) или четыре канала (8,64 ГГц), что позволяет достичь скоростей до 28 Гбит/с по воздуху.\nВыглядит впечатляюще, но напоминаем, что данный диапазон распространяется только в прямой видимости, не обходит препятствия и не проникает через стены. Поэтому это удел - это быстрые локальные коммуникации в пределах помещения или вне его в радиусе 10-15 метров. В целом неплохая альтернатива витой паре в отдельно взятом помещении.\n","id":"e34c87ecdc5486d95b89bb415702580a","link":"https://interface31.ru/post/normativnoe-regulirovanie-wi-fi-v-rf/","section":"post","tags":["Wi-Fi","Нормативы"],"title":"Нормативное регулирование Wi-Fi в Российской Федерации"},{"body":"Установка и обновление сервера 1С:Предприятие после перехода на единый дистрибутив стала еще проще. Но хорошо, если у вас один сервер и достаточно времени. А если сервер не один? Каждый раз вводить одни и те же команды - это не то, что обрадует настоящего администратора, тем более что Linux дает нам в руки мощный инструмент автоматизации - командную оболочку bash. Это дает возможность один раз описать все необходимые действия, а затем все необходимые действия будет выполнять скрипт. В данной статье мы поделимся подобным скриптом, на основе собственных наработок и коротко разберем работу с ним.\nДанный скрипт предназначен для помощи в установке и обновлении сервера 1С:Предприятие с использованием единого дистрибутива, т.е. работает начиная с версии платформы 8.3.20 и новее.\nСкрипт поддерживает следующие операционные системы:\nDebian 10, 11, 12 Ubuntu 18.04 LTS, 20.04 LTS, 22.04 LTS, 24.04 LTS Mint 19, 20, 21 Astra Linux SE / CE Это официально рекомендованные фирмой 1С платформы и работа Помощника на них проверена. Но это не означает, что он не будет работать в других DEB-дистрибутивах. Если ваш дистрибутив основан на одной из указанных версий Debian или Ubuntu, то проблем быть не должно. В иных случаях возможна некорректная работа скрипта, хотя никаких деструктивных последствий быть не должно.\nВ любом случае скрипт предоставляется как есть под лицензией MIT:\nДанная лицензия разрешает лицам, получившим копию данного программного обеспечения и сопутствующей документации (в дальнейшем именуемыми «Программное обеспечение»), безвозмездно использовать Программное обеспечение без ограничений, включая неограниченное право на использование, копирование, изменение, слияние, публикацию, распространение, сублицензирование и/или продажу копий Программного обеспечения, а также лицам, которым предоставляется данное Программное обеспечение, при соблюдении следующих условий:\nУказанное выше уведомление об авторском праве и данные условия должны быть включены во все копии или значимые части данного Программного обеспечения.\nДАННОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ПРЕДОСТАВЛЯЕТСЯ «КАК ЕСТЬ», БЕЗ КАКИХ-ЛИБО ГАРАНТИЙ, ЯВНО ВЫРАЖЕННЫХ ИЛИ ПОДРАЗУМЕВАЕМЫХ, ВКЛЮЧАЯ ГАРАНТИИ ТОВАРНОЙ ПРИГОДНОСТИ, СООТВЕТСТВИЯ ПО ЕГО КОНКРЕТНОМУ НАЗНАЧЕНИЮ И ОТСУТСТВИЯ НАРУШЕНИЙ, НО НЕ ОГРАНИЧИВАЯСЬ ИМИ. НИ В КАКОМ СЛУЧАЕ АВТОРЫ ИЛИ ПРАВООБЛАДАТЕЛИ НЕ НЕСУТ ОТВЕТСТВЕННОСТИ ПО КАКИМ-ЛИБО ИСКАМ, ЗА УЩЕРБ ИЛИ ПО ИНЫМ ТРЕБОВАНИЯМ, В ТОМ ЧИСЛЕ, ПРИ ДЕЙСТВИИ КОНТРАКТА, ДЕЛИКТЕ ИЛИ ИНОЙ СИТУАЦИИ, ВОЗНИКШИМ ИЗ-ЗА ИСПОЛЬЗОВАНИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ ИЛИ ИНЫХ ДЕЙСТВИЙ С ПРОГРАММНЫМ ОБЕСПЕЧЕНИЕМ.\nСкачать скрипт можно по ссылке ниже:\nСкачать Помощник установки и обновления сервера 1С:Предприятие\nSHA1 ABBFA2B1857154ABE9C3840118A2F41379E1840C\nКак с ним работать? Достаточно просто. Создайте в домашней директории или любом удобном месте директорию для скрипта, скажем 1с:\n1mkdir 1c Перейдите в нее, скачайте с нашего сайта скрипт и сделайте его исполняемым:\n1cd 1c 2wget https://interface31.ru/tech_it/files/1c/1C_full_upgrade.sh 3chmod +x 1C_full_upgrade.sh Теперь поместите в данную директорию единый дистрибутив 1С:Предприятие нужной версии, он может быть в виде архива или в распакованной форме. Всё, можно запускать, для работы скрипту нужны права суперпользователя, либо используйте sudo:\n1sudo ./1C_full_upgrade.sh Сразу определимся с режимом работы. Начнем с простой установки, для этого на запрос старой версии платформы введите setup и вы сразу перейдете к установке. Дальше проще - отвечаем на ряд простых вопросов и скрипт выполнит все согласно вашим пожеланиям. Отдельно проверятся наличие необходимых зависимостей, в частности библиотеки libenchant1c2a, в случае необходимости предлагается подключить репозиторий от Debian 10. Необязательные зависимости, такие как шрифты MS скриптом не контролируются. Процесс установки отображается на экране, мы не подавляли вывод команд, кроме вызова apt update, ввиду ее многословности, так что если что-то пойдет не так, то сообщение об этом вы сразу же прочитаете.\nПлатформа 8.3.20 при первой установке по зависимостям устанавливала графическую оболочку Gnome в минимальной конфигурации, поэтому мы добавили функцию ее автоматического удаления. Но будьте аккуратны, если вы запустили скрипт в графической середе и не уверены, что данные пакеты вам не нужны - откажитесь от удаления.\nОбратите внимание, что при повторных установках платформы 8.3.20 один раз удаленная оболочка больше не устанавливается, поэтому не следует удивляться сообщению о том, что удалять нечего. Для работы Помощника в режиме обновления поместите в его директорию единый дистрибутив новой версии платформы и запустите скрипт. Сначала укажите номер старой платформы, скрипт проверит ее наличие и предложит вам удалить ее, поддерживаются платформы, установленные как из единого дистрибутива, так и из DEB-пакетов. Подтвердите удаление.\nЗатем укажите номер новой платформы и снова ответьте на все вопросы по установке. Если вы хотели только удалить платформу, то просто нажмите Enter и скрип завершит свою работу. Если вы при установке выбрали опцию модуля расширения веб-сервера, то по окончании установки скрипт попытается отыскать конфигурационный файл Apache и заменить в нем путь к интеграционной компоненте установленной версии. Для управления режимом отладки в самом начале работы скрипта введите debug, после чего скрипт покажет вам текущий статус отладки и предложит включить ее по одному из протоколов, либо выключить. Просто следуйте указаниям скрипта, все остальное он сделает самостоятельно. Управление режимами отладки поддерживается для платформы 8.3.21 и выше.\nКак видим, работать с Помощником просто, а сам скрипт работает прозрачно, используя только штатные механизмы дистрибутива и рекомендации фирмы 1С.\nНадеемся данный инструмент будет вам полезен и поможет автоматизировать повседневную рутину.\n","id":"53de9e1d3252fa31aea60cce1613386a","link":"https://interface31.ru/post/pomoshhnik-ustanovki-i-obnovleniya-servera-1spredpriyatie-dlya-linux/","section":"post","tags":["1С Предприятие 8.х","Debian","Ubuntu","Ubuntu Server","Автоматизация"],"title":"Помощник установки и обновления сервера 1С:Предприятие для Linux"},{"body":"Для администрирования серверов 1С:Предприятие традиционно используется одноименная MMC-оснастка, что достаточно неудобно по многим причинам, которых мы коснемся ниже. Альтернативой является использование сервера администрирования RAS, недостатком которого является отсутствие графической оболочки. Поэтому многие сторонние разработчики представили собственные решения работающие на базе RAS, одно из них ПУСК - серьезный продукт, существующий уже несколько лет и включенный в реестр отечественного ПО.\nПеред тем, как переходить к основной теме данной статьи рассмотрим штатные инструменты с их плюсами и минусами. Начнем с MMC-оснастки Администрирование серверов 1С Предприятия, уже сам факт использования MMC указывает на то, что это продукт исключительно для платформы Windows, а если учесть, что под капотом используются COM-соединения, то перспектив увидеть кроссплатформенное решение здесь нет. Также Поэтому для оснастки мы выделим два основных минуса:\nВторой недостаток проистекает от использования COM-соединения, которое требует чтобы версии COM-коннектора и платформы сервера совпадали, поэтому если у вас в эксплуатации несколько серверов 1С:Предприятие с разными версиями платформы то вас ожидает постоянная суета с перерегистрацией компоненты для работы с нужным сервером.\nПонимая тупиковый путь развития оснастки фирма 1С разработала кроссплатформенный сервер администрирования RAS, который является частью сервера 1С:Предприятие, но RAS - это сетевая консольная служба и для работы с ней требуется клиент. Штатный клиент в поставке 1С - также полностью консольное приложение и говорить о каком-либо удобстве повседневной работы здесь нельзя.\nСправедливости ради следует сказать, что для работы с RAS существует стандартная обработка доступная в любой информационной базе, но она достаточно ограничена по возможностям и требует установки на машину администратора экземпляра платформы 1С:Предприятие, что требует выделение клиентской лицензии.\nВсе это учли разработчики компании ИТ-Экспертиза и создали веб-приложение, работающее через сервер администрирования RAS и предоставляющий администратору практически все возможности стандартной оснастки с максимально повторяющим оригинальный инструмент поведением. Проект развивается с 2022 года и в настоящий момент включен в реестр отечественного ПО.\nВ чем плюсы такого решения? Это удобно, кроссплатформенно, может быть использовано в рамках импортозамещения. А формат веб-приложения позволяет работать с продуктом из любого места и любой платформы, был бы браузер.\nМы будем устанавливать ПУСК на выделенный виртуальный сервер под управлением DEB-based дистрибутивов, в нашем случае это будет Ubuntu 24.04 LTS, но вы можете использовать любой актуальный дистрибутив на базе Debian. Все приведенные ниже команды должны запускаться от имени суперпользователя root или через sudo, если не указано иного.\nУстановка Java JDK Для нормальной работы ПУСК нам понадобится виртуальная машина JAVA версии не ниже 17 и здесь у нас есть несколько вариантов ее получения. В данном случае мы будем устанавливать именно версию 17.\nНачнем с оригинальной версии Java от Oracle, ее можно скачать со следующей страницы:\nСкачать JDK Development Kit 17.0.14 downloads\nДля скачивания данного продукта вам понадобится зарубежный IP-адрес и учетная запись Oracle, других ограничений нет, с указанной страницы скачиваем DEB-пакет, на момент написания статьи это был jdk-17.0.14_linux-x64_bin.deb.\nСледующий вариант, который мы использовали, это Liberica JDK, которую долгое время использовало и продолжает использовать сама фирма 1С. Скачать нужную версию Java можно отсюда:\nСкачать Download Liberica JDK\nНикаких ограничений на данной странице нет, просто качаем DEB-пакет нужной версии под Linux.\nИ наконец тем, кому нужен продукт из реестра отечественного ПО или желающим использовать только отечественные продукты следует обратить внимание на Axiom JDK, продукт Axiom Standard JDK бесплатен, однако предоставляется по запросу, получить его можно на официальном сайте:\nСкачать Axiom JDK 17.0.14+10, LTS, Latest\nЗдесь нас также интересует DEB-пакет.\nБудем считать, что вы скачали один из указанных выше пакетов и разместили его на сервере в домашней директории пользователя. В нашем случае это будет Liberica JDK. Подключаемся на сервер и повышаем права до суперпользователя, в Ubuntu для этого выполните:\n1sudo -s В Debian\n1su - Затем перейдем в домашнюю директорию и установим пакет:\n1cd ~ 2apt install ./jdk-17.0.14_linux-x64_bin.deb Обратите внимание, что в последней команде используется имя скачанного пакета и в вашем случае оно может быть иным.\nНа этом установка Java JDK окончена.\nУстановка ПУСК Прежде всего скачаем последний актуальны пакет ПУСК со страницы:\nСкачать Панель Управления Сервисами и Компонентами (ПУСК)\nНа момент написания статьи это версия 1.1.62 от 22.08.2024.\nЗатем нам понадобится набор Java-библиотек для работы с RAS, которые можно получить здесь:\nСкачать Программный Java-интерфейс для административного сервера\nВам следует скачать java-api для версий платформы 8.3.11 и старше.\nОба архива также следует передать на сервер в домашнюю папку пользователя.\nУстановку начнем с распаковки архива с самим ПУСК, сам продукт будет размещаться в /opt, поэтому выполним:\n1cd ~ 2tar -xzvf ite-pusk-1.1.62.tar.gz -C /opt Теперь займемся java-библиотеками от 1С, разработчики зачем-то запаковали их в несколько вложенных архивов, поэтому придется поработать:\n1unzip java-api-8.3.11.zip 2cd java-api-8.3.11/ 3unzip java-api-1.6.7.zip 4cd java-api-1.6.7/ 5unzip com._1c.v8.ibis.admin-1.6.7.zip 6cd com._1c.v8.ibis.admin-1.6.7/ 7cp -r lib /opt/pusk Последняя команда скопирует нужные библиотеки в директорию установки ПУСК.\nПосле чего перейдем в каталог ПУСК и выполним его установку:\n1cd /opt/pusk/ 2./ite-pusk-linux.sh install Теперь пробуем запустить панель:\n1systemctl start ite-pusk После чего набираем в браузере адрес сервера и порт 8080, в нашем случае это 192.168.72.99:8080 и убеждаемся что веб-панель загрузилась. Убедившись в этом можно добавить сервис в автозагрузку:\n1systemctl enable ite-pusk На этом установка панели управления ПУСК закончена, но прежде чем подключать к ней сервера 1С нужно выполнить некоторые подготовительные действия на их стороне.\nУстановка сервера администрирования 1С в виде службы на платформе Windows Чтобы управлять сервером на базе Windows нам потребуется установить и запустить на нем сервер администрирования RAS, для этого воспользуемся BAT-файлом install_ras.cmd, в который внесем следующее содержимое:\n1@echo off 2rem %1 - полный номер версии 1С:Предприятия 3rem %2 - имя сервера (с портом агента 1540) 4rem %3 - порт RAS (1545) 5chcp 1251 6set SrvUserName=LocalSystem 7set SrvUserPwd=\u0026#34;\u0026#34; 8set Agent=%2 9set RASPort=%3 10set SrvcName=\u0026#34;ras %Agent%\u0026#34; 11set BinPath=\u0026#34;\\\u0026#34;C:\\Program Files\\1cv8\\%1\\bin\\ras.exe\\\u0026#34; cluster --service --port=%RASPort% %Agent%\u0026#34; 12set Description=\u0026#34;1C:8.3 RAS %1 %Agent%\u0026#34; 13sc stop %SrvcName% 14sc delete %SrvcName% 15sc create %SrvcName% binPath= %BinPath% start= auto obj= %SrvUserName% password= %SrvUserPwd% displayname= %Description% depend= Dnscache/Tcpip/lanmanworkstation/lanmanserver После чего запустим командную строку от имени администратора и выполним:\n1install_ras.cmd 8.3.25.1501 localhost:1540 1545 Также не забудьте разрешить входящие подключения на порт TCP 1545 в брандмауэре.\nЧтобы удалить регистрацию службы RAS создайте еще один пакетный файл uninstall_ras.cmd с содержимым:\n1@echo off 2rem %1 -имя сервера (с портом агента 1540) 3chcp 1251 4set Agent=%1 5set SrvcName=\u0026#34;ras %Agent%\u0026#34; 6sc stop %SrvcName% 7sc delete %SrvcName% Для остановки и удаления службы выполните в консоли с правами администратора:\n1uninstall_ras.cmd localhost:1540 После удаления службы RAS не забудьте перезагрузить сервер.\nУстановка сервера администрирования 1С в виде службы на платформе Linux Возможно вы удивитесь, но в Linux все делается гораздо проще. Прежде всего сделаем символическую ссылку на systemd-юнит RAS:\n1systemctl link /opt/1cv8/x86_64/8.3.25.1501/ras-8.3.25.1501.service Затем добавим службу в автозагрузку и запустим ее:\n1systemctl enable --now ras-8.3.25.1501 Для удаления службы выполните:\n1systemctl disable --now ras-8.3.25.1501 Приведенная выше команда остановит службу и выключит ее из автозагрузки.\nОбратите внимание, что в командах используется полный номер платформы.\nПодключение серверов 1С:Предприятие в ПУСК Снова возвращаемся в веб-интерфейс ПУСК, который можно найти по адресу сервера и порту 8080, в нашем случае это 192.168.72.99:8080, после чего переходим в раздел Подключения и нажимаем кнопкуДобавить. После чего заполняем поля: Описание - пишем все что угодно, главное, чтобы по нему можно было однозначно понять какой именно сервер перед нами. Ниже в разделе Сервер администрирования 1С (ras) выбираем Уже запущен и указываем адрес нашего сервера 1С:Предприятие. Порт, если вы использовали стандартный 1545 менять не нужно. Аналогичным образом подключаем остальные сервера. Платформа сервера не имеет значения, главное чтобы на нем была запущена служба RAS.\nПосле добавления сервера мы можем начинать работать с ним. На верхнем уровне нас ждет довольно информативная панель статистики. Мы можем сразу увидеть количество соединений к кластеру по типу клиентов и количество выданных лицензий и их номера. Это очень удобно, особенно если вам нужно быстро оценить текущий расход лицензий в разрезе приобретенных комплектов. В остальном рабочее пространство повторяет собой оснастку MMC как по внешнему виду, так и по поведению (насколько это максимально возможно). В целом ПУСК производит приятное впечатление и если вы привыкли работать со стандартной оснасткой, то без проблем освоите и новый инструмент.\nДополнительная SSL и парольная защита Как вы уже могли заменить панель не содержит никаких средств защиты или аутентификации, а значит ею может воспользоваться любой, кто правильно наберет адрес. При этом без всякой дополнительной проверки панель позволяет выполнять деструктивные действия, например, полное удаление информационной базы, включая удаление базы данных на сервере СУБД. Поэтому просто так оставлять подобное положение дел нельзя.\nПоэтому добавим SSL-шифрование и аутентификацию по паролю, для этих целей мы будем использовать веб-сервер Caddy в режиме обратного прокси. Почему именно Caddy? Потому что он быстр и прост, а также обеспечивает надежное шифрование с использованием самых современных стандартов в автоматическом режиме.\nНо сначала внесем некоторые изменения в работу панели ПУСК, в частности ограничим ее работу только на localhost, для этого перейдем в директорию /opt/pusk/data и скопируем файл примера конфигурации:\n1cd /opt/pusk/data 2cp application.properties.sample application.properties Затем откроем файл /opt/pusk/data/application.properties и ниже опции:\n1server.port=${PORT:8080} Добавим:\n1server.address=127.0.0.1 Перезапустим панель:\n1systemctl restart ite-pusk И убедимся что снаружи она недоступна, но работает на адресе 127.0.0.1, для этого выполните команду:\n1ss -tpln | grep 8080 Если все сделано правильно, то в выводе вы увидите строку:\n1LISTEN 0 100 [::ffff:127.0.0.1]:8080 *:* users:((\u0026#34;java\u0026#34;,pid=844,fd=18)) Теперь установим веб-сервер Caddy:\n1apt install caddy Затем сформируем хеш пароля при помощи команды:\n1caddy hash-password После ее запуска вам потребуется два раза ввести пароль и вы получите строку хеша к нему, сохраните ее.\nТак как мы используем SSL шифрование, то правила хорошего тона требуют использования доменного имени, поэтому мы советуем завести на локальном DNS сопоставление локального FQDN адресу сервера, в нашем случае мы выбрали имя pusk.example.com, но на всякий случай сохранили и возможность входа по IP-адресу 192.168.72.99. В качестве имени для входа мы будем использовать имя pusk.\nОткроем на редактирование файл /etc/caddy/Caddyfile и приведем его содержимое к следующему виду:\n1pusk.example.com 192.168.72.99 { 2 basicauth { 3 pusk \u0026lt;PASS_HASH\u0026gt; 4 } 5 tls internal 6 file_server 7 reverse_proxy 127.0.0.1:8080 8} Обратите внимание, что отступы в файле формируются сугубо при помощи табуляции и следует использовать два - четыре - шесть и т.д. отступов, в противном случае вы получите предупреждение о некорректном форматировании конфигурационного файла.\nКоротко пройдемся по опциям:\nИнформация Важно! Начиная с версии Caddy 2.8.0 и новее вместо опции basicauth следует использовать basic_auth\nСохраняем конфигурацию и перезапускаем веб-сервер:\n1systemctl reload caddy После чего убеждаемся, что панель доступна теперь только по защищенному соединению и для доступа к ней вам потребуется пройти аутентификацию. Теперь для доступа к панели просто указываем имя домена или IP-адрес без указания порта.\nИзвестные проблемы Большинство задач по обслуживанию сервера 1С:Предприятие выполняется без необходимости аутентификации в информационных базах, но ряд задач, например, установки блокировки начала сеансов или блокировки регламентных заданий такую аутентификацию требуют. После чего ПУСК будет пытаться выполнить аутентификацию с указанными учетными данными в каждую из информационных баз кластера. На скриншоте ниже зеленым цветом обозначены базы в которых аутентификация выполнена и серым в которых она не прошла. При этом во всех современных релизах конфигураций включена блокировка по ошибочному вводу учетных данных, по умолчанию допускается три попытки ввода и блокировка на 5 минут. Таким образом, если у вас в кластере есть базы с одинаковым именем административного пользователя, обычно Администратор и разными паролями, то после входа в одну из них остальные окажутся перманентно заблокированными. Данная ошибка была выявлена еще на этапе бета-тестирования в 2022 году, но, к сожалению, до сих пор не исправлена.\nКакие обходные пути у этой проблемы? Их несколько:\nЧтобы реализовать последний сценарий откройте информационную базу в разделе Администрирование - Настройки пользователей и прав, затем перейдите в Настройки входа и на закладке Дополнительные снимите флаг Количество попыток ввода пароля до блокировки. В более старых релизах снять этот флаг не представляется возможным, в этом случае укажите количество попыток равными нулю. Какой из этих способов использовать - смотрите сами, также можно их комбинировать для разных информационных баз.\nИ все таки, не смотря на некоторые недостатки, ПУСК остается удобным инструментом для консолидированного управления вашими серверами 1С:Предприятие из единого места и с использованием любой платформы.\n","id":"879076374604343ef5addfaf22acf94e","link":"https://interface31.ru/post/ustanavlivaem-i-nastraivaem-pusk---panel-upravleniya-servisami-i-komponentami-dlya-1spredpriyatie/","section":"post","tags":["1С Предприятие 8.х","Caddy","Java","RAS","SSL","ПУСК"],"title":"Устанавливаем и настраиваем ПУСК - Панель Управления Сервисами и Компонентами для 1С:Предприятие"},{"body":"Кнопка \u0026quot;Пуск\u0026quot; равно как одноименное меню, впервые появившись в 1995 году стали символами не только Windows, но и персонального компьютера в целом, задав на долгие годы тон в развитии пользовательских интерфейсов. В этом году Пуск будет праздновать тридцатилетний юбилей и поэтому мы решили выпустить продолжение нашей статьи десятилетней давности и посмотреть, что изменилось после выхода Windows 10 и Windows 11, какие вершины были достигнуты и какие неоднозначные решения приняты. Ну и в целом понять как и куда мы пришли.\nКраткое предисловие Чтобы полностью окунуться в историю кнопки и меню \u0026quot;Пуск\u0026quot; мы советуем прочитать нашу предыдущую статью в которой мы рассмотрели предысторию и историю данной кнопки и меню начиная с Windows 95 и заканчивая Windows 8 с ее неоднозначными решениями.\nРекомендуем к прочтению История кнопки и меню \u0026quot;Пуск\u0026quot; Поэтому начнем мы с того, на чем закончили предыдущую статью. В Windows 8 разработчики решили решительно порвать со всем старым и ворваться на рынок мобильных систем, предоставив для этого единую платформу на базе Windows. Получилось ожидаемо плохо, больше всего пострадали пользователи Windows, у которых сначала отобрали и кнопку \u0026quot;Пуск\u0026quot; и одноименное меню, заменив полноэкранным плиточным недоразумением, потом, в Windows 8.1 кнопку вернули, но вела она на тот же плиточный экран.\nВ общем, пользователи новшества не оценили и Windows 8 вполне может побороться за второе месте в рейтинге самых неудачных ОС от Microsoft после лидирующего в этом списке Windows Vista, хотя именно Vista принесла нам новое меню и новые возможности панели задач, которые потом были развиты в Windows 7, завоевавшей любовь и признание пользователей по всему миру.\nВорваться на мобильный рынок у Microsoft не получилось, даже наоборот, но это отдельная и весьма печальная история, мы же продолжим рассматривать настольные ОС. Так скоро стало понятно, что концепция общей для всех устройств системы не выстрелила и на десктопе пользователи предпочитают использовать десктопные приложения игнорируя все \u0026quot;современные\u0026quot; потуги Microsoft.\nПоэтому оказалось, что хоронить классические приложения и классический рабочий стол рано и начался процесс переосмысления концепции рабочего пространства с учетом полученного опыта. Тем более, что окружающий мир в очередной раз изменился, выросли как диагонали, так и разрешения и классический интерфейс зачастую смотрелся слишком мелким. Стало понятно, что плитки в общем-то и неплохи, только надо найти правильное их сочетание с привычной рабочей моделью.\nВ итоге решили вернуться к старому доброму двустворчатому меню, левая часть которого осталась без особых изменений, а в правой поместили плитки, в первых прототипах Windows 10 это выглядело как будто к классическому меню просто пристыковали кусок плиточного интерфейса. Несмотря на неказистый первоначальный вид идея оказалась стоящий и дальнейшее развитие меню пошло именно в этом направлении.\nWindows 10 Threshold Первый релиз Windows 10 получивший номер версии 15.07 был выпущен 29.07.2015 и был более похож на публичную бета-версию, да и по сути так оно и было. В какой-то момент в Microsoft решили, что степень готовности системы достаточна для ее публичного выпуска и сформировали на основании текущего среза релиз. Но уже осенью, 10.11.2015 вышел следующий релиз 15.11, исправлявший многие детские болезни. Оба выпуска имели кодовое обозначение Threshold, публичного наименования первого выпуска не было, а второе получило простое и незамысловатое November Update (Ноябрьское обновление).\nНовая система получила новое меню и новую панель задач. Идею первых прототипов довели до ума и прилично усовершенствовали. Теперь в левой части меню у нас был список часто используемых программ, ниже область переходов, позволяющая получить доступ к размещениям данных, приложению Параметры и выключению компьютера, для доступа ко всем программам нужно было нажать на самую нижнюю плитку. Правую часть меню занимали плитки, по умолчанию предлагалось два блока 3*3 плитки, заполненные самыми полезными, по мнению Microsoft, программами. Фактически все вернулось на круги своя, к классической концепции меню Пуск, только в современном его прочтении и хотя система все еще сильно напоминает Windows 8, тупиковость идей последней в отказе от Рабочего стола осознана и эксперимент было решено свернуть. Но свернуть - не значит полностью отвергнуть, удачные находки, те же плитки, решено было оставить. На скриншоте мы видим плитки двух размеров: средние и широкие. Еще были мелкие, размером в 1/4 средней плитки и большие, занимавшие площадь четырех средних плиток, что давало широкие возможности по кастомизации плиточной части меню.\nПри нажатии на кнопку все программы появлялся список всех установленных программ отсортированных по алфавиту. его отображение тоже сильно напоминало Windows 8, каждая иконка располагается на небольшой плитке. Также нет единого стиля размещения программ (как такового его нет до сих пор), какие-то программы собраны в отдельные папки, а какие-то равномерно размазаны по меню Пуск. Но все исправляет плиточная часть меню, здесь мы можем разместить все что нам надо, при этом размеры меню можно произвольно менять, просто перетаскивая его мышью. Так для FHD экранов можно растянуть меню таким образом, что в нем получится закрепить 4 блока по 3 плитки по горизонтали и 2 блока по 3 плитки по вертикали, плюс еще одна, которая будет видна без прокрутки. Итого 84 плитки стандартного размера, что вполне достаточно, чтобы разместить все нужные программы и даже не очень нужные и совсем-совсем не нужные, если задействовать мелкие плитки, которых на месте стандартной плитки можно разместить целых четыре. Кстати, если вам ну совсем никак не нравятся плитки, то вы могли просто их открепить от начального экрана и сделать вот так:\nПанель задач тоже подверглась некоторому переосмыслению, боковая панель Windows 8 плавно превратилась в панель уведомлений, но в целом это все та же привычная панель, разве что более современная, так, например, аналоговые часы и довольно мелкий календарик Windows 7 были заменены крупным и удобным виджетом. И это не прихоть, к выходу Windows 10 FHD стал основным типом мониторов, а на подходе уже были 2K и 4K, что требовало пересмотра интерфейса в сторону его лучшей масштабируемости. Настроек в классической части меню \u0026quot;кот наплакал\u0026quot;, что и немудрено, большинство из них переместилось в новое приложение Параметры. Если честно, то это беда всех выпусков Windows 10, когда настройки были раскиданы по двум местам: классической Панели управления и современным Параметрам, более-менее задачу консолидации настроек в единственном месте решили только в Windows 11. Поиск также остался частью возможностей меню, теперь можно было просто открыть Пуск и начать набирать первые буквы названия программы или перейти в это же место нажав кнопку поиска на панели задач.\nВ выпуске 15.11 количество и состав плиток по умолчанию изменился, при этом меню формировалось динамически, в зависимости от языка и местоположения системы и если в английском варианте все выглядело достаточно прилично, то в русской редакции плитки оказались разбросаны как попало. В остальном каких-либо значимых изменений не было, но важен оказался сам факт возвращения меню Пуск и классического рабочего стола в новую ОС, что позволило Windows 10 вновь завоевать популярность пользователей.\nWindows 10 Redstone Следующее крупное семейство Windows 10, включающее в себя выпуски от 1607 до 1809 с которого и началось знакомство подавляющего большинства пользователей с новой системой. К выпуску 1607 система была серьезно доработана и перешла в стабильное состояние а также обрела привычный и теперь уже классический вид. На первый взгляд может показаться, что ничего особо не изменилось, но это не так. Во-первых список установленных программ теперь представлен в левой части меню сразу, не нужно дополнительно никуда нажимать, только прокручивай. Область переходов убрали, слева остались только кнопки перехода к профилю, параметрам и управлению питания, хотя туда же можно добавить ссылки на стандартные папки Документы, Загрузки, Видео и т.д.\nВ панели задач кнопка панели уведомлений заняла крайнее правое положение, теперь ее не нужно искать, достаточно направить мышь в нижний правый угол, что вполне логично и удобно. К часа добавился простой календарик, куда мы можем добавлять события и получать соответствующие уведомления. Да, это не полноценный планировщик, но позволяет не забыть, что сегодня вечером у вас блины у тещи, а не пиво с друзьями в ближайшем баре. В параметрах поиска теперь стали показываться не только найденные приложения, но и связанные с ними настройки. В течении всего трехлетнего существования линейки Redstone революционных изменений в меню не было, но были эволюционные. Если мы посмотрим на меню выпуска 18.09 то увидим кроме иного набора плиток сразу включенные переходы в расположения Документы и Изображения. Также серьезно был доработан поиск, теперь в результатах поиска кроме самих программ предлагается гораздо больше связанных с запросом настроек и можно сразу отсюда выполнить поиск в интернете, а также при наведении на программу справа появляется ее описание и целый набор доступных действий. Здесь можно как запустить программу, в т.ч. и с повышенными правами, но также перейти к ее расположению, добавить на панель задач или начальный экран. В целом семейство Redstone сформировало законченный образ новой операционной системы, здесь же оформились ее основные черты, характерные именно для Windows 10. Этот же период совпал с бурным ростом пользовательской базы и именно с такой системой познакомились многие новые пользователи.\nWindows 10 1903 и новее Начиная с выпуска 1903 в Microsoft отказались от разделения выпусков на отдельные семейства и перешли к непрерывной разработке с единой кодовой базой, а все функции новых выпусков с обновлениями доставлялись и в старые, поэтому переход с одной редакции на другую фактически представлял собой некий тумблер, который просто включал при перезагрузке отключенную функциональность и настраивал ее.\nКаких либо революционных изменений меню Пуск и панели управления не произошло, на первый взгляд все тоже самое, но не совсем. В дизайне был применен новый стиль Fluent Design, который добавил теней, размытия, прозрачности и полутонов. Даже на скриншоте ниже можно заметить, что картинка стала мягче и более приятна глазу. Также обращают на себя внимание новые, более легкие и светлые обои по умолчанию. Впервые появилась возможность группировать плитки простым перетаскиванем их друг на друга как в мобильных интерфейсах, обратите внимание на блок приложений Office в середине верхнего ряда. Но главная особенность этого выпуска - светлая тема дизайна. Это был огромный шаг вперед, до этого пользователям приходилось довольствоваться темным, достаточно мрачным и тяжеловесным интерфейсом, теперь же появился выбор, да и темная тема стала более мягкой. При этом произошел отказ от простых цветов к оттенкам и полутонам, несложно заметить, что цвет меню зависит как от низлежащей картинки, так и выбранного в настройках основного цвета (по умолчанию синий). Получилось достаточно неплохо, также подобным образом были разбавлены многие одноцветные экраны, например приложения Параметры. Поиск также привели к общему стилю системы, в темной теме теперь и страница поиска темная, кроме того по умолчанию на панели задач появилась строка поиска, но ее можно заменить как на кнопку поиска, так и совсем убрать. Следующее крупное изменение внешнего вида меню Пуск произошло в выпуске 20H2, здесь решили отказаться от последнего пережитка Windows 8 - цветной подложки плиток и монохромных иконок. Теперь в темном варианте темы плитки стали серыми, за редким исключением, скажем плиток Office или карточного набора игр. Также пропало основание в виде цветной плитки у программ в списке слева. В светлой теме плитки также стали светлыми, что добавило системе единообразия и более спокойного и выдержанного визуального стиля, без обилия ярких красок. Но подождите, скажет внимательный читатель, вы говорили об отказе от одноцветных иконок, но здесь они по прежнему одноцветные, да это так и не только в 20H2, но и более поздних выпусках. Но чтобы это исправить нужно всего лишь дождаться обновления этих приложений, но есть одна тонкость, они обновляются не через Windows Update, а через магазин Windows Store, кстати мы можем зайти в него и ускорить этот процесс. После чего у вас появятся красивые разноцветные иконки приложений. Также с обновлениями изменится и настройка рабочего стола, вместо стандартных обоев автоматически появятся красивые фотографии из раздела Windows Интересное. Такая настройка будет автоматически применена ко всем поддерживаемым ОС, включая и Windows 11. Таким образом интерфейс системы и меню Пуск начиная с 20H2 пришли к современному виду и более не изменялись. Без преувеличения можно назвать данный вариант меню Пуск одним из самых лучших и удобных. Реализована система доступа к программам в один клик - просто нажимаем на Пуск и либо выбираем их из плиток на начальном экране, либо в списке слева.\nПоиск ищет по запросу не только программы, но и параметры, а также предлагает результаты из интернета. И все это достаточно гибко настраивается, панель задач можно прикрепить к любой стороне экрана, а плитки в меню Пуск настроить по собственному усмотрению, либо полностью отказаться от них.\nWindows 11 Мобильные системы можно назвать современным проклятием Microsoft, именно после попытки объединить мобильную и настольную платформу возник Windows 8, но правильных выводов из ситуации сделано не было. В 2020 году появилась информация о разработке новой мобильной системы Windows 10 X, а в магазине даже можно было скачать ее эмулятор для разработчиков. Ничего не напоминает? А дальше классика жанра: мобильная система так и не вышла, но стали анонсировать новое большое обновление Windows 10 с новым дизайном, которое плавно перешло в выпуск новой настольной ОС Windows 11 осенью 2021 года. Новая система унаследовала дизайн Windows 10 X (действительно, не пропадать же добру) и после развитого, удобного и гибко настраиваемого меню Пуск предшественницы новые решения не вызвали ничего кроме глухого недоумения. Нет, на первый взгляд дизайн довольно свежий и современный, но это пока не начать им пользоваться. Что мы видим? А видим мы сетку 6*3, т.е. новое меню Пуск может содержать только 18 приложений, что катастрофически мало. Зато внизу немногим меньше места занимает бестолковый и бесполезный блок Рекомендуем. Почему бестолковый? Потому что \u0026quot;рекомендует\u0026quot; он тупо последние открытые документы и никакого способа изменить поведение этого блока нет. Кроме того, он может показывать совсем нежелательные вещи, например, личные финансовые или медицинские документы, что может доставить неудобства, если компьютер общего пользования и за него могут сесть ваши друзья или родственники.\nПро концепцию доступа в один клик, которая была реализована в Windows 10 речи также не идет, теперь вам нужно нажать на кнопку Все приложения и перейти на отдельный экран, который выглядит весьма убого, демонстрируя много свободного, ничем не занятого места. Все, что как-то смягчает ситуацию - это поиск, он столь же мощный и удобный, как говорится - единственное, что не сумели сломать. Изменения претерпели и Проводник и Панель задач. И все изменения неоднозначные, где-то сделали лучше, а где-то совсем наоборот. Группировка блоков панели задач - однозначный плюс, но из календарика убрали быстрый переход к планировщику. Нет, вы по прежнему можете планировать события и создавать уведомления, но для этого вам придется запустить отдельное приложение Календарь. И подобных примеров очень много. Настройки? Забудьте это слово, здесь их решительно нет. Все что вы можете - это переместить кнопку и меню из центра к левому краю, сделав интерфейс более походим на классический. Ну и так, настроить видимость отдельных кнопок. Сама панель \u0026quot;гвоздями прибита\u0026quot; к нижнему краю экрана, переместить ее невозможно, хотя это было доступно во всех версиях Windows, начиная с Windows 95. Еще одна тема, в которой Microsoft бросает из крайности в крайность - это виджеты. Впервые они появились в Windows Vista, где их можно было располагать сугубо в пределах панели виджетов у правого края экрана, в Window 7 появилась возможность произвольно их размещать на экране, но в Windows 8 и Windows 10 от них по непонятным причинам отказались. Теперь новая реинкарнация, теперь в виде мини-приложений на отдельной панели, вызываемых отдельной кнопкой. Только вот смысла в них исчезающе мало, чтобы посмотреть погоду или новости вместо панели мини-приложений проще и эффективнее открыть браузер. После Windows 10 подобные ограничений вызывали только недоумение и глухое недовольство, это был не очередной провал, но достаточно близко к этому. Но переигрывать - это не в стиле Microsoft, хотя кое какие выводы они сделали и в следующем выпуске Windows 11 22H2 серьезно подтянули возможности меню Пуск. Теперь мы можем выбрать что хотим больше видеть: приложения или рекомендации. Теперь стало возможным закрепить в меню Пуск уже 24 приложения, также добавили возможность группировки перетаскиванием, что сделало меню более-менее приемлемым для повседневного использования. Появились контекстные меню настройки, а при правом клике на Панель задач вернули возможность запустить Диспетчер задач. Кардинально эти доработки ситуацию не изменили, меню Пуск и Панель задач в Windows 11 как были, так и остаются убогими и ограниченными, но хотя бы стали более-менее, если не удобными, то не вызывающими неудобств при использовании. Хотя назвать Windows 11 полностью провальной и неудобной нельзя, в ней были существенно доработаны многие стандартные приложения, много улучшений в интерфейсе, те же вкладки в Проводнике или новое контекстное меню, более простое и не перегруженное. Однако на этом развитие пользовательского интерфейса Windows 11 остановилось, выпуски 23H2 и 24H2 не принесли ничего нового. Почему? Тут два варианта. Возможно разработчики посчитали, что достигли определенного уровня совершенства, либо в очередной раз осознали тупиковость этого пути и готовят нам в новой версии ОС что-то новое, или хорошо забытое старое. Ну что же, поживем - увидим.\n","id":"d31e7d02f2b726380dea0c2bca6ae972","link":"https://interface31.ru/post/istoriya-knopki-i-menyu-pusk-prodolzhenie/","section":"post","tags":["Microsoft","Windows","Рабочее место"],"title":"История кнопки и меню \"Пуск\". Продолжение"},{"body":"Веб-сервер Caddy сравнительно молодой и новый игрок на рынке веб-серверов, первый выпуск был опубликован в 2015 году, а используемая сейчас вторая версия вышла в 2020 году. Caddy написан на Go и активно развивается, в его основе лежат современные подходы к реализации веб-серверов, а именно простота и защищенность. В отличие от других веб-серверов Caddy из коробки рассчитан на работу с HTTPS и имеет интеграцию с Let's Encrypt, позволяя автоматически получать и продлять сертификаты, а также он весьма прост в настройке, в чем мы скоро убедимся.\nИтак, зачем вам нужено именно Caddy и что такого он дает по сравнению с Apache или Nginx? Как мы уже сказали выше - простоту и безопасность. Вам не нужно настраивать параметры шифрования и использования протоколов, Caddy все сделает из коробки, причем наилучшим образом, с использованием самых современных технологий. Да и сама конфигурация предельно проста, вам нужно задать минимум опций для получения рабочего сервера, но при этом вы можете достаточно гибко управлять им, переопределяя необходимые параметры.\nК недостаткам можно отнести недостаточное количество материалов на русском языке и плохое знание синтаксиса Caddy со стороны нейросетей, которые довольно популярны в последнее время. Но если вы имеете опыт работы с другими веб-серверами и владеете английским со словарем, то официальной документации вполне достаточно, тем более что она изобилует примерами.\nДля установки мы будем использовать последние версии популярных систем Debian 12 и Ubuntu 24.04 LTS, принципиального отличия они не имеют и содержат актуальные версии, что позволит развернуть веб-сервер штатными средствами без подключения дополнительных репозиториев. Набор используемого ПО таков:\nВсе команды, если не указано иного, следует выполнять с правами суперпользователя root или через sudo.\nВ качестве примера имени сайта мы будем использовать:\nИх следует заменить на реальное доменное имя, которое вы будете использовать.\nУстановка и базовая настройка веб-сервера Caddy Установка сервера производится одной простой командой:\n1apt install caddy Теперь если набрать в адресной строке браузера адрес веб-сервера, то вы увидите стандартную страницу-заглушку, это обозначает, что веб-сервер установлен и работает. Кстати, данная страница содержит краткую инструкцию по запуску веб-сервера, это все, что достаточно выполнить для получения работающего и безопасного современного сайта. Просто? Очень просто. Но мы выполним более тонкую настройку.\nВнутренний формат конфигурации веб-сервера хранится в формате JSON и ей можно управлять онлайн через REST API, также доступен и более классический формат настройки через файл конфигурации, для этого используется конфигурационный файл /etc/caddy/Caddyfile. Он уже содержит пример конфигурации и нам следует его только откорректировать. Обратите внимание, что отступы в файле формируются сугубо при помощи табуляции и следует использовать два - четыре - шесть и т.д. отступов, в противном случае вы получите предупреждение о некорректном форматировании конфигурационного файла.\nИтак, откроем на редактирование конфигурационный файл и заменим в нем :80 на адрес нашего сайта:\n1site.example { Подобная запись обозначает, что для сайта будет автоматически получен сертификат Let's Encrypt при использовании существующего домена или самоподписанный для несуществующих доменов. Теперь укажем путь к корневой директории сайта:\n1root * /var/www/site.example Следующий параметр включает для виртуального хоста отдачу статики:\n1file_server В целом этого уже достаточно для работы, но мы добавим еще несколько опций, прежде всего включим сжатие, причем предлагать будем не только классический zip, но и современный zstd, форматы перечислены в порядке предпочтения и согласовываются с клиентом.\n1encode zstd gzip Также укажем параметры логирования:\n1log { 2 output file /var/log/caddy/site.example.log 3 format console 4 } Затем ниже последней закрывающей фигурной скобки добавим еще один виртуальный хост для сайта с www, который мы будем переправлять на основной сайт:\n1www.site.example { 2 redir https://site.example{uri} 3} Перезапускаем веб-сервер командой:\n1systemctl reload caddy Теперь создадим указанные в конфигурации папки:\n1mkdir -p mkdir /var/www/site.example И сделаем их владельцем веб-сервер:\n1chown -R www-data:www-data /var/www/ В корневую директорию сайта добавим индексный файл:\n1nano /var/www/site.example/index.html И внесем в него следующее содержимое:\n1\u0026lt;body\u0026gt;\u0026lt;h1\u0026gt;OK!\u0026lt;/h1\u0026gt;\u0026lt;/body\u0026gt; Теперь заходим на наш сайт, мы будем автоматически направлены на HTTPS версию и можем убедиться, что сайт получил сертификат от Let's Encrypt, а также использует (при поддержке со стороны браузера) TLS 1.3 и HTTP/3. На этом настройка веб-сервера Caddy закончена, если проверить его на ssllabs.com, то получим рейтинг А. Если вы хотите получить рейтинг A+, то следует добавить страницам сайта заголовок, который включит HSTS (HTTP Strict Transport Security) - механизм принудительно включающий соединение с сайтом по HTTPS, если ранее такое соединение уже было установлено. Технически это не обязательно, так как Caddy автоматически пересылает все HTTP запросы на HTTPS версию сайта, но если вы хотите рейтинг A+ (скажем, сдаете сайт заказчику), то в секцию виртуального хоста добавьте:\n1header { 2 Strict-Transport-Security max-age=31536000; 3 } После чего перезапустите веб-сервер. Просто? Просто и быстро. В этом основное преимущество Caddy, вам не нужны километры строк в конфигурации, все современные технологии вы получаете из коробки. Единственный минус - совместимость со старыми системами, так как Caddy автоматически отключает устаревшие протоколы и шифры.\nУстановка и настройка PHP-FPM Для работы с динамическим содержимым нам потребуется поддержка PHP, скриптового языка, на котором написано большинство современных систем управления контентом (CMS), также называемых движками сайтов. Caddy не имеет собственного менеджера процессов, поэтому мы будем использовать для этой цели PHP-FPM. Установим его:\n1apt install php-fpm Затем перейдем в /etc/php/8.3/fpm/php.ini (обратите внимание, что в пути следует указать версию установленного PHP) и откорректируем некоторые параметры. Прежде всего найдем, раскомментируем и приведем к следующему виду опцию:\n1cgi.fix_pathinfo=0 Затем установим максимальный размер отправляемого запроса:\n1post_max_size = 32M И максимальный размер загружаемого файла, он должен быть меньше или равен размеру отправляемого запроса:\n1upload_max_filesize = 30M Сохраняем изменения и перезапускаем службу (также на забывайте про номер версии):\n1systemctl restart php8.3-fpm Для работы с PHP добавим виртуальному хосту в Caddyfile следующие опции:\n1php_fastcgi unix//run/php/php-fpm.sock Сохраняем изменения и перезапускаем веб-сервер:\n1systemctl reload caddy Для проверки работы PHP создадим специальный файл:\n1nano /var/www/site.examlpe/info.php И внесем в него следующий текст:\n1\u0026lt;?php 2 phpinfo(); 3?\u0026gt; Если теперь в адресной строке браузера набрать site.example/info.php то увидим стандартную страницу с информацией о PHP, его настройках и установленных модулях. Модули предназначены для расширения возможностей PHP и их необходимый набор следует уточнять в требованиях вашего веб-приложения, мы же установим набор самых часто используемых и необходимых:\n1apt install php-mbstring php-zip php-gd php-json php-curl php-imagick php-mysql php-intl На этом установка и настройка PHP-FPM закончена.\nУстановка MySQL / MariaDB Сервер баз данных третий неотъемлемый компонент классического веб-сервера и один из первых по важности, так как именно в базе данных хранится основная пользовательская информация сайта. В современных версиях Debian и Ubuntu используются разные варианты СУБД: MariaDB и MySQL, которые являются совместимыми и принципиально разницы какую из них использовать нет, тем более что в репозиториях содержатся последние LTS-версии обоих СУБД. Поэтому будем устанавливать версии из репозитория, что упростит дальнейшую поддержку и обслуживание сервера.\nДля Debian это будет команда:\n1apt install mariadb-server А для Ubuntu:\n1apt install mysql-server В дальнейшем в обоих системах для управления можно использовать один и тот же набор команд:\n1systemctl start | stop | restart | status mysql Вне зависимости от того, какую именно версию СУБД вы используете.\nПосле установки сервера баз данных следует выполнить скрипт, который выполнит рекомендуемые настройки безопасности установленного экземпляра сервера:\n1mysql_secure_installation В нем положительно отвечаем на все вопросы, кроме смены пароля суперпользователя СУБД root, в текущем режиме установки учетная запись root не имеет пароля и поддерживает вход исключительно через UNIX-сокет, поэтому не следует ее включать.\nТеперь выполним некоторые настройки самого сервера СУБД, для этого перейдем в командную строку MySQL в режиме суперпользователя:\n1mysql -u root В первую очередь создадим пользователей СУБД и разрешим им вход по паролю:\n1CREATE USER \u0026#39;andrey\u0026#39;@\u0026#39;localhost\u0026#39; IDENTIFIED BY \u0026#39;Pa$$word_1\u0026#39;; После чего отберем у него права на чужие базы:\n1GRANT USAGE ON *.* TO \u0026#39;andrey\u0026#39;@\u0026#39;localhost\u0026#39;; А затем выдадим полные права на все базы с шаблоном имени andrey_\u0026lt;имя базы\u0026gt;, что позволит автоматически устанавливать права просто создав базу с нужным именем.\n1GRANT ALL PRIVILEGES ON `andrey\\_%`.* TO \u0026#39;andrey\u0026#39;@\u0026#39;localhost\u0026#39;; Обратите внимание, что шаблон оборачивается символами грависа (`), который находится на клавише с русской буквой Ё.\nПерезагрузим привилегии:\n1FLUSH PRIVILEGES; И выйдем из консоли MySQL:\n1QUIT; На этом настройка сервера СУБД закончена.\nУстановка phpMyAdmin phpMyAdmin - удобное веб-приложение для управления СУБД MySQL / MariaDB и, по сути, стандарт де-факто среди таких приложений, его использование для повседневной работы с СУБД повышает общее удобство, по сравнению с консолью и поэтому мы не видим причин отказывать от его использования.\nДля его установки используйте команду:\n1apt install phpmyadmin После чего добавьте виртуальному хосту в Caddyfile следующие настройки:\n1root /phpmyadmin/* /usr/share/phpmyadmin 2 3redir /phpmyadmin /phpmyadmin/ permanent 4uri /phpmyadmin/* strip_prefix /phpmyadmin Которые обеспечат правильное направление всех запросов с адресом phpmyadmin к нужной корневой директории веб-приложения.\nПерезапускаем веб-сервер:\n1systemctl reload caddy И переходим по адресу site.example/phpmyadmin: На этом настройка веб-сервера на базе Caddy + PHP + MySQL с сертификатами Let's Encrypt закончена.\n","id":"1387d7aff5db7b81b36f20cad8b70bfe","link":"https://interface31.ru/post/nastraivaem-veb-server-caddy-php-mysql-s-sertifikatami-lets-encrypt/","section":"post","tags":["Caddy","Debian","Let's Encrypt","MySQL","PHP","phpMyAdmin","SSL","Ubuntu Server","Web-сервер","Безопасность","Сайт"],"title":"Настраиваем веб-сервер Caddy + PHP + MySQL с сертификатами Let's Encrypt"},{"body":"1. Общие положения 1.1. Настоящая Политика конфиденциальности определяет порядок обработки и защиты информации, которую мы собираем при использовании сайта interface31.ru (далее — Сайт). 1.2. Мы обязуемся обеспечивать конфиденциальность и защиту данных пользователей в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».\n2. Сбор и использование информации 2.1. Мы можем собирать и обрабатывать следующие данные:\nТехнические данные: IP-адрес, данные о файлах cookie, типе браузера, операционной системе, времени доступа и посещенных страницах. Данные, предоставляемые пользователем: Имя и адрес электронной почты (email), которые пользователь добровольно вводит при заполнении форм обратной связи на базе сервиса «Яндекс Формы». 2.2. Технические данные используются для анализа посещаемости и улучшения работы Сайта. Данные из форм используются исключительно для связи с пользователем и предоставления ответа на его запрос. Данные не используются для маркетинговых рассылок и не передаются третьим лицам, за исключением случаев технической обработки запроса через сервисы-посредники. 3. Файлы cookie 3.1. На Сайте используются файлы cookie для обеспечения корректной работы сервисов веб-аналитики. 3.2. Пользователь имеет возможность отключить cookie в настройках своего браузера, однако это может привести к ограничению функциональности некоторых разделов Сайта.\n4. Передача данных третьим лицам 4.1. Мы не передаем ваши персональные данные третьим лицам без вашего согласия, за исключением случаев, прямо предусмотренных законодательством РФ. 4.2. Для обеспечения работы и анализа Сайта используются сторонние сервисы. Используя Сайт, вы также соглашаетесь с политиками конфиденциальности данных сервисов:\nЯндекс Метрика — для анализа активности пользователей (используются обезличенные данные). Яндекс Формы — для приема обращений. Данные передаются и хранятся в инфраструктуре ООО «ЯНДЕКС». 5. Сроки обработки и безопасность 5.1. Обработка персональных данных осуществляется до достижения целей их обработки, но не дольше, чем это требуется для предоставления ответа, либо до момента отзыва согласия пользователем. 5.2. Мы принимаем необходимые организационные и технические меры для защиты персональной информации от неправомерного или случайного доступа, уничтожения, изменения или блокирования.\n6. Права пользователей 6.1. Вы имеете право на получение информации, касающейся обработки ваших персональных данных. Вы можете в любой момент отозвать свое согласие на обработку, а также требовать уточнения, блокирования или уничтожения данных, направив уведомление по электронной почте.\n7. Контактная информация 7.1. По всем вопросам, связанным с настоящей Политикой, вы можете связаться с нами по адресу электронной почты: info@interface31.ru или через форму обратной связи на Сайте.\n","id":"307e993dd731021258e8bcc91828a4df","link":"https://interface31.ru/privacy-policy/","section":"","tags":null,"title":"Политика конфиденциальности"},{"body":"Каждый раз, когда возникает речь о дистрибутиве для начинающих пользователей Linux вспоминают Mint, также он постоянно занимает топ в рейтинге DistroWatch, но, по стечению обстоятельств, так и не удосужился обзора на нашем сайте. Поэтому мы решили исправить это досадное упущение и рассмотреть новый выпуск Mint 22 Wilma, вышедший этим летом и постараться понять, почему именно Mint называют лучшим дистрибутивом для новичков. А заодно рассмотрим оболочку рабочего стола Cinnamon, разработанную специально для Linux Mint и без которой этот дистрибутив трудно представить.\nLinux Mint появился в далеком 2006 году как еще один дистрибутив на базе Ubuntu целью которого было предоставление \u0026quot;современной, элегантной и удобной операционной системы, которая одновременно является мощной и простой в использовании\u0026quot;. С тех пор система прошла множество изменений и в настоящий момент использует двухлетний релизный цикл используя в качестве основы только LTS версии Ubuntu.\nНо это не просто еще один дистрибутив, система имеет ряд отличий от исходного дистрибутива и предлагает по умолчанию собственную среду рабочего стола - Cinnamon. Это оболочка на базе рабочего стола GNOME, которая в отличие от своего родителя использует классический подход в построении интерфейса системы и простоты его использования.\nНомера дистрибутивов состоят из целых чисел и присваиваются последовательно, без привязки к году выпуска, поэтому Mint 22 - это просто 22-й выпуск дистрибутива и никак не привязан к 2022 году, кроме этого каждый дистрибутив имеет кодовое наименование состоящее из женского имени на новую букву, данный дистрибутив имеет собственное имя Wilma.\nНа этом краткую теоретическую часть закончим и перейдем к практическому знакомству, начнем с процесса установки. Он несложен, в качестве инсталлятора используется известный открытый проект Calamares, известный нам по другим дистрибутивам. Сам же инсталляционный диск традиционно загружается в Live-режиме, что дает возможность оценить совместимость системы с оборудованием еще до ее установки. Процесс установки построен в современном стиле: сначала собираем все ответы на вопросы, потом устанавливаем систему. Постоянно сидеть перед монитором и отвечать на вопросы не нужно, можно пойти пить кофе или посмотреть слайды, которые рассказывают об основных достоинствах системы. Установка не занимает много времени и после перезагрузки нас встречает достаточно стильное окно входа в систему. А мы помним, что встречают у нас \u0026quot;по одежке\u0026quot; и с этим у Linux Mint и Cinnamom все в порядке. После входа в систему нас встречает окно с заголовком Добро пожаловать, но в отличие от других систем оно максимально сконцентрировано на самых важных первоначальных действиях, начиная от кастомизации. И не нужно смеяться, очень и очень многие пользователи первым делом именно кастомизируют систему. Затем предлагается настроить резервное копирование в виде снимков Timeshift, установить драйвера и выполнить обновление системы. При этом не надо лезть в настройки, что-то искать - все находится прямо перед глазами. А теперь посмотрим на саму оболочку Cinnamon и файловый менеджер Nemo, на первый взгляд все просто, классическая организация рабочего пространства, в которой легко разберется любой пользователь. Приложения сгруппированы по группам, слева узкая полоска избранного внизу которого кнопки управления питания, здесь же есть доступ к параметрам, расположениям и последним файлам. Файловый менеджер также прост и привычен, ничего лишнего, все по делу. Но это только первый взгляд, на самом деле Cinnamon очень гибкая оболочка, в которой буквально каждый элемент можно изменить под себя, для этого предназначены Cinnamon Spices (специи), которые представляют собой наборы расширений, затрагивающие различные элементы оболочки. В Spices входят пять основных разделов: Темы, ну тут все понятно, Действия - расширения пунктов контекстного меню файлового менеджера, Десклеты - мини-приложения рабочего стола. Апплеты предназначены для расширения возможности панели задач, а Расширения добавляют новые функции для самой оболочки. Для каждой \u0026quot;специи\u0026quot; есть отдельный раздел в настройках в котором можно не только управлять уже установленными дополнениями, но и скачать и установить нужные из официального репозитория в котором на сегодня находятся 456 дополнений. Все это позволяет быстро и просто нарастить возможности системы и добавить в нее необходимые именно вам функции или возможности. Причем делается это очень просто и доступно даже обычному пользователю, никаких сложных или заумных настроек там нет.\nВообще, внимание к мелочам прослеживается повсюду, причем именно к тем мелочам, которые важны для начинающих. Допустим вы набрали в терминале команду требующую повышения прав, Mint не будет вам говорить, что прав недостаточно, он просто автоматически запустит ее через sudo и попросит вас ввести пароль. Поэтому даже новичок в среде Mint чувствует себя достаточно комфортно, не говоря уже об опытном пользователе, который просто отмечает тот факт, что система ценит его время и позволяет ему работать более эффективно.\nЕсли заглянуть под капот, то Mint 22 использует пакетную базу Ubuntu 24.04 LTS с ядром 6.8 и оболочку Cinnamon 6.2. На системе с 4 ГБ оперативной памяти работается достаточно комфортно, но следует понимать, что Cinnamon - это форк GNOME и низких системных требований тут быть не может, поэтому 4 ГБ это необходимый минимум. Установленная система занимает около 17 ГБ, но это значение может быстро вырасти по мере установки ПО, особенно если вы используете не пакеты из репозитория, а Flatpak. Также Linux Mint не использует раздел подкачки, вместо которого создается файл в корневом разделе. Для управления программным обеспечением Mint предлагает собственный магазин, который использует два источника: репозитории Mint / Ubuntu и Flatpak. В этом проявляется одно из серьезных ее различий с родительской системой: Snap не поддерживается из коробки, вместо него интегрирован Flatpak. Те пакеты, которые в родной системе поставляются как Snap (Firefox, Thunderbird) пересобраны в DEB-пакеты и распространяются из собственного репозитория. Как мы уже говорили, в системе доступно два источника пакетов и довольно интересно сравнить их предложения, например, попробуем поставить Gimp. Из репозитория нам предлагается версия 2.10.36, объем загрузки скромные 28 МБ и не менее скромные 141 МБ на диске. А Flatpak загрузит версию 2.10.38 размером 1,2 ГБ и займет целых 3,9 ГБ на диске. Почему? Ну тут мы приходим к самой сущности Flatpak и аналогов - все свое ношу с собой. Но чтобы каждый пакет не таскал за собой различные системные библиотеки, то Flatpak предлагает скачать и установить некоторые метапакеты, которые потом будут использованы и другими приложениями, которым они нужны. Но в любом случае вес приложений Flatpak будет значительно выше приложений из репозитория, так что тут есть над чем подумать. Для обновления пакетов предлагается отдельная утилита, простая, но отлично делающая свою работу. При этом разработчики не стали бросаться в крайности и доводить утилиту до крайнего упрощения. Опытный пользователь увидит то, что ему надо, а начинающий просто нажмет пару кнопок. Настроек тоже достаточно и все они рассчитаны на не столь опытного пользователя, скажем можно быстро и просто найти самые быстрые зеркала, а в другом разделе можно буквально одной кнопкой скачать отсутствующие ключи подписей, если вдруг у вас приключилась такая беда. Сам набор ПО классический, в основном представлен стандартными программами Ubuntu 24.04, однако если вам нужно вы всегда можете загрузить более свежие версии из Flatpak. Офисный пакет - LibreOffice, браузер - Firefox и т.д. и т.п. С мультимедиа тоже все хорошо, еще при установке можно указать скачивание дополнительных мультимедийных кодеков и проблем с воспроизведением современного медиа у вас не будет. Поддерживаются все стандарты и форматы, включая 2K и 4K, а для просмотра можно использовать стандартные приложения. Но на этом мультимедийные возможности системы не исчерпываются, для просмотра ТВ-программ предлагается IPTV-плейер собственной разработки Hypnotix, который уже содержит плейлисты с бесплатными ТВ-каналов для множества стран, просто открываем и смотрим. Для обмена файлами в пределах локальной сети предлагается Warpinator - оригинальное приложение для обмена файлами на платформах Windows, Linux, Android и iOS в пределах локальной сети. Для сетевой настройки и обнаружения используется Zeroconf, поэтому вам достаточно просто установить приложение, после чего оно само найдет соседей для обмена. Обмен тоже очень прост - достаточно перетащить в окно файл или папку. Просто, удобно, кроссплатформенно. При этом файлы не уходят дальше локальной сети, никаких внешних серверов или облачных хранилищ технология не использует. Параметры системы собраны в едином приложении с одноименным названием. На первый взгляд тут нет ничего нового, но при более подробном рассмотрении мы увидим, что собрано тут все самое необходимое для настройки системы на пользовательском уровне. Нет ни каких-либо непонятных и сложных настроек, не говоря уже о потенциально деструктивных, но есть все то, что может понадобиться обычному пользователю. Отсюда можно выполнить как сложные настройки системы, так и простые, но не менее важные, например, настроить внешний вид. Изменить можно буквально все, хотим светлую тему в зеленых тонах - пожалуйста. А можем и настроить перезапуск оболочки при чрезмерном потреблении памяти, причем настройка отлично описана и понятна не только опытному администратору. Выводы Linux Mint - пожалуй один из лучших дистрибутивов для начинающих, но целевая аудитория ими не ограничивается. Это простая, понятная, удобная и логичная система на стабильной платформе Ubuntu LTS, но это не просто еще один дистрибутив на базе Ubuntu, а самостоятельная система со своим видением того, что нужно пользователю и своим подходом к развитию.\nСреда рабочего стола Cinnamon, базируясь на GNOME, также не следует тенденциям родительской оболочки, а использует технологии GNOME для построения классического рабочего стола, привычного и удобного. А если вам нужно что-то большее, то к вашим услугам обширный набор дополнений Cinnamon Spices, позволяющих серьезно кастомизировать систему именно под свои нужды.\nТакже система предоставляет множество мелких удобств, например. автоматический запрос пароля sudo при необходимости повышения прав.\nПоэтому мы рекомендуем попробовать Mint не только начинающим, а всем пользователям, которым нужна простая система, которую можно просто включить и работать, не отвлекаясь на ее настройки.\n","id":"735cfff181098fad6688322b3837a650","link":"https://interface31.ru/post/linux-mint---pozhaluy-luchshiy-linux-dlya-nachinayushhih/","section":"post","tags":["Linux","Mint","Ubuntu"],"title":"Linux Mint - пожалуй, лучший Linux для начинающих"},{"body":"HASP-ключи - это прошлое поколение системы защиты 1С:Предприятия, сегодня им на смену пришли программные лицензии, но у пользователей осталось на руках достаточное количество ключей, которые продолжают применяться. Также растет интерес к использованию 1С на платформе Linux, в связи с чем появляется и необходимость в подключении ключей к этой ОС. К сожалению, на нашем сайте не оказалось статьи, рассказывающей о том, как это сделать. Поэтому мы решили исправить эту досадную оплошность, учитывая, что вопрос до сих пор не потерял актуальность.\nПрежде всего подключим HASP-ключ к компьютеру и убедимся что он определился в системе, для этого выполните команду:\n1lsusb В выводе вы должны увидеть строки, содержащие Aladdin HASP. Сразу напомним одно важное правило: на один ПК нельзя устанавливать два ключа одной серии, все равно работать будет только один.\nДля работы с ключами и установки HASP License Manager для раздачи лицензий по сети мы будем использовать пакеты от российского разработчика Etersoft, найти их можно адресу http://download.etersoft.ru/pub/Etersoft/HASP/stable/x86_64/ (мы предполагаем что у вас 64-битная система), затем следует выбрать используемую вами ОС и скачать предлагаемые пакеты.\nВнимание! Важно! Для нормальной работы HASP License Manager вам понадобится версия 7.90, версии 8.х раздавать лицензии по сети не будут!\nПакеты версии 7.90 под современные системы не собираются, поэтому надо найти доступные пакеты для более ранних версий Ubuntu или Debian, они без проблем устанавливаются и работают.\nПри желании можете скачать их с нашего сайта. Ниже приведен необходимый набор команд, самая первая переместит вас с домашнюю директорию, куда и будут скачиваться пакеты.\nUbuntu:\n1cd 2wget https://interface31.ru/pub/Etersoft/HASP/Ubuntu/haspd_7.90-eter2ubuntu_amd64.deb 3wget https://interface31.ru/pub/Etersoft/HASP/Ubuntu/haspd-modules_7.90-eter2ubuntu_amd64.deb Debian:\n1cd 2wget https://interface31.ru/pub/Etersoft/HASP/Debian/haspd_7.90-eter2debian_amd64.deb 3wget https://interface31.ru/pub/Etersoft/HASP/Debian/haspd-modules_7.90-eter2debian_amd64.deb Затем установим необходимые зависимости:\n1apt update 2apt install make libc6-i386 А после этого и сами пакеты:\n1dpkg -i haspd*.deb Если все сделано правильно, то служба запустится автоматически, проверить ее статус можно командой:\n1systemctl status haspd На этом настройку можно считать законченной, но мы добавим некоторые настройки. Если вы сочетаете в своей сети аппаратные и программные лицензии, то может возникнуть потребность ограничить доступ к ключу отдельными узлами, диапазонами адресов или подсетями. Для этого откроем файл /etc/haspd/hasplm.conf и зададим опцию NHS_IP_LIMIT, файл содержит пример, в котором показано как можно указывать допустимые значения. Ниже мы разрешим доступ узлу 192.168.0.100 и диапазону 192.168.190-200:\n1NHS_IP_LIMIT 192.168.0.100, 192.168.190-200 После чего перезапустим службу:\n1systemctl restart haspd На клиентах в большинстве случаев никаких настроек производить не надо, однако, если 1С:Предприятие не видит лицензии то следует внести изменения в файл С:\\Program Files (x86)\\1cv8\\conf\\nethasp.ini или С:\\Program Files\\1cv8\\conf\\nethasp.ini, для Linux систем - /opt/1C/v8.3/x86_64/conf/nethasp.ini:\n1[NH_COMMON] 2NH_IPX = Disabled 3NH_NETBIOS = Disabled 4NH_TCPIP = Enabled 5[NH_TCPIP] 6NH_SERVER_ADDR = 192.168.0.10 ;Укажите здесь реальный ip-адрес Менеджера лицензий 7NH_TCPIP_METHOD = UDP 8NH_USE_BROADCAST = Disabled 9NH_SESSION = 4 10NH_SEND_RCV = 2 Для контроля выданных ключом лицензий можно использовать утилиту Aladdin Monitor: Как видим, использовать HASP-ключи в среде Linux совсем не сложно, а общие правила работы с ними ничем не отличаются от работы в Windows.\n","id":"4ac8d889c67f5268d24573180fded8cc","link":"https://interface31.ru/post/ustanovka-hasp-license-manager-v-linux-debian-ubuntu/","section":"post","tags":["1С Предприятие 8.х","Debian","HASP","Ubuntu Server"],"title":"Установка HASP License Manager в Linux (Debian / Ubuntu)"},{"body":"Управление лицензиями 1С:Предприятия - задача не простая, особенно если у вас в эксплуатации несколько серверов или используется виртуализация. Основные проблемы - это оптимизация распределения лицензий и привязка лицензий к параметрам оборудования, что создает трудности в виртуальной среде. Облегчить работу и централизовать управление лицензиями вам поможет выделенный сервер лицензирования, как его установить и настроить мы расскажем в этой статье.\nНачнем с того, что в официальной документации 1С:Предприятия вы не найдете термина Сервер лицензирования, есть понятие сервиса лицензирования, который может быть назначен любому рабочему серверу кластера серверов 1С:Предприятие. Но существуют некоторые особенности его использования, самая важная из которых заключается в том, что рабочий сервер не имеющих других назначенных сервисов, кроме сервиса лицензирования не требует отдельной серверной лицензии.\nЭто позволяет выделить для сервиса лицензирования отдельный компьютер или виртуальную машину с постоянными характеристиками оборудования и с его помощью централизованно управлять лицензиями. Неофициально такая система получила название сервера лицензирования, что точно отражает выполняемую роль, но является несколько некорректным с точки зрения официальной терминологии.\nСервис лицензирования имеет важные особенности:\nДопускается использование только программных лицензий, HASP ключи не поддерживаются Сервис лицензирования выдает лицензии только серверам 1С:Предприятие, работа с клиентами не предусматривается Сервер лицензирования выдает лицензии только в многопользовательском режиме, по одной на каждый открытый сеанс Не поддерживается 1С:Предприятие Сервер МИНИ и лицензия разработчика Теперь несколько технических деталей. Так как сервер лицензирования (здесь и далее мы будем подразумевать под этим термином выделенный сервер с ролью сервиса лицензирования) является рабочим сервером кластера, то версия платформы должна совпадать с остальными серверами кластера. Один сервер лицензирования может обслуживать несколько кластеров, для этого он включается в каждый кластер как рабочий сервер и обслуживается отдельно. При разных версиях платформ в разных кластерах вам также потребуется установить на сервере лицензирования несколько экземпляров платформы.\nВнимание! Важно! Локальная серверная лицензия позволяет запускать на отдельном узле неограниченное количество экземпляров кластера 1С:Предприятия, при использовании выделенного сервера лицензирования каждый экземпляр кластера потребует отдельной серверной лицензии.\nПоэтому к решению о выносе сервиса лицензирования на отдельный узел относиться надо взвешенно, учитывая все за и против.\nЧто касается вычислительных ресурсов, то рекомендуется ПК или виртуальная машина имеющая не менее двух ядер процессора и 2 - 4 ГБ оперативной памяти. В качестве платформы можно использовать как Windows, так и Linux, по нашему опыту не рекомендуем на платформе Windows выделять менее 4 ГБ памяти.\nУстановка платформы 1С:Предприятие для сервера лицензирования на платформе Windows Установка платформы для Windows особых сложностей не вызывает, но так как мы устанавливаем платформу для специализированного решения, то имеет смысл убрать все лишнее, для этого на странице выбора компонентов оставьте единственный пункт Сервер 1С:Предприятия 8, больше ничего нам не нужно. Также на странице установки сервера выберите создание пользователя USR1CV8 и укажите для него пароль, пароль должен соответствовать требованиям к паролям Windows. Установка платформы 1С:Предприятие для сервера лицензирования на платформе Linux Для установки на платформе Linux мы будем использовать единый дистрибутив, будем считать что он скачан и распакован в текущую директорию. Все указанные ниже команды выполняются от имени суперпользователя root или через sudo. Обратите внимание, что в командах указывается номер платформы, измените его на свое значение.\nУстановим экземпляр сервера:\n1./setup-full-8.3.25.1336-x86_64.run --mode unattended --enable-components server Добавим службу в автозагрузку:\n1systemctl link /opt/1cv8/x86_64/8.3.25.1336/srv1cv8-8.3.25.1336@.service 2systemctl enable srv1cv8-8.3.25.1336@ И запустим ее:\n1systemctl start srv1cv8-8.3.25.1336@default На этом установка сервера на платформе Linux закончена.\nНастройка разрешения имен Все сервера 1С в кластере взаимодействуют друг с другом по именам хостов (плоским или FQDN), поэтому для правильной работы следует обеспечить разрешение имен. Лучше всего использовать для этого локальный DNS-сервер, в его отсутствие необходимые записи нужно добавить в файл hosts на каждом сервере, в Windows он располагается в:\n1C:\\Windows\\System32\\Drivers\\etc\\hosts В Linux:\n1/etc/hosts Каждый из серверов должен иметь в этом файле записи с именами и адресами остальных серверов, в противном случае нормальная работа не гарантируется.\nПример записи:\n1192.168.3.110 ubnt-1c-dev 2192.168.3.112 ubnt-1c-lic В нашем случае это адреса и имена центрального сервера кластера и сервера лицензирования, в вашем случае они, естественно, будут иными.\nПеренос сервиса лицензирования на отдельный сервер Переходим на рабочий компьютер с установленной оснасткой Администрирование серверов 1С Предприятия и подключаем к ней наш сервер лицензирования, потом переходим в Кластеры - Локальный кластер и удаляем его через меню правой кнопки мыши. Теперь переходим в рабочий кластер и разворачиваем до раздела Рабочие серверы, через меню ПКМ выбираем Создать - Рабочий сервер: Если вы не меняли стандартные порты, то вам нужно заполнить всего два поля: Описание сервера - где можете указать все что угодно и Компьютер, в котором укажите имя сервера лицензирования, но не его IP-адрес. После чего разворачиваем добавленный нами сервер лицензирования в разделе Рабочие серверы до пункта Требования назначения функциональности и создаем новое Требование: Далее выберите Объект требования - Сервис лицензирования, Тип требования - Назначать: Затем добавьте еще одно требование: Объект требования - Любой объект требования, Тип требования - Не назначать. Таким образом мы закрепим за данным рабочим сервером только сервис лицензирования и ничего более. Затем при помощи меню ПКМ - Повысить приоритет требования переместите требование функциональности Сервиса лицензирования на самый верх списка. Теперь осталось только применить изменения, для этого щелкните правой кнопкой по пункту Локальный кластер и выберите Применить требования назначения функциональности (полное): Теперь у вас есть отдельный сервер лицензирования в составе кластера, вы можете как перенести на него все свои лицензии, так и использовать в смешанном варианте, рабочий сервер будет искать лицензии на сервере лицензирования после того, как не найдет свободной локальной лицензии. При переносе учтите, что перед повторной активацией лицензий следует удалить текущие файлы программной лицензии на сервере.\nВ Windows их следует искать в одном из следующих расположений:\n%LOCALAPPDATA%\\1C\\1cv8\\conf %ALLUSERSPROFILE%\\1C\\1cv8\\conf %ALLUSERSPROFILE%\\1C\\licenses %ProgramData%\\1C\\licenses Для платформы Linux:\n/opt/1cv8/conf ~/.1cv8/conf /var/1C/licenses Для современных версий платформ обычно используются последние из приведенных местоположений.\nЧтобы активировать лицензию именно на сервере лицензирования в окне активации нажмите ссылку Дополнительно и укажите имя сервера лицензирования и порт (если отличается от стандартного): На этом установка и настройка выделенного сервера лицензирования для 1С:Предприятие завершена.\n","id":"d07a3efa434d748135450ec2c60de3fe","link":"https://interface31.ru/post/ustanovka-i-nastroyka-servera-licenzirovaniya-1spredpriyatie/","section":"post","tags":["1С Предприятие 8.х","Linux","Windows Server","Лицензирование"],"title":"Установка и настройка сервера лицензирования 1С:Предприятие"},{"body":"Cloud Hosted Router - специальный продукт компании Mikrotik позволяющий установить MikroTik RouterOS практически на любую виртуальную машину. Однако не все хостеры позволяют загружать собственные образы, но это не страшно, RouterOS можно поставить на любой VPS с Linux, о чем мы и расскажем в данной статье. Также уделим отдельное внимание UEFI-системам и предварительной настройке образа, позволяющей избежать потенциальных проблем с безопасностью и уменьшить количество ручной работы, а также сразу получить требуемую конфигурацию RouterOS.\nДля установки нам понадобится виртуальная машина (VPS/VDS) с установленной операционной системой Linux, дистрибутив роли не играет, нам подойдет любой, но в нашей статье мы будем рассматривать работу с Debian или Ubuntu. Что касается ресурсов, то смотрите по предполагаемой нагрузке, в большинстве случаев будет достаточно самого недорого тарифа. Важное условие при покупке - уточните условия тарификации трафика, не все хостеры предоставляют безлимит, у некоторых (преимущественно американских) есть лимиты, по превышению которых придется либо доплатить за перерасход, либо у вас будет снижена скорость канала.\nНо будем считать что вы с этим вопросом разобрались и перейдем непосредственно к установке RouterOS на виртуальную машину с Linux. Прежде всего повысим права до суперпользователя, в Debian для этого используйте:\n1su - А в Ubuntu:\n1sudo -s После чего нам потребуется выяснить несколько моментов, прежде всего сетевые настройки. Это важно, так как у многих хостеров виртуальные машины могут иметь адреса из внутренней, серой сети, а выделенный IP-адрес назначается на оборудовании провайдера, поэтому нам надо будет настроить сетевые параметры точно так, как они были на исходной виртуальной машине.\nЧтобы узнать IP-адрес и маску сети выполните:\n1ip a А для того чтобы узнать адрес шлюза (он будет указан в маршруте по умолчанию) выполните:\n1ip r Следующим шагом нам предстоит выяснить название виртуального диска и тип загрузчика, для этого наберите команду:\n1fdisk -l В выводе найдите имя диска и посмотрите на тип загрузочного раздела, в нашем случае виртуальная машина имеет UEFI-загрузчик. Если у вас обычный загрузчик, то дополнительно понадобиться установить утилиту unzip:\n1apt install unzip Затем на официальном сайте в разделе загрузок скопируйте ссылку на Raw disk image нужной версии Cloud Hosted Router и скачайте его командой:\n1wget https://download.mikrotik.com/routeros/7.16.1/chr-7.16.1.img.zip И затем распакуйте:\n1unzip chr-7.16.1.img.zip Важно! Обратите внимание, что здесь и далее используются наименования файла образа определенной версии, в нашем случае 7.16.1, вам потребуется его изменить согласно наименованию файла скачанной вами версии.\nЕсли у вас UEFI-версия загрузчика, то официального образа для него нет, но можно воспользоваться неофициальным, скачав его с GitHub-страницы разработчика. Мы будем качать также версию 7.16.1 и нам понадобится файл в формате .raw. Точно также копируем ссылку и скачиваем командой:\n1wget https://github.com/tikoci/fat-chr/releases/download/Build11294119639-jaclaz/chr-7.16.1.uefi-fat.raw Как правило, множественные инструкции в сети после этого предлагают сразу развернуть образ на диск, а потом подключиться к виртуальной машине через KVM или VNC-консоль хостера и настроить через нее сетевые параметры RouterOS и сменить пароль администратора. Но такая услуга есть по умолчанию не у всех хостеров и не на всех тарифах. Где-то ее нужно заказывать отдельно, где-то через поддержку, также могут быть проблемы с самой консолью, например, с раскладкой.\nПоэтому мы пойдем другим путем и заранее настроим все нужные параметры образа. Для этого мы воспользуемся Autorun-файлом в который внесем все необходимые команды и они будут автоматически выполнены при первом старте RouterOS. Для этого нам нужно примонтировать корневой раздел образа, чтобы это сделать нам нужно вычислить его смещение от начала виртуального диска в байтах.\nСделать это не сложно, выполните команду (далее мы будем работать с UEFI-образом):\n1 fdisk -lu chr-7.16.1.uefi-fat.raw В выводе нас интересует размер сектора - 512 байт и начало второго раздела Linux filesystem- 65570, которое указано в колонке Start. Так как fdisk сообщает нам номер первого сектора раздела, то для получения смещения в байтах нам нужно умножить номер первого сектора на размер сектора:\n1512 * 65570 = 33571840 Теперь выполним монтирование раздела командой:\n1mount -o loop,offset=33571840 chr-7.16.1.uefi-fat.raw /mnt После чего откроем на редактирование файл autorun.scr:\n1nano /mnt/rw/autorun.scr И добавим в него команды настройки сетевого интерфейса и шлюза:\n1/ip address 2add address=192.168.233.117/24 interface=ether1 network=192.168.233.0 3/ip route 4add gateway=192.168.233.2 Затем изменим пароль встроенному пользователю admin:\n1/user set 0 password=\u0026#34;MyPa$$worD\u0026#34; На этом можно было бы и остановиться, но почему бы сразу не выполнить ряд дополнительных настроек, особенно если это касается безопасности. Так как наш роутер будет смотреть сразу в интернет, то отключим все не нужные IP-сервисы, в нашем случае мы оставили только ssh и winbox:\n1/ip service 2set telnet disabled=yes 3set ftp disabled=yes 4set www disabled=yes 5set api disabled=yes 6set api-ssl disabled=yes Также отключим поиск соседства:\n1/ip neighbor discovery-settings 2set discover-interface-list=none И все MAC-сервисы:\n1/tool mac-server 2set allowed-interface-list=none 3/tool mac-server mac-winbox 4set allowed-interface-list=none 5/tool mac-server ping 6set enabled=no Вообще, при помощи этого файла вы можете сразу задать всю необходимую конфигурацию роутера, получив на выходе уже полностью готовое устройство. Мы же ограничимся перечисленным выше. Сохраним файл и отмонтируем образ:\n1umount /mnt Размонтируем файловые системы:\n1echo u \u0026gt; /proc/sysrq-trigger И развернем образ на виртуальный диск:\n1dd if=chr-7.16.1.uefi-fat.raw of=/dev/sda bs=4M oflag=sync Обратите внимание, что мы используем флаг sync для обеспечения реальной физической записи на диск, а не в дисковый кеш.\nИ перезагружаем систему командами:\n1echo 1 \u0026gt; /proc/sys/kernel/sysrq 2echo b \u0026gt; /proc/sysrq-trigger После перезагрузки подключаемся к установленной RouterOS через Winbox или SSH. Как видим, развернуть Cloud Hosted Router на виртуальную машину совсем нее сложно, даже если она использует UEFI-загрузчик. А использование файла autorun.scr сразу позволяет задать все необходимые настройки RouterOS и исключить этап ручной работы с использованием аварийной консоли.\n","id":"76f8ad47d3890f2e1b9510cc6507d781","link":"https://interface31.ru/post/ustanovka-mikrotik-routeros-na-vdsvps/","section":"post","tags":["Linux","MikroTik","UEFI","VPS"],"title":"Установка MikroTik RouterOS на VDS/VPS"},{"body":"Предоставление доступа к блочным устройствам посредством сети - технология не новая, наиболее простым и недорогим решением для этих целей был протокол iSCSI, который широко применяется и на сегодняшний день. Но технологии не стоят на месте, новый протокол NVMe вывел работу с накопителями на новые уровни производительности, которым стало тесно в рамках стандартных технологий. Сохранить высокие показатели при работе с новыми накопителями по сети нам поможет протокол NVMe-over-TCP, с которым мы сегодня познакомился не только в теории, но и на практике.\nНачнем с небольшого исторического экскурса, долгое время накопители строились на базе технологии магнитной записи и ввиду физических особенностей технологии слабо позволяли использовать параллелизм. Поэтому случайные операции всегда были слабым местом магнитных дисков, сильно уступая линейным режимам доступа. Это можно увидеть невооруженным глазом увидеть в любом тесте, где скорости линейного и случайного доступа различаются даже не в разы, а на порядки.\nЭто было связано с тем, что при случайном доступе диску могла поступить команда считать сектор А, а следующей командой система могла попросить считать сектор Б, который находится раньше и для доступа к нему диску придется ждать целый оборот. Для борьбы с этим негативным явлением была придумана очередь команд, которая позволяла диску проанализировать запросы и оптимизировать свою работу, например, объединив несколько случайных запросов соседних областей в один последовательный, когда диск мог считать все необходимые данные за один оборот просто изменив порядок выполнения команд.\nГлубина очереди обычных SATA дисков составляла 32 команды, для SCSI - 256. Для существующих магнитных накопителей этого было достаточно, но все изменилось с появлением твердотельном памяти. Такие диски могут читать и писать из разных областей одновременно и показывать гораздо более высокий параллелизм. И очень скоро стало ясно, что разработанные для жестких дисков интерфейсы и протоколы твердотельным накопителям не подходят. Поэтому был разработан полностью новый протокол, рассчитанный именно на работу с твердотельной памятью - NVMe. В нем изначально заложено 65536 очередей с глубиной 65536 команд каждая.\nСейчас совершенно очевидно, что NVMe вывел производительность накопителей на совершенно новый, ранее недосягаемый уровень и основным ограничением для него является скорость транспорта, для физических дисков это скорость шины PCIe. Это хорошо заметно ростом линейных скоростей дисков при переходе с одного поколения PCIe на другой.\nЧто касается доступа к блочным устройствам по сети, то в бюджетном сегменте безальтернативно применялся протокол iSCSI, обеспечивавший передачу команд SCSI поверх транспортного протокола TCP, для более производительных сред могли использоваться сети хранения на основе Fibre Channel или InfiniBand, но все это было значительно дороже и требовало вложений в соответствующее оборудование. При этом внутри продолжал использоваться все тот же протокол SCSI.\nС приходом NVMe стало понятно, что SCSI не позволяет в полной мере реализовать возможности новых накопителей и была инициирована разработка протокола NVMe over Fabric (NVMe-oF), основной его целью было предоставить возможность передачи команд NVMe по сети с низкой дополнительной задержкой, не более 10 мкс. В качестве транспортных протоколов были выбраны Fibre Channel, InfiniBand и Ethernet, также был разработан специальный протокол RDMA (Remote Direct Memory Access) - для прямого доступа к памяти на канальном уровне, устранив возможные задержки в сетевом стеке.\nНо все это было сложно и/или дорого, так как требовало изменение сетей хранения и приобретения специального оборудования. Ни одна из указанных технологий не позволяла использовать ее на текущих сетях хранения, поэтому очень скоро в семейство NVMe-oF был добавлен протокол NVMe-over-TCP, который является компромиссным вариантом. NVMe-over-TCP не способен обеспечить низкие дополнительные задержки, зато его можно использовать в текущих сетях Ethernet без всяких дополнительных затрат.\nСегодня мы предлагаем практически познакомиться с этой технологией, чтобы понять ее особенности, преимущества и недостатки. Практического сценария здесь не будет. Но благодаря нашему материалу вы сможете быстро настроить NVMe-over-TCP и оценить на практике нужна ли вам она или нет.\nЧтобы понимать о чем пойдет речь в дальнейшем, рассмотрим некоторые ключевые особенности протокола NVMe, причем это касается не только NVMe-over-TCP, но и NVMe в целом. Давайте посмотрим на типичное наименование NVMe диска: Оно состоит из нескольких частей, каждая из которых указывает на отдельную сущность:\nПодсистема - набор программных и аппаратных средств предоставляющих нам интерфейс для работы с NVMe устройствами, это может быть совокупность контроллера, драйвера, порта (для NVMe-over-TCP) и т.д. Пространство имен - собственно блочное устройство, для физических NVMe дисков пространство имен соответствует отдельному диску. Раздел - дисковый раздел, логическая сущность которая возникает при разбивке диска. Работая с NVMe-over-TCP мы будем иметь дело только с подсистемами и пространствами имен, так как NVMe-over-TCP таргет предоставляет инициаторам именно блочные устройства, а как они их будут размечать на другой стороне его не касается. Одна подсистема может содержать несколько пространств имен, но все они будут ограничены общей производительностью подсистемы.\nНастройка NVMe-over-TCP таргета Таргет (цель) предоставляет инициаторам дисковые устройства и является полным аналогом iSCSI-таргета, хотя в сети могут использоваться названия \u0026quot;сервер\u0026quot; или \u0026quot;донор\u0026quot;, но правильно называть данную роль именно таргетом.\nПоддержка NVMe-over-TCP присутствует в ядрах начиная с 5.0 и для работы нам достаточно выполнить загрузку двух модулей:\n1modprobe nvmet 2modprobe nvmet-tcp Теперь мы можем управлять подсистемой путем редактирования файлов в /sys/kernel/config, это не самый оптимальный вариант, но именно он поможет понять как это все устроено и почему работает так или иначе. Обратите внимание, что все внесенные изменения пропадут при перезагрузке узла.\nСоздание подсистемы Для создания подсистемы перейдем в каталог /sys/kernel/config/nvmet/subsystems:\n1cd /sys/kernel/config/nvmet/subsystems И создадим каталог с именем подсистемы, подсистемы в NVMe-over-TCP называются по именам, в нашем случае это будет test, после чего перейдем в него:\n1mkdir test 2cd test В каталоге автоматически будут созданы нужные файлы с настройками, нам останется только записать в них нужные значения. В нашем случае достаточно одной настройки, разрешим подключаться к нашей подсистеме с любого хоста:\n1 echo -n 1 \u0026gt; attr_allow_any_host Ключ -n в команде echo предотвращает перенос строк, что важно при редактировании файлов подсистемы.\nСоздание пространства имен Находясь в каталоге подсистемы перейдем в каталог пространств имен:\n1cd namespaces И создадим новое пространство имен, пространства имен задаются по номерам, начиная с единицы. Создадим каталог с номером пространства и перейдем в него:\n1mkdir 1 2cd 1 После чего сопоставим пространству имен дисковое устройство хоста. Это может быть как физический диск, так и раздел или виртуальный диск.\n1echo -n /dev/nvme0n1 \u0026gt; device_path Одно пространство имен может содержать одно дисковое устройство.\nВключим его:\n1echo -n 1 \u0026gt; enabled Все изменения происходя налету, сразу после добавления в файл нужного значения.\nТеперь у нас есть подсистема test, которое содержит пространство имен с номером 1 с которым сопоставлен физический диск**/dev/nvme0n1**.\nСоздание порта Для доступа по сети мы должны создать и настроить порт службы, для этого перейдем в /sys/kernel/config/nvmet/ports\n1cd /sys/kernel/config/nvmet/ports Точно также же создадим директорию с номером порта и перейдем в нее, порты также как и подсистемы нумеруются начиная с единицы:\n1mkdir 1 2cd 1 Перейдем к настройкам. Прежде всего укажем адрес на котором мы будем принимать подключения:\n1echo -n 192.168.3.112 \u0026gt; addr_traddr Транспортный протокол:\n1echo -n tcp \u0026gt; addr_trtype Номер порта, стандартно используется 4420:\n1echo -n 4420 \u0026gt; addr_trsvcid И тип сетевого протокола, в нашем случае IPv4:\n1echo -n ipv4 \u0026gt; addr_adrfam Теперь подключим нашу подсистему к порту создав символическую ссылку на директорию подсистемы:\n1ln -s /sys/kernel/config/nvmet/subsystems/test /sys/kernel/config/nvmet/ports/1/subsystems/test На этом настройка таргета закончена.\nНастройка NVMe-over-TCP инициатора Для работы с дисками NVMe установим дополнительный пакет:\n1apt install nvme-cli Подгрузим модули ядра:\n1modprobe nvmet 2modprobe nvmet-tcp Настраивать ничего не надо, просто подключим подсистему таргета командой:\n1nvme connect -t tcp -n test -a 192.168.3.112 -s 4420 Параметры команды понятны и комментариях не нуждаются, проверить подключенные диски мы можем командой:\n1nvme list Также можем убедиться в том, что диск появился в доступных блочных устройствах командой:\n1lsblk Как видим у нас появился новый диск с именем nvme0n1, моделью Linux и некоторым серийным номером. Эти параметры можно переопределить, но только на уровне всей подсистемы. Посмотрим, что у нас с сетевыми подключениями, выполним команду:\n1ss | grep 4420 Сразу увидим пять доступных очередей, количество очередей создается по количеству ядер процессора инициатора плюс еще одна. Так как ядер у нас четыре, то мы получили пять очередей, что позволяет эффективно распараллеливать запросы. Мы можем добавить в подсистему неограниченное количество пространств имен (дисков), но количество очередей на инициаторе останется прежним, что может в некоторых сценариях стать узким местом. Поэтому попробуем другой вариант, создадим на таргете еще одну подсистему и подключим на этот же инициатор. Количество очередей сразу выросло до десяти. Но здесь есть обратная сторона медали, как можем видеть для каждой очереди на инициаторе создается порт из динамического диапазона 49152 - 65535, таких портов нам доступно 16384, можно подумать что это много. Но на самом деле не очень. Если взять какой-нибудь AMD Epyc 7713 с его 64 ядра/128 потоков, то каждая подсистема будет создавать 129 соединений, а следовательно количества портов нам хватит всего на 127 подсистем и то, если мы исключим другую сетевую активность.\nТакже излишне большое количество очередей может упереться в производительность сетевого оборудования, поэтому в этом вопросе нужно соблюдать разумный компромисс и тестировать различные варианты распределения дисков по подсистемам.\nЧто касается пропускной способности сети, то помним:\n1 Гбит/с = 125 МБ/с 2,5 Гбит/с = 312,5 МБ/с 10 Гбит/с = 1250 МБ/с Как видим, если брать широкодоступные сетевые адаптеры, то скорости там далеки от NVMe и ближе к дешевым SATA SSD. Получается в таком случае в NVMe-over-TCP нет смысла? Отнюдь, основное достоинство данного протокола - это не высокие линейные скорости, а большая параллельность запросов, что важно при множественном случайном доступе от различных процессов. И если выбор будет между iSCSI и NVMe-over-TCP в обычных сетях, то преимущество будет у последнего.\nИ что еще важно - в качестве презентуемого через пространство имен блочного устройства вы можете использовать не только NVMe, а абсолютно любой накопитель, даже флешку. Так что NVMe-over-TCP вполне можно использовать и с обычными жесткими дисками, но здесь также следует проявлять разумную осторожность, чтобы не перегрузить диск множественными параллельными запросами.\nКак видим, ничего сложного в NVMe-over-TCP нет, но так как технология новая, то перед принятием решения о целесообразности ее применения рекомендуется выполнить всестороннее тестирование.\n","id":"27a0d6a4184e34980ec591c09278e7e7","link":"https://interface31.ru/post/nvme-over-tcp---prakticheskoe-znakomstvo-s-tehnologiey/","section":"post","tags":["Debian","Linux","NVMe","Ubuntu","Сетевые технологии"],"title":"NVMe-over-TCP - практическое знакомство с технологией"},{"body":"Резервное копирование - одна из важнейших задач системного администратора. Хорошо если копии вам никогда не пригодятся, но они должны быть. Сегодня мы рассмотрим некоторые аспекты резервного копирования популярной СУБД PostgreSQL, в частности при ее применении совместно с 1С:Предприятие. Продолжим с утилиты pg_dump - самого простого и понятного способа, который, кстати, может использоваться не только для резервного копирования, но и для переноса баз между различными серверами. Теперь уже на платформе Linux.\nКак и любой иной способ использование pg_dump для копирования имеет свои плюсы и минусы. К основному минусу можно отнести то, что создаваемый дамп является срезом базы данных на некоторый момент времени и позволяет откатиться только на это состояние. Восстановление на произвольный момент времени невозможно.\nИные способы, позволяющие такое восстановление, работают на уровне инстанса и позволяют восстановить сразу весь кластер, т.е. все базы. Поэтому рекомендации по продуктовому применению PostgreSQL предусматривают основную схему: 1 база - 1 инстанс, что для небольших внедрений может быть избыточно как по ресурсам, так и по накладным расходам на администрирование.\nВ тоже время pg_dump работает на уровне базы данных и позволяет копировать и откатывать именно определенную базу, не затрагивая соседей по кластеру. Это несомненный плюс.\nТакже pg_dump может использоваться для переноса баз данных, она кроссплатформенна и кроссверсионна, т.е. позволяет переносить базы между разными платформами и разными версиями PostgreSQL. При этом следует помнить, что версии PostgreSQL совместимы снизу вверх, совместимость сверху вниз не поддерживается, либо поддерживается на ограниченное число версий. Т.е. вы всегда сможете загрузить дамп из PostgreSQL 9.6 в PostgreSQL 15, но не наоборот.\nПодготовка сервера Для удобства работы с утилитами Postgres они должны быть доступны по стандартным путям PATH, обычно так оно и происходит, но не будет лишним проверить. Для этого выполним команду:\n1whereis psql Если мы получим следующий ответ, то все в порядке:\n1psql: /usr/bin/psql /usr/share/man/man1/psql.1.gz Нужный бинарный файл (точнее ссылка на него) находится в стандартном каталоге для исполняемых файлов /usr/bin. В противном случае нам нужно найти место установки вашего экземпляра PostgreSQL, в частности директории bin, например, PostgreSQL 15 от Postgres PRO устанавливается по пути /opt/pgpro/1c-15. Обнаружив место установки просто запустим утилиту pw-wrapper, которая самостоятельно сделает все необходимые ссылки.\n1/opt/pgpro/1c-15/bin/pg-wrapper links update После того, как разобрались с путями следует проверить права доступа, для этого перейдем в рабочий каталог кластера, его стандартное расположение /var/lib/postgresql/15/main, где 15 - версия сервера. Версия от Postgres PRO устанавливается по другому пути: /var/lib/pgpro/1c-15/data. Так или иначе нас интересует файл pg_hba.conf который содержит правила аутентификации на сервере. Его содержимое примерно следующее:\n1# TYPE DATABASE USER ADDRESS METHOD 2 3# \u0026#34;local\u0026#34; is for Unix domain socket connections only 4local all all peer 5# IPv4 local connections: 6host all all 127.0.0.1/32 md5 Первая строка с типом local отвечает за подключение через Unix-сокет, разрешает подключение к любой базе данных (all), любым пользователем (all) с использованием механизмов аутентификации операционной системы (peer).\nСтрока с типом host отвечает за подключения через TCP/IP, также к любой базе, любым пользователем с адреса 127.0.0.1/32 при помощи пароля (md5). Таким образом мы можем использовать в строке подключения только 127.0.0.1 или localhost, если мы там укажем FQDN или IP-адрес узла, то соединение будет отвергнуто, также Postgres не будет принимать соединения из локальной сети.\nЧтобы изменить это поведение добавьте в файл еще одну строку:\n1host all all 192.168.54.32/32 md5 Где 192.168.54.32 - IP-адрес вашего компьютера, после чего в строке подключения можно использовать как этот адрес, так и имя ПК.\nЕсли вы хотите подключаться к серверу СУБД из локальной сети добавьте:\n1host all all 192.168.54.0/24 md5 В данном случае мы указали в правиле полную подсеть с маской 255.255.255.0, которая иначе записывается как /24.\nТакже вместо адресов можно использовать зарезервированные слова:\nsamehost - любые адреса данного ПК samenet - любые адреса сетей, непосредственно подключенных к данному узлу Например:\n1host all all samehost md5 В современных системах можно использовать более стойкую криптографию для хеширования пароля, для этого просто замените в файле md5 на scram-sha-256:\n1host all all samehost scram-sha-256 После чего следует перезапустить службу сервера, для обычного экземпляра это можно сделать командой:\n1systemctl restart postgresql Для Postgres PRO имя службы будет другим:\n1systemctl restart postgrespro-1c-15 Обратите внимание, что оно содержим имя версии.\nСледующий момент - пароль пользователя, под которым мы будем работать с кластером PostgreSQL, обычно это суперпользователь СУБД с именем postgres, но может быть и другой пользователь. Если изначально пароль не был установлен, то соединение возможно только через Unix-сокет, поэтому войдем под пользователем системы postgres и установим пароль пользователю СУБД postgres (или любому другому):\n1su postgres 2 3psql 4ALTER USER postgres WITH PASSWORD \u0026#39;MyPa$$word\u0026#39;; 5\\q 6 7exit Чтобы постоянно не вводить пароль создадим специальный файл в домашней директории пользователя, который будет хранить данные для аутентификации. Для этого используем редактор nano, если вам больше нравится редактор mc, то замените nano на mcedit.\n1nano ~/.pgpass И внестие в него следующие строки:\n1#имя_узла:порт:база_данных:имя_пользователя:пароль 2localhost:*:*:postgres:MyPa$$Word_1 Сохраним изменения и установим на него нужный набор прав, который исключит доступ к содержимому файла для всех, кроме владельца:\n1chmod 600 ~/.pgpass Также не забываем, что в Linux данный файл применяется только для того пользователя, в домашней директории которого он находится, если вы планируете производить резервное копирование при помощи скриптов, которые будут запускаться от суперпользователя root, то следует создать указанный файл и для него. Для этого нужно повысить права до суперпользователя, в Ubuntu это можно сделать так:\n1sudo -s В Debian, где sudo может быть не установлен, используйте:\n1su - После чего повторите указанные выше действия.\nСоздание резервной копии базы данных Утилита pg_dump умеет создавать копии в разных форматах, каждый из которых имеет свои достоинства и недостатки.\nplain - выгрузка в текстовом SQL формате. Наиболее универсальна, а при необходимости позволяет вручную откорректировать дамп или выполнить частичную загрузку или восстановление, например отдельной таблицы. Не сжимается, имеет большой размер. custom - собственный формат pg_dump, предусматривает сжатие данных и возможность многопоточной загрузки, выгружается всегда однопоточно directory - выгрузка в виде директории, на каждую таблицу выгружается отдельный сжатый файл, позволяет многопоточную выгрузку и загрузку tar - представляет, по сути, выгрузку в виде директории, но упакованной в tar-архив, сжатие не предусмотрено, поэтому размер выгрузки будет больше, чем у директории, однопоточен Таким образом, наиболее удобными с практической точки зрения является формат custom, либо directory - если вам требуется многопоточная выгрузка. При переносе между разными системами предпочтительно использовать plain, так как он представляет набор SQL команд и может быть легко отредактирован вручную.\nИтак приступим. Прежде всего следует узнать какие базы данных есть на нашем сервере и как они называются, для этого выполним:\n1psql -h localhost -U postgres -l В выводе мы увидим список баз и их параметры: В нашем случае мы будем бекапить базу данных test и местом хранения резервных копий определим /mnt/backup. Начнем с текстового формата, он используется по умолчанию и отдельно указывать его не нужно:\n1pg_dump -h localhost -U postgres -f /mnt/backup/test.sql test Общий синтаксис команды такой: сначала указываем все используемые ключи, первый аргумент без ключа считается именем базы данных, и оно должно быть последним в команде. Указывать ключи после имени базы не следует. В команде мы использовали ключи:\n-h сервер - указывает имя или адрес компьютера, на котором работает сервер СУБД -U имя_пользователя - имя пользователя, под которым производится подключение -f файл - файл, в который производится выгрузка Также ниже мы будем использовать ключи:\n-F формат - формат выгрузки -j число_заданий - количество потоков С полным перечнем ключей можно ознакомиться в официальной документации.\nОчень часто можно встретить такой вариант команды:\n1pg_dump -h localhost -U postgres test \u0026gt; /mnt/backup/test.sql Мы неоднократно сталкивались с тем, что выгруженные через перенаправление копии внешне выглядели вполне нормально, в том числе и копии в текстовом формате, но при восстановлении отказывались загружаться. Это происходит не всегда и не везде, преимущественно на платформе Windows, но для исключения подобных ситуаций перенаправление для создания резервных копий postgreSQL лучше не использовать.\nВнимание! Важно! Не используйте перенаправление для выгрузки и загрузки резервных копий!\nТеперь создадим выгрузку в формате custom:\n1pg_dump -h localhost -U postgres -Fc -f /mnt/backup/test.dump test Здесь у нас добавился еще один ключ, указывающий на формат выгрузки, если вы хотите выгрузить в формате tar, просто замените -Fc на -Ft.\nИ, наконец, в формате директории:\n1pg_dump -h localhost -U postgres -Fd -f /mnt/backup/test_dir -j 4 test Для данного формата у нас появился еще один ключ, указывающий число потоков выгрузки. Число потоков не должно превышать количество ядер процессора, но не все так просто: pg_dump спокойно нагрузит каждый поток, создав 100% загрузку ядер процессора, но сможет ли его принять устройство хранения? Может получиться так, что скорость записи на накопитель окажется бутылочным горлышком и вместо ускорения вы получите замедление как выгрузки дампа, так и всей системы вообще.\nПоэтому начните с небольшого количества, двух или четырех потоков, оцените нагрузку на систему и остановитесь на некотором оптимальном значении, это особенно важно, если на сервере в момент выгрузки будут работать пользователи. Нам ведь совершенно ни к чему чтобы они каждый час жаловались на тормоза.\nЕще одна тонкость, что будет если указанный файл выгрузки существует? Форматы, custom и tar молча перезапишут его. При выгрузке в формате directory вы получите сообщение, что целевая директория не пуста и выгрузка выполнена не будет. Это следует учитывать при написании скриптов, потому как при ошибке вы либо останетесь без старых копий, либо не будут создаваться новые. Хотя визуально все будет нормально.\nОсобенно легко ошибиться в случае с directory, если вы используете для выгрузки одну и ту же директорию, потом дополнительно архивируете ее и отправляете на устройство хранения. В этом случае вы будете архивировать одну и ту же старую копию. Поэтому директорию выгрузки надо всегда очищать или удалять.\nВосстановление базы данных из резервной копии Начнем с того, что восстановить базу данных PostgreSQL можно только в новую, пустую базу. Если мы хотим восстановить ее в существующую, то ее придется сначала удалить, а потом создать новую с таким же именем. Исключение - формат plain, это просто набор SQL-команд, которые мы можем выполнить на рабочей базе, выборочно туда что-то подгрузив. Но это требует определенных знаний и квалификации, что выходит за рамки нашей статьи.\nИтак, прежде всего удалим старую базу:\n1dropdb -h localhost -U postgres -i test В приведенной команде мы использовали ключ**-i** который запросит интерактивное подтверждение действия:\n1База данных \u0026#34;test\u0026#34; будет удалена навсегда. 2Продолжить? (y/n) Почему мы это сделали и советуем вам поступать также? Как показывает практика, данные команды часто вводятся методом копирования, неважно откуда, из статьи, документации, собственных записей, истории команд. В этом случае интерактивный запрос послужит предохранителем, который позволит остановиться и задуматься что вы делаете.\nА теперь создадим новую:\n1createdb -h localhost -U postgres -T template0 test Ключ -T указывает использовать при создании базы полностью пустой шаблон template0. Если вы хотите выполнить восстановление в отдельную новую базу, то просто создайте ее приведенной выше командой.\nНачнем восстановление с формата plain, так как это не дамп, а набор SQL команд, то для их исполнения мы будем использовать утилиту psql:\n1psql -h localhost -U postgres -d test /mnt/backup/test.sql Формат команды здесь такой же, сначала ключи, потом файл или директория, из которой идет восстановление. Ключ -d указывает имя базы данных, в которую мы загружаем выгрузку.\nДля остальных форматов следует использовать утилиту pg_restore, например восстановим дамп формата custom, в два потока:\n1pg_restore -h localhost -U postgres -d test -j 2 /mnt/backup/test.dump Синтаксис тот же самый, просто указываем базу и файл, с форматом утилита разберется самостоятельно. Если же вы попытаетесь подсунуть ей формат plain, то утилита откажется делать загрузку и любезно посоветует вам использовать для этого psql.\nЧто касается выбора количества потоков, то исходим из тех же соображений: один поток - одно ядро и обязательно тестируем, чтобы производительность диска не стала узким горлышком. Если вы выполняете восстановление в рабочее время, то учтите также влияние на работу пользователей, чтобы не вышло что вы запустили восстановление, а у всех остальных все стало.\nПри восстановлении из формата directory вместо файла укажите путь к папке:\n1pg_restore -h localhost -U postgres -d test -j 2 /mnt/backup/test_dir Напоминаем, что формат tar многопоточную загрузку не поддерживает, но вы можете его распаковать и загрузить многопоточно в формате directory.\nТакже есть способ несколько упростить себе жизнь, чтобы не удалять и не создавать заново базу данных мы можем выполнить:\n1pg_restore -h localhost -U postgres -d postgres -C -c /mnt/backup/test.dump Ключи -C -c предписывают перед загрузкой удалить и создать заново базу имя которой записано в дампе, в ключе -d при этом потребуется указать любую существующую базу, обычно указывается стандартная postgres. В результате выполнения данной команды вы можете получать некоторые безвредные сообщения об ошибках.\nОднако использовать эту команду следует очень осторожно и только на том сервере, откуда был сделан дамп. Также убедитесь, что вы взяли именно тот дамп, что надо. Но мы не рекомендуем так делать, особенно на продуктовых серверах, лучше осознанно удалите базу руками.\n","id":"3eac9c86983017597637a962130e7a0e","link":"https://interface31.ru/post/rezervnoe-kopirovanie-i-vosstanovlenie-baz-dannyh-postgresql-pri-pomoshhi-pg-dump-linux/","section":"post","tags":["1С Предприятие 8.х","Debian","Linux","PostgreSQL","SQL","Ubuntu","Резервное копирование"],"title":"Резервное копирование и восстановление баз данных PostgreSQL при помощи pg_dump на платформе Linux"},{"body":"Лицензирование 1С:Предприятия вопрос непростой, особенно если одновременно применяются разные типы лицензий. Чтобы успешно справиться с этой задачей, а также грамотно подходить к диагностике, в случае каких-либо неполадок надо не только знать правила лицензирования, но и представлять каким образом клиентское приложение выполняет поиск лицензии. Процесс этот достаточно сложный, зависит от типа клиента и многих других параметров, которые мы разберем в нашей статье и поможем разобраться почему лицензии могут внезапно закончится или оказаться недоступными при фактическом наличии.\nРассматривая вопрос поиска лицензий клиентским приложением 1С:Предприятия нужно понимать какие виды клиентских приложений могут использоваться и не путать их. Таких приложений существует целых пять:\nТолстый клиент позволяет реализовывать полные возможности 1С:Предприятия 8 в плане исполнения прикладного кода. Однако он не поддерживает работу с информационными базами через интернет, требует предварительной установки на компьютер пользователя и имеет довольно внушительный объем дистрибутива. Тонкий клиент может работать с информационными базами через интернет. Он также требует предварительной установки на компьютер пользователя, но имеет значительно меньший размер дистрибутива, чем толстый клиент. Веб-клиент не требует какой-либо предварительной установки на компьютер. В отличие от толстого и тонкого клиентов, он исполняется не в среде операционной системы компьютера, а в среде интернет-браузера Поэтому пользователю достаточно всего лишь запустить свой браузер, ввести адрес веб-сервера, на котором опубликована информационная база -- и веб-клиент \u0026quot;сам приедет\u0026quot; к нему на компьютер и начнет исполняться. Мобильный клиент -- это тонкий клиент для мобильных устройств, который обладает интерфейсом, аналогичным мобильной платформе. Конфигуратор - позволяет выполнять разработку и администрирование информационных баз. В реальности мы можем сократить их количество до трех: толстый и тонкий клиенты и веб-клиент, так как конфигуратор по сути является разновидностью толстого клиента, а мобильный - тонкого. Также не следует путать тонкий клиент работающий через веб-сервер и веб-клиент, это разные типы клиенты, общего у них только способ организации доступа к информационной базе - через веб-сервер.\nПорядок получения лицензий толстым и тонким клиентом Любое клиентское приложение начинает поиск лицензии локально, в данном случае локально - это на устройстве где установлен клиент.\nЕсли ранее лицензия была успешно получена, то выполняется попытка получения лицензии из того же файла программной лицензии или HASP ключа что и при последнем подключении При первом подключении или в том случае если на предыдущем этапе лицензия не была найдена выполняется поиск локальных программных лицензий Поиск локального ключа HASP Поиск сетевого ключа HASP доступного через HASP LM Поиск базовой лицензии на локальном компьютере Пока все более-менее понятно, но есть одна тонкость - базовая лицензия ищется самой последней. Обычно с этим нет проблем, так как лицензия уровня ПРОФ позволяет запускать базовые конфигурации, но если вы активировали лицензию разработчика и на этом же ПК есть легально лицензированная базовая конфигурация, то она начнет находить лицензию разработчика и выводить соответствующее предупреждение. Изменить такое поведение не представляется возможным.\nЕсли клиентская лицензия не была найдена локально, то поиск продолжится на сервере или веб-сервере. Если через веб-сервер подключена файловая база, то поиск лицензии будет осуществлен на узле веб-сервера, если база серверная, то поиск лицензий будет производиться на сервере 1С:Предприятие. Порядок поиска следующий:\nПрограммная лицензия или ключ защиты HASP откуда была получена лицензия при последнем удачном подключении Поиск локальной программной лицензии (на сервере / веб-сервере) Поиск локального клиентского ключа HASP (на сервере / веб-сервере) Поиск сетевого ключа HASP доступного через HASP LM Для клиент-серверных баз, если в кластере доступен отдельный Сервис лицензирования, часто называемый как \u0026quot;сервер лицензирования\u0026quot; поиск продолжается на нем:\nПрограммная лицензия на сервере лицензирования откуда была получена лицензия при последнем удачном запуске Поиск программной лицензии на сервере лицензирования При этом помним, что сервис лицензирования может работать только с программными лицензиями и не умеет работать с HASP-ключами, как локальными, так и сетевыми.\nВыдача лицензии сервером имеет свои особенности:\nЛицензия выдается на каждый сеанс, т.е. один клиент может занять несколько лицензий Сервер может подключиться только к одному локальному и одному сетевому ключу одной серии А вот здесь все становится гораздо интереснее. Если у вас используются сетевые аппаратные ключи, доступные через HASP LM, то если лицензию с него получает клиент, то она используется как однопользовательская, т.е. позволяет открыть на клиенте неограниченное количество сеансов. Но если клиент по какой-либо причине потерял связь со службой HASP LM, а сервер продолжает ее видеть, то лицензии с этого ключа начнет раздавать сервер, только уже как многопользовательскую, т.е. по одной лицензии на каждый сеанс. Что может привести к быстрому исчерпанию количества лицензий.\nТакже если у вас в сети два сетевых ключа одной серии, то сервер подключившись к одному из них более не будет искать второй, даже если там есть свободные лицензии.\nПорядок получения лицензий веб-клиентом Веб-клиент не требует установки и поэтому локальный поиск лицензии на компьютере клиента для него невозможен. Далее все зависит от того, с каким типом базы мы работаем. Если это файловая база, то поиск будет осуществляться на компьютере с веб-сервером, все лицензии выдаются только в многопользовательском режиме (на сеанс):\nПолучение лицензии из файла программной лицензии или HASP ключа откуда была получена лицензия при последнем удачном подключении Поиск локальной программной файловой лицензии (на веб-сервере) Поиск локального ключа HASP (на веб-сервере) Поиск сетевого ключа HASP доступного через HASP LM Если база клиент-серверная то поиск лицензий производится на сервере 1С:Предприятие:\nПрограммная лицензия или ключ защиты HASP откуда была получена лицензия при последнем удачном подключении Поиск локальной программной лицензии (на сервере) Поиск локального клиентского ключа HASP (на сервере) Поиск сетевого ключа HASP доступного через HASP LM Программная лицензия на сервере лицензирования откуда была получена лицензия при последнем удачном запуске Поиск программной лицензии на сервере лицензирования Обратите внимание, что веб-клиент для клиент-серверных баз никогда не ищет лицензии на узле веб-сервера, даже если там есть свободные лицензии. Это заставляет в случае одновременного использования веб-клиента с файловыми и серверными базами держать два набора лицензий (на сервере и веб-сервере) в количестве достаточном для покрытия всех сеансов.\nОсобенности привязки программной лицензии к HASP-ключу Программная лицензия 1С:Предприятие по умолчанию привязывается к компьютеру и учитывает достаточно много критериев, поэтому при смене оборудования часто приходится активировать ее повторно, но этого можно избежать, привязав ее к любому доступному HASP-ключу, локальному или сетевому. Казалось бы - вот выход из ситуации. Но такая схема имеет свои, важные особенности.\nЛицензия как была программной, так и остается, т.е. располагается на том узле, где мы ее активировали и работает как однопользовательская или многопользовательская. При необходимости мы можем перенести ее на другой узел, главное чтобы был доступен ключ, к которому она привязана. Но в момент ее поиска клиент должен выполнить проверку привязки, а для этого на аппаратном ключе должна быть хотя бы одна свободная лицензия. Если все лицензии ключом выданы, то проверка не может быть осуществлена и клиент такую лицензию использовать не сможет.\nПоэтому при совместном использовании программных и аппаратных лицензий всегда помните, что привязка программной лицензии к ключу - это минус одна лицензия на ключе и тщательно просчитывайте количество подключений. Иначе можете остаться без лицензий в самый неожиданный момент.\nЕсли вы не используете аппаратные ключи, то процесс поиска можно упростить, а следовательно ускорить запуск 1С:Предприятие, для этого следует использовать параметр UseHwLicenses=0 в конфигурационном файле 1cestart.cfg, который отключит поиск лицензий на аппаратных ключах.\n","id":"0c2c670eaef8767d8150042d0b816f59","link":"https://interface31.ru/post/poryadok-polucheniya-licenziy-1spredpriyatiya-klientskim-prilozheniem/","section":"post","tags":["1С Предприятие 8.х","Лицензирование"],"title":"Порядок получения лицензий 1С:Предприятия клиентским приложением"},{"body":"Об операционной системе МСВСфера наслышаны многие, но мало кто ее реально видел, а еще меньше тех, кому довелось с ней работать. И в этом не было ничего удивительного, долгое время эта система была закрытой и разрабатывалась по заказу Минобороны. Но в настоящий момент все стало совсем по-другому, МСВСфера 9 находится в свободном доступе и может совершенно бесплатно использоваться физическими лицами, для коммерческого использования придется приобрести лицензию. И поэтому сегодня мы познакомимся с ней поближе.\nСвоими корнями МСВСФера уходит в проект Мобильной системы Вооруженных сил (МСВС) разработка которой началась в 2010 году по заказу Министерства обороны, в качестве базового дистрибутива для системы был выбран Red Hat. Долгое время развитием системы занималась компания Национальный центр развития и поддержки (НЦПР), пока в 2021 году не была куплена одним из лидеров IT-рынка группой компаний Softline. С этого момента изменились как подходы к разработке и развитию системы, а также ее позиционирование.\nСама компания описывает свой продукт следующим образом:\nОперационная система «МСВСфера» является полноценной альтернативой зарубежным операционным системам уровня Enterprise Linux. Включает в себя встроенные инструменты миграции для перехода с операционных систем Red Hat Enterprise Linux, CentOS, AlmaLinux, Rocky Linux и Oracle Enterprise Linux.\nПри этом никто не скрывает, что дистрибутив построен на базе Enterprise Linux. Что такое Enterprise Linux? Это свободный репозиторий исходных кодов RHEL полученных из различных легальных источников и поддерживаемый компаниями Oracle, SUSE и CIQ (разработчик Rocky) через созданную ими ассоциацию OpenELA. Таким образом МСВСфера 9 является тем, чем раньше был CentOS - полностью бинарно совместимым клоном RHEL, только отечественной сборки и присутствующий в реестре.\nХотя с добавлением в реестр и возникли проблемы, претензии высказал представитель Альт Линукс, одной из которых был недостаточный уровень переработки. Хотя для Enterprise Linux важно как раз иное, а именно наиболее полное следование RHEL, по принципу ошибка к ошибке, чтобы клон полностью повторял поведение оригинала, включая ошибки.\nВажно еще и то, что сейчас на российском рынке, кроме МСВСфера, нет систем на базе Enterprise Linux, ранее базирующаяся на этой платформе РЕД ОС отказалась от ее использования в пользу собственных разработок. А спрос на Enterprise Linux никуда не делся, с учетом всех требований импортозамещения, поэтому МСВСфера является хорошей альтернативой для таких случаев.\nТем более, что с системой можно ознакомиться абсолютно свободно, что мы сейчас и сделаем. Система доступна в двух вариантах: АРМ (автоматизированное рабочее место) и Сервер, мы далее будем рассматривать АРМ. Образ предлагает загрузку в Live-режиме, что сразу позволяет оценить совместимость системы с оборудованием и комфортность работы на имеющихся аппаратных средствах, либо можно сразу перейти к установке. Инсталлятор - привычная любому пользователю RHEL-систем Anaconda, минимально брендированная. Каких-либо особенностей установки нет, все стандартно. Установка не занимает много времени, грузится система достаточно быстро, какого-то особого брендирования нет, просто небольшое лого внизу стандартного экрана, разумный минимализм, как и подобает корпоративной системе. Что нас ожидает внутри? Оболочка графического стола GNOME 40 с альтернативным меню Arc Menu. Последнему стоит уделить немного внимания, так как это крайне гибкий и удобный продукт, с множеством настроек, в том числе предустановленных и отличная альтернатива крайне неоднозначному полноэкранному меню GNOME. Можно смело брать на вооружение и пользователям других дистрибутивов. По умолчанию меню настроено в стиле Windows 10, но вы можете выбрать любой из множества представленных вариантов, в самых разнообразных стилях, причем не только Windows, но и Linux или macOS, а также без привязки к существующим системам. При этом каких-то фирменных стилей вы не найдете, возможности кастомизации стандартные, на уровне нескучных обоев. Но не будем забывать, что Enterprise Linux - это про работу, а не про развлечения и вау-эффекты. Теперь заглянем под капот, сразу видим, что система построена на базе Enterprise Linux 9.4, что отражено в названии ОС и работает с ядром 5.14. Не самая свежая версия, но данная платформа всегда отличалась консерватизмом, местами даже нездоровым, но зато предоставляла и предоставляет стабильность и 10 лет поддержки. Прикладной софт примерно такой же степени древности. Ну да никто ничего другого увидеть и не ожидал. Потому что МСВСфера 9, как бинарный клон RHEL - это не домашний ПК и даже не рабочий компьютер широкого профиля, в лучшем случае это рабочая станция в корпоративной среде, где на первый план выходит бинарная совместимость и срок поддержки.\nБраузер по умолчанию - Chromium, просто, без GOST, хотя на наш взгляд здесь бы лучше смотрелась GOST-версия или вообще Яндекс-Браузер. Для управления пакетами есть магазин, но он крайне скромен, если не сказать убог. Выбор приложений практически никакой, но если вы давний пользователь CentOS и знаете, что такое Enterprise Linux, то это вас не удивит. Хотя мы бы хотели видеть там больше отечественных продуктов, но кроме Chromium GOST там ничего больше нет. Хотя никакого труда поставить тот же Яндекс-Браузер не составляет, просто качаем пакет с сайта и ставим его двойным кликом мыши. Что-то иное? Давайте попробуем поставить 1С:Предприятие, тоже никаких проблем, качаем и ставим. Но 1С как всегда в своем репертуаре, отличаясь крайне низкой культурой сборки пакетов для Linux она так и не смогла обеспечить полноценную работу в среде Enterprise Linux 9, хотя эта платформа заявлена как поддерживаемая. К счастью, подобные ошибки лечатся очень легко, буквально походя и через пару минут у нас полностью рабочая 1С. Но сам подход разработчиков в этом плане удручает. Ни одна новая отечественная операционная система до сих пор не поддерживается 1С из коробки. Мультимедийная составляющая в системе на базовом уровне, но ее вполне хватает, чтобы поставить на фоне музыку. Или посмотреть в обед какой-нибудь фильм. Все кодеки на месте, все современные форматы поддерживаются, но не более. Система для работы, а не для развлечений. Выводы МСВСфера 9 - это классический Enterprise Linux в современной версии. Тот же старый-добрый CentOS, но в реестре. И больше тут особо нечего ни прибавить, ни убавить. Те, кому нужны подобные системы обычно знают все их особенности и также знают зачем и как они их будут применять.\nНикаких своих особенностей у Сферы нет, это максимально приближенный к аналогу клон RHEL, свои тут только логотипы и настройки стартового меню. Но именно этого и ожидают от системы пользователи платформы Enterprise Linux. Им нужен именно полный бинарный клон, на уровне ошибка к ошибке.\nА с учетом текущих реалий МСВСфера 9 является единственной отечественной системой уровня Enterprise Linux которая присутствует в реестре отечественного ПО и, следовательно, может быть использована в рамках импортозамещения.\n","id":"4c7563a5f59084d76a0cfea47ff9b556","link":"https://interface31.ru/post/msvsfera-9-dlya-teh-komu-nuzhen-enterprise-linux-iz-reestra/","section":"post","tags":["CentOS","Linux","RHEL","Импортозамещение","МСВСфера"],"title":"МСВСфера 9 - для тех кому нужен Enterprise Linux из реестра"},{"body":"Fail2Ban - давно зарекомендовавшее себя решение для Linux систем, позволяющее эффективно выявлять и блокировать вредоносную активность, такую как подбор паролей или поиск уязвимостей. Но как быть, если защищаемые узлы находятся внутри сетевого периметра, а на внешнем контуре находится роутер Mikrotik? Ведь хотелось бы управлять блокировками на уровне всей сети, а не отдельного узла. Нет ничего сложного, в этой статье мы расскажем как быстро и просто обеспечить совместную работу этих двух популярных продуктов.\nЧасто встречающийся сценарий: Linux хосты находятся внутри сетевого периметра и общаются с внешним миром только через проброс портов или обратный прокси. Выход в сеть обеспечивает роутер Mikrotik. В данном случае остро встает вопрос защиты конечных узлов от вредоносной активности. Часть атак можно выявить и блокировать на сетевом уровне, но это будет лишь малая доля. Гораздо эффективнее с этой задачей справляется Fail2Ban на основе анализа логов приложений.\nМожно, конечно, закрыть с помощью Fail2Ban каждый отдельный узел, но это не является эффективным решением так как злоумышленника нужно блокировать не только на уровне отдельного внутреннего узла, но и на уровне внешнего периметра сети, за который отвечает Mikrotik. Поэтому самое время заняться интеграцией двух систем, благо сделать это абсолютно не сложно.\nСоздание RSA-ключа для аутентификации в RouterOS Для того, чтобы ваш Linux-сервер безопасно подключался к роутеру Mikrotik создадим отдельный SSH-ключ, RouterOS поддерживает только устаревшие алгоритмы шифрования DSA и RSA, поэтому использование такого ключа следует ограничить только работой с Mikrotik. Данный ключ должен быть создан для пользователя root, поэтому сначала повысим права командой:\n1sudo -s Или, если пакет sudo не установлен:\n1su - А затем выполним генерацию ключа:\n1ssh-keygen -t rsa В процессе вас явно спросят о расположении ключа:\n1Enter file in which to save the key (/root/.ssh/id_rsa): введем полный путь:\n1/root/.ssh/id_rsa_routeros В нашем случае ключ будет иметь имя id_rsa_routeros, вместе с ним в указанном расположении будет создан файл публичного ключа id_rsa_routeros.pub. От установки пароля на ключ отказываемся.\nТеперь нам нужно любым доступным образом скопировать файл публичного ключа id_rsa_routeros.pub и передать его на роутер Mikrotik.\nВнимание! Не перепутайте! Файл id_rsa_routeros - это закрытый ключ, он является секретным и никогда не должен покидать пределы устройства. Копировать можно только публичные ключи с расширением .pub!\nВ RouterOS перейдите в System - Users - SSH Keys и добавьте ключ нажав на кнопку Import SSH Key, при импорте укажите пользователя, которому импортируете ключ, это должен быть пользователь с полными правами. 1 ssh -i /root/.ssh/id_rsa_routeros admin@192.168.72.1 Где /root/.ssh/id_rsa_routeros - полный путь к закрытому ключу, admin - пользователь RouterOS для которого мы импортировали ключ, 192.168.72.1 - адрес нашего роутера. Если все сделано правильно, то вы увидите в терминале приглашение Mikrotik. На этом настройка доступа по ключу к роутеру Mikrotik закончена, переходим к следующему этапу.\nНастройка Fail2Ban для совместной работы с брандмауэром Mikrotik Современный Fail2Ban - сложная система, поэтому разработчики крайне не рекомендуют вносить настройки в существующие файлы конфигурации, а переопределять их через специальные файлы расширения. Для этого предназначены три специальные директории:\n1/etc/fail2ban/action.d 2/etc/fail2ban/filter.d 3/etc/fail2ban/jail.d Первая, как понятно из наименования содержит описания действий, определяющая порядок блокировки/разблокировки. Вторая - фильтры, т.е. правила анализа системных журналов для выявления нежелательной активности. Ну а последняя связывает в себе фильтры и действия, указывая как именно реагировать на проявление нежелательной активности.\nФайлы конфигурации могут иметь два расширения .conf и .local. По принятому соглашению файлы .conf устанавливаются самой службой и могут быть перезаписаны при обновлении, файлы .local - локальные изменения конфигурации и внесенные в них значения имеют наивысший приоритет, т.е. переопределяют значения из файлов .conf.\nСначала создадим файл с нужными действиями, для этого используем редактор nano, если же вам больше нравится редактор Midnight Commander, то замените в команде nano на mcedit:\n1nano /etc/fail2ban/action.d/mikrotik.local И внесем в него следующее содержимое, в параметрах подключения используем значения которые мы разобрали ранее:\n1[Definition] 2actionstart = ssh -i /root/.ssh/id_rsa_routeros admin@192.168.72.1 \u0026#34;/ip firewall address-list remove [find list=Fail2Ban]\u0026#34; 3actionstop = ssh -i /root/.ssh/id_rsa_routeros admin@192.168.72.1 \u0026#34;/ip firewall address-list remove [find list=Fail2Ban]\u0026#34; 4 5actionban = ssh -i /root/.ssh/id_rsa_routeros admin@192.168.72.1 \u0026#34;/ip firewall address-list add list=Fail2Ban address=\u0026lt;ip\u0026gt; comment=\u0026lt;time\u0026gt;\u0026#34; 6actionunban = ssh -i /root/.ssh/id_rsa_routeros admin@192.168.72.1 \u0026#34;/ip firewall address-list remove [find address=\u0026lt;ip\u0026gt; list=Fail2Ban]\u0026#34; Действия будут сводиться к добавлению в специальный адресный лист Fail2Ban адресов при блокировке и удалении при разблокировке, за это отвечают действия actionban и actionunban. Также логика Fail2Ban подразумевает очистку правил при остановке службы с повторным добавлением узлов, срок бана которых еще не истек при ее старте. Для этого у нас предусмотрено два дополнительных действия actionstart и actionstop, которые будут очищать адресный список на Mikrotik при запуске и остановке службы.\nТеперь научим Fail2Ban работать с нашим роутером. По умолчанию в основанных на Debian системах включена только защита SSH, для чего jail sshd подключается с параметрами по умолчанию в файле /etc/fail2ban/jail.d/defaults-debian.conf:\n1[sshd] 2enabled = true Не будем трогать этот файл, а переопределим нужные параметры в собственном файле .local:\n1nano /etc/fail2ban/jail.d/sshd-mikrotik.local Куда внесем следующий текст:\n1[sshd] 2enabled = true 3action = mikrotik 4maxretry = 3 5bantime = 24h Напоминаем, что нам не нужно прописывать все параметры, а только те, что мы хотим переопределить. В нашем случае главное, это action = mikrotik, т.е. действие описанное в конфигурационном файле действий с именем mikrotik. Также мы переопределили порог ложных срабатываний, до трех и срок бана до суток.\nСохраняем изменения и перезапускаем службу:\n1systemctl restart fail2ban Проверяем что нет ошибок и служба успешно перезапустилась:\n1systemctl status fail2ban Теперь проверим работу наших настроек, попробуем кого-нибудь забанить:\n1fail2ban-client set sshd banip 1.2.3.4 Теперь в списках на Mikrotik должен появиться указанный нами адрес в составе списка Fail2Ban. 1systemctl stop fail2ban Все адреса из списка должны пропасть.\nСнова запустим:\n1systemctl start fail2ban Список адресов снова наполнится.\nПроверим разблокировку:\n1fail2ban-client set sshd unbanip 1.2.3.4 Указанный адрес будет удален из списка.\nТеперь осталось добавить последний штрих - блокировку указанных в списке адресов брандмауэром Mikrotik, для этого будем использовать таблицу RAW, перейдем в IP - Firewall - RAW и добавим новое правило: Chain - prerouting, Src. Address List - Fail2Ban (если данного листа пока не существует, то просто укажите его название как в конфигурации action Fail2Ban), на закладке Action добавляем действие drop. Или в терминале:\n1/ip firewall raw 2add action=drop chain=prerouting src-address-list=Fail2Ban На этом настройка совместной работы Fail2Ban и брандмауэра Mikrotik завершена, теперь вы можете использовать сильные стороны каждой из указанных систем. В завершение хотим сказать, что если вы хотите интегрировать с Mikrotik сразу несколько Linux-систем с Fail2Ban, то используйте для каждой из них отдельный адресный лист.\n","id":"9684bd91e33ba80379c2922113b07ed2","link":"https://interface31.ru/post/nastraivaem-fail2ban-dlya-sovmestnoy-raboty-s-brandmauerom-mikrotik/","section":"post","tags":["Debian","Fail2Ban","Firewall","Linux","Microsoft","Ubuntu Server","Безопасность","Сетевые технологии"],"title":"Настраиваем Fail2Ban для совместной работы с брандмауэром Mikrotik"},{"body":"Миграция виртуальных машин и контейнеров между узлами, не входящими в один кластер, достаточно часто встречающаяся задача. Наиболее простой способ - через выгрузку-загрузку резервной копии, но он может занять продолжительное время и не решает вопроса миграции с минимальным простоем. Начиная с Proxmox VE 7.3 мы можем использовать штатную утилиту remote-migrate, которая позволяет выполнить это задачу в кратчайшие сроки и даже поддерживает онлайн-миграцию. Подробнее в нашей статье.\nСразу начнем с того, что утилита remote-migrate до сих пор является экспериментальной, а это значит, что не все возможности могут поддерживаться на текущий момент или в работе утилиты могут происходить ошибки. Поэтому используем ее на свой страх и риск.\nНачнем с ограничений, они выявлены нами эмпирическим путем, часть из них подтверждена на официальном форуме. Поэтому данный список не является исчерпывающим.\nМиграция виртуальных машин и контейнеров с ZFS-хранилища возможна только в ZFS-хранилище Миграция дисков формата Qcow2 возможна только в хранилище с поддержкой данного формата Версия QEMU принимающего узла должна быть не ниже версии отправляющего узла Если обобщить, то самым универсальным для миграции форматом диска является RAW, который используется в том числе и для LVM-томов. Так как физически протестировать все варианты хранилищ у нас не было никакой возможности, то на практике вы можете столкнуться и с иными ограничениями. В этом случае вам следует выполнить конвертацию диска перенеся его в хранилище нужного типа. После этого не забудьте удалить старый диск, иначе миграция окончится неудачей.\nПолучение токена для аутентификации на узле-приемнике Для подключения к узлу-приемнику нам понадобится токен, подключаемся в его консоль и выполняем там команду:\n1pveum user token add root@pam migration -privsep 0 С ее помощью мы получим для пользователся root токен с наименованием migration, обязательно сохраните полученную информацию, особенно значение поля value - это секретный ключ, повторно узнать его не получится. 1pvenode cert info Нужная вам информация находится в одноименном поле. Никаких дополнительных настроек узла приемника производить не нужно.\nМиграция виртуальных машин Теперь приступим непосредственно к миграции, для этого нам нужно знать идентификаторы (ID) нужных нам машин на узле-источнике и свободные идентификаторы на узле приемнике, а также наименование нужного хранилища узла-приемника и сетевого моста, к которому мы будем производить подключение сетевой карты виртуальной машины.\nКоманда миграции довольно сложная и длинная, поэтому, в целях улучшения ее восприятия мы ее упростим, используя переменные среды, это удобно, особенно если вы переносите сразу несколько машин или экспериментируете с миграцией. Добавим две временные переменные, они будут существовать до завершения текущего сеанса:\n1export APITOKEN=\u0026#39;PVEAPIToken=root@pam!migration=9cc535ee-4dc5-4166-a433-6a4268d13fd0\u0026#39; 2export FINGERPRINT=\u0026#39;3B:E8:31:8F:4D:21:AC:9B:F6:7E:D6:C9:8F:E8:99:C7:37:84:4E:C6:5F:2F:5F:DC:AC:BB:2F:7B:0C:00:09:64\u0026#39; В первой переменной мы указываем имя токена и секретный ключ для него, во второй - отпечаток сертификата. Глядя на длину строк, можно представить насколько мы только что сократили размер команд. Для самого переноса выполним:\n1qm remote-migrate 804 704 apitoken=${APITOKEN},host=192.168.3.76,fingerprint=${FINGERPRINT} --target-bridge vmbr0 --target-storage local-lvm После самой команды мы указываем текущий идентификатор виртуальной машины на данном узле, желаемый идентификатор на узле приемнике, затем параметры подключения к узлу, включающие адрес хоста, токен и отпечаток сертификата, которые мы заменили переменными. Последние два параметра указывают сетевой мост и хранилище узла приемника. Для такого переноса виртуальная машина должна быть выключена.\nДля онлайн переноса включенной машины добавьте к команде дополнительный ключ online:\n1qm remote-migrate 804 704 apitoken=${APITOKEN},host=192.168.3.76,fingerprint=${FINGERPRINT} --target-bridge vmbr0 --target-storage local-lvm --online При онлайн миграции сначала будет скопировано хранилище, затем виртуальная машина будет поставлена на паузу и перенесено состояние памяти, после чего она будет запущена на новом узле. При этом само состояние машины сохраняется, а для внешних пользователей она не некоторое время становится недоступной, данное время зависит от размера занятой памяти и скорости передачи данных между узлами.\nНа узле источнике перенесенная машина будет заблокирована, чтобы избежать появления в сети клона мигрировавшей машины.\nМиграция контейнеров Миграция контейнеров в целом не отличается от миграции виртуальных машин, с одним только ограничением - онлайн миграция контейнеров на момент написания данной статьи не поддерживается. Поэтому переносим контейнер в выключенном состоянии:\n1pct remote-migrate 806 706 apitoken=${APITOKEN},host=192.168.3.76,fingerprint=${FINGERPRINT} --target-bridge vmbr0 --target-storage local-lvm В остальном синтаксис команды повторяет такой же для виртуальных машин, и мы также используем переменные, поэтому не забудьте задать их заранее.\nЕсли контейнер запущен, и вы не хотите выключать его руками, то используйте миграцию с перезагрузкой:\n1pct remote-migrate 806 706 apitoken=${APITOKEN},host=192.168.3.76,fingerprint=${FINGERPRINT} --target-bridge vmbr0 --target-storage local-lvm --restart Ключ restart указывает выключить контейнер перед миграцией и включить его на узле приемнике после переноса. Как и виртуальная машина после миграции контейнер будет заблокирован.\n","id":"4867598b935496a402d3ac1e9c5083a4","link":"https://interface31.ru/post/onlayn-migraciya-virtual-nyh-mashin-i-konteynerov-proxmox-ve-mezhdu-uzlami-pri-pomoshhi-remote-migra/","section":"post","tags":["Proxmox","Виртуализация"],"title":"Онлайн миграция виртуальных машин и контейнеров Proxmox VE между узлами при помощи remote-migrate"},{"body":"Zabbix - сложная система и у начинающего пользователя часто разбегаются глаза и он теряется среди новых для него терминов и обилия информации. Поэтому, прежде чем браться за ее освоение, нужно изучить базовые понятия и основы построения системы, чтобы понимать из каких элементов, как из кирпичиков, строится мониторинг. Данная статься рассчитана на начинающих, но также будет полезна и тем, кто уже работает с Zabbix так как поможет освежить и систематизировать знания, а может быть даже и узнать что-то новое.\nУзел сети Весь мониторинг в Zabbix строится вокруг узлов сети (Host) которые являются объектами наблюдения. Каждый узел сети является некоторой сущностью - физическим компьютером, сетевым устройством, виртуальной машиной или некоторым приложением. Понятие о том, что может являться узлом сети у Zabbix очень гибкое, при желании можно мониторить практически все что угодно.\nКаждый узел сети имеет свой сетевой адрес и может опрашиваться некоторым способом, например, при помощи Zabbix agent или SNMP, все способы мы приводить не будем, их много. Основной режим работы системы мониторинга - это пассивные проверки, когда сервер обращается к узлу сети и получает от него запрошенные данные. В качестве альтернативы могут быть настроены активные проверки, в этом случае агент самостоятельно обращается к серверу, получает он него список элементов для сбора данных, собирает их и самостоятельно передает серверу.\nУзлы сети могут быть добавлены вручную или с помощью автоматического обнаружения, которое может по определенным условиям сканировать указанный диапазон сети, находить и добавлять обнаруженные узлы, а также удалять неактивные. Данной возможностью удобно пользоваться для обнаружения компьютеров мобильных пользователей, либо в тестовых средах, где вы постоянно создаете и удаляете новые сущности.\nУзлы сети объединяются в группы, так как все права доступа назначаются только на группы, то каждый узел должен входить хотя бы в одну группу.\nЭлемент данных Второй основной кирпичик системы мониторинга - элемент данных (Item), каждый элемент данных определяет одну метрику узла сети, а также правила сбора и хранения информации по выбранной метрике. Тип элемента данных зависит от типа собираемой информации, это может быть строка, число, булево значение и т.д. и т.п.\nСуществуют также вычисляемые элементы данных, которые не собираются с узлов сети, а вычисляются на основании других элементов, например, объем свободной или занятой памяти в % и т.п. При этом в базе Zabbix могут храниться значения только вычисляемых элементов, а взятые за основу сырые данные не сохраняются. Это связано с тем, что сырые данные могут поступать в неудобной для восприятия человеком форме и после вычисления нужного значения более не требуются.\nНапример, ниже показан элемент данных сырых значений загрузки процессора для роутера Mikrotik, данное значение сервер получает по SNMP и в базе не хранит. Здесь же мы можем увидеть, что данная метрика считывается раз в минуту и формат получаемых данных - текст. На основании этих данных вычисляется загрузка процессора в привычном нам числовом, процентном значении и именно она записывается и хранится в базе: Здесь следует обратить внимание на два параметра хранения: История и Динамика изменений. История хранит сами значения мониторинга, а динамика изменений - их усредненные значения за час (хранится среднее значение, минимум и максимум), что гораздо менее ресурсоемко. Несложно подсчитать, что для хранения данных собираемых каждую минуту в течении 31 дня нам понадобится 44 640 записей в базе данных, а для хранения динамики изменений на протяжении года - всего 8 760 записей. Поэтому период хранения истории должен быть небольшим, достаточным ровно для того, чтобы была возможность по горячим следам расследовать инцидент или произвести тонкую подстройку под нагрузку, а хранить следует именно динамику изменений.\nЕще одна возможность элементов данных Zabbix - это пропускать значения, если они не изменились. Например, информацию о версии прошивки роутера или имени узла. Такая информация считывается достаточно часто, раз в 1 час у того же Mikrotik, но в базу записывается только одно значение за день, если не было изменений, или два - если такие изменения были. В противном случае нам бы пришлось хранить 24 одинаковых записи. Также не следует путать элемент данных с самой метрикой, потому что кроме значения метрики он задает правила ее сбора и хранения, либо может вообще вычисляться на основе собранных метрик.\nТриггер Элементы созданы и собирают данные, много данных. Понятно, что следить за ними самостоятельно нет никакой возможности. Но мы должны как-то реагировать на их изменения, желательно без непосредственного участия человека. Для оценки собираемых данных предназначены триггеры (Trigger), триггер содержит выражение, представляющее некоторое пороговое значение с которым постоянно сравниваются поступающие данные. При выходе за указанное пороговое значение триггер срабатывает и переходит в состояние проблема, давая понять, что что-то произошло и может потребовать нашего внимания.\nЧто это может быть? Самое простое - выход контролируемого параметра за некие контрольные пределы, например, загрузка CPU. Ниже приведен именно такой триггер, который анализирует среднюю нагрузку на процессор за последние пять минут и сработает в случае превышения порогового значения. Обратите внимание, что пороговое значение задано в виде переменной, что дает возможность переопределить ее на уровне узла сети. У каждого триггера есть степень важности, в нашем случае превышение нагрузки на процессор является Предупреждением, но мы можем создать несколько триггеров с разными пороговыми значениями и разной степенью важности. Это позволяет как настроить разные действия, так и фильтровать журнал текущих проблем, отображая только актуальные.\nЧто будет, если поступающие данные вновь вернутся в допустимый диапазон? Это описано в настройке Генерация ОК событий, в нашем случае там стоит значение Выражение, это означает что срабатывание триггера и обратный переход его в состояние ОК определяется одним и тем же выражением. Т.е. как только нагрузка в течении последних 5 минут не будет превышать пороговое значение триггер сам переключится обратно. Однако мы можем задать отдельное выражение для генерации этого события, например, триггер будет возвращаться в состояние ОК только тогда, когда пороговое значение не будет превышено в течении, скажем, получаса.\nТакой подход позволяет избегать многократного срабатывания триггера, если нагрузка носит периодический пиковый характер в течении продолжительного времени и один раз сработавший триггер будет находиться в состоянии проблема все время пока нагрузка не придет в норму.\nКаждое срабатывание триггера генерирует событие типа Проблема, мы можем настроить однократный режим, когда событие создается при первом срабатывании триггера и более не повторяется до его перехода в состояние ОК, либо можно генерировать проблему при каждом срабатывании триггера, вне зависимости от предыдущего состояния. Так в нашем случае при поступлении данных раз в минуту и продолжающейся нагрузке на процессор вы будете получать новое срабатывание и новую проблему каждую минуту.\nЗачем это может быть нужно? Для проблем с уровнем Чрезвычайная, когда нужно всеми способами обратить на нее внимание ответственных лиц.\nНекоторые триггеры можно разрешить закрывать вручную. Обычно это события уровня информация, когда просто нужно уведомить о чем-то администратора и получить от него подтверждение, что он информацию принял и отреагировал. Например, это триггер об изменении версии прошивки устройства. Данный триггер может помочь вам проконтролировать обновление прошивок парка роутеров в пакетном режиме. Все обновились, все отчитались, посмотрели и закрыли проблему вручную. А что будет, если администратор ее проигнорирует? Она провисит ровно час, через час (период опроса) первое значение прошивки будет равно второму и триггер автоматически перейдет в состояние ОК закрыв проблему.\nОднако вы всегда сможете проконтролировать это событие в истории проблем. Но мозолить глаза и наводить суету оно вам больше не будет. И таких триггеров довольно много, которые генерируют событие на короткое время, а потом снова переходят в состояние ОК. Скажем, триггер на перезагрузку узла, оно создает проблему ровно на 10 минут, после чего снова переходит в состояние ОК. Если никто не отреагировал, то, скорее всего, так оно и надо.\nДействия Каждое срабатывание триггера порождает событие (Event) и для реакции на событие мы можем использовать действие (Action). Одним из штатных действий является оповещение. Если мы его откроем, то увидим, что условия срабатывания у него отсутствуют, т.е. работать оно будет по любому событию не разделяя их по важности. Но сейчас это не важно, после срабатывания действия оно выполнит указанные в нем операции. В нашем случае оповестит всех администраторов всеми доступными способами. Кроме действия по срабатыванию триггера мы можем настроить действия по его восстановлению и обновлению. Так, если контролируемая метрика снова пришла в норму, то мы можем уведомить об этом всех причастных чтобы они перестали нервничать и занялись своими повседневными делами. Операции обновления позволяют отреагировать на то, что кто-то занялся проблемой и внес какие-либо изменения в ее статус: подтвердил, закрыл вручную или изменил степень важности. Об этом тоже можно автоматически уведомить коллег чтобы не получилось так, что сразу несколько сотрудников одновременно решают одну и ту же проблему.\nНо действия это не только уведомления, Zabbix умеет выполнять на узлах сети удаленные команды. Часто для реакции на событие вовсе не обязательно дергать администратора, особенно если для его устранения требуются простые действия. Скажем поступил сигнал, что свободное место на пользовательском ПК заканчивается. В этому случае мы можем удаленно запустить очистку диска, что в подавляющем большинстве случаев проблему решит.\nА если не решит? В этом случае можем использовать эскалацию, под этим словом подразумевается добавление в операции дополнительных шагов. В нашем случае после запуска очистки диска мы можем подождать 15 минут и если проблема не разрешилась, то уведомить администратора.\nДанную возможность трудно переоценить, так как она позволяет создавать развернутые сценарии, например:\nКак видим, при помощи действий мы можем комбинировать как уведомления, так и активные действия направленные на решение проблемы если никакой реакции от ответственных лиц не последует.\nШаблоны Элементы данных, триггеры - все это хорошо, но даже на одном узле сети их может быть множество, не будем же мы их добавлять руками? Конечно же не будем, для этого у нас существуют шаблоны (Template), каждый шаблон содержит элементы данных и связанные с ними триггеры для определенного применения. Так, если у вас Windows система, то вы берете шаблон для Windows, Linuх- для Linux и применяете его к узлу сети.\nМожно применить несколько шаблонов, допустим у нас есть узел Proxmox и мы применяем к нему шаблоны Linux by Zabbix agent и Proxmox VE by HTTP, каждый из которых собирает собственный набор данных и содержит собственные триггеры. Но это еще не все, кроме элементов данных и триггеров шаблоны могут содержать предварительно настроенные графики и панели, что облегчает визуальное восприятие собираемой информации. Отдельное внимание следует уделить правилам обнаружения. Скажем, подключая некоторый узел мы можем быть уверены, что там есть процессор и память. А вот если ли накопители, какие и сколько, какие на них файловые системы, сколько и каких сетевых адаптеров - это вопросы не имеющие однозначного ответа. Правила обнаружения позволяют автоматически получать информацию о подобных сущностях и добавлять их в мониторинг. Добавили в систему новый диск? Никаких проблем, автоматически появится в мониторинге.\nШаблоны значительно облегчают работу администратора Zabbix. Для большинства популярных решений они идут в комплекте поставки, если нужного шаблона нет, то вы можете скачать готовый с сайта производителя решения или магазина Zabbix и добавить его в систему мониторинга. Ну а если очень хочется чего-то необычного, то вы всегда можете создать шаблон вручную.\n","id":"d15cf088941cef7fa557edd458edaf0a","link":"https://interface31.ru/post/zabbix-osnovy-i-bazovye-ponyatiya/","section":"post","tags":["Zabbix","Мониторинг"],"title":"Zabbix - основы и базовые понятия"},{"body":"Выход нового релиза операционной системы Astra Linux 1.8 SE в августе 2024 года был долгожданным событием, с которым связывались многие ожидания. Astra - лидер рынка отечественных операционных систем, активно внедряется в образование и многие другие отрасли. Поэтому новая версия закономерно вызывает повышенный интерес. Мы специально не стали писать обзор сразу в момент выпуска, а выждали некоторое время, чтобы избежать возможных детских ошибок и получить некоторый опыт эксплуатации системы.\nAstra Linux 1.8 является дальнейшим развитием закрытой, коммерческой ветки Special Edition, сменив предыдущий выпуск Astra Linux 1.7. Новая версия основана на пакетной базе Debian 12 (Bookworm), предыдущая версия использовала базу Debian 10 (Buster). Так что перед нами значительное движение вперед. При этом нельзя не вспомнить Astra Linux Common Edition 2.12 Орел на базе Debian 9 (Stretch), которая к настоящему моменту полностью устарела и не поддерживается и не развивается разработчиками.\nЕсли вы хотите полностью погрузиться в историю Astra Linux, то советуем прочитать наши предыдущие обзоры:\nРекомендуем к прочтению Astra Linux 2.12 Orel - избавляемся от стереотипов о российском ПО Обзор Astra Linux SE 1.7 Орел Мы же не будем долго ходить вокруг да около, а приступим к установке системы, сразу обращает на себя внимание графическое оформление, которое стало более строгим и современным. Что абсолютно оправдано, встречают, как известно, по одежке. Система загружается в Live-режиме, что позволяет сразу оценить совместимость с оборудованием и комфортность работы с текущей аппаратной конфигурацией. Минимальным требованием для выполнения установки в графическом режиме является наличие не менее 2 ГБ ОЗУ. Инсталлятор новый, собственной разработки и это давно напрашивавшееся решение.\nДа, Debian является консервативной классикой, но на текущий момент его инсталлятор сильно устарел, так как требует к себе постоянного внимания, на всем протяжении установки вам нужно отвечать на вопросы. Современный же подход сводится к тому, что сначала отвечаем на вопросы, а только потом начинаем установку.\nСам процесс начинается с выбора уровня защищенности. Выбор, уже традиционно, предлагает три варианта: базовый - Орел, усиленный - Воронеж и максимальный - Смоленск. Также сразу следует принять лицензионное соглашение. Сразу обращаем внимание, что лицензирование Astra Linux для физических лиц не предусмотрено, владельцем лицензии может быть только юридическое лицо или индивидуальный предприниматель. Затем устанавливаем региональные настройки и выбираем компоненты установки, здесь же можно выполнить и ряд дополнительных настроек, большая часть из них касается безопасности. А вот на схеме разметки стоит остановиться подробнее. По умолчанию используется GPT разметка и создаются разделы biosboot и boot или efi и boot, а также LVM-том на всем оставшемся пространстве. Подкачка предполагается в виде файла в корневом разделе, для системы с размером оперативной памяти в 4 ГБ объем файла подкачки был предложен как 1 ГБ. Заглянем теперь внутрь LVM-тома, там мы увидим деление на корневой раздел и /home, а также зарезервированный объем для обновления системы. Официальная документация рекомендует выделять под корневой раздел и резервирование не менее 60 ГБ, у нас же тестовая среда, поэтому мы данным рекомендациям не следуем и вообще откажемся от резервирования. Но в производственных средах так делать не надо. Также появляется нижнее минимальное требование для диска - 240 ГБ (60 ГБ корень + 60 ГБ резерв, остальное на домашнюю директорию), это не официальное требование, но логически проистекает из сказанного выше. Отдельно коснемся процесса обновления, как таковое обновление между выпускам в Astra Linux отсутствует. Это и понятно, перепрыгнуть с помощью пакетного менеджера через выпуск - задача сложная, практически нереализуемая. Поэтому было принято решение идти другим путем, в официальной документации это называется миграция.\nСуть ее состоит в том, что в зарезервированный раздел устанавливается образ новой системы, затем в него переносится установленное в системе ПО (при условии наличия его в репозиториях старой системы), после чего данный раздел используется вместо корневого при следующем старте системы. Обновиться на 1.8 можно начиная с 1.7.6 при условии наличия на диске резервной области объемом не менее 60 ГБ.\nСледующий шаг - создание пользователей. Первый созданный пользователь получит административные права, вход под root по умолчанию заблокирован. Данного пользователя предлагается назвать просто - administrator, выбор, конечно, неоднозначный, но если вспомнить, что основные пользователи и администраторы придут с Windows - то вполне оправданный. Если вам не нравится - введите свое имя. Здесь же сразу можно создать и обычных пользователей. После чего вам еще раз предложат ознакомиться со всеми сделанными настройками и только после этого начнется установка системы. Никакого вашего участия здесь не потребуется и можно спокойно пойти выпить кофе. Начальный загрузчик тоже стилизован и основной упор в Astra Linux 1.8 делается на космическую тему. После загрузки нас встречает новая графическая тема Astra Proxima, здесь снова видны космические мотивы, начиная с того, что Astra - на латыни \u0026quot;звезда\u0026quot;, а Proxima - прямая отсылка к Проксима Центавра - ближайшей к Солнцу звезде. Сама же тема выполнена в современном стиле и местами визуально перекликается с Windows 11. Но именно перекликается, прямого копирования здесь нет. В Astra Linux используется собственная графическая оболочка Fly, основанная на библиотеках KDE и Qt, но, несмотря на то, что данное родство местами проглядывается - это полностью самостоятельная среда рабочего стола. А новый стиль вывел ее на современный и визуально привлекательный уровень. Возможностей для кастомизации тоже много. Если вам не нравится стартовое меню, то можете его изменить. Скажем на классическое, которое, несмотря не его крайне ограниченные возможности все еще пользуется популярностью в определенных кругах. Также можно различным способом настроить современное меню, вариантов хватает. Это важно с учетом разного пользовательского опыта переходящих на Astra Linux: кто-то привык к Windows XP, кто-то переходит с Windows 7 и т.д. и т.п. Поэтому вариативность настройки здесь только в плюс, хороший, жирный плюс. Современные пользователи любят темные темы, пожалуйста, достаточно просто переключиться. Проработано все, от настроек приложений до смены обоев на рабочем столе. Существует также отдельная административная тема, это если вы войдете под суперпользователем root, это та же темная тема, но с красным оформлением окон и с добавлением красного на обои. При этом никто не мешает просто поставить ее себе в обычном режиме. Для тех, кто привык к старому оформлению можно включить старые темы, к сожалению, полностью настроить интерфейс как в 1.7 не получится, но приблизить визуально вполне возможно. При этом все эти настройки доступны и самому пользователю и он без труда сможет самостоятельно накликать как ему удобно, вариантов много и никто не уйдет обиженным, скажем парой несложных манипуляций можно сделать такое, бухгалтера будут довольны: А если серьезно, то мы не даром уделяем столько внимания внешнему виду системы. Это весьма и весьма важный фактор, на котором будет строиться ее восприятие пользователем, который хочет чтобы было как минимум опрятно, аккуратно и современно, благо сравнивать есть с чем. Тем более что это рабочая станция и ему каждый день на это смотреть. А в качестве вишенки на торте с системой идет оригинальная звуковая тема Звездный минимализм, записанная в сотрудничестве с Роскосмосом и содержащая реальные космические звуки. Так что с аудиовизуальной стороны у новой системы все хорошо, просто отлично.\nТеперь немного заглянем под капот, там кроме пакетной базы Debian 12 нас ожидают два ядра с долгосрочной и краткосрочной поддержкой. Ядро с долгосрочной поддержкой 6.1 будет поддерживаться в течении всего жизненного цикла продукта, оно же рекомендуется к использованию. Ядро с краткосрочной поддержкой предназначено для работы с новым оборудованием и в качестве такового сейчас используется 6.6, но впоследствии оно может быть заменено на новую версию при обновлении системы. Софт тоже преимущественно свежий, что тоже важно для настольной системы, потому как именно попытки поставить более новую версию программы приводили в прошлой версии к подключению сторонних репозиториев (что уже не всегда допустимо) и возможных конфликтам устанавливаемых версий пакетов, что могло привести к сбоям вплоть до полного отказа системы. Хотя если вам при установке нужны сторонние зависимости, то система сама предложит найти их в сторонних репозиториях, сами репозитории подключаются временно, только для скачивания необходимых зависимостей, такой подход на порядок безопаснее чем ручное неконтролируемое добавление репозиториев пользователем или администратором. Никаких пользовательских инструментов для управления ПО нет, но это и понятно, система не предназначена к использованию частными лицами, тем не менее скачанный DEB-пакет можно установить двойным щелчком по нему, что мы показали на скриншоте выше, а их графических инструментов администратору доступен классический Synaptic: Для обновления также можно воспользоваться графическим инструментом, между прочим, достаточно функциональным, который позволяет автоматически создавать снимки, на случай если что-то пойдет не так или просто протестировать обновления. В целом можно сказать, что для корпоративной системы Astra нашла оптимальный баланс: начинающий администратор найдет необходимые графические инструменты, опытный скорее выполнит все необходимые действия в консоли. Установка пакетов непосредственно конечным пользователем не предусматривается, хотя и не запрещается, если он понимает что делает и имеет необходимые для этого права.\nПлавно переместимся к настройками системы, они собраны в разделе Параметры стартового меню и приложении Параметры системы, причем последнее включает не все пункты меню Параметры, часть настроек доступна только из стартового меню. Приложение Параметры системы автоматически открывается на пункте Монитор безопасности, где сразу показывает состояние наиболее важных настроек и дает возможность сразу же их поменять. Вообще настройкам безопасности и аудиту уделено много внимания, что неудивительно, учитывая что система позиционируется для крупного бизнеса и госсектора, включая предприятия работающие с разными уровнями доступа, включая гостайну. Но часть из них пригодится и на простых внедрениях, скажем квоты. Администрировать Astra достаточно несложно, все настройки выполнены в едином стиле и человек с опытом администрирования других систем без труда в ней разберется, при этом большую часть настроек можно сделать графически, не обращаясь к терминалу. Для начинающих администраторов это большой плюс. Но есть и некоторые шероховатости, например, о чем можно подумать увидев пункт Инициализация системы? Да о чем угодно, если честно, хотя под этим названием скрывается удобный графический инструмент управления Systemd, возможно лучше было бы его назвать Управление службами или как-то аналогично? Порадовало, что многие пункты настройки выполнены в виде мастеров, например, подключение принтеров, который автоматически обнаружил и установил наш сетевой принтер Samsung, понятно, что не со всеми моделями так легко и просто, но облегчать жизнь там, где это возможно - правильное решение. При этом мы снова держим в уме, что часто администрировать систему будут начинающие Linux-администраторы, особенно в образовании или госсекторе. При этом неприятно удивляет, что в списке драйверов нет массово распространенного и популярного Pantum или той же \u0026quot;Катюши\u0026quot;. Подключение внешних накопителей, даже большого размера не вызывает проблем, сразу появляется всплывающее уведомление с доступными действиями. Так обычный флеш-накопитель мы можем открыть в файловом менеджере, Midnight Commander или просто безопасно извлечь. Кстати, при желании и необходимости вы можете сами настроить доступные действия при подключении съемных накопителей, для этого достаточно перейти в Параметры - Обработка \u0026quot;горячего\u0026quot; подключения и настроить уже готовые или создать собственные правила. И то, что подобные настройки есть в графическом интерфейсе - большой плюс, так как мягко и ненавязчиво подводят начинающих администраторов к тому, что это Linux, а следовательно управление системой полностью в их руках, было бы желание и умение. Будем честными, погружение с первых шагов в консоль пугает, здесь же осуществляется плавный вход. А когда захочется большего, тогда уже и консоль пойдет в ход и будет освоена.\nНу и чтобы два раза не вставать мы проверим мультимедийные способности системы, запустив имеющиеся на флешке фильмы в разрешении 2K и FHD, которые без особых проблем были воспроизведены предустановленным плеером VLC. Для работы в интернет по умолчанию установлен браузер Firefox, одновременно с ним предустановлены Chromium и Chromium-Gost, так что при необходимости работать с отечественными порталами и электронной подписью вам не придется что-либо доустанавливать. Что касается криптопровайдеров, то КриптоПро скачивается и устанавливается двойным кликом по ярлыку без каких-либо проблем. Для поддержки токенов вам придется установить дополнительные пакеты, но это все есть в документации. Однако с отечественным ПО не все так просто, так для популярной учетной системы 1С:Предпритятие Astra Linux 1.8 до сих пор не числится в списке поддерживаемых платформ, но при желании установить и запустить 1С:Предприятие можно, проблемы и пути их решения давно известны. Надеемся что фирма 1С скоро добавит в свои продукты официальную поддержку новых отечественных операционных систем. Ну и под конец обзора немного похулиганим, точнее поиграем на рабочем месте, ведь благодаря автору проекта EasyAstra Денису Давыдову данная ОС превратилась в одну из самых игровых Linux систем, а если брать отечественные дистрибутивы - то в самую игровую систему. Мы отправились на портал PlayOnAstra и скачали нестареющую классику - Diablo. Кстати, проекты Дениса Давыдова - отличный пример того, как компания-разработчик не препятствует, а всячески поощряет инициативу снизу выделяя необходимые ресурсы и поддержку. Этому, кстати, следовало бы поучиться другим отечественным разработчикам, комьюнити которых местами весьма токсичные.\nВыводы Astra Linux 1.8 - это крупный шаг вперед, закрепляющий за разработчиками статус ведущего отечественного дистрибутива. И это не просто слова, новая Astra сочетает в себе современную пакетную базу, свежий софт и новый, привлекательный внешний вид. Работа проделана большая, много внимания уделено безопасности, ведь целевая клиентская база Astra - это крупный бизнес и госучреждения. Но при этом обошлось без перекосов, Astra Linux 1.8 уверенно справляется с любыми задачами.\nЕсть ли недостатки? Есть, но не ошибается только тот, кто ничего не делает. А Astra Linux развивается и на этом пути неизбежно будут как успехи, так и неудачи.\nЧего бы хотелось? Бесплатной лицензии для физических лиц, так как многие администраторы, столкнувшись с Astra по работе хотели бы поставить ее и дома, например, на личный ноутбук, но пока не имеют такой легальной возможности.\nНо в целом Astra Linux 1.8 удалась и мы надеемся на ее дальнейшее поступательное развитие.\n","id":"e211b43a2bd404f950b03c96f09d5dce","link":"https://interface31.ru/post/obzor-astra-linux-18-se/","section":"post","tags":["Astra Linux","Debian","Linux","Импортозамещение"],"title":"Обзор Astra Linux 1.8 SE"},{"body":"Резервное копирование - одна из важнейших задач системного администратора. Хорошо если копии вам никогда не пригодятся, но они должны быть. Сегодня мы рассмотрим некоторые аспекты резервного копирования популярной СУБД PostgreSQL, в частности при ее применении совместно с 1С:Предприятие. Начнем с самого простого и понятного способа - использования утилиты pg_dump, которая, кстати, может использоваться не только для резервного копирования, но и для переноса баз между различными серверами.\nКак и любой иной способ использование pg_dump для копирования имеет свои плюсы и минусы. К основному минусу можно отнести то, что создаваемый дамп является срезом базы данных на некоторый момент времени и позволяет откатиться только на это состояние. Восстановление на произвольный момент времени невозможно.\nИные способы, позволяющие такое восстановление, работают на уровне инстанса и позволяют восстановить сразу весь кластер, т.е. все базы. Поэтому рекомендации по продуктовому применению PostgreSQL предусматривают основную схему: 1 база - 1 инстанс, что для небольших внедрений может быть избыточно как по ресурсам, так и по накладным расходам на администрирование.\nВ тоже время pg_dump работает на уровне базы данных и позволяет копировать и откатывать именно определенную базу, не затрагивая соседей по кластеру. Это несомненный плюс.\nТакже pg_dump может использоваться для переноса баз данных, она кроссплатформенна и кроссверсионна, т.е. позволяет переносить базы между разными платформами и разными версиями PostgreSQL. При этом следует помнить, что версии PostgreSQL совместимы снизу вверх, совместимость сверху вниз не поддерживается, либо поддерживается на ограниченное число версий. Т.е. вы всегда сможете загрузить дамп из PostgreSQL 9.6 в PostgreSQL 15, но не наоборот.\nПодготовка сервера Чтобы удобно работать с утилитами PostgreSQL добавим путь к ним в переменную окружения PATH. Для этого перейдем в Свойства системы - Дополнительно - Переменные окружения. Затем найдем в списке переменную PATH и изменим ее, добавив новой строкой путь к папке bin вашего экземпляра PostgreSQL, в нашем случае это C:\\Program Files\\PostgreSQL\\15.5-10.1C\\bin: Теперь вы можете обращаться к утилитам PostgreSQL просто по имени. Однако при написании скриптов всегда указывайте полный путь, что позволит избежать ошибок, если у запустившего пользователя скрипт в переменной PATH не окажется указанного выше пути.\nСледующий вопрос - пароль суперпользователя СУБД, либо другого пользователя, имеющего нужные права для выгрузки и загрузки базы. В подавляющем большинстве случаев с пользователями никто не заморачивается и все работают от суперпользователя postgres. Для этого можно пойти несколькими путями, один из них создание специального файла паролей, для этого создайте в указанные ниже директорию и файл:\n1%APPDATA%\\postgresql\\pgpass.conf После чего внесите в него следующие строки:\n1#имя_узла:порт:база_данных:имя_пользователя:пароль 2 3localhost:*:*:postgres:MyPa$$Word_1 Первая строка - это подсказка-комментарий, чтобы вам потом не приходилось вспоминать синтаксис. А ниже мы указали, что при подключении к инстансу расположенному на локальном узле localhost, использующему любой порт, для любой базы данных, при подключении пользователем postgres использовать указанный пароль. Первые четыре поля могут использовать подстановочный знак ***** указывающий на любое значение. Например, если у вас множество серверов с одинаковым паролем, то можете указать так:\n1*:*:*:postgres:MyPa$$Word_1 Данный способ является рекомендуемым, но у него есть недостаток в виде хранения пароля в открытом виде. Поэтому можно использовать альтернативу, разрешить локальные подключения без пароля. Для этого найдите файл pg_hba.conf который находится в директории кластера data, в нашем случае он расположен по умолчанию в C:\\Program Files\\PostgreSQL\\15.5-10.1C\\data. В данный файл добавьте строку:\n1host all all localhost trust Сохраните файл и перезапустите службу PostgreSQL. После чего вы можете без пароля подключаться к базе через localhost, обратите внимание, что в данном случае localhost не равнозначен 127.0.0.1 и если вы укажете адрес, то подключиться не получится.\nСоздание резервной копии базы данных Утилита pg_dump умеет создавать копии в разных форматах, каждый из которых имеет свои достоинства и недостатки.\nplain - выгрузка в текстовом SQL формате. Наиболее универсальна, а при необходимости позволяет вручную откорректировать дамп или выполнить частичную загрузку или восстановление, например отдельной таблицы. Не сжимается, имеет большой размер. custom - собственный формат pg_dump, предусматривает сжатие данных и возможность многопоточной загрузки, выгружается всегда однопоточно directory - выгрузка в виде директории, на каждую таблицу выгружается отдельный сжатый файл, позволяет многопоточную выгрузку и загрузку. tar - представляет, по сути, выгрузку в виде директории, но упакованной в tar-архив, сжатие не предусмотрено, поэтому размер выгрузки будет больше, чем у директории, однопоточен. Таким образом, наиболее удобными с практической точки зрения является формат custom, либо directory - если вам требуется многопоточная выгрузка. При переносе между разными системами предпочтительно использовать plain, так как он представляет набор SQL команд и может быть легко отредактирован вручную.\nИтак приступим. Прежде всего следует узнать какие базы данных есть на нашем сервере и как они называются, для этого выполним:\n1psql -h localhost -U postgres -l В выводе мы увидим список баз и их параметры: В нашем случае мы будем бекапить базу данных bkp1 и местом хранения резервных копий определим D:\\Backup. Начнем с текстового формата, он используется по умолчанию и отдельно указывать его не нужно:\n1pg_dump -h localhost -U postgres -f D:\\Backup\\bkp1.sql bkp1 Общий синтаксис команды такой: сначала указываем все используемые ключи, первый аргумент без ключа считается именем базы данных, и оно должно быть последним в команде. Указывать ключи после имени базы не следует. В команде мы использовали ключи:\n-h сервер - указывает имя или адрес компьютера, на котором работает сервер СУБД -U имя_пользователя - имя пользователя, под которым производится подключение -f файл - файл, в который производится выгрузка Также ниже мы будем использовать ключи:\n-F формат - формат выгрузки -j число_заданий - количество потоков С полным перечнем ключей можно ознакомиться в официальной документации.\nВ некоторых источниках можно встретить команду в виде:\n1pg_dump -h localhost -U postgres bkp1 \u0026gt; D:\\Backup\\bkp1.sql Внимание! Важно! В среде Windows не используйте перенаправление для выгрузки и загрузки резервных копий!\nМы неоднократно сталкивались с тем, что выгруженные через перенаправление копии внешне выглядели вполне нормально, в том числе и копии в текстовом формате, но при восстановлении отказывались загружаться. Это происходит не всегда и не везде, но для исключения подобных ситуаций перенаправление в Windows использовать не следует.\nТеперь создадим выгрузку в формате custom:\n1pg_dump -h localhost -U postgres -Fc -f D:\\Backup\\bkp1.dump bkp1 Здесь у нас добавился еще один ключ, указывающий на формат выгрузки, если вы хотите выгрузить в формате tar, просто замените -Fc на -Ft.\nИ, наконец, в формате директории:\n1pg_dump -h localhost -U postgres -Fd -f D:\\Backup\\bkp1_dir -j 4 bkp1 Для данного формата у нас появился еще один ключ, указывающий число потоков выгрузки. Число потоков не должно превышать количество ядер процессора, но не все так просто: pg_dump спокойно нагрузит каждый поток, создав 100% загрузку ядер процессора, но сможет ли его принять устройство хранения? Может получиться так, что скорость записи на накопитель окажется бутылочным горлышком и вместо ускорения вы получите замедление как выгрузки дампа, так и всей системы вообще.\nПоэтому начните с небольшого количества, двух или четырех потоков, оцените нагрузку на систему и остановитесь на некотором оптимальном значении, это особенно важно, если на сервере в момент выгрузки будут работать пользователи. Нам ведь совершенно ни к чему чтобы они каждый час жаловались на тормоза.\nЕще одна тонкость, что будет если указанный файл выгрузки существует? Форматы, custom и tar молча перезапишут его. При выгрузке в формате directory вы получите сообщение, что целевая директория не пуста и выгрузка выполнена не будет. Это следует учитывать при написании скриптов, потому как при ошибке вы либо останетесь без старых копий, либо не будут создаваться новые. Хотя визуально все будет нормально.\nОсобенно легко ошибиться в случае с directory, если вы используете для выгрузки одну и ту же директорию, потом дополнительно архивируете ее и отправляете на устройство хранения. В этом случае вы будете архивировать одну и ту же старую копию. Поэтому директорию выгрузки надо всегда очищать или удалять.\nВосстановление базы данных из резервной копии Начнем с того, что восстановить базу данных PostgreSQL можно только в новую, пустую базу. Если мы хотим восстановить ее в существующую, то ее придется сначала удалить, а потом создать новую с таким же именем. Исключение - формат plain, это просто набор SQL-команд, которые мы можем выполнить на рабочей базе, выборочно туда что-то подгрузив. Но это требует определенных знаний и квалификации, что выходит за рамки нашей статьи.\nИтак, прежде всего удалим старую базу:\n1dropdb -h localhost -U postgres -i bkp1 В приведенной команде мы использовали ключ -i который запросит интерактивное подтверждение действия:\n1База данных \u0026#34;bkp1\u0026#34; будет удалена навсегда. 2Продолжить? (y/n) Почему мы это сделали и советуем вам поступать также? Как показывает практика, данные команды часто вводятся методом копирования, неважно откуда, из статьи, документации, собственных записей, истории команд. В этом случае интерактивный запрос послужит предохранителем, который позволит остановиться и задуматься что вы делаете.\nА теперь создадим новую:\n1createdb -h localhost -U postgres -T template0 bkp1 Ключ -T указывает использовать при создании базы полностью пустой шаблон template0. Если вы хотите выполнить восстановление в отдельную новую базу, то просто создайте ее приведенной выше командой.\nНачнем восстановление с формата plain, так как это не дамп, а набор SQL команд, то для их исполнения мы будем использовать утилиту psql:\n1psql -h localhost -U postgres -d bkp1 -f D:\\Backup\\bkp1.sql Формат команды здесь такой же, сначала ключи, потом файл или директория, из которой идет восстановление. Ключ -d указывает имя базы данных, в которую мы загружаем выгрузку.\nДля остальных форматов следует использовать утилиту pg_restore, например восстановим дамп формата **custom,**в два потока:\n1pg_restore -h localhost -U postgres -d bkp1 -j 2 D:\\Backup\\bkp1.dump Синтаксис тот же самый, просто указываем базу и файл, с форматом утилита разберется самостоятельно. Если же вы попытаетесь подсунуть ей формат plain, то утилита откажется делать загрузку и любезно посоветует вам использовать для этого psql.\nЧто касается выбора количества потоков, то исходим из тех же соображений: один поток - одно ядро и обязательно тестируем, чтобы производительность диска не стала узким горлышком. Если вы выполняете восстановление в рабочее время, то учтите также влияние на работу пользователей, чтобы не вышло что вы запустили восстановление, а у всех остальных все стало.\nПри восстановлении из формата directory вместо файла укажите путь к папке:\n1pg_restore -h localhost -U postgres -d bkp1 -j 2 D:\\Backup\\bkp1_dir Напоминаем, что формат tar многопоточную загрузку не поддерживает, но вы можете его распаковать и загрузить многопоточно в формате directory.\nТакже есть способ несколько упростить себе жизнь, чтобы не удалять и не создавать заново базу данных мы можем выполнить:\n1pg_restore -h localhost -U postgres -d postgres -C -c D:\\Backup\\bkp1.dump Ключи -C -c предписывают перед загрузкой удалить и создать заново базу имя которой записано в дампе, в ключе -d при этом потребуется указать любую существующую базу, обычно указывается стандартная postgres. В результате выполнения данной команды вы можете получать некоторые безвредные сообщения об ошибках.\nОднако использовать эту команду следует очень осторожно и только на том сервере, откуда был сделан дамп. Также убедитесь, что вы взяли именно тот дамп, что надо. Но мы не рекомендуем так делать, особенно на продуктовых серверах, лучше осознанно удалите базу руками.\n","id":"25ba881a80ffd1811a02c319f3b3c15b","link":"https://interface31.ru/post/rezervnoe-kopirovanie-i-vosstanovlenie-baz-dannyh-postgresql-pri-pomoshhi-pg-dump-windows/","section":"post","tags":["1С Предприятие 8.х","PostgreSQL","SQL","Windows","Windows Server","Резервное копирование"],"title":"Резервное копирование и восстановление баз данных PostgreSQL при помощи pg_dump на платформе Windows"},{"body":"Рано или поздно системные администраторы задумываются о собственном решении для удаленного управления ПК. Это может быть связано с уходом с российского рынка привычных продуктов, финансовыми вопросами или соображениями безопасности. В любом случае такие решения есть и вопреки распространенному мнению установить и поддерживать их несложно и недорого. Сегодня мы рассмотрим как установить и настроить на собственном сервере Aspia - бесплатный комплекс программ для организации собственной инфраструктуры удаленного управления ПК.\nAspia - продукт с открытым исходным кодом, выпускается под лицензией GPL 3, развивается с 2016 года и обладает достаточно широкими возможностями по удаленному управлению ПК, отличается хорошей скоростью работы даже на медленных каналах связи и весьма скромными системными требованиями.\nСерверная часть может быть запущена на операционных системах Ubuntu 20.04 и Debian 11, под иные версии разработчик пакетов не собирает и работоспособность системы не гарантируется. Для ее развертывания вам будет достаточно виртуальной машины с 1 ядром ЦПУ и 1 ГБ RAM, размер диска также можно выбрать минимальным. Этого будет достаточно для обслуживания достаточно большой инфраструктуры, а при необходимости систему можно легко масштабировать благодаря модульной архитектуре.\nВ качестве системы для управления (хоста) поддерживается только Windows, это достаточно серьезное ограничение, но в большинстве случаев несущественное, так как большую часть парка клиентских ПК все еще составляет данная ОС.\nКлиентские приложения для управления сервером и подключения к хостам доступны для всех платформ, включая macOS. Таким образом Aspia имеет как свои плюсы, так и минусы, но является достойным кандидатом для создания собственной инфраструктуры удаленного управления, особенно если ваш парк клиентских машин состоит из Windows.\nAspia - модульная система и на первый взгляд может показаться достаточно сложной, поэтому коротко разберем ее основные компоненты и рассмотрим схему взаимодействия между ними. В состав Aspia входят:\nAspia Router - маршрутизатор, является собственной реализацией ID-сервера, необходимого узлам не имеющим собственного выделенного IP-адреса для обхода NAT. Занимается выдачей идентификаторов и балансировкой нагрузки. Aspia Relay - ретранслятор, пропускает через себя трафик между клиентом и хостами. Ретрансляторов может быть несколько, в этом случае маршрутизатор будет балансировать между ними нагрузку. Aspia Host - хост, устанавливается на удаленный компьютер и принимает входящие подключения от управляющих устройств. Aspia Client - предназначен для подключения и управления удаленными ПК (хостами). Aspia Console - консоль, поддерживает функции адресной книги, позволяет подключаться и управлять удаленными ПК (хостами), а также администрировать серверную часть (маршрутизатор). Теперь посмотрим как они взаимодействуют друг с другом. На схеме ниже синими стрелками показано служебное взаимодействие, зелеными - трафик сеанса управления удаленным ПК. Aspia Host при запуске на удаленном ПК связывается с Aspia Router, регистрируется и получает собственный ID, в дальнейшем будучи запушенным хост постоянно синхронизируется с роутером и передает ему свое состояние, в ответ хост получает список ретрансляторов для подключения. Если мы хотим подключиться к удаленному ПК, то мы используем Aspia Client (на схеме не показан) или Aspia Console, взаимодействие с остальными участниками схемы у них одинаковое.\nAspia Console дополнительно связывается с роутером для обновления состояния удаленных ПК из адресной книги, что позволяет видеть их актуальное состояние (в сети, не в сети). При попытке подключения консоль или клиент передают роутеру идентификатор хоста. Роутер выбирает наименее загруженный ретранслятор (Relay) и сообщает клиенту (консоли) его адрес.\nПосле чего клиент (консоль) подключается к указанному ретранслятору и через него получает доступ к выбранному хосту. При этом оба, и хост и клиент (консоль) могут находиться за NAT и не иметь выделенного IP-адреса, эти вопросы решает ретранслятор, к которому подключаются оба узла и через который проходит весь трафик сеанса.\nРоутер и ретрансляторы также постоянно обмениваются данными, что позволяет роутеру балансировать нагрузку, равномерно загружая ретрансляторы. Сам роутер в передаче трафика между клиентом и хостом не участвует, хотя может располагаться на одном и том же узле с ретранслятором.\nПодготовка к установке Для развертывания собственной инфраструктуры удаленного управления ПК много ресурсов не понадобится. Достаточно недорогой виртуальной машины с выделенным IP-адресом и высокой доступностью, поэтому рекомендуем приобресnи VPS у любого надежного провайдера. Также рекомендуем сразу зарегистрировать доменное имя и привязать к данному VPS два адреса:\nrouter.example.com relay.example.com Почему так, ведь они все равно ведут на один узел? А для того, чтобы в последствии вы могли спокойно масштабировать инфраструктуру не меняя настроек системы и клиентов. Решили вынести ретранслятор на отдельный узел - нет проблем, поменяли одну DNS-запись и все снова работает.\nВ качестве ОС сервера следует выбрать Ubuntu 20.04 или Debian 11.\nУстановка Aspia Router Прежде всего скачаем и установим пакет маршрутизатора, ниже будет представлена команда на скачивание последней на момент написания статьи версии Aspia 2.7.0, по мере выхода новых версий адрес и наименование пакетов придется изменить:\n1wget https://github.com/dchapyshev/aspia/releases/download/v2.7.0/aspia-router-2.7.0-x86_64.deb 2apt install ./aspia-router-2.7.0-x86_64.deb Сформируем конфигурацию роутера:\n1aspia_router --create-config Затем откроем файл /etc/aspia/router.json и откорректируем в нем опцию RelayWhiteList, указав список ретрансляторов, которым разрешено работать с маршрутизатором, если адресов несколько, то они разделяются точкой с запятой.\n1\u0026#34;RelayWhiteList\u0026#34;: \u0026#34;127.0.0.1\u0026#34;, Сохраняем файл, добавляем службу в автозагрузку и запускаем ее:\n1systemctl enable aspia-router 2systemctl start aspia-router На этом настройка маршрутизатора закончена.\nУстановка Aspia Relay Точно также скачиваем и устанавливаем последний пакет:\n1wget https://github.com/dchapyshev/aspia/releases/download/v2.7.0/aspia-relay-2.7.0-x86_64.deb 2apt install ./aspia-relay-2.7.0-x86_64.deb И сформируем конфигурацию ретранслятора:\n1aspia_relay --create-config Откроем файл /etc/aspia/relay.json и внесем следующие изменения:\n1\u0026#34;PeerAddress\u0026#34;: \u0026#34;relay.example.com\u0026#34;, 2\u0026#34;RouterAddress\u0026#34;: \u0026#34;127.0.0.1\u0026#34;, 3\u0026#34;RouterPublicKey\u0026#34;: \u0026#34;ROUTER_PUBKEY\u0026#34;, 4\u0026#34;StatisticsEnabled\u0026#34;: \u0026#34;true\u0026#34;, PeerAddress - адрес ретранслятора, лучше всего отдавать клиентам по FQDN (доменному имени), что позволит наиболее гибко управлять инфраструктурой. RouterAddress - адрес маршрутизатора, так как у нас они находятся на одном узле, то указываем 127.0.0.1.\nRouterPublicKey - публичный ключ маршрутизатора, находится в файле /etc/aspia/router.pub, узнать его можно командой:\n1cat /etc/aspia/router.pub Опция StatisticsEnabled включает автоматическую отправку статистики на маршрутизатор, это позволит вам в реальном режиме времени видеть активные соединения.\nСохраняем изменения, добавляем службу в автозагрузку и запускаем ее:\n1systemctl enable aspia-relay 2systemctl start aspia-relay На этом настройка серверной части завершена\nНастройка брандмауэра Для работы роутера и ретранслятора нам потребуется открыть порты 8060 TCP и 8070 TCP, ниже приведена минимальная конфигурация iptables, также открыт порт 22 TCP для управления сервером по SSH:\n1#Разрешаем уже установленные и связанные соединения 2iptables -A INPUT -i ens33 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT 3 4#Разрешаем входящий SSH 5iptables -A INPUT -i ens33 -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT 6 7#Разрешаем входящие Aspia Router 8iptables -A INPUT -i ens33 -p tcp --dport 8060 -m conntrack --ctstate NEW -j ACCEPT 9 10#Разрешаем входящие Aspia Relay 11iptables -A INPUT -i ens33 -p tcp --dport 8070 -m conntrack --ctstate NEW -j ACCEPT 12 13#Запрещаем остальные входящие соединения 14iptables -A INPUT -i ens33 -j DROP Где ens33 - имя внешнего интерфейса сервера.\nИзменяем формат ID на роутере По умолчанию Aspia выдает идентификаторы начиная с единицы, что не всем нравится и не очень хорошо смотрится. Но нетрудно заставить ее начать выдавать идентификаторы с некоторой произвольной начальной величины. Для этого надо внести некоторые изменения в базу данных.\nСкачаем и установим инструмент для работы с SQLite:\n1apt install sqlite3 Остановим службу маршрутизатора:\n1 systemctl stop aspia-router Перейдем в директорию с базой данных:\n1cd /var/lib/aspia/ И подключим ее:\n1sqlite3 router.db3 Выполним команду:\n1INSERT INTO hosts (id, key) VALUES (1000, 0x53544152544b4559); И выйдем из базы данных:\n1.quit В данном случае 1000 - это желаемое стартовое значение идентификатора, теперь они будут присваиваться начиная с 1001, данную операцию следует выполнить до того, как вы начали регистрировать на маршрутизаторе хосты.\nУстановка Aspia Console Для управления сервером и подключения к хостам скачаем и установим пакет Aspia Console, прежде всего настроим маршрутизатор. Для этого перейдем в Инструменты - Управление маршрутизатором, для подключения используем логин и пароль admin:admin. После чего переходим на закладку пользователи и первым делом меняем пароль пользователю admin, также рекомендуем сразу переименовать эту учетную запись.\nЗатем создаем нужное число пользователей, у каждого из них есть два типа сессий:\nКлиент - позволяет подключаться к удаленным ПК Администратор - позволяет управлять маршрутизатором В основном нам потребуются клиенты, заводим их по числу операторов. Теперь мы можем вернуться в консоль и создать адресную книгу, адресная книга хранится в виде файла в локальном расположении и содержит в открытом виде логины и пароли, поэтому настоятельно рекомендуется защитить ее при помощи шифрования. Затем настраиваем подключение к маршрутизатору и указываем настройки по умолчанию. Не пренебрегайте этим процессом, Aspia позволяет наследовать настройки и все низлежащие объекты по умолчанию будут принимать настройки верхнего уровня. Один раз настроили и просто добавляете узлы. Система наследования в Aspia выстроена гибко, вы можете переопределить любой параметр на любом уровне иерархии и он будет наследоваться низлежащими объектами. В целом адресная книга Aspia выглядит очень неплохо, но сложности начинаются при попытке обеспечить совместную работу. Адресная книга считывается при запуске Aspia Console и более не перечитывается, при внесении изменений в книгу их следует сохранить, либо это будет предложено при выходе. Таким образом, если файл книги находится в общем доступе, то сохранятся только те изменения, которые были сохранены последними, все остальные будут утеряны.\nВ такой ситуации напрашивается решение с единственным администратором, но адресная книга содержит в себе параметры подключения к роутеру и если вы сформировали ее с правами администратора, то все подключившие ее получат такие же права. Реальный сценарий - это копирование измененной книги, изменение учетной записи подключения к роутеру в ней с администратора на клиента и последующее распространение.\nЕсли же у вас есть разные операторы с разным уровнем доступа, то тут остается только ручная работа с каждой адресной книгой.\nУстановка AspiaHost\nНа удаленном ПК скачиваем MSI-пакет Aspia Host и устанавливаем его. Затем запускаем и переходим к настройкам. Прежде всего указываем адрес маршрутизатора и его публичный ключ: Настраиваем политики безопасности, тут уже по собственному усмотрению: На вкладке Пользователи добавляем учетные записи, которые могут подключаться к данному узлу используя логин и пароль. Схема достаточно гибкая и позволяет назначит один узел нескольким операторам, не снижая уровень безопасности.\nВсе это хорошо, но как быть, если подобных узлов не один десяток, настраивать каждый вручную? Совсем необязательно. Настройте и проверьте один узел, после чего выполните экспорт настроек в файл aspia-host-config.json, в дальнейшем следует расположить данный файл в одной директории с инсталлятором хоста и настройки подхватятся автоматически. Если нам нужно несколько разных настроек хоста, для разных подразделений, то просто настраиваем один узел как нам надо и экспортируем его настройки.\nУстановка Aspia Client Клиент на первый взгляд может показаться приложением бестолковым: адресную книгу не поддерживает, требует явного указания идентификатора и учетных данных. Конечено, если мы говорим о внутренней инфраструктуре, то более удобно использовать консоль. Но клиент идеально подходит для предоставления удаленного доступа третьим лицам.\nДля них на маршрутизаторе заводим отдельного пользователся с разрешенным сеансом типа Клиент, этот пользователь не должен быть добавлен на хостах. В резульате единственной возможностью подключения для такого клиента будет одноразовый пароль. Таким образом мы можем удобно и безопасно подключать к своим узлам третьих лиц не предоставляя им постоянного доступа.\n","id":"372837e285cf4bee2a1891b671422e5b","link":"https://interface31.ru/post/ustanavlivaem-i-nastraivaem-aspia-besplatnuyu-programmu-dlya-udalennogo-upravleniya-pk/","section":"post","tags":["Aspia","Debian","Ubuntu","Удаленное администрирование"],"title":"Устанавливаем и настраиваем Aspia - бесплатную программу для удаленного управления ПК"},{"body":"Шифрование трафика сегодня стало обыденностью, в том числе и для локальных ресурсов, а многие сервисы используют HTTPS по умолчанию. Все это требует упорядочивания работы с сертификатами, и если с внешними ресурсами мы можем использовать тот же Let's Encrypt, то с внутренними все сложнее. Можно использовать самоподписанные сертификаты, но по мере роста сети они будут доставлять только проблемы. Поэтому сегодня мы расскажем как создать собственный простой центр сертификации для локального использования.\nБез шифрования и сертификатов сегодня не обойтись, даже для локальных ресурсов. Самый простой выход - использовать самоподписанные сертификаты. Но они имеют массу недостатков. Основной их них - это отсутствие доверия. Вам придется или постоянно обходить предупреждение об отсутствии доверия, либо добавлять на каждом узле такие сертификаты в доверенные. Пока таких ресурсов и узлов немного - это еще приемлемо, но потом начинает утомлять и вносить в работу хаос и неразбериху. Игнорировать предупреждения - тоже плохая практика, особенно если с ресурсами работают обычные пользователи.\nКак быть? Выход один - развернуть собственный Центр сертификации (CA) и поставить выпуск сертификатов под централизованное управление, в этом случае вам будет достаточно распространить на собственные узлы корневой сертификат центра сертификации и вопрос доверия к любым выпущенным вами сертификатам будет решен.\nНо это достаточно сложный процесс, который не оправдывается текущими задачами, в большинстве случаев вам просто нужно обеспечить локальные узлы собственными сертификатами и ничего более. Особенно если вся инфраструктура под вашим контролем и никакие расширенные возможности вам ни к чему.\nВ этом случае рекомендуем обратить внимание на Minica - очень простой и легкий центр сертификации, который выполняет одну простую задачу - выпускает сертификаты вашим узлам. Никаких дополнительных функций у него нет, даже списков отзыва (CRL), но в большинстве локальных сценариев это и не нужно, все узлы под нашим контролем.\nС данным пакетом есть некоторая путаница, он присутствует в стандартных репозиториях Debian и Ubuntu, но установив его оттуда вы получите примитивный инструмент, который не годится ни на что, кроме тестовых сред. Поэтому мы будем устанавливать одноименный продукт из репозитория разработчика на Github.\nСначала нам потребуется установить Go tools, ссылку на скачивание можно найти на данной странице. На момент написания статьи был доступен пакет go1.23.0.linux-amd64.tar.gz.\nВсе приведенные ниже команды следует выполнять от имени суперпользователя (root) или через sudo.\nПерейдем в домашнюю директорию и создадим там папку для временных файлов:\n1cd ~ 2mkdir tmp Перейдем в нее и скачаем Go tools:\n1cd tmp 2wget https://go.dev/dl/go1.23.0.linux-amd64.tar.gz Удалим предыдущую установку (если есть) и установим скачанный пакет:\n1 rm -rf /usr/local/go \u0026amp;\u0026amp; tar -C /usr/local -xzf go1.23.0.linux-amd64.tar.gz После чего откроем /etc/profile и в самый конец добавим строку:\n1export PATH=$PATH:/usr/local/go/bin Теперь нужно выйти и повторно зайти в систему, либо перезагрузить компьютер.\nУстановим пакет для работы с git:\n1apt install git Затем вернемся во временную папку:\n1cd ~/tmp И скачаем утилиту из репозитория разработчика:\n1git clone https://github.com/jsha/minica.git Перейдем в папку проекта и выполним его сборку:\n1cd minica 2go build Для удобства использования скопируем собранную утилиту в директорию к бинарным файлам:\n1cp minica /sbin Теперь вернемся в домашнюю директорию и создадим папку для сертификатов:\n1mkdir ~/certs Minica очень прост, при запуске он проверяет наличие в текущей директории корневого сертификата и если его там нет, то он создаст новую ключевую пару, по сути - новый центр сертификации. Поэтому работу с ним всегда следует начинать только после перехода в директорию с сертификатами. С другой стороны это позволяет легко создать несколько независимых центров сертификации, скажем для локальной сети и тестового контура. Для этого достаточно просто переключить директорию.\nПереходим в директорию центра сертификации:\n1cd ~/certs И производим выпуск первого сертификата, в нашем случае мы выпустим сертификат для узла Proxmox:\n1minica --domains pve.example.lab,proxmox.example.lab --ip-addresses 192.168.111.25 Синтаксис очень прост, после ключа domains указываем желаемые доменные имена, через запятую, без пробелов, а после ключа ip-addresses можем указать IP-адрес или адреса. В поле CN (Common Names) будет записан первый указанный домен или адрес, остальные будут в полеSAN (Subject Alternative Names). А в директории с сертификатами появится папка с именем CN в которой будет закрытый ключ и сертификат для указанного узла. Срок действия сертификата - 2 года и 30 дней.\nОдновременно с этим в корневой директории будет сформирована ключевая пара центра сертификации, корневой сертификат нам потребуется распространить на все узлы для того, чтобы они доверяли выпущенным нами сертификатам. Корневой сертификат minica.pem как понятно из названия, находится в текстовом формате PEM, для его установки на Windows (и не только) конвертируем его в бинарный формат:\n1openssl x509 -in minica.pem -out minica.crt -outform DER После чего скачиваем файл minica.crt и устанавливаем данный сертификат в Доверенные корневые центры сертификации.\nПоздравляем, вы только что стали владельцем хоть и предельно простого, но своего центра сертификации, который позволяет быстро и без особых хлопот обеспечить сертификатами локальную сеть, тестовый контур или разработчиков.\n","id":"08fee683dd9d7ef5b69c668644202a3f","link":"https://interface31.ru/post/minica-prostoy-centr-sertifikacii-dlya-lokal-nogo-ispol-zovaniya/","section":"post","tags":["Certification authority","Debian","PKI","SSL","Ubuntu","X.509","Безопасность"],"title":"Minica - простой центр сертификации для локального использования"},{"body":"Виртуализация сегодня плотно вошла в нашу жизнь и гипервизор давно стал объектом высокой степени важности, так как от его работы зависит множество различных сервисов. Поэтому очень важно держать руку на пульсе и своевременно получать данные о состоянии гипервизора и виртуальных машин. В этом нам поможет система мониторинга Zabbix. В данной статье мы рассмотрим, как настроить интеграцию Proxmox и Zabbix чтобы начать получать все необходимые данные о состоянии гипервизора и виртуальных машин.\nУстановка Zabbix Agent 2 В ряде материалов высказывается мнение, что для мониторинга Proxmox Virtual Environment установка Zabbix Agent не обязательна. Да, это так, шаблон Proxmox VE by HTTP работает через API Proxmox, но не будем забывать, что система виртуализации - это еще и хост под управлением Linux и нам тоже нужно получать по нему различную информацию, поэтому агент точно лишним не будет.\nProxmox построен на базе Debian и для PVE 7 нам потребуется агент для Debian 11, а для PVE 8 - для Debian 12. Переходим на официальный сайт в раздел загрузок и получаем инструкцию для установки на нужную систему: Ниже, в качестве примера, покажем установку агента на PVE 8 (Debian 12). Сначала подключим репозитории и обновим список пакетов:\n1wget https://repo.zabbix.com/zabbix/7.0/debian/pool/main/z/zabbix-release/zabbix-release_7.0-2+debian12_all.deb 2dpkg -i zabbix-release_7.0-2+debian12_all.deb 3 4apt update После чего установим агент и плагины к нему:\n1apt install zabbix-agent2 zabbix-agent2-plugin-* Затем откроем файл /etc/zabbix/zabbix_agent2.conf и найдем в нем опции:\n1Server=zabbix7.interface31.lab и\n1ServerActive=zabbix7.interface31.lab В каждой из которых укажите FQDN или IP-адрес вашего IP-сервера. Если оставить опцию ServerActive пустой - активные проверки будут отключены.\nТеперь сохраним изменения и перезапустим службу агента:\n1systemctl restart zabbix-agent2 Но не будем спешить добавлять узел в мониторинг, а сразу выполним еще одну настройку.\nПолучение токена для работы с API Proxmox Virtual Environment Для работы с шаблоном нам потребуется специальный системный пользователь Proxmox с нужным набором прав. Чем мы сейчас и займемся.\nСначала создадим отдельную роль с требуемым набором прав:\n1pveum role add ZabbixMonitoring --privs \u0026#34;Datastore.Audit Sys.Audit VM.Audit\u0026#34; Где ZabbixMonitoring - название роли.\nТеперь добавим группу и назначим ей права в соответствии с ролью, группу назовем просто - zabbix:\n1pveum group add zabbix 2pveum acl modify / -group zabbix -role ZabbixMonitoring После чего создадим нового пользователя и добавим в указанную группу:\n1pveum user add zabbix@pam 2pveum user modify zabbix@pam -group zabbix Завершающий этап - получение токена для нашего пользователя, для этого выполните команду:\n1pveum user token add zabbix@pam monitoring -privsep 0 Где zabbix@pam - имя пользователя для которого мы получаем токен, а monitoring - его идентификатор. Скопируйте и сохраните значение поля valueдля токена, это секретный ключ, повторно узнать его не получится. На этом настройки на стороне гипервизора закончены.\nДобавление узлов Proxmox Virtual Environment в Zabbix Открываем веб-интерфейс Zabbix и переходим в Мониторинг - Узлы сети, справа вверху выбираем Создать узел сетии начинаем заполнять значения во всплывающем окне. Поле узла сети для работы активных проверок оно должно соответствовать Hostname в агенте, иначе активные проверки работать не будут.\nДалее выбираем шаблоны, в нашем случае это должны быть Linux by Zabbix agent и Proxmox VE by HTTP. Выбираем группу узлов сети. Группы мы можем выбирать как из уже существующих, так и создавать новые, для этого вполне достаточно указать здесь желаемое название. Потом добавляем интерфейс с типом Агент и указываем адрес узла или его доменное имя. После чего переходим в раздел Макросы - Макросы узла сети и унаследованные и заполняем следующие параметры:\n{$PVE.TOKEN.ID} - идентификатор токена, в нашем случае zabbix@pam!monitoring {$PVE.TOKEN.SECRET} - секретный ключ токена, который вы сохранили на предыдущем шаге {$PVE.URL.HOST} - IP адрес или доменное имя гипервизора Добавляем узел и ждем, через некоторое время Zabbix начнет собирать данные, как по самому хосту виртуализации, так и по работающих на нем виртуальных машинах и контейнерах. Также пошли первые срабатывания триггеров, например, Zabbix сразу же уведомил нас о том, что некоторые виртуальные машины и контейнеры на узле не запущены. На этом интеграция Proxmox Virtual Environment с Zabbix завершена и вы можете начать контролировать состояние своих гипервизоров и своевременно получать сообщения если что-то пошло не так.\nАвтоматизация Для тех, кто не хочет делать все это руками (кроме добавления узлов в Zabbix) мы подготовили специальный скрипт, который выполняет все необходимые настройки на стороне Proxmox Virtual Environment и формирует готовый токен.\nСкачать PVE-ZBX.sh SHA1:64CDC9E905A18078F255F2BB2C1DBA6709ACFCBC\nСкрипт поддерживает Proxmox Virtual Environment 6-9.\n","id":"748dafbaff382f77c5ed18b2aa7986cd","link":"https://interface31.ru/post/nastraivaem-monitoring-proxmox-virtual-environment-pri-pomoshhi-zabbix/","section":"post","tags":["Proxmox","Zabbix","Мониторинг"],"title":"Настраиваем мониторинг Proxmox Virtual Environment при помощи Zabbix"},{"body":"Относительно недавно фирма 1С выпустила новый тип лицензии - бесплатную комьюнити-лицензию, которая предназначена специально для разработки и тестирования. Это стало огромным шагом вперед, так как позволило многим разработчикам, энтузиастам и просто интересующимся легально попробовать платформу 1C:Предприятие в клиент-серверном варианте. Операционные системы семейства Linux также вызывают все больший интерес и могут стать неплохой альтернативой в качестве рабочего места разработчика 1С. Данное руководство пошагово расскажет как установить и настроить платформу для разработчиков в Linux.\nКоротко про Linux для 1С-ников Итак, вы решили попробовать что-то новое и этим стал Linux. Поэтому прежде чем продолжить разберем несколько моментов. Что такое Linux? Мы сейчас не будем вдаваться в дебри и просто скажем, что это семейство операционных систем на базе одноименного ядра. Ядро Linux - программное обеспечение с открытым кодом, разрабатывается сообществом и распространяется бесплатно.\nЗаконченная сборка операционной системы на базе ядра Linux называется дистрибутивом, дистрибутивов существует великое множество, но среди них можно выделить дистрибутивы первого эшелона (основные) и производные от них. К основным относятся прежде всего Debian и Red Hat Enterprise Linux (RHEL) и, в прошлом, его бесплатный клон CentOS. Производные дистрибутивы берут за основу один из основных, наиболее известный и популярный дистрибутив Ubuntu является производным от Debian, также существуют многочисленные производные от RHEL/CentOS.\nВсе производные дистрибутивы имеют общие с родительским механизмы работы и управления, поэтому если вы владеете одним из них, то вам не составит труда работать с любым другим дистрибутивом этого семейства. Несмотря на то, что сегодня Linux достаточно сильно стандартизирован все равно существуют значительные отличия между семействами, в частности они касаются формата пакетов программного обеспечения и системы управления ими. Наиболее распространены и приняты за коммерческий стандарт форматы DEB - для базирующихся на Debian систем и RPM - для RHEL совместимых дистрибутивов и не только.\nПоэтому мы советуем для начала остановиться на каком-либо одном семействе и добиться его уверенного освоения, это проще и эффективнее, чем пытаться изучать сразу несколько систем одновременно. В нашем случае будут рассматриваться DEB-системы, в частности мы будем производить установку на Ubuntu 22.04 LTS.\nТакже, начав изучать Linux следует твердо запомнить - основным инструментом управления и администрирования системы является консоль. Графические инструменты могут быть, а могут и не быть, как может не быть и самой графической оболочки вообще. Это не хорошо и не плохо, это особенность данного семейства операционных систем к которой следует привыкнуть.\nЧто касается работы с 1С, то выбор дистрибутива должен начинаться здесь: Системные требования 1С:Предприятия 8, данный список постоянно изменяется, поэтому ниже его скриншот. Выбор, как видим, не особо велик и не содержит последних версий многих дистрибутивов. Однако мы советуем придерживаться данного списка, потому что в противном случае стабильная работа платформы не гарантируется. Да, большинство проблем можно исправить, но для этого нужен соответствующий опыт и знания. Как мы уже говорили все дальнейшие действия будут производиться в среде Ubuntu 22.04 LTS.\nГде получить платформу для разработчиков? Для получения набора для разработчика вам нужно зарегистрироваться на портале 1С для разработчиков, после чего вам будет доступна комьюнити-лицензия и дистрибутивы для установки платформы 1С:Предприятие и СУБД PostgreSQL. Если быть честными, то вы можете взять любую платформу версии 8.3.23 и старше, а также любую совместимую с 1С версию СУБД, но мы исходим из того, что у пользователя пока ничего этого нет и поэтому будем ориентироваться на легальные пути получения дистрибутивов.\nПосле регистрации переходим в раздел скачивания и скачиваем:\nТехнологическая платформа 1С:Предприятия 8 (64-bit) для Linux Технологическая платформа представлена в трех версиях, где представлены последние выпуски трех актуальных платформ. Если вы не знаете какая именно вам нужна - берите последнюю.\nПри этом мы ничего не сказали про PostgreSQL и не скажем, потому что сборка PostgreSQL для Linux от 1С - это яркий образец низкой культуры разработки под эту ОС и приверженность порочным практикам работы, кстати это касается и платформы, но там хотя бы не проявляется явно. Проще говоря, нельзя физически собрать пакет который будет одинаково хорошо работать в Debian 10, 11 и 12, поэтому не будем трепать себе нервы и воспользуемся альтернативным источником получения этого продукта.\nУстановка платформы 1C:Предприятие Скачиваем и распаковываем архив с платформой и запускаем находящийся там бинарный файл InstallAsRoot, который запустит установку с правами суперпользователя root (самый главный администратор в Linux). Перед этим потребуется подтвердить повышение прав. После чего запустится инсталлятор, визуально похожий на свой Windows-аналог, в нем следует выбрать следующие компоненты:\n1С:Предприятие (выбрано по умолчанию) Зависимости Установить ярлыки Сервер 1С:Предприятия 8 Модули расширения веб-сервера Администрирование сервера 1С:Предприятие Немного поясним по новым пунктам. Зависимости - этим словом в Linux называются пакеты которые нужны для работы программы и которые могут быть получены из репозиториев (хранилище пакетов) дистрибутива. Для 1С это шрифты и некоторые системные библиотеки. Они могут быть установлены в системе, а могут и не быть. При выборе данного пункта программа установки проверит их наличие и самостоятельно попытается скачать и установить. Что касается пункта Установить ярлыки - то здесь проще, как мы уже говорили, графическая оболочка в Linux не является обязательной и если мы устанавливаем, скажем, только сервер, то и ярлыки нам ни к чему.\nНа завершающем этапе установки программа может надолго задуматься, это нормально, обязательно дождитесь завершения и ни в коем случае не завершайте работу программы установки принудительно. Кстати, именно в этот момент качаются и устанавливаются зависимости. На этом первый этап установки платформы закончен, переходим ко второму, на котором нам потребуется терминал. Запускаем одноименную программу и сразу повышаем себе права до суперпользователя, в Ubuntu это делается командой:\n1sudo -s В Debian sudo по умолчанию не используется и вам потребуется выполнить:\n1su - После чего наш терминал будет работать с правами суперпользователя, поэтому будьте внимательны, в Linux нет защиты от опасных действий и никто не помешает вам сломать вашу систему.\nТеперь добавим службу сервера в автозагрузку, для этого последовательно выполним несколько команд. Имейте ввиду, что пути и части команд содержат номер используемой платформы, поэтому откорректируйте их согласно используемой вами версии.\n1systemctl link /opt/1cv8/x86_64/8.3.25.1336/srv1cv8-8.3.25.1336\\@.service 2systemctl enable srv1cv8-8.3.25.1336@ Теперь запустим сервер:\n1systemctl start srv1cv8-8.3.25.1336@default И проверим его состояние:\n1systemctl status srv1cv8-8.3.25.1336@default Если все сделано правильно, то состояние будет active (running): На этом установка платформы для разработчиков закончена.\nУстановка сервера СУБД PostgreSQL Для работы с платформой 1С:Предприятие требуется версия PostgreSQL со специальными патчами. Однако устанавливать официальную сборку от 1С мы не будем, все равно нормально ее установить не получится. В качестве альтернативы мы будем использовать бесплатную сборку от Postgres Professional, для этого посетите сайт PostgreSQL + 1c и ответьте на несколько простых вопросов, выбрав версии СУБД и операционной системы, после чего инструкции будут отправлены вам на почту.\nДля тех, кому лень все это делать могут следовать нашим дальнейшим указаниям, в данном случае будет установлена PostgreSQL 15. Прежде всего скачаем и запустим официальный скрипт, который добавит в систему источники пакетов для установки:\n1wget https://repo.postgrespro.ru/1c/1c-15/keys/pgpro-repo-add.sh 2sh pgpro-repo-add.sh После чего установим сам сервер СУБД:\n1apt install postgrespro-1c-15 После установки служба будет запущена автоматически, проверим ее статус:\n1systemctl status postgrespro-1c-15 Если все хорошо, то вы увидите active (running): Следующим шагом установим пароль для суперпользователя СУБД - postgres. Просто выполните в указанной последовательности указанные ниже команды, заменив MyPa$$word на свой пароль:\n1su postgres 2 3psql 4ALTER USER postgres WITH PASSWORD \u0026#39;MyPa$$word\u0026#39;; 5\\q 6 7exit В сборке от Postgres Professional разрешены все виды внешних и внутренних подключений по паролю и необходимости их редактировать нет. На этом установка сервера СУБД закончена.\nПолучение комьюнити-лицензии и создание информационной базы Оснастки MMC в Linux нет (и странно, если бы была), поэтому для создания информационной базы воспользуемся штатными средствами платформы. Добавим новую пустую базу для разработки. Для этого указываем имя кластера серверов, имя базы в кластере, тип сервера СУБД и его адрес, имя базы данных СУБД, имя и пароль суперпользователя СУБД, а также ставим флаг для создания БД в случае ее отсутствия. Важно! Важно! В качестве имени следует использовать только имя ПК, плоское (ubnt-1c-dev) или полное (ubnt-1c-dev.example.com). Использование IP-адресов не допускается!\nТеперь можно запустить базу и попробовать получить лицензию. Но не все так просто, система прав в Linux реализована по другому и поэтому получить лицензию мы сможем только для себя, сервер 1С:Предприятие, который работает под собственным пользователем такую лицензию не увидит. Поэтому отказываемся от ее получения. Для получения лицензии нужно запустить платформу от имени суперпользователя, но там тоже не все так просто. Список баз будет пустой и может так получиться, что подключение клиент-серверной базы будет недоступно. Поэтому мы пойдем другим путем и просто скопируем суперпользователю список баз текущего пользователя. Возвращаемся в терминал, который работает у нас с правами суперпользователя и выполняем:\n1cp -r /home/andrey/.1C /root Где home/andrey - путь к вашей домашней директории, также обязательно соблюдаем регистр, в Linux это важно. Если вы не знаете путь к своей домашней папке, то запустите еще один экземпляр терминала и никуда не переходя введите команду:\n1pwd Теперь запустим из терминала с правами суперпользователя (root) платформу и спокойно получим лицензию:\n1/opt/1cv8/x86_64/8.3.25.1336/1cv8 И снова обратим ваше внимание - путь содержит номер платформы, измените при необходимости. Теперь изменим права на файл лицензии, чтобы пользоваться им мог не только суперпользователь, но и другие пользователи данного компьютера.\n1chmod -R g+w,o+w /var/1C/licenses Теперь можно запускать платформу и заниматься любимым делом - разработкой и тестированием. В заключение отметим, что несмотря на то, что мы использовали в примере Ubuntu, данная статья подойдет для пользователей любых совместимых дистрибутивов, единственное отличие будет в командах установки PostgreSQL, но вы их получите в письме с инструкциями с сайтаPostgreSQL + 1c. В остальном все остается без изменений. Надеемся, что наш материал поможет сделать вам первые шаги в работе с 1С:Предприятие на платформе Linux.\n","id":"fb920914e73cde8c2b19a49ddfe26fa3","link":"https://interface31.ru/post/ustanovka-platformy-1cpredpriyatie-dlya-razrabotchikov-na-platforme-linux/","section":"post","tags":["1С Предприятие 8.х","Debian","Linux","PostgreSQL","Ubuntu"],"title":"Установка платформы 1C:Предприятие для разработчиков на платформе Linux"},{"body":"ZFS все чаще применяется в системах хранения Linux благодаря своим широким возможностям и отличной надежности. Но очень часто пользователи не имеют практических навыков работы с этой файловой системой, отдавая работу с ней на откуп вышестоящим системам, например, системе виртуализации Proxmox. Первые сложности начинаются когда пользователь сталкивается с необходимостью обслуживания ZFS и не находит для этого графических инструментов. Одна из таких задач - это замена сбойного диска в массиве, задача серьезная и ответственная, но в тоже время простая. В этой статье мы расскажем как это сделать.\nКак известно, нет ничего вечного и дисковые накопители не исключение. Они вырабатывают ресурс, выходят из строя, часто внезапно. Чтобы уберечь себя от подобных рисков давно были придуманы массивы с избыточностью, когда информация дублируется на несколько дисков и в случае отказа одного из них у нас останется рабочая копия, а мы сможем спокойно и без особых проблем заменить сбойный диск.\nZFS не исключение, сегодня она широко используется для хранилищ разного уровня и очень часто используется \u0026quot;из коробки\u0026quot;, без полного понимания работы. Именно так, чаще всего, происходит в системе виртуализации Proxmox. Там можно легко создать ZFS в графическом интерфейсе, но практически невозможно им управлять и когда пользователь видит отказавший диск, то сразу возникает вопрос: что делать? Отказавший диск есть, а никаких инструментов работы с ним нет. Прежде всего не паниковать. Вся основная работа по администрированию Linux производится в консоли, веб-панели - это просто приятное дополнение, не более. Поэтому переходим в консоль с правами суперпользователя (root) и первым делом получаем список хранилищ (пулов) ZFS:\n1zpool list После чего вы получите примерно такой вывод: Из чего мы делаем вывод, что у нас в данной системе два пула, один исправный - ONLINE, второй с отказавшей избыточностью - DEGRADED.\nТеперь получим информацию о деградировавшем пуле:\n1zpool status vm-store-ssd Где vm-store-ssd - имя интересующего нас пула. Как видим, отказавший массив содержал два диска, один из которых уже физически извлечен (REMOVED), ZFS оперирует именами дисков по id и идентификатор, как правило, уже содержит серийный номер, что позволяет быстро идентифицировать отказавший диск.\nЕсли же диск окончательно вышел из строя и не определяется, либо определяется как-то не так, то рядом с диском будет указано как он именовался до того, как перестал работать. Такой диск помечается как UNAVAIL - недоступный, если же помеченный сбойным диск присутствует в системе и продолжает работать, то он помечается как DEGRADED.\nВ целом разобрались, id чаще всего содержит серийный номер диска, что позволяет быстро идентифицировать виновника на физическом уровне. Но обратите внимание на две записи на скриншоте выше.\n1wwn-0x5000039***55 2wwn-0x5000039***60 Никакими серийниками тут и не пахнет, поэтому давайте узнаем на какие именно физические устройства указывают данные идентификаторы.\n1ls -al /dev/disk/by-id Вот теперь сразу становится понятно, что:\n1wwn-0x5000039***55 -\u0026gt; ata-TOSHIBA_HDWD240_51I1*** -\u0026gt; ../../sdb 2wwn-0x5000039***60 -\u0026gt; ata-TOSHIBA_HDWD240_51Q1*** -\u0026gt; ../../sda Если данные тома не содержат корневой файловой системы, а такой случай мы в данной статье не рассматриваем, то просто выключаем сервер, удаляем сбойный накопитель и ставим на его место новый. Загружаемся, узнаем id нового диска той же командой:\n1ls -al /dev/disk/by-id Теперь можем выполнить замену, для чего вам потребуется всего одна команда:\n1zpool replace vm-store-ssd /dev/disk/by-id/ata-ADATA_SU750_2M***UA /dev/disk/by-id/ata-Netac_SSD_512GB_AA***68 В нашем случае мы заменили в пуле vm-store-ssd отказавший диск ata-ADATA_SU750_2M***UA на новый диск ata-Netac_SSD_512GB_AA***68.\nТеперь вам остается только дождаться окончания синхронизации. ZFS - умная система и не синхронизирует нули, поэтому данный процесс будет зависеть только от объема реальных данных на накопителе. Посмотреть состояние процесса можно командой:\n1zpool status vm-store-ssd После синхронизации можно сбросить ошибки массива выполнив:\n1zpool clear vm-store-ssd Как видим, заменить сбойный диск в массиве ZFS совсем не сложно, главное - быть внимательным и правильно определить нужное физическое устройство.\n","id":"b06c0b9cae648d38ace445691424c279","link":"https://interface31.ru/post/zamena-sboynogo-diska-v-massivah-zfs/","section":"post","tags":["Proxmox","RAID","ZFS","Виртуализация"],"title":"Замена сбойного диска в массивах ZFS"},{"body":"Относительно недавно фирма 1С выпустила новый тип лицензии - бесплатную комьюнити-лицензию, которая предназначена специально для разработки и тестирования. Это стало огромным шагом вперед, так как позволило многим разработчикам, энтузиастам и просто интересующимся легально попробовать платформу 1C:Предприятие в клиент-серверном варианте. Однако практика показывает, что не у всех получается сразу установить и настроить платформу для разработчиков и поэтому решили написать подробное руководство, которое будет рассчитано на широкий круг читателей имеющих минимальный опыт установки и администрирования 1С:Предприятие.\nГде получить платформу для разработчиков? Для получения набора для разработчика вам нужно зарегистрироваться на портале 1С для разработчиков, после чего вам будет доступна комьюнити-лицензия и дистрибутивы для установки платформы 1С:Предприятие и СУБД PostgreSQL. Если быть честными, то вы можете взять любую платформу версии 8.3.23 и старше, а также любую совместимую с 1С версию СУБД, но мы исходим из того, что у пользователя пока ничего этого нет и поэтому будем ориентироваться на легальные пути получения дистрибутивов.\nПосле регистрации переходим в раздел скачивания, нас здесь интересуют:\nТехнологическая платформа 1С:Предприятия 8 для Windows Дистрибутив СУБД PostgreSQL для Windows (64-bit) Технологическая платформа представлена в трех версиях, где представлены последние выпуски трех актуальных платформ. Если вы не знаете какая именно вам нужна - берите последнюю. Дистрибутив СУБД представлен в единственном экземпляре, поэтому просто скачиваем его.\nУстановка платформы 1C:Предприятие Распаковываем скачанный архив с дистрибутивом платформы и запускаем инсталлятор. Доходим до выбора компонентов установки и выбираем здесь:\n1С:Предприятие (выбрано по умолчанию) Сервер 1С:Предприятия Модули расширения веб-сервера Администрирование сервера 1С:Предприятие Обратите внимание, что для скачивания с портала для разработчиков нам предлагается только 32-битная платформа, что может стать существенным ограничением при работе с тяжелыми прикладными решениями, если же вы только вливаетесь в мир разработки 1С, то на это можно не обращать внимания.\nСервер 1С:Предприятия устанавливаем как службу с отдельным пользователем USR1CV8, требования к паролю здесь такое же, как и для любой другой учетной записи Windows: не менее 8 символов, содержать строчные и прописные буквы, содержать небуквенные символы (цифры, знаки пунктуации, спецсимволы). Аппаратные ключи последнее время - вид редкий, можно сказать - вымирающий. Поэтому отключаем их поддержку и отказываемся от установки драйвера. На этом установка платформы закончена, переходим к настройке. Для управления сервером устанавливается специальная оснастка MMC с простым и понятным названием - Администрирование серверов 1С:Предприятие. Однако при его запуске вы можете столкнуться с ошибкой: Консоль управления (MMC) не может создать оснастку. Ничего страшного в этом нет, это означает что не зарегистрирована библиотека для работы оснастки, для ее устранения нужно от имени Администратора запустить сценарий Регистрация утилиты администрирования серверов. И снова обратите внимание - утилита регистрируется для определенного выпуска платформы, при изменении номера платформы ее придется перерегистрировать заново. Утилита для 32-разрядного сервера не позволяет работать с 64-разрядным, утилита для 64-разрядного сервера поддерживает обе архитектуры.\nЗапустим утилиту еще раз и вы должны увидеть зарегистрированный экземпляр нашего сервера. Если этого не произошло, то зарегистрируйте свой экземпляр вручную, для этого щелкните правой кнопкой мыши на корневом элементе и выберите Создать - Центральный сервер 1С:Предприятия 8.3. В открывшемся окне заполните поле Имя указав в нем имя вашего ПК. Важно! Важно! В качестве имени следует использовать только имя ПК, плоское (PC-278) или полное (PC-278.EXAMPLE.ORG). Использование IP-адресов не допускается!\nНа этом установка платформы, включая сервер, закончена.\nУстановка сервера СУБД PostgreSQL Для работы с платформой 1С:Предприятие требуется специальная версия PostgreSQL, с патчами для поддержки платформы. Поэтому следует устанавливать либо официальную версию от 1С (что мы и сделаем), либо альтернативные варианты с поддержкой 1С, например, от Postgres Professional, но это выходит за рамки нашей статьи.\nРаспаковываем скачанный дистрибутив и начинаем его установку. Прежде всего обращаем внимание на расположение бинарных файлов и баз данных. По умолчанию оба расположения находятся в Program Files, если для бинарных файлов это оправдано, то базы данных лучше переместить в отдельное хранилище. Следующим шагом указываем пароль суперпользователя сервера СУБД postgres, к нему предъявляются уже описанные выше требования по сложности. После чего вы можете столкнуться с еще одной ошибкой: Сервис \u0026quot;Secondary Logon\u0026quot; не запущен. В этом случае идем в оснастку Управление компьютером - Службы, находим там службу Вторичный вход в систему, переключаем ее на автоматический запуск и запускаем. После чего продолжаем установку. В остальном установка какой-либо сложности не представляет. Но на этом все только начинается. Наибольшие сложности возникают с подключением к серверу СУБД, поэтому сразу найдите в меню Пуск пункт Редактировать pg_hba.conf и откройте указанный файл. найдите в нем следующее содержимое:\n1# TYPE DATABASE USER ADDRESS METHOD 2 3# \u0026#34;local\u0026#34; is for Unix domain socket connections only 4local all all md5 5 6# IPv4 local connections: 7host all all 127.0.0.1/32 md5 8 9# IPv6 local connections: 10host all all ::1/128 md5 В данном случае нас интересует строка IPv4 local connections, что она обозначает? А то, что к нашему узлу - host, можно подключиться к любой базе (all), любым пользователем (all) с адреса 127.0.0.1/32 с использованием пароля (md5). И вот здесь зарыта собака, неочевидная для многих начинающих.\nИнформация В строке подключения к СУБД мы можем указать только localhost или 127.0.0.1, если мы укажем реальный IP-адрес сервера или его имя, то подключение будетотклонено!\nЧтобы изменить это поведение добавьте в файл еще одну строку:\n1host all all 192.168.54.32/32 md5 Где 192.168.54.32 - IP-адрес вашего компьютера, после чего в строке подключения можно использовать как этот адрес, так и имя ПК.\nЕсли вы хотите подключаться к серверу СУБД из локальной сети добавьте:\n1host all all 192.168.54.0/24 md5 В данном случае мы указали в правиле полную подсеть с маской 255.255.255.0, которая иначе записывается как /24.\nТакже вместо адресов можно использовать зарезервированные слова:\nsamehost - любые адреса данного ПК samenet - любые адреса сетей, непосредственно подключенных к данному узлу. Например:\n1host all all samehost md5 А так как наша система используется для разработки и тестирования, то мы можем вообще убрать запрос пароля и разрешить неограниченный доступ к СУБД, в этом случае просто замените md5 на trust:\n1host all all samehost trust После всех внесенных изменений сохраните файл и перезапустите службу СУБД.\nПолучение комьюнити-лицензии и создание информационной базы Теперь у нас есть рабочие и настроенные сервер 1С:Предприятие и сервер СУБД, самое время создать первую базу и получить лицензию разработчика. Снова переходим в оснастку Администрирование серверов 1С:Предприятие, разворачиваем ее до пункта Информационные базы и создаем там новую ИБ. Для этого указываем имя базы в кластере серверов 1С, тип сервера СУБД и его адрес, имя базы данных СУБД, имя и пароль суперпользователя СУБД, а также ставим флаг для создания БД в случае ее отсутствия. Если нигде не допущено ошибок, то информационная база будет создана, для ее подключения к 1С:Предприятию используйте имя базы и имя сервера 1С: Важно! Напоминаем, что в качестве кластера серверов указываем исключительно имя ПК, использовать для этого IP-адреса недопустимо!\nПри первом запуске платформа попросит получить лицензию, выбираем пункт с комьюнити-лицензией и вводим учетные данные от портала разработчиков. Поздравляем, вы только что установили платформу для разработчиков и получили лицензию на нее. Теперь вы можете заниматься разработкой и тестированием абсолютно легально и без каких-либо ограничений (не считая ограничения лицензии по количеству сеансов). Единственное, что не допускает лицензия для разработчика - это ведение в базе учета реальной деятельности. В заключение отметим, что комьюнити-лицензия не ограничивает пользователя версиями платформы и СУБД опубликованных на портале разработчика, вы можете использовать любые версии платформы и серверов баз данных. Но это уже выходит за рамки данной статьи, надеемся, что она поможет вам успешно сделать первые шаги в освоении 1С.\n","id":"1d7d4d9cd3aa4a9c54ce82fc3ce1578e","link":"https://interface31.ru/post/ustanovka-platformy-1cpredpriyatie-dlya-razrabotchikov-na-platforme-windows/","section":"post","tags":["1С Предприятие 8.х","PostgreSQL","Windows","Windows 10","Windows 11"],"title":"Установка платформы 1C:Предприятие для разработчиков на платформе Windows"},{"body":"Систем резервного копирования уровня предприятия, которые позволяют получить единую точку бекапов для всей разнородной инфраструктуры не так уж и много, особенно в наши дни, когда многие признанные игроки покинули российский рынок. Но природа не терпит пустоты и свободное место занимают наши китайские друзья. Продукт Vinchin Backup \u0026amp; Recovery мало того, что не уступает своим конкурентам, так еще и специально нацелен на российский сегмент. Но не будем забегать вперед и обо всем этом мы расскажем в нашей статье.\nVinchin Backup \u0026amp; Recovery - это мощная система резервного копирования уровня предприятия, позволяя успешно создавать и хранить резервные копии разнородной инфраструктуры: физических серверов, виртуальных машин, отдельных файлов, сетевых хранилищ и т.д. и т.п.\nДля получения системы на тестирование достаточно заполнить заявку на официальном сайте, единственный момент - вам потребуется \u0026quot;корпоративная\u0026quot; почта на собственном домене.\nАктуальной версией продукта на момент написания данной статьи является Vinchin Backup \u0026amp; Recovery V8.0, которая предоставляется в виде установочного образа на базе Rocky Linux.\nУстановка Vinchin как раз тот продукт, для которого следует сначала прочитать инструкцию, потому что его установка достаточно нетривиальна, хотя и не сложна. При запуске установочного образа нас встретит инсталлятор Rocky Linux 9 без какого-либо упоминания Vinchin, все что вам потребуется - это выполнить разметку диска, выбрать часовой пояс и настроить сеть, после чего выполнить установку с заданными по умолчанию параметрами. Установка самого Vinchin Backup \u0026amp; Recovery производится уже после установки самой системы и во время первой перезагрузки, что может занять некоторое время, поэтому не выключайте и не перезагружайте систему даже если кажется, что она зависла.\nПосле перезагрузки вы можете войти в систему с учетными данными: логин - backup, пароль - Backup@3R. Рекомендуется сразу же сменить пароль данной учетной записи на собственный.\nПервоначальная настройка Вся работа с системой производится через веб-интерфейс в который можно войти набрав в браузере IP-адрес сервера резервного копирования, для входа по умолчанию используется учетная запись admin с паролем**!V3b7#Lr**, его также рекомендуется сразу изменить на собственный. После входа система сразу подсветит вам участки, требующие вашего внимания. Красным - первоочередные, желтым - второстепенные. В первую очередь следует загрузить файл лицензии, его вы получите вместе с дистрибутивом, после чего количество пунктов меню сразу прибавится. А следующим шагом вам потребуется подключить хоть одно хранилище для резервного копирования. Выбор поддерживаемых вариантов весьма велик: от локальных дисков и директорий, до сетевых и облачных расположений. Каждое хранилище может быть использовано либо для резервных копий (Backup) либо для копий и архивов (Copy \u0026amp; Archive). Немного расскажем про разницу между ними. Резервные копии - это понятно, но все стратегии резервного копирования предусматривают несколько экземпляров копий.\nКопии и архивы как раз позволяют выполнять дополнительное копирование резервных копий в другое хранилище, в качестве которого можно выбрать сетевое расположение и автоматически получить распределенную среду хранения без привлечения дополнительных программ. Кроме того, при копировании можно выполнять различные преобразования резервных копий, например, объединять инкрементные и дифференциальные копии в полные. Архив отличается от копии тем, что он может быть только полным. По сути его вынесли в отдельную сущность только для удобства управления, подразумевая что копии будут храниться где-то поближе, а архивы - подальше, на недорогом сетевом хранилище и нужны будут если совсем все пропало, ну или именно в качестве архива.\nРезервное копирование виртуальных машин Виртуализация сегодня плотно вошла во все сферы, включая даже небольшие предприятия, поэтому возможность выполнять резервное копирование виртуальных сред одно из первоочередных требований к системе резервного копирования. У Vinchin Backup \u0026amp; Recovery с этим все хорошо, система поддерживает все актуальные гипервизоры, включая отечественные zVirt, РЕД Виртуализация и ROSA Virtualization.\nУже только одно делает Vinchin Backup \u0026amp; Recovery крайне привлекательным продуктом, особенно для тех сред, где идет переход с зарубежных систем виртуализации на отечественные и нужно одновременно копировать обе системы.\nДля того чтобы начать резервное копирование виртуальных машин вам потребуется установить на гипервизор специальный плагин, скачать его можно со страницы входа в систему. На первый взгляд это достаточно необычно, но на самом деле удобно, особенно если обслуживанием гипервизора занимается другой сотрудник, который не должен иметь доступа к серверу резервного копирования. Затем переходим в раздел Resources - Infrastructure - Virtual Platform и добавляем нужный нам гипервизор, кстати здесь вы можете увидеть полный список поддерживаемых гипервизоров. Вам потребуется только указать адрес и параметры доступа к узлу. После добавления платформу виртуализации нужно лицензировать, лицензирование производится по процессорным сокетам, в составе нашей лицензии доступно 30 сокетов. Если вы не лицензировали узел, то создавать и восстанавливать на него резервные копии не получится. Теперь можем переместиться в раздел VM Backup - Backup и создать новое задание резервного копирования выбрав необходимые виртуальные машины нашего узла. Для создания задания используется специальный мастер, который содержит большое количество настроек, позволяющих тонко настраивать стратегию резервного копирования, начиная от расписания и типа копирования.\nШкала в верхней части окна показывает общую загрузку сервера резервного копирования применительно к выбранному периоду и позволяет оптимально распределять задания избегая перегрузок. Здесь же можно настроить использование пропускной способности канала и параметры хранения, такие как дедупликацию, сжатие или шифрование. В общем - настроек много, можно тонко настроить задания в соответствии с приоритетами и текущей загрузкой сети и оборудования. Списки созданных и хранящихся резервных копий можно посмотреть в разделе VM Backup - Backup Data. Восстановление резервной копии тоже довольно простая задача, которая реализуется через создание задания при помощи мастера, аналогичного мастеру резервного копирования. Выбираем копию, указываем параметры восстановления, сохраняем задание и дожидаемся его выполнения. Если мы восстанавливаемся на точку, которая не является полной копией, то система резервного копирования сама объединит все инкременты в единый снимок системы. Но это далеко не самое интересное, что может предложить Vinchin Backup \u0026amp; Recovery, кроме полного восстановления виртуальной машины нам доступны еще два специальных режима.\nInstant Restore - позволяет запустить виртуальную машину на указанном при восстановлении узле прямо из хранилища резервных копий, само хранилище будет подключено к нужному гипервизору по NFS (SMB). Это позволяет в случае аварии быстро запустить нужные машины на другом узле без их миграции или восстановления, т.е. очень быстро.\nВсе изменения, произведенные в таком режиме, записываются отдельно от резервной копии, и чтобы применить их к рабочей копии нужно будет выполнить миграцию виртуальной машины средствами Vinchin.\nКроме того, данная функция дает возможность быстро и без дополнительных накладных расходов запустить копию рабочего сервера для тестирования, при этом резервная копия будет изолирована от новых данных, что позволит надежно обеспечить безопасность исходных данных копии.\nРежим Granular Restore позволяет выборочно восстановить файлы и папки виртуальной машины. Это уже точечный инструмент, позволяющий при каких-либо проблемах быстро вернуть все как было, не прибегая к полному восстановлению системы. Например, если вы сильно увлеклись настройками и забыли сохранить исходное состояние конфигурации.\nВ целом возможностями резервного копирования и восстановления виртуальных машин мы остались довольны. Много настроек, позволяющих реализовать самые разные сценарии, достаточно гибкие инструменты восстановления, поддержка широкого спектра гипервизоров и все это в одном месте.\nРезервное копирование физических устройств Резервное копирование физических устройств производится в нескольких разрезах: файлы, базы данных и полное резервное копирование системы. Для этого нам потребуется установить на требуемую систему агент. Его также можно скачать со страницы входа в систему, поддерживается Windows, все основные дистрибутивы Linux и отечественные Astra и РЕД ОС. При установке агента вы можете выбрать два режима работы: Server-to-client или Client-to-server, рекомендуется второй способ, в этом случае агент сам инициирует соединение к серверу и поддерживает его. Все активные агенты автоматически будут добавлены в раздел Resources - Agents, если же вы выбрали способ подключения Server-to-client, то вам потребуется здесь же добавить нужных агентов вручную. После чего каждый агент должен быть лицензирован. Лицензии выдаются отдельно на резервное копирование файлов, баз данных и полное резервное копирование узла (Server). В нашем случае в комплект входит по 10 лицензий каждого типа. Подобная система лицензирования является достаточно гибкой и позволяет избежать дополнительных затрат, что достаточно удобно, хотя и требует дополнительных действий.\nРабота с физическими устройствами происходит в разделе Physical Backup, самый простой вариант - это копирование файлов, при запуске мастера нам показывается файловая система узла и мы сами выбираем что и как оттуда копировать. В остальном перед нами все тот же мастер, который мы видели при создании задания копирования виртуальных машин, все те же, привычные параметры. И это большой плюс Vinchin Backup \u0026amp; Recovery, чтобы вы не бекапили - настройки везде одинаковые, что способствует быстрому освоению продукта.\nВ режиме Server мы можем сделать резервную копию системы целиком. Обязательно будут скопированы все системные и загрузочные разделы, а вот разделы с данными вы можете из резервной копии исключить, особенно если они копируются другим способом. А вот режим резервного копирования баз данных уже не так прост, перед тем как настраивать задание резервирования вам нужно в разделе Resources - Agents через меню Options добавить приложение для данного узла. Здесь вам потребуется выбрать тип используемой СУБД и настроить параметры подключения к ней. После чего вы сможете настраивать резервное копирование расположенных на этом сервере баз данных уже ставшим привычным образом, точно также как вы настраивали до этого все остальное.\nРезервное копирование сетевых ресурсов В интерфейсе Vinchin Backup \u0026amp; Recovery есть отдельный раздел NAS Backup. Он предназначен для безагентного копирования данных с SMB или NFS ресурсов. Идея проста и, как говорится, лежала на поверхности. Если у нас есть общий сетевой ресурс, то кто нам мешает подключиться к нему в качестве клиента и заниматься резервным копированием данных?\nПри этом абсолютно не важно каким образом у нас реализован этот сетевой ресурс. Не нужны агенты и списки поддерживаемых систем. Протоколы сетевого доступа универсальны.\nДля организации такого копирования нам нужно в Resources - NAS Shares добавить сетевой ресурс и лицензировать его. Затем можем настраивать нужное количество заданий для резервного копирования файлов и папок с указанной шары. Количество заданий не ограничено, и мы можем гибко настраивать частоту и политику создания копий для разных типов данных.\nЗаключение Взяв продукт на тестирование, мы ожидали столкнуться с различными сложностями и шероховатостями, которые заставят нас читать документацию, вникать, разбираться и т.д. и т.п. С корпоративными продуктами чаще всего так и бывает.\nНо Vinchin Backup \u0026amp; Recovery нас порадовал, документацию мы читали только на этапе установки и еще немного после. Документация на официальном сайте есть, она достаточно краткая, но именно по делу. Такой подход можно только приветствовать, так как если у меня возникли вопросы при установке или первоначальной настройке, то я хочу получить краткую инструкцию, а не изучать тонкости устройства продукта.\nВторой плюс - это унификация, несмотря на то, что продукт позволяет создавать резервные копии самых разнородных систем делается это одинаково. Очень быстро вы привыкаете и просто работаете на автомате, вне зависимости от того, что вы копируете: виртуалку, физический сервер, сетевой ресурс.\nСистема логична, понятна, целостна и стабильна. Все необходимые инструменты есть в веб-интерфейсе. И, пожалуй, нет таких задач, которые вы бы не смогли закрыть с ее помощью. Поэтому Vinchin Backup \u0026amp; Recovery видится нам хорошей альтернативой на место систем резервного копирования, покинувших российский рынок.\n","id":"7fda9cdc8739513acd6e56b133c7b80d","link":"https://interface31.ru/post/vinchin-backup-recovery-universalnaya-sistema-rezervnogo-kopirovaniya-urovnya-predpriyatiya/","section":"post","tags":["Vinchin","Резервное копирование"],"title":"Vinchin Backup \u0026 Recovery - универсальная система резервного копирования уровня предприятия"},{"body":"Отношения клиентского приложения 1С:Предприятие и Linux безоблачными не назовешь, хотя нативный клиент для Linux существует уже довольно давно. Но постоянно следует учитывать массу тонкостей и уметь преодолевать сложности, особенно если вы хотите использовать клиент 1С на свежих выпусках дистрибутивов Linux. Сегодня мы разберем основные типовые проблемы запуска и пути их решения. А также немного прольем свет на причины всего происходящего.\nОбычно, в случаях проблем с установкой или запуском клиента 1С:Предприятия в среде Linux принято ругать разработчиков 1С. Если быть до конца честными, то ряд претензий, конечно, обоснован, но давайте обратимся к одному интересному документу, который называется Системные требования «1С:Предприятия 8». Так как информация на веб-странице постоянно меняется, то мы специально сделали скриншот с поддерживаемыми на момент написания статьи операционными системами. И поэтому, каждый раз после возникновения проблем следует спросить себя: а есть ли моя система в списке поддерживаемых? Нет? Ну так тогда какие претензии к 1С? Никто ничего не обещал.\nНо в тоже время выходят новые дистрибутивы, которые несут в себе массу интересного и полезного, поэтому многим хочется получить сразу всё: и новый дистрибутив и работающую в нем 1С. Можно ли это сделать? Можно, но следует понимать, что в случае возникновения каких-либо иных проблем поддержки вы не получите. Официально вам укажут не неподдерживаемую ОС и могут даже не посмотреть что там у вас за проблема. Поэтому все описанные ниже действия производим на свой страх и риск.\nОсновным способом распространения клиентского дистрибутива 1С является Единый дистрибутив, как с ним работать рассказано в нашей статье:\nРекомендуем к прочтению Единый дистрибутив 1С:Предприятие для Linux. Установка клиента Итак, вы скачали дистрибутив, установили его, а с этим проблем обычно не возникает, но клиент не запускается. Что делать? В этом случае открываем терминал и вводим в него команду:\n1/opt/1cv8/x86_64/8.3.24.1624/1cv8 Где 8.3.24.1624 - номер установленной вами платформы, после чего внимательно читаем вывод, где и будет ключ к решению возникшей проблемы.\nОшибка error while loading shared libraries: libwebkit2gtk-4.0.so.37 Данная ошибка проявляется в Ubuntu 24.04 LTS и Debian 12, обозначает она то, что клиент 1С:Предприятие не может найти требуемую библиотеку, ситуацию осложняет то, что библиотека ему требуется строго указанной версии.\nНачинаем с того, что проверяем наличие требуемой библиотеки в репозиториях дистрибутива, для DEB-систем выполните:\n1apt search libwebkit2gtk В Debian 12 нужный пакет присутствует и его достаточно установить командой:\n1apt install libwebkit2gtk-4.0-37 В Ubuntu 24.04 LTS пакет более новой версии и 1С:Предприятие с ним работать не будет, поэтому идем на packages.ubuntu.com и ищем нужный пакет там. При этом искать желательно в репозиториях LTS-версий.\nВ нашем случае требуемый пакет нашелся в репозитории Ubuntu 22.04 LTS Jammy. Но не все так просто, если мы просто скачаем пакет и попробуем его установить, то он потребует зависимости, поэтому вам возможно придется скачать и установить сразу несколько пакетов. Для Ubuntu 24.04 нужно будет скачать:\nlibwebkit2gtk-4.0-37 libjavascriptcoregtk-4.0-18 libicu70 После чего устанавливаем их в следующем порядке (версии пакетов, возможно, придется уточнить):\n1dpkg -i libicu70_70.1-2_amd64.deb 2dpkg -i libjavascriptcoregtk-4.0-18_2.44.2-0ubuntu0.22.04.1_amd64.deb 3dpkg -i libwebkit2gtk-4.0-37_2.44.2-0ubuntu0.22.04.1_amd64.deb После чего 1С:Предприятие начнет нормально запускаться.\nОшибка libstdc++.so.6: version 'GLIBCXX_3.4.30' not found С данной ошибкой мы столкнулись в Astra SE 1.8, Альт p11/Sisyphus и РЕД ОС 8. Она связана с порочной практикой 1С поставлять вместе с платформой системные библиотеки, с одной стороны таким образом 1С пытается уменьшить зависимость от конкретного дистрибутива, но в нашем случае собранная на одной платформе библиотека некорректно работает в другой.\nРешение здесь простое - библиотеку из комплекта следует удалить или переименовать, после чего 1С начнет использовать одноименную библиотеку из состава системы которая лишена указанных проблем. Так как удалять - это плохое решение, то мы библиотеку переименуем и сделать это нужно в двух местах:\n1mv /opt/1cv8/x86_64/8.3.24.1624/libstdc++.so.6 /opt/1cv8/x86_64/8.3.24.1624/libstdc++.so.6.old 2mv /opt/1cv8/common/libstdc++.so.6 /opt/1cv8/common/libstdc++.so.6.old В первой команде в путь входит номер установленной платформы, уточните и скорректируйте его при необходимости. После того как вы переименуете библиотеку клиент 1С начнет нормально запускаться.\nОшибка libgcc_s.so.1: version `GCC_12.0.0' not found Данная ошибка была получена в Альт p11/Sisyphus, в частности в дистрибутиве Ximper после того как мы вылечили предыдущую. Причины все те же - собранная в другой среде библиотека некорректно работает в текущем окружении. Лечение аналогичное:\n1mv /opt/1cv8/x86_64/8.3.24.1624/libgcc_s.so.1 /opt/1cv8/x86_64/8.3.24.1624/libgcc_s.so.1.old 2mv /opt/1cv8/common/libgcc_s.so.1 /opt/1cv8/common/libgcc_s.so.1.old После чего проблем с запуском и работой клиента 1С у нас не возникло.\nЗаключение Как видим, запуск клиента 1С:Предприятие в среде современных дистрибутивов Linux вполне возможен. Мы без проблем запустили его во всех актуальных системах, таких как Debian и Ubuntu, а также в последних версиях основных отечественных дистрибутивов Astra, Альт и РЕД ОС.\nОднако не забываем, что официальной поддержки этих систем со стороны 1С:Предприятие до сих пор нет, поэтому все риски дальнейшей поддержки и эксплуатации вам придется взять на себя.\n","id":"6a92107bfbd27bfebcde008e198aec3f","link":"https://interface31.ru/post/ispravlyaem-oshibki-zapuska-klienta-1spredpriyatie-v-sovremennyh-vypuskah-linux/","section":"post","tags":["1С Предприятие 8.х","ALT","Astra Linux","Debian","Linux","Ubuntu","Диагностика","РЕД ОС"],"title":"Исправляем ошибки запуска клиента 1С:Предприятие в современных выпусках Linux"},{"body":"Альт Сервер представитель самого старого и самобытного семейства операционных систем Альт, представляющих полностью самостоятельную ветвь развития Linux и обладающую самым большим отечественным репозиторием. Также Альт представляет интерес в рамках процесса импортозамещения, Альт Сервер 10 входит в реестр Минцифры. В данной статье мы рассмотрим как выполнить установку и первоначальную настройку дистрибутива Альт Сервер 10 в минимальной конфигурации.\nАльт Сервер 10 - коммерческая серверная операционная система от Базальт СПО, согласно лицензионному соглашению ее могут использовать бесплатно физические лица. Юридические лицам и индивидуальные предприниматели, государственные и муниципальные органы, а также иные хозяйствующие субъекты обязаны приобрести лицензию. На момент написания статьи бессрочная лицензия на Альт Сервер 10 стоила 13 200 руб.\nТакже, несмотря на то, что соответствующие пакеты свободно доступны в репозитории лицензия не предусматривает предоставление прав на использование дистрибутива в качестве хоста виртуализации. При необходимости использовать данную функцию, нужно приобрести лицензию на Альт Виртуализация.\nНачало установки Альт Сервер имеет собственный установщик привычный по другим системам Альт, он запускается и работает в графическом режиме даже если вы не собираетесь ставить графическую оболочку.\nПрежде всего следует выбрать язык системы и комбинацию клавиш для переключения языков ввода. Затем выбираем часовой пояс и оставляем флаг Хранить время BIOS по Гринвичу, это типичная настройка для Linux систем, которые предполагают время аппаратных часов как UTC и делают к нему поправку на часовой пояс, в то время как Windows хранит в BIOS именно поясное время. В общем никаких особенностей или неожиданностей тут нет, даже если вы первый раз устанавливаете систему семейства Альт.\nРазметка дискового пространства Без преувеличения - разметка один из важнейших этапов установки, так как с результатом принятых на этом шаге решений вам придется жить все оставшееся время и очень часто изменить разметку в уже установленной системе бывает крайне сложно, либо невозможно.\nМы будем рассматривать установку на системы с UEFI, так как практически все современные системы используют UEFI вместо BIOS. Еще один современный подход - разметка единым разделом и если вы не знаете как точно разбить файловую систему - следуйте ей. Повсеместное внедрение твердотельных накопителей принесло еще один новый подход в разметке - размещать раздел подкачки первым на диске. Это также оправдано, так как позволяет более гибко оперировать разделами с данными и изменять их размеры.\nАвтоматическая разметка Для автоматической разметки Альт Сервер предлагает выбрать единственный профиль предполагающий наличие не менее 40 ГБ дискового пространства. Но результаты разметки вряд-ли смогут нас порадовать: один раздел подкачки в размере оперативной памяти чего стоит. Хотя никаких иных неожиданностей разметка не предполагает. Схема разбивки - все файлы в одном разделе. Конечно, все это можно откорректировать, но зачем? Проще сразу разметить диск вручную.\nРучная разметка Для ручной разметки выбираем профиль Вручную и сразу удаляем с дисков уже созданные там разделы, в результате вы должны получить следующую картину: Теперь начинаем создавать разметку. Первым делом создадим раздел размером не менее 512 МБ для загрузчика EFI. Тип раздела выбираем efi system partition. Затем создаем на разделе том с файловой системой FAT32 и точкой монтирования /boot/efi, нужные опции монтирования будут добавлены автоматически. Затем создаем раздел подкачки, хотя это сугубо по желанию, в современных системах можно не выделять отдельный раздел, а воспользоваться файлом подкачки, создав его уже после установки системы.\nМы же создадим отдельный раздел размером в 4 ГБ и выберем для него тип Linux filesystem: При создании тома выбираем тип ФС - Файловая система подкачки (swap): На оставшемся пространстве создаем еще один раздел с типом Linux filesystem, который форматируем в ext4/XFS и монтируем как корневую файловую систему. В результате у вас должна получиться примерно следующая разметка: По сути это классическая схема, которая может использоваться для простых систем или виртуальных машин, когда не требуются сложные конфигурации системы хранения или ее избыточность.\nНастройка LVM LVM (Logical volume management, менеджер логических томов) - дополнительный уровень абстракции между системой хранения и файловой системой, предоставляющей дополнительные возможности по управлению томами и придающий ей дополнительную гибкость. Для лучшего понимания темы LVM советуем вам ознакомиться с дополнительными материалами:\nРекомендуем к прочтению LVM для начинающих. Часть 1. Общие вопросы LVM для начинающих. Часть 2. Основы управления томами Перед тем как настраивать разметку LVM помним, что разделы загрузки /boot и ESP (при UEFI) должны располагаться за пределами структуры LVM.\nТочно также создаем раздел efi system partition размером в 512 МБ и с файловой системой FAT32 смонтированной в /boot/efi. Затем создаем раздел размером не менее 1 ГБ с типом Linux filesystem и файловой системой ext4, который монтируем в**/boot**, нужные опции монтирования инсталлятор подставит автоматически. Теперь на оставшемся свободном месте создаем еще один раздел с типом basic data, ниже обязательно снимаем флаг Создать том. После чего переходим в раздел LVM и внизу окна у нас появится кнопка Создать группу томов. Группы томов (Volume Group) являются основой LVM и представляют некий виртуальный диск, который может располагаться на одном или нескольких дисках физических. От нас потребуется только указать его уникальное имя, его можно выбрать любым, но желательно чтобы оно отражало физическую сущность. В нашем случае мы выбрали alt-vg0. Группу томов мы можем разбить на один или несколько логических разделов (Logical Volume), в нашем случае он будет один и в него мы смонтируем корневую файловую систему.\nНастройка программного RAID\nПрограммный RAID - mdadm - проверенное временем решение, позволяющее организовать отказоустойчивую дисковую конфигурацию без серьезных финансовых вложений. Поэтому он пользуется заслуженной популярностью и его нельзя обойти стороной.\nВ тоже время системы с UEFI имеют собственные особенности и использование программного RAID в них не так просто, как кажется на первый взгляд. Поэтому рекомендуем дополнительно ознакомиться с нашей статьей, все сказанной в ней, с небольшими поправками, справедливо и для Альт Сервер:\nРекомендуем к прочтению Настраиваем программный RAID на UEFI-системах в Debian и Ubuntu Также как и в случае с LVM-разметкой ESP-разделы должны располагаться за пределами RAID-массива. Также оба диска должны быть размечены полностью идентично.\nПоэтому на первом диске создаем раздел efi system partition размером в 512 МБ и с файловой системой FAT32 смонтированной в /boot/efi. На втором диске создаем полностью аналогичный раздел, но без точки монтирования.\nЕсли вы используете SWAP-разделы, то создайте по одинаковому разделу на обоих дисках. В RAID включать их не нужно, это не даст никаких плюсов, подкачке отказоустойчивость не требуется, а отказ раздела не препятствует загрузке ОС.\nЗато в раздельной подкачке есть плюсы: в два раза больший объем и более высокое быстродействие за счет отсутствия пенальти RAID и возможности одновременного чтения сразу с двух дисков.\nНа оставшемся свободном месте следует создать разделы basic data без создания на них томов (снимаем флаг Создать том при создании раздела).\nТеперь переходим в раздел RAID и внизу окна будет доступна кнопка Создать RAID. Затем выбираем уровень RAID (для двух дисков доступны уровни 0 и 1): И разделы которые мы включаем в массив, напоминаем - RAID mdadm строится на основе разделов, один массив - один раздел. После чего создаем на созданном MD-устройстве раздел, форматируем его в ext4/XFS и монтируем как корневой. При такой настройке загрузчик будет установлен только на один из FAT-разделов и вам потребуется выполнить дополнительную настройку по копированию его на второй диск.\nНастройка программного RAID с размещением на нем загрузочного раздела EFI При использовании зеркального массива (RAID 1) имеется возможность разместить загрузчик на RAID-массиве, однако такой сценарий не является официально рекомендуемым. К плюсам такого решения можно отнести более простую установку и обслуживание, к минусам - то что загрузчик окажется у вас в единственном экземпляре, что повышает шансы его повреждения.\nДля такой настройки создаем в начале диска два раздела basic data без создания на них томов (снимаем флаг Создать том при создании раздела) размером 512 МБ для загрузочного раздела, за ними, по желанию, два раздела подкачки и еще два раздела basic data под данные. Затем последовательно создаем на них два отдельных RAID-массива, при этом для загрузочного массива обязательно снимаем флаг Суперблок версии 1. На этом MD-устройстве создаем том с файловой системой FAT32 и точкой монтирования /boot/efi, на втором массиве создаем обычный Linux-том для данных с монтированием в корень файловой системы. При таком варианте разметки вы получите предупреждение о том, что вам следует установить загрузчик EFI в варианте для съемных устройств, запомним это. На этом все основные сценарии разметки дисков мы рассмотрели и перейдем к следующему этапу.\nЗавершение установки После того, как вы разметили диски вам будет предложено выбрать профиль установки, нас интересует максимально чистая система, поэтому выберем профиль Минимальная установка. После этого начнется установка системы в выбранной конфигурации, в нашем случае это не займет много времени. Следующий этап - установка загрузчика. Во всех случаях, кроме установка загрузчика на RAID, выбираем EFI (рекомендуемый), в случае установки загрузчика на массив - выберите EFI (для съемных устройств). Следующий важный шаг - настройка сети. Данный интерфейс имеет одну тонкость, если вы добавили IP-адрес в поле Добавить IP, то обязательно потом нажмите кнопку Добавить, чтобы адрес из этого поля перешел в поле выше. Остальные опции просто задаются в своих полях. После чего задаем пароль для суперпользователя root и заводим отдельного пользователя для работы, первый созданный при установке пользователь также получит административные права. После чего завершаем установку и перезагружаем систему.\nНастройка загрузчика EFI и его копирование на второй раздел Если вы настроили RAID-массив с раздельными загрузочными разделами, то загрузчик у вас установлен только на первый диск, поэтому нужно выполнить ряд дополнительных настроек, они довольно несложные.\nПрежде всего выясним идентификаторы разделов, для этого воспользуемся командой:\n1lsblk -o +uuid В полученном выводе нас прежде всего интересует идентификатор EFI-раздела, который смонтирован в /boot/efi. Теперь нам надо изменить идентификатор второго загрузочного раздела, чтобы они были идентичными. Прежде всего размонтируем второй раздел:\n1umount /dev/sdb1 Затем выполним:\n1mkdosfs -i C0F9924E /dev/sdb1 Обратите внимание, идентификатор раздела записываем единой строкой без дефисов и пробелов.\nПосле чего получим список текущих загрузочных записей EFI:\n1efibootmgr -v В выводе нас интересует загрузочная запись altlinux. Запомните или запишите путь к EFI-образу для загрузки системы: \\EFI\\altlinux\\shimx64.efi.\nСоздадим аналогичную запись для второго диска:\n1efibootmgr -c -d /dev/sdb -p 1 -L \u0026#34;altlinux 2\u0026#34; -l \u0026#34;\\EFI\\altlinux\\shimx64.efi\u0026#34; Последним шагом скопируем содержимое загрузочного раздела с первого диска на второй, для этого смонтируем второй EFI-раздел:\n1mount /dev/sdb1 /mnt И скопируем на него содержимое первого EFI-раздела:\n1cp -R /boot/efi/EFI/ /mnt После чего отмонтируем раздел:\n1umount /dev/sdb1 Теперь можно попробовать перезагрузиться и при загрузке выбрать второй загрузчик: После загрузки снова выполните:\n1lsblk Как видим, загрузочный раздел теперь смонтирован на /dev/sdb1, т.е. мы успешно загрузились со второго диска.\nВключаем sudo Как мы уже говорили, первый созданный пользователь получает административные права, однако при попытке повысить их через sudo мы столкнемся с ошибкой: Как так? Дело в том, что sudo из коробки не настроен, поэтому открываем файл /etc/sudoers и находим в нем одну из двух строк. Первая позволяет всем членам группы wheel повышать права для исполнения любых команд после ввода пароля пользователя:\n1# WHEEL_USERS ALL=(ALL:ALL) ALL Вторая позволяет делать тоже самое, но без пароля:\n1# WHEEL_USERS ALL=(ALL:ALL) NOPASSWD: ALL Раскомментируйте только одну из них, после чего выйдите и снова зайдите своим пользователем или перезагрузите компьютер.\nСоздание файла подкачки В современных системах раздел подкачки использовать не обязательно, вместо него можно использовать файлы подкачки, это более гибко и удобно. Для примера создадим файл подкачки размером 4 ГБ:\n1fallocate -l 4G /swapfile Установим на него нужные права:\n1chmod 600 /swapfile Создадим в нем пространство подкачки:\n1mkswap /swapfile И подключим его:\n1swapon /swapfile Для того, чтобы он монтировался каждый раз при входе в систему, добавим в /etc/fstab строку:\n1/swapfile none swap sw 0 0 Теперь можем перезагрузить сервер и убедиться, что файл подкачки автоматически монтируется в систему.\nНастраиваем временный раздел /tmp Еще одной особенностью ОС семейства Альт является то, то директория**/tmp** вынесена в оперативную память на tmpfs и по умолчанию использует половину выделенной серверу памяти.\nОднако это не говорит о том, что половина памяти зарезервирована и не используется,tmpfs предполагает динамическое выделение памяти по мере необходимости.\nНо в связи с таким положением дел вы можете столкнуться с неожиданным поведением системы. Например, если у вас на сервере мало оперативной памяти (виртуальная машина или VPS), то при загрузке дампа большого размера вы можете получить сообщение, что на устройстве нет свободного места. Либо, если оперативной памяти достаточно, столкнетесь с ситуацией когда она занята \u0026quot;непонятно чем\u0026quot;.\nЧто можно сделать в этой ситуации? Кардинальное решение - отключить вынос /tmp в оперативную память, для этого откройте /etc/fstab и закомментируйте строку:\n1tmpfs /tmp tmpfs nosuid 0 0 Другой вариант - явно настроить выделение памяти, например, выделим под tmpfs ровно 4 ГБ, для этого в /etc/fstab измените строку:\n1tmpfs /tmp tmpfs size=4g,nr_inodes=1m,nosuid 0 0 В любом случае не рубите с плеча, а трезво оцените наличие свободных ресурсов и целесообразность их выделения под раздел с временными файлами.\nИсправляем ошибку имен RAID-массивов md127 Если при установке системы вы настроили программный RAID, то можете заметить, что все работает нормально, только сами массивы имеют имена md127, md126 и т.д., что характерно для отказавших или подключенных с другой системы массивов.\nЭто связано с тем, что в системе не создается конфигурация mdadm, поэтому исправим это самостоятельно. Прежде всего создадим файл конфигурации на основании шаблона:\n1 cp /etc/mdadm.conf.sample /etc/mdadm.conf Затем внесем в него информацию о уже собранных массивах:\n1mdadm --examine --scan \u0026gt;\u0026gt; /etc/mdadm.conf Затем откроем файл /etc/mdadm.conf и внесем в него корректировки. А именно переименуем MD-устройства на привычные наименования. При этом для загрузочных массивов (суперблок 0.9) и обычных пути будут несколько разные:\n1ARRAY /dev/md0 UUID=68329d7c:38998dd8:765dbcde:b5cbda6a 2ARRAY /dev/md/md1 metadata=1.2 UUID=0cd2296b:b7ee3a63:2b85e03c:d5f8bd71 name=md1 Так для загрузочного массива имя указываем как**/dev/mdN**, а для остальных**/dev/md/mdN**. Теперь пересоберем загрузочный образ:\n1make-initrd --kernel=`uname -r` Перезагружаем систему и убеждаемся что MD-устройства именуются правильно.\nНастраиваем сеть при помощи Etcnet В Альт применяется собственный сетевой менеджер - Etchet, это достаточно своеобразный, но достаточно простой и логичный продукт. Все сетевые настройки хранятся в /etc/net/ifaces во вложенных папках с именами интерфейсов. И если у нас активный сетевой адаптер определяется как ens33, то полный путь к папке настроек будет /etc/net/ifaces/ens33.\nОсновные настройки интерфейса расположены в файле options, его наличие в директории обязательно. Если используется автоматическая настройка по DHCP, то это будет единственный файл с следующим содержимым:\n1BOOTPROTO=dhcp 2TYPE=eth 3CONFIG_WIRELESS=no 4SYSTEMD_BOOTPROTO=dhcp4 5CONFIG_IPV4=yes 6DISABLED=no 7NM_CONTROLLED=no 8SYSTEMD_CONTROLLED=no Здесь же мы можем передать управление сетевым интерфейсом NetworkManager или Systemd, однако эти варианты мы здесь рассматривать не будем.\nДля перехода на статические адреса изменим содержимое файла options на следующее:\n1BOOTPROTO=static 2TYPE=eth 3CONFIG_WIRELESS=no 4SYSTEMD_BOOTPROTO=static 5CONFIG_IPV4=yes 6DISABLED=no 7NM_CONTROLLED=no 8SYSTEMD_CONTROLLED=no 9ONBOOT=yes Теперь нам нужно создать в директории интерфейса три файла: ipv4address, ipv4route и resolv.conf. Их назначение вполне понятно из названий. Первый содержит назначенный IP-адрес, второй - маршрутную информацию, а третий отвечает за разрешение имен.\nЛегче всего создать и заполнить эти файлы при помощи следующих команд, если файл существует его содержимое будет перезаписано. Сначала назначим IP-адрес (в нашем случае 192.168.3.13) :\n1echo \u0026#34;192.168.3.13/24\u0026#34; \u0026gt; /etc/net/ifaces/ens33/ipv4address Затем укажем маршрут по умолчанию (основной шлюз сети):\n1echo \u0026#34;default via 192.168.3.1\u0026#34; \u0026gt; /etc/net/ifaces/ens33/ipv4route И DNS-сервер:\n1echo \u0026#34;nameserver 192.168.3.1\u0026#34; \u0026gt; /etc/net/ifaces/ens33/resolv.conf Если нужно добавить еще одну запись, то немного изменяем команду:\n1echo \u0026#34;nameserver 192.168.3.2\u0026#34; \u0026gt;\u0026gt; /etc/net/ifaces/ens33/resolv.conf Также можем добавить доменный суффикс (домен поиска) до которого будут дополняться все плоские имена в DNS-запросах:\n1echo \u0026#34;search it-31.lab\u0026#34; \u0026gt;\u0026gt; /etc/net/ifaces/ens33/resolv.conf После чего перезапустим службу сетевого менеджера командой:\n1systemctl restart network В дальнейшем вы можете вносить изменения в созданные файлы любым удобным вам образом.\nОбновление системы Еще одной особенностью Альт является использование пакетов формата RPM вместе с пакетным менеджером apt-get. Поэтому работа с ним будет привычна пользователям DEB-систем, остальным придется переучиваться.\nСначала обновим список доступных пакетов:\n1apt-get update Затем выполним обновление системы:\n1apt-get dist-upgrade Для обновления ядра системы потребуется выполнить отдельную команду:\n1update-kernel После чего выполним очистку после обновления:\n1apt-get clean Если вы обновили ядро, то систему потребуется перезагрузить.\nДобавляем синтаксис APT Альт для работы с пакетами использует apt-get, в то время как пользователи DEB-систем привыкли к более современному apt. Если вы хотите продолжить использовать привычный синтаксис то вам потребуется установить дополнительный пакет (кстати, разработанный нами):\n1apt-get install apt-aliases Теперь вам нужно выйти и заново войти в систему, либо перезагрузить компьютер. После чего вы сможете использовать для управления пакетами привычный синтаксис apt.\n","id":"43be73e49989812d0710da5355ce694e","link":"https://interface31.ru/post/ustanovka-i-pervonachalnaya-nastroyka-alt-server-10-v-minimalnoy-konfiguracii/","section":"post","tags":["ALT","LVM","mdadm","RAID","UEFI","Импортозамещение","Сетевые технологии"],"title":"Установка и первоначальная настройка Альт Сервер 10 в минимальной конфигурации"},{"body":"Zabbix - пожалуй одна из самых известных, развитых и функциональных систем мониторинга. В то же время - это достаточно сложная система и освоить ее методом \u0026quot;научного тыка\u0026quot; скорее всего не получится, потребуется комплексный подход и вдумчивое изучение продукта. В связи с недавним выпуском новой версии 7 LTS мы решили выпустить цикл статей, посвященных работе с Zabbix, начнем с установки, которая, хотя и не сложна, но содержит некоторые тонкости, особенно в части установки СУБД PostgeSQL и расширения TimescaleDB.\nСервер Zabbix предполагает достаточную вариативность в выборе СУБД и веб-сервера, поэтому многое тут будет зависеть от персональных предпочтений. Однако расширение TimescaleDB позволяет поддерживать высокий уровень производительности и масштабирования при работе с временными рядами в СУБД PostgreSQL, что однозначно обуславливает ее выбор. NGINX - простой и высокопроизводительный веб-сервер, обеспечивающий высокую скорость ответа при небольших требованиях к системным ресурсам.\nВ качестве ОС мы будем использовать Ubuntu 24.04 LTS, как наиболее свежую по версиям пакетов, также Zabbix поддерживает Ubuntu 22.04 LTS и Debian 12, данные системы отличаются версиями входящего в них ПО, ниже мы перечислим критичные компоненты:\nUbuntu 24.04 LTS - PostgreSQL 16, PHP 8.3 Ubuntu 22.04 LTS - PostgreSQL 14, PHP 8.1 Debian 12 - PostgreSQL 15, PHP 8.2 Это надо будет учитывать в тех командах, где фигурируют конкретные версии пакетов. Все указанные ниже команды следует выполнять от имени суперпользователя root.\nПодготовка сервера Начнем с подготовки серверной системы, сначала выполним обновление пакетов до последних версий и выполним очистку системы:\n1apt update -y \u0026amp;\u0026amp; apt full-upgrade -y \u0026amp;\u0026amp; apt autoremove -y После этого действия сервер потребуется перезагрузить.\nДалее выясним установленную локаль командой\n1localectl Если она отличается от ru_RU.UTF-8, то установим ее командой:\n1localectl set-locale LANG=ru_RU.UTF-8 Теперь проверим часовой пояс командой:\n1timedatectl И при необходимости установим нужный:\n1timedatectl set-timezone Europe/Moscow Полный список часовых поясов можно получить командой:\n1timedatectl list-timezones Также установим желаемое имя сервера, в нашем случае имя - zabbix7:\n1hostnamectl hostname zabbix7 Также крайне желательно настроить для сервера Zabbix FQDN, чтобы он отзывался на полностью определенное доменное имя, в нашем случае это будет zabbix7.interface31.lab. После чего откроем /etc/hosts и приведем его содержимое к примерно следующему виду:\n1127.0.0.1 localhost.localdomain localhost 2192.168.72.111 zabbix7.interface31.lab zabbix7 На этом предварительная настройка сервера завершена после чего его следует еще раз перезагрузить.\nУстановка Zabbix 7 LTS Перейдем на официальный сайт Zabbix в раздел скачивания и выберем там необходимую операционную систему, компоненты Server, Frontend, Agent, а также сервер СУБД Postgres и веб-сервер Nginx. Ниже на этой странице мы получим инструкции по установке.\nДля добавления репозиториев и ключей Zabbix нам потребуется скачать и установить специальный пакет.\nДля Ubuntu 24.04 LTS:\n1wget https://repo.zabbix.com/zabbix/7.0/ubuntu/pool/main/z/zabbix-release/zabbix-release_7.0-2+ubuntu24.04_all.deb 2dpkg -i zabbix-release_7.0-2+ubuntu24.04_all.deb Для Ubuntu 22.04 LTS:\n1wget https://repo.zabbix.com/zabbix/7.0/ubuntu/pool/main/z/zabbix-release/zabbix-release_7.0-2+ubuntu22.04_all.deb 2dpkg -i zabbix-release_7.0-2+ubuntu22.04_all.deb Для Debian 12:\n1wget https://repo.zabbix.com/zabbix/7.0/debian/pool/main/z/zabbix-release/zabbix-release_7.0-2+debian12_all.deb 2dpkg -i zabbix-release_7.0-2+debian12_all.deb После чего обновим список доступных пакетов:\n1apt update Теперь установим необходимые пакеты, ниже приведены команды для Ubuntu 24.04 LTS, для других систем откорректируйте версию пакетов PHP:\n1apt install zabbix-server-pgsql zabbix-frontend-php php8.3-pgsql zabbix-nginx-conf zabbix-sql-scripts zabbix-agent Веб-сервер Nginx и программный интерпретатор PHP-FPM будут установлены из штатных репозиториев по зависимостям.\nНастройка веб-сервера и PHP-FPM Сразу настроим веб-сервер и PHP-FPM, которые будут отвечать за работу веб-интерфейса. Начнем в веб-сервера, откроем /etc/zabbix/nginx.conf раскомментируем и изменим в нем два параметра:\n1listen 80; 2server_name zabbix7.interface31.lab; Где указываем порт, на котором будет работать веб-интерфейс и доменное имя, которое веб-сервер будет обслуживать.\nЗатем откроем /etc/zabbix/php-fpm.conf и изменим опции:\n1php_value[post_max_size] = 32M 2php_value[upload_max_filesize] = 16M Первая отвечает за максимальный размер данных, отправляемых на сервер за один запрос, вторая определяет максимальный размер загружаемого файла. По умолчанию эти значения достаточно низки, поэтому имеет смысл их увеличить, чтобы вы не столкнулись с проблемами попытавшись загрузить крупный файл, например, подложку карты.\nСохраняем изменения и перезапускаем службы:\n1systemctl restart nginx php8.3-fpm Это были только самые необходимые, базовые настройки. При желании вы можете выполнить более тонкую настройку служб.\nУстановка СУБД PostgreSQL Для установки текущей версии PostgreSQL из репозитория выполните:\n1apt install postgresql postgresql-contrib Сервер будет установлен и запущен автоматически.\nТеперь создадим новую роль (пользователя) сервера PostgreSQL и зададим ему новый пароль:\n1sudo -u postgres createuser --pwprompt zabbix Обратите внимание, что sudo -u postgres обозначает, что команда выполняется от имени пользователя postgres, а не root.\nИ создадим новую базу данных zabbix с владельцем zabbix:\n1sudo -u postgres createdb -O zabbix zabbix Загрузим в нее схему и начальные данные:\n1zcat /usr/share/zabbix-sql-scripts/postgresql/server.sql.gz | sudo -u zabbix psql zabbix В ходе выполнения данной команды система может попросить пароль, который вы установили на предыдущем шаге.\nЗатем откроем файл /etc/zabbix/zabbix_server.conf и найдем там опцию DBPassword, которую приведем к виду:\n1DBPassword=MyPa$$word Где MyPa$$word - пароль, который вы установили ранее.\nУстановка TimescaleDB Чтобы установить TimescaleDB подключим официальный репозиторий.\nПеред этим вам возможно потребуется установить следующие пакеты, если они уже установлены, то нет ничего страшного:\n1apt install gnupg apt-transport-https Для Ubuntu:\n1echo \u0026#34;deb https://packagecloud.io/timescale/timescaledb/ubuntu/ $(lsb_release -c -s) main\u0026#34; \u0026gt; /etc/apt/sources.list.d/timescaledb.list Для Debian:\n1echo \u0026#34;deb https://packagecloud.io/timescale/timescaledb/debian/ $(lsb_release -c -s) main\u0026#34; \u0026gt; /etc/apt/sources.list.d/timescaledb.list Затем скачаем и импортируем ключ репозитория:\n1wget --quiet -O - https://packagecloud.io/timescale/timescaledb/gpgkey | gpg --dearmor -o /etc/apt/trusted.gpg.d/timescaledb.gpg Обновим список пакетов:\n1apt update И установим нужные компоненты, обратите внимание, что версия TimescaleDB должна соответствовать установленной версии PostgreSQL, в Ubuntu 24.04 это версия 16. Еще один момент - Zabbix поддерживает строго определенные версии TimescaleDB 2.13 - 2.15, поэтому выполним установку с явным указанием версии, при этом вы потом можете смело обновляться, на работу это не повлияет:\n1apt install timescaledb-2-postgresql-16=\u0026#39;2.15.*\u0026#39; timescaledb-2-loader-postgresql-16=\u0026#39;2.15.*\u0026#39; postgresql-client-16 После установки запустим утилиту конфигурирования TimescaleDB и ответим утвердительно на все вопросы:\n1timescaledb-tune После чего перезапустите службу СУБД:\n1systemctl restart postgresql Теперь подключим расширение к базе zabbix:\n1echo \u0026#34;CREATE EXTENSION IF NOT EXISTS timescaledb CASCADE;\u0026#34; | sudo -u postgres psql zabbix И выполним специальный скрипт для конвертации данных:\n1cat /usr/share/zabbix-sql-scripts/postgresql/timescaledb/schema.sql | sudo -u zabbix psql zabbix Важно! Важно! Сообщения в ходе выполнения скрипта о том, что вы не следуете лучшим практикам (not follow best practices) следует проигнорировать!\nНа этом установка и настройка TimescaleDB завершена.\nЗавершение установки Zabbix 7 LTS Для завершения установки добавим службы Zabbix в автозагрузку и одновременно запустим их:\n1systemctl enable --now zabbix-server zabbix-agent Теперь перейдем в веб-интерфейс http://zabbix7.interface31.lab (здесь укажите собственный FQDN сервера Zabbix) и завершим его установку. Прежде всего выберите язык интерфейса и нажмите Далее. На следующем экране еще раз введите пароль пользователя базы данных, который вы задавали при установке PostgreSQL, остальные параметры оставляем по умолчанию: Указываем имя сервера, часовой пояс и выбираем тему оформления, все это можно сделать и потом, но лучше задать все необходимые параметры сразу: После завершения установки веб-интерфейса вы попадете на страничку входа, используйте логин Admin и пароль zabbix. После первого входа вы попадаете на обзорный экран, тут есть много чего, но он пока вам не нужен: Мы же первым делом идем в Пользователи - Пользователи - Admin и меняем пароль администратора системы по умолчанию.\nУстановка Zabbix агент на платформу Windows Для работы с сервером мониторинга нам понадобится установить агенты на контролируемые узлы. Для платформы Windows переходим на официальный сайт в раздел загрузки агентов и скачиваем Zabbix agent 2.\nУстанавливаем его с настройками по умолчанию, единственные изменения вносим на странице с адресами серверов. Zabbix агент работает в пассивном режиме, т.е. ждет соединения от сервера, поле Zabbix server IP/DNS определяет каким адресам/доменным именам разрешается подключаться к агенту. Можно указать несколько адресов через запятую. Указываем тут имя или адрес нашего сервера.\nВторое поле - Server or Proxy for active checks определяет узлы, которые могут подключаться для активных проверок (т.е. выполнять код на узле при помощи агента), если данное поле оставить не заполненным - активные проверки будут отключены. Иначе также указываем имя или адрес нашего сервера. Также обратите внимание, что для работы активных проверок имя узла на сервере Zabbix должно совпадать с тем, что указано в поле Host name агента.\nДля того, чтобы сервер Zabbix мог подключиться к агенту нужно создать разрешающее правило в брандмауэре Защитника Windows для входящих подключений TCP на порт 10050.\nЭто можно быстро сделать при помощи PowerShell (потребуются права администратора):\n1New-NetFirewallRule -DisplayName \u0026#34;Zabbix\u0026#34; -Direction Inbound -Action Allow -EdgeTraversalPolicy Allow -Protocol TCP -LocalPort 10050 Агент начинает работать сразу после установки, никаких дополнительных действий не требуется.\nУстановка Zabbix агент на платформу Linux Переходим на официальный сайт Zabbix враздел загрузки пакетов и выбираем версию Zabbix, требуемую ОС и тип пакета - Agent 2. В нашем случае в качестве примера будет Debian 11.\nСкачиваем и устанавливаем пакет, который автоматически подключит репозитории и установит ключи, все необходимые команды приведены на сайте Zabbix.\n1wget https://repo.zabbix.com/zabbix/7.0/debian/pool/main/z/zabbix-release/zabbix-release_7.0-2+debian11_all.deb 2dpkg -i zabbix-release_7.0-2+debian11_all.deb Обновляем список пакетов:\n1apt update И установим агент с необходимыми компонентами:\n1apt install zabbix-agent2 zabbix-agent2-plugin-* Затем откроем файл /etc/zabbix/zabbix_agent2.conf и найдем в нем опции:\n1Server=zabbix7.interface31.lab и\n1ServerActive=zabbix7.interface31.lab В каждой из которых укажите FQDN или IP-адрес вашего IP-сервера. Если оставить опцию ServerActive пустой - активные проверки будут отключены.\nДля разрешения входящих подключений к агенту Zabbix следует добавить правило iptables, которое разрешит подключения к TCP 10050:\n1iptables -A INPUT -p tcp --dport 10050 -j ACCEPT После чего перезапустим службу агента:\n1systemctl restart zabbix-agent2 На этом настройка агента для Linux закончена.\nНастройка мониторинга по SNMP на примере Mikrotik Есть ряд устройств, на которые нельзя установить агента - сетевые устройства, принтеры и т.п. В этом случае есть возможность осуществлять мониторинг через SNMP. Общий принцип настройки прост: включаем SNMP (желательно версии v2 и выше) и разрешаем доступ к данным только Zabbix-серверу.\nНапример, для Mikrotik мы переходим в IP - SNMP и включаем протокол установкой флага Enabled, а в поле Trap Version ставим 2. Затем нажимаем кнопку Communities и для дефолтного значения в поле Addresses устанавливаем адрес вашего Zabbix-сервера, в нашем случае это 192.168.72.111. Также не забываем разрешить входящие подключения на UDP 161, 162 в брандмауэре.\nДобавление узлов мониторинга в Zabbix Открываем веб-интерфейс Zabbix и переходим в Мониторинг - Узлы сети, справа вверху выбираем Создать узел сети и начинаем заполнять значения во всплывающем окне.\nПрежде всего укажем имя узла, для работы активных проверок оно должно соответствовать Hostname в агенте. Далее выберем шаблон, по умолчанию поставляются шаблоны для большого числа систем и оборудования, в нашем случае выбираем Windows by Zabbix agent.\nЗатем выбираем группу узлов сети. Группы мы можем выбирать как из уже существующих, так и создавать новые, для этого вполне достаточно указать здесь желаемое название.\nПотом добавляем интерфейс с типом Агент и указываем адрес узла с работающим агентом. Этого достаточно, нажимаем добавить и наш узел становится на мониторинг. Для Linux узла все остается тоже самое, только меняется тип шаблона - Linux by Zabbix agent. Через некоторое время вы набьете руку и добавление узлов перестанет быть чем-то сложным.\nЧтобы добавить SNMP-узел проделываем все тоже самое, только выбираем шаблон для нужного типа оборудования, в нашем случае Mikrotik by SNMP, добавляем интерфейс с типом SNMP, где указываем адрес устройства и версию протокола. В остальном отличия отсутствуют. Теперь ненадолго оставим нашу систему в покое и сходим выпить кофе, чтобы она успела собрать некоторые данные. Вернувшись, можем увидеть список из добавленных узлов и числа в колонках, показывающее какое количество данных, графиков или панелей доступно. С графиками все понятно, в них мы можем посмотреть изменение собираемых метрик в разрезе временного промежутка: А вот панели - это нововведение 7-й версии, они представляют специально преднастроенные экраны, на которые выведены сразу несколько показателей, объединенных какой-то общей темой, например, сетевые показатели или метрики производительности. Ниже показана панель System performance для Windows. Ну и наконец проверим срабатывание триггеров, для этого просто перезагрузим один из узлов и в разделе проблемы сразу увидим сообщение с типом Предупреждение. Здесь мы видим узел, на котором зарегистрирована проблема, характер проблемы и ее длительность. В данном случае никакой реакции не требуется, проблема будет закрыта автоматически по истечении 10 минут. Наша же цель была убедиться в том, что метрики собираются и триггеры работают.\nНа этом установка и настройка сервера Zabbix завершена, его настройку и эксплуатацию мы рассмотрим в следующих статьях.\n","id":"918e3580617fd47e29c4b6f4efc2a28b","link":"https://interface31.ru/post/ustanovka-zabbix-7-c-nginx-postgresql-timescaledb-na-ubuntu-server/","section":"post","tags":["Debian","Nginx","PostgreSQL","TimescaleDB","Ubuntu Server","Zabbix","Мониторинг"],"title":"Установка Zabbix 7 c NGINX + PostgreSQL + TimescaleDB на Ubuntu Server или Debian"},{"body":"Брандмауэр Windows впервые был представлен в 2001 году вместе с выходом SP2 для Windows XP, а современный облик приобрел вместе с выходом Windows Vista, но не смотря на столь преклонный возраст для многих он до сих пор остается чем-то непонятным. Такую ситуацию нельзя считать нормальной, как и полное отключение брандмауэра. Поэтому сегодня мы рассмотрим, как устроен и работает брандмауэр Windows, как он взаимодействует с пользователем и как следует составлять и читать его правила.\nМы уже не раз и не два говорили, что Microsoft имеет талант давать своим продуктам неудачные названия, которые очень часто становятся еще хуже при переводе на другие языки. Так и в этом случае, основной рабочий интерфейс брандмауэра называется Монитор брандмауэра Защитника Windows в режиме повышенной безопасности.\nДлинно, мудрено и еще повышенную безопасность зачем-то приплели, но другого графического интерфейса для управления брандмауэром в Windows нет. Попасть в него можно классическим путем через Панель управления - Брандмауэр Защитника Windows - Дополнительные параметры.\nТаже туда ведут несколько разных путей, например, через свойства сетевых подключений, но в разных версиях Windows эти пути могут быть различны и нами не рассматриваются.\nСамый же надежный способ попасть в оснастку брандмауэра - это нажать Win + R и выполнить команду:\n1wf.msc На главной странице оснастки мы видим общее состояние брандмауэра по профилям и правила, применяемые по умолчанию. Остановимся на них подробнее. Все правила брандмауэра распределяются по трем профилям: профиль домена, частный и общий профили. Профиль домена включается при входе компьютера в Active Directory и присоединении к доменной сети, частный и общий профили соответствуют частной и общедоступной сетям.\nТип доменной сети всегда выбирается автоматически и не может быть изменен, изменить тип сети с частной на общедоступную и наоборот может сам пользователь. При изменении типа сети будет активирован соответствующий профиль брандмауэра, напротив которого появится надпись - активен.\nВ зависимости от профиля применяются соответствующие ему правила по умолчанию и предустановленные наборы правил. Например, частный профиль отличается от общедоступного тем, что в нем включено сетевое обнаружение и разрешен общий доступ к файлам и принтерам.\nЗдесь же мы можем увидеть политики по умолчанию, из коробки для входящих подключений используется схема нормально закрытого брандмауэра, где все входящие подключения, не разрешенные ни одним правилом запрещены, для исходящих подключений используется нормально открытый брандмауэр - все соединения по умолчанию разрешены.\nНажав на Свойства брандмауэра Защитника Windows, мы можем изменить эти значения: Во-первых, мы можем включить или выключить брандмауэр для каждого из профилей, а также выбрать действие по умолчанию, их ровно три:\nБлокировать - все подключения, не соответствующие ни одному правилу запрещены Разрешить - все подключения, не соответствующие ни одному правилу разрешены Блокировать все подключения - все подключения запрещены, все разрешающие правила игнорируются Последнее действие может применяться только к входящим подключениям.\nПо кнопке Настроить рядом с надписью Защищенные сетевые подключения можно выбрать сетевые интерфейсы, которые будут фильтроваться брандмауэром с выбранным профилем.\nТакже здесь можно настроить некоторые общие параметры и ведение журналов. И снова мы встречаем неудачную формулировку. Журналы брандмауэра нужны далеко не только для устранения неполадок.\nТеперь перейдем к принципам составления правил, сразу запоминаем - порядок правил в брандмауэре Windows не имеет никакого значения, но используются следующие соглашения:\nЯвно заданное разрешающее правило имеет приоритет над запретом по умолчанию Явно заданное запрещающее правило имеет приоритет над любыми разрешающими При пересечении правил приоритет имеет более узкое правило (с более точно заданными критериями) На первый взгляд все достаточно просто и ясно, но отдельного пояснения требуют запрещающие правила. Они имеют абсолютный приоритет в рамках указанных критериев и даже пересекаясь с более узкими разрешающими все равно блокируют их.\nНапример, вы создали запрещающее правило для сети-источника 192.168.1.0/24, теперь даже если вы создадите отдельное разрешающее правило для узла 192.168.1.100/32 - оно работать не будет, так как будет перекрываться явно заданным запрещающим.\nРазработчики рекомендуют создавать собственные правила с достаточно точным описанием критериев, но при этом, по возможности, объединять адреса и порты в диапазоны, чтобы избежать снижения производительности из-за большого числа правил.\nТеперь перейдем в раздел Правила для входящих подключений, и мы увидим тут большое количество разрешающих правил, часть из них - правила по умолчанию, другая - создана автоматически. В целом - картина привычная. Но мы еще раз обратим внимание, что данный раздел отвечает за входящие подключения, т.е. всем перечисленным здесь приложениям мы разрешаем принимать входящие подключения, хотя части из них - это явно не нужно.\nПочему так? Здесь мы еще раз сталкиваемся с плохим пользовательским интерфейсом. При первом запуске приложения, для которого нет ни одного правила в брандмауэре система показывает пользователю следующее диалоговое окно: Давайте несколько раз внимательно прочитаем его содержимое, из которого очень трудно понять, что именно мы разрешаем. А так как там написано, что брандмауэр заблокировал некоторые функции, то большая часть пользователей поймет это как ограничение функционала приложения и нажмет Разрешить.\nПоздравляем, вы только что разрешили указанному приложению принимать входящие подключения, т.е. выставили его в сеть в обход брандмауэра. Если же мы нажмем Отменить, то будут созданы правила запрещающие входящие подключения данному приложению, хотя они и так по умолчанию запрещены.\nПо рекомендациям Microsoft данные правила должны создаваться в трех экземплярах, по одному для каждого профиля, однако не все приложения их соблюдают, например, AnyDesk создает правила согласно рекомендациям, в то время как другие приложения ограничиваются только текущим профилем.\nВ любом случае рекомендуем проверить список правил для входящих подключений и убрать оттуда лишнее. При этом не стоит удалять сами правила, иначе указанное выше диалоговое окно будет показано вновь. Поэтому либо отключите его, либо измените разрешающее действие на запрещающее.\nЕсли мы заглянем в Правила для исходящих подключений, то увидим там целый ряд разрешающих правил, по больше части предопределенных, хотя, казалось бы, смысл в них отсутствует, зачем разрешать то, что уже разрешено?\nНо есть рекомендации разработчиков, которые советуют задавать явные правила исходящих подключений для одного или нескольких профилей для работы при переключении политики по умолчанию с Разрешить на Блокировать. В этом случае работу с сетью продолжат только приложения, для которых есть явно заданные правила.\nКстати, такой режим можно использовать для сетей с лимитированным трафиком, разрешив работу с сетью только отдельным приложениям и отдельным сетевым размещениям. И все это сугубо стандартными средствами.\nТеперь перейдем к самому созданию правил, на выбор предлагается несколько шаблонов: Для программы, Для порта, Предопределенные. Если ничего из этого не устраивает - то выбираемНастраиваемые и задаем все критерии самостоятельно. Достаточно необычным для брандмауэров тут является возможность выбрать программу или службу, к которой будут применяться наши правила, надо сказать - это достаточно удобно, особенно если приложение работает с динамическими портами или использует несколько разных портов и протоколов, что позволяет избежать создания множества правил и ограничиться одним. Следующий шаг - Протокол и порты, тут все уже более-менее привычно, выбираем требуемый протокол из списка или указываем его номер, ниже задаем локальные и удаленные порты (если это применимо к выбранному протоколу). И снова сталкиваемся с собственной \u0026quot;терминологией\u0026quot; Microsoft, помним, что для входящих подключений локальный порт - это порт назначения, а удаленный порт - порт источника, для исходящих, соответственно, наоборот. После чего следует задать область действия правила, здесь все аналогично, помним, что локальные адреса - это адреса назначения, удаленные - адреса источника. Далее следует задать действие, разрешить или заблокировать и выбрать один или несколько профилей в которых будет действовать правило. А также задать имя и описание. Рекомендуется задавать понятные имена, чтобы по ним быстро можно было определить назначение правила. При необходимости добавляем подробности в описании.\nКак видим, в общем и целом, брандмауэр Windows достаточно стандартный продукт своего класса с неплохими возможностями, позволяющий обеспечить как базовые основы сетевой безопасности, так и выполнять достаточно тонкую настройку без привлечения сторонних продуктов.\n","id":"5fd15e548f7ccc0565ff2789fc76eaff","link":"https://interface31.ru/post/kak-ustroen-i-rabotaet-brandmauer-windows/","section":"post","tags":["Firewall","Windows","Безопасность","Сетевые технологии"],"title":"Как устроен и работает брандмауэр Windows"},{"body":"Сведения о батарее являются важными для любого владельца ноутбука или иного мобильного устройства под управлением Windows. Важно не только знать текущий ресурс батареи, но и понимать каким образом он расходуется. Ведь часто виновником малой работы в автономном режиме является вовсе не аккумулятор, а приложения. Обычно для этого используются сторонние утилиты, но в современных выпусках Windows есть встроенные удобные инструменты, о которых мы сегодня расскажем.\nОсновной вопрос, который волнует каждого пользователя ноутбука - это время работы от одного заряда аккумулятора. Вопрос этот крайне непростой и вряд-ли кто-то сможет на него быстро и точно ответить.\nДаже для двух одинаковых, купленных в одно и тоже время устройств этот параметр может существенно отличаться. На время автономной работы влияет множество факторов, начиная от состояния самой батареи и заканчивая характером работы и набором установленного программного обеспечения.\nВ тоже время актуальные данные о реальном запасе автономности крайне важны, так как нет ничего хуже, чем оказаться где-то \u0026quot;в полях\u0026quot; с севшим ноутбуком и не имея возможности быстро его подзарядить.\nК счастью, Windows предоставляет отличные штатные инструменты, которые помогут получить всю необходимую информацию о состоянии батареи. Все приведенные ниже команды следует запускать в Терминале в правами Администратора.\nНачнем с общей информации о батарее, для этого выполним:\n1powercfg /batteryreport После чего в текущем каталоге (относительно запущенного терминала) появится HTML файл отчета battery-report.html. При необходимости вы можете изменить путь расположения отчета и его наименование использовав дополнительный параметр output:\n1powercfg /batteryreport /output D:\\my-battery.html Отчет представлен в формате веб-странички и спокойно открывается любым браузером. Прежде всего нас интересует информация об установленной батарее, ее заводской и текущей емкости. Ниже размещен отчет об истории состояния питания устройства за последние три дня. Сразу видно сколько времени вы работали от розетки, сколько от батареи и когда устройство находилось в спящем режиме. Следующий отчет предоставляет статистическую информацию о времени работы от сети и батареи за всю историю системы, старые периоды укрупнены, последняя неделя представлена по дням. Это очень полезный отчет, так как помогает понять как часто вы действительно работаете от батареи. Ниже расположена история изменения емкости батареи с разбивкой по периодам идентичной предыдущему отчету. Если у вас вдруг началась деградация батареи вы всегда можете сопоставить ее с характером использования устройства и сделать определенные выводы. Как видим, в системе хранится хорошая статистика, что дает нам возможность делать достаточно точные прогнозы. Точнее их уже сделали за вас. Завершающий отчет представляет собой именно прогноз времени автономной работы с разбивкой по все тем же периодам. Причем расчет сделан как для текущей, так и для паспортной емкости батареи, что позволяет оценить необходимость ее замены. Как можно заметить в рамках отчета фигурируют достаточно разные цифры, но тут все зависит от профиля работы. Одно дело если ноутбук простоял все выходные на даче с выключенным экраном и единственной его задачей было играть онлайн-музыку, а другое дело если вы вдруг решили погонять на нем игры.\nНо статистика тем и хороша, что позволяет, отбросив крайние значения выявить основной тренд и получить достаточно точные средние значения. Также она позволяет вовремя выявить различные тенденции. Так если вы видите, что оценка времени автономной работы стало снижаться, но при этом емкость батареи осталась прежней и основной характер работы не изменялся, то виноват в этом, скорее всего какой-то софт. Но какой?\nДля того чтобы разобраться в этом вопросе сформируем еще один отчет:\n1powercfg /sleepstudy После чего в текущей папке появится еще один HTML-файл с именем sleepstudy-report.html, это диагностический отчет по режимам питания системы.\nНачинается он с общей статистики за последние три дня. Вы можете подробно ознакомиться со всеми состояниями, в которых находилось ваше устройство и с состоянием батареи в этот период. Низкая системная активность выделяется зеленым цветом, нормальная - серым, повышенная красным и оранжевым, некорректные отключения - фиолетовым. Но это общая статистика, нам же гораздо более интересны подробности, которые представлены ниже. Так для каждого режима мы можем посмотреть подробную информацию, например, какой был уровень заряда батареи в начале и в конце. А также подробно выяснить кто тратил драгоценный заряд и каким именно образом он это делал, отчет показывает потребление в разрезе различных компонентов ПК: CPU, диск, сеть, экран и т.д. Анализ этих данных позволяет достаточно быстро вычислить виновника уменьшения времени работы от батареи и это может быть даже тот, на кого сразу и не подумаешь. В нашем случае можно отметить, что лидером по потреблению стал RDP-клиент, а второе почетное место занял браузер.\nНо проблемы могут быть не только в активном режиме, в режиме энергосбережения тоже бывают различные аномалии, например, устройство может самопроизвольно включаться, мигать индикаторами, включать вентилятор, что свидетельствует о различной непонятной активности.\nНичего страшного, с нашим отчетом все тайное быстро станет явным. Находим нужный период и внимательно изучаем его, при проявлении в нем какой-то нестандартной активности отчет покажет нам топ-5 \u0026quot;нарушителей\u0026quot;, т.е. процессов с аномальным поведением. Ниже показан такой топ для режима Screen Off, в данном случае нарушителем оказался браузер, проигрывавший аудио. Как видим двух стандартных отчетов нам вполне достаточно чтобы получить не только полное представление о состоянии батареи устройства, но и для выяснения всех подробностей энергопотребления на уровне отдельных процессов, что позволяет достаточно точно планировать время автономной работы с устройством.\n","id":"1a74bafc86748e3f40b18e844f22a9a6","link":"https://interface31.ru/post/ispol-zovanie-otcheta-o-sostoyanii-batarei-v-windows/","section":"post","tags":["Windows","Windows 10","Windows 11","Ноутбук"],"title":"Использование отчета о состоянии батареи в Windows"},{"body":"Операционная система РЕД ОС сегодня занимает почетное третье место среди дистрибутивов для импортозамещения и входит в так называемую \u0026quot;большую тройку\u0026quot; систем официально рекомендуемых Минцифры. Скажем честно - мало кто ожидал от ранее неизвестной системы таких успехов, но РЕД ОС сумела завоевать своего пользователя и продолжила развитие. Сегодня мы рассмотрим вышедшую в конце февраля 2024 года РЕД ОС 8, которая представляет новую ступень развития данной операционной системы.\nУспех РЕД ОС может кому-то показаться странным, но на самом деле разработчики далеко не новички и их путь начался в 2012 году с дистрибутива Гослинукс, на базе CentOS 6 для ФССП России. После чего было принято решение о разработке собственной ОС на базе RHEL/CentOS ориентированной на удобство конечного пользователя.\nБолее подробно об этой истории и первом выпущенном на рынок дистрибутиве РЕД ОС 7.3 можно прочитать в нашей статье:\nРекомендуем к прочтению РЕД ОС 7.3 Муром - просто хорошая система В результате действительно получилась хорошая и удобная система на привычной многим администраторам платформе EL7, что вкупе с хорошей документацией позволило закрыть достаточно серьезный сегмент рынка - RHEL-based систем.\nДействительно, куда было податься администраторам CentOS в рамках импортозамещения? В качестве альтернатив были только полностью самобытный Альт и основанная на Debian Astra. Поэтому новинка явно пришлась ко двору и стала набирать популярность.\nНо одного того, что это была совместимая с RHEL система мало, подобных клонов на рынке хватало, но РЕД ОС не стал очередным клоном, а подошел к вопросу ответственно, поэтому результат не заставил себя ждать, система вышла на третье место рядом с более крупными и маститыми игроками.\nЗа прошедшие годы ситуация на рынке серьезно изменилась, как с учетом как внутренних факторов, так и внешних и поэтому было принято решение развивать собственную систему, а не брать за основу зарубежную платформу, даже такую как EL.\nПоэтому вас не должна смущать цифра 8 в наименовании нового дистрибутива, это не устаревшая платформа Centos/EL8 в красивой обертке, а полностью самостоятельная RPM-система, собираемая из исходных кодов в собственной среде. Это, безусловно, большой шаг вперед, так как позволяет не зависеть от зарубежных поставщиков, особенно учитывая то, что IBM (нынешний владелец Red Hat) активно противодействует созданию клонов RHEL.\nТаким образом РЕД ОС 8 - это современная RPM система основанная на ядре Linux 6.6 LTS и имеющая собственный набор софта основанный преимущественно на версиях с длительной поддержкой.\nТакже кроме графической оболочки MATE система теперь официально поставляется с KDE или GNOME.\nРЕД ОС 8 с графической оболочкой MATE Оболочка MATE была основным графическим окружением версии 7.3, поэтому начнем обзор именно с нее. Она сочетает в себе легковесность и классический подход к построению пользовательского интерфейса, что позволяет максимально использовать наработанный пользовательский опыт при переходе с Windows систем.\nНачнем, как всегда, с установки. Для этого используется знакомая всем по миру RHEL Anaconda, общий принцип там один - сначала делаем все настройки, сосредоточенные в одном окне, а потом уже производим установку. Дистрибутив позволяет установить рабочую станцию или сервер с одной из трех графических оболочек или выполнить минимальную серверную установку. В зависимости от сделанного выбора будет установлен различный набор ПО, при выборе рабочей станции автоматически добавляется браузер Chromium, офисный пакет и почтовый клиент. Гостевые агенты мы выбрали уже самостоятельно. Установка достаточно долгая и смотреть в ее время не на что, красивых слайдов не завезли, но это и понятно - основная целевая аудитория системы - это рабочие станции в рамках импортозамещения, там развлекать некого. Перед первым использованием системы вам необходимо принять лицензию. В целом там все стандартно для российского рынка: частные лица могут использовать систему бесплатно для личных целей, юридические лица и предприниматели обязаны приобрести лицензию.\nОднако в лицензии нет ни слова про открытые компоненты и их свободные лицензии, а также присутствует весьма спорный запрет на модификацию и создание копий продукта. Понятно, что для целевого сегмента рынка все это не сильно актуально, но приличия все-таки следует соблюдать. Исходные коды системы в свободном доступе также отсутствуют, хотя это не является нарушением. При входе в систему нас встречает Окно настройки РЕД ОС, которое предлагает сразу выполнить ряд первостепенных настроек: открыть менеджер пакетов или сразу обновить систему, настроить резервное копирование или назначить программы по умолчанию. Отдельное внимание уделено настройке внешнего вида системы. Когда мы говорим про внешний вид, а особенно критикуем его, то часто слышим отзывы в стиле \u0026quot;вам шашечки или ехать\u0026quot;. Нам нужно и то и другое, встречают по одежке и первое впечатление от системы будет визуальное. Если продолжать аналогию с такси, то вряд ли вы захотите ехать на старом побитом жизнью рыдване.\nВ РЕД ОС это понимают и не только дают возможность настроить внешний вид под себя, но и ставят эти настройки в число первоочередных. Кроме четырех цветовых схем доступны также четыре варианта расположения панелей, примерно соответствующих GNOME 2, macOS, Windows XP и Windows 7. Все это конечно можно настроить самому, но обычному пользователю удобнее работать с готовыми пресетами. Фирменный стиль оформления вполне узнаваем и сохраняет преемственность с оформлением РЕД ОС 7, что, несомненно, хорошо для сохранения пользовательского опыта, но стал более легковесным и плоским, в рамках последних тенденций. При этом сама оболочка, несмотря на простоту, выглядит достаточно современно. Системные требования достаточно умеренные, мы специально поставили систему на виртуальную машину с 2 ГБ памяти и 2 ядрами, в целом жить и работать можно, хотя сегодня такой ПК уже проходит по уровню ниже минимально допустимого для комфортной работы.\nДля управления пакетами в системе присутствует пакетный менеджер dnfdragora, если подходить с пользовательской точки зрения, то его концепция и общее удобство использования осталось где-то на уровне 10-15 летней давности. Никаких магазинов нет, как нет и встроенной поддержки пакетов Snap или Flatpak.\nНо если исходить из целевого назначения дистрибутива и того, что обслуживание ПО будет осуществлять администратор, то это вполне разумное решение, хотя многим администраторам будет проще и удобнее управлять пакетами и обновлением системы непосредственно из консоли. Софт в системе довольно новый, Libre Office последней версии 24.2, в офисном пакете настроен ленточный интерфейс, более привычный пользователям MS Office и его аналогов. При необходимости можно установить Р7 Офис из отдельного репозитория, подключенного к системе. В качестве браузера по умолчанию используется Chromium-Gost с настроенной поддержкой отечественной криптографии, при желании можно установить Яндекс-браузер, его репозиторий также подключен к системе. В качестве мультимедиа плеера предназначен всеядный VLC, так что никаких проблем с воспроизведением как локального, так и потокового мультимедиа нет. Что касается отечественного софта, то здесь не все так просто и безоблачно. Если КРИПТО-ПРО мы установили без особых проблем, то вот 1С:Предприятие устанавливается, но не работает. Несмотря на то, что с момента выхода системы прошло уже 4 месяца ее нет в списке поддерживаемых со стороны 1С. Справедливости ради это касается не только РЕД ОС, на настоящий момент также нет поддержки платформы p11 ALT и Astra 1.8, надеемся, что данный недостаток будет исправлен в ближайшем времени.\nРЕД ОС 8 с графической оболочкой KDE и GNOME И все же, как не крути, MATE остается графической оболочкой простой и не соответствует представлениям требовательных пользователей о том, как должна выглядеть современная операционная система. И это действительно так, сколько усилий не предпринимай. Если проводить аналогии, то как не тюнингуй Ладу Гранта - машиной представительского класса она не станет.\nА с учетом того, что переход на отечественные ОС широко шагает по стране, то появляется ряд требовательных пользователей, для которых именно внешний вид и презентабельность системы будет стоять во главе угла. То же руководство предприятий, топ-менеджмент и т.д.\nВ РЕД ОС это тоже прекрасно понимают поэтому восьмая версия вышла с поддержкой нескольких графических оболочек, в том числе и требовательных окружений первого эшелона.\nПри этом меняется только графическая оболочка, все что было сказано о системе ранее остается справедливым. Начнем с KDE, так как на сегодня это ведущая среда рабочего стола, построенная на классических принципах и наиболее подходящая для тех, кто перешел с Windows.\nПо умолчанию настроена темная тема, хотя ее можно прямо сразу переключить на светлую. Темы оформлены в фирменных цветах РЕД ОС и выглядят достаточно самобытно и привлекательно. Нет, то что перед нами KDE понятно сразу, но также с первого взгляда понятно, что это РЕД ОС, даже если вы загрузили эту систему первый раз. При этом абсолютно нет того, что встречается во многих других системах, когда проработана только одна из тем, светлая или темная. РЕД ОС уделили графическому оформлению много внимания и какую бы тему вы не выбрали все будет на высоте. Под капотом здесь стабильная и проверенная Plasma 5.27 LTS, системные требования тоже умеренные, для комфортной работы будет достаточно системы с 4 ГБ памяти на борту и выше. В качестве альтернативы можно использовать другой современный рабочий стол GNOME, который представлен здесь GNOME 44 с использованием светлой темы по умолчанию. Оболочка также выполнена в узнаваемых фирменных цветах и сразу доведена до ума, установлен Dash to Dock и добавлен ряд необходимых расширений, повышающих удобство использования.\nПри необходимости столь же легко можно перейти на темную тему. Оболочка неплохо оптимизирована и достаточно хорошо бегает на 4 ГБ оперативной памяти, но следует помнить, что GNOME 4X - более тяжелая среда и 4 ГБ для нее самый минимум, а для комфортной работы вам понадобится система с большим количеством оперативной памяти.\nВыводы РЕД ОС без преувеличения можно назвать самым динамичным игроком на рынке отечественных ОС. Начиная как мало кому известный разработчик с очередным вариантом на тему RHEL-based он сумел занять значительную долю рынка, но не стал почивать на лаврах, а продолжил развитие перейдя от использования чужой пакетной базы к полностью самостоятельной сборке системы.\nВ этом плане РЕД ОС 8 хорошо шагнул вперед и перешел на новый уровень став еще одной полностью самостоятельной системой. В тоже время он остается RPM-системой совместимой по принципам работы и администрирования с RHEL-based, что позволяет привлекать для ее обслуживания большое количество подготовленных кадров без переобучения.\nВажное внимание также уделяется пользовательскому опыту и внешнему виду системы, кроме простенького MATE система обзавелась презентабельными и современными GNOME и KDE.\nПри этом РЕД ОС достаточно современная система, использующая последние LTS-версии компонентов, что обеспечивает хороший баланс актуальности и стабильности. Повторим еще раз, РЕД ОС 8 не является клоном какой-либо версии RHEL/EL и не основана на совместимой пакетной базе.\nИз всего этого можно заключить, что РЕД ОС взяла хороший старт и выбрала правильный вектор развития и мы не удивимся если скоро она выйдет на второе место, потеснив дистрибутивы семейства ALT, которые хоть и неплохи в техническом плане имеют множество иных нареканий. И в целом это неплохо, здоровая конкуренция пойдет только на пользу всем участникам рынка.\n","id":"eab556f1678cd15cf4f10d68537c0d07","link":"https://interface31.ru/post/red-os-8-posledovatelnoe-dvizhenie-vpered/","section":"post","tags":["Linux","RHEL","Импортозамещение","РЕД ОС"],"title":"РЕД ОС 8 - последовательное движение вперед"},{"body":"По мере роста любой сети возникает необходимость перехода от обращения к узлам с IP-адресов на FQDN, что позволяет полностью отвязаться от IP-адресации и использовать постоянные и удобные для запоминания доменные имена. А задачу преобразования доменных имен в IP-адреса берет на себя DNS-сервер. Но как быть с узлами, которые получают IP-адрес по DHCP? Все просто — необходимо настроить динамическое обновление записей DNS-сервера, и сегодня мы расскажем, как сделать это для DHCP-сервера Kea.\nПрежде всего будем считать, что у вас уже есть рабочий DNS-сервер на базе BIND, его можно настроить по нашей статье: Рекомендуем к прочтению Настраиваем отказоустойчивый DNS-сервер на базе BIND 9 Базовую настройку DHCP сервера Kea можно выполнить при помощи другого нашего материала: Рекомендуем к прочтению Установка и базовая настройка DHCP-сервера Kea В дальнейшем мы будем опираться на конфигурации, указанные в приведенных статьях. А также использовать следующие сетевые параметры:\nДля настройки мы будем использовать следующие параметры:\nСеть: 192.168.72.0/24 DHCP-сервер: 192.168.72.1 DNS-сервер (первичный): 192.168.72.8 Домен: it-31.lab В данной статье мы будем рассматривать настройку сервисов в среде Debian или Ubuntu, все действия, если не указано иного, выполняются с правами суперпользователя (root).\nНастройка первичного DNS-сервера BIND 9 Вносить любые изменения в DNS-зоны имеет право только первичный DNS-сервер, поэтому настройку динамического обновления выполняем только на нем.\nПрежде всего убедимся, что файлы зоны находятся в /var/lib/bind, это важно, так как AppArmor блокирует для службы named возможность записи в другие расположения. Если это не так, то просто скопируйте файлы зон в /var/lib/bind.\nЗатем откроем файл /etc/bind/named.conf.local и в самом начале добавим строку:\n1include \u0026#34;/etc/bind/rndc.key\u0026#34;; Она указывает на RNDC-ключ, который нужен для проверки подлинности серверов, имеющих право вносить изменения в зону, данный ключ создается автоматически при установке BIND.\nТеперь добавим в каждую зону опцию allow-update, которая разрешает обновлять зоны предъявителю RNDC-ключа.\nДля прямой:\n1zone \u0026#34;it-31.lab\u0026#34; { 2 type master; 3 file \u0026#34;/var/lib/bind/db.it-31.lab\u0026#34;; 4 ... 5 allow-update { key rndc-key; }; 6}; Обратной:\n1zone \u0026#34;72.168.192.in-addr.arpa\u0026#34; { 2 type master; 3 file \u0026#34;/var/lib/bind/db.192.168.72\u0026#34;; 4 ... 5 allow-update { key rndc-key; }; 6}; Не забываем проверить опцию file, которая обязательно должна указывать на расположение файлов зон в /var/lib/bind.\nПроверяем отсутствие ошибок в конфигурации:\n1named-checkconf И перезапускаем службу DNS-сервера:\n1systemctl restart named Более никаких настроек DNS-сервера не требуется.\nНастройка DHCP-серверов ISC Kea Если у вас настроено более одного DHCP-сервера (отказоустойчивая конфигурация), то выполнить указанные ниже действия потребуется на каждом сервере.\nКак мы уже рассказывали в статье о базовой установке Kea, продукт построен по модульному принципу: сам DHCP-сервер не умеет работать с DNS-сервером, за это отвечает отдельная служба — kea-dhcp-ddns-server. Поэтому сначала убедимся, что она установлена, посмотреть все установленные компоненты Kea можно командой:\n1dpkg -l | grep kea Если пакет отсутствует, то установим его командой:\n1apt install kea-dhcp-ddns-server После чего перейдем к его конфигурационному файлу /etc/kea/kea-dhcp-ddns.conf. Kea использует конфигурационные файлы в формате JSON, они состоят из JSON-объектов, каждый из которых заключен в фигурные скобки. Каждый объект содержит параметры либо вложенные JSON-объекты. Все параметры разделяются запятыми (а вложенный объект — тоже параметр), поэтому, редактируя конфигурацию, не забывайте о правильной расстановке запятых.\nИнформация Рекомендуем для работы с конфигурационными файлами Kea использовать редактор с поддержкой синтаксиса JSON, например, VS Code. Если отбросить многочисленные комментарии, то интересующее нас начало конфигурационного файла выглядит так:\n1{ 2\u0026#34;DhcpDdns\u0026#34;: 3{ 4 \u0026#34;ip-address\u0026#34;: \u0026#34;127.0.0.1\u0026#34;, 5 \u0026#34;port\u0026#34;: 53001, 6 \u0026#34;control-socket\u0026#34;: { 7 \u0026#34;socket-type\u0026#34;: \u0026#34;unix\u0026#34;, 8 \u0026#34;socket-name\u0026#34;: \u0026#34;/tmp/kea-ddns-ctrl-socket\u0026#34; 9 }, 10 \u0026#34;tsig-keys\u0026#34;: [], 11 \u0026#34;forward-ddns\u0026#34; : {}, 12 \u0026#34;reverse-ddns\u0026#34; : {}, Начнем с объекта tsig-keys, в котором следует разместить RNDC-ключ в формате JSON. Он находится на DNS-сервере в файле /etc/bind/rndc.key, прочитать его содержимое можно командой:\n1cat /etc/bind/rndc.key При этом вы увидите примерно следующее:\n1key \u0026#34;rndc-key\u0026#34; { 2 algorithm hmac-sha256; 3 secret \u0026#34;LSWXnfkKZjdPJI5QxlpnfQ==\u0026#34;; 4}; На основании этого приводим объект к следующему виду:\n1\u0026#34;tsig-keys\u0026#34;: [ 2 { 3 \u0026#34;name\u0026#34;: \u0026#34;rndc-key\u0026#34;, 4 \u0026#34;algorithm\u0026#34;: \u0026#34;hmac-sha256\u0026#34;, 5 \u0026#34;secret\u0026#34;: \u0026#34;LSWXnfkKZjdPJI5QxlpnfQ==\u0026#34; 6 } 7 ], Объект forward-ddns отвечает за настройки обновления прямой зоны, в нашем случае настройки будут следующие:\n1\u0026#34;forward-ddns\u0026#34; : { 2 \u0026#34;ddns-domains\u0026#34;: [ 3 { 4 \u0026#34;name\u0026#34;: \u0026#34;it-31.lab.\u0026#34;, 5 \u0026#34;key-name\u0026#34;: \u0026#34;rndc-key\u0026#34;, 6 \u0026#34;dns-servers\u0026#34;: [ 7 {\u0026#34;ip-address\u0026#34;: \u0026#34;192.168.72.8\u0026#34;} 8 ] 9 } 10 ] 11 }, Параметр name сообщает, для какой доменной зоны производить обновление. Обратите внимание, что зона записывается по полному пути, т.е. с точкой на конце. Далее указывается ключ для обновления зоны и адрес первичного DNS-сервера зоны.\nДля обратной зоны настройки будут аналогичные:\n1\u0026#34;reverse-ddns\u0026#34; : { 2 \u0026#34;ddns-domains\u0026#34;: [ 3 { 4 \u0026#34;name\u0026#34;: \u0026#34;72.168.192.in-addr.arpa.\u0026#34;, 5 \u0026#34;key-name\u0026#34;: \u0026#34;rndc-key\u0026#34;, 6 \u0026#34;dns-servers\u0026#34;: [ 7 {\u0026#34;ip-address\u0026#34;: \u0026#34;192.168.72.8\u0026#34;} 8 ] 9 } 10 ] 11 }, Сохраняем конфигурационный файл и проверяем его на ошибки:\n1kea-dhcp-ddns -t /etc/kea/kea-dhcp-ddns.conf Если ошибок нет, то перезапускаем службу:\n1systemctl restart kea-dhcp-ddns-server Служба настроена и работает, но теперь нужно научить работать с ней сам DHCP-сервер, поэтому откроем файл /etc/kea/kea-dhcp4.conf и перед двумя последними закрывающими фигурными скобками добавим следующие глобальные параметры (не забудьте поставить запятую после последнего существовавшего в файле объекта):\n1\u0026#34;ddns-send-updates\u0026#34;: true, 2 \u0026#34;ddns-qualifying-suffix\u0026#34;: \u0026#34;it-31.lab\u0026#34;, 3 \u0026#34;ddns-override-no-update\u0026#34;: true, 4 \u0026#34;ddns-override-client-update\u0026#34;: true, 5 \u0026#34;dhcp-ddns\u0026#34;: { 6 \u0026#34;enable-updates\u0026#34;: true, 7 \u0026#34;server-ip\u0026#34;: \u0026#34;127.0.0.1\u0026#34; 8 } Параметр ddns-qualifying-suffix определяет, для какого доменного суффикса мы обновляем DNS-зоны, суффикс записывается в обычном виде, без точки на конце. Опции ddns-override разрешают серверу переопределять параметры клиента. И самым последним указывается расположение службы kea-dhcp-ddns-server.\nЕсли у вас в сети существуют ПК с именами, содержащими недопустимые для DNS-имен символы (согласно RFC 1035 это: A-Z, a-z, 0-9, и -), то для таких ПК не получится зарегистрировать доменные имена. Однако можно заставить DHCP-сервер заменять недопустимые символы на указанный. Для этого добавьте в конфигурацию еще два глобальных параметра:\n1\u0026#34;hostname-char-set\u0026#34;: \u0026#34;[^A-Za-z0-9.-]\u0026#34;, 2 \u0026#34;hostname-char-replacement\u0026#34;: \u0026#34;x\u0026#34;, Теперь все недопустимые символы будут заменены на символ \u0026quot;x\u0026quot;. В случае если будут преобразованы несколько имен, содержащих одинаковое количество недопустимых символов на одинаковых местах, то регистрация DNS-записи будет выполнена только для первого из них.\nЗакончив редактирование, проверим файл конфигурации на ошибки:\n1kea-dhcp4 -t /etc/kea/kea-dhcp4.conf Если все хорошо, то перезапустим службу:\n1systemctl restart kea-dhcp4-server На этом настройка закончена, остается подождать продления аренды или выдачи нового адреса и проверить появление новых записей на DNS-сервере.\n","id":"d67c83690cd25749382fa4dfe9dfa91a","link":"https://interface31.ru/post/nastraivaem-dinamicheskoe-obnovlenie-dns-servera-bind-9-pri-pomoshhi-kea-dhcp/","section":"post","tags":["Bind 9","Debian","DHCP","DNS","Kea","Linux","Ubuntu Server","Сетевые технологии"],"title":"Настраиваем динамическое обновление DNS-сервера BIND 9 при помощи Kea DHCP"},{"body":"WireGuard пользуется заслуженной популярностью как простой и быстрый, но при этом безопасный туннель. Но у простоты есть и обратные стороны, для настройки WireGuard требуется достаточно много ручной работы, передавать готовые настройки с сервера на клиент мы не можем. Однако никто не мешает нам подготовить клиентские конфигурации заранее и просто передать их клиентам для импорта, в том числе и на мобильные устройства. В данной статье мы как раз рассмотрим различные методы создания готовых клиентских конфигураций.\nКлассический метод генерации ключей для любого вида шифрования предусматривает создание клиентских ключей непосредственно на стороне клиента, это позволяет избежать передачи закрытого ключа, что благоприятно сказывается на безопасности. Но это требует непосредственного участия администратора в формировании ключей на устройствах клиентов, что не всегда удобно и возможно.\nАльтернативной этому является создание готовых клиентских конфигураций с последующей передачей их клиенту, но при этом следует понимать, что вместе с конфигурацией мы передаем закрытый ключ и использовать для этого защищенные каналы связи.\nВсе шифрование в WireGuard строится на основании ключевой пары и не требует ни создания собственного СА, ни выпуска сертификатов, это позволяет сгенерировать ключевую пару в любом месте, указать ее в конфигурационных файлах и передать их клиенту.\nВ целях безопасности эту работу лучше всего производить на сервере с WireGuard, чтобы все ключи были в одном единственном месте. Все приведенные ниже команды следует выполнять с правами суперпользователя root или через sudo.\nПрежде всего создадим директорию, в которой мы будем хранить клиентские конфигурации:\n1mkdir /etc/wireguard/clients И сразу же перейдем в нее:\n1cd /etc/wireguard/clients Затем изменим маску системы, что обеспечит нужные права для обеспечения безопасности, можно, конечно, обойтись и без этого, но лучше если только один суперпользователь будет иметь доступ к конфигурациям и ключам.\n1umask 077 Затем генерируем ключевые пары клиентов командами:\n1wg genkey \u0026gt; privatekey_ivanov 2wg pubkey \u0026lt; privatekey_ivanov \u0026gt; publickey_ivanov Не имеет никакого значения как вы назовете файлы ключей, но мы советуем давать им осмысленные названия, чтобы было понятно какому клиенту они принадлежат и какой именно ключ представляют.\nСразу же, не меняя маску, создадим конфигурационный файл клиента, для этого нам понадобиться его приватный ключ, прочитать его можно командой:\n1cat privatekey_ivanov Для создания конфига мы будем использовать редактор nano, если вам больше нравится редактор mc, то замените в команде nano на mcedit:\n1nano ivanov_wg.conf И внесем в него следующий текст:\n1[Interface] 2Address = 10.10.8.101/24 3Privatekey = \u0026lt;CLIENT_PRIVATE_KEY\u0026gt; 4 5[Peer] 6Publickey = \u0026lt;SERVER_PUBLIC_KEY\u0026gt; 7Endpoint = 203.0.113.2:34567 8AllowedIPs = 10.10.8.0/24, 192.168.111.0/24 9PersistentKeepalive = 25 В секции [Interface] мы указываем желаемый адрес клиента в WireGuard сети и его приватный ключ. В секции [Peer] указываем публичный ключ сервера, его адрес и порт, и разрешенные сети, в нашем случае это сеть WireGuard 10.10.8.0/24 и находящаяся за сервером сеть условного офиса 192.168.111.0/24.\nПубличный ключ сервера можно узнать короткой командой:\n1wg Закончив формирование клиентских конфигураций, вернем маску к нормальному значению:\n1umask 022 Теперь добавим наших клиентов в конфигурацию сервера, для этого нам потребуется знать публичный ключ, его можно вывести командой:\n1cat publickey_ivanov Затем откроем конфигурацию сервера, в нашем случае это /etc/wireguard/wg0.conf и для каждого клиента добавим секцию:\n1[Peer] 2PublicKey = \u0026lt;CLIENT_PUBLIC_KEY\u0026gt; 3AllowedIPs = 10.10.8.101/32 Где указываем публичный ключ клиента и выделенный ему адрес. После чего перезапускаем WireGuard командой:\n1systemctl restart wg-quick@wg0 Готовые клиентские конфигурации теперь можно распространить по клиентским устройствам, где будет достаточно просто сделать импорт из подготовленного нами файла.\nНо еще раз предупредим: файл конфигурации содержит закрытый ключ клиента и не должен передаваться ему по открытым каналам.\nОтдельного разговора стоят мобильные клиенты, передать и импортировать файл на мобильное устройство может быть не так уж и просто, не говоря уже о ручной настройке клиента. Для этих целей WireGuard умеет использовать QR-код. Это самый быстрый и простой способ настройки мобильного устройства.\nДля генерации QR-кодов прямо на сервере нам потребуется дополнительный пакет, установим его:\n1apt install qrencode Если мобильное устройство находится прямо у вас в руках, то проще всего будет вывести QR-код для его настройки прямо в терминал, для этого перейдем в каталог с конфигурационными файлами:\n1cd /etc/wireguard/clients И выполним команду:\n1qrencode -t ansiutf8 -r ivanov_wg.conf После чего откройте WireGuard клиент на мобильном устройстве и считайте QR-код прямо с экрана. Если же требуется передать QR-код клиенту для самостоятельной настройки, то создадим файл изображения с кодом. Будем считать, что мы находимся в каталоге с конфигурационными файлами. Снова изменим маску:\n1umask 077 И выполним генерацию изображения:\n1qrencode -t png -o ivanov_wg.conf.png -r ivanov_wg.conf После того как вы создали все необходимые изображения вернем маску к исходному значению:\n1umask 022 Как мы уже говорили выше, имена файлов могут быть любыми, главное - чтобы было понятно для какого клиента они предназначены. При этом продолжаем помнить о том, что QR-код также содержит закрытый ключ клиента и передавать его следует только по защищенным каналам связи.\n","id":"0453af59c133dc30d068f641820ac8f1","link":"https://interface31.ru/post/sozdaem-gotovye-klientskie-konfiguracii-dlya-wireguard/","section":"post","tags":["Android","Debian","Linux","Ubuntu Server","VPN","Wireguard","Сетевые технологии"],"title":"Создаем готовые клиентские конфигурации для WireGuard"},{"body":"Говоря об отечественных дистрибутивах, в первую очередь на ум приходят системы для импортозамещения, основная цель которых обеспечить рабочую среду и минимально нацеленных на домашних пользователей. А некоторые исключения, такие как Simply Linux только подчеркивают вторичность таких систем. Однако данная тенденция начиняет меняться и поэтому мы предлагаем ознакомиться с дистрибутивом Ximper Linux, который представляет роллинг-релиз систему со всегда свежей оболочкой GNOME, построена она на базе отечественной платформы ALT Sisyphus.\nСоздателем данного дистрибутива является известная компания ООО «Этерсофт», которая является участником команды ALT Linux Team. Разработка дистрибутива началась с попыток портировать свежие версии GNOME на стабильную платформу ALT p10, но с этим возникли сложности. Дело в том, что новые релизы GNOME выходят гораздо чаще, чем обновляется платформа ALT, что вызывает проблемы с требуемыми версиями библиотек.\nВ результате было принято решение перейти на платформу ALT Sisyphus и в результате этого возник новый дистрибутив - Ximper Linux, первая версия которого была выпущена в феврале 2023 года. Он предназначен для домашних пользователей, которым нравится графическая оболочка GNOME, при этом не налагается никаких дополнительных ограничений на коммерческое использование дистрибутива.\nДистрибутив доступен в двух вариантах: базовый образ и образ с поддержкой NVIDIA, что позволяет обычным пользователям избежать процесса установки драйверов на видеокарту и сразу начать работу.\nОбраз использует инсталлятор от Альт и допускает загрузку в Live-режиме для ознакомления. В остальном это стандартный инсталлятор и если вы хоть раз устанавливали системы Альт, то все будет привычно. Для разметки диска предлагается файловая система BTRFS, разметка стандартная: сначала файл подкачки, затем основной раздел. Это удобно при расширении диска. Отличается выбор предустановленного софта, здесь возможны самые различные варианты: можно выполнить минимальную установку, а можно сразу \u0026quot;заточить\u0026quot; систему на какой-то определенный сценарий использования. Например, игры или мультимедиа. Сама установка проходит достаточно скучно, слайдов не завезли, поэтому остается только смотреть на медленно заполняющуюся шкалу с процентами. За это время можно сходить заварить себе чашечку чая и не забыть вернуться на завершающую стадию, где нужно будет настроить сеть и создать пользователей. После завершения работы и перезагрузки нас встречает рабочий стол GNOME и выглядит он отлично. При этом оболочка сразу доработана, из коробки включен Dash to Dock и добавлены иные расширения, что делает работу с GNOME гораздо более удобной нежели в ванильном варианте. По умолчанию выбрана темная тема, которая отлично проработана как для GTK, так и для Qt приложений, что позволяет системе выглядеть стильно и однообразно. Системные требования также довольно высоки, что в общем характерно для GNOME, выделенных нами 4 ГБ оперативной памяти хватает только для тестирования в повседневной работе такого объема будет постоянно не хватать. При этом внимание к мелочам прослеживается практически везде, например, в контекстном меню файлового менеджера добавлены пункты Создать ссылку и Удалить безвозвратно. Мелочь, но удобно. Теперь давайте заглянем что у нас под капотом. Как мы уже говорили выше система построена на базе репозитория ALT Sisyphus, который является крупнейшим отечественным репозиторием и фактически является тестовой площадкой для стабильных платформ Альта. При этом Сизиф достаточно стабилен, и работа с ним не превратится в сплошное бета-тестирование.\nК системе кроме репозиториев Сизифа подключены собственные репозитории Этерсофт из которых поставляется GNOME и все прикладное ПО, это нетрудно заметить по источникам в магазине приложений. Такой подход позволяет дополнительно сгладить возможную нестабильность Сизифа, так как к пользователям пакеты будут попадать только после дополнительной проверки разработчиками.\nПо умолчанию система поставляется с ядром 6.6.17, но можно переключиться на более старое 6.1.78. Версии библиотек и компонентов системы достаточно свежие, но не самые последние, что вполне разумно и позволяет удерживать баланс между стабильностью и актуальностью ПО. Еще одной особенностью системы является собственный пакетный менеджер Etersoft EPM, точнее это даже не менеджер, а высокоуровневая надстройка над существующими системами. Так в Альте она будет вызывать apt-get, в DEB-системах - apt, а в RHEL-совместимых дистрибутивах dnf. Это достаточно удобно и позволяет унифицировать работу с пакетным менеджером без оглядки на дистрибутив.\nСинтаксис EPM также удобен и чем-то напоминает urpmi Mandriva. Также у данного пакетного менеджера есть возможность установки программ отсутствующих в репозиториях прямо из официальных источников, для ознакомления со списком такого ПО выполните:\n1epm play При этом никто не мешает вам пользоваться стандартным apt-get, если вы к нему привыкли и вам он более удобен.\nДля настройки системы доступны стандартные инструменты GNOME, а также Alterator, отдельного внимания заслуживает утилита App Install, которая является графическим интерфейсом для EPM и позволяет устанавливать сторонние пакеты, о которых мы говорили выше. Для гибкой настройки рабочей среды в системе сразу установлен менеджер расширений GNOME откуда вы можете настраивать уже установленные расширения, а также добавлять новые. Для резервного копирования системы предназначен Timeshift, который в сочетании со снимками BTRFS позволяет выполнять откат на нужную точку прямо из загрузочного меню, что удобно и позволяет восстановить систему даже в случае полного отказа. В качестве браузера предустановлен Яндекс Браузер, который является одним из лучших браузеров на основе Chromium и одним из самых популярных в русскоязычном сегменте сети. Помимо интеграции с экосистемой Яндекса он предлагает множество удобных функций, например, синхронный перевод видео с помощью нейросетей. Остальной набор софта типичен для GNOME, выполнен в стиле минимализма, на скриншоте ниже показаны торрент-клиент Fragments и аудиоплеер Amberol. С одной стороны данные программы просты до примитивности, но с другой - большинству пользователей ничего иного и не надо. Торрент должен качать, плеер - играть. А кому нужны продвинутые настройки - тот может скачать любое другое ПО на свой вкус и цвет, тем более что в репозиториях его достаточно.\nЕдинственный неудачный выбор - это видеоплеер mpv, который порадовал нас красивым зеленым экраном. Возможно такое поведение связано с запуском его в виртуальной машине, но другое аналогичное ПО давно спокойно работает в системах виртуализации. Тем более непонятен такой выбор с учетом наличия штатного для GNOME приложения Видео, которое мы установили и без проблем воспроизвели ролики разных форматов и разрешений вплоть до 4К. Приложение также очень простое, но с основной работой справляется. Если же вам нужны какие-либо изыски или продвинутые функции, то можно установить тот же VLC и пользоваться всеми его возможностями, например, просмотром IPTV. Для управления программным обеспечением предназначен магазин GNOME, который также является стандартным пакетом оболочки. Здесь вы можете искать и устанавливать новый софт, управлять уже установленным и обновлять систему. Обновления предусматривают установку при перезагрузке, что для пользовательской системы только плюс. Обычно это нововведение вызывает шквал критики, но мы еще раз повторим: для пользовательских систем это идеальный вариант. Во-первых, он исключает необдуманные действия пользователя во время обновления, особенно если обновляется ПО, с которым он в текущий момент работает. Во-вторых, обновление происходит в специальном режиме и если что-то пошло не так, то просто выполняется откат к предыдущему состоянию.\nНу и, наконец, никто не мешает обновить вам систему в ручную, при помощи консольных инструментов если вам так этого хочется.\nУчитывая домашнее назначение системы, мы не преминули проверить мультимедийные и игровые функции. В базовой поставке у нас есть OBS Studio для захвата видео и потокового вещания, мы без особого труда настроили и выполнили захват экрана системы: Полученный материал можно сразу отредактировать с другом приложении - видеоредакторе Shotcut. Так что для любительской работы с мультимедиа все инструменты в системе есть, и они работают. Для игр есть Steam и Port Proton, который обеспечивает запуск Windows игр в Linux через версию WINE от Valve (Proton) и полностью автоматизирует этот процесс. Все что вам нужно - просто выбрать нужный лаунчер или игру и остальное будет сделано автоматически. За все время тестирования система работала стабильно, каких-либо серьезных багов или недоработок мы не обнаружили.\nВыводы Ximper Linux - это одна из первых отечественных систем для домашнего пользователя, не отдельная редакция коммерческой версии, а целиком и полностью разработанная для домашнего применения. Принцип роллинг-релиза и использование в качестве источника пакетов репозитория ALT Sisyphus позволит постоянно иметь свежие версии программ без переустановки системы.\nМожно неоднозначно воспринять выбор GNOME в качестве основного и единственного рабочего окружения, но эта система также имеет круг своих поклонников и уже сразу, из коробки, дополнительно прокачана расширениями, поэтому работать с ней вполне удобно.\nЧто касается требовательности к системным ресурсам, то следует понимать, что сегодня любая современная графическая оболочка первого эшелона и современный софт требуют для комфортной работы от 8 ГБ ОЗУ и выше, а системы с 4 ГБ в наши дни считаются офисными пишущими машинками.\nВ остальном дистрибутив собран на твердую пятерку, с вниманием к деталям и оформлению. Темная тема - темная везде, нигде не вылазит никаких огрехов и не требуется дополнительной ручной настройки внешнего вида программ.\nИз минусов можно записать отсутствие встроенной поддержки Snap и Flatpak, но это во многом нивелируется свежестью софта в Сизифе и возможностью EPM ставить и обновлять стороннее ПО из официальных источников. Именно таким образом в системе установлены и поддерживаются Яндекс Браузер или Телеграм клиент.\nПодводя итог - Ximper Linux нам понравился, вплоть до того, что мы готовы советовать его тем, кому нравится оболочка GNOME. А также приятно то, что это отличный продукт от отечественного разработчика на отечественной пакетной базе.\n","id":"a40790092baf7e2d135e1304faa6a87f","link":"https://interface31.ru/post/ximper-linux---vsegda-svezhiy-gnome-na-baze-alt-sisyphus/","section":"post","tags":["ALT","Gnome","Sisyphus","Импортозамещение"],"title":"Ximper Linux - всегда свежий GNOME на базе ALT Sisyphus"},{"body":"Сегодня все чаще и чаще для конфигурационных файлов используются продвинутые текстовые форматы, такие как JSON или XML, имеющие строгий синтаксис и структуру. Их применение облегчает программную обработку данных, но при этом они все еще остаются легко читаемыми человеком. Однако работа с ними в привычных консольных редакторах имеет ряд неудобств, в частности связанных с соблюдением синтаксиса и формата разметки. Поэтому гораздо удобнее использовать для этого специальные среды разработки, например, VS Code, тем более что он прекрасно умеет работать через SSH.\nМы думаем, что Visual Studio Code не нуждается в представлениях, это легкий кроссплатформенный редактор исходного кода с неограниченными возможностями благодаря многочисленным расширениям, как официальным, так и разрабатываемым сообществом.\nДля того, чтобы научить VS Code удаленной работе по SSH нам понадобится два расширения: Remote - SSH и Save as Root in Remote - SSH, которые можно установить прямо внутри среды разработки.\nОбщая схемы работы такова, что на удаленный узел скачивается специальная компонента VS Code Server, которая и работает с файлами и системой, а локальный экземпляр VS Code обеспечивает только графическую оболочку, подключаясь к экземпляру сервера через SSH-туннель.\nВ качестве удаленных систем поддерживаются:\nDebian 8+, Ubuntu 16.04+, CentOS / RHEL 7+. Windows 10 / Server 2016/2019 (1803+) macOS 10.14+ (Mojave) Для работы серверной компоненты потребуется минимум 1 ГБ ОЗУ, но рекомендуется не менее 2 ГБ и двуядерный процессор.\nПосле того, как вы установили все расширения нажмите на значок удаленного подключения в нижнем левом углу и затем выберите во всплывающем меню Connect to Host... Remote-SSH. Так как настроенных узлов у нас нет, то выбираем Add New SSH Host и вводим строку подключения в формате:\n1user@server В качестве имени сервера можно использовать IP или FQDN, например:\n1root@192.168.9.2 2andrey@host104.it-31.ru Затем вам будет предложено сохранить данные подключения в одно из расположений, стандартно используется\n1%USERPROFILE%\\.ssh\\config После чего внизу появится еще одно всплывающее окно, которое позволяет открыть конфигурацию подключения или сразу к нему подключиться. По умолчанию подразумевается аутентификация по паролю, если же вы хотите использовать публичный ключ, то откройте конфигурацию на редактирование. Файл откроется прямо здесь, в VS Code и будет состоять из блоков формата:\n1Host 192.168.9.2 2 HostName 192.168.9.2 3 User root Находим нужный блок и добавляем к нему строку в котором указываем путь к закрытому ключу:\n1IdentityFile \u0026#34;C:\\Users\\andrey\\.ssh\\andrey.key\u0026#34; Теперь при выборе удаленного подключения через Remote-SSH у нас будет выпадать список уже настроенных соединений: Далее выбираем нужный узел, при первом подключении придется немного подождать пока на удаленный компьютер будет скачан и установлен VS Code Server. Он устанавливается в контексте пользователя и если с сервером будут работать сразу несколько человек, то компонента будет установлена для каждого из них.\nПри первом подключении сразу перейдите в раздел расширений и убедитесь, что нужные из них были установлены на удаленном узле, если это не так, то установите их. В нашем случае это относится к Save as Root in Remote - SSH если вы подключаетесь пользователем отличным от суперпользователя.\nЗатем выберите, чтобы вы хотели сделать. Можно создать или открыть файл, либо открыть директорию. Если вы хотите редактировать конфигурационные файлы, то удобнее всего сделать последнее, нажмите Open Folder и во всплывающем окне выберите /etc. Теперь слева у нас проводник со всем содержимым директории /etc и мы можем выбрать и открыть на редактирование любой файл. После чего внизу справа правильно указываем его формат и работаем, наслаждаясь всеми преимуществами среды разработки, например, она сразу укажет нам на пропущенную запятую при работе с JSON. Согласитесь, что это гораздо удобнее, чем редактировать в консольном редакторе и считать запятые. Таким образом можно быстро и эффективно привести конфигурационные файлы к нужному виду с минимумом синтаксических ошибок с учетом всей вложенной структуры, какой бы сложной она не была. Тем более что в магазине VS Code есть готовые расширения для работы с конфигурациями практически всех популярных продуктов. Все время до этого мы подразумевали что работаем с правами суперпользователя, и проблема сохранения изменений перед нами не стоит, но если мы подключаемся обычным пользователем, что наиболее предпочтительно, то при попытке сохранения получим ошибку: В этом случае нам поможет расширение Save as Root in Remote - SSH, обязательным условием его применения является наличие в системе утилиты sudo, а также пользователь должен иметь возможность повышать собственные права до суперпользователя.\nИспользовать расширение просто, для сохранения файла просто нажмите F1 и во всплывающем окне начните набирать saveas, затем в выпадающем списке выберите Save as Root и ваш файл будет успешно сохранен. Как видим использовать VS Code для удаленной работы с файлами через SSH совсем не сложно, в тоже время гораздо более удобно чем обычные консольные редакторы, а дополнительные расширения могут существенно упросить работу со сложными конфигурациями добавляя удобные инструменты, такие как подсветка синтаксиса, контроль ошибок или автодополнение.\n","id":"b9a4ff9fb40e001ad42575febc9e0349","link":"https://interface31.ru/post/nastraivaem-visual-studio-code-dlya-udalennoy-raboty-cherez-ssh/","section":"post","tags":["Linux","SSH","VSCo","Рабочее место"],"title":"Настраиваем Visual Studio Code для удаленной работы через SSH"},{"body":"DHCP-сервер является одним из ключевых элементов сети любого размера и представить без него даже небольшую сеть сегодня невозможно. Одним из наиболее популярных продуктов на платформе Linux был ISC DHCP, но в конце 2022 года разработчики заявили о прекращении его поддержки, а все силы и средства теперь направлены на развитие нового DHCP-сервера Kea. В данной статье мы познакомимся с новым продуктом и рассмотрим процесс его установки и базовой настройки для использования в небольших сетях.\nKea DHCP - новый и современный DHCP сервер, построенный по модульному принципу и рассчитанный на сети любого размера, от небольших, до самых крупных. Тем не менее он прост в установке и настройке, в качестве примера мы будем рассматривать одиночный сервер для обслуживания небольшой сети.\nДля настройки мы будем использовать следующие параметры:\nОбласть: 192.168.72.0/24 Пул: 192.168.72.100 - 192.168.72.199 Роутер: 192.168.72.1 DNS: 192.168.72.1 Домен: it-31.lab Все действия будут выполняться нами в среде Ubuntu Server 22.04 LTS, но инструкция будет актуальна для всех современных редакций Debian и Ubuntu, а также любых иных дистрибутивов с поправкой на работу с пакетным менеджером. Все действия, если не указано иного, производятся от имени суперпользователя root или через sudo.\nДля установки Kea выполните:\n1apt install kea В результате будут установлены сразу четыре модуля, каждый из которых работает в качестве отдельной службы:\nkea-dhcp4-server: IPv4 DHCP-сервер kea-dhcp6-server: IPv6 DHCP-сервер. kea-ctrl-agent: REST API сервис для управления Kea. kea-dhcp-ddns-server: служба динамического обновления DNS на основе событий аренды DHCP. Если вам не нужны все службы, то можете установить только отдельные модули, например, в нашем случае будет достаточно только IPv4 DHCP-сервера:\n1apt install kea-dhcp4-server Либо вы можете отключить автозагрузку ненужных служб, допустим вам не нужен IPv6 сервер:\n1systemctl disable kea-dhcp6-server Однозначных рекомендаций здесь давать не будем, каждый может поступить так, как считает более нужным.\nKea использует конфигурационные файлы в формате JSON, что может быть несколько непривычно, если вы раньше не работали с этим языком разметки. Для настройки IPv4 сервера используется файл /etc/kea/kea-dhcp4.conf который уже содержит пример конфигурации с многочисленными комментариями.\nЕсли внимательно с ним ознакомиться, то сервер можно быстро настроить и без всякой документации, но сейчас нам от этого только неудобства, так как придется удалить или закомментировать большую часть файла. При удалении можно легко нарушить структуру JSON, а наличие многочисленных комментариев затрудняет читабельность конфигурации. Поэтому мы переименуем этот файл и создадим свою конфигурацию с нуля:\n1mv /etc/kea/kea-dhcp4.conf /etc/kea/kea-dhcp4.example 2nano /etc/kea/kea-dhcp4.conf В данном случае мы используем для редактирования редактор nano, если вы предпочитаете редактор mc, то замените в команде nano на mcedit.\nПрежде всего внесем глобальные параметры:\n1{ 2 \u0026#34;Dhcp4\u0026#34;: 3 { 4 \u0026#34;valid-lifetime\u0026#34;: 4000, 5 \u0026#34;renew-timer\u0026#34;: 1000, 6 \u0026#34;rebind-timer\u0026#34;: 2000, 7 \u0026#34;interfaces-config\u0026#34;: { 8 \u0026#34;interfaces\u0026#34;: [ \u0026#34;eth1\u0026#34; ] 9 }, 10 11 \u0026#34;control-socket\u0026#34;: { 12 \u0026#34;socket-type\u0026#34;: \u0026#34;unix\u0026#34;, 13 \u0026#34;socket-name\u0026#34;: \u0026#34;/run/kea/kea4-ctrl-socket\u0026#34; 14 }, 15 16 \u0026#34;lease-database\u0026#34;: { 17 \u0026#34;type\u0026#34;: \u0026#34;memfile\u0026#34;, 18 \u0026#34;lfc-interval\u0026#34;: 3600 19 }, 20 } 21} Перед тем, как давать пояснения кратко разберем структуру конфигурационного файла. Он состоит из JSON объектов, каждый из которых заключен в фигурные скобки. Каждый объект содержит параметры, либо вложенные JSON-объекты. Все параметры разделяются запятыми (а вложенный объект - тоже параметр), поэтому редактируя конфигурацию не забывайте о правильной расстановке запятых.\nКстати, у нас в конфиге выше допущена синтаксическая ошибка, после последнего параметра стоит запятая, но это сделано умышлено, так как мы будем добавлять ниже дополнительные параметры.\nКонфигурация JSON открывается фигурной скобкой, корневым объектом в нем является \u0026quot;Dhcp4\u0026quot; внутри которого должны располагаться все остальные параметры и объекты.\nПараметр \u0026quot;valid-lifetime\u0026quot; отвечает за время аренды в секундах, а следующие два представляют параметры T1 и T2, также в секундах. По истечении первого клиент начинает запрашивать продление аренды, а если этого не удалось сделать до момента времени T2, то клиент начинает процедуру получения нового адреса.\nУказанные по умолчанию значения составляют: время аренды - 67 минут, T1 и T2 - 16 и 34 минуты. Это довольно мало и подходит в случаях если у вас много мобильных клиентов, которые не должны надолго занимать пул. Поэтому для стационарных сетей можно задать более широкие интервалы, чтобы снизить нагрузку на сервер.\nНапример, увеличим время аренды до суток, а T1 и T2 установим, как 1/2 и 7/8 этого интервала:\n1\u0026#34;valid-lifetime\u0026#34;: 86400, 2 \u0026#34;renew-timer\u0026#34;: 43200, 3 \u0026#34;rebind-timer\u0026#34;: 75600, Параметр \u0026quot;interfaces-config\u0026quot; перечисляет список интерфейсов, на которых будет работать DHCP сервер, списки в JSON заключаются в квадратные скобки и значения перечисляются через запятую. Если мы хотим принимать запросы на двух интерфейсах, то список будет выглядеть следующим образом:\n1\u0026#34;interfaces\u0026#34;: [ \u0026#34;eth1\u0026#34;, \u0026#34;eth2\u0026#34; ] Объект \u0026quot;control-socket\u0026quot; указывает на расположение сокета, а \u0026quot;lease-database\u0026quot; определяет тип хранения базы данных аренды. Kea поддерживает различные способы, включая СУБД MySQL и PostgreSQL, но в небольших установках можно использовать базу данных в ОЗУ с сохранением аренды в файл (по умолчанию /var/lib/kea/dhcp4.leases), за это отвечает параметр \u0026quot;type\u0026quot;: \u0026quot;memfile\u0026quot;.\nНиже объекта \u0026quot;lease-database\u0026quot; добавим новый объект \u0026quot;subnet4\u0026quot;, который содержит список всех подсетей IPv4, каждая из которых представлена отдельным объектом.\n1\u0026#34;subnet4\u0026#34;: [ 2 { 3 \u0026#34;id\u0026#34;: 72, 4 \u0026#34;subnet\u0026#34;: \u0026#34;192.168.72.0/24\u0026#34;, 5 } 6 ] Каждая сеть задается двумя параметрами: \u0026quot;id\u0026quot; - идентификатор, используется для установления соответствия записей в базе аренды с подсетями, если значение не указано - присваивается автоматически, но лучше указать данное значение явно, \u0026quot;subnet\u0026quot; - собственно подсеть в привычном формате записи.\nИ снова обратите внимание, после \u0026quot;subnet\u0026quot; у нас стоит запятая, так как мы продолжим добавлять параметры. Причем добавлять их нужно именно в объект списка, т.е. ниже строки \u0026quot;subnet\u0026quot;.\nСледующим параметром укажем пул адресов к выдаче:\n1\u0026#34;pools\u0026#34;: [ 2 {\u0026#34;pool\u0026#34;: \u0026#34;192.168.72.100 - 192.168.72.199\u0026#34;} 3 ], Если пулов несколько, то каждый из них описывается отдельным объектом, например:\n1\u0026#34;pools\u0026#34;: [ 2 {\u0026#34;pool\u0026#34;: \u0026#34;192.168.72.100 - 192.168.72.199\u0026#34;}, 3 {\u0026#34;pool\u0026#34;: \u0026#34;192.168.72.210 - 192.168.72.249\u0026#34;} 4 ], Затем перейдем к перечислению доступных DHCP-опций, список которых находится в еще одном объекте:\n1\u0026#34;option-data\u0026#34;: [ 2 { 3 \u0026#34;name\u0026#34;: \u0026#34;routers\u0026#34;, 4 \u0026#34;data\u0026#34;: \u0026#34;192.168.72.1\u0026#34; 5 }, 6 { 7 \u0026#34;name\u0026#34;: \u0026#34;domain-name-servers\u0026#34;, 8 \u0026#34;data\u0026#34;: \u0026#34;192.168.72.1\u0026#34; 9 }, 10 { 11 \u0026#34;name\u0026#34;: \u0026#34;domain-name\u0026#34;, 12 \u0026#34;data\u0026#34;: \u0026#34;it-31.lab\u0026#34; 13 }, 14 { 15 \u0026#34;name\u0026#34;: \u0026#34;domain-search\u0026#34;, 16 \u0026#34;data\u0026#34;: \u0026#34;it-31.lab\u0026#34; 17 } 18 ], Опции можно задавать двумя способами: по имени или по коду, например:\n1{ 2 \u0026#34;code\u0026#34;: 15, 3 \u0026#34;data\u0026#34;: \u0026#34;it-31.lab\u0026#34; 4 }, 5 { 6 \u0026#34;code\u0026#34;: 119, 7 \u0026#34;data\u0026#34;: \u0026#34;it-31.lab\u0026#34; 8 } Если вы указываете опции в шестнадцатеричном или бинарном виде, то потребуется добавить еще один параметр \u0026quot;csv-format\u0026quot;: false:\n1{ 2 \u0026#34;code\u0026#34;: 121, 3 \u0026#34;csv-format\u0026#34;: false, 4 \u0026#34;data\u0026#34;: \u0026#34;0x16c0a804c0a8ba5c\u0026#34; 5 } Данная опция приведена тут сугубо для примера и добавлять ее в готовый конфиг не нужно, в шестнадцатеричном виде записан дополнительный маршрут.\nВ нашем случае используются четыре DHCP-опции: адреса роутера и DNS-сервера, а также доменный суффикс для передачи клиентам. Полный список опций с именами и кодами вы можете взять в официальной документации:\nРекомендуем к прочтению List of standard DHCPv4 options configurable by an administrator Сразу напомним, что DHCP-опции запрашивает именно клиент, а сервер только отдает значения опций (если они настроены). Если клиент не запрашивает опцию, то она к нему не применится, несмотря на то что она настроена на сервере. Например, Windows никогда не запрашивает опцию 42 NTP-сервер и пытаться передать на нее адрес сервера времени таким образом бесполезно.\nПоследним объектом, который мы добавим будет резервирование адресов:\n1\u0026#34;reservations\u0026#34;: [ 2 { 3 \u0026#34;hw-address\u0026#34;: \u0026#34;1a:1b:1c:1d:1e:1f\u0026#34;, 4 \u0026#34;ip-address\u0026#34;: \u0026#34;192.168.72.110\u0026#34; 5 }, 6 { 7 \u0026#34;hw-address\u0026#34;: \u0026#34;11:22:33:44:55:66\u0026#34;, 8 \u0026#34;ip-address\u0026#34;: \u0026#34;192.168.72.111\u0026#34; 9 } 10 ] В особых пояснениях он не нуждается, это также список объектов, каждый из которых содержит два параметра: физический адрес и закрепленный за ним IP.\nЕще одной полезной возможностью является выдача клиентам персональных значений DHCP опций, для этого добавьте в объект резервирования встроенный объект \u0026quot;option-data\u0026quot;, например, выдадим зарезервированному клиенту собственные DNS-сервера:\n1{ 2 \u0026#34;hw-address\u0026#34;: \u0026#34;11:22:33:44:55:66\u0026#34;, 3 \u0026#34;ip-address\u0026#34;: \u0026#34;192.168.72.111\u0026#34;, 4 \u0026#34;option-data\u0026#34;: [ 5 { 6 \u0026#34;name\u0026#34;: \u0026#34;domain-name-servers\u0026#34;, 7 \u0026#34;data\u0026#34;: \u0026#34;77.88.8.7, 77.88.8.3\u0026#34; 8 } 9 ] 10 } Теперь сохраним изменения и проверим конфигурацию командой:\n1kea-dhcp4 -t /etc/kea/kea-dhcp4.conf Если все нормально, то вы получите несколько сообщений со статусом INFO, это нормально. В противном случае следует изучить и устранить ошибки, чаше всего они связаны с неправильной расстановкой запятых в конфигурационном файле.\nПосле чего перезапустим службу, чтобы применить изменения:\n1systemctl restart kea-dhcp4-server Настройка закончена, ваш сервер готов к работе.\n","id":"3ae2121e11b013397990b67a231305f6","link":"https://interface31.ru/post/ustanovka-i-bazovaya-nastroyka-dhcp-servera-kea/","section":"post","tags":["Debian","DHCP","Kea","Ubuntu","Сетевые технологии"],"title":"Установка и базовая настройка DHCP-сервера Kea"},{"body":"Современный мир все больше и больше переходит к использованию онлайн-хранилищ и привычные типы физических накопителей потихоньку становятся историей. При этом необходимость их использования все еще остается, а некоторый специализированный софт может прямо требовать наличие физического накопителя. Но это не всегда возможно, например, в виртуальных средах или на удаленных системах. В этом случае нам на помощь придут эмуляторы. В данной статье мы рассмотрим работу с ImDisk - простым и мощным решением для работы с виртуальными накопителями.\nImDisk - это драйвер виртуального диска для Windows позволяющий подключать файлы образов как флешки, флоппи-диски, оптические накопители или обычные диски. Поддерживаются 32-х и 64-х битные версии начиная с Windows NT/2000 и Windows Server 2003, при этом программа без проблем работает в последних версиях Windows 10/11 и Windows Server.\nПолучить ее можно на официальном сайте разработчика: http://www.ltr-data.se/opencode.html/#ImDisk, мы настоятельно рекомендуем скачивать программу именно оттуда.\nУстановка не должна вызвать затруднений, для скачивания доступно два варианта: инсталлятор и архив с пакетным файлом для установки. При этом будет установлена консольная утилита для управления драйвером imdisk.exe и графическая оснастка для панели управления.\nРабота в графическом режиме Для работы в графическом режиме перейдите в Панель управления и откройте оснастку ImDisk Virtual Disk Driver. В открывшемся окне будут представлены все смонтированные виртуальные приводы, но пока здесь ничего нет. После чего нажмем Mount New и заполним параметры нового диска как показано на рисунке ниже. Прежде всего укажем файл образа, если он не существует то программа предложит его создать, затем букву диска и размер образа (только при создании). Тип устройства - авто, если не нужно явно указать тип эмулируемого оборудования.\nВ разделе Image file access выбираем Virtual disk drive accesses image file directly, что обеспечит прямую работу с файлами образа. Два других режима копируют его содержимое в память и все несохраненные изменения при размонтировании образа будут потеряны, а если с их указанием создать новый образ, то он будет присутствовать только в памяти.\nДля создания виртуальной флешки установите дополнительно флаг Removable media, также можно смонтировать образ только на чтение.\nВ нашем случае мы создали виртуальный флеш-накопитель на 128 МБ, что вполне достаточно для работы с той же электронной подписью или ключами защиты.\nПосле создания накопитель автоматически будет смонтирован с указанной буквой и нам останется его только отформатировать. Дальнейшая работа с диском ничем не отличается от работы с обычной флешкой или иным типом эмулируемого носителя.\nУправление образами в оснастке также понятно: для размонтирования используйте Remove, Extend size позволяет увеличить размер, а Save Image сохранит изменения образа если вы смонтировали его в память. Работа в режиме командной строки Чтобы получить справку по всем доступным опциям и ключам просто наберите в командной строке:\n1imdisk Для того, чтобы создать образ флешки аналогичной той, которую мы создавали в графическом режиме выполните:\n1imdisk -a -f C:\\img\\image0-128.img -s 128K -m F: -o rem Коротко разберем ключи:\n-a - выполнить монтирование -f - путь к файлу образа -s - создать файл указанного размера -m - точка монтирования (буква диска) -o - дополнительные опции монтирования Дополнительные опции монтирования довольно разнообразны и позволяют гибко управлять создаваемыми образами, в нашем случае мы указали тип монтируемого устройства - rem - съемный диск.\nПри этом опций можно использовать несколько, указав их через запятую, без пробела. Так создавая образы большого размера вы можете создать их в виде разреженного диска, который сразу не резервирует место, а растет по мере наполнения данными, для этого добавьте опцию sparse:\n1imdisk -a -f C:\\img\\image3-2G.img -s 2G -m F: -o rem,sparse После чего можем убедиться что созданный образ размером 2 ГБ на самом деле занимает единицы килобайт. Но имейте ввиду, данная возможность доступна только при использовании файловой системы NTFS на разделе для хранения образов. В некоторых случаях нам может потребоваться эмулировать более специфический носитель, полный их перечень можно получить в списке параметров монтирования, а мы для примера создадим флоппи-диск. У него есть свои особенности: размер образа должен совпадать с размером реальных дискет, т.е. иметь значения 160K, 180K, 320K, 360K, 640K, 720K, 820K, 1200K,1440K, 1680K, 1722K, 2880K, 123264K или 234752K.\n1imdisk -a -f C:\\img\\image2-fdd.img -s 1440K -m A: -o fd У другого типа носителя - оптического диска тоже есть свои особенности: для его монтирования обязательно нужен готовый образ, создать чистый диск нужного объема не получится. Также образа с расширениями .iso, .nrg и .bin по умолчанию монтируются как оптические диски.\nВ дальнейшем созданные образа можно просто монтировать командой:\n1imdisk -a -f C:\\img\\image0-128.img -m F: -o rem Опции монтирования в некоторых случаях можно не указывать, в таком случае образ будет смонтирован с типом auto. Например:\n1imdisk -a -f C:\\img\\image.iso -m E: В этом случае мы точно знаем, что файл с расширением .iso будет смонтирован как оптический и дополнительных опций не указываем.\nДля размонтирования образа используйте:\n1imdisk -d -m F: При этом система проверит использование диска и если он занят каким-либо процессом, то в операции будет отказано. Чтобы принудительно размонтировать диск выполните:\n1imdisk -D -m F: При необходимости размер виртуального диска можно увеличить, но учтите, что увеличится только само доступное пространство диска, файловая система останется прежнего размера. Без повторного форматирования расширить на увеличившееся пространство можно только NTFS, для иных файловых систем диск нужно будет заново отформатировать или прибегнуть к стороннему софту.\nРасширить можно только смонтированный диск, объем на который вы хотите увеличить диск указывайте в ключе -s:\n1imdisk -e -s 256M -m F: В результате выполнения данной команды к существующим 128 МБ накопителя прибавится еще 256 МБ и его итоговый размер станет 384 МБ.\nМонтирование виртуальных накопителей на постоянной основе Очень часто нужно монтировать созданные нами накопители на постоянной основе. В русскоязычном сегменте каких только способов не предлагается, начиная от пакетных файлов в автозагрузке и заканчивая планировщиком задач. Однако все гораздо проще, ImDisk умеет монтировать образы самостоятельно, сразу после загрузки драйвера.\nДля того, чтобы образ автоматически монтировался достаточно один раз смонтировать его с ключом -P:\n1imdisk -a -f C:\\img\\image0-128.img -m F: -o rem -P В этом случае драйвер добавит нужные записи в реестр и будет монтировать образ автоматически при каждой загрузке. Чтобы отключить автомонтирование достаточно один раз размонтировать образ с тем же самым ключом:\n1imdisk -D -m F: -P Просто, быстро и надежно. А для того, чтобы не изобретать велосипеды и использовать указанную штатную возможность достаточно было просто прочитать встроенную справку. Кстати, рекомендуем это обязательно сделать, особенно если вы хотите изучить программу более подробно, потому как ее возможности не исчерпываются описанными.\n","id":"102f61bd26058b7319e5346dfee18ab7","link":"https://interface31.ru/post/ispol-zuem-imdisk-dlya-emulyacii-fleshek-i-drugih-tipov-nakopiteley/","section":"post","tags":[],"title":"Используем ImDisk для эмуляции флешек и других типов накопителей"},{"body":"Вряд-ли разработчики Raspberry Pi выпуская первую версию своего продукта думали, что закладывают целое направление развития компьютерной техники. Но одноплатные ПК приглянулись пользователям и очень скоро на рынке появились многочисленные аналоги и многочисленная периферия, которая позволила сделать эти устройства универсальными. Их можно использовать для обучения или автоматизации, в качестве мини-серверов или маломощных ПК - вариантов масса. Поэтому нам было интересно познакомиться с отечественным одноплатным компьютером Repka Pi 3 и посмотреть на его возможности.\nСразу начнем с любимого вопроса, который многие любят задавать, не читая: а что тут отечественного? Отвечаем - разработка, плата полностью спроектирована отечественными инженерами, также ими выполнена собственная сборка ОС на базе Ubuntu. Купить нужные комплектующие может любой дурак, а вот спроектировать на их основе собственное работающее изделие сможет далеко не каждый.\nЧто касается внешней схожести, то, во-первых, давно уже сформировался пусть и негласный, но стандарт разводки таких плат и размещения основных разъемов на них. Во-вторых, все платы на одинаковых SoC будут строиться вокруг референсного дизайна, рекомендованного производителем. Это как материнские платы, компоновка которых у разных производителей идентична, но никто же спрашивает: а что тут сделал ASUS? Поэтому данный вопрос сразу и навсегда закроем.\nПлата Repka Pi 3 Разработчик - компания НПО \u0026quot;РэйнбовСофт\u0026quot; не скрывает, что занялась разработкой аналога Raspberry Pi 3 с максимальным сохранением совместимости, включая расположения интерфейсов и их распиновку. И это вполне получилось, даже лучше, наша плата в последней ревизии быстрее на 15% и в целом местами имеет лучшие характеристики.\nНо интересна Repka Pi 3 даже не этим, а ценой, полный комплект с корпусом и блоком питания можно купить всего за 9 100 руб., при том, что \u0026quot;голая\u0026quot; Raspberry Pi 3 model B обойдется вам дороже. В данном случае мы имеем ввиду цены в официальной рознице, с гарантией и документами. Понятно, что на Озоне или у китайцев за те же деньги можно купить и Raspberry Pi 4, но это вариант исключительно для собственного применения, если вы используете эти платы для автоматизации и тем более передаете их заказчикам, то вам придется ориентироваться на официальные каналы поставки. В этом плане Repka Pi 3 выглядит очень интересным предложением.\nПлата построена на SoC Allwinner H5 (CPU + GPU) и состоит из четырехядерного процессора ARMv8 Cortex-A53 с тактовой частотой до 1.4 ГГц и четырехядерного видеоядра Mali 450 MP4 с поддержкой видеорежимов до 4K @ 30 fps, в то время как Raspberry Pi 3 максимально поддерживает FHD 1080. Железо не новое, но проверенное и недорогое. В принципе для подобного устройства вполне достаточно, общий уровень производительности все представляют и чудес никто ждать не будет.\nМы приобрели еще осенью некоторое количество плат ревизии 1.5 (последняя актуальная 1.6) с максимальной частотой 1368 МГц и 2 ГБ DDR, далее речь пойдет про них. Приобретали сразу в полной комплектации и обошлись они тогда нам немного дороже, по 10 900 руб. за один компьютер. Поставляются одноплатники в коробке из переработанного картона и очень хорошо упакованы, так что можно не переживать за доставку. Внутри кроме самого компьютера находится блок питания на 3 А с кабелем micro-USB и VESA-крепеж с набором саморезов и небольшой отверткой. Компьютер укомплектован картой памяти MicroSDHC на 32 ГБ с уже записанной на нее системой RepkaOS, поэтому устройство просто достаточно включить и сразу начать работать. Единственный недостаток - нигде на коробке не указаны логин и пароль, а никакой иной документации в комплекте нет. Пришлось посетить официальный сайт и узнать, что это root и 123. Корпус выполнен из акрила методом набора из прозрачной и темной полос, выглядит на первый взгляд не очень. Но поработав с ним мы оценили корпус по достоинству. Фактически это стопка акриловых листов с внутренними вырезами, очень устойчивая к механическому воздействию, такой корпус можно смело ронять, думаем, что по нему можно без проблем потоптаться и кроме вентилятора больше ничего не пострадает. Поэтому если рассматривать данный компьютер как промышленное устройство, то такой корпус идет только в плюс.\nПри включении загорается зеленый светодиод, а индикатор активности - синий, причем довольно яркий и просто так заклеить его темной изолентой не получится, прозрачные акриловые полосы рассеивают свет и в темноте светится практически вся передняя и часть боковых поверхностей. Для охлаждения используется небольшой, а следовательно шумный вентилятор без регулировки оборотов, поэтому в жилом помещении и тем более ночью его будет слышно. Можно ли его отключить? Можно, но нужно будет переключить профиль троттлинга на вариант с пассивным охлаждением, но при этом вы немного потеряете в производительности. Режимы работы можно посмотреть на скриншоте ниже, информация с официального сайта. Сетевые возможности также скромны, но для устройства данного класса вполне достаточны: 100 Мбит/с по проводу и Wi-Fi 802.11b/g/n, плюс Bluetooth V4.0(HS). Для требовательных сетевых приложений этого мало, но для работы с датчиками и устройствами промышленной или домашней автоматизации более чем достаточно, равно как и для собственных нужд ПК.\nВ целом перед нами неплохо сделанный одноплатный компьютер уровня Raspberry Pi 3, в чем-то даже получше и обладающий весьма привлекательной ценой. При этом распространяется он через официальные каналы продаж с гарантией и поддержкой.\nRepka OS Но говорить о железе в отрыве от программной части бессмысленно, так как именно операционная система делает из куска железа компьютер и позволяет нам запускать на нем нужные программы. Производителем из коробки предлагается нам Repka OS - сборка на базе Ubuntu 20.04. Здесь снова может возникнуть вопрос: а насколько уместно использовать термин \u0026quot;операционная система\u0026quot;. Но Raspbian или Armbian вполне спокойно считаются операционными системами, хотя, по сути также являются сборками на базе Debian и/или Ubuntu, так что на наш взгляд такое наименование вполне уместно.\nСистема запускается в настольном режиме и использует в качестве графической оболочки XFCE, никаких графических излишеств нет, как и большинства предустановленного софта. Все по минимуму, что для подобного вида устройств только плюс. Последняя версия Repka OS 10.0.20 от 22.04.2024 поставляется с ядром 5.19.15. Все основные параметры платы и системы выведены прямо на рабочий стол, что удобно, потребление ресурсов для режима графической оболочки умеренное, в состоянии покоя рабочая частота процессора падает до 288 МГц, его температура при этом составляет 35-36 градусов.\nДля настройки параметров платы разработчики предоставляют фирменную утилиту repka-config, если вы работали с другими одноплатными компьютерами, то она покажется вам вполне знакомой. В настоящий момент не все пункты еще работают, часть из них находится в разработке. Но уже сейчас с ее помощью вы можете переключаться между консольным и графическим режимом, обновить систему, переключить профиль троттлинга или сменить ядро. Из ядер доступно 6.1.11, но с ним есть ряд проблем, например, оно не считывает температуры ядер SoC. В остальном это обычная Ubuntu, и вы можете устанавливать в систему любой софт доступный для данной системы и архитектуры. Но тоже самое можно сказать про любую систему для одноплатных компьютеров.\nЧто касается производительности: мы подключили Репку к 2К монитору и в работе графического интерфейса иногда наблюдались фризы и артефакты, не сказать, что сильно мешают работе, но они есть. В режиме FHD 1080 экран отрисовывается нормально. Видео в браузере, вне зависимости от браузера можно смотреть до 720p включительно, выше начинаются запинки и тормоза.\nПри этом система спокойно воспроизводит файлы с разрешением FHD 1080 и позволяет перемещаться по видео без задержек и тормозов. Нагрузка на систему при этом средняя, как и нагрев - около 50 градусов. А вот видео с разрешением 2К уже кладет плату на лопатки и упирается здесь все в вычислительные способности процессора. При попытке воспроизвести такой ролик мы моментально получаем полную загрузку процессора, слайд шоу с заикающимся звуком и длительные паузы с темным экраном при перемотке. Но при этом можно отметить достаточно эффективную работу штатного охлаждения - нам не удалось нагреть процессор выше 60-65 градусов. В целом результат ожидаем и какого-либо удивления не вызвал. Repka Pi 3 - это не для медиацентров, а вот как инструмент обучения или автоматизации - крепкий середнячок, с учетом ее цены - одно из самых оптимальных предложений с официальным каналом продаж и с гарантией. Плата позволяет достаточно комфортно работать как в консольном, так и в графическом режиме, например, для использования веб-интерфейсов или работы в качестве тонкого клиента.\nАльтернативные ОС Что еще кроме Repka OS можно запустить на данном ПК? В принципе - любую ОС подходящей архитектуры, но вам придется немного доработать ее напильником для запуска именно на этой плате, при том, что все необходимые файлы есть на официальном сайте, а у Альта даже есть пошаговая статья с примером как это сделать. Что касается готовых сборок, то можно попробовать Simply Linux alpha1 от компании Альт.\nДанная сборка основана на Sisyphus, хотя из-за использования брендирования от Simply можно подумать, что сборка использует платформу p10, хотя это не так. Ядро доступно единственное - 5.15.106, профиль троттлинга только для активного охлаждения. Также не работает индикатор активности, что не позволяет внешне понять состояние платы.\nПервый запуск системы переводит нас в режим мини-установки, где нам нужно создать пользователей, задать сетевые настройки и т.д. Если вы хоть раз устанавливали Альт, то все это будет вам знакомо. После перезагрузки вы попадете в привычную среду Simply Linux с XFCE, также в нагрузку вы получите полный набор прикладного ПО, включая офисный пакет. Зачем все это нужно здесь - вопрос открытый, в случае серверного использования систему придется долго и сильно чистить. Кроме этого, есть и ряд более существенных проблем, в сборке не работает Bluetooth, а для запуска Wi-Fi вам придется руками сделать несколько символических ссылок. Также есть и другие шероховатости, но в целом система работает и ей можно пользоваться. Конечно, хотелось бы от разработчиков Альта большей активности в данном направлении, чтобы к нашему одноплатнику была и наша ОС, но и в настоящий момент все не так плохо.\nДругой альтернативой может быть неофициальная сборка Armbian, доступны версии как на основе Debian, так и Ubuntu. Так как сборка неофициальная, то перед первым обновлением необходимо заморозить обновление ядра и U-Boot загрузчика. В остальном это обычный Armbian, который в представлениях не нуждается.\nТакже, как мы уже говорили, при наличии некоторого свободного времени, знаний и квалификации вы можете портировать на Repka Pi любую существующую ОС архитектуры AArch64, было бы желание.\nЗаключение Покупая осенью свою первую Репку, мы ожидали в принципе всего чего угодно, в том числе найти там какого-нибудь китайца с переклеенными шильдиками и столь же кривую китайскую сборку ОС. Но все оказалось совсем по-другому, Repka Pi - грамотно спроектированный и качественно сделанный отечественный одноплатный компьютер, с собственной сборкой ОС, неплохо документированный.\nСейчас у нас в эксплуатации уже второй десяток этих ПК, которые показали себя весьма хорошо. Во всяком случае настроил и забыл к ним вполне применимо. В качестве системы мы используем родную Repka OS, работа с которой ничем не отличается от Ubuntu и все что доступно под эту ОС заработает и на Репке.\nЧто касается альтернатив, то вполне можно использовать Armbian, от использования Simply мы бы пока отказались - слишком много недоработок и шероховатостей.\nВ целом данным устройством мы довольны, даже очень. Потому что это наша, отечественная плата, которая не хуже, а даже лучше аналога и, что тоже важно, продается за весьма умеренные деньги, что делает ее доступной широким кругам потребителей.\nТем более что разработчики не стоят на месте, прямо сейчас готовится производство Repka Pi 4 - аналог Raspberry Pi 4 и в разработке находится Repka Pi 5. Если все пойдет нормально, то уже относительно скоро у нас будет своя полноценная линейка одноплатных компьютеров. Так что остается только пожелать разработчикам успехов.\n","id":"5e3ed86daa1c58fc85992db09154b409","link":"https://interface31.ru/post/repka-pi-3---otechestvennyy-odnoplatnyy-komp-yuter/","section":"post","tags":["ARM","Repka Pi"],"title":"Repka Pi 3 - отечественный одноплатный компьютер"},{"body":"Говоря о безопасности, часто подразумевается безопасность сетевая, связанная с возможным удаленным доступом злоумышленника к устройству. Но не меньшее значение имеет безопасность физическая, когда третьи лица получили или могут получить непосредственный доступ к устройству. Это порождает отдельный набор различных угроз, связанный как с потерей конфигурации устройства, так и получения конфиденциальных данных с него. Поэтому в данной статье мы рассмотрим, как можно противодействовать им с помощью встроенных средств Mikrotik.\nПрежде чем настраивать защиту следует понять какие именно действия можно произвести с устройством имея к нему физический доступ. Самое простое - сброс настроек. Это актуально для сетевых устройств, установленных на конечных точках или филиалах, где к ним могут иметь доступ местные администраторы (чаще приходящие) или сотрудники провайдера.\nСбросить устройство можно двумя методами: через кнопку Reset или через Netinstall. В обоих случаях конфигурация будет потеряна, но в случае сброса через Reset сохраняется содержимое внутренней памяти, а там могут находиться сертификаты с закрытыми ключами или выгрузки конфигурации содержащие конфиденциальные сведения, например, пароли.\nВ данном случае мы получаем две возможные угрозы: несанкционированный сброс конфигурации устройства и возможный доступ к конфиденциальным данным.\nЕсли говорить о целенаправленном взломе, то имеется возможность физического доступа к устройству, можно выполнить понижение прошивки через Netinstall с сохранением конфигурации и последующим взломом через эксплуатацию уязвимости CVE-2018-14847. При этом уязвимости подвержены устройства с версиями RouterOS:\nLongterm: 6.30.1 - 6.40.7 Stable: 6.29 - 6.42 Beta: 6.29rc1 - 6.43rc3 Да, сегодня не все устройства можно откатить на указанные версии прошивки, но все еще очень многие. Для примера взяли два роутера из находящихся у нас в эксплуатации. На один из них, из партии поновее, выполнить атаку на понижение версии ОС уже не получится, а на второй - запросто. Чтобы противодействовать всем возможным попыткам сброса или переустановки RouterOS, не имея административного доступа к роутеру предназначена функция Protected RouterBOOT. Она отключает любой доступ к настройкам конфигурации RouterBOOT через консольный кабель и отключает работу кнопки сброса для изменения режима загрузки (Netinstall также будет отключен). Ее можно включить или выключить только из RouterOS, а если такого доступа нет, то альтернативой становится полное форматирование NAND с последующей чистой установкой RouterOS.\nНо и это сделать не так просто, для выполнения сброса нужно удерживать кнопку Reset ровно нужное число секунд и отпустить в указанном интервале, например между 50 и 60 секундами. При этом данный временной интервал можно задать достаточно большим, скажем в несколько минут.\nЕсли вы забыли установленные временные параметры, то сбросить устройство, не зная пароля администратора будет невозможно!\nВ актуальных версиях RouterOS данные параметры недоступны через графический интерфейс и все настройки выполняются только в терминале.\nПрежде всего посмотрим текущие значения:\n1/system routerboard settings print По умолчанию установлено следующее:\n1protected-routerboot: disabled 2reformat-hold-button: 20s 3reformat-hold-button-max: 10m Разберем их значения подробнее:\nprotected-routerboot - включает режим Protected RouterBOOT, по умолчанию выключено reformat-hold-button - указывает необходимое время удержания кнопки сброса для начала форматирования, допустимые значения 5с .. 300с, по умолчанию 20 сек. reformat-hold-button-max - указывает максимальное время удержания кнопки сброса для начала форматирования, допустимые значения 15с .. 600с, по умолчанию 10 мин. Для форматирования устройства нужно удерживать кнопку сброс не менее времени указанного в reformat-hold-button и отпустить не позднее чем до времени, указанного в reformat-hold-button-max. Минимальное значение между этими параметрами - 10 сек.\nТаким образом указав, например, 120 - 130 секунд мы сделаем попытки подбора этого значения крайне затруднительными. Чтобы облегчить подсчет времени Mirotik в этом режиме будет моргать индикатором каждую секунду, т.е. светодиод загорится на 1 секунду и погаснет на следующую.\nПеред тем как включать данную функцию следует убедиться, что текущая версия RouterOS не ниже 6.33, а версия Factory Firmware не ниже 3.41. Если это не так, то прошивки надо обновить. Для обновления Factory Firmware воспользуйтесь рекомендациями на официальном сайте: Дополнительная информация Manual:RouterBOARD settings Для включения защиты выполните:\n1/system routerboard settings 2set protected-routerboot=enabled 3export После чего внимательно изучите вывод команды export, там вы должны увидеть сообщение:\n1# press button within 60 seconds to confirm protected routerboot enable Это означает, что для подтверждения включения Protected RouterBOOT вы должны нажать на кнопку в течении 60 секунд, в противном случае команда будет автоматически отменена.\nДанная предосторожность сделана для того, чтобы исключить включение защиты, не располагая физическим доступом к устройству, например, после его взлома.\nПосле чего следует обязательно изменить временные диапазоны для форматирования устройства, со значениями по умолчанию включение защиты не имеет смысла.\n1/system routerboard settings 2reformat-hold-button=120s 3reformat-hold-button-max=130s Как видим, защитить Mikrotik от возможного несанкционированного доступа третьих лиц не так уж и сложно, однако сам производитель считает данные настройки опасными и поэтому взвешенно подходите к этому вопросу чтобы не создать проблем на ровном месте самому себе.\n","id":"b4187bef3c497eb767d34c2e80d0e518","link":"https://interface31.ru/post/zashhita-ustroystv-mikrotik-pri-pomoshhi-protected-routerboot/","section":"post","tags":["MikroTik","RouterBOOT","Безопасность","Сетевые технологии"],"title":"Защита устройств Mikrotik от взлома или сброса настроек при помощи Protected RouterBOOT"},{"body":"Развитие вычислительной техники в СССР имело свои особенности и разительно отличалось от ситуации на Западе. Если там компьютеры широко шагнули в массовый сегмент в конце 70-х годов, то в СССР практически до самого его распада компьютер был средством роскоши и ни о какой массовой доступности их говорить не приходилось. На этом фоне достаточно ярким и самобытным явлением оказался феномен программируемых калькуляторов, которые оказались единственной доступной заменой компьютерной технике и использовались далеко не по прямому назначению.\nНадо сказать, что программируемый калькулятор не был в те годы чем-то необычным, на Западе это был один из утилитарных инструментов призванный облегчить сложные инженерные и финансовые расчеты там, где применение компьютеров было экономически нецелесообразно. В СССР, выпуская программируемые калькуляторы (ПМК) руководствовались ровно теми же соображениями, но советская реальность заставила посмотреть на использование ПМК совершенно с иной стороны.\nВ условиях отсутствия на рынке доступных моделей бытовых ПК и дефицита радиодеталей для их самостоятельной сборки по чертежам энтузиастов, что помимо деталей требовало еще определенного опыта, программируемые калькуляторы оказались единственными доступными для широких масс экземплярами вычислительной техники. Ну как сказать доступными, средняя заплата инженера на производстве в середине 80-х составляла 120-180 руб., тогда как стоимость программируемых калькуляторов лежала в пределах 65-100 руб. Достаточно недешевое удовольствие, сравнимое с покупкой современного ПК среднего уровня.\nА дальше произошло то, что и должно было произойти в условиях дефицита и способности советских граждан выкручиваться, опираясь на доступные средства. Программируемый калькулятор вместо прикладного инструмента стал выполнять роль бытового компьютера, взяв на себя не только вычислительные, но и развлекательные функции. По сути, это один из советских феноменов, на Западе никому и в голову не могло прийти использовать ПМК в качестве развлекательного устройства, для этих целей там давно существовал рынок компьютеров и приставок.\nА у нас приходилось приспосабливать под эти цели то, что имелось в наличии, хотя и отечественных разработчиков ПМК такое применение их продукции тоже должно было удивить. Тем не менее именно ПМК открыли многим дорогу в мир вычислительной техники и позволили самостоятельно освоить навыками программирования и выработать алгоритмическое мышление. А достаточно жесткие ограничения по ресурсам заставили крайне серьёзно подойти к вопросам оптимизации.\nНо прежде, чем перейти к следующей части нашего повествования следует обратить внимание на одну существенную особенность всех советских (и не только советских) программируемых калькуляторов.\nПОЛИЗ Польская инверсионная запись, она же Обратная польская запись или Обратная бесскобочная запись - вид математической нотации, когда знаки математических операций записываются после операндов. С точки зрения вычислительной техники мы имеем вычисления на стеке, где стек - это вариант организации данных в памяти в виде однонаправленного списка по принципу LIFO (последний пришел - первый вышел). В нашем случае мы записываем в стек первый операнд, затем второй, первый при этом продвигается вглубь стека, затем выполняем операцию и получаем результат, который поднимается по стеку вверх. В зависимости от глубины стека мы можем довольно просто реализовывать операции различной степени сложности.\nНапример, выражение:\n13(2 + 1) + 4 В польской обратной записи будет выглядеть как:\n12 ↑ 1 + 3 * 4 + А при наличии достаточной глубины стека можно и вообще написать:\n14 ↑ 3 ↑ 2 ↑ 1 + * + Где символ ↑ - команда помещения в стек, при добавлении в стек каждого нового числа предыдущее опускается на уровень ниже, а при исчерпании глубины стека просто вытесняется. Операции производятся над двумя верхними уровнями стека, при этом результат помещается на самый верх, а остальные значения поднимаются на уровень выше.\nНа первый взгляд - непривычно, но на самом деле ПОЛИЗ позволял значительно упрощать сложные выражения, что было важно для ограниченной ресурсами вычислительной техники того времени. И каждый кто начинал программировать на калькуляторах очень скоро проникался всеми преимуществами данной нотации.\nНу и нельзя не вспомнить старый прикол, когда кто-то из коллег просил калькулятор посчитать по-быстрому: ой, а где тут равно???\nСегодня, возможно, не все поймут этот прикол, но на ПМК не было кнопки \u0026quot;равно\u0026quot;, потому как ПОЛИЗ ее не предусматривает. Так если на классическом калькуляторе нам надо было выполнить для получения результата:\n12 + 3 = То на ПМК:\n12 ↑ 3 + И если на простых выражениях разница неочевидна, то на сложных ПОЛИЗ позволял серьезно упростить вычисления с точки зрения количества операций и снимал большую часть вопросов по хранению промежуточных результатов.\nПервое поколение К первому поколению ПМК относится Электроника Б3-21, разработанный в 1975 и серийно производившийся с 1977 по 1982 год. На момент появления в продаже стоил 350 рублей, затем цена последовательно снижалась до 190, 80 и 64 рублей. Калькулятор имел два операционных регистра (стек) X и Y (они же Р0 и Р1), семь регистров для хранения данных Р2 - Р8 и объединенный с регистром X кольцевой двунаправленный стек на шесть регистров С1 - С6. Память калькулятора позволяла размесить в нем 60 шагов программы, быстродействие составляло 3-4 команды в секунду. Первоначально калькулятор выпускался с красным светодиодным индикатором, который был позже заменен на зеленый вакуумно-люминесцентный, для питания использовались 4 элемента АА или блок питания. Следует отметить, что ввиду хронического дефицита и отвратительного качества батареек в СССР основным и единственным режимом работы ПМК был от блока питания.\nДля своего времени возможности калькулятора были огромными, практически это был компактный и современный мини-компьютер, он широко применялся во всех отраслях народного хозяйства для решения сложных инженерных задач, в том числе медицине и космонавтике.\nОдновременно с ним выпускалась и настольная версия калькулятора Электроника МК-46 (1981-1984, 235 руб.), которому позже пришел на смену Электроника МК-64 (1984-1987, 270 руб.), от компактного аналога они отличались только большим числом шагов программы - 66 вместо 60. При этом у обычных граждан или как бы мы сказали сейчас - домашних пользователей калькуляторы первого поколения популярностью не пользовались и их распространение было невелико. В первую очередь сказалась высокая цена, не каждый готов был отдать за калькулятор одну-две месячные зарплаты, а потом, после снижения цены покупка Б3-21 также оказалась лишена смысла, так как в продаже появились относительно недорогие и куда более продвинутые калькуляторы второго поколения.\nВторое поколение В 1980 году в продаже появился калькулятор второго поколения Б3-34 по цене 120 руб., позже цена была снижена до 85 руб., что сделало данную модель доступной самым широким массам. По сравнению с первым поколением это также был серьезный рывок вперед. Новый калькулятор имел операционный стек на 4 регистра - X, Y, Z и T, а также регистр для хранения предыдущего результата X1, 98 шагов программы и 14 регистров хранения данных. Поддерживалась прямая и косвенная адресация, циклы и подпрограммы.\nПервые 7 регистров являются модифицируемыми, при косвенном обращении к ним регистры Р0 - Р3 уменьшают свое значение на единицу, а Р4-Р6 увеличивают, при грамотном подходе это позволяло существенно экономить шаги программы. Питание калькулятора осуществлялось от достаточно дорогих и редких никель-кадмиевых аккумуляторов Д-0,55С или блока питания.\nУже после первого взгляда на возможности Б3-34 становится понятно почему калькуляторы первого поколения, даже после снижения цены на Б3-21 оказались никому не интересны. А существенное изменение структуры памяти и стека сделало программы для первого поколения несовместимыми со вторым, как и наоборот. Практически сразу калькулятор приобрел необычайную популярность и кроме народного хозяйства широко применялся в быту и образовании. Освещением его использования занимались научно-популярные журналы, причем рассматривалось не только \u0026quot;серьезное\u0026quot; программирование, для решения прикладных задач, но и развлекательное. В школах для обучения программированию использовались специальные стенды в виде большого Б3-34.\nМожно смело сказать, что Б3-34 стал стандартом де-факто для советского ПМК и все дальнейшие разработки велись по расширению уже существующих возможностей. Выпускался калькулятор тоже достаточно долго, до 1986 года. Но уже в 1982 году свет увидела новая модель - Электроника МК-54 по цене всего 65 рублей, которая стала возможной благодаря отказу от аккумуляторов и переход на элементы АА для питания устройства.\nА еще МК-54 получил элегантный современный корпус и трехпозиционный переключатель Радианы - Грады - Градусы, данный переключатель очень часто использовался не по прямому назначению, а как удобный элемент управления в играх и даже прикладных программах. В остальном по возможностям это был все тот же Б3-34. Выпускалась данная модель до 1985 года. Начиная с 1981 года также выпускалась настольная версия калькулятора Электроника МК-56 с питанием от сети переменного тока, это была самая дорогая модель, в продажу она поступила по цене в 126 руб., а потом подорожала до 150 руб. Также этот калькулятор оказался настоящим долгожителем своего поколения, его производство продолжалось до 1993 года. По функциональным возможностям данный ПМК ничем не отличался от других калькуляторов второго поколения. Подводя краткий итог можно смело сказать, что именно калькуляторы второго поколения широко шагнули в массы и создали феномен программируемого калькулятора, который практически взял на себя функции персонального компьютера для многих советских граждан и послужил первым шагом в мир вычислительной техники и программирования.\nТретье поколение В 1985 году появился Электроника МК-61 - программируемый калькулятор третьего поколения, который имел расширенную систему команд, 105 шагов программы и 15 регистров для хранения данных. Калькулятор был полностью обратно совместим с калькуляторами второго поколения, что позволяло на нем без изменения запускать написанные для них программы. Однако за счет новых возможностей третье поколение получилось гораздо более эффективным, так для того, чтобы переписать программу третьего поколения на языке Б3-34 понадобилось бы примерно 140 -150 шагов программы и 18 регистров памяти.\nКалькулятор выпускался в современном темном корпусе как у МК-54, и его цена в начале продаж составила 70 руб., но потом была повышена до 85 руб., выпускалась данная модель до 1991 года. Одновременно с MK-61 был выпущен еще один калькулятор третьего поколения Электроника МК-52, отличительной особенностью которого стала встроенная ППЗУ объемом 4 кбит и количеством циклов перезаписи 10 000, которая позволяла сохранить до 512 шагов программы или содержимое 72 регистров памяти. Он стал первым и единственным советским калькулятором с энергонезависимой памятью, что естественно сказалось на его цене - 99 руб. 50 коп. с последующим подорожанием до 115 руб. Выпускался калькулятор в оригинальном широком корпусе, выполненном в общем стиле с МК-61. Также для данной модели выпускались специальные картриджи - БРП (блок расширения памяти), которые представляли собой ПЗУ с предварительно записанными программами. Всего производилось 4 типа картриджей:\nБРП-2 \u0026quot;Астро\u0026quot; с набором программ для решения навигационных задач, выпускался с 1988 года, в розничную продажу не поступал; БРП-3 - 60 программ для решения математических задач. Поступил в продажу в 1988 году по цене 16 рублей; БРП-4 - программы игрового, спортивно-профессионального и бытового характера, выпушен в 1989 году; БРП \u0026quot;Гео\u0026quot; - содержал разнообразные математические функции, в розничную продажу не поступал. Калькулятор получил широкое распространение в народном хозяйстве, вместе с БРП-2 поставлялся на корабли Военно-морского флота в качестве штурманского вычислительного комплекта и даже слетал в космос на борту Союз ТМ-7 с блоком астронавигационных программ в качестве резерва бортового компьютера. Выпускалась данная модель до 1994 года, но долгое время была достаточно дефицитной.\nВ целом третье поколение можно считать лебединой песней советского калькуляторостроения. По тем временам это были действительно выдающиеся и многофункциональные устройства с большим количеством как документированных, так и недокументированных возможностей, о которых мы поговорим ниже.\nКлуб электронных игр В отсутствие доступной компьютерной техники советские граждане быстро нашли ей замену, возможно и не полноценную, но вполне удовлетворяющую базовый спрос на вычислительную технику и электронные развлечения. А с электронными развлечениями в те времена было плохо, с 1984 года выпускалась серия электронных игр Электроника ИМ, более известная как \u0026quot;волк ловит яйца\u0026quot; и аналогичные ей. Но стоило такое устройство достаточно дорого - 25 руб. Поэтому быстро был найден доступный аналог - программируемые калькуляторы второго поколения, которые позволяли реализовывать достаточно сложные игровые алгоритмы, единственный минус - отсутствие наглядности, но это с лихвой перекрывалось достоинствами в виде универсальности, ведь калькулятор позволял играть в игры самого разного жанра или писать свои.\nВ январском номере популярного журнала Техника-Молодежи за 1985 год появилась новая рубрика \u0026quot;Для всех профессий\u0026quot;, которая обучала работе с программируемым калькулятором Б3-34 и хотя подобные рубрики были в других журналах, например, Наука и жизнь именно Техника-Молодежи дала старт электронным играм на ПМК в масштабах всей страны. Но просто так программировать не интересно, поэтому в июньском номере ТМ появилась новая рубрика \u0026quot;Клуб электронных игр\u0026quot;, первый ее выпуск был в виде довольно неплохого научно-фантастического рассказа, который сопровождался программой для ПМК, позволявшей повторить самостоятельно все события рассказа. Программа называлась \u0026quot;Лунолет -1\u0026quot; и позволяла выполнить мягкую (или не очень) посадку на Луну управляя с помощью калькулятора небольшим космическим кораблем. Публикация произвела настоящий фурор, а \u0026quot;Клуб электронных игр\u0026quot; стал постоянной и одной из самых популярных рубрик журнала. Затем последовала научно-фантастическая эпопея \u0026quot;Путь к Земле (Кон-Тики)\u0026quot; где главные герои осуществляли перелет с Луны на Землю на небольшом неприспособленном к дальним космическим перелетам лунолете. К каждой главе рассказа прилагалась игровая программа для ПМК, позволявшая повторить все приключения героев. При этом сама эпопея даже сегодня представляет интерес к прочтению в качестве отдельного произведения. В те же времена таким образом компенсировалась низкая наглядность игр на ПМК, ведь следовать за героями произведения куда интереснее, чем просто приземлять случайный лунолет на небесное тело. Но данная рубрика не была бы столь популярной, если бы в ее работу не включились читатели. Именно благодаря им были созданы и опубликованы игры самых различных жанров: логические, научно-фантастические, экономические, пошаговые стратегии и даже динамические игры в реальном времени. Последние заслуживают особого внимания.\nНевысокая производительность ПМК (3-5 операций в секунду) приводила к тому, что когда калькулятор переключался в режим счета, то на экране начинали мерцать промежуточные результаты вычислений. В обычных программах и играх нужно было дождаться окончания вычислений, ознакомиться с результатами, ввести новые данные и повторить цикл вычислений сначала. В динамических играх наоборот, следовало прикрыть экран ладошкой и управлять на экране некоторым объектом в реальном времени, а для управления обычно использовался рычаг переключения Радианы - Грады - Градусы, который позволял вносить изменения, не прерывая выполнения программы.\nТакже для динамических игр часто использовались нестандартные графические образы, для создания которых широко использовались недокументированные возможности калькулятора.\nЕГГОГология В целях экономии разработчики калькулятора сильно упростили микрокод, особенно в части обработки ошибок, что привело к целому ряду нестандартных реакций калькулятора и возможности их использования в своих целях. Изучение нестандартных возможностей вылилось в отдельное направление любительских исследований и приобрело название ЕГГОГология.\nОно произошло от выводимого на экран сообщения ЕГГОГ, адаптированного для семисегментного индикатора слова ERROR. Данное сообщение выводилось как при ошибках, так и при превышении верхнего предела вычислений - 9.9999999 * 10^99. Но как оказалось, калькулятор вполне способен работать и с куда большими числами, вплоть до 10^999. Однако работа с ними имела свои специфические особенности.\nПри вычислениях сверхвысокие числа ничем не отличались от обычных, но вот их вывод на экран имел свои особенности, так числа с показателями степени от 100 до 199 выводили на экран сообщение ЕГГОГ, числа от 200 до 299 - ЗГГОГ, а порядки степени от 500 до 599 получили название \u0026quot;Тьма\u0026quot;, при их вызове экран гас, а калькулятор зависал. Другие числа могли перевести калькулятор в режим счета, модифицировали регистры и т.д. и т.п.\nЭти возможности широко использовались для получения нестандартных графических символов, которые нельзя было вывести на экран обычным способом, а также для нестандартных вычислений, которые применялись преимущественно в играх. Со временем все эти возможности были сведены в стройную систему и хорошо описаны, так что недокументированные возможности стали очень даже документированы.\nДругим направлением исследования стали недокументированные команды, которых не было в инструкции, но которые можно было вызвать с клавиатуры или по коду команды во время исполнения программы. Часть из них тут же вызывала сообщение об ошибке ЕГГОГ, а другая часть выполняла определенные действия, часто повторяя действие других аналогичных команд, но с другим результатом, например, обращение к модифицируемому регистру без изменения его содержимого.\nДанные о недокументированных возможностях широко освещались \u0026quot;Клубом электронных игр\u0026quot; Техники-Молодежи и скоро стали одним из самостоятельных направлений, которым занималось большое число читателей, находя все новые и новые возможности, которые тут же применялись в публикуемых играх. Таким образом программируемый калькулятор оказался не просто портативным вычислительным устройством, а целым миром, местами таинственным и неизведанным.\nЗаключение С высоты сегодняшнего дня многие вещи смотрятся банальными и примитивными, но в свое время программируемые калькуляторы второго и третьего поколений стали действительно культовой вещью, создав феномен ПМК. Из обычной вычислительной машины небольшой мощности и ограниченных возможностей ПМК превратился в массовый персональный мы хотели сказать компьютер, но не компьютер, но близкое по характеру применения устройство, которое широко использовалось как для работы, так и для развлечений, а также стало объектом глубоких исследований внутреннего устройства.\nПожалуй, больше нигде в мире ни один программируемый калькулятор не пользовался подобным успехом, а сам характер массового увлечения ПМК чем-то напоминает интерес к первым моделям ПК на Западе. Понятно, что истоки данного феномена лежали в массовом дефиците и недоступности вычислительной техники, но ПМК продолжали вызывать интерес, хоть уже и не такой массовый в 90-х и даже нулевых, когда дефицита вычислительной техники не наблюдалось.\nТакже существуют энтузиасты этого класса техники и сегодня, например, написан целый ряд эмуляторов, которые воспроизводят не только стандартные, но и недокументированные возможности устройств. Как бы то ни было - это часть нашей истории и для многих программируемый калькулятор стал первым шагом в вычислительную технику и обусловил дальнейший выбор профессии.\n","id":"82fee14274166c0afdf16127ea269686","link":"https://interface31.ru/post/istoriya-vychislitelnoy-tehniki-programmiruemye-kalkulyatory-sssr/","section":"post","tags":[],"title":"История вычислительной техники. Программируемые калькуляторы СССР"},{"body":"Важной частью инфраструктуры ЕГАИС является универсальный транспортный модуль (УТМ) через который идет все взаимодействие прикладного ПО с системой. С 1 июня 2021 года Росалкогольрегулирование требует обязательно перейти на УТМ 4.2.0, работа с более старыми версиями УТМ более невозможна. Несмотря на то, что версии УТМ под Linux давно существуют официальная документация обходит вопрос его установки и эксплуатации стороной. Поэтому будем устранять эту недоработку и поделимся собственным опытом, основанным на многолетней работе с УТМ именно на этой платформе.\nНачнем с грустного. У нас складывается впечатление, что в ФСРАР над ЕГАИС работают две совершенно разные команды, которые к тому же не знают о существовании друг друга. Чтобы получить дистрибутив УТМ официальным путем вам потребуется Windows и Internet Explorer, по другому попасть в личный кабинет ЕГАИС у вас не получится. Оттуда скачиваем актуальный пакет для платформы Linux, либо копируем ссылку, на текущий момент это УТМ 4.2.0 b2525 для Debian 7 / Debian 8 / Ubuntu 14.04 LTS. Пусть вас не смущают в описании пакета достаточно древние по меркам 2022 года дистрибутивы, УТМ прекрасно работает в актуальных версиях Linux, а по стабильности работы, по нашим собственным ощущениям, даже превосходит Windows-версию.\nПодготовка сервера К сожалению, УТМ для Linux продолжает существовать только в 32-разрядной версии, поэтому сразу включим поддержку мультиархитектуры (мы подразумеваем что вы используете 64-разрядный Linux):\n1dpkg --add-architecture i386 После чего обязательно обновим список пакетов:\n1apt update Затем установим необходимые зависимости и пакеты для работы с аппаратными ключами:\n1apt install libc6:i386 libncurses5:i386 libstdc++6:i386 pcscd acl libpcsclite1:i386 Для управления службами УТМ требуется пакет supervisor:\n1apt install supervisor И наконец библиотека libssl, которая реализует протоколы защищенного обмена данными TLS. В разных версиях дистрибутивов может присутствовать разная ее версия, поэтому для ее поиска рекомендуем воспользоваться ресурсами packages.debian.org и packages.ubuntu.com, задаете в поиске libssl и смотрите какая именно версия присутствует в вашем дистрибутиве.\nДля Debian 10 и Ubuntu 20.04 LTS это libssl1.1, установим его:\n1apt install libssl1.1:i386 Переход с УТМ 3.0.8 Если вы переходите на УТМ 4.2.0 с предыдущей версии УТМ 3.0.8, то все требуемые зависимости у вас установлены и никаких подготовительных работ проводить не надо. Но вам потребуется принять все документы из старой версии УТМ, чтобы во входящих и исходящих ничего не было и приостановить на время обновления продажи алкоголя.\nПосле этого удалим старый УТМ:\n1apt remove u-trans Но после его удаления останется директория /opt/utm с базой данных УТМ. На всякий случай сохраним ее в архив:\n1tar -czf /opt/utm.tgz /opt/utm А затем удалим рабочую директорию:\n1rm -rf /opt/utm Еще раз напомним, перед всеми операциями по обновлению УТМ завершите текущий документооборот и убедитесь, что в УТМ нет необработанных сообщений.\nУстановка УТМ 4.2.0 Некоторое время назад у разработчиков УТМ был публичный репозиторий, сейчас его нет, по крайней мере о нем ничего не известно. Поэтому единственный вариант установки УТМ на сегодняшний день - это скачать пакет с официального сайта. Ниже будет дана последовательность команд для актуального на данный момент релиза. Перед этим перейдем в домашнюю директорию.\n1cd ~ 2wget http://egais.ru/files/u-trans-4.2.0-2525-i386.deb После чего останется только установить скачанный пакет:\n1dpkg -i u-trans-4.2.0-2525-i386.deb Важно! Важно! Если к серверу не подключен аппаратный ключ, то УТМ будет установлен с поддержкой JaCarta и изменить этот выбор будет можно только удалением и повторной установкой пакета. Поэтому, если вы используете Рутокен, то ключ должен быть вставлен в ПК перед установкой пакета.\nДля проверки работы службы воспользуйтесь командой:\n1supervisorсtl status Обратите внимание, что в УТМ 4.2.0 вместо трех служб осталась одна, управлять ею можно при помощи команд:\n1supervisorсtl start | stop | restart | status utm Через некоторое время после запуска службы будет доступен веб-интерфейс, который использует порт 8080. По сравнению с предыдущей версией он получил значительно развитие и теперь это действительно полезный и удобный инструмент, в который перенесли многие возможности из личного кабинета. К наиболее востребованным можно отнести генерацию ключа доступа (перевыпуск RSA-сертификата) и повторный запрос документов ЕГАИС. Теперь для этого не нужно останавливать УТМ, извлекать ключ и идти искать Internet Explorer. Также добавлен раздел техподдержки, что тоже очень важно, все, кто работал с ЕГАИС знают как там обстояли дела с поддержкой. Теперь же все сосредоточено в одном месте. Мы пока не можем сказать как работает этот инструмент, но начинание однозначно хорошее. Обновление УТМ 4.2.0 Как уже было сказано выше, никаких репозиториев у четвертой версии УТМ нет и для обновления вам придется скачать и установить новую версию пакета вручную. Но если вы попытаетесь пойти привычным для пользователя Linux путем и установить новый пакет поверх старого, то вас ждет достаточно неприятный сюрприз. Программа не умеет обновлять собственную базу данных и увидев рабочий каталог предыдущей версии УТМ прекращает установку. Поэтому завершите весь документооборот ЕГАИС, чтобы в УТМ не осталось непринятых документов, также убедитесь, что получены все подтверждения и ответы на запросы. Розничную продажу алкоголя на время обновления следует прекратить.\nЗатем остановим УТМ:\n1supervisorсtl stop utm И переименуем рабочий каталог (напоминаем, в Linux за переименование и перемещение отвечает одна и та же команда:\n1mv /opt/utm /opt/utm_old Для актуальных версий нужно установить дополнительную зависимость, сам пакет этого не умеет:\n1apt install acl Удаляем старую версию пакета:\n1apt remove u-trans Теперь можем повторить процесс установки, все пройдет нормально (в нашем случае обновляем УТМ на выпуск 2525):\n1dpkg -i u-trans-4.2.0-2525-i386.deb После обновления вы можете столкнуться с тем, что на главной странице УТМ в разделе Основные параметры будет везде \u0026quot;Ошибка получения данных\u0026quot;. В этом случае перейдите в раздел Настройки (значок с шестерней справа вверху) и выполните обновление настроек УТМ, после чего компьютер рекомендуется перезагрузить. При этом следует отличать данную ситуацию от действительных ошибок работы УТМ, которые могут отражаться на главной странице, в последнем случае нужно будет заняться их анализом и исправлением.\nОшибка java.lang.OutOfMemoryError: Java heap space Внешним проявлением этой ошибки является невозможность отправить либо получить документы из УТМ ЕГАИС, текст ошибки может быть разным и зависит от конкретной прикладной программы. Вторым симптомом является зависание или полный отказ работы веб-интерфейса УТМ. Если проанализировать логи, например, файл /var/log/utm-trans.out.log то мы найдем там следующее сообщение:\n1java.lang.OutOfMemoryError: Java heap space Которое говорит о недостатке памяти для виртуальной машины Java. Все существующие материалы по этой ошибке относятся к Windows версии УТМ и не могут помочь в случае использования Linux, поэтому решение пришлось искать самостоятельно. Откроем файл /opt/utm/transport/bin/transport.sh и сразу после строки:\n1exec \u0026#34;$JAVACMD\u0026#34; $JAVA_OPTS \\ Добавим строку:\n1-Xmx1024M -Xms768M \\ Которая установит минимальный и максимальный размер выделяемой памяти как 768 МБ и 1024 МБ, данные рекомендации взяты нами из официальных рекомендаций Oracle и проверены на практике, разработчики УТМ рекомендуют устанавливать 500 МБ и 1000 МБ. При этом убедитесь, что в системе достаточно свободной оперативной памяти. После чего сохраните изменения в файле и перезапустите УТМ:\n1supervisorсtl restart utm При необходимости выделяемое количество памяти следует откорректировать.\nПересборка пакета УТМ При обновлении большого числа установленных транспортных модулей вы можете столкнуться с ситуацией, что вам придется заново вносить описанные выше изменения по выделению памяти, что безусловно, неудобно. Можно ли избежать дополнительной ручной работы? Конечно, можно, для этого внесем изменения прямо в deb-пакет. Выполнить описанные ниже действия можно на любой основанной на Debian системе, как с графической оболочкой, так и без.\nВ терминале перейдем в директорию со скачанным пакетом и распакуем его в папку u-trans:\n1dpkg -x u-trans-4.2.0-2525-i386.deb u-trans Создадим внутри дополнительную директорию DEBIAN и извлечем туда служебные данные пакета:\n1mkdir u-trans/DEBIAN 2dpkg -e u-trans-4.2.0-2525-i386.deb u-trans/DEBIAN Теперь откроем u-trans/opt/utm/transport/bin/transport.sh и внесем в него нужные изменения. Сохраняем изменения и заново собираем пакет:\n1dpkg -b u-trans u-trans-4.2.0-2525-mem-i386.deb В команде указываем директорию с распакованным пакетом и желаемое название файла. Советуем задать имя нового пакета отличным от исходного, чтобы впоследствии не было путаницы. Всё, теперь можем обновлять наш парк транспортных модулей сразу с необходимыми настройками УТМ.\nКак видим, установить новый УТМ 4.2.0 на платформе Linux достаточно несложно, а сам продукт серьезно развивается и предлагает множество новых функций и улучшений, будем надеяться, что все это будет работать так как задумано и существенно облегчит непростую работу с системой ЕГАИС.\n","id":"b09306cd45551e608dabd590a7532976","link":"https://interface31.ru/post/egais-ustanavlivaem-utm-420-na-debian-ubuntu/","section":"post","tags":["Debian","Ubuntu","Автоматизация","ЕГАИС"],"title":"ЕГАИС. Устанавливаем УТМ 4.2.0 на Debian (Ubuntu)"},{"body":"Веб-сервер Apache до сих пор остается достаточно популярным и де-факто является стандартом веб-сервера для платформы Linux, так или иначе большинство современных веб-приложений продолжают разрабатываться таким образом, чтобы работать на Apache из коробки, кроме того, сам веб-сервер имеет достаточно низкий порог входа и легко осваивается. В данной статье мы рассмотрим, как настроить полноценный веб-сервер на базе Apache с поддержкой PHP и MySQL (стек LAMP) c обязательным шифрованием на базе сертификатов Let's Encrypt.\nИ все-таки почему Apache? Потому что он имеет ряд преимуществ, которые выводят его на первую роль там, где не требуется высокой производительности, а требуется простота внедрения и освоения, а также устойчивость самого сервера к неквалифицированным действиям. Начнем с того, что именно по Apache можно найти самое большое количество материалов для начинающих, также на Apachе без лишних движений заработает практически любое веб-приложение.\nА способность использовать для настройки файлы .htaccess позволяет обеспечить устойчивость сервера от некорректных настроек со стороны пользователя. В случае ошибки перестанет работать только один сайт или его часть, сам веб-сервер останется работоспособен. Это также позволяет удобно привлекать третьих лиц для работы с сайтом, не давая им доступа к основной конфигурации веб-сервера.\nРабота Apache c PHP происходит как еще с одним модулем в едином адресном пространстве, это не требует дополнительной настройки и обеспечивает высокую производительность. Поэтому, вопреки распространенному мнению, производительность PHP в связке с Apache является наиболее высокой.\nВ целом можно сказать, что Apachе является крепким универсалом, да, он не самый быстрый, не самый экономичный, не самый самый. Но если вам нужен простой и универсальный веб-сервер - это про него.\nВ данной статье мы будем рассматривать установку стека LAMP в среде последних версий Debian и Ubuntu, они имеют небольшие различия по версиям используемого ПО, но при этом содержат актуальные версии, что позволит развернуть веб-сервер штатными средствами без подключения дополнительных репозиториев. Набор используемого ПО таков:\nDebian 12: Apache 2.4.57, PHP 8.2, MariaDB 10.11 LTS Ubuntu 22.04 LTS: Apache 2.4.52, PHP 8.1, MySQL 8.0 LTS Все команды, если не указано иного, следует выполнять с правами суперпользователя root или через sudo.\nВ качестве примера имени сайта мы будем использовать:\nsite.example www.site.example Их следует заменить на реальное доменное имя, которое вы будете использовать.\nУстановка Apache 2.4 и получение сертификатов Let's Encrypt Для установки веб-сервера Apache следует воспользоваться одной простой командой:\n1apt install apache2 Теперь если набрать в адресной строке браузера адрес веб-сервера, то вы увидите стандартную страницу-заглушку, это обозначает, что веб-сервер установлен и работает. Стандартная система расположения конфигурационных файлов в Debian или Ubuntu подразумевает, что конфигурационные файлы хранятся в директориях available с расширением conf, а для подключения их к текущей конфигурации веб-сервера для них создаются символические ссылки в директории enable, это делается автоматически, при помощи утилит Apache, но также допускается создавать такие ссылки вручную.\nСоздадим конфигурационный файл для нашего сайта и сразу откроем его на редактирование (если вы предпочитаете редактору nano редактор MC, то укажите в команде вместо nano mcedit):\n1nano /etc/apache2/sites-available/site.example.conf И внесем в него следующие строки:\n1\u0026lt;VirtualHost *:80\u0026gt; 2 ServerName site.example 3 ServerAdmin webmaster@site.example 4 ServerAlias www.site.example 5\u0026lt;/VirtualHost\u0026gt; Для нашей основной цели - получения сертификатов Let's Encrypt этого более чем достаточно.\nПодключим сайт:\n1a2ensite site.example Проверим конфигурацию и перезапустим веб-сервер:\n1apachectl -t 2systemctl reload apache2 Для получения сертификатов нам понадобится специальная утилита Certbot, ее актуальные версии распространяются только через Snap и если у вас была установлена версия из репозитория, то ее следует удалить и заодно подчистить ненужные более зависимости:\n1apt remove certbot 2apt autoremove Затем установим поддержку Snap (в Ubuntu поддержка Snap установлена по умолчанию):\n1apt install snapd После чего установим snap-версию Certbot:\n1snap install --classic certbot И сделаем символическую ссылку на бинарный файл утилиты:\n1ln -s /snap/bin/certbot /usr/bin/certbot Теперь можно приступить к получению сертификатов, мы будем использовать для этого специальный плагин для веб-сервера Apache, но не будем разрешать ему вносить изменения в конфигурационные файлы, ограничив режимом только получения сертификатов:\n1certbot certonly --apache Утилита проверит конфигурационные файлы веб-сервера и покажет вам все обслуживаемые домены, вам следует выбрать и указать номера тех, для которых вы хотите получить сертификаты. Если у вас на веб-сервере обслуживается несколько сайтов, то можете запустить утилиту несколько раз, чтобы получить отдельные сертификаты для каждого сайта. Если все прошло нормально и сертификаты получены, то перейдем к дальнейшей настройке веб-сервера для работы с шифрованием, прежде всего добавим файл конфигурации с общими для всего сервера настройками, которые будут применяться к любому HTTPS сайту:\n1nano /etc/apache2/conf-available/tls.conf И внесем в него следующие строки:\n1SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 2SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305 3SSLHonorCipherOrder off 4SSLSessionTickets off 5 6SSLUseStapling On 7SSLStaplingCache \u0026#34;shmcb:logs/ssl_stapling(32768)\u0026#34; Настройка TLS-защиты задача не простая, поэтому мы советуем использовать для получения адекватных настроек moz://a SSL Configuration Generator, также рекомендуем время от времени проверять сайт на наличие обновленных настроек.\nКоротко пройдемся по указанным выше строкам. Первая отключает устаревшие протоколы шифрования, оставляя только TLS v1.2 и TLS v1.3, вторая определяет набор используемых шифров, шифры перечислены в порядке их предпочтения и клиент согласовывает с сервером самый стойкий из поддерживаемых шифров.\nОпция SSLHonorCipherOrder off определяет, что приоритет в выборе шифра отдается клиенту, т.е. именно клиент выбирает из предложенных шифров тот, с которым он будет работать. Опция SSLSessionTickets off отключает сессионные билеты SSL, что нужно для работы совершенной прямой секретности.\nНижний блок включает OCSP Stapling, который ускоряет проверку браузером сертификата сайта и благоприятно сказывается на скорости работы сайта.\nСохраним данную конфигурацию и подключим ее:\n1a2enconf tls Теперь вернемся к конфигурации сайта и продолжим ее настройку. Прежде всего настроим редиректы. Нам нужно направить весь незащищенный трафик HTTP на HTTPS-версию сайта, а также все запросы с www, на версию без www.\nСразу коснемся вопроса, а почему не продолжить использовать опцию ServerAlias, как мы это сделали выше, при получении сертификата? Да, можно, но в этом случае у нас будет как-бы два сайта, один с www, второй без, что негативно сказывается на его ранжировании поисковыми системами. Поэтому лучше иметь одну версию сайта, в нашем случае без www и перенаправлять на нее все запросы с www.\nНу и второй по популярности вопрос, а зачем вообще нужен www? По большому счету не нужен, это пережиток старины, но многие пользователи все еще могут набрать адрес сайта вместе с www, чтобы не терять таких пользователей мы будем обслуживать и этот поддомен.\nПервую секцию в конфигурационном файле приводим к виду:\n1\u0026lt;VirtualHost *:80\u0026gt; 2 ServerName site.example 3 ServerAdmin webmaster@site.example 4 5 RewriteEngine On 6 RewriteCond %{HTTPS} off 7 RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] 8\u0026lt;/VirtualHost\u0026gt; Она будет перенаправлять все запросы с HTTP на HTTPS версию сайта.\nНиже добавим вторую секцию:\n1\u0026lt;VirtualHost *:80\u0026gt; 2ServerName www.site.example 3ServerAdmin webmaster@site.example 4 5RewriteEngine On 6RewriteCond %{HTTP_HOST} ^www\\.(.*)$ [NC] 7RewriteRule ^(.*)$ https://%1/$1 [L,R=301] 8\u0026lt;/VirtualHost\u0026gt; Которая будет переадресовывать запросы с www на защищенную версию сайта без www, а за ней еще один блок, только уже для перенаправления www защищенной версии сайта на версию без www.\n1\u0026lt;VirtualHost *:443\u0026gt; 2ServerName www.site.example 3ServerAdmin webmaster@site.example 4 5RewriteEngine On 6RewriteCond %{HTTP_HOST} ^www\\.(.*)$ [NC] 7RewriteRule ^(.*)$ https://%1/$1 [L,R=301] 8\u0026lt;/VirtualHost\u0026gt; После чего добавим основную секцию, которая будет отвечать за работу нашего сайта:\n1\u0026lt;VirtualHost *:443\u0026gt; 2ServerName site.example 3ServerAdmin webmaster@site.example 4 5SSLEngine on 6 7SSLCertificateFile /etc/letsencrypt/live/site.example/cert.pem 8SSLCertificateKeyFile /etc/letsencrypt/live/site.example/privkey.pem 9 10Protocols h2 http/1.1 11Header always set Strict-Transport-Security \u0026#34;max-age=63072000\u0026#34; 12 13DocumentRoot /var/www/site.example 14 15CustomLog ${APACHE_LOG_DIR}/site.example.access.log combined 16ErrorLog ${APACHE_LOG_DIR}/site.example.error.log 17 18\u0026lt;Directory /var/www/site.example\u0026gt; 19 AllowOverride All 20\u0026lt;/Directory\u0026gt; 21\u0026lt;/VirtualHost\u0026gt; Опция SSLEngine on включает поддержку шифрования, ниже идут пути к сертификатам, обратите внимание, что Let's Encrypt хранит их в /etc/letsencrypt/live в директориях с именем домена, если сертификат выпущен на несколько доменов, то используется указанное первым имя. Затем в опции Protocols перечисляются поддерживаемые протоколы в порядке убывания приоритета, в нашем случае приоритетным является HTTP 2.\nЗаголовок Strict-Transport-Security препятствует атакам на понижение безопасности, если браузер успешно соединился с таким сайтом через HTTPS, то он в течении времени указанного в заголовке (1 год) не будет даже пытаться установить незащищенное соединение, даже если HTTP-версия сайта доступна. Рекомендуется закомментировать данную опцию на время настройки и отладки сайта.\nDocumentRoot определяет корневую директорию сайта.\nНиже указаны пути к логам, правилом хорошего тона является включать имя сайта в имя файла лога.\nСекция Directory с указанием директории сайта позволяет задать опции применяемые непосредственно к каталогу, сегодня достаточно одной - AllowOverride All, которая разрешает использование любых конфигурационных директив в файлах .htaccess.\nСохраняем файл конфигурации, затем подключим нужные модули:\n1a2enmod headers rewrite ssl Затем создадим директорию сайта\n1mkdir /var/www/site.example В ней создадим индексный файл и откроем его на редактирование:\n1nano /var/www/site.example И внесем в него следующий текст:\n1\u0026lt;body\u0026gt;\u0026lt;h1\u0026gt;OK!\u0026lt;/h1\u0026gt;\u0026lt;/body\u0026gt; Сделаем владельцем файлов и директории веб-сервер:\n1chown -R www-data:www-data /var/www/site.example Теперь проверим конфигурацию на ошибки и перезапустим веб-сервер:\n1apachectl -t 2systemctl reload apache2 Если все сделано правильно, то теперь, при обращении к сайту вы сразу попадете на его защищенную версию с действительным сертификатом Let's Encrypt. Как можно увидеть, для подключения применяется самый современный протокол TLS 1.3, шифр AES_128_GCM и совершенная прямая секретность на эллиптической кривой X25519.\nНастройка сайта по умолчанию для блокирования несуществующих доменов Использование TLS-шифрования имеет одну особенность: если мы обратимся к веб-серверу по IP-адресу или по доменному имени, которое указывает на веб-сервер, но не обслуживается им (или не имеет HTTPS-версии), то будет показан сайт, сертификат которого указан первым в конфигурации веб-сервера.\nТакое поведение может быть нежелательным, так как позволяет раскрыть обслуживаемый сайт просто обратившись по имени или ввести пользователя в заблуждение. Поэтому настроим сайт по умолчанию, который будет блокировать все запросы к несуществующим доменам как в HTTP, так и в HTTPS версиях.\nДля HTTPS нам понадобится сертификат, можно использовать любой существующий, но это позволит раскрыть реальный обслуживаемый сайт, поэтому выпустим для этих целей самоподписанный сроком на 10 лет:\n1openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/apache2/apache.key -out /etc/apache2/apache.crt Затем заменим содержимое файла /etc/apache2/sites-available/000-default.conf следующим содержимым:\n1\u0026lt;VirtualHost *:80\u0026gt; 2ServerName _default_ 3RewriteEngine On 4RewriteRule ^ - [F] 5\u0026lt;/VirtualHost\u0026gt; 6 7\u0026lt;VirtualHost *:443\u0026gt; 8ServerName _default_ 9SSLEngine on 10SSLCertificateFile /etc/apache2/apache.crt 11SSLCertificateKeyFile /etc/apache2/apache.key 12RewriteEngine On 13RewriteRule ^ - [F] 14\u0026lt;/VirtualHost\u0026gt; Опция ServerName _default_ используется для перехвата любого запроса, который не обслуживается ни одним существующим виртуальным хостом, а RewriteRule ^ - [F] возвращает код состояния HTTP 403 (Forbidden).\nСнова проверяем конфигурацию и перезапускаем службу веб-сервера:\n1apachectl -t 2systemctl reload apache2 Если попробовать теперь обратиться к серверу по IP-адресу, то увидим: Следует отметить, что данная настройка не является обязательной и ее следует применять по необходимости.\nУстановка и настройка PHP Для работы с динамическим содержимым нам потребуется поддержка PHP, скриптового языка, на котором написано большинство современных систем управления контентом (CMS), также называемых движками сайтов. Apache использует PHP в режиме модуля веб-сервера и никаких особых настроек нам не потребуется, достаточно просто установить PHP командой:\n1 apt install php Но не будем спешить и сразу изменим некоторые настройки, откроем /etc/php/x.x/apache2/php.ini, где x.x текущая установленная версия PHP, в Debian 12 это 8.2, в Ubuntu 22.04 - 8.1, и приведем к следующему виду следующие опции:\n1post_max_size = 32M 2upload_max_filesize = 30M Первая из них определяет максимальный размер передаваемого на сервер пакета данных, а вторая - максимальный размер загружаемого файла.\nПосле чего перезапустим веб-сервер:\n1systemctl reload apache2 Для проверки создадим в корневой директории веб-сервера файл:\n1nano /var/www/site.examlpe/info.php И внесем в него следующий текст:\n1\u0026lt;?php 2phpinfo(); 3?\u0026gt; Если теперь в адресной строке браузера набрать site.example/info.php то увидим стандартную страницу с информацией о PHP, его настройках и установленных модулях. Для расширения возможностей PHP используются модули, скажем, для работы с графикой может потребоваться модуль GD или ImageMagick, для модулей используют следующий шаблон имен пакетов: php-\u0026lt;имя модуля\u0026gt;, например:\n1apt install php-gd php-imagick Необходимые модули и их имена вы можете узнать из документации к используемому веб-приложению.\nУстановка MySQL / MariaDB Сервер баз данных третий неотъемлемый компонент классического веб-сервера и один из первых по важности, так как именно в базе данных хранится основная пользовательская информация сайта. В современных версиях Debian и Ubuntu используются разные варианты СУБД: MariaDB и MySQL, которые являются совместимыми и принципиально разницы какую из них использовать нет, тем более что в репозиториях содержатся последние LTS-версии обоих СУБД. Поэтому будем устанавливать версии из репозитория, что упростит дальнейшую поддержку и обслуживание сервера.\nДля Debian это будет команда:\n1apt install mariadb-server А для Ubuntu:\n1apt install mysql-server В дальнейшем в обоих системах для управления можно использовать один и тот же набор команд:\n1systemctl start | stop | restart | status mysql Вне зависимости от того, какую именно версию СУБД вы используете. После установки сервера баз данных следует выполнить скрипт, который выполнит рекомендуемые настройки безопасности установленного экземпляра сервера:\n1mysql_secure_installation В нем положительно отвечаем на все вопросы, кроме смены пароля суперпользователя СУБД root, в текущем режиме установки учетная запись root не имеет пароля и поддерживает вход исключительно через UNIX-сокет, поэтому не следует ее включать.\nЗатем установим модуль PHP для работы с MySQL / MariaDB:\n1apt install php-mysql Теперь выполним некоторые настройки самого сервера СУБД, сначала поднимем собственные права до суперпользователя, в Debian выполните команду:\n1su - В Ubuntu:\n1sudo -s После чего перейдем в командную строку MySQL в режиме суперпользователя:\n1mysql -u root В первую очередь создадим пользователей СУБД и разрешим им вход по паролю:\n1CREATE USER \u0026#39;andrey\u0026#39;@\u0026#39;localhost\u0026#39; IDENTIFIED BY \u0026#39;Pa$$word_1\u0026#39;; После чего отберем у него права на чужие базы:\n1GRANT USAGE ON *.* TO \u0026#39;andrey\u0026#39;@\u0026#39;localhost\u0026#39;; А затем выдадим полные права на все базы с шаблоном имени andrey_\u0026lt;имя базы\u0026gt;, что позволит автоматически устанавливать права просто создав базу с нужным именем.\n1GRANT ALL PRIVILEGES ON `andrey\\_%`.* TO \u0026#39;andrey\u0026#39;@\u0026#39;localhost\u0026#39;; Обратите внимание, что шаблон оборачивается символами грависа (`) , который находится на клавише с русской буквой Ё.\nПерезагрузим привилегии:\n1FLUSH PRIVILEGES; И выйдем из консоли MySQL:\n1QUIT; На этом настройка сервера СУБД закончена.\nУстановка phpMyAdmin phpMyAdmin - удобное веб-приложение для управления СУБД MySQL / MariaDB и, по сути, стандарт де-факто среди таких приложений, его использование для повседневной работы с СУБД повышает общее удобство, по сравнению с консолью и поэтому мы не видим причин отказывать от его использования.\nДля его установки используйте команду:\n1apt install phpmyadmin Приложение начинает работать сразу после установки и для его использования достаточно набрать в адресной строке браузера site.example/phpmyadmin: Однако держать приложение в открытом доступе явно не стоит, так как phpMyAdmin представляет также лакомую цель для злоумышленников, поэтому закроем к нему доступ дополнительной парольной защитой. Прежде всего создадим пользователя и зададим ему пароль, если вы делаете это первый раз, то используйте в команде ключ -c, который создаст файл паролей или перезапишет существующий:\n1htpasswd -c /etc/apache2/passwd ivanov Для следующего пользователя следует использовать просто:\n1htpasswd /etc/apache2/passwd petrov Теперь откроем конфигурационный файл phpMyAdmin для Apache /etc/apache2/conf-available/phpmyadmin.conf и в секцию \u0026lt;Directory /usr/share/phpmyadmin\u0026gt; добавим следующий блок:\n1AuthType Basic 2 AuthName \u0026#34;Restricted Access\u0026#34; 3 AuthUserFile /etc/apache2/passwd 4 Require valid-user Который разрешает доступ к указанной директории любому пользователю, прошедшему проверку. Если нужно ограничить доступ конкретным пользователям, то измените последнюю строку на:\n1Require user ivanov Если пользователей несколько, то указываем их через пробел.\nОтдельного упоминания следует использование Basic-аутентификации, ее особенностью является передача учетных данных в открытом виде, но в данном случае это не имеет значения, так как Apache у нас настроен исключительно на работу по HTTPS, где все передаваемые между клиентом и сервером данные защищены надежным шифрованием.\nНа этом настройка веб-сервера на базе Apache + PHP + MySQL с сертификатами Let's Encrypt закончена.\n","id":"fac4f03315ae83128b5d9d27190af8bb","link":"https://interface31.ru/post/nastraivaem-veb-server-apache-php-mysql-s-sertifikatami-lets-encrypt/","section":"post","tags":["Apache","Debian","Let's Encrypt","MySQL","PHP","phpMyAdmin","SSL","Ubuntu Server","Web-сервер","Безопасность","Сайт"],"title":"Настраиваем веб-сервер Apache + PHP + MySQL с сертификатами Let's Encrypt"},{"body":"Запуск нескольких экземпляров сервера на одном компьютере является штатной возможностью сервера 1С:Предприятие и позволяет использовать несколько платформ одновременно или разделить сервера на рабочие и тестовые. Важным обстоятельством является то, что все запущенные экземпляры используют единственную серверную лицензию, что позволяет серьезно экономить денежные средства при наличии вычислительных возможностей. Процесс установки дополнительных экземпляров сервера 1С:Предприятие на платформе Linux в целом несложен, однако официальная документация скупа и обрывочна, поэтому исправим данный пробел.\nПринцип работы нескольких экземпляров сервера 1С:Предприятие на одном компьютере прост - нам нужно разнести рабочие порты каждого экземпляра. Таким образом мы можем запустить неограниченное количество серверов 1С:Предприятие, ограничением станут только вычислительные ресурсы.\nВ своей работе сервер 1С:Предприятие использует следующие порты:\nTCP 1540 - агент сервера TCP 1541 - менеджеру кластера TCP 1560-1591 - рабочие процессы Когда мы указываем подключение к кластеру серверов 1С:Предприятие, то программа обращается к менеджеру кластера и это единственный порт, который нужно будет явно указать при изменении рабочих портов. В мире 1С укоренилась практика для каждого нового экземпляра менять первую цифру для набора портов, т.е. для второго экземпляра используем 2540, 2541, 2560-2591 и т.д., хотя никто не мешает указать вам произвольные значения.\nВсе экземпляры, по умолчанию, работают от пользователя usr1cv8, который является членом группы grp1cv8, но некоторых случаях вам может потребоваться запустить платформу от иного пользователя и ниже мы расскажем, как это сделать, но это действие не обязательное, и вы можете его пропустить.\nВсе команды ниже, если не указано иного, выполняются от имени суперпользователя или через sudo.\nСоздание нового пользователя для экземпляра сервера 1С:Предприятие (опционально) Для создания нового пользователя для пользователя вашего экземпляра севера 1С:Предприятие следует прежде всего выбрать его имя, правилом хорошего тона будет образовывать его от стандартного с отсылкой к используемому диапазону портов, например, usr1cv8-2х, для этого используем команду:\n1useradd -g grp1cv8 -G grp1cv8 -m -c \u0026#34;1C Enterprise 8 server 2x launcher\u0026#34; -r usr1cv8-2x При этом наш новый пользователь остается членом уже существующей группы grp1cv8, это нужно для того, чтобы он имел доступ к общим ресурсам сервера, например, файлам лицензий. Также будет создана домашняя директория пользователя в стандартном расположение. Пользователь создан, никаких дополнительных действий не требуется.\nУстановка дополнительного экземпляра сервера 1С:Предприятие Для установки дополнительного экземпляра сервера мы будем использовать единый дистрибутив, будем считать, что он распакован в текущей директории, более подробно о работе с единым дистрибутивом можно прочитать в нашей статье:\nРекомендуем к прочтению Единый дистрибутив 1С:Предприятие для Linux. Установка сервера Для установки экземпляра воспользуйтесь командой:\n1./setup-full-8.3.22.2283-x86_64.run --mode unattended --enable-components server Из состава компонент нами выбран только сервер, если вы используете публикацию на веб-сервере, то имейте ввиду, что одновременно могут работать только публикации на одной версии платформы, опубликовать базы на нескольких версиях не получится и, вообще, мы советуем выносить веб-публикации на отдельные узлы или виртуальные машины.\nПосле установки платформы зарегистрируем шаблон юнита systemd и перечитаем их список:\n1systemctl link /opt/1cv8/x86_64/8.3.22.2283/srv1cv8-8.3.22.2283@.service 2systemctl daemon-reload Теперь внесем необходимые изменения в наш экземпляр юнита, для этого воспользуемся штатной для systemd возможностью drop-in, обратите внимание, что после знака @ мы указали имя нашего экземпляра юнита - 2x:\n1systemctl edit srv1cv8-8.3.22.2283@2x.service Откроется окно стандартного текстового редактора, куда внесите следующие строки, их смысл понятен без комментариев:\n1[Service] 2Environment=SRV1CV8_DATA=/home/usr1cv8/.1cv8/1C/1cv8_2x 3Environment=SRV1CV8_PORT=2540 4Environment=SRV1CV8_REGPORT=2541 5Environment=SRV1CV8_RANGE=2560:2591 Если вы используете отдельного пользователя, то измените строку:\n1Environment=SRV1CV8_DATA=/home/usr1cv8-2х/.1cv8/1C/1cv8_2x И добавьте:\n1User=usr1cv8-2x Сохраните внесенные изменения. Имя файла назначения менять не следует.\nТеперь создадим каталог для кластера серверов указанный в файле конфигурации, путь следует откорректировать согласно домашнего каталога вашего пользователя:\n1mkdir -p /home/usr1cv8/.1cv8/1C/1cv8_2x И установим права для нужного пользователя:\n1chown -R usr1cv8:grp1cv8 /home/usr1cv8/ После чего пробуем запустить наш экземпляр службы:\n1systemctl start srv1cv8-8.3.22.2283@2x Затем проверяем ее статус:\n1systemctl status srv1cv8-8.3.22.2283@2x Если все прошло нормально, то мы должны увидеть примерно следующее: Убедиться, что все службы запущены на целевых портах можно командой, где 25 - первые две цифры выбранного набора портов:\n1ss -tpln | grep 25 Где вы должны обнаружить все три запущенные службы, каждая со своим портом из диапазона 2x: Все что нам осталось - добавить службу в автозагрузку:\n1systemctl enable srv1cv8-8.3.22.2283@2x При создании и подключении информационных баз используйте имя сервера с явным указанием порта менеджера кластера 2541: На этом установка дополнительного экземпляра сервера 1С:Предприяти на платформе Linux завершена.\n","id":"70ec961a38ade130fb4cbe7107c57bdd","link":"https://interface31.ru/post/ustanovka-i-zapusk-neskolkih-ekzemplyarov-servera-1spredpriyatie-na-odnom-kompyutere-platforma-linux/","section":"post","tags":["1С Предприятие 8.х","Debian","Linux","Ubuntu","Ubuntu Server","Развертывание"],"title":"Установка и запуск нескольких экземпляров сервера 1С:Предприятие на одном компьютере. Платформа Linux"},{"body":"Не так давно мы рассматривали KDE Neon - дистрибутив от разработчиков KDE, которые предлагают пользователю интересное сочетание плавающих релизов KDE Plasma на базе стабильной платформы Ubuntu LTS, поэтому мы не могли пройти мимо другого аналогичного дистрибутива - Netrunner. Их объединяет то, что также как и Neon, Netrunner находится под крылом Blue Systems GmbH - крупного спонсора KDE и бывшего главного спонсора Kubuntu. Но впоследствии их пути разошлись и текущие выпуски Netrunner основаны на Debian. Нам же данный дистрибутив интересен как взгляд на то, как должна выглядеть KDE-система со стороны одного из главных спонсоров проекта.\nПеред тем как читать данную статью мы рекомендуем ознакомиться с другим нашим материалом:\nРекомендуем к прочтению KDE Neon - всегда свежая Plasma на стабильной основе В основе актуальной версии Netrunner 23 лежит Debian 11, версия не самая свежая, но стабильная и надежная. При этом надо понимать, что производные дистрибутивы всегда будут опаздывать от базового на какое-то время, а переход на Debian 12 и вовсе может подзатянуться, так как релиз был выпущен с большим количеством ошибок, которые признавали сами разработчики.\nНу да это не беда, сама платформа Debian 11 стабильна, а привести ее в современный вид вполне реально и возможно. Поэтому давайте посмотрим как справились с этой задачей разработчики.\nДистрибутив распространяется в виде Live-images, что позволяет проверить совместимость с оборудованием еще для начала установки, а в качестве инсталлятора используется Calamares - современный и простой установщик, используемый во многих дистрибутивах. По умолчанию предлагается разметка в виде единого раздела ext4 с файлом подкачки на нем: В остальном каких-либо особенностей процесс установки не содержит, сама установка не занимает много времени, а пока система устанавливается на ваш компьютер вы можете откинуться на спинку стула и посмотреть слайды: После перезагрузки нас встречает рабочий стол KDE Plasma тема оформления которого чем-то перекликается с темной темой Windows 10. Следует сказать, что графической составляющей тут уделено особое внимание, тема хорошо проработана и выглядит достойно, также уделено внимание мелочам, например, увеличены элементы управления окном. Стартовое меню выполнено в нетипичном для KDE полноэкранном режиме, но достаточно удобно в работе: На панели задач размещены ярлыки быстрого доступа файлового менеджера и браузера слева, а справа - терминала и средства снятия скриншотов. На первый взгляд странный выбор, но по факту снимки экрана тоже весьма часто требуются в повседневной деятельности. Так что, на наш взгляд, выбор вполне оптимальный. В качестве терминала используется Yakuake - выпадающий терминал, входящий в число приложений KDE. Для управления используется стандартная панель Параметры системы KDE и настроить тут можно если не все, то очень многое, ну да KDE всегда славился обилием настроек. А вот версии софта нас совсем не порадовали, версия KDE соответствует версии Debian и далеки от современных, но записать это в минусы сложно, откровенно устаревшей система не является. Система из коробки насыщена приложениями, кроме привычного набора очень много мультимедийного софта и редакторов: VLC, GIMP, Krita, HandBrake, Inkscape, Kdenline и т.д. На первый взгляд набор неплохой, но только вот версии установленного ПО откровенно удручают, все они из стандартного репозитория Debian: И если для офисного пакета это не столь критично, то для мультимедийных или интернет приложений, таких как мессенджеры, это близко к полной катастрофе. В чем можно убедиться открыв стандартный для KDE магазин приложений Discover, который может предложить нам только очень старый Telegram из репозитория. Источники пакетов только подтверждают наши догадки - с современным софтом здесь туго, зато есть Steam, если вы желаете поиграть: Никаких современных средств распространения ПО, как Snap или Flatpak в системе нет, что выглядит непонятным и необъяснимым, особенно учитывая набор программ идущий из коробки. С другой стороны прикрутить поддержку Snap и Flatpak в Discover довольно несложно, можно даже обойтись и без консоли. Но только вот это совсем не то, что ожидаешь от дистрибутива продвигаемого одним из крупных спонсоров KDE.\nВ остальном все также достаточно продумано и удобно. Нормальная поддержка SMB из коробки: Нет никаких проблем с современными форматами мультимедиа и флешками большого размера: И вроде бы все хорошо, но что-то все равно не так...\nВыводы Мы долго не могли подобрать ассоциацию, которая наиболее полно и коротко отразила бы наши впечатления от Netrunner 23, но в итоге пришли к манной каше - вроде бы и достаточно вкусно, и полезно, но только вот почему-то не хочется. И слюноотделения не вызывает, в отличии от того же шашлычка на углях.\nС одной стороны перед нами стабильная, удобная и хорошо работающая система на базе Debian, с другой - перед нами все тот же Debian, донельзя консервативный в отношении используемых версий ПО. Поэтому, при использовании Netrunner 23 в качестве настольной ОС пользователь первым делом будет озадачен подключением дополнительных источников, типа Flatpak, и постепенной заменой родного ПО более современными версиями. А это можно сделать сразу и на Debian, причем и версию взять посвежее.\nЧто остается в сухом остатке? Тема оформления? Так и Plasma из коробки имеет сейчас вполне приличный вид, а кастомизацией всегда можно заняться позже.\nНа наш взгляд, для Netrunner более подходил выпуск Core, который поставлялся с минимальным набором ПО и позволял гибко настроить систему под себя, но от его поддержки отказались, последняя версия Core - 20, основана на Debian 10 и безнадежно устарела.\nВ итоге мы получили дистрибутив который вызывает больше вопросов, чем ответов. Мы затрудняемся придумать, для чего именно его следует предпочесть чистому Debian, ну разве что вы фанат именно этого дистрибутива.\n","id":"6e1c7c372309d965ef7430916960445c","link":"https://interface31.ru/post/netrunner-23-mannaya-kasha-so-vkusom-kde/","section":"post","tags":["Debian","KDE","Netrunner"],"title":"Netrunner 23 - манная каша со вкусом KDE"},{"body":"Лицензия на сервер 1С:Предприятие позволяет запускать на одном компьютере неограниченное количество экземпляров сервера что может быть полезным, если вам нужно одновременно иметь несколько различных версий платформы или просто разделить сервера, например, на разработку и рабочий. Процесс это не сложный, описан в официальной документации, но имеет некоторые свои тонкости, которые мы рассмотрим в данной статье. Также добавим некоторую дополнительную информацию, которая может вам пригодиться.\nПринцип работы нескольких экземпляров сервера 1С:Предприятие на одном компьютере прост - нам нужно разнести рабочие порты каждого экземпляра. Таким образом мы можем запустить неограниченное количество серверов 1С:Предприятие, ограничением станут только вычислительные ресурсы.\nВ своей работе сервер 1С:Предприятие использует следующие порты:\nTCP 1540 - агент сервера TCP 1541 - менеджеру кластера TCP 1560-1591 - рабочие процессы Когда мы указываем подключение к кластеру серверов 1С:Предприятие, то программа обращается к менеджеру кластера и это единственный порт, который нужно будет явно указать при изменении рабочих портов. В мире 1С укоренилась практика для каждого нового экземпляра менять первую цифру для набора портов, т.е. для второго экземпляра используем 2540, 2541, 2560-2591 и т.д., хотя никто не мешает указать вам произвольные значения.\nВсе запущенные экземпляры могут работать от одного пользователя, по умолчанию это USR1CV8, но в некоторых случаях вам может понадобиться запускать разные экземпляры платформ от разных пользователей, поэтому мы дополнительно рассмотрим создание нового пользователя для сервера 1С:Предприятие, но это необязательное действие и вы можете его пропустить.\nСоздание нового пользователя для экземпляра сервера 1С:Предприятие (опционально) Итак, если вам понадобился новый пользователь для вашего экземпляра сервера 1С:Предприятие, то просто создаем нового локального пользователя через стандартную оснастку, правилом хорошего тона будет задать ему имя основанное на USR1CV8, например, USR1CV8-2х, где 2x указывает на используемый диапазон портов. Запрещаем пользователю менять пароль и делаем срок его действия неограниченным. Делаем нового пользователя членом групп Пользователи и Пользователи журналов производительности: Затем откроем оснастку Локальные политики безопасности (secpol.msc) и перейдем в ветку Параметры безопасности - Локальные политики - Назначение прав пользователя, здесь нам следует добавить нового пользователя во все политики, где есть оригинальный USR1CV8. На момент написания статьи таких политик было четыре:\nВход в качестве пакетного задания Вход в качестве службы Запретить локальный вход Отказать в доступе к этому компьютеру из сети На этом создание пользователя закончено\nУстановка дополнительного экземпляра сервера 1С:Предприятие Для установки используем стандартную поставку технологической платформы для Windows, в списке компонентов обязательно выбираем Сервер 1С:Предприятия и Администрирование сервера 1С:Предприятия, если вам нужна оснастка управления сервером. Следующий шаг очень важен, обязательно снимаем флаг Установить север 1С:Предприятие как сервис Windows, в противном случае программа установки обновит текущий экземпляр сервиса. Далее продолжаем установку обычным способом, в данном случае мы установили новый сервер как приложение и теперь нам надо зарегистрировать его как службу. Для этого воспользуемся скриптом, опубликованным в официальной документации, только немного изменим его:\n1@echo off 2rem %1 - полный номер версии 1С:Предприятия 3rem %2 - первые две цифры номеров портов. Для портов 1540,1541,1560:1591 - это цифра 15 4rem %3 - каталог с данными реестра кластера 5chcp 1251 6set SrvUserName=\u0026#34;SRV-1C\\USR1CV8-2x\u0026#34; 7set SrvUserPwd=\u0026#34;Pa$$word_1\u0026#34; 8set RangePort=%260:%291 9set BasePort=%241 10set CtrlPort=%240 11set SrvcName=\u0026#34;1C:Enterprise 8.3 Server Agent %CtrlPort% %1\u0026#34; 12set BinPath=\u0026#34;\\\u0026#34;C:\\Program Files\\1cv8\\%1\\bin\\ragent.exe\\\u0026#34; /srvc /agent /regport %BasePort% /port %CtrlPort% /range %RangePort% /d \\\u0026#34;%~3\\\u0026#34; /debug\u0026#34; 13set Desctiption=\u0026#34;Агент сервера 1С:Предприятия 8.3. Параметры: %1, %CtrlPort%, %BasePort%, %RangePort%\u0026#34; 14if not exist \u0026#34;%~3\u0026#34; mkdir \u0026#34;%~3\u0026#34; 15sc stop %SrvcName% 16sc delete %SrvcName% 17sc create %SrvcName% binPath= %BinPath% start= auto obj= %SrvUserName% password= %SrvUserPwd% displayname= %Desctiption% depend= Dnscache/Tcpip/lanmanworkstation/lanmanserver Теперь об отличиях от оригинального скрипта. Прежде всего нужно правильно установить кодовую страницу 1251, чего нет в исходном скрипте, если этого не сделать, то описание вашего экземпляра сервера будет выглядеть очень \u0026quot;креативно\u0026quot;, хотя на работоспособность это не влияет. Во-вторых, убрали из зависимостей протокол TCP/IP v6, не знаем, чем руководствовались составители документации на ИТС, но в установленных по умолчанию экземплярах Windows Server 2016 - 2022 добавление этой зависимости приводило к ошибке и невозможности запуска экземпляра сервера,\nИ еще одна тонкость, имя пользователя надо указывать в формате SRV-1C\\USR1CV8-2x, где SRV-1C - имя текущего узла. В противном случае вы столкнетесь с ошибкой, что указанный пользователь не существует или использует неверный пароль. Запуск скрипта следует осуществлять с правами администратора, мы сохранили его с рекомендованным 1С именем register-service.bat.\nВ качестве параметров передаем скрипту полный номер используемой версии платформы, первые две цифры для нового набора портов, например, 25 для 2540, 2541 и 2560-2591 и путь к рабочему каталогу кластера, если каталог не существует, то он будет создан. По умолчанию рабочим каталогом является C:\\Program Files\\1cv8\\srvinfo.\nПоэтому в нашем случае команда регистрации службы нового экземпляра будет выглядеть так:\n1register-service.bat 8.3.22.2239 25 \u0026#34;C:\\Program Files\\1cv8\\srvinfo2x\u0026#34; Обратите внимание, что если путь к рабочему каталогу содержит пробелы, как в нашем случае, то его нужно обернуть в кавычки. В результате вы получите примерно следующий вывод: На ошибки 1060 можете не обращать внимание, скрипт пытается остановить и удалить уже существующий экземпляр с таким же именем, не проверяя существование службы и при ее отсутствии мы получаем такую ошибку. Главное, что последней строкой должно идти CreateService: успех.\nНо не будем спешить идти запускать службу, перед этим нам необходимо выдать указанному при регистрации пользователю полные права на указанную рабочую директорию, в нашем случае это C:\\Program Files\\1cv8\\srvinfo2x. После чего переходим в оснастку Службы, находим созданный экземпляр и запускаем его. Для обращения к конкретному экземпляру сервера 1С:Предприятие используем его имя с явным указанием порта менеджера кластера, т.е. 2541. На этом установка отдельного экземпляра сервера 1С:Предприятие закончена.\nУдаление дополнительного экземпляра сервера 1С:Предприятие Перед удалением дополнительного экземпляра сервера 1С:Предприятие нужно сначала остановить и удалить службу, для этого используйте скрипт unregister-service.bat, это тоже официальный скрипт из документации, но в этом случае его можно использовать без изменений.\n1@echo off 2rem %1 - полный номер версии 1С:Предприятия 3rem %2 - первые две цифры номеров портов. Для портов 1540,1541,1560:1591 - это цифра 15 4set SrvcName=\u0026#34;1C:Enterprise 8.3 Server Agent %240 %1\u0026#34; 5sc stop %SrvcName% 6sc delete %SrvcName% Его также следует запустить от имени администратора и передать ему номер платформы и первые две цифры набора портов:\n1 unregister-service.bat 8.3.22.2239 25 После чего следует обязательно перезагрузить компьютер, затем указанную платформу можно удалить.\nОбновление дополнительного экземпляра сервера 1С:Предприятие Для обновления вам следует установить новую версию платформы как приложение, затем удалить регистрацию старой службы и выполнить регистрацию новой на тот же набор портов и с тем же рабочим каталогом, что позволит новой платформе автоматически подхватить список баз и настройки предыдущего экземпляра сервера.\nОбратите внимание, что после удаления регистрации служб следует обязательно перезагрузить компьютер, так как команда только помечает службы к удалению, само удаление происходит после перезагрузки.\n","id":"bd940b75690b67c45cab15e2661db528","link":"https://interface31.ru/post/ustanovka-i-zapusk-neskolkih-ekzemplyarov-servera-1spredpriyatie-na-odnom-kompyutere-platforma-win/","section":"post","tags":["1С Предприятие 8.х","Windows Server","Развертывание"],"title":"Установка и запуск нескольких экземпляров сервера 1С:Предприятие на одном компьютере. Платформа Windows"},{"body":"Пакетный менеджер - хорошо знакомый любому Linux администратору вид ПО, который позволяет централизованно управлять программным обеспечением в системе и легко автоматизировать этот процесс. Пользователи Windows долгое время были лишены подобного инструмента, собственно, как вообще какого-то централизованного подхода к управлению ПО, но затем в Windows появился Магазин, а затем и менеджер пакетов, названный просто - Windows Package Manager или WinGet. В данной статье мы рассмотрим его особенности и примеры работы с ним.\nВ целом, если вы имеете опыт работы с любым пакетным менеджером, то начать работу с WinGet будет несложно, но есть определенные отличия. Начнем с того, что в Linux системах репозиторий является доверенным источником приложений, который связан либо с дистрибутивом, либо с разработчиком ПО и мы всегда понимаем из какого источника мы получаем тот или иной пакет.\nВ WinGet имеется два источника пакетов: магазин Windows и собственный репозиторий, поддерживаемый Microsoft. Но данный репозиторий является лишь одним из каналов распространения ПО независимыми поставщиками. Грубо говоря репозиторий WinGet является просто каталогом ссылок на скачивание инсталляторов того или иного ПО из различных источников, предлагаемых их разработчиками.\nЭто, конечно же лучше, чем искать и скачивать пакеты в интернет, но серьезно отличается от принятой в Linux модели: если там, скачивая пакет из репозитория дистрибутива мы можем быть уверены, что пакет протестирован именно под вашу версию дистрибутива, то здесь все вопросы к разработчику, если пакет нестабильно работает или не работает под вашу версию ОС, то WinGet ничем вам тут не поможет.\nРавно как вопрос доверия к дистрибутиву и репозиторию как единому целому меняется на вопрос доверия к каждой отдельной программе, поэтому будьте внимательны и осмотрительны в выборе ПО при использовании пакетного менеджера Windows.\nВозможности WinGet доступны начиная с Windows 10 1709 и во всех актуальных выпусках он предустановлен по умолчанию, в противном случае его можно получить в Магазине Windows под названием App Installer: Либо скачать с официальной страницы на Github:\nРекомендуем к прочтению microsoft/winget-cli Начнем же работу с ним с получения списка уже установленных приложений:\n1winget list Следует отметить, что WinGet поддерживает работу и с приложениями, установленными вручную или из магазина, поэтому вы всегда можете комбинировать подходы, это удобно и полностью оправдано в принятой в Windows модели управления ПО. Давайте рассмотрим вывод команды подробнее: Колонка Имя содержит понятное пользователю имя приложения на языке локализации системы, ИД (ID) - его идентификатор, уникальный для каждого приложения, колонки Версия и Доступно показывают установленную версию и последнюю доступную в репозиториях. И наконец колонка Источник показывает на репозиторий в котором доступен пакет. Посмотреть список подключенных репозиториев можно командой:\n1winget source list Как мы уже говорили выше, по умолчанию подключено два репозитория: Магазин Windows и WinGet. Отсутствие репозитория в колонке источник означает, что пакета нет в репозиториях WinGet, но вы можете управлять им с его помощью, хотя список доступных возможностей здесь невелик и сводится к удалению пакета, это может быть удобно в сценариях, когда вы хотите автоматически удалить часть предустановленного ПО. Например, мы можем легко удалить Яндекс.Музыку командой:\n1winget uninstall Яндекс.Музыка Но установить назад мы ее уже не сможем, так как программы нет в доступных источниках пакетов.\nДля установки ПО нам потребуется указать название пакета или его идентификатор, чтобы найти их следует использовать команду поиска, например:\n1winget search office В результате получим все возможные варианты, найденные по заданной строке: Если не указан фильтр, то поиск производится по всем доступным полям: имя, идентификатор, тег и моникер (прозвище), последний параметр представляет короткое имя, связанное именно с этим пакетом, если строка запроса содержит пробелы, то ее нужно обернуть в кавычки. Также мы можем указать источник, в котором производим поиск. Например, выполним поиск по прозвищу \u0026quot;office\u0026quot; в репозитории Winget:\n1winget search --moniker office -s winget Результат показывает все пакеты, моникер которых содержит искомое вхождение: Если нам нужно строгое вхождение, то к строке запроса нужно добавить ключ**-e**, в этом случае будет искаться полное совпадение с учетом регистра. Например, команда:\n1winget search --moniker office -s winget -e Вернет только первую строку, так как она единственная полностью подходит под запрос.\nВсего мы можем использовать следующие фильтры:\n--name - имя пакета --id - идентификатор пакета --tag - тег пакета --moniker - прозвище пакета Если вы забыли какие-то ключи или опции команды не беда, просто запустите ее без аргументов и вы получите короткую справку по команде.\nПосле того, как мы нашли интересующий нас пакет, мы можем посмотреть информацию о нем, например:\n1winget show \u0026#34;WPS Office\u0026#34; Если под запрос попадают сразу несколько пакетов, то пакетный менеджер попросит нас уточнить запрос: В большинстве случаев будет достаточно добавить ключ -e для строгого совпадения, но не в этот раз, потому что китайская и международная версия имеют одинаковое имя, поэтому в данном случае правильно будет использовать идентификатор:\n1winget show Kingsoft.WPSOffice После чего мы получим всю информацию о пакете, включая теги и прозвище, если есть. Для получения списка версий доступных в репозитории выполните:\n1winget show Kingsoft.WPSOffice --versions Теперь можно установить пакет, для это используется команда install и она точно также производит поиск по строке запроса. Будет установлено самое точное вхождение, при нахождении нескольких результатов вас попросят уточнить запрос.\n1winget install Kingsoft.WPSOffice Мы также можем добавить фильтр поиска, скажем, только по ID:\n1winget install --id Kingsoft.WPSOffice После чего пакетный менеджер скачает и запустит инсталлятор, при этом пользователь будет видеть ход установки, но его участие в ней не потребуется, а само приложение будет установлено с параметрами по умолчанию.\nЕсть два способа изменить это поведение, для того чтобы полностью скрыть процесс установки используйте ключ:\n1-h, --silent А для запуска установки в интерактивном режиме, когда вам, как обычно, придется отвечать на вопросы и выбирать варианты, добавьте ключ:\n1-i, --interactive Чтобы установить пакет нужной версии используйте ключ:\n1-v, --version Альтернативой установке может быть действие download, которое просто скачает в папку Загрузки инсталлятор пакета. Для обоих действий можно явно указать архитектуру при помощи ключа:\n1-a, --architecture Доступными являются значения: X86 и X64.\nА если пакет поддерживает разделение на языковые версии, то также можно указать нужный язык при помощи ключа:\n1--locale Значение языка следует указывать в формате BCP47, для русского это будет ru-RU, а для английскогоen-US. По умолчанию скачивается пакет с локалью и разрядностью совпадающей с параметрами системы. Например, команда:\n1winget download RARLab.WinRAR Скачает русскую 64-разрядную версию приложения, а для скачивания 32-разрядной английской нам потребуется указать:\n1winget download RARLab.WinRAR --locale en-US -a X86 С установкой и скачиванием понятно, но одно из самых ценных умений пакетного менеджера - это обновление системы и именно этого сильно не хватало пользователям и администраторам Windows. Чтобы обновить отдельный пакет используйте:\n1winget upgrade Microsoft.VCRedist.2015+.x64 В данном случае мы обновим распространяемый пакет Microsoft Visual C++ Redistributable\nДля того, чтобы обновить все пакеты, имеющие доступные обновления, используйте:\n1winget upgrade --all С обновлением пакета тесно связано еще одно действие - закрепление, которое позволяет зафиксировать текущую версию пакета и сделать его недоступным для обновления. В самом простом случае для закрепления используйте:\n1winget pin add RARLab.WinRAR После чего пакет не будет обновлен при использовании команды upgrade --all, но может быть обновлен командой обновления пакета или добавлением к upgrade --all ключа --include-pinned.\nЧтобы полностью заблокировать обновление пакета следует добавить дополнительный ключ:\n1winget pin add RARLab.WinRAR --blocking Еще один вариант закрепления, это закрепление пакета в рамках определенной версии, например:\n1winget pin add LibreOffice --version 7.4.* Для просмотра закрепленных пакетов используйте\n1winget pin list А для удаления закрепления:\n1winget pin remove LibreOffice Чтобы удалить установленную программу используйте действие uninstall:\n1winget uninstall LibreOffice Но на этом возможности пакетного менеджера не заканчиваются, вы можете экспортировать список установленного ПО командой:\n1winget export -o C:\\ADM\\myapp.json Если требуется указать конкретные версии ПО, то добавьте ключ:\n1--include-versions После чего в указанный файл будет выгружен список всего установленного на ПК ПО, которое есть в репозиториях, неважно как оно было установлено, через WinGet или вручную.\nДля автоматической установки ПО из указанного списка используйте команду импорта:\n1winget import -i C:\\ADM\\myapp.json Это позволяет быстро восстановить набор ПО после переустановки ОС или перенести его на другой ПК, а также развернуть нужный набор программ на партию компьютеров.\nЕсли вы запускаете команду импорта на новом ПК, то добавьте ключ:\n1--accept-source-agreements Который подавляет запрос на принятие исходного лицензионного соглашения на использование источника пакетов. Также можно добавить:\n1--accept-package-agreements Для автоматического принятия лицензионного соглашения, которое может потребоваться для некоторых пакетов.\nЧтобы избежать появления ошибок в случае недоступности пакета в источнике используйте:\n1--ignore-unavailable Если в файле экспорта указаны определенные версии пакетов, то вы можете проигнорировать их ключом:\n1--ignore-versions При его использовании будут установлены самые последние доступные версии пакетов.\nТакже, если вы не хотите обновлять уже существующие пакеты добавьте ключ:\n1--no-upgrade В итоге команда импорта на новом ПК может выглядеть так:\n1winget import -i C:\\ADM\\myapp.json --accept-source-agreements --accept-package-agreements --ignore-unavailable --no-upgrade Конечно, WinGet - молодой продукт и его возможности во многом уступают возможностям пакетных менеджеров Linux, также есть неразрешенные проблемы и неоднозначное поведение менеджера при попытках обновления уже запущенного приложения, если сам инсталлятор не умеет корректно обрабатывать данную ситуацию. Но он развивается и предлагает администратору простой, но в тоже время мощный инструмент для управления программным обеспечением с широкими возможностями автоматизации.\n","id":"0db53c6460a5567673fa92b737289fb0","link":"https://interface31.ru/post/winget---paketnyy-menedzher-dlya-windows/","section":"post","tags":["Windows 10","Windows 11","Winget"],"title":"WinGet (Windows Package Manager) - пакетный менеджер для Windows"},{"body":"Распространяемые пакеты Microsoft Visual C++ Redistributable требуются довольного многим приложениям, но не всегда входят в пакет установки, вызывая ошибки типа \u0026quot;отсутствует MFC110.dll\u0026quot; или \u0026quot;MSVCP120.dll\u0026quot;. К сожалению, не все понимают причину возникновения подобных ошибок, а следовательно правильные пути их устранения. В данной статье мы рассмотрим, что такое Распространяемые пакеты Microsoft Visual C++ Redistributable, для чего они нужны и как устранить связанные с ними ошибки.\nНачнем с того, что это за пакеты и для чего нужны. Для этого нам придется немного окунуться в разработку ПО. При написании кода на C++ в среде Microsoft Windows разработчик может использовать уже готовые библиотеки, которые содержат наиболее часто используемые стандартные функции, либо отвечают за взаимодействие с системой. Эти библиотеки поставляются вместе со средой разработки и не включаются в готовое приложение. Это сделано для того, чтобы их можно было обновлять отдельно от приложения, а также избежать многократного дублирования одних и тех же файлов.\nПри этом они не входят в состав ОС по умолчанию, а входят в состав Распространяемых пакетов Microsoft Visual C++ Redistributable, которые обычно поставляются вместе с дистрибутивом ПО, но очень часто вы можете получить дистрибутив и без них. В этом случае при попытке запуска такого ПО вы получите ошибку об отсутствии одной или нескольких библиотек DLL. Следует отметить, что не все подобные сообщения связаны с Microsoft Visual C++ Redistributable, поэтому сразу научимся отличать их. Полный список библиотек входящих в состав пакета приведен в документации:\nРекомендуем к прочтению Определение библиотек DLL для распространения Отличительной их чертой является двух или трехзначный номер версии от 80 до 140 по шаблону:\n1mfc[version].dll Если в сообщении об ошибке фигурирует подобная библиотека, то вы с высокой вероятностью имеете дело с Microsoft Visual C++ Redistributable. Для определения необходимой версии отбрасываем последнюю цифру и получаем номер версии. Ниже представлены номера версий и публичные наименования пакетов:\nVisual Studio 2005 (VC++ 8.0) Visual Studio 2008 (VC++ 9.0) Visual Studio 2010 (VC++ 10.0) Visual Studio 2012 (VC++ 11.0) Visual Studio 2013 (VC++ 12.0) Таким образом MFC110.dll относится к пакету 2012 года, а MSVCP120.dll к пакету года 2013 и вам нужно скачать и установить Microsoft Visual C++ Redistributable 2012 и 2013 соответственно.\nВерсию пакета с внутренним номером 13 в Microsoft пропустили, и следующая версия 2015 года получила номер 14. Затем последовал еще ряд пакетов с номерами:\nVisual Studio 2015 (VC++ 14.0) Visual Studio 2017 (VC++ 15.0) Visual Studio 2019 (VC++ 16.0) Visual Studio 2022 (VC++ 17.0) Но версии библиотек так и остались на уровне 14, точнее были введены подверсии 140, 141, 142 и 143, а сами библиотеки стали нумероваться в стиле 14.х, где x - номер подверсии. Например, Visual Studio 2019 версии 16.7 (версии файлов, начиная с 14.27), т.е. 142 подверсия. Еще более запутывает то, что имена библиотек остались прежними и MSVCP140.dll может указывать на любую из версии от 2015, до 2022.\nКак быть в этой ситуации? К счастью, начиная с 2015 версии Microsoft реализовала обратную совместимость сверху вниз, т.е. приложение требующие 2015 версию пакета смогут прекрасно работать с 2022, но не наоборот. Поэтому сейчас распространяется единая версия пакета 2015-2022, которая содержит последние версии файлов. Еще раз обратим ваше внимание, что несмотря на заголовок 2015-2022 вы устанавливаете последнюю версию библиотек, что видно из номера 14.36 (143 подверсия, 2022 пакет). Также вы можете столкнуться с отдельными пакетами для более старых версий, ниже показан пакет для 2017 выпуска. Если ли смысл ставить последовательно все версии от 2015 до 2022? Нет, так как более новые библиотеки содержат все возможности более старых и установки последней версии будет достаточно.\nПакеты версий до 2015 обратной совместимости не имеют и вам нужно будет установить именно тот пакет, который требует установленное приложение.\nЕще одна тонкость есть в 64-разрядных системах: разрядность распространяемого пакета Microsoft Visual C++ Redistributable должна соответствовать разрядности приложения, так если у вас требуются библиотеки для 32-разрядного приложения, то вам потребуется установить x86 версию, хотя система у вас x64.\nСкачать все пакеты Microsoft Visual C++ Redistributable, начиная с 2005 можно на официальной странице:\nРекомендуем к прочтению Последние поддерживаемые загрузки Microsoft Visual C++ распространяемого компонента Все распространяемые пакеты поддерживают параметры командной строки, к которым относятся:\ninstall - установка repair - восстановление uninstall - удаление Дополнительные параметры позволяют влиять на процесс установки:\npassive - отображает ход установки, но не требует взаимодействия с пользователем quiet - не отображает пользовательский интерфейс и не требует взаимодействия с пользователем norestart - подавляет попытки перезагрузки после установки Например, установить пакет, отображая ход установки без взаимодействия с пользователем и перезагрузки можно командой:\n1vc_redist.x64.exe /install /passive /norestart Надеемся, что данная статья оказалась вам полезной и вы сможете осмысленно работать с Распространяемыми пакетами Microsoft Visual C++ Redistributable и грамотно устранять связанные с ними проблемы.\n","id":"cc7872457f78634c29ed715ee311838c","link":"https://interface31.ru/post/adminu-na-zametku---32-visual-c-redistributable-ili-ustranyaem-oshibki-otsutstvuet-dll/","section":"post","tags":["Microsoft","Windows","Диагностика"],"title":"Админу на заметку - 32. Visual C++ Redistributable или устраняем ошибки \"отсутствует DLL\""},{"body":"Облачные сервисы для хранения и обмена файлами давно стали привычными и популярными как среди простых пользователей, так и в корпоративной среде. В большинстве случаев публичные сервисы закрывают основные потребности пользователей в облачных хранилищах, но в ряде случаев может потребоваться собственное решение. Это может быть связано как с объемом хранимых данных, так и с требованиями безопасности или конфиденциальности. В этом случае обратите внимание на Seafile - простой и производительный облачный файловый сервис, который несложно установить самостоятельно.\nРазработчики Seafile предлагают несколько способов установки продукта, один из них - с помощью готового скрипта. Это официальный скрипт от разработчиков и поддерживает он все актуальные версии Ubuntu, начиная с 18.04 (поддержка данной версии закончилась весной 2023 года). Скрипт позволяет быстро и просто получить работающий сервис и сегодня мы рассмотрим именно этот путь. В нашем случае будет использоваться Ubuntu 22.04 LTS, все команды, если не указано иного, выполняются от имени суперпользователя root или через sudo.\nУстановка и первоначальная настройка Seafile server Перейдем в домашнюю директорию и скачаем скрипт:\n1cd 2wget --no-check-certificate https://raw.githubusercontent.com/haiwen/seafile-server-installer/master/seafile-10.0_ubuntu Версия сервера Seafile указана в имени скрипта, на сегодняшний день поддерживаются две версии: 9-я и 10-я, версия 11 находится в стадии тестирования.\nСделаем скрипт исполняемым и запустим на выполнение, при этом нужно указать желаемую версию сервера для установки, последней в линейке 10 является 10.0.1, номера версий можно посмотреть на странице Changelog.\n1chmod +x seafile-10.0_ubuntu 2./seafile-10.0_ubuntu 10.0.1 На вопрос скрипта отвечаем, что хотим установить свободную CE (Community Edition) версию и дожидаемся окончания установки, ее время зависит от скорости входящего канала интернет. Вместе с указанной версией Seafile Server будут установлены MariaDB, Memcached и NGINX. После окончания установки на экран будут выведены учетные данные администратора, пути расположения данных и конфигурационных файлов, а также некоторые советы, советуем сохранить эту информацию. Работу сервиса можно проверить, набрав в браузере IP-адрес сервера, после чего вы должны увидеть окно входа, для аутентификации используйте полученные на предыдущем шаге учетные данные. После чего вы попадете в пользовательскую часть сервиса, где можете работать со своими файлами, для перехода в административную панель следует в меню справа вверху выбрать пункт Системный администратор. В административной части вы можете управлять коллекциями, пользователями и группами, а также изменять настройки сервера. Следует отметить особенность продукта - все сделанные в веб-интерфейсе настройки записываются в базу данных и имеют больший приоритет, нежели настройки в конфигурационных файлах. Поэтому если нужные настройки есть в веб-интерфейсе. то следует в первую очередь использовать их.\nМы же пока выполним одну из рекомендованных настроек - отправку электронной почты через внешний SMTP-сервер. Для этого откроем файл /opt/seafile/conf/seahub_settings.py, раскомментируем и приведем к следующему виду строки:\n1EMAIL_USE_TLS = True 2EMAIL_HOST = \u0026#39;smtp.yandex.ru\u0026#39; 3EMAIL_HOST_USER = \u0026#39;my_account@yandex.ru\u0026#39; 4EMAIL_HOST_PASSWORD = \u0026#39;Pa$$word_1\u0026#39; 5EMAIL_PORT = \u0026#39;587\u0026#39; 6DEFAULT_FROM_EMAIL = EMAIL_HOST_USER 7SERVER_EMAIL = EMAIL_HOST_USER В примере показаны настройки для Яндекса, но они достаточно универсальны и для других серверов все настраивается аналогично. В случае каких-либо затруднений следует обратиться к файлу лога /opt/seafile/logs/seahub.log, где будет сохранен ответ почтового сервера.\nНо не будем спешить сохранять изменения и выходить из конфигурационного файла, ниже следует правильно указать свой часовой пояс, по умолчанию сервер использует время Берлина.\n1TIME_ZONE = \u0026#39;Europe/Moscow\u0026#39; Посмотреть список почтовых поясов можно командой:\n1timedatectl list-timezones Теперь сохраняем наши изменения и перезапускаем сервер Seafile:\n1systemctl restart seafile-server Проверить работу почты можно сбросив пароль пользователю, после чего уведомление об этом с временным паролем будет доставлено на указанный в аккаунте почтовый ящик.\nПолучение сертификата Let's Encrypt и настройка NGINX Наш облачный файловый сервис работает и это хорошо, но для полноценного использования нам потребуется прикрепить к нему доменное имя и настроить безопасный доступ с TLS-шифрованием. В этом нам поможет бесплатный сервис для получения сертификатов Let's Encrypt.\nВ данном примере мы будем использовать условное доменное имя seafile.it-31.ru, для него потребуется создать на DNS-сервере, обслуживающем зону запись типа A с указанием реального IP-адреса сервера и подождать пока сервер начнет отвечать по указанному имени. В противном случае получить сертификат не удастся и поэтому данное действие следует выполнить заранее. Если ваш сервер находится внутри периметра, то наружу следует пробросить порты 80 и 443.\nЗатем откроем конфигурационный файл виртуального хоста NGINX /etc/nginx/sites-available/seafile.conf и приведем к следующему виду опцию server_name указав в нем реальное доменное имя:\n1server_name seafile.it-31.ru; Проверим конфигурацию и перезапустим веб-сервер:\n1nginx -t 2nginx -s reload Далее нам понадобится последняя версия утилиты Certbot для работы с сертификатами Let's Encrypt, актуальные версии утилиты распространяются через Snap и поэтому прежде всего следует удалить версию из репозиториев, если она была установлена:\n1apt remove certbot Затем установим версию из Snap:\n1snap install --classic certbot После установки создадим необходимую символическую ссылку:\n1ln -s /snap/bin/certbot /usr/bin/certbot Теперь получим сертификат при помощи специального плагина к NGINX:\n1certbot certonly --nginx Утилита проанализирует конфигурацию NGINX и предложит получить сертификаты для всех найденных доменных имен, просто укажите нужный. После получения сертификата вернемся к конфигурационному файлу NGINX /etc/nginx/sites-available/seafile.conf, прежде всего изменим строку:\n1listen 443 ssl http2; Затем, ниже строки server_name добавим пути к сертификатам:\n1ssl_certificate /etc/letsencrypt/live/seafile.it-31.ru/fullchain.pem; 2 ssl_certificate_key /etc/letsencrypt/live/seafile.it-31.ru/privkey.pem; 3 server_tokens off; Настройки шифров с поддержкой протокола TLS 1.2 и выше:\n1ssl_protocols TLSv1.2 TLSv1.3; 2 ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384; 3 ssl_prefer_server_ciphers off; А также прочие настройки SSL:\n1ssl_dhparam /etc/nginx/dhparam.pem; 2ssl_session_timeout 5m; 3ssl_session_cache shared:SSL:5m; И заголовок HSTS принудительно предписывающий использование защищенного соединения после первого удачного подключения через него. На время отладки сервера эту опцию рекомендуется закомментировать.\n1add_header Strict-Transport-Security \u0026#34;max-age=31536000; includeSubDomains\u0026#34;; В самом конце файла добавим еще одну секцию server для перенаправления на защищенную версию сайта всех незащищенных запросов:\n1server { 2 listen 80; 3 server_name seafile.it-31.ru; 4 rewrite ^ https://$http_host$request_uri? permanent; 5 server_tokens off; 6} Сохраняем изменения, после чего создадим файл параметров Диффи-Хеллмана для обеспечения режима совершенной прямой секретности:\n1openssl dhparam 2048 \u0026gt; /etc/nginx/dhparam.pem Еще раз проверим настройки и перезапустим веб-сервер:\n1nginx -t 2nginx -s reload Теперь перейдем по доменному имени и убедимся, что сервер работает по защищенному протоколу и использует сертификат Let's Encrypt: Последний штрих, перейдем в административную панель и изменим два параметра SERVICE_URL и FILE_SERVER_ROOT, заменив в них http://127.0.0.1 на реальное доменное имя с указанием защищенного протокола: https://seafile.it-31.ru, во втором параметре обязательно сохраните оставшуюся часть строки адреса: На этом основная настройка сервера Seafile завершена, можете переходить к его эксплуатации. Для работы с ним можете использовать как веб-интерфейс, так и официальный клиент, который можно скачать с официального сайта под все основные настольные или мобильные системы. Для Linux также доступны Snap и Flatpak пакеты.\n","id":"ffee746ff023597e1b98df662e824b1a","link":"https://interface31.ru/post/ustanovka-oblachnogo-faylovogo-servisa-seafile-na-ubuntu-server/","section":"post","tags":["Let's Encrypt","Nginx","Seafile","Ubuntu","Ubuntu Server","Облака","Файловый сервер"],"title":"Установка облачного файлового сервиса Seafile на Ubuntu Server"},{"body":"Среди инструментов резервного копирования существует отдельная группа - системы аварийного восстановления на \u0026quot;голое железо\u0026quot; (Bare Metal Disaster Recovery - BMDR), которые позволяют полностью восстановить систему в случае выхода из строя оборудования или уничтожения системы при воздействии иных факторов. Relax-and-Recover - сокращенно ReaR - как раз и представляет такую систему, простую в использовании, но достаточно мощную в работе. С ее помощью вы сможете быстро восстановить вашу ОС Linux на новое оборудование, либо выполнить перенос системы со старого оборудования на новое, либо в виртуальную среду.\nПеред тем как начинать работу с ReaR следует уточнить некоторые принципиальные моменты. ReaR предполагает создание двух достаточно независимых сущностей: загрузочного образа и резервной копии.\nЗагрузочный образ позволяет загрузить систему и выполнить восстановление ее макета, под которым подразумевается дисковая разметка, разделы и файловые системы на них, поддерживаются все типы разметки, включая программный RAID и LVM. Но при этом макет не содержит никаких данных, он просто восстановит структуру дисковой подсистемы.\nРезервная копия не содержит сведений о структуре хранения, а просто содержит данные, которые там хранились. Это достигается за счет того, что файловая система Linux иерархична и всегда имеет общий корень, это позволяет просто скопировать все данные одним архивом, а как именно они располагаются на физических носителях определяется макетом. Кстати, Relax-and-Recover поддерживает множество внешних систем резервного копирования, что позволяет разделить процесс резервного копирования макета и резервного копирования данных, но это выходит за рамки данной статьи и ниже мы будем использовать только встроенные средства.\nУстановка и первоначальная настройка ReaR ReaR находится в репозиториях всех актуальных DEB-систем начиная с Debian 10 и Ubuntu 20.04, для его установки выполните команду:\n1apt install rear Все настройки ReaR находятся в конфигурационном файле /etc/rear/local.conf, по умолчанию он пуст, содержит только блок комментариев.\nСоздание загрузочного флеш-накопителя Если у вас небольшая инфраструктура, то неплохим решением будет использование для резервного копирования системы загрузочного флеш-накопителя. Его объем должен соответствовать объему данных в системе, ну может чуть меньше, потому как резервная копия сжимается при помощи gzip.\nПеред использованием флеш-накопитель нужно отформатировать, это делается командой:\n1rear format /dev/sdX Где sdX - имя накопителя.\nДля UEFI систем команда форматирования должна быть немного иной:\n1rear format -- --efi /dev/sdX Затем откройте /etc/rear/local.conf и внесите туда следующие строки:\n1OUTPUT=USB 2BACKUP=NETFS 3BACKUP_URL=\u0026#34;usb:///dev/disk/by-label/REAR-000\u0026#34; Опция OUTPUT указывает на тип образа восстановления, в нашем случае это USB-диск, BACKUP задает тип бекапа, NETFS - это встроенный механизм бекапа ReaR, а BACKUP_URL определяет его расположение, для USB-дисков выполняется привязка по метке диска, которая после форматирования всегда будет REAR-000.\nНастройка сетевого хранилища резервных копий Для более сложной и развитой инфраструктуры имеет смысл использовать сетевое хранилище для размещения там образов и резервных копий. Для этого немного изменим конфигурационный файл /etc/rear/local.conf указав в нем следующие опции:\n1OUTPUT=ISO 2BACKUP=NETFS 3BACKUP_URL=\u0026#34;nfs://192.168.233.184/rear/\u0026#34; В данном случае мы используем в качестве сетевого хранилища NFS и указываем тип образа восстановления - ISO.\nВ тоже время ReaR поддерживает различные типы хранилищ, более подробно с этим можно ознакомиться в документации, мы же приведем несколько наиболее популярных вариантов.\nТак если вы хотите хранить копии в локальной файловой системе, например, на примонтированном внешнем или сетевом диске:\n1BACKUP_URL=\u0026#34;file:///directory/path/\u0026#34; Для Samba укажите:\n1BACKUP_URL=\u0026#34;cifs://192.168.233.184/rear\u0026#34; Если требуется аутентификация на Samba-ресурсе, то ниже добавьте опцию:\n1BACKUP_OPTIONS=\u0026#34;cred=/etc/rear/cifs\u0026#34; А затем создайте файл /etc/rear/cifs со следующим содержимым:\n1username=User 2password=Pa$$word 3domain=WORKGROUP Его содержимое комментариев не требует.\nПри всех указанных выше настройках в указанном расположении при выполнении резервного копирования будет создана директория с именем хоста резервируемого узла внутри которой будет находиться загрузочный образ с именем rear-hostname.iso и архив с данными backup.tar.gz, а также служебные файлы и логи.\nПри восстановлении вам необходимо также иметь доступ к указанному расположению, иначе ReaR не сможет восстановить данные. Параметры подключения к хранилищу в загрузочном образе уже прописаны. Однако бывают ситуации, когда восстанавливать систему приходится автономно, либо в другом контуре, например, при переносе в виртуальную среду и т.д. В этом случае имеет смысл объединить загрузочный образ и архив в один файл.\nДля этого измените /etc/rear/local.conf следующим образом:\n1OUTPUT=ISO 2BACKUP=NETFS 3OUTPUT_URL=\u0026#34;nfs://192.168.233.184/rear/\u0026#34; 4BACKUP_URL=\u0026#34;iso:///backup\u0026#34; Здесь нами была использована новая опция OUTPUT_URL, которая указывает место расположения образа восстановления, а BACKUP_URL предписывает расположить архив с данными внутри ISO-образа.\nКстати, комбинируя эти две опции можно настроить раздельное хранение образов и архивов с данными, тем более что OUTPUT_URL предполагает значительно большее количество способов подключения к хранилищу.\nИз полезных опций также можно упомянуть про перенаправление временной директории, например, если у вас /tmp вынесен на отдельный раздел или RAM-диск и на нем недостаточно место для создания архива.\n1TMPDIR=/new_tmp Обратите внимание, что указанная директория должна существовать, иначе создание резервной копии закончится с ошибкой.\nДля того, чтобы исключить из резервной копии некоторые расположения используйте опцию:\n1BACKUP_PROG_EXCLUDE=( \u0026#34;${BACKUP_PROG_EXCLUDE[@]}\u0026#34; \u0026#39;/tmp/*\u0026#39; \u0026#39;/proc/*\u0026#39; \u0026#39;/sys/*\u0026#39; \u0026#39;/dev/*\u0026#39; ) Расположения задаются в одиночных кавычках через пробел. Обратите внимание, что исключения указываются с использованием маски. В этом случае указанные директории попадут в архив, но их содержимое будет проигнорировано, иначе в копии не будет самих директории, что может вызвать проблемы в работе восстановленной системы.\nРезервное копирование Для того, чтобы выполнить резервное копирование выполните:\n1rear -v mkbackup Эта команда создаст новый загрузочный образ и новый архив с данными. Ключ -v (verbose) отображает подробный лог в консоли, если что-то пошло не так, то можете добавить ключ**-d** (debug) для получения более подробной информации.\nЕсли вам нужно только обновить загрузочный образ, то используйте команду:\n1rear mkrescue А если только создать новый архив с данными, то:\n1rear mkbackuponly В большинстве случаев постоянно обновлять загрузочный образ нет смысла, так как разметка диска и файловые системы меняются редко, чтобы определить, изменился ли макет системы используйте команду:\n1rear checklayout 2echo $? Если вывод возвратит 0, то макет не изменился, а если 1 - то требуется повторное создание загрузочного образа. Кроме изменения макете загрузочный образ также следует пересоздать при изменении настроек ReaR.\nТаким образом для автоматического обновления макета можно использовать конструкцию:\n1rear checklayout || rear mkrescue \u0026amp;\u0026amp; rear mkbackuponly Но есть один неочевидный момент. Загрузочный образ формируется на базе текущего состояния системы, включая текущую версию ядра и модулей к нему и если вы обновите ядро или включите дополнительные модули, то они не попадут в образ, так как макет системы при этом не изменился. Чаще всего это не вызовет особых затруднений, но в некоторых случаях может препятствовать загрузке, особенно на новом железе. Поэтому при обновлении ядра загрузочный образ лучше всего пересобрать.\nВ целом никаких сложностей здесь нет, все просто и понятно, осталось только автоматизировать процесс. Обычно для этого используют cron, но в настоящий момент этот метод устарел, и мы будем использовать вместо него таймеры systemd. В первую очередь создадим юнит сервиса:\n1nano /etc/systemd/system/rear.service И внесем в него следующий текст:\n1[Unit] 2Description=Relax-and-Recover 3After=network.target 4 5[Service] 6Type=oneshot 7ExecStart=/usr/sbin/rear mkbackup 8 9[Install] 10WantedBy=multi-user.target Затем создадим юнит таймера:\n1nano /etc/systemd/system/rear.timer В котором следует разместить следующие строки:\n1[Unit] 2Description=Relax-and-Recover timer 3 4[Timer] 5OnCalendar=daily 6AccuracySec=1h 7Persistent=true 8 9[Install] 10WantedBy=timers.target В нашем случае настроен ежедневный запуск, который будет автоматически разнесен по временем с точностью в 1 час (чтобы исключить нагрузку от одновременного запуска нескольких заданий точно в полночь), также будет выполнен автоматический запуск при пропуске задания.\nБолее подробно о работе с таймерами systemd вы можете узнать из нашей статьи:\nРекомендуем к прочтению Настраиваем таймеры systemd вместо заданий cron После того как вы создали юниты перечитаем изменения в них:\n1systemctl daemon-reload И пробуем запустить юнит сервиса:\n1systemctl start rear После чего должно выполниться резервное копирование. Если все прошло хорошо, то просто включаем таймер для него в автозагрузку:\n1systemctl enable rear.timer На этом настройка резервного копирования закончена.\nВосстановление из аварийного образа Перед тем, как переходить к восстановлению необходимо понимать ограничения, чтобы не столкнуться с проблемами на ровном месте. Серьезных ограничений ровно два:\nОбраз для UEFI системы не удастся загрузить на системе с BIOS и наоборот. Количество дисков должно быть не меньше, чем у целевой системы, а их объем быть равным или превышать объем дисков целевой системы. Справедливости ради, при восстановлении на диск меньшего объема ReaR выполнит попытку уменьшить последний раздел, но это увенчается успехом только в том случае если у вас простая разметка (без RAID и LVM), а также файловая система в последнем разделе поддерживает уменьшение размера. Но мы не рекомендуем надеяться на это, в большинстве случаев восстановление на диск меньшего объема будет невозможно.\nПри загрузке с аварийного диска мы видим простое меню, по умолчанию выбрана загрузка с первого жесткого диска, а для восстановления нам нужно выбрать один из верхних пунктов, их отличие только в том, что при выборе второго пункта при загрузке системы восстановление будет запущено автоматически. Для UEFI-систем загрузочное меню немного иное, но смысл остается тот же, по умолчанию выбрана загрузка аварийного образа с отключенной безопасной загрузкой. После загрузки войдите в систему пользователем root без пароля и запустите восстановление командой:\n1rear recover Восстановление выполняется в несколько этапов, сначала восстанавливается разметка, потом скачивается архив и распаковываются данные. На каждом этапа можно вмешаться в процесс и даже отредактировать параметры восстановления, однако это требует достаточно глубоких знаний и понимания процесса, а также навыков работы с vi. Если вы хотите использовать параметры по умолчанию, то просто подтверждайте их нажатием на Enter, так как времени на раздумье дается много - 5 минут на каждый вопрос, а вопросов там достаточно. Как мы уже говорили выше, для успешного автоматического восстановления система должна иметь доступ к хранилищу резервных копий или копия должна быть включена в образ. В этом случае вам нужно просто дождаться окончания процесса восстановления и перезагрузить систему.\nЕсли же по какой-то причине резервная копия недоступна, то у вас будет восстановлена только разметка. В этом случае следует выбрать пункт Use Relax-and-Recouer shell and return back to here после чего вы попадаете в консоль ReaR и строка приглашения изменится на:\n1rear\u0026gt; После чего разместите любым доступным образом архив с данными в /mnt/local/ и распакуйте его, сам архив после этого можно удалить:\n1tar xf /mnt/local/backup.tar.gz -C /mnt/local/ 2rm -f /mnt/local/backup.tar.gz Затем обязательно выйдите из консоли ReaR командой:\n1exit При этом будет сгенерирован новый загрузочный образ и установлен загрузчик, после чего систему можно перезагрузить.\nВ некоторых случаях вам может потребоваться изменить некоторые параметры восстановленной системы до ее перезагрузки, например, если вы делаете клон или переносите систему в иную среду. Для этого можно воспользоваться возможностью войти в консоль восстановленной системы командой:\n1chroot /mnt/local bash --login После чего вы окажетесь в среде восстановленной системы и сможете выполнить в ней все необходимые действия.\nДля выхода из chroot также введите:\n1exit Как видим, Relax-and-Recover - простая в использовании, но в тоже время очень функциональная и мощная система аварийного восстановления, которую можно использовать как для резервного копирования ваших физических узлов, так и для переноса системы на другое железо или в виртуальную среду.\n","id":"1e5f01cdf1554ef08415da6809bbc1ae","link":"https://interface31.ru/post/relax-and-recover-sredstvo-avariynogo-vosstanovleniya-sistemy/","section":"post","tags":["Debian","Linux","ReaR","Ubuntu","Резервное копирование"],"title":"Relax-and-Recover (ReaR) - средство аварийного восстановления системы"},{"body":"Программный RAID в Linux на основе MD-устройств успел отлично зарекомендовать себя в работе и пользуется заслуженной популярностью у администраторов, сочетая надежность и простоту создания и управления. Но со все более широким распространением UEFI-систем приходится сталкиваться с некоторыми особенностями. Многие, если есть такая возможность, переключают настройки в режим совместимости, но это неправильно, UEFI - это стандарт для современных устройств и поэтому надо учиться работе с ним.\nДругой возможной альтернативой программного RAID является использование встроенного в материнскую плату или недорогого внешнего контроллера. Но в этом случае вы получаете проблему совместимости, такой массив будет работать только со своим семейством контроллеров, сегодня их не так и много, но тем не менее. Также вы не сможете производить работы по восстановлению и обслуживанию массива в онлайн, данные на дисках в это время будут недоступны.\nСкажем больше, мы не видим никаких преимуществ у встроенных и недорогих контроллеров перед программной реализацией, особенно на простых массивах, не требующих сложных вычислений RAID 1 и 10. А учитывая всю гибкость mdadm, программный RAID по многим параметрам будет выглядеть гораздо привлекательнее.\nКонфигурация разделов Linux с UEFI Для примера рассмотрим применяемую по умолчанию во многих дистрибутивах схему со всеми файлами в одном разделе. Однако это не означает, что вам следует применять именно ее, данная схема выбрана нами для простоты подачи материала. EFI - он же ESP (EFI system partition) - специальный раздел с файловой системой FAT который содержит загрузчик, вызываемый микропрограммой UEFI, должен находиться в основной таблице разделов и не может располагаться в программных RAID-массивах, томах LVM или пулах ZFS. Данный раздел должен располагаться на каждом диске, с которого предусматривается загрузка.\nLinux RAID - специальные разделы, из которых собирается программный RAID, в нашем случае используется один массив md0, располагающийся на двух дисках. Данные разделы имеют специальные заголовки, что позволяет даже при подключении к другой системе правильно определить их тип и собрать массив заново.\nSwap - раздел подкачки, используется как механизм виртуальной памяти, а также для организации режима сна (в настольных системах). Некоторые современные системы не используют раздел подкачки (Ubuntu) используя для этой цели специальный файл в корневом разделе. Swap можно объединить в программный RAID, но смысла в этом немного, более того, при использовании отдельных swap-разделов системе будет доступен вдвое больший объем для подкачки. Также отсутствие swap-раздела при отказе одного из дисков не блокирует загрузку системы.\nНекоторые особенности Ubuntu Server 18.04 Начиная с версии 18.04 Ubuntu Server по умолчанию предлагается с новым инсталлятором Subiquity, который очень просто отличить по обновленному внешнему виду: При использовании данного инсталлятора вы не сможете установить систему на программный RAID (как на системах с UEFI, так и без), установка закончится ошибкой. Поэтому для создания программного RAID следует использовать сборку с классическим установщиком, которую можно получить в разделе альтернативных загрузок. Также легко можно отличить дистрибутивы по наименованию, образ с Subiquity содержит в наименовании слово live (ubuntu-18.04.3-live-server-amd64.iso).\nСоздание программного RAID при установке системы для Debian и Ubuntu до 18.04 Все дальнейшие действия мы будем производить на системе Debian 10, однако все сказанное будет справедливо для любой основанной на Debian системе, а с некоторыми поправками и для любого дистрибутива Linux.\nПрежде всего создадим в начале каждого диска системный раздел EFI размером в 499 МБ (по умолчанию Debian и Ubuntu используют близкие к этому размеры разделов). Затем выполним необходимую разметку, основное условие - одинаковые размеры томов на обоих дисках, тип файловой системы и точка монтирования не играют никакого значения, можете принять предлагаемые по умолчанию. В нашем случае будет создано два раздела почти на весь размер диска, оставляя немного места в конце для разделов подкачки. В итоге у вас должно получиться примерно так: В итоге каждый диск содержит три раздела: ESP, будущие разделы Linux RAID и разделы подкачки. Порядок следования разделов и размер разделов для RAID должны быть одинаковы на обоих дисках. После того, как первоначальная разметка выполнена соберем программный RAID 1 из разделов для данных, в нашем случаеsda2 и sdb2: Теперь разметим созданный массив, создав там корневой раздел. Помните, что один программный массив Linux (md-устройство) может содержать только один раздел, если вам нужно несколько разделов, то потребуется создать несколько массивов. Далее продолжаем установку в обычном режиме, программный RAID-массив создан, а к загрузчику мы вернемся после завершения этого процесса.\nСоздание программного RAID при установке системы для Ubuntu до 20.04 и новее Настройка программного RAID в новом установщике Ubuntu достаточно серьезно отличается от настройки в debian-installer и может вызвать затруднения даже у опытного пользователя. Начнем с того, что пометим первый диск как загрузочный, для этого в меню диска следует выбрать Use As Boot Device. Для UEFI систем будет автоматически создан ESP-раздел, создать такой раздел руками в Subiquity невозможно, затем проделываем ту же операцию со вторым диском, выбрав в его меню Add As Another Boot Device. После чего там будет создан второй ESP-раздел. Также это обеспечит установку загрузчика сразу на оба диска. Затем переходим к свободному пространству (free space) на дисках и создаем там раздел (или разделы) нужного размера, важное условие - в поле Format обязательно ставим Leave unformatted. Если в поле Size ничего не указывать, то будет создан раздел максимального размера. Аналогичные действия выполняем и для другого диска. Помним, что одно md-устройство - это один раздел. После того как вы создали на обоих дисках одинаковые неформатированные разделы переходим в пункт Create software RAID (md), где указываем желаемый уровень RAID - в нашем случае зеркало - и выбираем используемые для него разделы. После этого среди доступных дисковых устройств у нас появится md-устройство программного RAID, на свободном месте которого создаем новый раздел, где указываем файловую систему и точку монтирования (для системного раздела -/). Далее продолжаем установку в обычном режиме.\nНастройка загрузчика EFI и его копирование на второй раздел Перед тем как настраивать загрузчик нам потребуется получить некоторые данные, в частности идентификаторы (UUID) разделов, их можно получить командой:\n1lsblk -o +uuid В полученном выводе прежде всего обратим внимание на идентификаторы EFI-разделов. Они разные, в то время как UUID RAID-разделов совпадают. Чтобы понять, что это означает и какие может иметь последствия откроем /etc/fstab: Как видим, разделы монтируются по идентификаторам и в случае выхода из строя первого диска вы не сможете загрузиться со второго, так как система не сможет смонтировать EFI-раздел. В некоторых источниках советуют изменить строку монтирования, используя вместо UUID явное указание устройства, например, /dev/sda1. Да, если мы отключим первый диск, то второй превратится в sda и система загрузится, но если диск выйдет из строя, физически определяясь в системе или на его месте будет новый диск без разметки, то такой фокус не сработает.\nПравильно будет изменить идентификатор одного из разделов, чтобы они были одинаковы. Так как UUID раздела на первом диске уже используется в файлах конфигурации, то изменим его у раздела на втором диске.\nДля работы с разделами FAT32 нам потребуется установить дополнительные утилиты:\n1apt install dosfstools После чего выполним:\n1mkdosfs -i 2396BE56 /dev/sdb1 Где 2396BE56 - идентификатор первого EFI-раздела (/dev/sda1), его следует указывать в одну строку без пробелов и тире, а /dev/sdb1 - второй EFI раздел.\nТеперь получим список текущих загрузочных записей EFI:\n1efibootmgr -v Здесь нас интересует запись под номером 5 - debian, которая отвечает за загрузку системы и указывает на первый жесткий диск. Запомните или запишите путь к EFI-образу для загрузки системы: \\EFI\\debian\\shimx64.efi.\nСоздадим аналогичную запись для второго диска:\n1efibootmgr -c -d /dev/sdb -p 1 -L \u0026#34;debian 2\u0026#34; -l \u0026#34;\\EFI\\debian\\shimx64.efi\u0026#34; Немного поясним назначение ключей команды:\n-c (--create) создать новую запись -d (--disk) диск, на котором находится системный раздел EFI -p (--part) номер раздела EFI -L (--label) метка(наименование) для загрузочной записи -l (--loader) путь образа EFI для загрузки Так как наш EFI-раздел располагается в /dev/sdb1, то в опциях -d и**-p** указываем /dev/sdb и 1 соответственно, а в качестве пути указываем данные из первой загрузочной записи, которые мы получили на предыдущем шаге. Обратите внимание, что при указании пути к образу EFI используется обратный слеш.\nЕще раз убедимся, что запись выполнена правильно:\n1efibootmgr -v Обе строки должны отличаться только меткой и GUID раздела (уникальный GPT-идентификатор, который позволяет микропрограмме UEFI найти нужный раздел).\nЕсли обнаружена ошибка, то запись следует удалить и создать заново, для удаления используйте команду:\n1efibootmgr -b 6 -B Ключ**-b** (--bootnum) указывает на номер записи, а -B (--delete-bootnum) предписывает удалить ее.\nПоследним шагом скопируем содержимое загрузочного раздела с первого диска на второй, для этого смонтируем второй EFI-раздел:\n1mount /dev/sdb1 /mnt И скопируем на него содержимое первого EFI-раздела:\n1cp -R /boot/efi/EFI/ /mnt После чего отмонтируем раздел:\n1umount /dev/sdb1 На этом настройка завершена, система теперь может быть успешно загружена с любого диска.\nУстановка загрузчика EFI на RAID-массив Несмотря на то, что размещение загрузчика EFI на RAID-массиве не рекомендуется, в случае использования \u0026quot;зеркала\u0026quot; такая настройка возможна и оказывается более простой в эксплуатации, при этом следует понимать, что в данном случае у вас остается единственный экземпляр загрузчика и вырастают риски того, что он окажется поврежден при отказе диска.\nПрежде всего установим недостающие инструменты:\n1apt install dosfstools Затем создадим на основном разделе временную папку и скопируем туда содержимое EFI-загрузчика:\n1mkdir /boot/tmp 2cp -a /boot/efi/* /boot/tmp/ Ключ -a предписывает сохранять структуру и атрибуты копируемых файлов.\nЗатем отмонтируем загрузочный раздел:\n1umount /boot/efi И создадим зеркальный массив из EFI-разделов:\n1mdadm --create --verbose /dev/md1 --level=1 --raid-devices=2 --metadata=1.0 /dev/sda1 /dev/sdb1 Ключевой особенностью здесь является использование metadata=1.0, которая сохранит метаданные RAID в конце раздела, в противном случае UEFI не сможет получить к ним доступ.\nЗатем создадим на нем раздел FAT32:\n1mkfs.vfat /dev/md1 И снова смонтируем его как загрузочный раздел:\n1mount /dev/md1 /boot/efi После чего вернем файлы загрузчика обратно:\n1cp -a /boot/tmp/* /boot/efi/ Теперь выполним команду:\n1lsblk -o +uuid И выясним идентификатор ESP-раздела, помечен желтым на скриншоте: Теперь откроем /etc/fstab и заменим идентификатор загрузочного раздела /boot/efi на только что полученный нами: После чего добавим запись о нашем втором массиве в конфигурацию mdadm и обновим загрузочный образ, если этого не сделать, то все будет работать, однако загрузочный массив будет определяться в системе как /dev/md127:\n1mdadm --examine --scan | grep metadata=1.0 \u0026gt;\u0026gt; /etc/mdadm/mdadm.conf Теперь, на всякий случай, откроем файл /etc/mdadm/mdadm.conf и убедимся, что в нем нет дублей записей для массивов, в противном случае загрузка системы станет невозможной. Если все нормально, то обновляем загрузочный образ:\n1update-initramfs -u И перезагружаем систему:\n1reboot Настройка закончена, система может грузиться с любого диска.\n","id":"69869eb0381b0a039a57c8a2ee54a918","link":"https://interface31.ru/post/nastraivaem-programmnyy-raid-na-uefi-sistemah-v-debian-i-ubuntu/","section":"post","tags":["Debian","mdadm","RAID","Ubuntu Server","UEFI"],"title":"Настраиваем программный RAID на UEFI-системах в Debian и Ubuntu"},{"body":"В современном изобилии Linux дистрибутивов можно легко запутаться, чего там только нет. Но есть ряд систем, которые можно отнести в разряд знаковых, оказавших большое влияние на развитие Linux систем. И если говорить о настольных системах, то одним из таких дистрибутивов был Mandrake / Mandriva, который первый попытался создать Linux \u0026quot;с человеческим лицом\u0026quot; для обычных пользователей. В число наследников этой системы входит французская Mageia, основанная командой уволенных разработчиков, которые несколько дней назад выпустили очередную версию дистрибутива.\nПеред тем как читать эту статью мы рекомендуем ознакомиться с обзорами предыдущих версий систем, чтобы более полно представлять процесс развития системы за последние годы:\nРекомендуем к прочтению Mageia 7 - французский наследник Mandriva Mageia 8 - стабильность или стагнация? Мы не будем подробно вдаваться в историю, тем более что мы уже освещали ее в предыдущих статьях, но короткий экскурс сделаем. История Mageia начинается с осени 2010 года, когда руководство Mandriva сократило французское подразделение Edge IT, уволив всех его сотрудников. Часть из них, прежде отвечавших за разработку дистрибутива, создали собственный форк системы, который назвали Mageia (магия по-гречески). Сама же Mandriva закончила свой путь банкротством и в итоге все ее активы перешли к российской РОСА.\nОсновная миссия проекта - создавать отличные инструменты для людей, чтобы обычный пользователь мог включить компьютер и просто начать пользоваться им. Аналогичные идеи лежали в основе знаменитого Mandrake и не менее известной Mandriva, теперь же им на смену пришла Mageia, как-бы обещая некоторое волшебство, которое поможет работе с системой.\nНа сегодняшний день это весьма зрелый проект, насчитывающий вот уже 13 лет, далеко не каждый дистрибутив может похвастать таким возрастом, но это же является и обратной стороной медали, делая дистрибутив неповоротливым из-за приверженности к некоторым старым традициям и обычаям. Но обо всем по порядку.\nИнсталлятор встречает нас традиционно качественной графикой, еще начиная с шестой версии к работе были привлечены профессиональные дизайнеры, но только с тех пор ничего принципиально не поменялось. Нет, стабильность - это неплохо, но без развития она может быстро перейти в стагнацию. Сам инсталлятор прост и довольно удобен, принцип установки классический: сначала ставим систему, потом настраиваем, в то время как современные установщики сначала собирают все необходимые данные, а только потом переходят к установке. Внешний вид программы установки тоже давно не менялся и по современным меркам выглядит несколько устаревшим. Тем не менее он успешно может провести через все этапы даже новичка, главное - внимательно читать сообщения на экране. Сама установка не занимает много времени и смотреть в это время решительно нечего, слайдов всего пара и те невнятные, ну разве что переключиться в режим лога. В заключительной части установки выполняется предварительная настройка системы: заводятся пользователи, настраиваются обновления, которые можно скачать и установить прямо здесь и сейчас. В целом свою работу инсталлятор делает, в тупик новичков не ставит, но, при необходимости, дает доступ к дополнительным настройкам.\nЭкран входа в систему также мало чем отличается от предыдущих версий, из недостатков тут можно выделить то, что крайняя правая кнопка - это не вход в систему, а перезагрузка, хотя многие ожидают от нее иного поведения, но это \u0026quot;фишка\u0026quot; системы, которая существует уже давно. Внутри у нас самая обычная KDE Plasma 5 без каких-то выраженных элементов кастомизации, если поменять обои, то сразу и не скажешь какая именно система сейчас перед нами. Давайте сразу заглянем под капот, тут все довольно свежее и актуальное: ядро 6.4 и Plasma 5.27 - вполне неплохой выбор для настольной системы. А теперь посмотрим, какое волшебство покажет нам система, под которым подразумевается набор собственных инструментов для управления и настройки. Начнем с первого, что увидит пользователь - окно Добро пожаловать в Mageia - это буквально визитная карточка дистрибутива, которая позволяет быстро провести пользователя за руку и выполнить ряд базовых настроек, а также установить наиболее востребованное ПО. Все это хорошо и удобно, но только вот ничего нового здесь не появляется и если когда-то это было вполне неплохим вариантом, то сегодня этих возможностей явно недостаточно. Нет, сразу поставить кодеки, плееры и все такое прочее - это правильный подход, но современный список ПО \u0026quot;первой необходимости\u0026quot; с тех пор изменился и стал значительно шире, неотъемлемой частью этого списка стали те же самые мессенджеры.\nДругой собственный инструмент - Центр управления Mageia - довольно неплох и рассчитан на неподготовленного пользователя, но только развития в нем давно не видно, никаких существенных отличий от той же седьмой версии вы не найдете, а с тех пор прошло уже четыре года, большой срок по меркам индустрии. Хотя, повторимся, инструмент до сих пор очень и очень неплох, но развития ему явно не хватает. А теперь о больном - системе управления пакетами. Магазином в Mageia до сих пор даже не пахнет, основным инструментом является RPMdrake, который по нынешним меркам выглядит ровесником динозавров и умеет примерно столько же. Тут не надо к бабке ходить, работать с этим инструментом современному пользователю будет тяжело, по крайней мере - неудобно. Магазин сегодня - это стандарт, они есть везде, даже в Arch и его производных и включают в себя множество источников пакетов: репозитории, Flatpak, Snap и т.д.\nА что у нас с универсальными пакетами? Из коробки установлен Flatpak, но никаких графических инструментов для работы с ним нет, только руками, только в терминале. Вот как-то так... Консольное волшебство... Также есть и другие неочевидные моменты. Например, если мы захотим получить доступ к SMB-ресурсам в сети, то у нас ничего не получится... Просто не получится, пока мы не зайдем в Центр управления и не добавим поддержку SMB, при этом будет установлен samba-клиент. После чего, скажем честно, все работает замечательно. При этом, если мы зайдем в другой сетевой раздел, то нам сразу скажут, что у нас не запущен Zeroconf, можно же было такое же вывести и для Samba? Сетевые возможности тоже не блещут разнообразием. По умолчанию только OpenVPN и Cisco, а где все остальное? Ладно устаревший PPTP, но в корпоративной среде активно используется L2TP или IKEv2, также странно не увидеть популярный WireGuard. Отдельные вопросы вызывает разметка диска, где подкачку поместили между корневым и домашним разделом, что делает вопрос перераспределения свободного пространства крайне непростым и увеличивает необходимый объем перезаписи, что критично для современных SSD. Здесь уже явно торчат уши решений как минимум, десяти-пятнадцатилетней давности, когда основным типом накопителя был жесткий диск и такая разметка строилась исходя из его скоростных характеристик. Сейчас это полностью неактуально и многие современные системы ставят подкачку первым разделом, а за ней все остальное.\nА в остальном система весьма приятна. Не сильно требовательна к ресурсам, работает быстро, отзывчиво, объема памяти в 4 ГБ ей будет вполне достаточно, что по современным меркам находится где-то на уровне офисного ПК. С мультимедиа никаких проблем нет, поддерживаются все современные форматы, включая 2K и 4К, нагрузка на систему умеренная. Ну да иного ожидать в 2023 году сложно, давно прошли те времена, где поиски кодека могли занять больше времени чем просмотр самого фильма. Выводы А вот выводы у нас сегодня будут неутешительные. Что нового и прогрессивного несет нам Mageia 9? Ровным счетом ничего. Свежее ядро и актуальный софт могут предоставить многие другие дистрибутивы, особенно семейства Arch или другие работающие по принципу Rolling release.\nА основной идеей Mandrake и затем Mageia было предоставление обычным пользователям простых инструментов, с помощью которых они могли легко управлять своей Linux-системой. Но то, что еще более-менее было приемлемым в 2019 году не лезет ни в какие ворота в 2023. И то, что раньше было удобным сегодня таким быть перестало.\nМир изменяется, а Mageia похоже застряла на определенном этапе своего развития, по крайней мере никаких подвижек на этом направлении не видно.\nМожно ли кому-то посоветовать это дистрибутив сегодня? Вряд-ли, в нем сейчас нет ничего такого, что было бы способно привлечь нового пользователя, зато достаточно того, что может быстро его отвернуть от себя. Система все более становится похожа на \u0026quot;закрытый клуб\u0026quot; для своих, которые все знают и умеют и все эти \u0026quot;модные\u0026quot; нововведения им не к чему.\nХотя это может быть и просто недостаток ресурсов.\nВ любом случае жаль, что еще один дистрибутив с большой историей скорее всего останется только ее частью. Или все-таки волшебство еще осталось?\n","id":"4b0d660f76cddec00d474b2ddb760a10","link":"https://interface31.ru/post/mageia-9-volshebstvo-zakonchilos/","section":"post","tags":["Linux","Mageia","Mandriva"],"title":"Mageia 9 - волшебство закончилось"},{"body":"Proxmox Virtual Environment - популярное решение для виртуализации с открытым исходным кодом, которое широко используется предприятиями самых разных масштабов. При переходе на импортозамещение возникает резонный вопрос, каким образом и чем с меньшими затратами заменить платформу Proxmox. В этом случае следует обратить внимание на Альт Сервер Виртуализации 10, который включен в Реестр российских программ и предоставляет собственную сборку PVE, которая базируется только на репозиториях Альт.\nВообще, Альт Сервер Виртуализации 10 - это довольно многофункциональный продукт, который может предоставить вам отечественные сборки для таких популярных сред виртуализации как PVE или OpenNebula, контейнеризацию на Doсker, Podman, LXC/LXD, а также оркестрацию на Kubernetes. Но в нашем случае нас будет интересовать только PVE, точнее некоторые отличия реализации Aльт от исходного продукта.\nАльт Сервер Виртуализации 10 лицензируется для каждой ноды, бессрочная лицензия на момент написания статьи стоила 88 000 руб., апгрейд с версии Сервер Виртуализации 9 - 44 000 руб. В целом цена достаточно умеренная, если учесть наличие продукта в Реестре и поддержку разработчиков.\nФизические лица могут скачивать и использовать продукт без ограничений.\nУстановка Proxmox в Альт Сервер Виртуализации 10 После запуска нас встречает типовой установщик Альт, который в целом не должен вызвать затруднений, но определенные моменты в нем достаточно неочевидны и поэтому на них стоит обратить внимание отдельно.\nНачнем с разбивки диска. В оригинальном PVE под корневой раздел выделяется до 20-25% диска, на нем же создается хранилище типа Directory в /var/lib/vz для размещения ISO-образов, шаблонов контейнеров и резервных копий. Остальное место размечается как раздел LVM-Thin и используется для размещения дисков контейнеров и виртуальных машин.\nВ Альт сервер виртуализации разметка по умолчанию предусматривает первым разделом SWAP, потом корневой раздел фиксированного размера 14 ГБ, а остальное монтируется в /var и подключается как хранилище с типом Directory для любого типа содержимого. Поэтому, если вам нужна привычная конфигурация, то используйте ручную разметку диска. Обратите внимание, что на стадии установки ZFS не поддерживается, хотя вы можете его использовать в самом PVE, в этом случае просто оставьте диски неразмеченными. Здесь же можно настроить BTRFS, LVM или программный RAID, при этом помните, что разработчики Proxmox не рекомендуют использовать mdadm для хранилища дисков виртуальных машин.\nДля установки PVE на следующем шаге просто выберите шаблон Виртуальное окружение Proxmox Последующие этапы установки вопросов не вызывают, пока не доберемся до настройки сети, ее желательно выполнить сразу, особенно если Альт для вас новая система. Начнем с настройки сетевого моста, где в раздел Members следует добавить рабочий сетевой интерфейс. Затем настроим статический адрес для созданного моста, в поле Конфигурация выбираем Вручную и вводим требуемый адрес в поле Добавить IP, после чего нажимаем кнопку Добавить, поле очищается, а адрес попадает выше в блок IP-адреса. Не самый очевидный алгоритм действий, особенно если учесть, что адреса шлюза и DNS-сервера просто вводятся в поля ниже. После чего завершаем установку и переходим в привычный интерфейс Proxmox, который отличается от оригинального продукта логотипом Альт в шапке. Как видим, установка не сильно сложный процесс, но имеет свои тонкости, особенно если вы видите Альт Сервер Виртуализации 10 первый раз.\nЭксплуатация Proxmox в Альт Сервер Виртуализации 10 Начнем с того, что это самый обычный Proxmox и работа с ним мало чем отличается от оригинала. Но есть ряд особенностей. Во-первых, в веб-интерфейсе отсутствует раздел обновлений, для того чтобы обновить продукт вам потребуется в терминале ввести команды:\n1apt-get update 2apt-get dist-upgrade В целом несложно и привычно, благодаря тому что Альт использует для управления RPM-пакетами apt-get, знакомый каждому пользователю Debian.\nДля получения списка доступных для скачивания шаблонов контейнеров выполните команду:\n1pveam update После чего вам будут доступны стандартные шаблоны контейнеров и шаблоны от Turnkey: При этом контейнеров с Альт Linux в этом списке нет, их можно получить обратившись в поддержку, о чем написано на одном из слайдов во время установки или скачать со следующего адреса: http://ftp.altlinux.org/pub/distributions/ALTLinux/p10/images/cloud/x86_64/, в данном случае нам понадобится образ alt-p10-rootfs-systemd-x86_64.tar.xz. Там же содержатся образа и для других систем виртуализации, более подробная информация содержится в файле README.txt.\nТакже следует отметить, что PVE в Альт Сервер Виртуализации 10 использует собственное ядро Альт, на текущий момент это 5.10.166-std-def-alt и отличную от последней в оригинале версию PVE - 7.4.3/alt6. В остальном принципиальных отличий нет, это все тот же Proxmox и вы можете спокойно перенести на него все существующие виртуальные машины и контейнеры, выполнив таким образом первые шаги по импортозамещению.\nУстановка Proxmox Backup Server в Альт Сервер 10 Гипервизор - это хорошо, но без системы резервного копирования экосистема Proxmox была бы неполной, разработчики Альт это учли и представили в репозиториях кроме Proxmox Virtual Environment еще и Proxmox Backup Server. Для его использования не требуется Альт Сервер Виртуализации, можно использовать просто Альт Сервер.\nКстати, вы можете сэкономить и установить на обычный Альт Сервер и PVE, только настраивать его придется вручную и поддержки от разработчиков у вас не будет, но этот вариант выходит за рамки данной статьи.\nДля установки PBS выполните в терминале две команды:\n1apt-get install proxmox-backup-server 2systemctl enable --now proxmox-backup-proxy После чего можем переходить в веб-интерфейс и настраивать продукт привычным образом. Особенности эксплуатации такие же, как и у PVE - обновления только через терминал, в остальном это тот же самый Proxmox Backup Server.\nТаким образом Альт предоставляет возможность полноценно использовать всю экосистему Proxmox в рамках импортозамещения, предоставляя собственные сборки всех основных продуктов Proxmox с включением их в Реестр российских программ.\n","id":"a028b36134c29db51cac75e9d42e7d6b","link":"https://interface31.ru/post/alt-server-virtualizacii-10-esli-nuzhen-proxmox-iz-reestra-rossiyskih-programm/","section":"post","tags":["ALT","Linux","Proxmox","Виртуализация","Резервное копирование"],"title":"Альт Сервер Виртуализации 10 - если нужен Proxmox из Реестра российских программ"},{"body":"Любая современная система требует регулярного обновления и Linux не исключение, но как бы ни был организован этот процесс мы столкнемся с постоянной нагрузкой на канал и повышенным расходом трафика, так как каждый компьютер будет скачивать обновления самостоятельно из сети интернет. При этом, даже если вас не волнует трафик, данный процесс занимает время и не всегда зеркала репозиториев отдают данные на хорошей скорости, поэтому становится актуальным создание локального кеша пакетов, в чем нам поможет Apt-Cacher NG. Его просто установить и еще проще использовать.\nКак указано в заголовке, Apt-Cacher NG - кеширующий прокси-сервер, который становится посредником между клиентом и зеркалом репозитория и сохраняет в собственное хранилище все загруженные из сети пакеты. При повторном запросе он проверит кеш и при наличии в нем требуемого пакета отдаст его локально. Это позволяет существенно экономить как трафик, так и время и последний фактор сегодня играет все более значимую роль.\nКаких-то существенных требований к железу Apt-Cacher NG не предъявляет и прекрасно работает в виртуальной машине или контейнере. Все что вам нужно - это выделить достаточное место для хранилища кеша пакетов. Теоретически его размер может быть равен объему всех используемых репозиториев, но на практике запросы гораздо скромнее и зависят только от разнообразия систем и количества установленных в них пакетов.\nЭффективность самого кеша зависит от однородности систем и их количества, чем более однородна инфраструктура и чем больше в ней однотипных ПК, тем больше будет попадания в кеш. Но в любом случае эффект будет достигнут даже если у вас всего несколько машин, при крупных обновлениях все необходимые пакеты скачает первый компьютер, а остальные обновятся локально.\nПервоначально Apt-Cacher NG поддерживал только DEB-пакеты, сегодня это универсальный прокси, который можно использовать с любыми пакетными системами, но это выходит за рамки данной статьи и ниже мы будем рассматривать его применение исключительно в среде Debian или Ubuntu.\nУстановка и первоначальная настройка Apt-Cacher NG Установить пакет просто, он есть в стандартных репозиториях:\n1apt install apt-cacher-ng В процессе установки вам будет задан вопрос: разрешаете ли вы использование HTTP-туннелей. С одной стороны это облегчает работу с программой, в частности при доступе к HTTPS-репозиториям, с другой создает угрозу безопасности, так как пользователи смогут использовать такой туннель не только для скачивания обновлений, но и для выхода в интернет. Если для вас это не критично, то рекомендуем использование туннелей разрешить, что упростит дальнейшую эксплуатацию. В остальном служба не требует каких-либо настроек и начинает работать сразу после установки, для приема соединений используется порт 3142 TCP. Тем не менее заглянем в конфигурационный файл /etc/apt-cacher-ng/acng.conf.\nПрежде всего нам может быть интересна опция, определяющая расположение хранилище кеша пакетов, по умолчанию она имеет значение:\n1CacheDir: /var/cache/apt-cacher-ng Вы можете задать собственный путь к хранилищу, однако после этого вам потребуется откорректировать его также в файле юнита /lib/systemd/system/apt-cacher-ng.service, для этого используйте команду:\n1systemctl edit apt-cacher-ng.service Затем раскомментируйте и замените значение в строке:\n1RequiresMountsFor=/var/cache/apt-cacher-ng Сохраните файл, перечитайте список юнитов systemd и перезапустите службу:\n1systemctl daemon-reload 2systemctl restart apt-cacher-ng Вторая опция, которая может быть нам интересна - это привязка службы к адресам или интерфейсам, по умолчанию Apt-Cacher NG прослушивает все сетевые интерфейсы. Чтобы изменить это поведение раскомментируйте и измените опцию:\n1BindAddress: localhost 192.168.7.254 Остальные опции не представляют особого практического интереса.\nЕсли вы при установке не разрешили создание HTTP-туннелей, то доступ к репозиториям использующим HTTPS будет невозможен, поэтому если вы используете такие репозитории, то нужно отдельно прописать разрешения на доступ к ним. Для этого следует использовать отдельный конфигурационный файл, выполним:\n1nano /etc/apt-cacher-ng/zzz_override.conf Если файл не существует, то он будет создан и открыт на редактирование, иначе просто открыт. Если же вам больше нравится редактор mc, то замените в команде nano на mcedit.\nДля примера возьмем репозиторий браузера Opera:\n1deb https://deb.opera.com/opera-stable/ stable non-free Из него нам нужно узнать адрес, т.е. deb.opera.com, затем добавьте в файл zzz_override.conf запись:\n1PassThroughPattern: ^deb\\.opera\\.com:443$ Ничего сложного здесь нет, обычное регулярное выражение, так как символ точки является подстановочным, то экранируем его слешем. Аналогичные записи добавляем для всех интересующих нас репозиториев. После чего перезапускаем службу:\n1systemctl restart apt-cacher-ng На этом настройка кеширующего прокси-сервера закончена.\nНастройка клиента через конфигурацию APT Чтобы клиент начал использовать для доступа к репозиториям наш кеширующий сервер его нужно указать в настройках пакетного менеджера APT, для этого создадим отдельный конфигурационный файл:\n1nano /etc/apt/apt.conf.d/02aptproxy И внесем в него следующие строки:\n1Acquire::http::proxy \u0026#34;http://192.168.111.72:3142\u0026#34;; 2Acquire::ftp::proxy \u0026#34;http://192.168.111.72:3142\u0026#34;; Где 192.168.111.72:3142 - адрес и порт нашего кеширующего сервера.\nНастройка клиента через редактирование репозиториев Из всех способов этот самый трудоемкий, но может понадобиться в настольных дистрибутивах, которые могут не использовать APT для управления пакетами и установки обновлений (например, KDE Neon). В этом случае изменения следует внести прямо в адреса репозиториев. Еще один плюс этого метода, что кешировать репозитории можно выборочно. Скажем, если у вас на некоторых узлах есть собственные репозитории, которые больше нигде не используются, то можно не тратить ресурсы кеширующего прокси-сервера на сохранение их пакетов и качать их напрямую.\nДля того, чтобы применить данный способ замените адрес репозитория с:\n1deb http://ftp.debian.org/debian bullseye main contrib На:\n1deb http://192.168.111.72:3142/ftp.debian.org/debian bullseye main contrib Для HTTPS репозиториев используйте следующую конструкцию:\n1deb http://192.168.111.72:3142/HTTPS///deb.opera.com/opera-stable/ stable non-free Добавлять разрешающее правило в zzz_override.conf при этом не нужно.\nНастройка автоматического обнаружения Apt-Cacher NG У двух описанных выше способов есть существенный недостаток: если кеширующий прокси-сервер окажется недоступным, то обновиться не удастся. Плюс требуется вносить изменения в конфигурационные файлы, в этом плане намного привлекательнее выглядит возможность автоматического обнаружения прокси-сервера. Если он обнаружен - то трафик пойдет через него, нет - напрямую.\nВ этом нам поможет технология Zeroconf, при этом следует отметить, что при ее использовании вы не должны использовать в локальной сети домен верхнего уровня .local.\nЗа поддержку Zeroconf в Linux отвечает служба Avahi, установим ее на сервере:\n1apt install avahi-daemon Apt-Cacher NG уже содержит готовую конфигурацию для Avahi, поэтому отдельно настраивать ничего не нужно. Для нормальной работы службы следует разрешить пакеты на порт 5353 UDP.\nНа клиенте следует установить пакет squid-deb-proxy-client:\n1apt install squid-deb-proxy-client Никаких настроек также не требуется, все начинает работать сразу после переустановки.\nЭксплуатация Apt-Cacher NG Для контроля и управления кеширующим сервером откройте в браузере адрес: http://192.168.111.72:3142/acng-report.html. Здесь вы можете увидеть статистику, включающую общий объем скачанных пакетов и объем данных отданных локально, а также процент попадания в кеш. Данные выводятся в двух разрезах: со времени последнего запуска службы и за все время. Также здесь можно выполнять операции обслуживания сервера, например, очистить кеш от устаревших пакетов.\nЕсли же перестало работать обновление с сервера, а напрямую обновляется без проблем, то перейдите в раздел Direct actions и последовательно выполните действия Delete unreferenced и Delete damaged.\nКак видим, настроить кеширующий прокси для обновлений Debian и Ubuntu совсем несложно, а эксплуатировать его легко. В тоже время вы получите существенную экономию времени и ресурсов на обслуживание парка Linux-систем.\n","id":"ee87b4a7b03f4307930b3f85ab90404f","link":"https://interface31.ru/post/ustanovka-i-nastroyka-aptcacherng-keshiruyushhego-servera-obnovleniy-dlya-debian-i-ubuntu/","section":"post","tags":["apt-cacher-ng","Debian","Linux","Ubuntu","Zeroconf"],"title":"Установка и настройка Apt-Cacher NG - кеширующего прокси-сервера обновлений для Debian и Ubuntu"},{"body":"Атаки \u0026quot;грубой силой\u0026quot; (BruteForce) - весьма распространенный тип атак в сети интернет, который сводится к попытке подбора пароля методом его перебора. Кроме этого, атакующие используют библиотеки словарных слов и списки скомпрометированных паролей, поэтому, даже если у вас используются сложные пароли, не стоит беспечно относиться к подобным угрозам. Конечно, полностью защититься от перебора паролей нельзя, но можно серьезно затруднить этот процесс блокируя атакующих и тем самым уменьшая скорость перебора. В данной статье мы рассмотрим, как защитить от данной атаки Winbox и WebFig роутеров Mikrotik.\nМы не будем разбирать вопрос, по какой именно причине интерфейсы Winbox и WebFig смотрят во внешний мир, потому что это тема отдельной статьи, в данном случае мы будем рассматривать исключительно меры защиты от перебора паролей. При этом подразумевается, что данные интерфейсы используются и легальными пользователями, которые должны иметь право на ошибку.\nЗащита Winbox от BruteForce Winbox - это самый популярный метод управлениями устройствами Mikrotik и поэтому он достаточно популярен у взломщиков, поэтому наша задача определить попытки неверного ввода паролей и после нескольких попыток заблокировать атакующего. На наш взгляд легальному пользователю достаточно дать три попытки в течении одной минуты, это вполне укладывается в логику работы легального пользователя, который после безуспешной попытки будет проверять раскладку, сверяться с записями, а не будет тупо долбиться. Если же попытки войти происходят чаще, то перед нами скорее всего атакующий.\nКак определить неверный ввод пароля? Достаточно просто, в ответном пакете роутер сообщит открытым текстом:\n1invalid user name or password А получатель такого пакета будет являться предметом нашего повышенного интереса. Но прежде всего отследим само событие, для этого откроем IP - Firewall - Mangle и создадим правило: Chain - output, Protocol - tcp, Src.Port - 8291. Затем на закладке Advanced добавим критерий: Content - invalid user name or password. А на закладке Action укажем действие jump и в поле Jump Target укажем имя пользовательской цепочки, в нашем случае FB-WB (Fail2Ban Winbox). Это же правило в терминале:\n1/ip firewall mangle 2add action=jump chain=output content=\u0026#34;invalid user name or password\u0026#34; jump-target=FB-WB protocol=tcp src-port=8291 Теперь немного поясним что мы сделали. Прежде всего мы выделили ответные пакеты роутера с сообщением об ошибке учетных данных и направили их в собственную цепочку брандмауэра. Это позволит далее работать с ними, персонально не проверяя каждый раз соответствие критерию наличия текста ошибки. Также это исключает прохождение по правилам цепочки других пакетов, что положительно сказывается на производительности.\nА теперь начнем создавать правила для нашей цепочки и будем делать это от конца к началу. Для этого мы будем использовать несколько списков адресов и на основании повторения адреса в списках принимать решение о блокировке. Легальный пользователь будет иметь три попытки в течении минуты.\nТам же, в IP - Firewall - Mangle, создадим правило: Chain - FB-WB. На закладке Advanced указываем Dst. Address List - FB-WB-3, а в Action - add dst to address list, Address List - FB-WB-BAN, Timeout - 1d 00:00:00. 1/ip firewall mangle 2add action=add-dst-to-address-list address-list=FB-WB-BAN address-list-timeout=1d chain=FB-WB dst-address-list=FB-WB-3 Данным правилом мы проанализировали адрес назначения ответного пакета роутера и если он есть в списке FB-WB-3, т.е. успел три раза вести неверный пароль, то отправляем его в список FB-WB-BAN сроком на одни сутки.\nПосле чего подобным образом создадим правила на заполнение остальных списков. Так если адрес есть в списке FB-WB-2, то добавляем его в список FB-WB-3 на одну минуту, если адрес есть в FB-WB-1, то добавляем его на минуту в FB-WB-2, а если его нет ни в одном списке, то добавим в FB-WB-1 тоже на одну минуту:\n1/ip firewall mangle 2add action=add-dst-to-address-list address-list=FB-WB-3 address-list-timeout=1m chain=FB-WB dst-address-list=FB-WB-2 3add action=add-dst-to-address-list address-list=FB-WB-2 address-list-timeout=1m chain=FB-WB dst-address-list=FB-WB-1 4add action=add-dst-to-address-list address-list=FB-WB-1 address-list-timeout=1m chain=FB-WB Для проверки правильности работы несколько раз пытаемся указать неверные учетные данные и наблюдаем как адрес атакующего последовательно заполняет списки от FB-WB-1 до FB-WB-BAN. Теперь дело за малым - заблокировать атакующих. Для этого переходим в IP - Firewall - Raw и создаем правило: Chain - Prerouting. Затем на закладке Advanced добавляем Src. Address List - FB-WB-BAN и на закладке Action указываем действие drop.\n1/ip firewall raw 2add action=drop chain=prerouting src-address-list=FB-WB-BAN Таким образом любой, кто более трех раз за минуту введет неверные учетные данные будет заблокирован на одни сутки. Временные лимиты указаны для примера, можете менять их на собственное усмотрение.\nЗащита WebFig от BruteForce Защита веб-интерфейса WebFig от буртфорса осуществляется точно таким же образом, что и Windoх, поэтому мы не будем приводить примеры для графического интерфейса, а ограничимся только командами в терминале.\nАнализировать мы также будем ответы роутера с порта веб-сервера (80 TCP), в случае неверных учетных данных RouterOS 6 отвечает сообщением:\n1403 Forbidden А RouterOS 7:\n1Error 403 А далее все как в предыдущем варианте. Прежде всего отправим все пакеты с нужным ответом в отдельную пользовательскую цепочку FB-WEB:\n1/ip firewall mangle 2add action=jump chain=output content=\u0026#34;403 Forbidden\u0026#34; jump-target=FB-WEB protocol=tcp src-port=80 А затем начнем заполнять списки адресов, точно также, от конца к началу. Для каждого адреса проверяется наличие в списке и если оно подтверждается он попадает в вышестоящий список. Три списка FB-WEB-1 - FB-WEB-3 заполняются на одну минуту и дают возможность легальному пользователю совершить три ошибки. Четвертый список FB-WEB-BAN предназначен для блокировки и срок нахождения в нем адресов - одни сутки.\n1/ip firewall mangle 2add action=add-dst-to-address-list address-list=FB-WEB-BAN address-list-timeout=1d chain=FB-WEB dst-address-list=FB-WEB-3 3add action=add-dst-to-address-list address-list=FB-WEB-3 address-list-timeout=1m chain=FB-WEB dst-address-list=FB-WEB-2 4add action=add-dst-to-address-list address-list=FB-WEB-2 address-list-timeout=1m chain=FB-WEB dst-address-list=FB-WEB-1 5add action=add-dst-to-address-list address-list=FB-WEB-1 address-list-timeout=1m chain=FB-WEB После чего блокируем атакующих в таблице Raw:\n1/ip firewall raw 2add action=drop chain=prerouting src-address-list=FB-WEB-BAN Время нахождения в списках и количество попыток вы можете регулировать на свое усмотрение.\nЗащита WebFig SSL от BruteForce А вот здесь у нас задача посложнее, при включении SSL защиты мы не можем анализировать содержимое ответного пакета и нам нужно найти какой-либо иной критерий, который бы указывал на попытку подбора паролей. В ходе наших исследований, эмпирическим путем было установлено, что в качестве критерия можно использовать размер ответного пакета, который составляет 317 байт для RouterOS 6 и 378 байт для RouterOS 7.\nВнимание! Важно! Данные цифры не являются официальными, а получены экспериментальным путем и в будущем могут иметь иные значения!\nВ остальном принцип защиты остается тем же, прежде всего направим соответствующие критерию пакеты в отдельную пользовательскую цепочку, только используем порт источника 443 и критерий на вкладке Advanced вместо Content должен быть Packet Size: В терминале:\n1/ip firewall mangle 2add action=jump chain=output jump-target=FB-SSL packet-size=317 protocol=tcp src-port=443 Далее точно также заполняем четыре таблицы:\n1/ip firewall mangle 2add action=add-dst-to-address-list address-list=FB-SSL-BAN address-list-timeout=1d chain=FB-SSL dst-address-list=FB-SSL-3 3add action=add-dst-to-address-list address-list=FB-SSL-3 address-list-timeout=1m chain=FB-SSL dst-address-list=FB-SSL-2 4add action=add-dst-to-address-list address-list=FB-SSL-2 address-list-timeout=1m chain=FB-SSL dst-address-list=FB-SSL-1 5add action=add-dst-to-address-list address-list=FB-SSL-1 address-list-timeout=1m chain=FB-SSL А затем всех тех, кто добрался до последней таблицы блокируем в таблице Raw:\n1/ip firewall raw 2add action=drop chain=prerouting src-address-list=FB-SSL-BAN Как видим, защитить роутер Mikrotik от перебора паролей довольно несложно, но для этого нужно иметь определенный набор знаний и навыков, позволяющих выделить из потока трафика нужные сообщения или воспользоваться нашей статьей.\n","id":"c0a884376ff001064a04738c0bee4228","link":"https://interface31.ru/post/nastraivaem-zashhitu-ot-atak-bruteforce-na-routerah-mikrotik/","section":"post","tags":["BruteForce","Fail2Ban","MikroTik","Безопасность"],"title":"Настраиваем защиту от атак BruteForce на роутерах Mikrotik"},{"body":"Совсем недавно мы опубликовали материал, посвященный порталу EasyAstra и представленному там магазину приложений для Astra Linux. Статья получила хороший читательский отклик и очень скоро после публикации произошло два важных события: была выпущена новая версия магазина и с нами связался его автор, который охотно ответил на наши вопросы и рассказал недостающие подробности. Сначала мы хотели переписать исходную статью, но перечитав решили ее оставить, как независимый взгляд со стороны, а все необходимые разъяснения и дополнения выпустить отдельным материалом.\nПрежде чем приступать к чтению мы настоятельно советуем ознакомиться с исходным материалом:\nРекомендуем к прочтению EasyAstra - Astra Linux становится ближе Практически сразу после публикации с нами связался автор:\nАндрей, добрый день! Прислали тут знакомые ссылку на Ваш обзор. Спасибо, было интересно почитать мнение со стороны. Меня зовут Денис, я автор портала easyastra.ru и разработчик клиента магазина приложений в одном лице)\nАвтор магазина и всего портала EasyAstra - Денис Давыдов, методист ГБОУ СОШ № 416 Санкт-Петербурга. Вот что он сам рассказывает про то, как зародился данный проект:\nНачинался он в 2021 году, когда появилась идея автоматизировать процесс установки местного электронного журнала (система Параграф в СПб) в Астре (сервер и клиент). Собственно, под это дело были написаны все инструкции, плюс графические оболочки к ПО от разработчиков (у них только скрипты, да завязка на вайн частично, что никогда не настроит человек, который с Линуксом не имел опыта работы, причем хорошего!). Реализация тут: https://easyastra.ru/prg (если интересно) По итогу получилось написать и инсталлятор серверной части и менеджер баз данных для бэкапа (официальный понятно только под винду, но мой вышел круче и функциональнее!).\nА дальше пришло понимание того, что можно сделать больше, тем более что насущная необходимость в этом присутствовала:\nПотом понял, что этого мало и начал писать еще софт, скрипты по просьбе коллег и собирать пакеты для удобной установки (часто коллеги с Питерских школ и обращались, тот же PascalABC, который не каждый запустит, хотя мануалы и есть на оф сайте). Ну в итоге это перешло в то, что есть, плюс родилась идея с маркетом приложений. Вот ее сейчас активно и реализую)\nНо, к сожалению, весь проект пока остается его личной разработкой, на которое он тратит свое время и силы, но Денис не унывает и рассчитывает привлечь к этому дело сообщество, потому что как ни крути, а тянуть в одиночку такой проект - это просто физически сложно.\nПо поводу команды - пока ее как таковой нет, но после запуска телеграм сообщества (ссылка есть на портале) как раз и планирую построить сообщество вокруг этого, может кто еще подтянется со статьями да софтом, чтобы я не один все тянул - сложно и долго)\nЕсть ли помощь от самой Астры? Есть, хотя, возможно и не совсем такая, которой хотелось бы, но и это уже хорошо:\nС Астрой я взаимодействую с 2020 года, так как моя школа, где я работал в тот момент учителем информатики и заместителем директора являлась партнером ГК \u0026quot;Астра\u0026quot; и была полностью с Ubuntu переведена на Astra Linux (тогда еще Common Edition). Поэтому данная инициатива всячески поддерживалась, да и меня они вообще активно звали к себе)) В итоге с марта этого года я отказался от должности зама и ушел в Астру заниматься различными образовательными активностями, а в школе оставил уроки и методическую работу, плюс курирую проект в рамках сотрудничества школы и ГК \u0026quot;Астра\u0026quot; (иначе больше некому).\nЧто касается планов на будущее, то Денис плотно связывает их со школой и образованием, работе в котором он посвятил многие годы:\nВ перспективах планирую, что портал станет удобным и важным инструментом для школ при миграции на Астру: наполнится статьями, мануалами, видео и т.п. Все в процессе разработки)) Выходить за пределы школы лично я не планировал, так как я всю жизнь в школьном образовании (15 лет уж), то это моя стихия и в этих вопросах я хорошо разбираюсь. Но это не отменяет того, что этим (в т.ч. магазин приложений) может пользоваться кто-то другой) все в открытом доступе и бесплатно!\nНу что же, в конце концов каждый должен делать то, что у него лучше всего получается и где он является настоящим специалистом. Поэтому важно привлечение к этому проекту всех заинтересованных, которые смогут внести вклад в развитие проекта, в частности магазина, и сделать его действительно универсальным инструментом для любого пользователя Astra.\nТакже, через два дня после выхода нашей статьи автор выпустил новую версию магазина, в которой стало еще больше приложений: 56 в веб версии и 108 в настольной. Для обновления просто достаточно скачать и установить DEB-пакет, в последующем магазин будет обновляться автоматически, такая функция добавлена в новую версию. Как мы и предполагали, неактивные пункты в магазине - это задел на будущее, так как портал фактически находится в тестовом режиме и все функции добавляются постепенно, ну и трудно требовать чего-то от одного человека:\nПо поводу ряда неактивных элементов. Да, потому что приложение, как и портал, в режиме beta тестирования и элементы подвозятся постепенно!\nАналогичные пояснения Денис дал и по поводу подключения репозиториев Debian:\nПо поводу разницы пакетов в вебе и клиенте. Во-первых да, не все сходу встает (все же астра отличается от debian), часто я собираю deb пакеты из исходников c github, порой пересобираю уже готовые пакеты. Но репы останутся, так как не вижу смысла пересобирать все! и тратить на это время и силы)\nИ с ним трудно не согласиться, пересобирать в одно лицо все зависимости крупного пакета может быть утомительно и для образования совершенно не нужно. Поэтому на данном этапе важно именно создание сообщества, чтобы к проекту могли подключиться заинтересованные люди, которые могли бы взять на себя сборку и сопровождение подобных пакетов.\nСледующим важным изменением магазина стала поддержка Snap, вкладку с этой функциональностью мы видели в предыдущей версии, но она была не активна, теперь же Snap полностью поддерживается и работает. Многие морщат нос от форматов подобных Snap или Flatpack, но нельзя не признать, что они делают актуальное ПО в Linux доступнее. Особенно это касается проприетарных программ или сложных пакетов. Теперь вы можете получать такое ПО прямо от разработчика, не дожидаясь пока его новую версию добавят в репозитории вашего дистрибутива и добавят ли вообще.\nЕще более актуально это для таких проектов как EasyAstra, которые держатся на энтузиастах и где просто физически затруднительно своевременно обновлять все добавленные пакеты. В этом случае Snap является отличным выбором, для проверки мы решили установить что-нибудь такое, чего в Astra нет и не предвидится, например, Viber.\nСразу скажем, что полноценной интеграции со Snap нет, да и трудно было бы этого ожидать. Все что вам нужно, это следовать короткой инструкции в EasyStore, а именно перейти на сайт магазина Snap и найти там имя нужного пакета, затем ввести его в EasyStore, а все остальное он сделает самостоятельно. Каких-либо проблем с установкой и интеграцией в систему Snap-пакетов у нас не возникло, что еще раз показывает правильность данного пути для доставки программ конечному пользователю. Следующий момент, который остался за кадром - это CLI-интерфейс магазина приложений, который позволяет автоматизировать процесс установки и удаления ПО с его помощью. Об этом нам отдельно напомнил автор:\nТак же можно отметить, что есть полноценный man и система внутренних команд (по просьбе ряда админов школ), что позволяет писать скрипты автоматизации для установки приложений не из графики кнопками, а скопом средствами bash скрипта) man easystore)\nТаких команд пока две, для установки и удаления пакетов, но уже и этого достаточно, особенно если нужно установить целый набор программ, скажем на новый ПК. Как видим, проект живет и развивается, причем довольно активно, несмотря на то что ведет его пока один человек. Как мы уже говорили, кроме образования портал, а особенно магазин может быть полезен самому широкому кругу пользователей Astra Linux SE и поэтому хочется пожелать данному начинанию успеха и привлечения к проекту активного сообщества.\n","id":"8899fd2c6bf5d532aa5763dad908bf0c","link":"https://interface31.ru/post/easyastra-po-sledam-nashih-publikaciy/","section":"post","tags":["Astra Linux","Linux","Импортозамещение"],"title":"EasyAstra - по следам наших публикаций"},{"body":"KDE Plasma является одной из ведущих графических оболочек первого эшелона для Linux, предоставляя пользователям классический и элегантный рабочий стол с широкими возможностями кастомизации. А после того, как GNOME начиная с третей версии свернул куда-то не туда, KDE осталась практически единственной оболочкой такого уровня с привычным дизайном и преемственностью пользовательского опыта. Сегодня мы рассмотрим KDE Neon, дистрибутив, который сочетает самую последнюю версию KDE от разработчиков и стабильную основу Ubuntu LTS.\nKDE Neon был основан в 2016 году Джонатаном Ридделом (Jonathan Riddell), который перед этим, в силу сильных внутренних разногласий был смещен с поста лидера Kubuntu, разработкой которой он занимался более 10 лет. После своего ухода из проекта Риделл перешел на работу в сообществе KDE и создал собственный дистрибутив на базе KDE Plasma.\nЗа основу нового проекта была взята Ubuntu LTS с долгосрочной поддержкой, что позволило заложить стабильную и предсказуемую работу системы. Но, в отличии от Kubuntu, которая в LTS версиях содержит также LTS версии Plasma, здесь поставляется самая свежая стабильная версия оболочки от разработчиков, так как KDE Neon развивается под крылом проекта KDE, но не является официальным дистрибутивом для этой оболочки.\nТаким образом мы получаем стабильный выпуск Ubuntu с долгосрочной поддержкой и всегда свежую версию KDE Plasma, что должно прийтись по вкусу всем любителям этой оболочки, не желающим ждать очередной Kubuntu LTS чтобы получить обновление рабочей среды.\nДля скачивания доступны несколько сборок дистрибутива:\nUser Edition - содержит последнюю стабильную версию программного обеспечения KDE, предназначена для обычных пользователей и повседневной работы Testing Edition - включает предварительные версии программ KDE, предназначен для тестирования, может содержать ошибки Unstable Edition - основана на разрабатываемой ветке, содержит самые свежие версии с множеством ошибок, к повседневной работе не предназначена Developer Edition - версия Unstable Edition для разработчиков, добавлены предустановленные инструменты разработки Для обычного пользователя интерес представляет User Edition, ну может быть еще и Testing Edition, если вы готовы мириться с возможными ошибками выпуска и хотите быть всегда на переднем крае прогресса. Мы же будем использовать последний стабильный выпуск User Edition, которые нумеруются по версии окружения KDE, таким образом текущей версией на момент написания статьи был KDE Neon 5.27.\nДистрибутив поставляется в виде Live Images, что позволяет проверить работу системы на собственном оборудовании без установки. В качестве установщика используется Calamares, которая используется начиная с 2017 года вместо штатной Ubiquity, так как последняя, со слов разработчиков, не содержит некоторых функций. Установщик простой и понятный, запутаться в процессе решительно негде. Сам процесс тоже не занимает много времени. В новой системе нас встречает свежая Plasma в весьма минималистичном исполнении: минимум предустановленных программ и даже нет стандартных папок в домашней директории. Но эта проблема отлично решается одной короткой командой:\n1xdg-user-dirs-update После чего все привычные папки появляются на своих местах. А вот отсутствие предустановленного софта - это скорее большой плюс, нежели минус, так как позволяет гибко настроить систему под собственные потребности. Из коробки присутствуют: браузер Firefox, медиаплеер VLC, текстовый редактор, просмотрщик изображений, магазин, терминал и ряд системных утилит KDE.\nВсе остальное нужно ставить самостоятельно, из источников доступны репозитории Ubuntu 22.04 LTS, Snap и Flatpak в различных сочетаниях. По умолчанию используется версия из репозитория (если доступна), поэтому будьте внимательны и всегда проверяйте источник пакета, особенно если вам нужна именно последняя версия. Если приложение доступно только в виде универсальных пакетов, то приоритет отдается Flatpak, некоторые пакеты представлены исключительно в виде Flatpak. В целом проблем с софтом возникнуть не должно, представлены все популярные источники и каждый может сам выбрать откуда и какие программы ставить. Затруднения могут возникнуть только у того, кто видит настольный Linux первый раз, но в этом случае лучше взять ту же Kubuntu.\nИз репозиториев в системе представлены официальные репозитории Ubuntu 22.04, репозитории проекта KDE Neon и PPA-репозиторий Mozilla, так как в последних Ubuntu браузер Firefox доступен только в виде Snap-пакета. Таким образом основа системы остается всегда стабильной и поддерживается в рамках текущего выпуска Ubuntu LTS, а поверх нее работает фактически rolling-release версия Plasma. Потребление ресурсов весьма умеренное, по современным меркам. Дистрибутив будет прекрасно себя чувствовать на любой актуальной платформе с 4 ГБ оперативной памяти и выше. А возможность самому выбрать набор устанавливаемого ПО благотворно сказывается на размере установленной системы. В остальном система ничем существенно не отличается от Ubuntu. Работает быстро, стабильно, поддерживает все современные возможности, кодеки, имеет отличную поддержку русского языка.\nВыводы KDE Neon представляет собой достаточно интересное сочетание стабильной LTS-платформы и плавающего релиза Plasma. Но как говорят сами разработчики - мы не занимаемся системой, мы занимаемся KDE. Поэтому в основу дистрибутива положена стабильная основа с долгосрочной поддержкой, а в качестве источников пактов добавлены Snap и Flatpak. Все это позволяет сосредоточиться именно на главной цели - стабильно предоставлять пользователям самую свежую версию Plasma.\nИ такой подход достоин внимания, особенно если вы являетесь поклонником рабочего стола KDE. С KDE Neon вы получите практически ту же самую Kubuntu, но с последней версией оболочки и без предустановленного ПО. А затем гибко сможете настроить систему под собственные цели. При этом под капотом вы получите все тот же привычную и стабильную Ubuntu LTS, что позволяет спокойно использовать систему для работы и в производственных средах.\n","id":"33f66eb7ea64cfab85246d99b8fc9a5d","link":"https://interface31.ru/post/kde-neon-vsegda-svezhaya-plasma-na-stabil-noy-osnove/","section":"post","tags":["KDE","Linux","Ubuntu"],"title":"KDE Neon - всегда свежая Plasma на стабильной основе"},{"body":"Astra Linux занимает ведущее место среди предназначенных для импортозамещения дистрибутивов и так получается, что ее пользователями становятся не только те, кому действительно нужна повышенная безопасность и мандатная система доступа, но и простые пользователи, которым нужен всего лишь Linux из реестра отечественного ПО. Одной из таких категорий пользователей стали учебные заведения и именно для них предназначен портал EasyAstra, который должен помочь во внедрении и освоении новой операционной системы. Но полезен он может оказаться не только школам.\nДля тех, кто еще не знаком с предметом нашего обзора мы рекомендуем предварительно прочитать нашу статью:\nРекомендуем к прочтению Обзор Astra Linux SE 1.7 Орел Если коротко, то Astra Linux SE - это ОС, которая разрабатывается в первую очередь для систем, требующих повышенного уровня защищенности, что накладывает свой отпечаток на многие решения и их практические реализации. И это вполне оправдано, если речь идет о силовых и государственных организациях, в т.ч. работающих с секретными документами. Но вызывает ряд проблем и сложностей для обычных пользователей, которым нужен просто рабочий Linux.\nА проблемы начнутся довольно скоро, пакетная база Astra SE 1.7 основана на Debian 10 с некоторыми пакетами из Ubuntu 22.04 LTS, что по сегодняшним меркам является уже порядком устаревшим. И если предыдущая версия офисного пакета не вызовет особых проблем, то вот для браузера это уже может быть довольно критично, не говоря о мессенджерах и прочем подобном софте.\nНачнем с того, что в репозиториях их либо нет, либо находятся сильно устаревшие версии, что во многих случаях равнозначно отсутствию. Установка стороннего пакета скорее всего упрется в зависимости и потребует подключения сторонних репозиториев. Технически к Astra Linux можно подключить репозитории из Debian и спокойно решить эту проблему, но не все пользователи могут сделать это, не потеряв необходимого уровня защищенности системы. Грубо говоря, после такого действия Astra перестанет быть тем, для чего ее покупали со всеми сопутствующими проблемами.\nДополнительной сложностью является отсутствие в системе какого-либо подобия современного магазина, простому пользователю остается невеселая альтернатива: консоль или Synaptic. Понятно, что в целевых внедрениях, там куда Astra изначально предназначалась все перечисленное не является проблемой, но если взять те же школы...\nНа этом фоне приятной неожиданностью стало появление портала EasyAstra, который предназначен со слов самих разработчиков для:\nПортал EasyAstra создан для организации методической и информационной поддержки общеобразовательных учреждений Российской Федерации при переходе на использование национальной операционной системы специального назначения ASTRA LINUX SPECIAL EDITION (ALSE) версии 1.7 (уровень безопасности \u0026quot;Орел\u0026quot; или \u0026quot;Воронеж\u0026quot;).\nТо, что портал нацелен на школы ясно с первого взгляда, но есть одна его часть, которая будет интересна не только лишь школам, речь идет о Магазине приложений. Снова дадим слово разработчикам:\nВ магазине размещаются приложения, необходимые для ведения деятельности общеобразовательной организацией в среде отечественной операционной системы ASTRA LINUX SPECIAL EDITION (ALSE) версии 1.7. Приложения распространяются в виде установочных deb-пакетов. Собираются пакеты, отсутствующие (имеющие устаревшую версию) в официальном репозитории ASTRA LINUX SPECIAL EDITION или распространяемые разработчиком в \u0026quot;неудобном\u0026quot; для конечного пользователя виде.\nМагазин представлен в двух версиях: веб-сайта и настольного приложения, при этом на сайте доступно 51 приложение, а в десктопном магазине - 96, почему такая разница мы разберемся позже, а пока просто посмотрим, что предлагает нам веб-портал. Часть приложений, причем меньшая, действительно нужна исключительно школам, а в остальном там достаточно универсальный софт: мессенджеры, браузеры, среды разработки, графические и видеоредакторы и т.д. и т.п. Большинство их них упаковано в единственный DEB-файл, что крайне упрощает их установку.\nМы решили попробовать скачать и установить что-нибудь не очень простое при обычной, ручной установке. Наш выбор пал на PascalABC.NET, который написан с использованием платформы .NET и его установка в Linux не самая простая задача. В нашем случае мы просто качаем DEB-пакет и запускаем его двойным щелчком мыши. Посмотрим зависимости, а там целых 182 пакета, все они берутся из репозитория Astra, что позволяет использовать ПО из веб-версии магазина без подключения дополнительных репозиториев. Каких-либо проблем с установкой нет, программа корректно прописывается в стартовое меню, спокойно запускается и работает. Теперь попробуем установить настольную версию магазина, сразу настораживает рекомендация установить ключи для репозиториев debian. Они, как и сам дистрибутив магазина, идут в виде DEB-пакетов, поэтому с установкой сложностей не возникнет, а мы сразу после установки проверим некоторые свои предположения.\nТочно, десктопный магазин подключил дополнительные репозитории Debian, видимо не все ПО можно спокойно запустить в пределах экосистемы Astra. Общее количество такого ПО вычислить не сложно, получается довольно много - 46 пакетов. И если для школ подключение сторонних репозиториев вполне допустимо, то в иных случаях это может оказаться критичным, поэтому отнеситесь к этому вопросу серьезно и в случае сомнений используйте только веб-версию магазина.\nСамо приложение выполнено в виде классического магазина и позволяет управлять не только собственными, но и уже установленными в систему приложениями, так прямо отсюда мы можем удалить LibreOffice, еще одна часть приложений недоступна. Возможно, это задел на будущее, а возможно есть и какие-либо иные причины. Любопытно, что если посчитать количество приложений по указанным во вкладках разделов, то получится целых 107 программ. Ну давайте что-нибудь поставим, например, Телеграм. Нажимаем установить и некоторое время наблюдаем анимацию. Нет никаких логов, лишних диалогов или запросов, все рассчитано на обычного пользователя: нажал на кнопку - получил результат. Приложения отлично интегрируются в систему и без проблем запускаются и работают, что и ожидается от любого магазина. Кстати, в приложении нашлась еще одна интересная вкладка, правда полностью неактивная, которая предполагает поддержку и управление Snap-пакетами. Задумка, безусловно, интересная, но идущая вразрез с основной политикой и предназначением Astra, но если говорить о той категории пользователей, которым вся эта безопасность не нужна, то почему бы и нет? В целом портал EasyAstra и магазин приложений - задумка безусловно нужная и полезная. В дальнейшем хотелось бы видеть расширение магазина на всю систему с возможностью опционально и явным для администратора образом подключать сторонние репозитории и иные внешние источники. Это бы сильно улучшило пользовательские характеристики Astra, особенно если будет возможность использования универсальных пакетов Snap или Flatpak.\nНо все это пока остается на уровне пожеланий, учитывая, что в текущий момент Astra больше использует административный ресурс и не спешит к активному взаимодействию с комьюнити и пользователями.\nТем не менее даже такой простой магазин уже есть и может быть полезен не только школам, но и гораздо более широкому кругу пользователей Astra Linux SE.\nВажное дополнение Практически сразу после публикации произошло два важных события: была выпущена новая версия магазина и с нами связался его автор, который охотно ответил на наши вопросы и рассказал недостающие подробности. Поэтому рекомендуем также прочитать дополнение к статье:\nРекомендуем к прочтению EasyAstra - по следам наших публикаций ","id":"e44bda37eff00839594a6a93d0635620","link":"https://interface31.ru/post/easyastra-astra-linux-stanovitsya-blizhe/","section":"post","tags":["Astra Linux","Импортозамещение"],"title":"EasyAstra - Astra Linux становится ближе"},{"body":"Не так давно мы рассматривали, как настроить классический Honeypot (приманку) на роутерах Mikrotik. Такой подход позволяет выявить и впоследствии заблокировать адреса, с которых проявляют нездоровый интерес к вашей сети, однако в современных условиях эффективность данного метода низкая. В тоже время имеет смысл создать подобную приманку и внутри локальной сети, благодаря этому мы сможем своевременно выявить вредоносную активность внутри периметра, а также различные подозрительные действия пользователей, которые могут и не являться вредоносными, но выходить за рамки их должностных обязанностей.\nПро то, как настроить Honeypot для внешней сети вы можете прочитать в нашей статье:\nРекомендуем к прочтению Настраиваем Honeypot на роутерах Mikrotik При этом никто не мешает настроить сразу две приманки, как для внешних, так и для внутренних пользователей, главное - быть внимательными и не допустить пересечения списков, особенно тех, на основании которых вы осуществляете блокировку.\nЧто касается внутренних пользователей, то мы будем применять два метода. Первый из них направлен на выявление вредоносной активности и чрезмерно любопытных пользователей и представляет тот же Honeypot, но только внутри сети. Здесь мы исходим из того, что любой вредонос прежде всего начнет сетевое сканирование доступных узлов, либо попытки подключиться на известный набор портов. Тоже самое касается и излишне активных пользователей, если рядовой сотрудник интересуется портом Winbox - то это уже повод присмотреться к нему внимательнее.\nВторой метод, по сути, приманкой (Honeypot) не является, но близок к ней по своей сути. В нем мы будем анализировать транзитный трафик на интересующий нас набор портов и выявлять пользователей, которые пытаются установить соединения с внешними RDP, SMTP и иными серверами, особенно не принадлежащим организации. Это тоже определенный звоночек, возможно даже более интересный службе безопасности, нежели админам, но хороший админ также должен знать, кто чем живет и дышит в его сети.\nВ отличии от внешнего Honeypot, где наша окончательная задача заблокировать все запросы от подозрительных узлов, внутренний Honeypot никого блокировать не должен, в данном случае мы просто собираем списки и регулярно отправляем их \u0026quot;куда надо\u0026quot; для последующего ознакомления и реагирования.\nСледующий вопрос - где именно мы будем ловить наши пакеты. Обычно он с завидной регулярностью вызывает дальнейшие расспросы. Это можно сделать как в таблице mangle, так и в таблице filter. Так как нам нужно разделять локальный и транзитный трафик, то мы будем использовать цепочки INPUT и FORWARD.\nБолее правильным является использовать для этой цели таблицу mangle, но не будет большой ошибкой, если вы используете для этого filter. Просто mangle изначально именно для этого и предназначена и обрабатывается раньше, чем filter, т.е. вы можете не волноваться, что нужный пакет попадет под какое-либо терминальное правило и к вам не дойдет. Если же вы выбрали для расположения правил таблицу filter, то размешайте правила в самом начале таблицы.\nЕще раз повторим, что принципиальной разницы между размещением правил в mangle или filter нет, руководствуйтесь тем, как вам удобнее и как будет проще читать конфигурацию брандмауэра вашим коллегам.\nНачнем с создания внутреннего Honeypot, используем те же порты. что и для внешнего, которые представляют наибольший интерес для злоумышленников:\nTCP: 22- SSH, 23 - Telnet, 25 - SMTP, 135-139,445 - Netbios, 3389 - RDP, 5060 - SIP, 8291 - Winbox UDP: 123 - NTP, 135-139,445 - Netbios, 3389 - RDP, 5060 - SIP. Кроме стандартных портов также есть смысл указывать некоторые нестандартные, которые часто используются в реальной жизни, например, 3390 - RDP, или 2222 или 2223 - SSH. При этом не стоит указывать все порты в одном правиле, потому что в таком случае вы без анализа логов не сможете понять куда именно пытался подключиться попавший в списки узел. Имеет смысл сделать отдельные правила для SSH, RDP, Netbios и т.д. и формировать отдельные списки.\nНачнем, перейдем в IP - Firewall - Mangle и создадим правило, в нем мы будем контролировать обращения на порты 22 и 23 - SSH и Telnet: Chain - input, Protocol - tcp, Dst. Port - 22,23, In. Interface - внутренний интерфейс, в нашем случае bridge1. На закладке Action добавим действие - add src to address list и указываем список для адресов, например, SSH. В поле Timeout указываем срок пребывания адреса в листе, в нашем случае сутки. Такое время выбрано исходя из того, чтобы не засорять листы, которые мы будем отправлять на почту администратору раз в сутки. Также для последующего анализа включим запись события в лог, для чего присвоим ему собственный префикс !!!SSH. В терминале это можно быстро сделать командой:\n1/ip firewall mangle 2add action=add-src-to-address-list address-list=SSH address-list-timeout=1d \\ 3 chain=input dst-port=22,23 in-interface=bridge1 log=yes log-prefix=!!!SSH \\ 4 protocol=tcp Здесь возникает еще один тонкий момент: как быть, если указанным сервисом легально пользуются некоторые сотрудники, тем же SSH могут пользоваться администраторы. Все просто - добавим их в исключение, для этого перейдем в IP - Firewall - Address Lists и создадим новый список, например, Admins, куда внесем все адреса администраторов.\n1/ip firewall address-list 2add address=192.168.111.125 list=Admins После чего в правиле на закладке Advanced добавим дополнительный критерий: Src. Address List - ! Admins, что исключит его срабатывание на адреса источников из этого списка. В терминале:\n1/ip firewall mangle 2add action=add-src-to-address-list address-list=SSH address-list-timeout=1d \\ 3 chain=input dst-port=22,23 in-interface=bridge1 log=yes log-prefix=!!!SSH \\ 4 protocol=tcp src-address-list=!Admins Аналогичным образом создаем правила для других наборов портов и начинаем собирать списки адресов, которые проявляют нездоровую активность во внутренней сети.\nОтдельно стоит упомянуть про сканирование портов, RouterOS имеет собственные инструменты для выявления сканирования, для этого создадим правило: Chain - input, Protocol - tcp, In. Interface - bridge1. На закладке Extra развернем блок PSD, для начала можно оставить настройки по умолчанию, смысл их довольно прост: за 3 секунды сканирующий должен набрать 21 очко, за каждый \u0026quot;низкий\u0026quot; порт (0-1023) присваивается 3 очка, за каждый \u0026quot;высокий\u0026quot; (1024-65535) - одно очко. Действия на закладке Action аналогичные предыдущему правилу: добавляем адрес источник в отдельный список адресов и делаем запись в логе с уникальным префиксом: Эти же действия в терминале:\n1/ip firewall mangle 2add action=add-src-to-address-list address-list=PSD address-list-timeout=1d \\ 3 chain=input in-interface=bridge1 log=yes log-prefix=!!!PSD protocol=tcp \\ 4 psd=21,3s,3,1 Теперь перейдем к транзитному трафику. Здесь мы будем выявлять не столько вредоносную активность, сколько различные подозрительные действия пользователей. Скажем, ситуация, когда бухгалтер регулярно подключается к чужому RDP - это уже повод присмотреться к ее работе повнимательнее.\nВот с RDP мы и начнем. Снова возвращаемся в IP - Firewall - Mangle и создаем правило: Chain - forward, Protocol - tcp, Dst. Port - 3389,3390, In. Interface - bridge1. На закладке Action также добавляем адрес-источник в список адресов на сутки и пишем событие в лог с собственным префиксом. Если у вас есть собственные внешние сервера, то создайте еще один список адресов, скажем - MyServers, в который внесите их IP-адреса и укажите его как исключение на закладке Advanced для адресов назначения: Dst. Address List - ! MyServers. В терминале:\n1/ip firewall mangle 2add action=add-src-to-address-list address-list=EXT-RDP address-list-timeout=1d \\ 3 chain=forward dst-address-list=!MyServers dst-port=3389,3390 \\ 4 in-interface=bridge1 log=yes log-prefix=!!!RDP protocol=tcp В случае с внешними ресурсами нас интересует не только кто, но и куда. Поэтому имеет смысл добавлять в тот-же список и адреса назначения, т.е. куда пытались подключиться наши пользователи. Для этого делаем копию правила и на закладке Action меняем действие add src to address list на add dst to address list и выключаем логирование, чтобы не делать дублирующую запись в логе. В терминале:\n1/ip firewall mangle 2add action=add-dst-to-address-list address-list=EXT-RDP address-list-timeout=\\ 3 1d chain=forward dst-port=3389,3390 in-interface=bridge1 protocol=tcp Итак, правила созданы, наполняются адресами и теперь нам нужно настроить их отправку нужным сотрудникам, для этого напишем небольшой скрипт. Перейдем в System - Scripts и создадим новый скрипт с именем SendListsToMail в который добавим следующие строки:\n1/ip firewall address-list print file=PSD-list where list=\u0026#34;PSD\u0026#34; 2/ip firewall address-list print file=EXTRDP-list where list=\u0026#34;EXT-RDP\u0026#34; 3 4/tool e-mail send to=andrey@example.com server=[:resolve \u0026#34;mail.example.com\u0026#34;] port=587 \\ 5 start-tls=yes user=mikrotik@example.com password=PaSSworD_1 from=mikrotik@example.com \\ 6 subject=\u0026#34;Address Lists\u0026#34; body=\u0026#34;Address Lists\u0026#34; file=PSD-list.txt,EXTRDP-list.txt Первые две команды выгружают листы в текстовые файлы, в команде указываем только имя файла, расширение добавится автоматически, последняя отправляет их как вложения на почту. Разберем ее подробнее:\nsend to - адрес получателя server - адрес сервера, если используем FQDN, то используем синтаксис [:resolve \u0026quot;mail.example.com\u0026quot;] port - порт для отправки почты start-tls - включаем использование START-TLS user - логин пользователя на почтовом сервере password - пароль пользователя на почтовом сервере from - почтовый адрес отправителя subject - тема письма body - тело письма file - файлы вложения, несколько файлов разделяем запятой без пробелов. Сохраняем скрипт нажав Apply и проверяем кнопкой Run Script: Если все сделано правильно, то вы получите на указанную почту файлы со списками. Теперь нужно добавить данный скрипт в планировщик. Переходим в System - Scheduler и добавим новое задание, в нем нас интересует два параметра: Start Time - время срабатывания и Interval - периодичность выполнения. На время отладки можно задать срабатывание на ближайшие несколько минут, чтобы проверить задание, а потом установить нужное время, интервал указываем равный суткам.\nВ поле On Event пишем команду запуска нашего скрипта:\n1/system script run SendListsToMail Дожидаемся времени исполнения и проверяем почту, списки должны прийти строго по расписанию: Конечно, данная статья не охватывает всех возможностей данного решения, мы только лишь дали необходимую базу, а дальше каждый из вас может сам гибко настроить его под свои потребности. Надеемся, что данный материал окажется вам полезен.\n","id":"07646f1ce9c5e88261b68b7651f504e9","link":"https://interface31.ru/post/nastraivaem-honeypot-dlya-vnutrenney-seti-na-routerah-mikrotik/","section":"post","tags":["Honeypot","MikroTik","Безопасность"],"title":"Настраиваем Honeypot для внутренней сети на роутерах Mikrotik"},{"body":"В завершении цикла об обновлении продуктов Proxmox мы рассмотрим сегодня самый узкоспециализированный - почтовый шлюз Proxmox Mail Gateway. Это простое в использовании и бесплатное решение для фильтрации потоков входящей и исходящей почты и эффективное решение для борьбы со спамом и вредоносными вложениями. Каких-либо подводных камней при обновлении шлюза на новую версию нет и на официальном сайте присутствует инструкция, но по уже сложившейся традиции мы публикуем русскоязычный материал с собственными дополнениями.\nЕсли шлюз у вас установлен на реальное железо, то обновление следует начать с проверки физического состояния накопителя и файловой системы:\n1fsck -n -f Затем обновим текущую версию до последнего выпуска:\n1apt update -y \u0026amp;\u0026amp; apt full-upgrade -y \u0026amp;\u0026amp; apt autoremove -y После обновления обязательно перезагрузим сервер.\nТак как обновление - это потенциально опасный процесс, то проверьте, что у вас есть надежная связь с сервером резервного копирования и возможность физического доступа (или IP-KVM) к нему. Во избежание проблем при кратковременном обрыве связи или непреднамеренном закрытии терминала используйте утилиту screen или аналоги.\nВнимание! Важно! Ни в коем случае не используйте веб-терминал в интерфейсе Proxmox Mail Gateway, в этом случае связь будет обязательно потеряна и обновление завершится неудачей.\nПеред обновлением выполним резервное копирование настроек шлюза:\n1pmgbackup backup Копия будет создана в директории /var/lib/pmg/backup, рекомендуем скопировать ее за пределы сервера.\nПеред тем, как продолжить, убедимся, что версия продукта 7.3-6 или выше, для этого можно воспользоваться командой:\n1pmgversion Затем запустим скрипт, который выполнит оценку готовности шлюза к обновлению:\n1pmg7to8 Если есть ошибки, они выделены красным, то их надо обязательно исправить. Предупреждения (желтые) обычно не препятствуют обновлению, но могут привести к различным нежелательным последствиям, поэтому также рекомендуем их внимательно изучить. Заменим репозитории Debian 11 на 12:\n1sed -i \u0026#39;s/bullseye/bookworm/g\u0026#39; /etc/apt/sources.list После чего заменим репозитории Proxmox, мы используем некоммерческие репозитории, в вашем случае возможно придется уточнить путь к файлу:\n1sed -i \u0026#39;s/bullseye/bookworm/g\u0026#39; /etc/apt/sources.list.d/pmg-no-subscription.list Остановим и замаскируем ряд служб для предотвращения появления изменений в базе во время обновления.\n1systemctl stop postfix pmg-smtp-filter pmgpolicy pmgdaemon pmgproxy pmgmirror pmgtunnel 2systemctl mask postfix pmg-smtp-filter pmgpolicy pmgdaemon pmgproxy pmgmirror pmgtunnel Маскировка отличается от отключения службы тем, что отключенную службу можно запустить вручную, а замаскированную - нет.\nТеперь можно обновить список пакетов:\n1apt update И выполнить обновление системы:\n1apt full-upgrade Для тех, кто не знает: подобные окна закрываются нажатием на букву q. На вопросы перезаписи файлов отвечаем отрицательно - N или просто нажимаем Enter, так как \u0026quot;No\u0026quot; - действие по умолчанию. По окончании процесса обновления выполним очистку:\n1apt autoremove 2apt clean И перезагрузим систему:\n1reboot После перезагрузки сразу отключим службу ClamAV On-Access Scanner, которая не используется Proxmox Mail Gateway и будет только мешать работе:\n1systemctl disable clamav-clamonacc.service После чего произведем апгрейд кластера СУБД с Postgres 13 на 15. Сначала удалим созданный по умолчанию кластер:\n1pg_dropcluster --stop 15 main Затем проапгрейдим уже существующий:\n1pg_upgradecluster -v 15 13 main Снимем маскировку с части служб:\n1systemctl unmask postfix pmg-smtp-filter pmgpolicy pmgdaemon pmgproxy И перезапустим систему:\n1reboot После перезагрузки снова снимем маскировку и запустим оставшиеся службы:\n1systemctl unmask pmgmirror pmgtunnel 2systemctl start pmgmirror pmgtunnel И, наконец, удалим старую версию PostgreSQL:\n1apt purge postgresql-13 postgresql-client-13 Теперь можно обновить веб-интерфейс и перейти к работе в новой версии Proxmox Mail Gateway: Если ваш сервер находится в юрисдикции РФ, то может потребоваться заменить адрес зеркала ClamAV, так как официальные зеркала заблокированы для пользователей из РФ. Для этого перейдите в Configuration - Virus Detector - ClamAV и в строке Database Mirror укажите зеркало:\n1https://pivotal-clamav-mirror.s3.amazonaws.com На этом процесс обновления Proxmox Mail Gateway на версию 8 завершен.\n","id":"195f4006d9da00bae8acd2cbfb2f68d2","link":"https://interface31.ru/post/obnovlyaem-proxmox-mail-gateway-s-versii-7-do-8/","section":"post","tags":["E-mail","Proxmox","Безопасность","Сетевые технологии"],"title":"Обновляем Proxmox Mail Gateway с версии 7 до 8"},{"body":"Рассказывать о том, что такое Let's Encrypt сегодня не нужно, этот центр сертификации стал фактически стандартом де-факто для быстрого и автоматического получения бесплатных сертификатов. Это позволяет без лишних затрат надежно защитить сетевые службы и больше не возвращаться к этому вопросу. В новой версии RouterOS 7 также появилась возможность работать с этим центром сертификации, что сделало возможным отказаться от выпуска собственных сертификатов и избежать необходимости их ручной установки на клиенте. Но не все так просто и радужно и в данной статье мы эти вопросы разберем.\nПодготовка к получению сертификата Для получения сертификата Let's Encrypt вам понадобится доменное имя и выделенный IP-адрес, если у вас уже есть собственный домен, то можете создать нужный поддомен и в A-записи для него указать выделенный адрес роутера. Эти изменения вносятся на DNS-сервере, обслуживающем ваш домен. Например, запись может выглядеть так (формат BIND):\n1chr72 IN A 198.51.100.72 При работе через веб-интерфейс смысл остается примерно тем же: Если собственного доменного имени нет или выделенный адрес является динамическим, то можно использовать встроенную службы DDNS в Mikrotik. Для этого перейдите в IP - Cloud и установите флаг DDNS Enabled, через некоторое время вы получите уникальное доменное имя для роутера. 1/ip cloud 2set ddns-enabled=yes Для работы с Let's Encrypt нам потребуется веб-сервер и открытый для доступа извне 80 TCP порт. А вот здесь начинаются первые особенности, веб-сервер в RouterOS неразрывно связан с webfig, т.е. веб-интерфейсом для настройки роутера и вам придется его включить в IP - Services: Поэтому, прежде чем открывать доступ, убедитесь, что все ваши пользователи имеют надежные пароли. Также можно подстраховаться и запретить вход в webfig всем или выбранным категориям пользователей. Для этого перейдите в System - Users и в открывшемся окне, на вкладке Groups для всех или только выбранных групп снимите в разрешениях флаг web. Теперь при попытке входа, даже с правильными учетными данными, вы получите сообщение что аутентификация не выполнена. Все, что нам осталось - это создать разрешающее правило для входящего трафика на 80 порт. Переходим в IP - Firewall и создаем правило: Chain - input, Protocol - 6 (tcp), Dst. Port - 80. Так как действие по умолчанию - accept, то никаких дополнительных действий делать не нужно. После создания обязательно добавьте ему комментарий, например, HTTP. Либо в терминале:\n1/ip firewall filter 2add action=accept chain=input comment=HTTP dst-port=80 protocol=tcp Данное правило должно располагаться ниже правила разрешающего уже установленные и связанные соединения и выше запрещающего правила в цепочке INPUT.\nПолучаем сертификаты штатными инструментами RouterOS 7 Графического инструмента для работы с Let's Encrypt нет, поэтому перейдем в терминал и отдадим команду:\n1/certificate enable-ssl-certificate dns-name=chr72.example.com Если вы используете встроенную службу DDNS, то можно ограничиться командой:\n1/certificate enable-ssl-certificate Полученный сертификат можно увидеть в System - Certificates, он будет иметь имя вроде letsencrypt-autogen_2023-07-31T17:09:41Z и флаги KT. Он автоматически привязывается к службе www-ssl и также будет автоматически продляться без участия пользователя. При этом никто не мешает нам использовать данный сертификат для любых других служб, скажем - SSTP-сервера. Но здесь появляется проблема: после продления сертификат будет сохранен с новым именем (как можно было видеть выше в имя входят дата и время выпуска) и вам придется вручную изменять сертификат в настройках сервиса.\nПолучаем сертификаты при помощи скрипта В общем Mikrotik в своем репертуаре: инструмент нужный и полезный, но реализация - как всегда, через одно место. Поэтому снова призовем на помощь универсальный инструмент - скрипты. С их помощью мы решим две проблемы: закроем доступ к webfig, который будем открывать только на время получения сертификата, и автоматически привяжем новый сертификат к нужным службам, в нашем примере будем использовать SSTP.\nСначала приведем полный текст, затем разберем его подробнее:\n1:log info \u0026#34;LE renewal\u0026#34; 2 3:local DomainName \u0026#34;chr72.example.com\u0026#34; 4 5/ip firewall filter 6enable [find where comment=\u0026#34;HTTP\u0026#34;] 7 8/certificate 9remove [find where common-name=$DomainName] 10enable-ssl-certificate dns-name=$DomainName 11 12:delay 60s 13 14/certificate 15:local certName [get [find where common-name=$DomainName] name] 16 17/interface sstp-server server 18:set certificate=$certName 19 20/ip firewall filter 21disable [find where comment=\u0026#34;HTTP\u0026#34;] Первой строкой мы делаем запись в лог со статусом info, содержимое - на собственное усмотрение. Второй - задаем доменное имя, на которое будем получать сертификат, его следует указать даже если вы используете DDNS, так как потом по нему мы будем искать нужный сертификат в хранилище.\nЗатем мы включаем разрешающее правило для входящего трафика на порт TCP 80, для поиска правила используется комментарий, в нашем случае HTTP.\nПосле чего находим и удаляем старый сертификат и получаем новый, после чего берем паузу на минуту для завершения всех процессов с помещением сертификата в хранилище.\nСледующим шагом определяем имя полученного сертификата и подключаем его к службе, в данном случае SSTP.\nПоследним шагом выключаем правило брандмауэра, открывающее доступ к веб-серверу и webfig.\nСертификаты Let's Encrypt выдаются сроком на 90 дней, поэтому следует запускать данный скрипт немного раньше, скажем раз в 85 дней, чтобы в случае чего у вас было время на анализ и исправление ситуации.\nНадеемся, что данная статья будет вам полезна и поможет начать работать с сертификатами Let's Encrypt на роутерах Mikrotik.\n","id":"7ccdea3200d218bd09fa888e45f1079f","link":"https://interface31.ru/post/rabotaem-s-sertifikatami-lets-encrypt-na-routerah-mikrotik-routeros-7/","section":"post","tags":["Let's Encrypt","MikroTik"],"title":"Работаем с сертификатами Let's Encrypt на роутерах Mikrotik (RouterOS 7)"},{"body":"После выхода новой версии Debian 12 Bookworm была обновлена вся линейка продуктов Proxmox, включая Proxmox Backup Server - интегрированное решение для резервного копирования вашей виртуальной инфраструктуры. Необходимость и своевременность обновления каждый решает самостоятельно, но мы специально подготовили для вас материал на основе официальной документации и собственного опыта, который позволит вам быстро и без затруднений выполнить обновление данного программного продукта.\nПрежде всего убедимся, что физический носитель, на котором установлена система в порядке:\n1fsck -n -f Затем проверим необходимое количество свободного места в корневом разделе, должно быть не менее 5 ГБ:\n1df -h / Обновим текущую систему до последней версии:\n1apt update -y \u0026amp;\u0026amp; apt full-upgrade -y \u0026amp;\u0026amp; apt autoremove -y После обновления следует выполнить перезагрузку.\nЗатем убедимся, что текущая версия пакета proxmox-backup-server 2.4.2 или выше:\n1proxmox-backup-manager versions Теперь сохраним все настройки сервера резервного копирования, для этого перейдем в домашнюю директорию и создадим архив директории с настройками:\n1cd 2tar czf \u0026#34;pbs2-etc-backup-$(date -I).tar.gz\u0026#34; /etc/proxmox-backup В результате вы получите архив с текущей датой, будет не лишним скопировать его в надежное место.\nСледующим шагом переведем все хранилища в режим обслуживания, что сделает их доступными только на чтение и исключит возможное искажение данных в процессе обновления. Также будьте готовы к тому, что вы будете получать сообщения о неудачном завершение резервного копирования от ваших гипервизоров. Это нормально.\nЧтобы перевести хранилища в режим обслуживания выполните для каждого из них следующую команду:\n1proxmox-backup-manager datastore update DATASTORE-ID --maintenance-mode read-only Где DATASTORE-ID - его наименование, например, store_ct. У всех переведенных в режим обслуживания хранилищ меняется значок в веб-интерфейсе и в строке Maintenance mode раздела Option появляется надпись Read-only. Прежде чем продолжать дальше убедитесь, что все хранилища перешли в данный режим. Так как обновление - это потенциально опасный процесс, то проверьте, что у вас есть надежная связь с сервером резервного копирования и возможность физического доступа (или IP-KVM) к нему. Во избежание проблем при кратковременном обрыве связи или непреднамеренном закрытии терминала используйте утилиту screen или аналоги.\nВнимание! Важно! Ни в коем случае не используйте веб-терминал в интерфейсе Proxmox Backup Server, в этом случае связь будет обязательно потеряна и обновление завершится неудачей.\nЗаменим основные репозитории системы с Debian 11 на Debian 12:\n1sed -i \u0026#39;s/bullseye/bookworm/g\u0026#39; /etc/apt/sources.list Затем выполним аналогичную замену для репозиториев Proxmox:\n1sed -i \u0026#39;s/bullseye/bookworm/g\u0026#39; /etc/apt/sources.list.d/pbs-no-subscription.list Где /etc/apt/sources.list.d/pbs-no-subscription.list - файл с подключенным некоммерческим репозиторием, возможно, в вашем случае придется уточнить его наименование.\nЕще раз все внимательно проверяем и переходим к самому процессу обновления, первым шагом обновляем список пакетов:\n1apt update Затем обновляем систему:\n1apt full-upgrade К сожалению, не все знают, как закрывать подобные сообщения, достаточно просто нажать q на клавиатуре. В процессе обновления вы можете получить запросы на перезапись некоторых файлов конфигурации: Выбираем следующие действия:\n/etc/issue - No /etc/ssh/sshd_config - если не вносили собственных изменений, то Yes, иначе - No. /etc/default/grub - No /etc/apt/sources.list.d/pve-enterprise.list - No На вопрос об автоматическом перезапуске служб отвечаем положительно: После чего ждем окончания обновления и выполняем очистку системы:\n1apt autoremove 2apt clean А затем перезагружаем ее:\n1reboot После перезагрузки проверяем статус служб, они должны быть запущены и активны:\n1systemctl status proxmox-backup-proxy proxmox-backup Обновите страницу веб-интерфейса и убедитесь, что вы работаете в новой версии: Затем переведите все хранилища в обычный режим, для этого для каждого из них выполните команду:\n1proxmox-backup-manager datastore update DATASTORE-ID --delete maintenance-mode Где DATASTORE-ID - наименование хранилища.\nНа этом обновление завершено, Proxmox Backup Server версии 3 совместим с гипервизорами PVE не только 8-й, но и предыдущих версий при условии, что на них установлены все последние обновления.\nОбновление Proxmox Backup Server установленного совместно с Proxmox Virtual Environment Proxmox Backup Server может быть установлен на одном узле совместно с Proxmox Virtual Environment, в этом случае обновление обоих продуктов следует осуществлять одновременно. Это не сложно, но требует придерживаться определенного алгоритма действий, который мы и рассмотрим ниже. Для обновления Proxmox Virtual Environment следует использовать наш материал:\nРекомендуем к прочтению Обновляем Proxmox Virtual Environment с версии 7 до 8 Весь процесс обновления можно условно разделить на несколько этапов:\nПодготовка к обновлению Замена репозиториев Обновление системы Операции после обновления Третий этап, а именно сам процесс обновления будет проходить для обоих продуктов одновременно, остальные должны быть выполнены отдельно. Поэтому внимательно изучите обе инструкции и выпишите все необходимые действия по этапам. Затем выполните первый этап для PVE и первый этап для PBS, ряд действий при этом можно совместить, например, проверку свободного места и состояние физического носителя.\nПосле чего выполните замену репозиториев для каждого продукта, замена системных репозиториев делается один раз, они общие.\nТеперь внимательно проверьте все еще раз, чтобы убедиться, что вы ничего не забыли и не пропустили, что все необходимые подготовительные действия для обоих продуктов выполнены. После чего систему можно обновить.\nПосле обновления поочередно выполните все необходимые операции для каждого продукта отдельно.\n","id":"3a1f488d60e3c93e3f7c9e4a043133be","link":"https://interface31.ru/post/obnovlyaem-proxmox-backup-server-s-versii-2-do-3/","section":"post","tags":["Debian","Proxmox","Виртуализация","Резервное копирование"],"title":"Обновляем Proxmox Backup Server с версии 2 до 3"},{"body":"В заключение нашего короткого цикла обзоров систем основанных на Arch нам бы хотелось представить Garuda KDE Dr460nized, это третий по популярности в рейтинге DistroWatch дистрибутив в своем семействе, и он сильно не похож на две других системы, которые мы уже рассмотрели. И если Manjaro можно рассматривать как Ubuntu в мире Arch, а EndeavourOS, наоборот, как суровый, ориентированный на консоль, дистрибутив, то с Garuda все по-другому. Он не рассчитан на новичков, но и не стремится к аскетизму, скорее наоборот, но не будем забегать вперед...\nGaruda Linux поставляется с большим набором рабочих сред, но основной сборкой является KDE Dr460nized, представляющая собственное понимание как должна выглядеть Plasma. Обещают темную тему, яркое оформление и рабочий процесс похожий на Mac. На этот раз обойдемся без долгих предисловий и сразу перейдем к установке системы.\nИнсталлятор здесь снова Calamares, загрузка происходит в Live-режиме, что дает возможность протестировать совместимость с железом. Визуальное оформление системы чем-то напоминает неоновый стиль 80-х, но там не было драконов. А вот вариативности при установке здесь меньше, в качестве файловой системы безальтернативно предлагается btrfs с zstd сжатием. В остальном никаких сложностей установка не таит, все просто, быстро и привычно. Окно входа в систему, довольно стильное, с непременным драконом: Система встречает нас запуском фирменного Garuda Setup Assistant, который обязательно начнет с обновлений, запустив для этого терминал. А так как это Arch, то готовьтесь обновляться много и обновляться часто, кроме того, включенный по умолчанию Chaotic-AUR придает процессу нотки пикантности. В нашем же случае не успели даже войти в систему, а уже 1,1 ГБ обновлений, при общем размере установленной пакетной базы в 3,8 ГБ. Ассистент позволяет быстро изменить состав системы, например, выбрав нужные ядра: Системы управления пакетами и магазины ПО: Установить различные пакеты: офисные, мультимедийные и т.д. Следующим родным приложением, которое вы встретите, будет Garuda Welcome - отсюда можно получить доступ к основным инструментам настройки и управления системой. Например, к обслуживанию и управлению основными системными настройками: Или к снимкам btrfs, их особенность заключается в том, что откатиться на них вы сможете прямо из загрузочного меню GRUB. Этим и обусловлено безальтернативное использование btrfs, как говорят разработчики, они приложили все усилия, чтобы вы всегда смогли загрузить свою систему, даже после неудачного обновления.\nДля тонкой настройки графической оболочки доступны стандартные настройки KDE. Все это видится достаточно простым и удобным. Но многие пункты подразумевают наличие определенных базовых знаний, за ручку тут, как в Manjaro не водят, поэтому однозначно назвать Garuda дружественным для новичков нельзя. Определенный базовый опыт все-таки потребуется.\nНо мы так и не взглянули на саму систему, а здесь у нас Plasma со стилизацией под Mac. Это и меню в верхнем левом углу, и док внизу, и перенесенные налево кнопки управления окнами. И яркие, неоновые цвета в оформлении, которых, на наш взгляд, слишком много. Для управления ПО можно использовать что угодно, хоть терминал, хоть Pamac или вообще штатный для KDE Discover. Нет проблем с поддержкой внешних накопителей больших размеров, из коробки настроен SMB-клиент, есть поддержка принтеров. Для желающих поиграть есть Garuda Gamer, который позволяет установить Steam, Wine и прочее игровое и околоигровое ПО, а также различные эмуляторы. Для доступа в интернет предлагается собственный браузер на базе Firefox- Firedragon, обещающий более высокий уровень приватности и безопасности. В остальном все стандартно и штатно. Ставим нужные программы и работаем или развлекаемся, так как это Arch, то все программы будут первой свежести с поддержкой всех современных технологий. К этому можно добавить отличную графическую составляющую в стиле Mac: если взять окно за заголовок - оно становится прозрачным, а если начать перемещать, то оно начинает изгибаться. Понятно, что это требует ресурсов, но прожорливым дистрибутив тоже не назвать. На среднем современном ПК можно чувствовать себя вполне уверенно. Выводы Как мы уже говорили, если взять топ 3 дистрибутивов на основе Arch, то мы увидим там самые разные предложения. От дружелюбного к новичкам Manjaro, до достаточно сурового EndeavourOS. Garuda стоит где-то посередине, с одной стороны дистрибутив предлагает множество инструментов управления и настройки. С другой их использование требует определенных базовых навыков.\nНо если вы хотите современную Arch-систему с широкими возможностями кастомизации, но не готовы глубоко погружаться в этот мир, то Garuda будет неплохой альтернативой.\nА если вас не устраивает буйство красок, то всегда можно взять сборку с более классическим интерфейсом, благо выбрать есть из чего.\nНу и напомним, что ни одна основанная на Arch система не может предоставить стабильного окружения, поэтому использовать в производственных средах их категорически не рекомендуется.\n","id":"09208eba441f4e8ae24ba3fc61b29477","link":"https://interface31.ru/post/garuda-kde-dr460nized---yarkiy-i-stil-nyy-i-eto-tozhe-arch/","section":"post","tags":["Arch","Garuda","KDE","Linux"],"title":"Garuda KDE Dr460nized - яркий и стильный и это тоже Arch"},{"body":"Этим летом был выпущен Debian 12, очередной релиз известной операционной системы, которая является основой для целого семейства решений. Не остался в стороне и Proxmox, быстро выпустив новую версию известного гипервизора Proxmox Virtual Environment 8. Обновляться сразу или немного подождать - каждый решает сам, но мы решили уже сегодня подготовить материал по обновлению, который основан на официальной документации и дополнен собственным опытом, накопленным в процессе обновлений данного программного продукта.\nВнимание! Важно! Перед тем как приступать к указанным действиям выполните резервное копирование всех виртуальных машин, копии должны располагаться во внешнем хранилище.\nНачать следует с проверки состояния физического носителя, следует убедиться, что жесткий диск или SSD в порядке, затем проверим файловую систему.\n1fsck -n -f Если все в порядке, то можно продолжить, прежде всего следует обновить гипервизор до последней версии 7.х, это можно сделать как в графической оболочке, так и в командной строке. Для обновления в терминале введите команду:\n1apt update -y \u0026amp;\u0026amp; apt full-upgrade -y \u0026amp;\u0026amp; apt autoremove -y Которая последовательно выполнит обновление списка пакетов, обновит систему и удалит неиспользуемые пакеты.\nПосле обновления систему следует перезагрузить и убедиться, что ее версия 7.4-15 или выше.\nТак как обновление - это потенциально опасный процесс, то проверьте, что у вас есть надежная связь с гипервизором и возможность физического доступа (или IP-KVM) к нему. Во избежание проблем при кратковременном обрыве связи или непреднамеренном закрытии терминала используйте утилиту screen или аналоги.\nВнимание! Важно! Ни в коем случае не используйте веб-терминал в интерфейсе гипервизора, в этом случае связь будет обязательно потеряна и обновление завершится неудачей.\nПеред началом обновления выключим все виртуальные машины, именно выключим, а не поставим на паузу. Это можно сделать при помощи Массовых операций (Bulk Actions). Запустим скрипт проверки возможности обновления:\n1pve7to8 Если есть ошибки, они выделены красным, то их надо обязательно исправить. Предупреждения (желтые) обычно не препятствуют обновлению, но могут привести к различным нежелательным последствиям, поэтому их нужно внимательно изучить и оценить критичность именно для вашего случая.\nСледующим шагом заменим основные репозитории системы с Debian 11 на Debian 12:\n1sed -i \u0026#39;s/bullseye/bookworm/g\u0026#39; /etc/apt/sources.list Затем выполним такую же замену в репозиториях Proxmoх, в нашем случае используются некоммерческие репозитории. Возможно, вам придется уточнить имя файла, в котором они находятся:\n1sed -i \u0026#39;s/bullseye/bookworm/g\u0026#39; /etc/apt/sources.list.d/pve-no-subscription.list Начиная с PVE 8 пакеты Ceph выделены в отдельный репозиторий, поэтому подключим его также в некоммерческом варианте:\n1echo \u0026#34;deb http://download.proxmox.com/debian/ceph-quincy bookworm no-subscription\u0026#34; \u0026gt; /etc/apt/sources.list.d/ceph.list Обновим источники пакетов:\n1apt update И приступим к обновлению системы. Перед этим шагом еще раз внимательно все проверьте, так как вернуться назад можно будет только восстановив систему из резервной копии.\n1apt full-upgrade К сожалению, не все знают, как закрывать подобные сообщения, достаточно просто нажать q на клавиатуре. В процессе обновления будет несколько запросов на перезапись файлов конфигурации: Выбираем следующие действия:\n/etc/issue - No /etc/lvm/lvm.conf - Yes /etc/ssh/sshd_config - если не вносили собственных изменений, то Yes, иначе - No. /etc/default/grub - No /etc/apt/sources.list.d/pve-enterprise.list - No На вопрос об автоматическом перезапуске служб отвечаем положительно: После чего нам можно будет последовать одному старому совету: откинуться на спинку кресла и расслабиться, пока идет процесс обновления, время от времени поглядывая на терминал.\nПо окончанию процесса выполним очистку:\n1apt autoremove 2apt clean И перезагрузим систему:\n1reboot После перезагрузки можете начинать работать с обновленной версией Proxmox Virtual Environment 8. Убедившись, что система работает исправно можно выполнить еще одно необязательное действие, а именно удалить старые ядра 5.х. Это может быть полезно на системах с небольшим размером раздела**/boot**. Для этого выполните команду:\n1apt purge pve-kernel-5* На этом процесс обновления Proxmox Virtual Environment с версии 7 до 8 завершен.\n","id":"fb0e0a421893d23f0e85f745bb734d82","link":"https://interface31.ru/post/obnovlyaem-proxmox-virtual-environment-s-versii-7-do-8/","section":"post","tags":["Debian","Linux","Proxmox","Виртуализация"],"title":"Обновляем Proxmox Virtual Environment с версии 7 до 8"},{"body":"Сетевая файловая система NFS является родным для мира Linux способом организации общего доступа к файлам по сети и ее взаимоотношения с Windows долгое время оставались напряженными. Однако последнее время ситуация начала меняться и Windows перешел от конфронтации к сотрудничеству с открытым ПО. Начиная с Windows 10 1607 (14393) в системе появился штатный NFS-клиент, который позволяет прозрачно подключать и использовать NFS-ресурсы. В данной статье мы расскажем, как его установить и использовать, а также разберем некоторые особенности эксплуатации.\nДля установки NFS-клиента откройте оснастку Программы и компоненты и перейдите по ссылке Включение или отключение компонентов Windows, найдите там раздел Службы для NFS и включите его содержимое. Также можно быстро выполнить установку при помощи PowerShell, для выполнения команды нужно запустить терминал с повышенными правами:\n1Enable-WindowsOptionalFeature -FeatureName ServicesForNFS-ClientOnly, ClientForNFS-Infrastructure -Online -NoRestart Графических инструментов для подключения NFS-ресурсов нет, поэтому снова воспользуемся терминалом, только теперь запустим его без повышения прав:\n1mount -o anon \\\\192.168.233.184\\mnt\\nfs\\doc Z: Команда mount поддерживает ряд опций, которые указываются после ключа -o, в данном случае опция одна - anon, что означает подключение анонимным пользователем. Затем указываем сетевой путь к экспортируемому ресурсу, обратите внимание, что NFS-клиент для Windows поддерживает только NFS v3 и поэтому путь нужно указывать не от корня NFS, а от корня файловой системы. И наконец буква диска куда будет примонтирован ресурс. Адрес NFS-сервера в нашем случае 192.168.233.184.\nЕсли нигде не было допущено ошибок, то в проводнике появится новый сетевой диск с указанной буквой. Для отключение используйте команду:\n1umount Z: У команды mount есть один существенный недостаток, сетевые диски, подключенные таким образом, не восстанавливаются при загрузке системы. Можно, конечно, пойти наиболее простым путем и добавить в автозагрузку пакетный файл с нужными командами, но лучше снова позвать на помощь PowerShell. Данную команду также нужно выполнять без повышения прав:\n1New-PSdrive -PSProvider FileSystem -Name Z -Root \\\\192.168.233.184\\mnt\\nfs\\doc -Persist Обратите внимание, что букву диска для монтирования указываем без двоеточия, а опция -Persist предписывает подключить ресурс на постоянной основе.\nДля отключения ресурса воспользуйтесь командой:\n1Remove-PSdrive -Name Z Для просмотра всех смонтированных NFS-ресурсов, неважно как они были подключены, используйте команду:\n1mount Как можем увидеть, при анонимном подключении Windows использует UID/GID = -2, если мы используем all_squash со стороны NFS-сервера, то это не имеет особого значения, в иных случаях нам может потребоваться указать иные идентификаторы. Это можно сделать через системный реестр, откройте ветвь:\n1HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\ClientForNFS\\CurrentVersion\\Default И добавьте туда два параметра DWORD (32бит) с именами AnonymousUid и AnonymousGid и укажите в них нужные идентификаторы в десятичном виде. После чего перезагрузите компьютер.\nА теперь о проблемах. Для их понимания достаточно посмотреть на следующий скриншот: Начнем с самого безобидного, регистра в именах файлов. Как мы помним - Linux система чувствительная к регистру, поэтому там TEST.txt и test.txt разные файлы. И если вы будете работать с ними в пределах NFS-ресурса, то проблем не возникнет, вы можете даже открыть оба файла одновременно, внести изменения и сохранить. Все это возможно потому, что NFS - это не протокол удаленного доступа, а именно сетевая файловая система.\nПроблемы начнутся, если вы захотите скопировать их в свою систему. Неопытный пользователь вполне может допустить ошибку и перезаписать важный локальный файл.\nА вот следующая проблема куда серьезней и не имеет приемлемого решения на сегодняшний день. Современные Linux системы давно работают с UTF-8, в то время как Windows продолжает использовать региональные кодовые страницы, например, CP-1251 для русского языка. Это приводит к тому, что имена файлов, набранные кириллицей (или любыми иными национальными символами) отображаются \u0026quot;крякозябликами\u0026quot;. Сами файлы при этом доступны и могут быть отредактированы.\nЕсли же мы со стороны Windows поместим на NFS-ресурс файл с кириллицей в имени, то со стороны Linux мы увидим веселые ромбики. В качестве решения можно найти совет включить поддержку UTF-8 в Windows, которая пока находится в состоянии бета. Эта возможность доступа в языковых настройках панели управления. Но это решение из разряда \u0026quot;одно лечим - другое калечим\u0026quot; и покалечено будет гораздо больше, чем вылечено. Дело в том, что достаточно большое количество вполне современных программ ничего не знают об UTF-8 и не умеют с ним работать, в итоге веселые ромбики начнут попадаться вам в самых неожиданных местах вашей системы.\nПоэтому, используя NFS-клиент для Windows следует четко понимать все плюсы, минусы и имеющиеся недостатки. Но в целом появление поддержки NFS в Windows - хорошо, так как делает поддержку гетерогенных сред проще.\n","id":"79b624c7a494576d998922becbfdbac1","link":"https://interface31.ru/post/ustanavlivaem-i-nastraivaem-nfs-klient-v-windows/","section":"post","tags":["NFS","Windows 10","Windows 11","Windows Server","Сетевые технологии","Файловый сервер"],"title":"Устанавливаем и настраиваем NFS-клиент в Windows"},{"body":"NFS (Network File System) - сетевая файловая система в Linux и UNIX-like системах позволяющая монтировать сетевые ресурсы удаленного компьютера и работать с ними как с локальными. Это стандартный и достаточно производительный способ работы с файлами по сети, использование которого более предпочтительно для обмена данными в однородной Linux среде, особенно в тех случаях, когда требуется постоянный доступ к ресурсам. В этой статье мы рассмотрим, как настроить собственный сервер NFS на базе Debian или Ubuntu, а также как получить к нему доступ из удаленных систем.\nКак и любой протокол с большой историей NFS имеет несколько версий, актуальной версией на сегодняшний день является NFS v4 и следует использовать именно ее, в некоторых случаях, обычно в целях совместимости можно использовать версию NFS v3, более ранние версии являются устаревшими и к применению категорически не рекомендуются.\nПользователям пришедшим из Windows систем концепция NFS может показаться несколько непонятной, так как они привыкли, что общий ресурс - это сетевое расположение, доступное на удаленном ПК - файловом сервере и доступ к нему можно получить сразу через сетевое окружение, ну или подключить в виде сетевого диска.\nВ Linux все немного по-другому, файловая система здесь иерархична и начинается всегда от корня, поэтому любые данные, вне зависимости, где они находятся, на внутренних носителях или в локальной сети должны быть подключены к этой иерархии, место такого подключения называется точкой монтирования, после чего вы сможете работать с этими данными точно также как и с локальными, никакой разницы для системы нет.\nПоэтому NFS - это не файловый сервер, а именно сетевая файловая система, хотя и построена по клиент-серверной схеме.\nУстановка и настройка NFS-сервера Прежде всего продумаем структуру данных, NFS v4 требует, чтобы все экспортируемые директории находились в пределах одной общей директории, называемой корневой. На первый взгляд все просто, создаем корень NFS, скажем в /mnt, и добавляем туда несколько экспортируемых папок:\n1mkdir /mnt/nfs 2mkdir /mnt/nfs/adm 3mkdir /mnt/nfs/doc В целях безопасности NFS умеет понижать права подключившихся пользователей до nobody:nogroup и это хорошая практика для общих ресурсов, рекомендуем ее использовать. Поэтому сразу сменим владельца директории:\n1chown -R nobody:nogroup /mnt/nfs Важный момент - в экспортируемых расположениях не должно быть символических ссылок, либо они также должны быть доступны на клиенте, в противном случае они не будут работать. Поэтому если нам надо экспортировать директорию, лежащую за пределами корня NFS, то нам потребуется ее смонтировать.\nНапример, мы хотим поделиться по сети директорией /home/ivanoff/music, для этого создадим точку монтирования:\n1mkdir /mnt/nfs/music А затем добавим в /etc/fstab запись:\n1/home/ivanoff/music /mnt/nfs/music none bind 0 0 Теперь каталог с музыкой будет автоматически монтироваться в расположение NFS при загрузке системы, чтобы выполнить монтирование без перезагрузки выполните:\n1mount -a После того, как вы создали необходимую структуру хранения данных установим сам NFS-сервер:\n1apt install nfs-kernel-server Все экспортируемые файловые системы должны быть описаны в /etc/exports, начнем с корневой, добавим строку:\n1/mnt/nfs 192.168.233.0/24(rw,sync,crossmnt,fsid=0,no_subtree_check,wdelay,all_squash) Давайте разберем ее подробнее:\n/mnt/nfs - путь к экспортируемым данным 192.168.233.0/24 - адрес, которому разрешается доступ, можно указать ***** - всем, сеть или отдельный адрес или имя хоста Далее в скобках идут опции, которые относятся к указанному адресу, обратите внимание, что пробела между адресом и скобкой быть не должно.\nrw - разрешаем запись в экспортируемую директорию sync - сообщать клиенту об успешной записи, только после фактической записи на диск, несколько замедляет работу, но предотвращает возможную потерю данных crossmnt - автоматически монтировать вместе с корневой файловой системой все вложенные fsid=0 - признак корневой файловой системы no_subtree_check - если экспортируется подкаталог, то система будет проверять находится ли запрошенный файл в экспортированном подкаталоге, отключение проверки несколько снижает безопасность, но увеличивает производительность wdelay - позволяет серверу откладывать запись, если он предполагает, что планируется еще одна операция записи, чтобы потом записывать данные большими блоками. Увеличивает производительность при большой глубине очереди all_squash - понижать права всех пользователей до nobody:nogroup На последней опции остановимся более подробно, NFS по умолчанию не использует аутентификацию и доступ разграничивается по IP-адресам и стандартным UNIX-правам. При этом важно понимать, что права определяются не по имени пользователя, а по его UID/GID, т.е. идентификаторам. В целях безопасности NFS умеет понижать права до минимальных, но по умолчанию это применяется только к суперпользователю, а обычные пользователи будут подключаться со своими UID/GID, но так как мы назначили владельцем экспортируемых директорий nobody:nogroup, то нам нужно также понизить в правах и обычных пользователей, либо пересмотреть всю систему прав доступа.\nОтдельно бы хотелось предостеречь от использования опции no_root_squash, которая отключает понижение прав root при подключении к NFS, это очень большая дыра в безопасности, так как позволяет пользователю с локальными правами администратора залить на сервер исполняемый файл с установленным битом SUID, что будет означать смену прав на суперпользователя при его запуске из-под обычной учетной записи.\nЗатем подключим остальные экспортируемые директории:\n1/mnt/nfs/doc 192.168.233.0/24(rw,sync,no_subtree_check,wdelay,all_squash) 2/mnt/nfs/adm 192.168.233.0/24(rw,sync,no_subtree_check,wdelay,all_squash) Здесь все стандартно: путь, адрес и опции для этого адреса.\nА как быть, если надо подключить разные адреса с разным набором опций? Просто добавьте в строку нужное количество адресов и укажите нужные вам опции:\n1/mnt/nfs/adm 192.168.233.101(...) 192.168.233.102(...) Осталось разобраться с последним экспортируемым ресурсом, который мы примонтировали из домашней папки пользователя. Понятно, что владельцем файлов в ней является сам пользователь и попытки обратиться туда с минимальными правами не увенчаются успехом. Поэтому немного изменим строку экспорта:\n1/mnt/nfs/music 192.168.233.0/24(rw,sync,no_subtree_check,wdelay,all_squash,anonuid=1001,anongid=1001) Здесь у нас добавились две новые опции:\nanonuid - переопределяет идентификатор анонимного пользователя anongid - переопределяет группу анонимного пользователя Обе этих опции работают совместно с all_squash и предполагается что 1001 - это UID/GID пользователя ivanoff, из домашней директории которого мы примонтировали этот ресурс.\nПосле того как вы добавили в файл все экспортируемые ресурсы, выполните команду:\n1exportfs -ra Перезапустить или проверить статус службы вы можете командами:\n1systemctl restart|status nfs-server После чего полезно посмотреть полный набор используемых опций для каждого экспортируемого ресурса, для чего выполните:\n1cat /var/lib/nfs/etab Как видим, набор опций в выводе гораздо шире указанных нами, так как тут также перечислены опции применяемые по умолчанию. На этом настройка NFS сервера закончена. Для работы сервера в версии NFS v4 необходимо разрешить доступ к порту 2049 по TCP и UDP.\nУстановка и настройка NFS-клиента Для работы с NFS в качестве клиента нам потребуется установить пакет nfs-common:\n1apt install nfs-common Никакой дополнительной настройки пакет не требует.\nТеперь попробуем выполнить подключение, сначала в ручном режиме. Прежде всего создадим точки монтирования, куда будет подключаться сетевая файловая система. Например:\n1mkdir /mnt/adm После чего смонтируем в нее одноименный экспортируемый ресурс:\n1mount -t nfs4 192.168.233.184:/adm /mnt/adm В команде монтирования для указания нужного ресурса используется синтаксис server:/export, пути к экспортируемым ресурсам указываются относительно корневой директории NFS-сервера. В нашем случае сервер представлен IP-адресом 192.168.233.184, а экспортируем мы ресурс /mnt/nfs/adm.\nЕсли все сделано правильно, то можете открыть указанную точку монтирования и убедиться, что в ней присутствует содержимое сетевой файловой системы. Также проверить монтирование и получить полную информацию о примонтированных NFS-ресурсах можно командой:\n1mount -t nfs4 Для того, чтобы отмонтировать ресурс используйте команду:\n1umount /mnt/adm В качестве аргумента укажите точку монтирования.\nПостоянное монтирование NFS при помощи fstab Самый простой, но не самый удобный и, по сегодняшним меркам, несколько устаревший способ. Откройте файл /etc/fstab и добавьте в него строку:\n1192.168.233.184:/adm /mnt/adm nfs4 defaults 0 0 Теперь сетевая файловая система будет автоматически монтироваться при загрузке компьютера. Чтобы выполнить монтирование без перезагрузки используйте:\n1mount -a К недостаткам данного способа относится то, что в случае плохого канала связи с NFS-сервером может наблюдаться значительная задержка при загрузке системы, однако если сервер полностью недоступен монтирование производиться не будет.\nПостоянное монтирование NFS при помощи systemd Для монтирования при помощи systemd используются специальные юниты, имя которых должно отображать физический путь к ним, чтобы сформировать имя на основании пути используйте команду:\n1systemd-escape -p \u0026#34;/mnt/adm\u0026#34; Для указанного пути в выводе получим имя mnt-adm, после чего создадим юнит монтирования и откроем его редактором nano, если вы предпочитаете редактор mc, то замените в команде nano на mcedit:\n1nano /etc/systemd/system/mnt-adm.mount И внесем в него следующий текст:\n1[Unit] 2Description=NFS ADM 3 4[Mount] 5What=192.168.233.184:/adm 6Where=/mnt/adm 7Type=nfs4 8Options=_netdev,auto 9TimeoutSec=10 10 11[Install] 12WantedBy=multi-user.target Здесь все достаточно просто, в опции What указываем сетевой ресурс, а в опции Where - точку монтирования.\nЗатем создадим еще один юнит, для автомонтирования ресурса по требованию, это наиболее удобный вариант и рекомендуется разработчиками для сетевых и съемных ресурсов.\n1nano /etc/systemd/system/mnt-adm.automount В нем разместим следующие строки:\n1[Unit] 2Description=Automount NFS ADM 3 4[Automount] 5Where=/mnt/adm 6TimeoutIdleSec=900 7 8[Install] 9WantedBy=multi-user.target Здесь указываем только точку монтирования. Остальные параметры мы не будем разбирать подробно, так как об этом можно прочитать в нашей статье:\nРекомендуем к прочтению Монтирование файловых систем при помощи systemd Теперь перечитаем список юнитов, добавим юнит автомонтирования в автозагрузку и сразу запустим.\n1systemctl daemon-reload 2systemctl enable --now mnt-adm.automount Перезагружать систему не надо, при работающем юните достаточно обратиться к указанной точке монтирования, и сетевая файловая система будет подключена автоматически.\n","id":"9355486b8bb81407fb2fada4fe93596d","link":"https://interface31.ru/post/nastraivaem-setevuyu-faylovuyu-sistemu-nfs-v-debian-i-ubuntu/","section":"post","tags":["Debian","Linux","NFS","Ubuntu","Ubuntu Server","Сетевые технологии","Файловый сервер"],"title":"Настраиваем сетевую файловую систему NFS в Debian и Ubuntu"},{"body":"Если вы используете Samba для организации общих файловых ресурсов, то, наверное, заметили, что в последних версиях Windows такие сервера больше не отображаются в сетевом окружении, хотя нормально работают при прямом подключении к ним. Это связано с полным отказом в Windows от использования протокола SMB1 и невозможностью обнаружить Samba по протоколу NetBIOS. Современные Windows системы используют для обнаружения устройств WSD (Web Services for Devices) и сегодня мы расскажем, как добавить его поддержку для вашего сервера Samba.\nЕще раз повторим, данная статья рассказывает, как включить отображение нормально работающего Samba-сервера в сетевом окружении современных Windows-систем. Если же вы испытываете проблемы доступа к серверу из последних версий Windows, то обратитесь к другой нашей статье:\nРекомендуем к прочтению Исправляем ошибку подключения Windows к общим ресурсам на сервере Samba Linux Для включения поддержки WSD нам потребуется пакет wsdd, который штатно присутствует в репозиториях Debian 12 и Ubuntu 22.04, если вы используете другие версии систем, то вам потребуется подключить репозиторий разработчиков, он поддерживает Debian 9 - 11, и Ubuntu 16.04 - 22.04.\nЧтобы подключить репозиторий разработчиков сначала скачайте и импортируйте в хранилище ключ:\n1wget -O- https://pkg.ltec.ch/public/conf/ltec-ag.gpg.key | gpg --dearmour \u0026gt; /usr/share/keyrings/wsdd.gpg Теперь подключим сам репозиторий:\n1echo \u0026#34;deb [signed-by=/usr/share/keyrings/wsdd.gpg] https://pkg.ltec.ch/public/ `lsb_release -cs` main\u0026#34; \u0026gt; /etc/apt/sources.list.d/wsdd.list Обновим список пакетов и установим нужную нам службу:\n1apt update 2apt install wsdd Важно! Важно! В Ubuntu 24.04 и новее следует устанавливать пакет wsdd2, аналогичное имя будет и у установленной службы.\nПакет будет автоматически добавлен в автозагрузку и нам останется только запустить его и проверить статус:\n1systemctl start wsdd 2systemctl status wsdd По умолчанию служба работает на всех интерфейсах и протоколах, если мы хотим изменить данное поведение, то следует добавить необходимые опции в файл /etc/default/wsdd, в нем находится единственная допустимая опция:\n1WSDD_PARAMS=\u0026#34;\u0026#34; В ней мы должны указать все необходимые параметры запускасогласно документации.\nТак, например, если мы хотим ограничить работу службы только интерфейсом ens33 и протоколом IPv4, то добавим:\n1WSDD_PARAMS=\u0026#34;--interface ens33 --ipv4only\u0026#34; Либо:\n1WSDD_PARAMS=\u0026#34;-i ens33 -4\u0026#34; Короткая запись проще, но не такая информативная, поэтому в конфигурационном файле мы бы советовали придерживаться длинной.\nПосле внесения изменений в настройки службу следует перезапустить:\n1systemctl restart wsdd Для нормальной работы службы вам также нужно разрешить в брандмауэре входящие соединения для UDP 3702 и TCP 5357.\nСо стороны Windows делать ничего не нужно, Samba-сервера автоматически появятся в вашем сетевом окружении. Как видим, всего лишь одной простой установкой пакета мы можем быстро решить проблему отображения Samba-серверов в сетевом окружении и тем самым существенно повысить удобство работы простых пользователей.\n","id":"408f675f8d2e93f2a321f5565c895064","link":"https://interface31.ru/post/vklyuchaem-otobrazhenie-samba-servera-v-setevom-okruzhenii-windows/","section":"post","tags":[],"title":"Включаем отображение Samba-сервера в сетевом окружении Windows"},{"body":"Если спросить о том, какой дистрибутив на базе Arch Linux наиболее популярен, то вам скорее всего назовут Manjaro, однако если мы заглянем на DistroWatch, то обнаружим, что это далеко не так и в лидерах с довольно большим отрывом находится EndeavourOS. Это достаточно молодой дистрибутив - проект начат только в 2019 году, но уже успевший завоевать популярность. И для этого есть объективные причины, которые мы рассмотрим в данной статье, а также разберемся причем тут космодром и для какой аудитории в первую очередь предназначена эта система.\nИстория EndeavourOS началась в 2019 году, когда был прекращен проект Antergos - также основанный на Arch Linux дистрибутив. Наиболее активные участники сообщества этого дистрибутива продолжили общаться и скоро решили создать собственный проект. Но важным условием было то, что новая система не должна была стать форком или подражанием Antergos, поэтому они пошли полностью своим путем создав новый и достаточно своеобразный дистрибутив.\nОтличительной особенностью новой системы стало то, что она очень сильно пронизана космической тематикой, это проявляется во всем, от выбора названия до графического оформления. Название системы EndeavourOS произошло от имени шаттла Endeavour (Индевор, стремление), это пятый и последний челнок, построенный взамен погибшего Челленджера, он же совершил предпоследний полет в программе Спейс шаттл.\nОднако и имя шаттла тоже было выбрано не просто так. Челнок был назван по имени одного из судов Джеймса Кука, которые использовалось в астрономических наблюдениях, позволивших точно установить расстояние от Земли до Солнца.\nВыбор названия дистрибутива Cassini Nova тоже полностью соответствует теме космоса, Cassini (Кассини) - космический зонд, занимавшийся в течении 20 лет исследованием Сатурна и его спутников.\nЧто касается самой системы, то разработчики позиционируют ее как ориентированную на терминал (terminal-centric) минималистичную систему, которая может быть настроена пользователем в соответствии с собственными предпочтениями. Также сразу заявляется, что дистрибутив рассчитан на пользователей среднего уровня подготовки, которым нравится заниматься настройкой Linux при помощи терминала.\nПо сути, перед нами прямая противоположность Manjaro, которая, наоборот рассчитана на начинающих и является аналогом Ubuntu в мире Arch. В EndeavourOS все по-взрослому, по сути, вам просто помогают быстро установить Arch, а дальше вы уже сами.\nРекомендуем к прочтению Manjaro Linux - самый простой способ окунуться в мир Arch Начнем с установки, в качестве инсталлятора используется все тот же Calamares и загрузка с установочного образа в Live-режиме. Сразу предлагается два варианта установки: онлайн и оффлайн. В первом случае доступен обширный выбор рабочих окружений, но в ванильном виде, во втором безальтернативно XFCE с оформлением EndeavourOS. Ванильные оболочки мы много раз видели, поэтому будем ставить хоть и онлайн, но XFCE. Далее предлагается выбрать рабочее окружение, также доступна возможность установить без рабочего стола, если вы предпочитаете вообще все делать самостоятельно. Хотите установить загрузчик? Или без него? Вопросы явно не для новичков, в случае неправильного выбора вполне можно получить на выходе неработоспособную систему. Ну новичков здесь не ждут, подразумевается, что типовой пользователь EndeavourOS хотя бы в общих чертах понимает, что делает. В остальном процесс установки достаточно стандартный, а пока система копируется на компьютер можно посмотреть слайды, естественно на космическую тематику. Окно входа в систему, выше мы не зря говорили о глубоком погружению разработчиков в тему космоса, потому что на фоновом изображении показан Сатурн, который тесно связан с зондом Cassini. Сразу после установки нас встречает небольшое приложение Welcome, которое поможет выполнить ряд действий, скажем, обновить систему. В остальном мы имеем минимальную установку системы, из программ представлен только браузер и стандартные утилиты XFCE, графическая оболочка имеет собственную тему оформления, достаточно неплохо проработанную в плане дизайна. Также в системе есть ряд собственных утилит, призванных помочь в первоначальной настройке, но не даром разработчики говорили об ориентированном на терминал дистрибутиве. Например, если мы захотим установить некоторое базовое ПО при помощи собственной графической утилиты, то в итоге все равно будет запущен терминал. Системных мониторов тоже два, один стандартный XFCE, его можно найти в стартовом меню, а второй текстовый, запускается по значку на панели задач. В целом основная идея этого дистрибутива понятна - это система для энтузиастов и опытных пользователей, которые предпочитают быстро и точно выполнить необходимые действия в терминале, а не щелкать мышкой по разным кнопочкам. Никакой графической системы управления пакетами тоже нет. Но в крайности он не бросается, прекрасно понимая, что графическая составляющая тоже очень важна и система должна выглядеть привлекательно, ведь работать мы будем с графическими приложениями. С этим здесь тоже полный порядок. Но как быть, если вы не готовы пока к столь радикальному подходу? Ну вспомним, что это все-таки Linux, причем не просто Linux, а Arch. Поэтому никто вас не ограничивает в том, как будет выглядеть система в итоге, хотите графическое управление пакетами? Не вопрос, просто установите магазин Pamac из Manjaro. Но для этого все равно нужно или знать, как это сделать, или хотя бы найти в поиске нужное \u0026quot;заклинание\u0026quot;. В целом уровень входа в систему достаточно высок, но и возможности не менее широкие. Выводы Прежде чем подвести итог, напомним, что EndeavourOS, как и любая Arch система не может предоставить стабильного состояния окружения и не должна использоваться в производственных средах. Это дистрибутив, который содержит самые свежие версии ПО и постоянно обновляется, поэтому вы неизбежно будете сталкиваться с ошибками разной степени критичности.\nСама же EndeavourOS направлена прежде всего на тех пользователей, которые уже имеют базовые знания Linux и готовы потратить некоторое время на персональную настройку системы и при этом не боятся терминала и любят заглядывать под капот. В отличие от Manjaro вас здесь не будут водить за ручку и кормить с ложечки, система из коробки достаточно сурова и аскетична.\nПри этом она весьма неплохо проработана графически и привлекательно выглядит. Это можно назвать однозначным достоинством. Обычно бывает либо отличное графическое исполнение, но минимум возможностей настроить систему под себя, либо наоборот, настраивать придется все, в том числе и тему оформления.\nВ EndeavourOS постарались соблюсти золотую середину, но при этом не пытаться ограничить пользователя рамками дистрибутива, не нравится тема - вы можете легко переключиться на ванильную, такая опция находится на первом экране приложения Welcome. Точно также и в остальном - вам дают минимально установленную систему и теперь вам, и только вам решать, что из нее получится дальше.\n","id":"84eef0fe25575e98d2f14cc888f43277","link":"https://interface31.ru/post/endeavouros-i-snitsya-nam-ne-rokot-kosmodroma/","section":"post","tags":["Arch","EndeavourOS","Linux","XFCE"],"title":"EndeavourOS - и снится нам не рокот космодрома"},{"body":"Многие знают NGINX как быстрый и эффективный веб-сервер, но это не единственное его применение. Не менее популярно его использование в качестве обратного прокси-сервера, который позволяет получить через единственный внешний адрес доступ сразу к нескольким внутренним ресурсам. Потребность в этом может возникнуть, если у вас существует несколько веб-публикаций 1С:Предприятие на разных серверах к которым нужно организовать доступ для внешних клиентов. Также NGINX поможет обеспечить нам безопасность, взяв на себя SSL-шифрование и парольную аутентификацию.\nПочему именно NGINX и именно обратный прокси? Давайте разберем простой пример: в нашей сети есть два условных сервера 1С, каждый из которых имеет веб-публикации, допустим на IIS и Apache. Оба сервера используют одни и те же порты и просто так одновременный доступ к ним организовать не получится, как минимум один из них придется размещать на нестандартном порту, что не добавляет удобства в эксплуатации.\nЗатем для каждого из них нужно обеспечить SSL-шифрование, что только добавляет мороки с сертификатами, их продлением и преобразованием в различные форматы. При использовании парольной аутентификации также придется одновременно вести две базы пользователей, а если есть еще какие-то внутренние веб ресурсы, которые нужно также сделать доступными снаружи?\nВ общем чем дальше - тем больше проблем. Все их можно решить при использовании обратного прокси-сервера. Если обычный прокси-сервер обеспечивает доступ множества внутренних клиентов к внешнему миру, то обратный прокси-сервер решает противоположную задачу, помогая внешним клиентам получить доступ ко множеству внутренних ресурсов через один внешний адрес.\nДля понимания роли и места обратного прокси в инфраструктуре мы создали простую схему: В нашей условной сети есть два веб-сервера на которых опубликованы информационные базы 1С:Предприятия:\nIIS-SRV-1C.LOC - IIS, информационные базы Зарплата и Управление персоналом APH-SRV-1C.LOC - Apache, информационные базы Бухгалтерия предприятия Также есть внешний адрес, с которым сопоставлено доменное имя 1с.it-31.lab, наличие доменного имени является обязательным условием для использования сертификатов Let's Encrypt. Использовать самоподписанные сертификаты для доступа внешних пользователей мы категорически не советуем, так как это поощряет использование нежелательных практик игнорирования ошибок сертификатов, что негативно сказывается на безопасности.\nКроме того, именно NGINX будет дополнительно заниматься парольной аутентификацией, что позволит иметь единую базу пользователей и паролей.\nДанная инструкция предназначена для актуальных версий Debian или Ubuntu, все указанные команды следует выполнять с правами суперпользователя root.\nУстановка и первичная настройка NGINX Существует два варианта получения NGINX: из репозиториев дистрибутива или из репозитория разработчиков. В первом случае вы можете получить довольно старую версию продукта, что нежелательно для сервиса, смотрящего во внешний мир. И дело тут не только в уязвимостях, как раз об этом можно не беспокоиться, обновления безопасности будут выходить до конца срока поддержки дистрибутива. Гораздо важнее может оказаться отсутствие поддержки ряда современных технологий, например, новых шифров или алгоритмов.\nПоэтому мы рекомендуем подключить репозитории разработчика и установить пакет оттуда. В настоящий момент поддерживаются версии Debian 11 и 12, а также Ubuntu 20.04 и 22.04.\nПрежде всего установим необходимые зависимости:\n1apt install curl gnupg2 Затем получим и установим в хранилище ключ репозитория:\n1curl https://nginx.org/keys/nginx_signing.key | gpg --dearmor \u0026gt; /usr/share/keyrings/nginx-archive-keyring.gpg И подключим дополнительный репозиторий.\nДля Debian:\n1echo \u0026#34;deb [signed-by=/usr/share/keyrings/nginx-archive-keyring.gpg] http://nginx.org/packages/debian `lsb_release -cs` nginx\u0026#34; \u0026gt; /etc/apt/sources.list.d/nginx.list Для Ubuntu:\n1echo \u0026#34;deb [signed-by=/usr/share/keyrings/nginx-archive-keyring.gpg] http://nginx.org/packages/ubuntu `lsb_release -cs` nginx\u0026#34; \u0026gt; /etc/apt/sources.list.d/nginx.list Затем обновим список пакетов и установим NGINX:\n1apt update 2apt install nginx Запустим службу и проверим ее состояние:\n1systemctl start nginx 2systemctl status nginx Теперь можете набрать в браузере адрес сервера и вам будет показана стандартная заглушка NGINX.\nСоздадим некоторые дополнительные директории, в которых мы будем размещать наши конфигурационные файлы:\n1mkdir /etc/nginx/sites-available 2mkdir /etc/nginx/sites-enabled Теперь откроем файл /etc/nginx/nginx.conf и после строки:\n1include /etc/nginx/conf.d/*.conf; Добавим:\n1include /etc/nginx/sites-enabled/*; Проверим правильность конфигурации и перезапустим веб-сервер:\n1nginx -t 2nginx -s reload На этом первичная установка и настройка NGINX закончена.\nПолучение сертификата Let's Encrypt и настройка SSL-шифрования Вопрос защиты в наше время стоит достаточно остро и варианты без шифрования сегодня даже не рассматриваются, поэтому займемся этим вопросом в первую очередь. Сначала установим Certbot для работы с сертификатами Let's Encrypt:\n1apt install certbot Теперь создадим файл конфигурации нашего виртуального хоста и приступим к его редактированию, мы будем использовать для этого редактор nano, если вы предпочитаете редактор MC, то замените в команде nano на mcedit:\n1nano /etc/nginx/sites-available/00-1c.it-31.lab.conf Имя файла может быть произвольным, но мы советуем называть их по имени обслуживаемого домена.\nЗатем внесем в него следующий текст:\n1server { 2 3listen 80; 4server_name 1c.it-31.lab; 5 6 location ^~ /.well-known/acme-challenge/ { 7 default_type \u0026#34;text/plain\u0026#34;; 8 root /var/www/letsencrypt; 9 } 10 11 location = /.well-known/acme-challenge/ { 12 return 404; 13 } 14 15 return 301 https://$host$request_uri; 16} В данной конфигурации мы указываем, что на порту 80 следует принимать запросы для узла 1c.it-31.lab, ниже идут параметры для работы с Let's Encrypt, а все остальные запросы будут перенаправляться на защищенную версию ресурса.\nСохраняем конфигурацию и создаем символическую ссылку на нее в директорию /etc/nginx/sites-enabled:\n1ln -s /etc/nginx/sites-available/00-1c.it-31.lab.conf /etc/nginx/sites-enabled Проверяем конфигурацию и перезапускаем веб-сервер:\n1nginx -t 2nginx -s reload Создадим указанную в конфигурации директорию и сделаем ее владельцем веб-сервер:\n1mkdir /var/www/letsencrypt 2chown -R nginx:nginx /var/www/letsencrypt Теперь запустим Certbot и получим сертификат для нашего домена:\n1certbot certonly --webroot -w /var/www/letsencrypt -d 1c.it-31.lab После успешного получения сертификата откроем файл с настройками домена /etc/letsencrypt/renewal/1c.it-31.lab.conf и внесем в секцию [renewalparams] следующую опцию:\n1[renewalparams] 2... 3renew_hook = nginx -s reload Это обеспечит перезапуск NGINX после успешного обновления сертификата.\nДля режима совершенной прямой секретности создадим файл параметров Диффи-Хелмана:\n1openssl dhparam -out /etc/ssl/private/dhparam.pem 2048 Теперь откроем /etc/nginx/sites-available/00-1c.it-31.lab.conf и добавим в него секцию:\n1server { 2 3 listen 443 ssl http2; 4 server_name 1c.it-31.lab; 5 6 ssl_certificate /etc/letsencrypt/live/1c.it-31.lab/fullchain.pem; 7 ssl_certificate_key /etc/letsencrypt/live/1c.it-31.lab/privkey.pem; 8 ssl_session_timeout 1d; 9 ssl_session_cache shared:SSL:50m; 10 ssl_session_tickets off; 11 ssl_dhparam /etc/ssl/private/dhparam.pem; 12 13 ssl_protocols TLSv1.2 TLSv1.3; 14 ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384; 15 ssl_prefer_server_ciphers off; 16 17 add_header Strict-Transport-Security \u0026#34;max-age=63072000\u0026#34; always; 18 19 ssl_stapling on; 20 ssl_stapling_verify on; 21 ssl_trusted_certificate /etc/letsencrypt/live/1c.it-31.lab/chain.pem; 22 resolver 8.8.8.8; 23} Еще раз проверим конфигурацию и перезапустим сервер:\n1nginx -t 2nginx -s reload Если теперь снова набрать в браузере адрес сервера, то мы снова попадем на страницу-заглушку, но уже через HTTPS-протокол.\nНастройка переадресации запросов для веб-публикации 1С:Предприятие Перед тем, как приступать к настройке необходимо выяснить по каким адресам работают уже существующие публикации, в нашем случае это:\n1http://IIS-SRV-1C.LOC/HRM-1 2http://APH-SRV-1C.LOC/ACC-30 Также важно определить в каком регистре указано имя публикации, это можно узнать в адресной строке уже запущенной базы в браузере, если там происходит перенаправление в верхний регистр, значит база опубликована именно в таком виде и далее в настройках следует указывать ее имя именно так. 1location /HRM-1/ { 2 proxy_pass http://IIS-SRV-1C.LOC/HRM-1/; 3 proxy_redirect off; 4 proxy_set_header Host $host; 5 proxy_set_header X-Real-IP $remote_addr; 6 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 7 proxy_set_header X-Forwarded-Proto https; 8 } Первая строка определяет адрес куда мы перенаправляем все запросы пришедшие на URL 1c.it-31.ru/HRM-1, обратите внимание на закрывающие слеши, они обязательны. Остальные опции определяют необходимый режим работы и передачу проксируемому серверу служебных заголовков.\nДля второй базы добавим еще одну секцию:\n1location /ACC-30/ { 2 proxy_pass http://APH-SRV-1C.LOC/ACC-30/; 3 proxy_redirect off; 4 proxy_set_header Host $host; 5 proxy_set_header X-Real-IP $remote_addr; 6 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 7 proxy_set_header X-Forwarded-Proto https; 8 } Повторяем данные действия для всех остальных публикаций, теперь они будут доступны извне по адресам:\n1https:// 1c.it-31.ru/HRM-1 2https:// 1c.it-31.ru/ACC-30 Чтобы применить изменения сохраните файл конфигурации, проверьте и перезапустите NGINX:\n1nginx -t 2nginx -s reload Основная задача выполнена, мы опубликовали для внешних пользователей информационные базы 1С:Предприятие с разных серверов и защитили их надежным шифрованием.\nНастройка дополнительной аутентификации по паролю У нас нет основания сомневаться во встроенном механизме аутентификации 1С:Предприятия, во всяком случае в онлайн-сервисах дополнительной аутентификации не предусмотрено, но есть слабое место - пользователи. Во многих базах могут использоваться простые пароли или не использоваться вообще, часть таких паролей могут использоваться скриптами и средствами автоматизации, поэтому взять и установить сразу всем сложные пароли будет не так-то просто.\nСитуация усугубляется, если администрирование 1С выполняют другие сотрудники, они вполне могут, пойдя на поводу пользователей снова установить им слабые пароли, что сильно снижает безопасность собственного механизма аутентификации. Поэтому мы пойдем другим путем и установим дополнительную аутентификацию на уровне веб-сервера, тут уже точно без нас никто пароль не изменит. Основная его цель - оградить собственный механизм аутентификации 1С от доступа всех желающих, которым достаточно будет просто узнать ссылку.\nДля этого установим дополнительный набор утилит:\n1apt install apache2-utils Теперь создадим базу пользователей, первого пользователя заводим с использованием ключа -с, в этом случае будет создан новый файл паролей, а существующий перезаписан:\n1htpasswd -c /etc/nginx/.htpasswd glavbuch Для следующих пользователей используйте команду:\n1htpasswd /etc/nginx/.htpasswd buch1 После чего в каждую секцию с информационной базой в /etc/nginx/sites-available/00-1c.it-31.lab.conf добавим строки:\n1location /HRM-1/ { 2 auth_basic \u0026#34;1C users only\u0026#34;; 3 auth_basic_user_file /etc/nginx/.htpasswd; 4... Еще раз проверим конфигурацию и перезапустим сервер:\n1nginx -t 2nginx -s reload После чего убедимся, что доступ к опубликованным информационным базам недоступен без ввода дополнительных учетных данных.\n","id":"71ab575a17c840d09f17035f205ad42c","link":"https://interface31.ru/post/nastraivaem-nginx-kak-obratnyy-proksi-dlya-veb-publikacii-1spredpriyatie/","section":"post","tags":["1С Предприятие 8.х","Let's Encrypt","Nginx","SSL","Web-сервер","Безопасность"],"title":"Настраиваем NGINX как обратный прокси для веб-публикации 1С:Предприятие"},{"body":"Бесплатная система виртуализации Proxmox Virtual Environment в представлении не нуждается, она давно себя прекрасно зарекомендовала и используется в самых разных сценариях: от одиночного гипервизора, до крупных кластеров. Совсем недавно, сразу после выпуска Debian 12 Bookworm был анонсирован выпуск новой версии Proxmox Virtual Environment 8. Одним из новшеств этого выпуска стал текстовый режим инсталлятора Text-Based User Interface (TUI), который предназначен для использования в тех случаях, когда невозможно запустить основанный на GTK графический режим.\nСкажем честно, текстовый режим в инсталляторе Proxmoх напрашивался давно и было непонятно почему его нет, тем более что Debian, на котором он основан такой режим имеет и не думает от него отказываться. На самом деле мы не раз сталкивались с невозможностью запустить графический интерфейс Proxmox, в некоторых случаях помогала консольная магия, в некоторых внешняя видеокарта, а когда и вовсе приходилось ставить сначала Debian, а потом уже в нем разворачивать Proxmox Virtual Environment.\nЭто все - лишние потери времени и, самое главное, было абсолютно непонятно зачем это надо, ведь для последующей работы гипервизора поддержка графического режима совсем не нужна. Похоже к выпуску 8-й версии разработчики поняли масштаб и парадоксальность проблемы и предоставили альтернативу.\nВ данной статье мы рассмотрим работу с текстовым режимом установки, скажем сразу, никаких открытий вас не ждет, если вы уже устанавливали PVE в графическом режиме, то и здесь сложностей не возникнет.\nТекстовый режим теперь доступен на стартовом экране, для этого выберите пункт Install Proxmox VE (Console). Как театр, который начинается с вешалки, так и установка начинается с принятия лицензионного соглашения, уже здесь заметно, что это не стандартный текстовый инсталлятор Debian, а собственная разработка. Последующие шаги повторяют аналогичные действия в графическом режиме, первым делом вас попросят выбрать один из дисков для установки системы. Если вам нужно больше возможностей, то следует выбрать пункт Advanced Options, здесь можно изменить параметры разбиения диска или собрать программный RAID, доступен выбор между ZFS и Btrfs. При выборе RAID массива он будет заполнен всеми доступными дисками и действовать тут надо от обратного, чтобы убрать диск из массива следует в нужном пункте выбрать -- do not use --, пожалуй, это единственный неочевидный момент. Но даже если допустите ошибку ничего страшного не произойдет. Инсталлятор Proxmox работает по современному принципу: сначала делаем настройки, а только потом приступаем к установке, поэтому никаких реальных изменений пока нет, и вы всегда можете вернуться назад и все исправить.\nДалее следует выбрать страну, часовой пояс и раскладку клавиатуры. Вот здесь будьте внимательны, по умолчанию у нас оказалась немецкая раскладка, если сразу не обратить на это внимание, то впоследствии можно столкнуться с довольно неприятными последствиями. Дело в том, что немецкая раскладка имеет ряд символов латиницы на других местах, нежели стандартная U.S. English. Далее устанавливаем пароль суперпользователя и указываем почту администратора. Последний шаг: имя хоста и сетевые настройки, которые берутся из информации полученной по DHCP, при этом установить на постоянной основе предлагается адрес полученный автоматически. Не забудьте обратить на это внимание. После чего вы увидите краткую сводку по всем выбранным настройкам и здесь у вас есть последняя возможность вернуться назад и что-то изменить, после того как вы нажмете Install все изменения будут применены физически. Поэтом не спешите и еще раз внимательно проверьте все настройки. Смотреть дальше особо нечего, сам процесс установки довольно быстр и заканчивается перезагрузкой. Сам интерфейс Proxmox Virtual Environment 8 не претерпел существенных изменений и сложностей с его освоением не будет. Сразу обращает внимание то, что теперь подключен не один, а два коммерческих репозитория: Proxmox VE Enterprise Repository и Ceph Quincy Enterprise Repository. Если у вас нет подписки, то следует заменить их на No-Subscription Repository.\nДля этого войдем в консоль системы и перейдем в директорию с дополнительными репозиториями:\n1cd /etc/apt/sources.list.d/ Удалим файлы с коммерческими репозиториями:\n1rm ceph.list pve-enterprise.list И создадим новые, для бесплатных:\n1echo \u0026#34;deb http://download.proxmox.com/debian/pve bookworm pve-no-subscription\u0026#34; \u0026gt; pve-no-subscription.list 2echo \u0026#34;deb http://download.proxmox.com/debian/ceph-quincy bookworm no-subscription\u0026#34; \u0026gt; ceph-no-subscription.list На этом первичная настройка гипервизора закончена, можно возвращаться в веб-интерфейс и приступать к его эксплуатации.\n","id":"b1b7ada1b4ed3fe5e39ea0b52beb6cf9","link":"https://interface31.ru/post/ispol-zuem-tekstovyy-rezhim-tui-dlya-ustanovki-proxmox-virtual-environment-8/","section":"post","tags":["Debian","Linux","Proxmox","Виртуализация"],"title":"Используем текстовый режим (TUI) для установки Proxmox Virtual Environment 8"},{"body":"О важности регулярного копирования конфигурации сетевого оборудования мы говорить не будем, это очевидно. При этом резервное копирование должно быть системным и централизованным, с единой точкой контроля и управления. Также немаловажно не только делать резервные копии конфигурации сетевых устройств, но и иметь возможность контролировать изменения в них. Это способно сильно помочь при поиске неисправностей или при расследовании инцидентов. Мы предлагаем установить и использовать для этой цели Oxidized - простую систему управления конфигурациями с открытым исходным кодом.\nOxidized - это универсальное решение, поддерживающее более 130 типов устройств, поэтому вам достаточно установить и настроить его один раз и использовать затем без оглядки на применяемое оборудование. Это значительно удобнее, чем решения, предназначенные для оборудования какого-либо отдельного производителя.\nВ нашем примере мы будем рассматривать работу Oxidized совместно с сетевым оборудованием Mikrotik, для установки мы использовали Ubuntu 22.04 LTS, однако данная инструкция подойдет для Debian 10 и новее, а также Ubuntu 18.04 LTS и новее.\nУстановка и настройка Oxidized Oxidized написан на Ruby и поэтому его установка будет несколько отличаться от привычной пользователям DEB-систем. Начнем с установки необходимых зависимостей:\n1apt install ruby ruby-dev libsqlite3-dev libssl-dev pkg-config cmake libssh2-1-dev libicu-dev zlib1g-dev g++ libyaml-dev Также установим Git для хранения конфигураций и контроля изменений в них:\n1apt install git А теперь приступим к установке, собственно, Oxidized и необходимых зависимостей, для этого будет использоваться RubyGems - система управления пакетов для языка Ruby:\n1gem install oxidized 2gem install oxidized-script oxidized-web 3gem install psych Установка пакетов через RubyGems может занять некоторое время, поэтому наберитесь терпения.\nЗатем создадим пользователя oxidized:\n1useradd -s /bin/bash -m oxidized Затем перейдем в эту учетную запись и разово запустим oxydized, чтобы он сформировал необходимую структуру директорий и шаблон конфигурационного файла:\n1su oxidized 2oxidized 3exit Разработчики предлагают хранить конфигурационные файлы и данные в домашней директории пользователя oxidized и мы будем придерживаться этих рекомендаций. Откроем шаблон файла конфигурации ~oxidized/.config/oxidized/config и внесем в него некоторые изменения, параметры перечислены нами в порядке их следования в файле.\nТакже обращаем ваше внимание, что oxidized использует для конфигурационного файла формат YAML, а следовательно все отступы в нем следует делать только пробелами, допускается два или четыре пробела на отступ.\nПрежде всего зададим имя и пароль по умолчанию с которыми oxidized будет соединяться с сетевыми устройствами. Рекомендуем использовать для этого отдельного пользователя с нестандартным именем, которого потом следует завести на всех сетевых устройствах.\n1username: 0xidiZed 2password: Pa$$word Затем укажем тип устройства по умолчанию, у нас это Mikrotik, поэтому:\n1model: routeros Остальные типы поддерживаемых устройств можно посмотреть в официальной документации:\nРекомендуем к прочтению Supported OS types Ниже зададим интервал создания копий в секундах, здесь следует исходить из того, как часто вы вносите изменения, в большинстве случаев достаточно будет делать копии раз в сутки:\n1interval: 86400 Таймаут по умолчанию имеет смысл увеличить, особенно если у вас много слабых устройств и медленные каналы, мы устанавливаем таймаут в 60 секунд и три повторных попытки:\n1timeout: 60 2retries: 3 Если вы не хотите, чтобы резервные копии включали чувствительные данные, такие как ключи, пароли и т.п., то добавьте ниже опцию:\n1remove_secret: true Теперь опускаемся к секции input, которая отвечает за связь с устройствами. По умолчанию используются протоколы ssh и telnet, но последний устарел и небезопасен, поэтому приводим секцию к виду:\n1input: 2 default: ssh Секция output отвечает за хранение собранных с устройств информации, для этих целей мы будем использовать Git, поэтому она будет выглядеть следующим образом:\n1output: 2 default: git 3 git: 4 user: oxidized 5 email: 1c@zaliv31.ru 6 repo: \u0026#34;/home/oxidized/.config/oxidized/devices.git\u0026#34; Пользователя и адрес почты можете указать произвольно, последняя опция указывает на расположение Git-репозитория с данными, как было сказано выше, он будет также располагаться в домашней директории пользователя oxidized.\nИ, наконец, секция source определяет базу данных устройств, мы будем использовать CSV-файл с двоеточием в качестве разделителя:\n1source: 2 default: csv 3 csv: 4 file: \u0026#34;/home/oxidized/.config/oxidized/router.db\u0026#34; 5 delimiter: !ruby/regexp /:/ 6 map: 7 name: 0 8 ip: 1 9 username: 2 10 password: 3 11 model: 4 12 port: 5 Здесь к важным параметрам относится опция file - путь к файлу с базой устройств и подсекция map, которая определяет в каком порядке в строке CSV файла перечисляются параметры подключения к устройству. Если какой-то параметр мы не задали, то он берется из глобальной конфигурации. В связи с этим мы используем собственную карту, но это не догма, можете делать как удобно вам.\nМы исходили из того, что имя и адрес устройства мы указываем всегда, поэтому они идут первыми. Следующая по частоте использовании опция - это отличные от дефолтных имя пользователя и пароль, затем уже тип устройства и нестандартный порт.\nСохраним файл конфигурации и займемся созданием базы устройств, создадим указанный в конфигурации файл и сразу откроем его на редактирование в nano, если вам больше нравится редактор MC, то замените nano на mcedit:\n1nano ~oxidized/.config/oxidized/router.db Внутри этого файла задаем указанные в подсекции map параметры, разделяя двоеточием. В самом простом варианте запись будет выглядеть так:\n1Router_Office:192.168.150.1 Мы указали только имя и адрес, остальные параметры будут использованы из глобальной конфигурации.\nЕсли нам нужно указать иные учетные данные, тогда добавим еще два параметра:\n1Router_Office:192.168.150.1:username:password А если нужно указать другой тип устройства, но с теми же учетными данными. то просто ставим нужное количество двоеточий:\n1Router_Sklad:192.168.150.1:::dlink Каждое двоеточие отделяет параметры, если между ними ничего нет, то будет подставлен параметр по умолчанию.\nСохраняем файл базы данных устройств.\nСледующим шагом создадим юнит Systemd для работы в качестве службы, для этого скопируем готовый шаблон:\n1cp /var/lib/gems/3.0.0/gems/oxidized-0.29.1/extra/oxidized.service /etc/systemd/system Обратите внимание, что путь содержит номер версии продукта, поэтому, возможно, его придется уточнить.\nПеречитаем содержимое юнитов Systemd:\n1systemctl daemon-reload Создадим директорию в /run:\n1mkdir /run/oxidized И сделаем oxidized ее владельцем:\n1chown oxidized:oxidized /run/oxidized Теперь добавим службу в автозагрузку:\n1systemctl enable oxidized И запустим ее:\n1systemctl start oxidized Проверить работу службы можно командой:\n1systemctl status oxidized А также убедимся, что она работает на порту 8888 локального узла.\n1ss -tpln Если вы получили аналогичный результат, то oxidized был успешно установлен и работает.\nНастройка NGINX как обратного прокси Ну вот, oxidized запущен и работает, а как получить к нему доступ? Дело в том, что разработчики сосредоточились только на системе управления конфигурациями и не реализовали никаких механизмов контроля доступа, поэтому будет лучше, если oxidized будет работать только на локальном узле, а во внешний мир будет смотреть через NGINX, прежде всего установим его:\n1apt install nginx Так как других веб-служб здесь не предполагается, то просто перезапишем конфигурацию NGINX по умолчанию из шаблона oxidized:\n1cat /var/lib/gems/3.0.0/gems/oxidized-0.29.1/extra/oxidized.nginx \u0026gt; /etc/nginx/sites-available/default Перезапустим NGINX:\n1nginx -s reload Теперь можем набрать в браузере адрес узла с oxidized и попадем в его веб-интерфейс. Он довольно прост, но понятен и все необходимое в нем есть. Отсюда же можно скачать файл конфигурации, просмотреть изменения или принудительно выполнить резервное копирование - за это отвечают три кнопки в колонке Actions. Давайте посмотрим, как это работает, внесем какие-нибудь изменения в конфиг и заново прочитаем его. Теперь нам доступен просмотр изменений. При этом сравнить выбранную версию конфигурации можно не только с предыдущей, но и с любой другой. Для этого выбираем нужную версию в выпадающем списке и нажимаем Get Diffs! Это очень удобно если вам нужно выяснить кем и когда были внесены некоторые изменения.\nНастройка TLS-защиты В целом, на этом можно и закончить, но имейте ввиду, что абсолютно любой желающий может набрать в браузере адрес oxidized и получить полный доступ ко всем конфигурациям и данным в них. А это неправильно, поэтому примем меры по ограничению доступа. Первое, что нужно сделать в нынешних реалиях - это включить шифрование.\nТак как наш сервис внутренний, то можно обойтись самоподписанным сертификатом:\n1openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/oxidized-selfsigned.key -out /etc/ssl/certs/oxidized-selfsigned.crt Указанная выше команда выпустит самоподписанный сертификат на 10 лет. При выпуске сертификата желательно указать в поле CN реальное FQDN имя сервера, даже локальное, скажем oxi.it-31.lab.\nТакже сразу создадим файл параметров Диффи-Хеллмана:\n1openssl dhparam -out /etc/ssl/private/dhparam.pem 2048 Теперь откроем файл /etc/nginx/sites-available/default и изменим существующую секцию следующим образом:\n1server { 2 listen 80; 3 server_name oxi.it-31.lab; 4 return 301 https://$host$request_uri; 5} Ниже добавим секцию:\n1server { 2 listen 443 ssl http2; 3 server_name oxi.it-31.lab; 4 5 ssl_certificate /etc/ssl/certs/oxidized-selfsigned.crt; 6 ssl_certificate_key /etc/ssl/private/oxidized-selfsigned.key; 7 ssl_session_timeout 1d; 8 ssl_session_cache shared:SSL:50m; 9 ssl_session_tickets off; 10 ssl_dhparam /etc/ssl/private/dhparam.pem; 11 12 ssl_protocols TLSv1.2 TLSv1.3; 13 ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384; 14 ssl_prefer_server_ciphers off; 15 16 location / { 17 proxy_pass http://127.0.0.1:8888/; 18 } 19 20 access_log /var/log/nginx/access_oxidized.log; 21 error_log /var/log/nginx/error_oxidized.log; 22} Проверяем конфигурацию NGINX и перезапускаем его:\n1nginx -t 2nginx -s reload Теперь снова открываем веб-интерфейс и убеждаемся, что соединение зашифровано: Предупреждения красным можем проигнорировать, это издержки самоподписанного сертификата, главное - два пункта внизу, страница шифруется при помощи TLS 1.3 шифром AES-128 и включена совершенная прямая секретность на основе эллиптической кривой Curve25519.\nНастраиваем аутентификацию доступа И завершающая часть - настройка аутентификации доступа. Для этого установим пакетap apache2-utils:\n1apt install apache2-utils Теперь создадим базу пользователей, первого пользователя заводим с использованием ключа -с, в этом случае будет создан новый файл паролей, а существующий перезаписан:\n1htpasswd -c /etc/nginx/.htpasswd user1 Для следующих пользователей используйте команду:\n1htpasswd /etc/nginx/.htpasswd user2 Теперь снова откроем /etc/nginx/sites-available/default и приведем секцию location / к следующему виду:\n1location / { 2 auth_basic \u0026#34;Administrator\u0026#39;s Area\u0026#34;; 3 auth_basic_user_file /etc/nginx/.htpasswd; 4 proxy_pass http://127.0.0.1:8888/; 5 } Перезапустим NGINX:\n1nginx -s reload И снова попробуем зайти в веб-интерфейс, теперь у нас это не получится без ввода логина и пароля.\nДля удаления пользователя из базы используйте:\n1htpasswd -D /etc/nginx/.htpasswd user2 Перезапуск веб-сервера после манипуляций с базой пользователей не требуется.\nНадеемся данный материал окажется вам полезен и поможет быстро установить, настроить и начать использовать Oxidized.\n","id":"37a9c29d2c1661dedc569734e4aa7fb9","link":"https://interface31.ru/post/ustanavlivaem-i-nastraivaem-sistemu-upravleniya-konfiguraciyami-setevogo-oborudovaniya-oxidized/","section":"post","tags":["Debian","Git","MikroTik","Ubuntu Server","Резервное копирование","Сетевые технологии"],"title":"Устанавливаем и настраиваем систему управления конфигурациями сетевого оборудования Oxidized"},{"body":"Современные технологии открывают нам достаточно широкие перспективы, особенно это касается мультимедийной составляющей. Сегодня собственным онлайн-вещанием никого не удивишь, более того оно становится просто обыденностью. Хотите удаленно слушать собственную музыкальную коллекцию? Или вам нужно организовать централизованную трансляцию в сети магазинов? Во всех этих случаях вас выручит создание собственного сервера онлайн-вещания. В данной статье мы рассмотрим, как сделать это при помощи бесплатного пакета Icecast 2 и организуем SSL-защиту при помощи сертификатов Let's Encrypt.\nУстановка и настройка Icecast 2 Icecast 2 - свободная реализация сервера потокового вещания использующий для этого протокол HTTP, что делает его универсальным и совместимым со множеством проигрывателей и клиентов. Пакет присутствует в стандартных репозиториях и для его установки следует воспользоваться командой:\n1apt install icecast2 В конце установки появится предложение выполнить начальную конфигурацию пакета, вы можете как согласиться, так и отказаться, выполнив все настройки в конфигурационном файле позже.\nЕсли вы ответили согласием, то вам потребуется ввести полное доменное имя (FQDN) вашего сервера. Вы, конечно, можете использовать короткое имя, несуществующий домен или IP-адрес, но в этом случае вы не сможете получить сертификат Let's Encrypt. В нашем случае будет использоваться доменное имя stream.it-31.ru Затем вас попросят указать три пароля, два из них будут использоваться для подключения источников вещания, третий для входа в веб-панель администратора.\nПри установке автоматически создается юнит сервиса Systemd и автоматически добавляется в автозагрузку. Мы же пока откроем конфигурационный файл /etc/icecast2/icecast.xml и разберем его основные настройки.\nСразу отметим, что здесь нам придется работать с конфигурационными файлами в формате XML, который имеет свои особенности синтаксиса. В частности комментарии помещаются между набором символов \u0026lt;!-- и --\u0026gt;, поэтому, если вы хотите раскомментировать строку, то нужно убрать символы комментирования как в начале, так и в конце, иначе вы получите синтаксическую ошибку.\nДля примера (символы комментирования выделены полужирным):\n1\u0026lt;!-- 2 \u0026lt;alias source=\u0026#34;/foo\u0026#34; destination=\u0026#34;/bar\u0026#34;/\u0026gt; 3 --\u0026gt; Начнем с начала, первые параметры являются чисто описательными: размещение вашего сервера и электронный адрес его администратора.\n1\u0026lt;location\u0026gt;Earth\u0026lt;/location\u0026gt; 2 \u0026lt;admin\u0026gt;icemaster@localhost\u0026lt;/admin\u0026gt; Данная информация является публичной и будет отображаться на странице информации о сервере.\nНиже располагается секция , в которой нас будет интересовать две опции:\n1\u0026lt;clients\u0026gt;100\u0026lt;/clients\u0026gt; 2 \u0026lt;sources\u0026gt;2\u0026lt;/sources\u0026gt; Первая понятна, количество обслуживаемых клиентов, а вторая задает возможное количество источников трансляции, каждая из которых вещается сервером в отдельном потоке. Например. вы можете создать несколько плейлистов и подключить каждый как отдельный источник. Указанное в опции количество должны быть больше или равно количеству источников.\nЗатем идут настройки аутентификации, здесь задаются те самые пароли, которые вы вводили при настройке пакета (если делали эту настройку), обязательно задайте все три пароля: для источников, релеев и админ-панели, также, опционально, можете изменить имя учетной записи администратора:\n1\u0026lt;authentication\u0026gt; 2 \u0026lt;source-password\u0026gt;My_Pa$$w0rd_1\u0026lt;/source-password\u0026gt; 3 \u0026lt;relay-password\u0026gt;My_Pa$$w0rd_2\u0026lt;/relay-password\u0026gt; 4 \u0026lt;admin-user\u0026gt;admin\u0026lt;/admin-user\u0026gt; 5 \u0026lt;admin-password\u0026gt;My_Pa$$w0rd_3\u0026lt;/admin-password\u0026gt; 6\u0026lt;/authentication\u0026gt; Ниже следует указать полное доменное имя в следующей опции:\n1 \u0026lt;hostname\u0026gt;stream.it-31.ru\u0026lt;/hostname\u0026gt; Еще одна опция позволяет включить обработку статических файлов в директории веб-сервера, т.е. вы можете поместить в /usr/share/icecast2/web собственные файлы и получать к ним доступ по прямой сслылке, таким образом можно, например, разместить дистрибутивы проигрывателей. По умолчанию данная возможность включена, для отключения установите ее значение в ноль.\n1\u0026lt;fileserve\u0026gt;1\u0026lt;/fileserve\u0026gt; Остальные опции оставляем без изменений, перезапускаем службу.\n1systemctl restart icecast2 Теперь пробуем открыть в браузере адрес stream.it-31.ru:8000 и, если все сделано правильно, вы увидите веб-интерфейс сервера онлайн-вещания. Но где же музыка? А ее пока нет, потому что Icecast 2 - это сервер вещания и ему нужно передать поток, который он будет транслировать в сеть. Этим мы и займемся ниже.\nУстановка и настройка Ices Если Icecast 2 - сервер потокового вещания, то Ices - это специализированный плейер, который будет проигрывать вашу коллекцию файлов и передавать поток серверу вещания.\nНаиболее распространенным форматом для хранения музыки у нас является MP3, но в данном случае с ним не все так гладко, текущая версия Ices не поддерживает этот формат, работая исключительно с Ogg Vorbis.\nСправедливости ради, следует сказать, что существует альтернативный проигрыватель Ezstream, который поддерживает MP3, но его текущая версия содержит критическую ошибку, не позволяющую работать с данным форматом.\nТакая нелюбовь к MP3 имеет под собой веские основания, так как на данный формат распространялось действие патентов, которые истекли только в 2017 году и его использование могло повлечь за собой юридические сложности. Поэтому не будем пугаться и начнем работать с Ogg Vorbis, тем более что MP3 достаточно легко преобразовать в данный формат.\nДля его установки используйте:\n1apt install ices2 После чего скопируйте пример конфигурационного файла в /etc/icecast2:\n1cp /usr/share/doc/ices2/examples/ices-playlist.xml /etc/icecast2/ices.xml После чего приступим к его редактированию, сразу разрешим процессу работать в фоне:\n1\u0026lt;background\u0026gt;1\u0026lt;/background\u0026gt; За передаваемый поток отвечает секция , если потоков будет несколько, то данную секцию будет нужно продублировать.\nСекция начинается с описательной части, которая также будет видна публично, заполняем по желанию:\n1\u0026lt;metadata\u0026gt; 2 \u0026lt;name\u0026gt;Example stream name\u0026lt;/name\u0026gt; 3 \u0026lt;genre\u0026gt;Example genre\u0026lt;/genre\u0026gt; 4 \u0026lt;description\u0026gt;A short description of your stream\u0026lt;/description\u0026gt; 5\u0026lt;/metadata\u0026gt; Далее следует настройка источника, в нашем случае это будет плейлист:\n1\u0026lt;input\u0026gt; 2 \u0026lt;module\u0026gt;playlist\u0026lt;/module\u0026gt; 3 \u0026lt;param name=\u0026#34;type\u0026#34;\u0026gt;basic\u0026lt;/param\u0026gt; 4 \u0026lt;param name=\u0026#34;file\u0026#34;\u0026gt;/etc/icecast2/playlist.txt\u0026lt;/param\u0026gt; 5 \u0026lt;param name=\u0026#34;random\u0026#34;\u0026gt;1\u0026lt;/param\u0026gt; 6 \u0026lt;param name=\u0026#34;restart-after-reread\u0026#34;\u0026gt;0\u0026lt;/param\u0026gt; 7 \u0026lt;param name=\u0026#34;restart-after-reread\u0026#34;\u0026gt;0\u0026lt;/param\u0026gt; 8\u0026lt;/input\u0026gt; Разберем некоторые параметры:\nparam name=\u0026quot;file\u0026quot; - путь к файлу плейлиста, мы будем хранить его рядом с конфигурационными файлами param name=\u0026quot;random\u0026quot; - случайный порядок воспроизведения, 1 - включено param name=\u0026quot;restart-after-reread\u0026quot; - начинать проигрывание заново при обновлении плейлиста, 0 - выключено param name=\u0026quot;restart-after-reread\u0026quot; - проиграть плейлист только один раз, 0 - выключено Секция отвечает за соединение с сервером вещания, зададим параметры подключения:\n1\u0026lt;hostname\u0026gt;127.0.0.1\u0026lt;/hostname\u0026gt; 2 \u0026lt;port\u0026gt;8000\u0026lt;/port\u0026gt; 3 \u0026lt;password\u0026gt;My_Pa$$w0rd_1\u0026lt;/password\u0026gt; 4 \u0026lt;mount\u0026gt;/radio.ogg\u0026lt;/mount\u0026gt; 5 \u0026lt;yp\u0026gt;0\u0026lt;/yp\u0026gt; Первые три опции не вызывают вопросов, в качестве пароля указываем source-password из конфигурации Icecast2. Опция mount - произвольно выбираемая точка монтирования, которая потом станет частью URL нашей радиостанции, обязательно должна заканчиваться на ogg для лучшей совместимости с проигрывателями, а опция yp отвечает за публикацию вашего потока в публичном каталоге, отключаем.\nСекция отвечает за битрейт потока, частоту дискретизации и число каналов, при необходимости можете изменить эти значения. По умолчанию установлен битрейт 64 кБит/с, при частоте дискретизации 44,1 КГц при 2 каналах (стерео).\n1\u0026lt;encode\u0026gt; 2 \u0026lt;nominal-bitrate\u0026gt;64000\u0026lt;/nominal-bitrate\u0026gt; 3 \u0026lt;samplerate\u0026gt;44100\u0026lt;/samplerate\u0026gt; 4 \u0026lt;channels\u0026gt;2\u0026lt;/channels\u0026gt; 5 \u0026lt;/encode\u0026gt; Остальные настройки оставляем по умолчанию, сохраняем файл.\nДля запуска в качестве службы создадим юнит Systemd:\n1nano /etc/systemd/system/ices.service Данная команда создаст файл и откроет его на редактирование в Nano, если вы предпочитаете редактор Midnight Commander, то замените nano на mcedit.\nВнесем в файл следующие строки:\n1[Unit] 2Description=Ices Service 3After=icecast2.service 4 5[Service] 6Type=forking 7PIDFile=/var/log/ices/ices.pid 8ExecStart=/usr/bin/ices2 /etc/icecast2/ices.xml 9ExecReload=/bin/kill -HUP $MAINPID 10Restart=Always 11 12[Install] 13WantedBy=multi-user.target Файл юнита можно сказать стандартный, путь к PID файлу можете уточнить в конфигурационном файле ices.xml, в качестве зависимости указана служба Icecast2, что позволит запускать Ices после этой службы. Сохраняем файл и заставим Systemd перечитать данные об юнитах:\n1systemctl daemon-reload Но не будем спешить запускать службу, у нас еще нет ни музыки, ни плейлиста, что ожидаемо приведет к ошибке.\nСоздание и конвертация музыкальной коллекции Будем считать, что мы каким угодно образом разместили нашу музыку в формате MP3 в некоторое расположение, скажем /mnt/music. Теперь нам нужно конвертировать ее в Vorbis и создать плейлист, для первой задачи установим пакет dir2ogg:\n1apt install dir2ogg Он позволяет пакетно преобразовывать форматы MP3, M4A, WMA, FLAC, и WAV в открытый формат OGG. Использовать его очень просто:\n1dir2ogg -r --delete-input /mnt/music Данная команда рекурсивно конвертирует все MP3 файлы в директории в OGG и удалит источники. Обратите внимание, что по умолчанию обрабатываются только MP3 файлы, для конвертации других форматов обратитесь к справке по утилите:\n1dir2ogg --help Также вам может потребоваться установить дополнительные кодеки.\nТеперь можем создать или обновить плейлист командой:\n1 find /mnt/music/ -iname \u0026#34;*.ogg\u0026#34; -print \u0026gt; /etc/icecast2/playlist.txt После чего можем попробовать запустить службу проигрывателя:\n1systemctl start ices И проверим ее состояние:\n1systemctl status ices Если все нормально, то добавим ее в автозагрузку:\n1systemctl enable ices Если мы теперь перейдем в веб-интерфейс Icecast 2, то увидим там нашу трансляцию и даже можем ее прямо тут прослушать. Для плееров можете использовать ссылку http://stream.it-31.ru:8000/radio.ogg, либо сохраните данный адрес в текстовом файле с расширением M3U. На этом настройку связки Icecast 2 и Ices можно считать законченной, мы получили работающий сервис онлайн-радио и научились управлять им.\nВключаем SSL защиту с сертификатами Let's Encrypt Если ваше радио работает сугубо в локальной сети, то дальнейших действий можно не предпринимать, иначе крайне желательно настроить для нашего сервера защищенное соединение, это позволит не только защитить передаваемые учетные данные, но и избежать возможного перехвата и подмены потока. Тем более это несложно и не требует дополнительных затрат.\nУстановим certbot:\n1apt install certbot И получим сертификат в режиме standalone, который не требует установленного веб-сервера:\n1certbot certonly --standalone -d stream.it-31.ru Теперь создадим из полученных сертификатов новый, в формате поддерживаемом Icecast 2 и разместим его рядом с конфигурационными файлами:\n1cat /etc/letsencrypt/live/stream.it-31.ru/fullchain.pem /etc/letsencrypt/live/stream.it-31.ru/privkey.pem \u0026gt; /etc/icecast2/icecast.pem Теперь откроем /etc/icecast2/icecast.xml и раскомментируем следующие секции:\n1\u0026lt;listen-socket\u0026gt; 2 \u0026lt;port\u0026gt;8443\u0026lt;/port\u0026gt; 3 \u0026lt;ssl\u0026gt;1\u0026lt;/ssl\u0026gt; 4 \u0026lt;/listen-socket\u0026gt; В данном случае мы включили работу по защищенному протоколу на порту 8443.\nА ниже укажем путь к файлу сертификата:\n1\u0026lt;ssl-certificate\u0026gt;/etc/icecast2/icecast.pem\u0026lt;/ssl-certificate\u0026gt; Сохраняем конфигурацию и перезапускаем службы:\n1systemctl restart icecast2 2systemctl restart ices Теперь открываем https://stream.it-31.ru:8443 и убеждаемся, что сервер работает по защищенному протоколу: Теперь ограничим работу незащищенной версии только локальным узлом, для этого снова откройте /etc/icecast2/icecast.xml и раскомментируйте строку bind-address в секции:\n1\u0026lt;listen-socket\u0026gt; 2 \u0026lt;port\u0026gt;8000\u0026lt;/port\u0026gt; 3 \u0026lt;bind-address\u0026gt;127.0.0.1\u0026lt;/bind-address\u0026gt; 4 \u0026lt;/listen-socket\u0026gt; Еще раз перезапустите обе службы, теперь доступ извне у нас будет только к защищенной версии сервера.\nТеперь добавим некоторые параметры в опции продления сертификата, для этого в файл /etc/letsencrypt/renewal/stream.it-31.ru.conf в секции [renewalparams] добавьте опцию:\n1post_hook = cat /etc/letsencrypt/live/stream.it-31.ru/fullchain.pem /etc/letsencrypt/live/stream.it-31.ru/privkey.pem \u0026gt; /etc/icecast2/icecast.pem \u0026amp;\u0026amp; systemctl restart icecast2 \u0026amp;\u0026amp; systemctl restart ices Теперь после продления сертификата certbot будет автоматически обновлять сертификат для Icecast2 и перезапускать службы.\nНастраиваем аутентификацию доступа к трансляции В заключение рассмотрим еще один сценарий - закрытые трансляции, когда доступ к ним нужно ограничить для отдельных пользователей. С Icecast 2 и это сделать несложно, откроем /etc/icecast2/icecast.xml и внесем туда еще одну секцию:\n1\u0026lt;mount\u0026gt; 2 \u0026lt;mount-name\u0026gt;/radio.ogg\u0026lt;/mount-name\u0026gt; 3 \u0026lt;authentication type=\u0026#34;htpasswd\u0026#34;\u0026gt; 4 \u0026lt;option name=\u0026#34;filename\u0026#34; value=\u0026#34;/etc/icecast2/icepaswd\u0026#34;/\u0026gt; 5 \u0026lt;option name=\u0026#34;allow_duplicate_users\u0026#34; value=\u0026#34;0\u0026#34;/\u0026gt; 6 \u0026lt;/authentication\u0026gt; 7\u0026lt;/mount\u0026gt; В опции mount-name указываем точку монтирования нашего потока, а в option name=\u0026quot;filename\u0026quot; задаем файл для хранения паролей. Опция option name=\u0026quot;allow_duplicate_users\u0026quot; позволяет включить многократные подключение одного и того же пользователя, по умолчанию выключено.\nСохраняем конфигурацию и создаем пустой файл паролей:\n1touch /etc/icecast2/icepaswd После чего делаем его владельцем Icecast:\n1chown icecast2:icecast /etc/icecast2/icepaswd Перезапускаем службы и переходим в админ-панель сервера, здесь вы можете управлять пользователями в разделе Manage Authentication. Теперь доступ к трансляции будет доступен только после аутентификации. Упростить процесс подключения вы можете, передав учетные данные прямо в строке подключения или плейлисте M3U: https://login:passworf@stream.it-31.ru:8433/radio.ogg\n","id":"574c7f777440691e1fa16a1022801285","link":"https://interface31.ru/post/nastraivaem-onlayn-radio-na-icecast-2-i-ices-s-ssl-zashhitoy-i-sertifikatami/","section":"post","tags":["Debian","Icecast","Ices","Let's Encrypt","SSL","Stream","Ubuntu Server"],"title":"Настраиваем онлайн-радио на Icecast 2 и Ices с SSL защитой и сертификатами Let's Encrypt"},{"body":"О семействе дистрибутивов Arch следует поговорить особо, так как это полностью отдельная экосистема со своими особенностями и правилами. Arch Linux не претендует на скучное корпоративное применение, а, наоборот, стремиться быть на переднем крае прогресса, даже в ущерб общей стабильности системы. А еще он дает пользователю полный контроль над составом системы начиная с момента установки. Но это и отпугивает от него менее опытных пользователей - установить Arch действительно непростая задача. Но не стоит отчаиваться, для знакомства с Arch отлично подойдет Manjaro Linux - один из самых популярных дистрибутивов этого семейства.\nСразу скажем, что Manjaro Linux - это не совсем Arch, проект использует собственные репозитории и пакеты из Arch попадают туда с некоторой задержкой и после предварительного тестирования. Но благодаря этому достигается большая стабильность дистрибутива в той степени, в которой вообще можно говорить о стабильности Arch-based систем.\nИ сразу забудьте об использовании любых систем этого семейства в продакшене: постоянное обновление пакетов несет серьезные угрозы стабильности, как в плане возможных ошибок в новых версиях, так и в невозможности создать предсказуемое окружение для рабочих задач. Кроме того, разработчики коммерческого софта в основном не поддерживают системы отличные от RPM и DEB, это не говорит о том, что такие программы нельзя установить в Arch, но их поддержка будет целиком и полностью вашей головной болью.\nКому же подойдут данные дистрибутивы? Прежде всего энтузиастам, которые отлично представляют себе все достоинства и недостатки, но хотят быть на переднем крае технического прогресса, а также тем, кто хочет лучше разобраться в Linux, потому что Arch будет постоянно давать повод покопаться под капотом системы.\nЕсли же говорить именно о Manjaro, то его можно рассматривать как Ubuntu в мире Arch, это наиболее простой и дружелюбный к новичкам дистрибутив, но ожидать полностью безоблачной жизни от него не стоит, вникать в работу системы все равно время от времени придется.\nНачнем с установки, официально предлагаются сборки с рабочим окружением KDE, XFCE и GNOME, еще больше рабочих столов доступны в поддерживаемых сообществом образах. Мы выбрали вариант с KDE, версия 22.1.3 от 29.05.23 размером в 3,59 ГБ.\nМеню загрузки предлагает достаточный выбор опций, в том числе загрузки с открытыми или проприетарными драйверами. Здесь же следует упомянуть о собственной технологии Manjaro Hardware Detection (MHWD) для обнаружения оборудования и установки драйверов для него, что существенно повышает совместимость дистрибутива с железом. Система загружается в живом режиме, что позволяет оценить ее работу с вашим оборудованием еще до установки и уже на основании этого принимать решение об установке системы. Для установки используется Calamares - простой и понятный установщик для Linux систем, потому проблем с установкой не должно возникнуть даже у начинающих. На выбор предлагается широкий набор файловых систем, включая F2FS (Flash-Friendly File System) оптимизированной для работы с флеш-памятью и eMMC, по умолчанию предлагается проверенная временем ext4. Как и многие другие современные системы Manjaro предполагает повышение прав через sudo и администратором системы становится создаваемый при установке пользователь, при этом учетная запись root остается активной, для нее можно указать отдельный пароль или использовать пароль пользователя. Затем вам предложат выбрать офисный пакет, доступно три варианта: LibreOffice, FreeOffice и без офисного пакета вообще, мы выбрали FreeOffice, так как LibreOffice не представляет особого интереса, этот пакет и так все знают. После того как вы ответите на все вопросы начнется установка, до этого момента вы всегда можете вернуться назад и изменить свой выбор. Во время установки можете сходить сварит кофе, к вашему возвращению система должна быть установлена, ну либо можете посмотреть на слайды с ракетой. После перезагрузки вас встретит окно входа в систему, стандартное для KDE Plasma, никаких особенностей тут нет. Все корректно работает, языки переключаются, в качестве графического сервера используется Wayland. Внутри также самая обычная KDE Plasma, немного кастомизированная в стандартную цветовую гамму дистрибутива. И это хорошо, так как пользователи знакомые с этим окружением смогут быстро приступить к работе, а те, кто переходит с Windows могут в большинстве своем использовать уже накопленный опыт. А вот дальше начинается интересное, система сообщает нам, что найдены обновления: ни много, ни мало - 1,2 ГБ, а это, между прочим, третья часть объема дистрибутива, который был собран всего две с половиной недели назад. Вообще, устанавливая любой Arch-based дистрибутив к этому надо быть готовым, что обновлений будет много и они будут часто. Откладывать их тоже не рекомендуется, так как если продолжительно не обновлять систему, то потом с вероятностью близкой к 100% столкнетесь с ошибками обновления. Но на этом предложения не закончатся, после обновления вы получите сообщения от Менеджера настроек Manjaro, который предложит вам обновить ядро и языковые настройки. Это еще один собственный инструмент, простой, но достаточно удобный и рассчитанный на широкую аудиторию пользователей. Очень удобно сделано управление ядрами, пользователь может легко выбирать, устанавливать и переключаться между разными версиями ядра Linux, выбор облегчают комментарии у каждого из вариантов. Ну так как мы на переднем крае прогресса, то переключимся со стабильного ядра 6.1 на последнее 6.3, при этом отметим, что автоматического обновления ядра при обновлении не произошло, хотя потом система сообщила нам, что доступно более свежее ядро. В качестве командной оболочки по умолчанию используется zsh, это тоже следует иметь ввиду, особенно если вы привыкли работать с bash. Для управления системой предлагается стандартная KDE-утилита Параметры системы в которую встроены функции Менеджера настроек Manjaro, это позволяет выполнять все настройки из одного места, не бегая по разным утилитам и инструментам. Для работы с программным обеспечением предназначен графический менеджер Pamac, который также является частью системы и отвечает всем современным требованиям к данному виду ПО, по умолчанию предлагается софт из родного репозитория Manjaro. При необходимости можно включить поддержку AUR и Flatpak, последний является наиболее простым и безопасным способом получить отсутствующие в основном репозитории программы, скажем те же мессенджеры. А вот AUR (Arch User Repository) - это отдельный, поддерживаемый сообществом Arch репозиторий, который чем-то напоминает PPA Ubuntu, но в отличие от него содержит исходные тексты программ, которые затем собираются на компьютере пользователя. Использование AUR требует от пользователя более высокой квалификации и знаний, поэтому если вы не уверены в своих силах, то лучше подключите Flatpak. Офисный пакет FreeOffice - довольно простой и удобный, внешне напоминающий MS Office, каких-либо проблем при беглом знакомстве с ним мы не обнаружили, разве что время от времени будут появляться предложения перейти на коммерческую версию пакета. Единственный непривычный момент - это красная, а не синяя цветовая гамма текстового редактора. Также нет проблем с поддержкой современных мультимедийных форматов и флеш-накопителей большой емкости, мы без проблем запустили с подключенной флешки фильм в разрешении 2K. Также прямо из коробки поддерживается работа в режиме SMB-клиента, нет проблем с печатью и сканированием, включая сетевое. Выводы С одной стороны Arch - это довольно непросто и требует определенных знаний, с другой стороны Manjaro позволяет быстро окунуться в этот мир даже новичкам. Дистрибутив крайне прост в использовании и дружелюбен к пользователю, множество графических утилит позволяет просто решать основные вопросы администрирования и установки программ.\nТаким образом сравнение Manjaro с Ubuntu вполне справедливо: обе системы позволяют быстро и просто освоить их и начать полноценное использование без длительного изучения и сложных настроек.\nНо не нужно забывать, что Manjaro - это все таки Arch, со всеми вытекающими, в частности вы будете первыми получать не только новое ПО, но и ошибки в этих программах. Время от времени придется сталкиваться с проблемами, которые потребуют более глубокого погружения в систему.\nМы бы не рекомендовали использовать Manjaro в тех случаях, когда ваша работа зависит от системы или это единственное устройство, достаточно велик шанс, что вам придется вместо работы решать проблемы системы. Также не следует использовать Manjaro, как и любой Arch-based в производственных средах.\nВ остальном это достаточно неплохой выбор в качестве повседневной операционной системы для энтузиастов и всех интересующихся Linux. Особенно если вам нравится пробовать все самое новое и вы готовы мириться с некоторыми неудобствами.\n","id":"1b24cd280e013081079b432235c151b8","link":"https://interface31.ru/post/manjaro-linux-samyy-prostoy-sposob-okunutsya-v-mir-arch/","section":"post","tags":["Arch","Linux","Manjaro"],"title":"Manjaro Linux - самый простой способ окунуться в мир Arch"},{"body":"Долгое время для организации файлового сервера, работающего по протоколу SMB, в Linux не было альтернативы Samba, но с недавних пор ситуация изменилась. Начиная с ядра 5.15 в Linux появился новый модуль ядра - ksmbd - реализующий функции SMB-сервера. В отличии от Samba, которая имеет кроме файлового сервера широкий набор дополнительных функций, ksmbd, наоборот, только файловый сервер, простой и нетребовательный к ресурсам. В этой статье мы расскажем, как подключить данный модуль и выполнить первоначальную настройку сервера.\nСразу скажем, что если вам нужен полноценный и функциональный файловый сервер уровня предприятия, то лучше остановить свой выбор на Samba. А ksmbd придется ко двору там, где надо быстро и просто организовать один или несколько общих ресурсов без лишних затрат и сложностей. Также следует учитывать, что проект молодой и в нем несколько раз находили критические уязвимости.\nК явным плюсам ksmbd следует отнести его низкие требования к ресурсам и высокую скорость работы, а также крайнюю простоту работы с ним, файловый сервер теперь можно поднять буквально за пару минут.\nВ настоящее время ksmbd доступен в репозиториях Ubuntu 22.04 и новее, а также Debian 12, в Debian 11 его можно установить из Backports.\nУстановка ksmbd в Debian 11 Прежде всего подключим репозиторий Backports:\n1echo \u0026#34;deb http://deb.debian.org/debian bullseye-backports main\u0026#34; \u0026gt; /etc/apt/sources.list.d/bullseye-backports.list Обновим список пакетов:\n1apt update И установим необходимые для работы с ksmbd инструменты командой:\n1apt install ksmbd-tools/bullseye-backports Все необходимые службы будут добавлены в автозагрузку автоматически.\nТеперь установим новое ядро, это можно быстро сделать командой:\n1apt install linux-image-amd64/bullseye-backports Будет установлено самое последнее ядро, на момент написания статьи это было ядро 6.1.\nЕсли же вам нужно установить определенную верию ядра, то обратитесь к соотвествующему разделу нашей статьи:\nРекомендуем к прочтению Linux - начинающим. Установка и первоначальная настройка Debian 11 для сервера После установки нового ядра систему следует обязательно перезагрузить.\nУстановка ksmbd в Debian 12 и Ubuntu 22.04 и новее В данных системах ksmbd-tools присутствует в основных репозиториях, поэтому просто достаточно команды:\n1apt install ksmbd-tools Как и в предыдущем сценарии все необходимые службы также будут добавлены в автозагрузку.\nНастройка ksmbd Все настройки сервера хранятся в /etc/ksmbd, конфигурационный файл по умолчанию отсутствует, зато есть файл с примером конфига. Скопируем его как конфигурационный файл, для Debian 12 выполните:\n1cp /etc/ksmbd/ksmbd.conf.example /etc/ksmbd/ksmbd.conf В Debian 11 и Ubuntu директория с настройками отсутствует, поэтому сначала создадим ее, а затем скопируем базовую конфигурацию:\n1mkdir /etc/ksmbd 2cp /usr/share/doc/ksmbd-tools/examples/smb.conf.example /etc/ksmbd/smb.conf Следует отметить, что в этих системах образец конфигурационного файла достаточно спартанский, всего несколько строк. Но ничего страшного, можно просто добавить нужные опции и работать. Либо позаимствовать более подробный пример конфигурации из Debian 12:\nСкачать ksmbd.conf.example\nSHA1: 1B2B249CC8F51EC2D20507CF72C0ECA4D7EE083C\nВнутри файл сильно напоминает конфигурационный файл Samba, и это действительно так - синтаксис Samba совместим с ksmbd. У нас также есть глобальные опции и опции, относящиеся к конкретному общему ресурсу, многие определенные глобально опции можно переопределять на уровне ресурсов. Настройки по умолчанию достаточно оптимальны и можно их оставить как есть, но все равно коротко разберем наиболее значимые опции.\nЕсли вы хотите привязать службу к определенному интерфейсу, то включите опцию:\n1bind interfaces only = yes После чего укажите интерфейс или список интерфейсов в опции, при указании нескольких значений разделите их пробелом:\n1interfaces = В современных системах гостевой доступ к SMB ресурсам считается небезопасным и по умолчанию отключен:\n1map to guest = never Если вы хотите его включить, то измените значение опции на\n1map to guest = bad user Более подробно об особенностях работы с анонимным гостевым доступом в современных системах вы можете причитать в нашей статье:\nРекомендуем к прочтению Исправляем ошибку подключения Windows к общим ресурсам на сервере Samba Linux Для повышения производительности протокола SMB3 можно включить многоканальное соединение, но данная функция пока является экспериментальной и может работать нестабильно:\n1server multi channel support = yes Ниже глобальных опций сервера идут настройки по умолчанию для всех общих ресурсов, эти же самые опции мы можем использовать внутри описания ресурса для переопределения поведения. По умолчанию гостевой доступ выключен и включен режим только чтения, файлы по умолчанию создаются с правами 0744, папки - 0755.\nВ самом конце файла конфигурации есть пример общего ресурса, удалим его и создадим собственный, так как основные параметры заданы выше, то много писать не придется:\n1[My_share] 2 comment = my_share 3 path = /mnt/smb 4 writeable = yes В квадратных скобках указываем имя ресурса, затем путь к физической директории, которую мы открываем в общий доступ и разрешаем запись в данный общий ресурс. Комментарий - необязательная опция, но может быть полезна, если имя ресурса не полностью раскрывает его назначение.\nСохраним файл конфигурации и перезапустим сервер:\n1systemctl restart ksmbd Теперь создадим пользователей файлового сервера. Пользователи SMB отражаются на системных пользователей по совпадению имени, поэтому для каждого пользователя SMB нужно создать системного пользователя и установить для него нужные права на общие файлы и папки.\nЕсли делать правильно, то сначала создаем системного пользователя, не задавая ему домашней папки и запретив интерактивный вход (если вам не нужен реальный пользователь в системе с этим именем):\n1useradd -s /sbin/nologin smbusr В нашем случае мы создали пользователя smbusr, которого нужно сделать владельцем общего ресурса:\n1chown -R /mnt/smb Затем создадим SMB-пользователя:\n1ksmbd.adduser --add-user=smbusr После чего вам нужно будет ввести пароль пользователя и его подтверждение.\nТеперь снова перезапустите сервер:\n1systemctl restart ksmbd По мере добавления пользователей права доступа на общие ресурсы следует регулировать стандартными правами Linux, мы не будем углубляться в эту тему, так как подробно рассматривали ее в статье:\nРекомендуем к прочтению Настройка файлового сервера Samba на платформе Debian / Ubuntu Также есть дополнительные инструменты управления доступом к ресурсам, например, мы можем явно задать список пользователей имеющих право доступа к ресурсу:\n1valid users = ivanov petrov Либо, наоборот, задать список тех, кому доступ запрещен:\n1invalid users = kozlov Данный список имеет приоритет над valid users.\nВ случае ресурса с доступом только на чтения можно дополнительно указать пользователей имеющих право записи:\n1write list = ivanov Также можно выборочно переключить некоторых пользователей в режим только чтения:\n1read list = kozlov В случае совместного применения опций read list имеет приоритет над write list.\nДля того, чтобы изменить пароль пользователя используйте:\n1ksmbd.adduser --update-user=smbusr --password=NewPa$$w0rd Для удаления:\n1ksmbd.adduser --del-user=smbusr Напоследок рассмотрим еще один сценарий, который может быть полезен в небольших внедрениях, когда нет ни желания, ни необходимости заводить несколько системных пользователей и настраивать систему прав доступа, но хочется выдать каждому свой пароль. В этом случае просто заводим SMB-пользователей, а в описание общего ресурса добавляем опции:\n1force user = smbusr 2force group = smbusr В этом случае все пользователи, которых невозможно отразить на системных пользователей, будут отражены на указанного в опции пользователя. Таким образом можно выполнить отображение многих SMB-пользователей на одного системного.\n","id":"6de475430a13c4fc8918307f87c71227","link":"https://interface31.ru/post/nastroyka-faylovogo-servera-ksmbd-na-platforme-debian-ubuntu/","section":"post","tags":["Debian","ksmbd","SMB","Ubuntu Server","Файловый сервер"],"title":"Настройка файлового сервера ksmbd на платформе Debian / Ubuntu"},{"body":"Ошибки сетевого доступа в Windows - вещь довольно неприятная, тем более что не все умеют их правильно диагностировать и исправлять. При том, что интернет кишит различными способами самой разной степени сомнительности. Поэтому мы решили подробно разобрать одну из типовых ситуаций, показав как процесс диагностики, так и различные способы решения проблемы, каждое из которых имеет свои особенности, в частности влияние на безопасность. Такой подход позволит не только выяснить причины ошибки и устранить ее, но и поможет подойти к этому вопросу осознанно, полностью представляя последствия своих действий.\nС ситуацией, когда компьютер под ОС Windows не хочет подключаться или перестает подключаться к общим ресурсам на сервере Samba под управлением Linux встретиться можно довольно часто и тому есть объективные причины, которые мы рассмотрим ниже, ну а пока посмотрим на ее внешние симптомы. Система неожиданно сообщает, что она не может получить доступ к указанному ресурсу и выдает абсолютно неинформативную ошибку:\n1Код ошибки: 0x80004005 2Неопознанная ошибка Если попробовать подключиться в консоли, например, командой:\n1net view \\\\192.168.233.182 Где 192.168.233.182 - адрес искомого сервера, то получим немного другую ошибку:\n1Системная ошибка 53. 2Не найден сетевой путь. При этом указанный узел нормально пингуется, а проверка доступности 445 порта говорит, что все нормально: После этого обычно начинается сетование на кривизну какого-либо из решений (в зависимости от личных предпочтений) и поиск решения в интернете, где можно найти как условно рабочие, так и полную дичь, вроде включения SMB1 и бездумного изменения различных политик и ключей реестра.\nНо не будем спешить, вы же не глотаете все подряд из домашней аптечки только почувствовав недомогание? Так и здесь, поэтому будем разбираться.\nНо сперва поясним ситуацию по протоколу SMB1:\nВнимание! Протокол SMB1 устарел и небезопасен, в настоящее время отключен на всех современных системах.\nКроме того, даже если вы включите его поддержку, то начиная с Windows 1709 он автоматически отключится после 15 дней неиспользования. В общем: включать SMB1 не нужно, разве что только вам действительно нужна поддержка устаревших клиентов.\nВ современных версиях Samba протокол SMB1 также отключен и минимальной поддерживаемой версией является SMB2_02, а максимальной SMB3. Это параметры по умолчанию и проверить их можно командами:\n1testparm --parameter-name=\u0026#34;min protocol\u0026#34; 2testparm --parameter-name=\u0026#34;max protocol\u0026#34; Настройки по умолчанию достаточно актуальны, и мы не советуем отдельно задавать версии протоколов без особой на то нужды. SMB2_02 - обозначает младшую версию протокола SMB2, а SMB3 указывает на старшую доступную версию, таким образом поддерживаются все системы начиная с Windows Vista и Server 2008. Причиной ошибки SMB1 быть не может.\nПоэтому не занимаемся ерундой, а ищем истинную причину, в этом нам поможет Журнал событий. Раскрываем последовательно Журналы приложений и служб - Microsoft - Windows - SMBClient и в журнале Security находим ошибку 31017:\nНебезопасный гостевой вход отклонен.\nРекомендации.\nЭто событие указывает на попытку сервера разрешить вход пользователя как непроверенного гостя, которая была отклонена клиентом. Для гостевого входа не поддерживаются стандартные функции обеспечения безопасности, например подписывание и шифрование. Вследствие этого гостевой вход уязвим для атак \u0026quot;злоумышленник в середине\u0026quot;, которые могут привести к попаданию конфиденциальных данных в сеть. По умолчанию небезопасный гостевой вход отключен в Windows. Корпорация Майкрософт не рекомендует включать его.\nПосле чего все становится на свои места. Нет никаких чудес, просто политики безопасности Windwos не позволяют подключаться к серверу с анонимным гостевым доступом. Кстати, это относится не только к Samba.\nТеперь, когда есть понимание происходящего мы можем выбрать одно из двух решений указанной проблемы.\nРешение №1. Отключаем гостевой доступ на сервере Samba С точки зрения безопасности это наиболее правильное решение, которое позволит получать доступ к общим ресурсам не снижая уровень безопасности сети. Для этого внесем некоторые изменения в конфигурационный файл Samba, обычно он располагается в /etc/samba/smb.conf. Прежде всего найдем и приведем к следующему виду директиву:\n1map to guest = never А в настройках каждого общего ресурса укажем:\n1guest ok = no Возможно, вам еще придется выполнить некоторые настройки, скажем, завести пользователей и назначить им права, для всего этого рекомендуем воспользоваться нашей статьей:\nРекомендуем к прочтению Настройка файлового сервера Samba на платформе Debian / Ubuntu Сохраняем все изменения и проверяем конфигурацию на ошибки:\n1testparm Затем перезапускаем службу:\n1systemctl restart smbd После чего повторно пробуем подключиться и сразу видим окно для ввода учетных данных: Проблема решена, ресурсы файлового сервера Samba снова доступны.\nРешение №2. Разрешаем небезопасный гостевой вход в Windows Если Решение №1 вас по каким-либо причинам не устраивает, и вы осознанно хотите понизить уровень безопасности вашей сети, то можно пойти другим путем и разрешить небезопасный гостевой вход.\nЗапустим редактор групповой политики (gpedit.msc) и перейдем в Конфигурация компьютера - Административные шаблоны - Сеть - Рабочая станция Lanman и переводим политику Включить небезопасные гостевые входы в положение Включено. После чего вам потребуется перезапустить службу Рабочая станция или перезагрузить компьютер.\nАльтернативой этому способу будет внесение изменений через реестр:\n1reg add \u0026#34;HKLM\\SYSTEM\\CurrentControlSet\\Services\\LanmanWorkstation\\Parameters\u0026#34; /v AllowInsecureGuestAuth /t REG_DWORD /d 1 Затем перезапустим службу:\n1net stop LanmanWorkstation \u0026amp;\u0026amp; net start LanmanWorkstation После чего можем продолжать привычно использовать общие сетевые ресурсы с гостевой моделью доступа. Какой вывод можно сделать после прочтения данного материала? Прежде всего понять, что любые сетевые ошибки имеют под собой вполне определенную причину, а не являются воздействием некой неведомой силы. И эти причины имеют свойство отображаться в журналах и логах.\nРешений таких проблем также может быть несколько, каждое из которых может иметь свои достоинства и недостатки. Поэтому не нужно хватать первый попавшийся рецепт из интернета, а следует разобраться в причинах и выбрать из доступных вариантов тот, который будет вас наиболее устраивать.\n","id":"09f3fd39bcfeb331377eb0a578a35143","link":"https://interface31.ru/post/ispravlyaem-oshibku-podklyucheniya-windows-k-obshhim-resursam-na-servere-samba-linux/","section":"post","tags":["Debian","Linux","Samba","SMB","Ubuntu Server","Windows","Windows Server","Файловый сервер"],"title":"Исправляем ошибку подключения Windows к общим ресурсам на сервере Samba Linux"},{"body":"Современный интернет такое место, где вы сразу же становитесь предметом нездорового любопытства для самых широких масс. Вас будут постоянно сканировать, проверять на наличие уязвимостей, открытых портов, пытаться подбирать пароли и т.д. и т.п. В этом случае есть смысл действовать на опережение и использовать Honeypot для выявления потенциальных злоумышленников. В данной статье мы рассмотрим суть этого метода и расскажем к настроить его на роутерах Mikrotik.\nHoneypot - в переводе \u0026quot;горшочек с медом\u0026quot;, специальная приманка в виде открытого порта, который для реальной работы не используется, а любая попытка обращения на данный порт будет считаться проявлением нездорового интереса и занесением обратившегося в список злоумышленников. Действительно, если у вас нет почтового сервера, а кто-то пытается стучаться в \u0026quot;открытый\u0026quot; 25-й порт, то он явно не письмо от Деда Мороза принес, а ищет уязвимые или неправильно сконфигурированные почтовые сервера, поэтому самым правильным будет просто заблокировать такого товарища.\nНо ведь у нас есть нормально закрытый брандмауэр, скажет внимательный читатель, который все равно его заблокирует. Да, это так. Но есть несколько моментов. Первый - нагрузка на роутер, особенно если у вас достаточно много правил. Второй - у вас действительно могут оказаться уязвимые или слабо защищенные сервисы и поэтому лучше, если потенциальный злоумышленник будет заблокирован сразу. без возможности дальше изучать вашу систему.\nПравда, не все так просто, в собственный \u0026quot;горшочек\u0026quot; можно легко попасть самому. Поэтому настройку Honeypot нужно начать с составления белого списка, в который следует внести адреса всех внешних пользователей, админов, филиалов и внешних площадок, сторонних сервисов и т.д. и т.п. В общем всех, кто может с вполне легальными целями стучаться на ваш внешний интерфейс. Для пользователей без былых IP-адресов имеет смысл включать в список целые диапазоны подсетей провайдеров, да, это в чем-то снизит безопасность, но значительно повысит удобство использования такого решения.\nДля создания такого списка перейдите в IP - Firewall - Address Lists и добавьте в список, скажем Allow_Honeypot, все необходимые адреса и сети. В терминале адрес можно добавить так:\n1/ip firewall address-list 2add address=203.0.113.5 list=Allow_Honeypot Теперь определим список портов для приманки, это могут быть для TCP: 22- SSH, 23 - Telnet, 25 - SMTP, 135-139,445 - Netbios, 3389 - RDP, 5060 - SIP, 8291 - Winbox и многие другие. Для UDP есть смысл контролировать: 123 - NTP, 135-139,445 - Netbios, 3389 - RDP, 5060 - SIP. Если у вас на этом порту работает какой-то легальный сервис, то можно перенести его на нестандартный порт, а стандарный оставить за приманку. От обнаружения сервиса это не спасет, но поможет отсеять совсем ту часть злоумышленников, которые постучаться на стандартный порт.\nПереходим в IP - Firewall - Filter Rules и создаем правило для наших портов приманок: Chain - input, Protocol - tcp, Dst. Port - 22,23,25,135-139,445,3389,5060,8291, In. Interface - внешний интерфейс, в нашем случае ether5. Затем на вкладке Advanced вносим в исключения наш белый список: Src. Address List - ! Allow_Honeypot. Поэтому, на первых порах, мы не рекомендуем ставить большой срок, сначала следует отладить систему, а уже потом сроки нахождения в списках можно увеличить. Затем копируем его и исправляем протокол на UDP, также корректируем список отслеживаемых портов. Кроме того, мы можем повысить правдоподобность нашего \u0026quot;горшочка\u0026quot; действительно открывая TCP-порты используя действие tarpit, только открываться они будут в никуда и соединения будут висеть до истечения таймаута, что также затруднит работу злоумышленникам и снизит нагрузку на устройство. Для этого еще раз скопируйте правило для TCP и на закладке Action установите действие tarpit. Оба этих правила также должны быть подняты в самый верх, правило с tarpit должно располагаться ниже правила с добавлением в список адресов.\nБыстро создать правила в терминале можно командами:\n1/ip firewall filter 2add action=add-src-to-address-list address-list=Drop_Honeypot address-list-timeout=3d chain=input dst-port=22,23,25,135-139,445,3389,5060,8291 \\ 3 in-interface=ether5 protocol=tcp src-address-list=!Allow_Honeypot 4add action=tarpit chain=input dst-port=22,23,25,135-139,445,3389,5060,8291 in-interface=ether5 protocol=tcp src-address-list=!Allow_Honeypot 5add action=add-src-to-address-list address-list=Drop_Honeypot address-list-timeout=3d chain=input dst-port=135-139,445,3389,5060 in-interface=ether5 \\ 6 protocol=udp src-address-list=!Allow_Honeypot Некоторое время советуем просто понаблюдать за происходящим и убедиться, что в список не попадают легальные адреса, в противном случае условия правил нужно откорректировать, либо дополнить нужными адресами белый список. После этого можно переходить к решительным мерам, для этого мы будем использовать таблицу raw, что позволит максимально снизить нагрузку на устройство. Переходим в IP - Firewall - Raw и создаем новое правило: на закладке General ставим Chain - prerouting, на Advanced - Src. Address List - Drop_Honeypot, а в Action указываем действие drop. В терминале:\n1/ip firewall raw 2add action=drop chain=prerouting src-address-list=Drop_Honeypot В целом этого достаточно, чтобы заблокировать потенциальным злоумышленникам доступ к нашей сети, но если вы хотите большего, то можете заблокировать потенциальные соединения из вашей сети к злоумышленникам, для этого скопируйте правило, только на Advanced вместо Src. Address List - Drop_Honeypot укажите Dst. Address List - Drop_Honeypot. Теперь можем спать спокойно, роутер сам будет собирать список подозрительных личностей и блокировать их.\n","id":"c6370ec7f7e936f57bf9728d4bee648e","link":"https://interface31.ru/post/nastraivaem-honeypot-na-routerah-mikrotik/","section":"post","tags":["Honeypot","MikroTik","Безопасность"],"title":"Настраиваем Honeypot на роутерах Mikrotik"},{"body":"Веб-интерфейсы занимают сегодня заслуженное место среди инструментов системного администратора. Часто, не претендуя на всеобъемлющую и тонкую настройку, они предоставляют простые и удобные инструменты для базовых задач администрирования, а также ряд сервисных функций, таких как доступ к логам, автозагрузке и т.п. Сегодня мы рассмотрим легкий и простой веб-интерфейс для администрирования Linux серверов - Cockpit, а также расскажем о том, как установить его и использовать в среде операционных систем Debian и Ubuntu.\nСразу выскажем собственное мнение насчет веб-интерфейсов, панелей управления и прочего подобного софта. В их использовании нет ничего плохого или зазорного, и они действительно упрощают и облегччают повседневную жизнь. Но навыки работы с панелью не должны подменять навыки работы с системой. Если вы умеете работать в консоли, но используете веб-интерфейс - это нормально. А вот если весь ваш опыт администрирования сводится только к панели - ждите беды, в один не очень прекрасный день вы рискуете остаться один на один с темной и абсолютно незнакомой консолью.\nПоэтому мы всегда говорим: веб-интерфейсы и панели не могут заменить базовых навыков администрирования системы, но будут хорошим дополнением для владеющего базовыми навыками специалиста.\nCockpit - открытый веб-интерфейс для администрирования Linux систем разработка которого спонсируется компанией Red Hat, но его можно установить и использовать практически в любом Linux-дистрибутиве, хотя наибольшие возможности он имеет именно в RHEL-based системах.\nТак как мы работаем с DEB-системами, то посмотрим на что способен Cockpit в их среде, в качестве системы для установки мы выбрали Ubuntu 22.04, но все сказанное ниже будет справедливо для Debian или любого современного дистрибутива на их основе.\nДля установки инструмента достаточно одной простой команды, которую следует выполнить с правами суперпользователя или через sudo:\n1apt install cockpit Для того, чтобы Cockpit полноценно работал с сетью произведем небольшие настройки, прежде всего создадим и откроем на редактирование конфигурационный файл /etc/NetworkManager/conf.d/10-globally-managed-devices.conf:\n1nano /etc/NetworkManager/conf.d/10-globally-managed-devices.conf И внесем в него следующие строки:\n1[keyfile] 2unmanaged-devices=none Добавим фиктивный сетевой интерфейс:\n1nmcli con add type dummy con-name fake ifname fake0 ip4 1.2.3.4/24 gw4 1.2.3.1 И перезагрузим компьютер.\nПосле чего достаточно в любом браузере набрать адрес https://IP_address:9090 и войти под собственной учетной записью или root (если он не отключен). В Ubuntu учетная запись root отключена и для входа будет использоваться обычная учетная запись, в этом случае сразу нужно поднять права через механизм sudo, для этого нажмите Turn on administrative access и еще раз введите пароль от собственной учетной записи. Естественно, вы должны иметь право повышать собственные права до суперпользователя, в Ubuntu по умолчанию такими правами обладает созданная на этапе установки учетная запись. После повышения прав у вас появится возможность редактировать многие параметры, до давайте сначала немного осмотримся. Панель Обзор предоставляет нам общую информацию о текущем состоянии дел и параметрах системы. Некоторые из них мы можем изменить прямо отсюда, например, дату и время или имя хоста. Также нам сообщается что есть исправления для нескольких пакетов, мы можем прямо нажать на ссылку и провалиться в нужный раздел. В разделе обновлений нам не только покажут список доступных обновлений, но и покажут их серьезность, если это обновления безопасности, в данном случае серьезность критическая, поэтому такие обновления следует установить не откладывая. Это очень хорошая идея, так как позволяет администратору, не прибегая к поиску и чтению бюллетеней определить, насколько важны обновления и стоит ли обновляться именно сейчас. Раздел Журналы позволяет читать логи, доступны отборы и фильтры. В Хранилища можно получать актуальную информацию о состоянии и нагрузке на дисковую подсистему, также есть возможность создавать NFS-подключения и RAID-массивы. Раздел Сеть предоставляет информацию и возможность управления сетевыми подключениями, возможностей не сказать, что много, но для повседневных задач хватает. Раздел Службы позволяет управлять юнитами systemd и получать информацию о них, причем достаточно подробную. Если нужно большего, то прямо тут можно перейти в терминал, терминал достаточно отзывчивый, особых неудобств при работе с ним не наблюдается. В целом Cockpit - удобное решение, закрывающее основные повседневные задачи администратора, это не универсальный комбайн наподобие Webmin, здесь нет ничего лишнего, но базовый набор инструментов присутствует. Также Cockpit неплохо подойдет в качестве рабочего инструмента младшему административному составу, так как на порядок снижает возможность потенциальных некорректных или явно деструктивных действий, нежели консоль.\nНо на этом возможности инструмента не исчерпываются, его функциональность можно расширять с помощью Приложений (Applications), по умолчанию ряд приложений уже установлены. Часть приложений можно получить из репозитория дистрибутива, для этого наберите:\n1apt search cockpit- Наиболее интересным из них является приложение Virtual Machines (cockpit-machines), который представляет простой интерфейс управления KVM виртуальными машинами. Это хорошая альтернатива серьезным системами виртуализации, наподобие Proxmox, если вам нужно запустить пару-тройку виртуальных машин.\nДля установки используйте:\n1apt install cockpit-machines После чего у вас появится новый раздел Virtual Machines, где вы можете простым и понятным образом создать нужную виртуалку. Вы можете использовать как собственные ISO-образы, так и загрузить все по сети. Список доступных к загрузке ОС представлен всеми актуальными дистрибутивами первого эшелона. Мы выбрали для установки Debian 11 и совершенно спокойно скачали и установили его на созданную виртуальную машину: Если вы не нашли нужного приложения в репозитории, то можете поискать его на официальном сайте проекта, а затем скачать и установить согласно инструкциям разработчиков:\nРекомендуем к прочтению Cockpit applications В данной статье мы лишь коротко рассмотрели данный инструмент администрирования. Он прост, быстр и удобен, имеет возможности к расширению и централизации: можно подключить в одну инсталляцию Cockpit несколько серверов и управлять ими из одного места. А покровительство Red Hat позволяет не сомневаться в будущем этого проекта. Поэтому советуем внимательно присмотреться к нему и взять на вооружение.\n","id":"6877abd54f239a9820d3504030da4997","link":"https://interface31.ru/post/ispol-zuem-cockpit-dlya-administrirovaniya-debian-i-ubuntu/","section":"post","tags":["Cockpit","Debian","Linux","Ubuntu","Ubuntu Server","Рабочее место"],"title":"Используем Cockpit для администрирования Debian и Ubuntu"},{"body":"Для публикации информационных баз 1С:Предприятие на платформе Windows часто используют альтернативу штатному IIS - веб сервер Apache, который, несмотря на ряд ограничений, тоже неплохо подходит для небольших и средних установок. Одним из очевидных преимуществ Apache является его кроссплатформенность, т.е. если вы умеете настраивать данный веб-сервер на одной платформе, то без особого труда сделаете это и на другой. В данной публикации мы расскажем вам как установить и настроить Apache для публикации баз с SSL-защитой на базе сертификатов Let's Encrypt и дополнительной аутентификацией по паролю.\nУстановка сервера Apache для работы с платформой 1С:Предприятие в Windows В настоящее время официальной бинарной сборки Apache для Windows не существует, взамен предлагается скачать одну из популярных сборок. В нашем случае мы будем использовать сборку от Apache Haus, вы можете использовать и другие сборки, но некоторые настройки в них могут оказаться отличными от приведенных в статье.\nПри скачивании будьте внимательны, вам необходимо скачать сборку той же разрядности, что и разрядность используемой вами платформы 1С:Предприятие, на сегодня особых причин использовать 32-разрядные системы нет, поэтому отдаем предпочтение 64-разрядной платформы.\nСборка распространяется в виде архива, поэтому просто распакуйте ее в корень диска C:, чтобы пусть к папке с веб-сервером получился C:\\Apache24. Для установки сервера используйте команду (требуются права администратора):\n1C:\\Apache24\\bin\\httpd.exe -k install После чего вам потребуется разрешить доступ к веб-серверу по портам 80 и 443 в брандмауэре Windows, это можно сделать как в графической оснастке: Так и при помощи PowerShell:\n1New-NetFirewallRule -DisplayName \u0026#34;Apache 2.4\u0026#34; -Direction Inbound -Action Allow -EdgeTraversalPolicy Allow -Protocol TCP -LocalPort 80,443 После чего следует с другого узла сети набрать в адресной строке браузера IP-адрес или доменное имя вашего сервера и убедиться, что порты открыты и вы видите стандартную заглушку Apache.\nСледующим шагом установим платформу 1С:Предприятие, вам потребуются только компоненты 1С:Предприятие 8 и Модули расширения веб-сервера: Публикация информационной базы 1С:Предприятие Существует два способа публикации информационных баз, первый - более простой, при помощи Конфигуратора, но для его запуска вам потребуется клиентская лицензия 1С:Предпритяие. Какой-либо разницы между публикацией серверной или файловой базы на сервере Apache нет.\nДля публикации загрузите нужную информационную базу в режиме Конфигуратора и перейдите в Администрирование - Публикация на веб-сервере. В поле Сервер - укажите Apache 2.4, поле Имя - это виртуальная директория публикации, которая потом станет частью URL, Каталог - физическое расположение публикации, которое должно находится внутри папки C:\\Apache24\\htdocs: Также имейте ввиду, что для обычной работы с базой достаточно только оставить Публиковать доступ для клиентских приложений, остальное следует отключить, это упростит публикацию и уменьшит возможную поверхность атаки на нее. Принцип прост: если сервис не нужен - не публикуем.\nПосле публикации будет предложено перезапустить веб-сервер, соглашаемся с этим предложением.\nАльтернативой конфигуратору служит утилита webinst, которая располагается в директории bin установленной версии платформы, ее использование не требует наличия клиентской лицензии, для клиент-серверной базы команда публикации будет выглядеть так:\n1webinst -publish -apache24 -wsdir hrm-1 -dir \u0026#34;C:\\Apache24\\htdocs\\hrm-1\u0026#34; -connstr \u0026#34;Srvr=SRV-1C;Ref=HRM-1;\u0026#34; -confpath \u0026#34;C:\\Apache24\\conf\\httpd.conf\u0026#34; Разберем ключи:\npublish - публикация базы apache24 - использование веб-сервера Apache 2.4 wsdir - виртуальный каталог, аналог поля Имя в конфигураторе, по сути, представляет имя публикации dir - каталог с физическим расположением публикации, должен находится в C:\\Apache24\\htdocs connstr - строка подключения к базе, в нашем случае это сервер SRV-1C и база HRM-1 confpath - путь к конфигурационному файлу Apache Для файловой базы изменится только строка подключения к базе:\n1webinst -publish -apache24 -wsdir hrm-2 -dir \u0026#34;C:\\Apache24\\htdocs\\hrm-2\u0026#34; -connstr \u0026#34;File=\u0026#34;\u0026#34;C:\\1C_Bases\\HRM-2\u0026#34;\u0026#34;;\u0026#34; -confpath \u0026#34;C:\\Apache24\\conf\\httpd.conf\u0026#34; После публикации перезапускаем веб-сервер командой:\n1C:\\Apache24\\bin\\httpd.exe -k restart Публикация файловой базы имеет некоторые особенности: при работе через браузер вам понадобиться установить на узел с веб-сервером количество клиентских лицензий по количеству сеансов. После завершения сеанса в браузере он продолжает сохраняться на сервере в течении 20 минут на случай повторного подключения, все это время за ним сохраняется выданная лицензия.\nПолучение сертификата Let's Encrypt и настройка защищенного соединения Пожалуй, самая сложная часть нашей настройки, потому что при получении сертификата вам нужно быть предельно внимательным и правильно указать все параметры, в противном случае сертификат получить не удастся и все придется начинать заново. Для получения и обновления сертификатов мы будем использовать Windows ACME Simple (WACS), откуда нам потребуется скачать архив win-acme.vX.X.X.XXXX.x64.trimmed.zip. Распакуем его в С:\\Apache24\\letsencrypt.\nНо не будем спешить получать сертификат, а сначала выполним некоторые подготовительные действия. Для работы с Let's Encrypt нам понадобится доменное имя, которое должно указывать на внешний IP-адрес вашего веб-сервера. В нашем примере мы будем использовать служебный поддомен tech.host31.ru. Также помните, что изменения в системе DNS распространяются не мгновенно, а в течении некоторого времени, которое зависит от значения TTL-записи, поэтому вносите изменения в DNS заранее.\nУбедившись, что ваша DNS-запись работает можно переходить к получению сертификата. Перейдем в С:\\Apache24\\letsencrypt и запустим и запустим wasc.exe от имени администратора. Это консольная текстовая утилита, работающая в диалоговом режиме. На каждом из этапов вам нужно либо указать выбранный пункт меню, либо ввести свое значение. Действие по умолчанию подсвечено цветным выделением и можно просто нажать Enter. Работу с утилитой начнем с пункта M: Create certificate (full options). Далее нажимаем Enter (так как по умолчанию подсвечен нужный нам пункт 2) и вводим имя домена или список доменов, разделенных запятой. Затем еще раз нажимаем Enter, следующий пункт меню спрашивает, как вы хотите получить сертификаты если у вас указано несколько доменов. В подавляющем большинстве случаев можно выбрать пункт по умолчанию 4: Single certificate, либо получить отдельные сертификаты на каждый домен или поддомен.\nСледующим шагом выбираем 1: [http] Save verification files on (network) path и указываем корневую директорию веб-сервера C:\\Apache24\\htdocs.\nНа вопрос Copy default web.config before validation? (y/n)* отвечаем нет, это также действие по умолчанию (обозначено звездочкой, поэтому можно просто нажать Enter.\nПотом выбираем 2: RSA key и 2: PEM encoded files (Apache, nginx, etc.), после чего указываем директорию для хранения сертификатов C:\\Apache24\\conf\\ssl. Будет предложено установить пароль на закрытый ключ, выбираем 1: None. Затем вы повторно вернетесь в вышестоящее меню, но на этот раз действие по умолчанию 5: No (additional) store steps, поэтому просто нажимаем Enter.\nСледующий пункт спрашивает, какие действия нужно выполнить по получению сертификата. Нам нужно обязательно перезапустить веб-сервер, поэтому указываем 2: Start external script or program. После чего у нас есть два пути: сразу указать команду на перезапуск в настройках или запускать пакетный файл с той же самой командой.\nДелая выбор нужно понимать, что если здесь у вас кроме веб-публикации не будет больше никаких служб, то можно указать команду сразу, иначе лучше использовать пакетный файл, так как это более гибко.\nВыбрав вариант с пакетным файлом, создадим текстовый файл со следующим содержимым:\n1 C:\\Apache24\\bin\\httpd.exe -k restart И сохраним его под именем: C:\\Apache24\\letsencrypt\\Scripts\\ApacheRestart.bat и укажем это значение в поле File:, если вы решили обойтись тут без скрипта, то укажите путь к исполняемому файлу Apache: C:\\Apache24\\bin\\httpd.exe, а затем в поле Parameters: укажите -k restart. Потом вы снова попадете в меню вышестоящего уровня, выходим из него через Enter и приступаем непосредственно к получению сертификата, после чего все нужные ключи и сертификаты окажутся в C:\\Apache24\\conf\\ssl. Задание на продление будет добавлено в планировщик автоматически. В этом процессе не забываем указать действительный адрес почты, куда будут приходить сообщения при возникновении проблем.\nТеперь перейдем к настройкам HTTPS на веб-сервере Apache, сборка от Apache Haus имеет собственные настройки, которые подключены из файла C:\\Apache24\\conf\\extra\\httpd-ahssl.conf, откроем его на редактирование.\nПрежде всего обратим внимание на секцию , так как в основном конфиге переменная установлена как Истина, то применяться будет именно этот блок настроек. Здесь указаны разрешенные протоколы и используемые шифры, настройки по умолчанию достаточно актуальны и можно использовать их без изменений. Либо установить собственные настройки, для их генерации можете использовать сайт moz://a SSL.\nЗатем спускаемся к секции и меняем в ней следующие параметры:\n1ServerName tech.host31.ru 2SSLCertificateFile \u0026#34;${SRVROOT}/conf/ssl/tech.host31.ru-crt.pem\u0026#34; 3SSLCertificateKeyFile \u0026#34;${SRVROOT}/conf/ssl/tech.host31.ru-key.pem\u0026#34; В опции ServerName указываете полное доменное имя сервера, ниже пути к файлам сертификата и закрытого ключа, обратите внимание, что они указываются от корневой папки веб-сервера, т.е. относительно C:\\Apache24.\nСохраняем содержимое файла и выходим из него, после чего в основном конфигурационном файле C:\\Apache24\\conf\\httpd.conf находим секцию с подключенными модулями и убеждаемся, что все указанные ниже строки раскомментированы:\n1LoadModule headers_module modules/mod_headers.so 2LoadModule rewrite_module modules/mod_rewrite.so 3LoadModule socache_shmcb_module modules/mod_socache_shmcb.so 4LoadModule ssl_module modules/mod_ssl.so Затем сразу после строки:\n1Listen 80 Добавим:\n1RewriteEngine On 2RewriteCond %{REQUEST_URI} !^/\\.well\\-known/acme\\-challenge/ 3RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [R=301,L] Что обеспечит перенаправление всех HTTP запросов, кроме запросов на продление сертификата, на HTTPS порт.\nПроверяем конфигурацию и, при отсутствии ошибок, перезапускаем веб-сервер:\n1C:\\Apache24\\bin\\httpd.exe -t 2C:\\Apache24\\bin\\httpd.exe -k restart Открываем нашу публикацию и убеждаемся, что она автоматически перенаправляется на защищенную версию. Как видим, в нашем случае используется протокол TLS v1.3, совершенная прямая секретность на базе эллиптической кривой Curve25519 и шифр ChaCha20-Poly1305. В целом каких-либо сложностей при получении сертификата нет, но сам процесс достаточно длительный и требующий внимательного и кропотливого указания настроек. Но это процесс разовый, далее все будет работать автоматически.\nНастройка дополнительной аутентификации по паролю У нас нет основания сомневаться во встроенном механизме аутентификации 1С:Предприятия, во всяком случае в онлайн-сервисах дополнительной аутентификации не предусмотрено, но есть слабое место - пользователи. Во многих базах могут использоваться простые пароли или не использоваться вообще, часть таких паролей могут использоваться скриптами и средствами автоматизации, поэтому взять и установить сразу всем сложные пароли будет не так-то просто.\nСитуация усугубляется, если администрирование 1С выполняют другие сотрудники, они вполне могут, пойдя на поводу пользователей снова установить им слабые пароли, что сильно снижает безопасность собственного механизма аутентификации. Поэтому мы пойдем другим путем и установим дополнительную аутентификацию на уровне веб-сервера, тут уже точно без нас никто пароль не изменит. Основная его цель - оградить собственный механизм аутентификации 1С от доступа всех желающих, которым достаточно будет просто узнать ссылку.\nВеб-сервер Apache использует собственную базу пользователей, поэтому займемся ее созданием. Первого пользователя заводим командой:\n1htpasswd.exe -c -B C:\\Apache24\\conf\\.htpasswd user_1c Последующих:\n1htpasswd.exe -B C:\\Apache24\\conf\\.htpasswd glbuch Ключ -с предписывает создать указанный файл или перезаписать, если он существует, ключ -B указывает использовать для шифрования пароля более надежный, чем MD5 алгоритм bcrypt. После выполнения команды будет интерактивно запрошен пароль, он должен соответствовать всем требованиям сложности, в противном случае теряется весь смысл всей этой затеи.\nТеперь создадим в директории с публикацией, в нашем случае C:\\Apache24\\htdocs\\hrm-1 файл .htaccess со следующим содержимым:\n1AuthName \u0026#34;1C user only\u0026#34; 2AuthType Basic 3Require valid-user 4AuthUserFile C:\\Apache24\\conf\\.htpasswd Первая строка задает наименование области безопасности, можете вписать туда все что угодно, вторая включает Basic-аутентификацию. Затем указывается политика аутентификации и путь к файлу паролей, valid-user обозначает что доступ получит любой аутентифицированный пользователь. Если нужно указать конкретные учетные записи, то строку нужно изменить следующим образом:\n1Require user user_1c glbuch Сохраняем файл, перезапуск веб-сервера при этом не требуется.\nПроверяем, если все сделано правильно - будет запрошен логин и пароль. При работе через браузер достаточно запомнить пароль, а при работе через тонкий клиент пользователю придется вводить учетные данные два раза, первый раз аутентифицироваться на веб-сервере, а только уже потом средствами 1С. Запомнить пароль там не представляется возможным, и это может вызывать недовольство пользователей, поэтому укажем в свойствах базы дополнительные параметры запуска:\n1/WSN user_1c /WSP Pa$$w0rd_1 Где ключ /WSN определяет пользователя веб-сервера, а ключ /WSP - пароль. Теперь платформа будет проходить первый этап аутентификации автоматически.\nКак видим, настроить безопасную публикацию информационных баз 1С:Предприятие на веб-сервере Apache в Windows достаточно не сложно. А какой именно из веб-серверов выбрать уже решать вам.\n","id":"d4ac7eb33ce6044287067bb66d27ddbd","link":"https://interface31.ru/post/publikaciya-baz-dannyh-1spredpriyatie-na-veb-servere-apache-v-windows-c-zashhitoy-ssl-i-autentifikac/","section":"post","tags":["1С Предприятие 8.х","Apache","Let's Encrypt","SSL","Web-сервер","Windows Server","Безопасность"],"title":"Публикация баз данных 1С:Предприятие на веб-сервере Apache в Windows c защитой SSL и аутентификацией по паролю"},{"body":"Debian высоко ценится многими за его высочайшую стабильность, пятилетний срок поддержки и общую предсказуемость, которая обеспечивается здоровой консервативностью этого дистрибутива. Благодаря этому Debian занимает одно из первых мест как серверный дистрибутив. Но если речь идет о настольном применении, то многие его достоинства превращаются в недостатки, требующие кропотливой доводки системы под себя, что способно отпугнуть начинающих. Но есть SpiralLinux - дистрибутив на базе Debian предназначенный именно для настольного применения, в котором все необходимые настройки сделаны из коробки.\nЕсли брать Debian в том виде, в котором он есть из коробки, то это скорее серверный дистрибутив, который отличает весьма консервативное отношение к поставляемому в составе программному обеспечению. Также Debian старается следовать философии свободного ПО, по умолчанию у вас будет подключен только репозиторий main, содержащий исключительно свободные компоненты.\nПроблемы начинаются буквально сразу, комплектное ядро - 5.10, в то время как полноценная поддержка той же 12-й серии Intel начинается с ядра 5.18, отсутствие несвободных репозиториев существенно ограничивает состав поддерживаемого оборудования, в первую очередь беспроводного и ноутбучного. Также у вас не будет кодеков, шрифтов и многого многого другого. Кроме того, графические оболочки вы получите в \u0026quot;ванильном\u0026quot; виде и придется \u0026quot;доработать напильником\u0026quot; еще и их.\nВсе это, в принципе, несложно исправить, если знать и уметь. Но в той же Ubuntu это все из коробки, так стоит ли тратить на это свое время? И чаще всего на этой ноте попытка использовать Debian в качестве настольной ОС заканчивается: новичкам это сложно, опытные пользователи не хотят тратить свое время.\nИменно из этих соображений и исходил разработчик SpiralLinux, который поставил задачу создать дистрибутив Debian, который будет настроен сразу из коробки для применения на настольных ПК. Но при этом он пошел не совсем стандартным для дистрибутивостроителей путем. Как он сам пишет, многие дистрибутивы страдают проблемой \u0026quot;разработчика, попавшего под автобус\u0026quot;, т.е. если команда вдруг прекратила поддерживать выбранный вами дистрибутив, то вы остаетесь у разбитого корыта.\nПоэтому SpiralLinux базируется только на инфраструктуре Debian и не содержит никаких сторонних пакетов или репозиториев. Только стандартный Debian и ничего более, это позволит вам спокойно использовать и обновлять систему даже если проект завтра перестанет существовать.\nА что интересного у нас в SpiralLinux? Много чего:\nСвежее ядро и многие системные пакеты, благодаря подключению Fast Track репозитория Файловая система btrfs со сжатием zstd и снимками, на которые можно откатиться через GRUB Установлены бинарные прошивки, драйвера и кодеки, расширенная поддержка принтеров Возможность использовать zRAM из коробки Улучшенное управление питанием с предустановленной TLP Интеграция с Flatpak Предварительно настроенная графическая среда и шрифты Некоторые моменты могут вызвать вопросы, например, использование файловой системы btrfs, но не забываем, что перед нами не сервер, а рабочая станция и в данном контексте плюсы от btrfs, такие как прозрачное сжатие и снапшоты перевешивают потенциально возможные проблемы.\nАвтор собирает дистрибутив отдельно для каждого окружения рабочего стола и поддерживает все популярные графические среды. Подход довольно спорный, но как показывает опыт Ubuntu, имеющий свои преимущества. Начинающему пользователю проще взять небольшой образ, заточенный на определенную графическую среду и просто установить систему методом Далее - Далее - Готово. Мы скачали и установили несколько образов, о чем и расскажем в данном обзоре. Начнем с GNOME, так как именно эта среда идет в Debian по умолчанию, и будет отличная возможность сравнить.\nДля установки вместо стандартного инсталлятора Debian предлагается Calamares, он более прост, логичен и удобен, особенно для начинающих. По умолчанию предлагается разметка btrfs без раздела подкачки, в этом случае будет активирован zRAM своп. При желании здесь же можно выбрать вариант с классическим разделом подкачки, при этом инсталлятор сам правильно выберет его размер в зависимости от сценария использования устройства. В остальном никаких особенностей установка не содержит и каких-либо затруднений вызвать не должна.\nПосле перезагрузки нас встречает рабочий стол Gnome настроенный по образу и подобию Ubuntu: сразу закреплена панель и включены файлы на рабочем столе. В таком виде Gnome гораздо удобнее, нежели его \u0026quot;ванильная\u0026quot; версия. К графическому оформлению тоже нет никаких вопросов, ну разве что обои по умолчанию нравятся далеко не всем. Браузер по умолчанию - Firefox ESR, как это и заведено в Debian, а если нужно что-то иное - к вашим услугам магазин с Flatpak. Магазин, как мы уже говорили выше, интегрирован с Flatpak и при наличии альтернатив он является предпочтительным. На наш взгляд это правильно, так как версии ПО в официальных репозиториях могут быть не только старыми, а откровенно устаревшими, как, например, Telegram версии 3.1.1, против актуальной версии 4.8.1 в Flatpak. В целом все хорошо, но есть небольшие шероховатости: нужно добавить русскую раскладку клавиатуры и установить некоторые пакеты русификации, например, для LibreOffice. Для этих целей в Spiral есть значок на рабочем столе - Language support, который позволяет изменить язык системы и доустановить языковые пакеты, это несложно, пакетный менеджер Synaptic открывается уже отфильтрованный по нужным пакетам, достаточно найти соответствующий программе языковой пакет и установить его. Но лучше не полениться, открыть терминал и ввести команду:\n1apt install --install-recommends task-russian task-russian-desktop im-config В этом случае будут установлены все недостающие пакеты русификации, а также словари для поддержки проверки орфографии на русском языке.\nНемного постояв, система нашла обновления, уже по их составу можно понять степень отличия SpiralLinux от базового Debian. Одних только бинарных прошивок для разнообразного оборудования сколько. Забегая вперед скажем, что SpiralLinux без проблем подхватил все беспроводное оборудование, датчики акселерометра и биометрии в разъездном ноутбуке, которых Debian в упор не видел. Из коробки в составе системы шло ядро 5.18, после обновления пришло 6.1, что для настольной системы хорошо и делает дистрибутив актуальным и современным, несмотря на то что это по-прежнему Debian. При каждом изменении системных файлов делается автоматический снимок средствами btrfs, к которому можно быстро откатиться через загрузочное меню GRUB. Потребление ресурсов довольно умеренное, с учетом что GNOME - одна из самых требовательных оконных сред. Вряд ли она подойдет для откровенно слабых машин, но на среднестатистическом ПК с 4 ГБ ОЗУ проблем не будет. На диске свежеустановленная и обновленная система занимает 9,2 ГБ, что тоже немного. Кроме GNOME мы также протестировали рабочие среды Cinnamon: И Mate: Везде нас встречал отличный результат: современный, красивый, настроенный для настольного применения Debian.\nА вот с KDE Plasma возникли проблемы с русификацией, после установки система так и осталась с английским интерфейсом, даже после установки всех языковых пакетов практически везде пришлось включать русский язык вручную, при этом часть системы так и осталась нерусифицированной. Назвать это фатальным недостатком мы не можем, но отличное впечатление от системы портит. В то же время не забываем, что это Debian и руководство по его русификации отыскать не проблема. Будем честными, русифицировать систему, даже не очень опытному пользователю, проще, чем выполнить весь тот объем настроек, который выполнен в SpiralLinux.\nВыводы SpiralLinux - это довольно необычный дистрибутив, его отличительная особенность - использование только стандартных ресурсов базовой системы, что делает пользователя независимым от разработчика и состояния проекта. По сути, перед нами просто хорошо настроенный Debian и ничего более.\nВарианты с GNOME, Cinnamon и Mate не вызывают практически никаких нареканий, разве что нужно приложить немного усилий по полной русификации, а вот в среде KDE с русским не все так хорошо. Но все это решаемо и не портит главного впечатления от дистрибутива.\nА основным его достоинством является актуализация софта и ядра, включение бинарных драйверов и прошивок, а также интеграция с Flatpak. Т.е. мы просто ставим SpiralLinux и пользуемся Debian и современным ПО в его среде без каких-либо дополнительных настроек, словно это не Debian, а Ubuntu.\nОпытным пользователям он тоже придется ко двору, так как позволит сэкономить время на первоначальную настройку и сосредоточиться на более важных задачах.\n","id":"333bec3ecb0410bec562bd4738d2a7ab","link":"https://interface31.ru/post/spirallinux-debian-s-chelovecheskim-licom/","section":"post","tags":["Debian","Gnome","KDE","Linux","Персонализация","Рабочее место"],"title":"SpiralLinux - Debian с человеческим лицом"},{"body":"Безопасность - это вопрос волнующий любого администратора, так как в современном мире, фактически живущем в онлайн, скорость распространения угроз очень велика. Поэтому крайне важно вовремя заметить несанкционированную активность и принять соответствующие меры. В этом нам помогут системы обнаружения вторжений, а именно одна из самых популярных систем для Linux - AIDE (Advanced Intrusion Detection Environment). Несмотря на кажущуюся сложность вопроса, установить и использовать ее довольно просто и в данной статье мы расскажем, как это сделать.\nВ основе системы обнаружения вторжений лежит контроль состояния файловой системы, а в Linux, насколько мы помним, всё есть файл. AIDE считывает состояние файловой системы включая различные атрибуты, такие как права, владельцы, время создания и последнего доступа, размер и т.д. Также вычисляются контрольные суммы сразу по нескольким алгоритмам. Все это сохраняется в базу, с которой впоследствии происходит сравнение текущего состояния системы. Если какие-либо объекты были изменены, созданы или удалены - вы получите об этом отчет.\nТаким образом достаточно просто можно обнаружить нежелательную активность, как внешнюю, так и внутреннюю. Последнее даже более важно, так как позволяет своевременно выявить ошибочные действия коллег, которые могут привести к существенному снижению безопасности, например, неверно выставленные права на директории. Очень часто такими вещами страдают различные веб-дизайнеры и прочие \u0026quot;смежники\u0026quot;.\nВ нашей статье мы будем рассматривать установку и настройку системы обнаружения вторжений в среде Debian 11 и данные действия можно повторить в любой основанной на Debian системе. Для других дистрибутивов инструкция тоже подойдет с поправкой на работу пакетного менеджера и расположения конфигурационных файлов.\nВсе указанные ниже команды выполняются с правами суперпользователя root или через sudo если не указано иного.\nПрежде всего установим программу:\n1apt install aide После чего немного осмотримся, все основные настройки хранятся в /etc/aide, здесь же расположен основной конфигурационный файл /etc/aide/aide.conf, оно достаточно короток и содержит только самые базовые настройки, например, расположение базы. Также в этом файле содержатся атрибуты, по которым производятся проверки. Атрибуты можно организовывать в группы, что позволяет получить высокую гибкость настроек и не загромождать конфигурацию, также группы можно вкладывать друг в друга.\nПолный список атрибутов можно почерпнуть в документации:\nРекомендуем к прочтению Debian Manpages: AIDE.CONF The AIDE manual А мы пока пробежимся беглым взглядом: Здесь как раз отлично видно, как формируются группы и как они затем вкладываются одна в другую. Скажем группа Checksums содержит перечисление всех используемых алгоритмов, а уже ниже она используется в составе другой группы. Но такой список алгоритмов вряд-ли нужен, а вычисления контрольных сумм достаточно ресурсоемкая операция, поэтому данный список можно подсократить по собственному усмотрению.\nТакже существует ряд групп по умолчанию, их, а также все поддерживаемые алгоритмы хеширования можно просмотреть командой:\n1aide --version Теперь заглянем в /etc/aide/aide.conf.d и здесь мы увидим большое количество дополнительных конфигурационных файлов для наиболее популярных программ и ряда специфических расположений. Ведь любая работающая служба постоянно создает, изменяет, удаляет файлы и данные правила как раз предназначены исключить их сканирования нормальную активность приложений, в противном случае вы просто погрязнете в списке изменений и с большой долей вероятности пропустите действительно важные события.\nМы рекомендуем изучить конфигурационные файлы для используемых вами программ, большинство из них работает сразу, но некоторые требуют дополнительной настройки.\nВ этих файлах мы столкнемся с еще одним типом записи в конфигурации AIDE - правилами. Правила определяют, что именно мы проверяем и как именно. Существуют три вида правил: обычное, негативное и сравнивающее (Regular, Negative и Equals), все они работают с регулярными выражениями.\nНачнем с обычных правил, они представляют собой конструкцию:\n1\u0026lt;regex\u0026gt; \u0026lt;attribute expression\u0026gt; Каждое регулярное выражение должно начинаться с символа / (корень файловой системы) и представлять интересующее нас расположение. Еще раз обращаем внимание, что это не путь, а регулярка, поэтому если мы укажем:\n1/foo R То это будет распространяться как на директорию /foo, так и /foobar, чтобы этого избежать явно указывайте символ окончания строки.\n1/foo$ R После регулярного выражения указываем атрибуты или группу атрибутов, в нашем случае мы указали стандартную группу R. При необходимости мы можем ее прямо тут модифицировать, используя нужные атрибуты со знаками плюс или минус. Например, уберем md5-хеш и добавим вместо него gost:\n1/foo$ R-md5+gost Негативное правило предназначено для исключения из проверки некоторых расположений, состоит только из регулярки, атрибуты не используются:\n1!\u0026lt;regex\u0026gt; И, наконец, сравнивающее, оно отличается от обычного тем, что в базу добавляются только файлы и каталоги, соответствующие выражению, дочерние директории не добавляются.\n1=/foo R Но если указать выражение с символом / на конце пути, то в базу будут также добавлены дочерние директории первого уровня:\n1=/foo/ R Кроме того, к правилам можно применять ограничения по типам файлов, ограничив область их применения, например, только файлами или директориями. Возьмем реальный пример, мы хотим контролировать файлы конфигурации кластера 1С, но не учитывать изменения в каталогах с журналами и кешем. В этом случае исключаем каталоги и задаем правило только для файлов:\n1! /home/usr1cv8/.1cv8/1C/1cv8/reg_1541 d 2/home/usr1cv8/.1cv8/1C/1cv8/reg_1541 f R Во втором правиле ограничитель f может показаться излишним, но следует помнить, что в Linux кроме обычных файлов и директорий есть еще символические ссылки, сокеты, блочные и символьные устройства и т.д. и т.п., их обозначения смотрите в документации. Чтобы ограничиться только обычными файлами и директориями укажите:\n1=/foo d,f R Также рекомендуем ознакомиться с уже существующими файлами конфигурации для используемых служб и логов, это поможет вам лучше понять принцип их составления и почерпнуть готовые приемы для использования в собственных правилах.\nСобственные правила можно добавлять как в основной конфигурационный файл /etc/aide/aide.conf, так и создать отдельный файл в /etc/aide/aide.conf.d, последний вариант представляется нам предпочтительным. Но какой-бы из них вы не выбрали, помните, что конфигурационные файлы AIDE должны завершаться пустой строкой.\nПосле того, как вы изучили и настроили правила можно выполнить первое сканирование и инициализировать базу данных. При этом мы явно указываем утилите какой конфигурационный файл использовать:\n1aide --config /etc/aide/aide.conf --init Сканирование займет некоторое время, после чего в директории /var/lib/aide появятся файл: aide.db.new. Это текущее состояние файловой системы, скопируем его в файл с названием aide.db, который станет эталонной базой данных, с которой мы будем производить сравнения.\n1cp /var/lib/aide/aide.db{.new,} Теперь можно подождать некоторое время и запустить проверку:\n1aide --config /etc/aide/aide.conf --check Будет выполнено повторное сканирование и состояние системы будет сравнено с эталонной базой данных, все расхождения будут показаны в отчете: Как читать этот отчет? Очень просто. Самый первый символ в строке показывает тип файла: f - файл, d - директория. Первая секция - это добавленные элементы, тут все просто, тип файла и набор плюсов, показывающий что все остальные атрибуты были добавлены в базу. Ниже идет список изменений, знак равенства обозначает что файл не изменился, больше и меньше - увеличился или уменьшился. А буквы указывают список атрибутов, которые были изменены. Так m и с означают mtime и ctime, H - контрольные суммы, b - количество блоков. Если атрибут был добавлен - на его месте будет плюс, удален - минус, если игнорируется - двоеточие, не проверен - пробел, не изменился - точка. Сама же строка атрибутов выглядит следующим образом:\nГде Y - это тип файла, а Z - знаки сравнения (=, \u0026lt;, \u0026gt;).\nЕсли прокрутить вывод ниже, то вы получите подробный отчет по каждому файлу с приведением всех изменившихся реквизитов: В целом информации вполне достаточно чтобы можно было как быстро просмотреть список изменений, так и выполнить детальное расследование. Со временем вы привыкните и будете считывать изменившиеся атрибуты налету, не заглядывая в документацию.\nА что дальше? Отчет мы получили, изучили, никакого криминала в нем не нашли. Но если оставить все как есть, то эти файлы продолжат фигурировать во всех последующих отчетах, так как их состояние отличается от указанного в эталонной базе. Чтобы зафиксировать изменения эталонную базу следует обновить. Для этого выполним еще одно сканирование, но с ключом --update:\n1aide --config /etc/aide/aide.conf --update Оно делает тоже самое, что и --check, но при этом записывает текущее состояние системы в базу данных aide.db.new. После чего достаточно переименовать эту базу в aide.db и использовать текущее состояние как новый эталон.\n1mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db В дальнейшем вы можете выполнять сканирования сразу с ключом --update. Также следует обязательно обновлять эталонную базу после того, как вы внесли изменения в правила, особенно если добавили или исключили какие-либо расположения.\nАвтоматическое формирование отчетов с отсылкой на электронную почту Ручные проверки - это хорошо, но неэффективно, поэтому все то, что можно автоматизировать должно быть автоматизировано, особенно в таком ответственном деле, как контроль безопасности. AIDE имеет штатные средства позволяющие легко настроить автоматическое ежедневное формирование отчетов с отправкой их на электронную почту.\nВ текущих реалиях поднимать собственный SMTP-сервер нет смысла, разве что он уже настроен на контролируемом узле, более удобно будет воспользоваться уже существующим почтовым сервером, собственным или публичным. Поэтому установим специальный почтовый клиент, который прозрачно заменит sendmail и позволит системе использовать внешние почтовые службы.\n1apt install ssmtp mailutils Затем откроем /etc/ssmtp/ssmtp.conf и добавим учетную запись почты:\n1mailhub=mail.it-31.ru:587 2 3 AuthUser=aide@it-31.ru 4 AuthPass=Pa$$word_1 5 UseTLS=YES 6 UseSTARTTLS=YES 7 TLS_CA_File=/etc/pki/tls/certs/ca-bundle.crt Это типовой конфиг, который подходит для большинства собственных серверов и публичных почтовых служб. Каждая учетная запись начинается с опции mailhub, где указывается почтовый сервер и порт подключения клиента. Ниже указываем учетные данные и параметры шифрования, а также путь к собственному сертификату.\nЗатем найдите и приведите к следующему виду опцию:\n1FromLineOverride=YES В некоторых случаях может потребоваться указать в поле hostname полное FQDN имя вашей системы, можно даже в несуществующем домене:\n1hostname=debian11.lab Затем откроем /etc/ssmtp/revaliases, в который добавим строку:\n1root:aide@it-31.ru:mail.it-31.ru:587 Которая означает, что пользователь root должен использовать учетную запись aide@it-31.ru на сервере mail.it-31.ru.\nПроверим отправку почты:\n1echo \u0026#34;Test\u0026#34; | ssmtp -v -s \u0026#34;Test\u0026#34; andrey@it-31.ru Если все настроено правильно, то отправка будет успешной, нет - в логе будет показана ошибка.\nТеперь примемся за настройку AIDE, откроем /etc/default/aide и раскомментируем следующую опцию:\n1CRON_DAILY_RUN=yes Ниже укажем получателя почты:\n1MAILTO=andrey@it-31.ru А также укажем, что после каждого сканирования следует обновлять эталонную базу данных:\n1COPYNEWDB=yes Сохраним файл и попробуем проверить настройки. Скрипт, отвечающий за формирование отчетов, находится в /etc/cron.daily, что обеспечивает ему ежедневный запуск, для проверки работы достаточно вызвать его интерактивно:\n1/etc/cron.daily/aide В случае успешной работы скрипт не выводит никаких сообщений, но на указанную почту должно прийти письмо с отчетом о сканировании. Как видим, установить и настроить систему обнаружения вторжений несложно, но ее наличие способно значительно усилить безопасность системы и облегчить расследование возможных инцидентов, как внешних, так и внутренних.\n","id":"bca309037b8a90d45d26a1ec2bc945b7","link":"https://interface31.ru/post/ustanavlivaem-i-nastraivaem-aide---sistemu-obnaruzheniya-vtorzheniy-dlya-linux/","section":"post","tags":["AIDE","Debian","Linux","Ubuntu","Безопасность"],"title":"Устанавливаем и настраиваем AIDE - систему обнаружения вторжений для Linux"},{"body":"При развертывании комплекса 1С:Предприятие на платформе Windows для веб-публикации информационных баз часто используют IIS (Internet Information Services). Это вполне оправданное решение, позволяющее обойтись только штатными средствами платформы Windows без установки дополнительного софта. В данной статье мы не только рассмотрим процесс публикации различных информационных баз на веб-сервере IIS, но и настроим их работу по защищенному протоколу HTTPS с сертификатами Let's Encrypt, а также добавим дополнительную парольную защиту.\nУстановка сервера IIS для работы с платформой 1С:Предприятие Информация Данная инструкция будет актуальна для Windows Server 2012 R2, 2016, 2019 и 2022.\nПрежде всего установим роль веб-сервера, для этого откроем Мастер добавления ролей и компонентов и на странице Роли сервера выберем Веб-сервер (IIS): Затем на странице Службы ролей в группе Безопасность выбираем Обычная проверка подлинности: А в разделе Разработка приложений включаем Расширения ISAPI и Фильтры ISAPI: Все остальное оставляем по умолчанию и завершаем установку роли.\nСразу скажем пару слов по поводу выбранного метода аутентификации: простая проверка подлинности, она же Basic предусматривает передачу учетных данных открытым текстом, что может насторожить внимательного читателя. Данный выбор обусловлен тем, что платформа 1С:Предприятие не поддерживает иных методов аутентификации. Но следует учесть, что данный метод будет использоваться совместно с TLS-защитой и учетные данные, хоть и открытым текстом, но будут передаваться внутри зашифрованной сессии, так что о безопасности такого решения можно не беспокоиться.\nСледующим шагом установим платформу 1С, из компонентов выбираем 1С:Предприятие 8 и Модули расширения веб-сервера: Публикация клиент-серверной базы 1С:Предприятие Существует два пути публикации информационной базы: через конфигуратор и при помощи утилиты webinst. Начнем с Конфигуратора, откройте нужную информационную базу в этом режиме и перейдите в Администрирование - Публикация на веб-сервере. В строке Веб-сервер выберите Internet Information Services, поля Имя и Каталог будут заполнены автоматически, при необходимости можете изменить их значения.\nТеперь что касается параметров публикации, если вам нужен только доступ в информационную базу, то достаточно оставить Публиковать доступ для клиентских приложений, все остальное следует отключить, что позволит упросить публикацию и сузить периметр возможной атаки. Общее правило одно: не нужно - не публикуйте. Альтернативой является использование утилиты webinst, она входит в состав платформы и находится в папке bin установленной версии 1С:Предприятие. Для публикации на IIS используйте следующую команду (выполнять с правами администратора):\n1webinst -publish -iis -wsdir hrm-1 -dir \u0026#34;c:\\inetpub\\hrm-1\u0026#34; -connstr \u0026#34;Srvr=SRV-1C;Ref=HRM-1;\u0026#34; Разберем ключи:\npublish - публикация базы iis - использование веб-сервера IIS wsdir - виртуальный каталог, аналог поля Имя в конфигураторе, по сути, представляет имя публикации dir - каталог с физическим расположением публикации, должен находится в c:\\inetpub connstr - строка подключения к базе, в нашем случае это сервер SRV-1C и база HRM-1 После публикации в конфигураторе программа предложит перезапустить веб-сервер, соглашаемся, при публикации через webinst перезапускаем сервер вручную.\nСразу предвидим вопрос: а зачем использовать webinst если есть конфигуратор? Ответ прост - интерактивный запуск базы в конфигураторе требует клиентскую лицензию, webinst - нет.\nПубликация файловой базы 1С:Предприятие Обязательное условие публикации - каталог с информационной базы должен располагаться на веб-сервере. Следующим шагом нужно дать веб-серверу необходимые разрешения на доступ к базе. Для этого в свойствах каталога информационный базы добавляем для пользователя IUSR и группы IIS_IUSRS права Чтение и выполнение и Изменение: Публикация через конфигуратор осуществляется также, как и для клиент-серверной версии, а команда webinst будет отличаться строкой подключения:\n1webinst -publish -iis -wsdir hrm-2 -dir \u0026#34;c:\\inetpub\\hrm-2\u0026#34; -connstr \u0026#34;File=\u0026#34;\u0026#34;C:\\1C_Bases\\HRM-2\u0026#34;\u0026#34;;\u0026#34; Также помним, что при работе через браузер вам потребуется установить на веб-сервер нужное количество лицензий 1С из расчета одна лицензия на один сеанс. Еще одной особенностью, которую надо учитывать, является то, что даже после закрытия браузера клиентский сеанс сохраняется в течении 20 минут, на случай повторного подключения, а следовательно, занимает лицензию в течении всего этого времени.\nПолучение сертификата Let's Encrypt и настройка защищенного соединения Существует несколько способов работы с сертификатами Let's Encrypt на платформе Windows c веб-сервером IIS, мы будем использовать Windows ACME Simple (WACS), откуда нам потребуется скачать архив win-acme.vX.X.X.XXXX.x64.trimmed.zip. Содержимое которого следует поместить в С:\\inetpub\\letsencrypt.\nНо не будем спешить получать сертификат, а сначала выполним некоторые подготовительные действия. Для работы с Let's Encrypt нам понадобится доменное имя, которое должно указывать на внешний IP-адрес вашего веб-сервера. В нашем примере мы будем использовать служебный поддомен tech.host31.ru. Также помните, что изменения в системе DNS распространяются не мгновенно, а в течении некоторого времени, которое зависит от значения TTL-записи, поэтому вносите изменения в DNS заранее.\nПосле того, как вы настроили DNS необходимо выполнить привязку публикации к доменному имени. Для этого откройте в IIS Сайты - Default Web Site и перейдите в раздел Привязки, где следует ввести выбранное доменное имя. Теперь перейдем в С:\\inetpub\\letsencrypt и запустим wasc.exe от имени администратора. Последовательно проходим по пунктам текстового меню, выбрав получение нового сертификата - N, для Default Web Site - 1 и всех его привязок - А. Далее принимаем правила пользования и указываем действительный почтовый адрес, затем переходим к получению сертификата: Важно! Если ваш сервер находится внутри периметра, то для получения и продления сертификата вы должны пробросить наружу как 80 порт (HTTP), так и 443 порт (HTTPS).\nУтилита сама настроит IIS, в чем можно убедиться, снова зайдя в привязки Default Web Site: А также добавит в планировщик задание на продление сертификата: В общем, нажал на кнопку - получил результат, теперь все вопросы с сертификатом будут решаться автоматически, а в случае каких-либо проблем вам придет уведомление на почту, которую вы указали при получении сертификата.\nПеренаправление HTTP на HTTPS Несмотря на то, что мы настроили защищенный протокол для нашей публикации, она остается доступна по незащищенному HTTP, поэтому следующим шагом следует настроить перенаправление всех HTTP запросов на HTTPS версию публикации. Для этого нам потребуется установить дополнительный модуль IIS URL Rewrite 2.1. После его установки обязательно закройте и снова откройте Диспетчер служб IIS, снова перейдите к Default Web Site и выберите Переопределение URL-адресов: Далее создаем новое пустое правило для входящего трафика. Начинаем заполнять поля:\nЗапрошенный URL-адрес - соответствует шаблону Использование - Постановочные знаки Шаблон - * Не учитывать регистр - флаг установлен В разделе Условия добавляем новое условие:\nВвод условия - {HTTPS} Проверить, если входная строка - Соответствует шаблону Шаблон - OFF Не учитывать регистр - флаг установлен И, наконец, в разделеДействие:\nТип действия - Перенаправление URL-адрес перенаправления - https://{HTTP_HOST}{REQUEST_URI} Добавить строку запроса - флаг снят Тип перенаправления - Постоянное (301) Перезапускаем веб-сервер и убеждаемся, что даже при обращении по HTTP все запросы перенаправляются на защищенную версию публикации. Обратите внимание, что для подключения используется последняя версия протокола TLS 1.3, шифр AES 256 бит и совершенная прямая секретность на основе эллиптической кривой Curve25519, которая обеспечивается автоматически средствами IIS, ничего дополнительно настраивать не нужно.\nНастройка дополнительной аутентификации по паролю У нас нет основания сомневаться во встроенном механизме аутентификации 1С:Предприятия, во всяком случае в онлайн-сервисах дополнительной аутентификации не предусмотрено, но есть слабое место - пользователи. Во многих базах могут использоваться простые пароли или не использоваться вообще, часть таких паролей могут использоваться скриптами и средствами автоматизации, поэтому взять и установить сразу всем сложные пароли будет не так-то просто.\nСитуация усугубляется, если администрирование 1С выполняют другие сотрудники, они вполне могут, пойдя на поводу пользователей снова установить им слабые пароли, что сильно снижает безопасность собственного механизма аутентификации. Поэтому мы пойдем другим путем и установим дополнительную аутентификацию на уровне веб-сервера, тут уже точно без нас никто пароль не изменит. Основная его цель - оградить собственный механизм аутентификации 1С от доступа всех желающих, которым достаточно будет просто узнать ссылку.\nПрежде всего штатными средствами Windows создадим нового пользователя, в нашем случае 1c-www, установим ему сложный пароль и сделаем срок его действия неограниченным. Затем добавим этого пользователя в группу IIS_IUSRS и сделаем ее единственной: Теперь самое время настроить аутентификацию, но есть одна особенность: эта настройка у IIS работает как на уровне сайта, так и на уровне опубликованного приложения, причем настройки приложения перекрывают настройки сайта. Поэтому, если мы настроим аутентификацию на уровне сайта, то вопреки нашим ожиданиям на уровне приложений она работать не будет, так как там остались свои настройки по умолчанию. Да, после Apache или NGINX это неожиданно, но IIS работает именно так.\nПоэтому настраивать аутентификацию нужно для каждой публикации, настройку на уровне сайта можете оставить на собственное усмотрение. На уровне публикации переходим в Проверка подлинности и отключаем все методы кроме Обычная проверка подлинности, для включения-выключения используйте ссылку в меню Действия справа. Повторяем данные действия для каждой публикации.\nТеперь при попытке обратиться к нашей публикации мы увидим сначала окно дополнительной аутентификации: В браузере мы можем запомнить пароль и клиент будет работать с 1С без дополнительных телодвижений, но форма аутентификации 1С останется надежно прикрыта от случайных посетителей и ботов.\nЕсли мы используем тонкий клиент, то там также появится дополнительная форма аутентификации: Но запомнить пароль там не представляется возможным, что может вызывать недовольство пользователей, поэтому укажем в свойствах базы дополнительные параметры запуска:\n1/WSN 1c-www /WSP Pa$$w0rd_1 Где ключ /WSN определяет пользователя веб-сервера, а ключ /WSP - пароль. Как видим, настроить защищенный доступ к публикации 1С:Предприятие достаточно несложно, главное точно следовать нашей инструкции и стараться понимать, что именно и зачем вы делаете на каждом из шагов.\n","id":"8e2548c35346a066c07c79ed4a7a1141","link":"https://interface31.ru/post/publikaciya-baz-dannyh-1spredpriyatie-na-veb-servere-iis-c-ssl-zashhitoy-i-autentifikaciey-po-paroly/","section":"post","tags":["1С Предприятие 8.х","IIS","Let's Encrypt","SSL","Web-сервер","Безопасность"],"title":"Публикация баз данных 1С:Предприятие на веб-сервере IIS c защитой SSL и аутентификацией по паролю"},{"body":"Не так давно один из наших читателей посетовал, что мы совершенно несправедливо забыли про SUSE и это действительно так. А ведь это один из немногих полностью самостоятельных дистрибутивов наряду с Debian и Red Hat и также может похвастаться длительной историей. Обладая гораздо меньшей популярностью дистрибутив всегда славился надежностью и практичностью, также на его основе была создана линейка коммерческих дистрибутивов SUSE Linux Enterprise. Поэтому будет весьма любопытно посмотреть, что может предложить нам openSUSE сегодня и сравнить его с другими ведущими дистрибутивами.\nСегодня линейка openSUSE подразделяется на две отдельных ветви: Leap и Tumbleweed, названия которых отлично отражают их особенности.\nLeap имеет унифицированную пакетную базу с SUSE Linux Enterprise (SLE), что позволяет предоставить пользователям и администраторам стабильную и надежную систему с десятилетним сроком поддержки. Нумерация дистрибутива пересекается с нумерацией SLE, так текущая версия 15.4 соответствует SLE 15 SP4. А что касается названия, то Leap переводится как прыжок, что полностью соответствует концепции перехода от одной стабильной и проверенной версии к следующей.\nTumbleweed демонстрирует кардинально иной подход, данное слово переводится как перекати-поле и перед нами дистрибутив с плавающим выпуском (Rolling release), который предоставляет доступ к последним версиям ПО и позволяет быть на переднем крае технического прогресса.\nПри этом Leap доступен только в 64-разрядном варианте, для Tumbleweed существует и 32-разрядная версия, также поддерживаются архитектуры ARM, PowerPC и IBM zSystems.\nopenSUSE Leap 15.4 Начнем со стабильной версии системы, мы использовали образ для сетевой установки размером 173 МБ, полный образ имеет размер 3,9 ГБ. инсталлятор прост и строг, ничего лишнего. Далее установка переходит в тестовый режим, во время которого загружаются базовые драйвера и происходит определение оборудования и выглядит это все достаточно самобытно. Так как мы скачали дистрибутив для сетевой установки, но сразу автоматически будет инициирована сеть и подключены основные репозитории, после чего мы можем перейти к привычным пунктам установки, которые начинаются с выбора языка. Установщик имеет классический внешний вид и подразумевает классическую пошаговую процедуру, но в соответствии со всеми современными тенденциями мы сначала собираем настройки, а только потом переходим к установке. В списке подключаемых репозиториев мы можем видеть также репозитории от SLE: Одной из отличительных черт SUSE является использование файловой системы btrfs по умолчанию: На выбор предлагаются три рабочих стола (KDE, GNOME и XFCE), минимальная графическая установка и серверные варианты. При создании первого пользователя его пароль будет также установлен пользователю root и будет включен автоматический вход в систему. Учетная запиcь root здесь не отключается, хотя сразу устанавливается пакет sudo, и первый пользователь получает полные административные права. После ответов на все вопросы начнется процесс установки, смотреть там решительно не на что, а скорость доступа к репозиториям достаточно невелика, поэтому вы успеете не только выпить кофе, но и полноценно пообедать. После завершения установки и перезагрузки нас встречает стандартное для KDE окно входа в систему в фирменных темно-зеленых тонах. Внутри нас встречает KDE 5 Plasma, практически стандартная и достаточно спокойные обои фирменной расцветки. Никакими графическими изысками дистрибутив удивлять не спешит, да оно и понятно, основное направление - это работа. Предустановленного софта немного, в качестве браузера используется Firefox, а видеопроигрыватель - VLC. Офисный пакет стандартно представлен LibreOffice, версии не самые новые, но и назвать их старыми нельзя. В общем - разумная консервативность в действии. При этом SUSE, несмотря на десятилетний цикл поддержки, не сидит на древних версих ПО, а обновляет их с каждым сервис-паком. Под капотом тоже не самые последние версии, но достаточно актуальные: ядро 5.14 и KDE Plasma 5.24 LTS. Для рабочей системы, а Leap - это прежде всего именно рабочая система, бесплатный аналог SLED, все пропорции между новизной и стабильностью выдержаны удачно. Программы достаточно стабильны, но не настолько стары, чтобы пользователь начал искать что-то свежее на стороне. По ресурсам тоже все достаточно умеренно, а по современным меркам даже еще и скромно. На стандартном ПК с 4 ГБ памяти проблем быть не должно. Но если мы заговорили о SUSE, то нельзя не упомянуть YaST (Yet another Setup Tool) - фирменную утилиту для управления системой, первоначально выпускавшуюся под закрытой лицензией, но ныне переведенную под GPL. Можно без преувеличения сказать, что YaST одна из наиболее мощных и продвинутых систем управления в Linux. Настроек, на первый взгляд не так уж и много, но они закрывают все основные задачи администрирования и позволяют выполнять широкий спектр задач без обращения к консоли. Например, управление дисковыми устройствами: Управления службами, журналами - все это тоже есть в графическом виде. А еще сильнее порадуют автоматические снимки при всех критичных действиях с системой, здесь они выполняются средствами btrfs и позволяют, при необходимости, проследить изменения или сделать откат. Но YaST - это не только графические инструменты, все его возможности также доступны и в консоли. Можно смело сказать, что парадигма управления SUSE строится вокруг YaST, а сам инструмент наиболее заточен под дистрибутив (ну или наоборот). Для установки ПО доступен магазин, в данном случае стандартный, из состава KDE. Админов старой закалки, несомненно, порадует то, что все программы ставятся из репозиториев, в чем не трудно убедиться при помощи того же YaST, для рабочего дистрибутива это в целом правильно, так как дает больший контроль над ПО в организации. А вот с мультимедиа, как всегда, беда. Дело в том, что SUSE принципиально не распространяет и не включает в репозитории кодеки, которые могут быть защищены патентами, вместо этого предлагается купить коммерческий кодек-пак. Либо установить кодеки из сторонних источников, это не особо сложно, но вызовет замену некоторых системных пакетов, пакетами из стороннего репозитория, что не всегда может быть приемлемым. Но смотреть видео на рабочем месте- не самая распространённая задача, а в остальном openSUSE Leap просто работает. Надежно и практично, что, собственно, от него и ожидается.\nopenSUSE Tumbleweed Установка плавающей версии openSUSE ничем не отличается от стабильной, тот же установщик, те же цвета, только вот набор репозиториев несколько иной и нет репозиториев от SLE, но это и понятно, с точки зрения переднего края прогресса там все дико устарело, а мы наоборот стремимся быть кругом первыми. Для разнообразия мы поставили версию с GNOME и получили новейший GNOME 44 в его классическом виде, никакой тонкой настройки оболочки в дистрибутиве не производилось. В остальном все тоже самое, программ установлено по минимуму, YaST присутствует в меню в виде отдельной папки. Все ПО, естественно, практически последних версий, используемое ядро - 6.2. А вот с выбором ПО здесь пошире, вместе с репозиториями предлагается также Flatpak, при наличии обоих версий Flatpak используется как предпочтительная. К современным универсальным пакетам можно относиться по-разному, но ряд вопросов они успешно решают. Так родной, из репозиториев, VLC проигрывать кино отказался, ссылаясь на отсутствие кодеков, а вот версия из Flatpak оказалась не такой принципиальной и все свое притащила с собой, включая, разумеется, кодеки. А вот с ресурсами беда, ну да что вы хотели - GNOME 44 не для слабых машин. Хотя никто не мешает установить версию с KDE или XFCE. В остальном особых отличий от Leap не наблюдается, но следует всегда помнить, что это плавающий релиз и стабильность здесь понятие относительное.\nВыводы openSUSE по-прежнему остается хорошей, надежной и практичной системой для работы и унификация пакетной базы с SLE только является дополнительным плюсом. В довесок получаем 10 лет поддержки, но при этом не сидим на древнем ПО как в RHEL, а более-менее исправно движемся вслед за прогрессом. В этом плане подход SUSE отлично сбалансирован.\nДля тех, кому скучно - есть Tumbleweed, это та же самая openSUSE со всеми возможностями и инструментами, только максимально современная. Для работы не рекомендуется, но если вы фанат этого дистрибутива и хотите постоянно быть впереди - то почему бы и нет. Но помните: не было печали - апдейтов накачали.\nА теперь о минусах. SUSE не самый популярный и распространенный дистрибутив. Тем более это отдельная ветка, не основанная на других дистрибутивах и здесь все по-другому, по-своему. Несмотря на формат RPM менеджер пакетов тут свой - zypper, а управление системой во многом завязано на YaST.\nЭто не хорошо и не плохо, но следует понимать, что, выбрав SUSE вы получите достаточно своеобразную систему и возможностей получить поддержку или найти актуальные инструкции будет гораздо ниже, чем для гораздо более популярных семейств DEB и RHEL.\nА в целом openSUSE - хороший дистрибутив и этот уровень качества стабильно поддерживается годами.\n","id":"e813a1a2a2697e60148108ea5687fdae","link":"https://interface31.ru/post/opensuse---vse-takzhe-nadezhen-i-praktichen/","section":"post","tags":["Gnome","KDE","Linux","OpenSUSE"],"title":"openSUSE - все также надежен и практичен"},{"body":"Как мы уже говорили, сегодня очень многие рабочие процессы прямо зависят от наличия доступа в интернет, поэтому несколько каналов доступа - это не прихоть и не роскошь, а насущная необходимость. Одной из первых задач, которые решаются несколькими каналами, является отказоустойчивость, но потом возникают иные вопросы, а именно полноценное использование двух каналов, ведь это совсем не дело если оплаченный резервный канал простаивает. Поэтому в данной статье мы разберем методы балансировки каналов на оборудовании Mikrotik и рассмотрим связанные с этим проблемы и способы их решения.\nСразу начнем с того, что балансировка и обеспечение отказоустойчивости - это две не связанные друг с другом задачи, хотя очень часто их рассматривают совместно, что только вносит дополнительную путаницу. Обработка отказа предусматривает переключение каналов при отказе одного из них, а балансировка распределяет трафик между ними. Поэтому и рассматривать мы их будем раздельно, хотя и коснемся немного вопроса отказоустойчивости, чтобы у вас было понимание как совместить одно с другим.\nТема балансировки тесно связана с маршрутизацией и маркировкой трафика, достаточно сложными для начинающих, поэтому мы советуем внимательно читать и пытаться понять прочитанное, бездумно повторить инструкции в данном случае скорее всего не получится. Также из-за сложности информации часть настроек мы будем давать исключительно в виде консольных команд, особенно выполняющих повторяющиеся и второстепенные задачи. Будем считать, что вы знаете, как выполнить аналогичные действия в WinBox.\nИнформация Данная статья предназначена для RouterOS 6.x\nВо всех примерах ниже будет рассматриваться следующая схема, ее же мы использовали в предыдущей статье цикла. Но здесь во внутренней сети у нас появился дополнительный узел - условный веб-сервер, который должен быть доступен сразу на обоих внешних адресах. А начнем мы с необходимого теоретического минимума, без которого настройка балансировки выльется в непонятные камлания с непредсказуемым результатом.\nОбщие вопросы, проблемы и решения Начнем с соединений, все пакеты установленного соединения должны проходить через один и тот же канал. Это аксиома. Поэтому балансировка должна выполняться не на уровне пакетов, а на уровне соединений. А так как соединения бывают разные и трафик по ним передается разный, то даже равномерно сбалансировав каналы по соединениям вы не получите равномерной балансировки по нагрузке. Это сразу следует понимать.\nВторой момент, который связан с протоколами прикладного уровня, в рамках одного сеанса которых могут быть созданы несколько соединений. Если бездумно балансировать по соединениям, то может получиться так, что рамках одного сеанса мы получим соединения с разными адресами источниками. В ряде случаев это не критично, а в других может доставить ряд существенных неудобств, особенно если на другой стороне существует привязка сессии к IP-адресу. Наиболее критично это для финансовых приложений, например, онлайн-банков, в лучшем случае это приведет к постоянной необходимости заново аутентифицироваться в личном кабинете, в худшем - стать причиной блокировки доступа.\nТакже могут возникнуть проблемы с IPsec, туннелями, VPN и т.д., т.е. со всем тем, что чувствительно к IP-адресу противоположного узла.\nДля того, чтобы этого избежать следует привязать балансировку к еще одному параметру - адресу источника и направлять все соединения одного узла в текущий промежуток времени через один и тот-же канал.\nСледующая сложность - проброс портов и собственные сервисы роутера. Мы всегда должны отправлять ответ на тот интерфейс, с которого пришел запрос, а, следовательно должны исключить такие соединения из балансировки. Это решается дополнительной маркировкой и всегда должно делаться в первую очередь.\nПредварительная настройка роутера Прежде всего вам потребуется отключить динамическое добавление маршрутов, которое используется при создании коммутируемых подключений, например, PPPoE или DHCP: Внимание! Важно! Во время выполнения операций с настройкой маршрутов у вас кратковременно пропадет доступ в интернет. Поэтому все указанные действия следует выполнять имея физический доступ к устройству.\nЕсли вы все-таки работаете удаленно, то прежде, чем отключать динамические маршруты создайте нужные таблицы маршрутизации вручную (о чем будет разговор ниже), но помните, что любая ошибка может лишить вас доступа к устройству.\nЗатем создайте второе правило маскарадинга или SNAT в разделе IP - Firewall - NAT для выхода в интернет через второй интерфейс, а также продублируйте для него все правила проброса портов.\nПримерно это будет выглядеть так для маскарадинга, где 192.168.111.0/24 - диапазон внутренней сети:\n1/ip firewall nat 2add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.111.0/24 3add action=masquerade chain=srcnat out-interface=ether3 src-address=192.168.111.0/24 И так для проброса портов, в данном случае 192.168.111.152 внутренний адрес условного веб-сервера:\n1/ip firewall nat 2add action=dst-nat chain=dstnat dst-address=192.168.3.107 dst-port=80 \\ 3 in-interface=ether1 protocol=tcp to-addresses=192.168.111.152 to-ports=80 4add action=dst-nat chain=dstnat dst-address=192.168.233.182 dst-port=80 \\ 5 in-interface=ether3 protocol=tcp to-addresses=192.168.111.152 to-ports=80 Отличия в правилах мы выделили, как видно правила маскарадинга отличаются только интерфейсом выхода, а правила проброса портов - адресом назначения пакетов, в качестве которых используются внешние адреса роутера. В Winbox можете просто скопировать текущее правила и изменить в них указанные критерии.\nТаблицы маршрутизации Все указанные ниже действия мы будем делать в IP - Routes, перейдем туда и сначала заполним основную (main) таблицу маршрутизации, которая будет использоваться по умолчанию, если никакая иная таблица не указана. Добавим маршрут к первому провайдеру: Dst. Address - оставляем по умолчанию - 0.0.0.0/0, Gateway - указываем шлюз первого провайдера, в нашем случае 192.168.3.1 и устанавливаем административную дистанцию маршрута - Distance - 1. В терминале это сделать еще проще:\n1/ip route 2add distance=1 gateway=192.168.3.1 В принципе этого уже достаточно для того, чтобы наша сеть продолжила нормально выходить в интернет после того, как вы отключите динамическое добавление маршрутов.\nЗатем создадим таблицы маршрутизации для каждого из провайдеров. Это делается точно также, как и для основной, но с обязательным указанием имени таблицы в поле Routing Mark, мы не будем придумывать ничего сложного и просто назовем наши таблицы ISP1 и ISP2. В качестве шлюзов - Gateway - указываем шлюзы соответствующих провайдеров. Либо выполните в терминале:\n1/ip route 2add check-gateway=ping distance=1 gateway=192.168.3.1 routing-mark=ISP1 3add check-gateway=ping distance=1 gateway=192.168.233.2 routing-mark=ISP2 В результате мы имеем теперь три таблицы маршрутизации: основную - через нее будут работать все соединения по умолчанию, и две дополнительных, куда мы будем направлять маркированный трафик.\nА как с отказоустойчивостью? А ее настраиваем любым желательным способом отдельно для каждой таблицы маршрутизации. Для этого можете воспользоваться нашей статьей:\nРекомендуем к прочтению Mikrotik и несколько провайдеров. Резервирование каналов Например, самый простейший способ на основе дистанции маршрутов будет выглядеть так:\n1/ip route 2add check-gateway=ping distance=1 gateway=192.168.3.1 3add check-gateway=ping distance=2 gateway=192.168.233.2 4 5add check-gateway=ping distance=1 gateway=192.168.3.1 routing-mark=ISP1 6add check-gateway=ping distance=2 gateway=192.168.233.2 routing-mark=ISP1 7 8add check-gateway=ping distance=1 gateway=192.168.233.2 routing-mark=ISP2 9add check-gateway=ping distance=2 gateway=192.168.3.1 routing-mark=ISP2 Как видим таблицы main и ISP1 полностью повторяют друг друга и основным шлюзом (с меньшей дистанцией) в них первый провайдер, таблица ISP2, наоборот, использует основным шлюзом второго провайдера. Таким образом каждая из дополнительных таблиц при нормальной работе сети будет отправлять трафик через свой канал, а при аварии - через оставшийся рабочий.\nМаркировка трафика для проброшенных портов Как мы уже говорили выше при балансировке важно исключить из нее входящие соединения на проброшенные порты, так как ответ должен уходить в тот же канал, что и пришел запрос. Это можно сделать разными способами, чаще всего трафик маркируют по интерфейсу входа, но в этом случае в него попадает весь входящий трафик, в т.ч. и предназначенный роутеру, что заставляет вводить дополнительные правила для маркировки таких соединений. Но можно решить вопрос по-другому, более точечно.\nКакой именно трафик, на какие именно порты и по какому протоколу приходит нам известно, поэтому будем выборочно маркировать только его. Все действия по маркировке мы будем выполнять в цепочке PREROUTING таблицы mangle, при этом помним, что правила обрабатываются в порядке очереди до первого терминирующего правила.\nПереходим в IP - Firewall - Mangle и создаем следующее правило: Chain - prerouting, Dst Address - 192.168.3.107 - внешний адрес на канале первого провайдера, Protocol - tcp, Dst. Port - 80. Если проброшено несколько портов, то просто перечисляем их через запятую. В результате у вас должно получиться два правила, одно для протокола TCP, второе для UDP. На вкладке Action выбираем действие mark connection, в поле New Connection Mark ставим марку ISP1-IN, т.е. входящие соединения через первого провайдера (название марки можете выбрать на собственное усмотрение), также обязательно ставим флаг Passthrough, чтобы пакет продолжил движение по таблице. Быстрее выполнить действия в терминале:\n1/ip firewall mangle 2add action=mark-connection chain=prerouting dst-address=192.168.3.107 dst-port=80 \\ 3 new-connection-mark=ISP1-IN passthrough=yes protocol=tcp Затем создаем аналогичное правило для входящих соединений второго провайдера, только указываем второй внешний IP адрес и ставим марку ISP2-IN.\nСоединения мы промаркировали, теперь нужно направить трафик в нужные таблицы маршрутизации, поэтому ниже создадим следующее правило: Chain - prerouting, Src/ Address - 192.168.111.0/24, Connection Mark - ISP1-IN. На закладке Action выбираем mark routing и в поле New Routing Mark указываем таблицу маршрутизации, в которую мы направляем трафик, в нашем случае ISP1, флаг Passthrough не ставим, данное правило будет для пакета терминирующим. В терминале:\n1/ip firewall mangle 2add action=mark-routing chain=prerouting connection-mark=ISP1-IN new-routing-mark=ISP1 \\ 3 passthrough=no src-address=192.168.111.0/24 Затем создаем такое же правило для второго провайдера, которое будет направлять пакеты соединения с маркой ISP2-IN в таблицу маршрутизации ISP2. Данный набор правил всегда должен стоять раньше всех других правил по балансировке в таблице Mangle.\nСобственный трафик роутера Эта настройка понадобится вам, если у вас на роутере есть публичные сервисы, которые должны быть доступны через обоих провайдеров, например, VPN-сервер. Обратите внимание, что это не касается проброшенных портов, а именно собственных служб роутера. Здесь у нас стоит точно такая же задача - отправить трафик в тот же канал, через который он пришел.\nЗдесь мы будем действовать более широко, критерием будет интерфейс входа, промаркируем входящий трафик следующим образом:\n1/ip firewall mangle 2add action=mark-connection chain=prerouting in-interface=ether1 \\ 3 new-connection-mark=ISP1-IN passthrough=yes 4add action=mark-connection chain=prerouting in-interface=ether3 \\ 5 new-connection-mark=ISP2-IN passthrough=yes Нетрудно заметить, что в данные правила попадает весь входящий трафик, как собственный роутера, так и транзитный. А вот далее есть особенности. Выше мы маркировали пакеты в цепочке PREROUTING таблицы mangle, но исходящий трафик роутера туда не попадает, поэтому мы должны маркировать пакеты в двух местах. В OUTPUT для собственного трафика роутера:\n1/ip firewall mangle 2add chain=output connection-mark=ISP1-IN action=mark-routing new-routing-mark=ISP1 3add chain=output connection-mark=ISP2-IN action=mark-routing new-routing-mark=ISP2 И в PREROUTING для транзитного:\n1/ip firewall mangle 2add action=mark-routing chain=prerouting connection-mark=ISP1-IN new-routing-mark=ISP1 \\ 3 passthrough=no src-address=192.168.111.0/24 4add action=mark-routing chain=prerouting connection-mark=ISP2-IN new-routing-mark=ISP2 \\ 5 passthrough=no src-address=192.168.111.0/24 Эти правила точно также должны находиться в самом верху таблицы mangle и заменяют правила для проброшенного трафика.\nРучная балансировка каналов Самый простой способ, в котором мы можем вручную указать какой именно трафик в какую таблицу маршрутизации направить. При этом для выделения этого трафика мы можем использовать любые критерии доступные в цепочке prerouting. В нашем примере мы будем использовать в качестве критерия адрес источника. Создадим в IP - Firewall - Address Lists два адресных листа ISP1 и ISP2, затем добавим в них IP-адреса ПК, которые будут выходить в сеть через первый и второй канал соответственно. Или:\n1/ip firewall address-list 2add address=192.168.111.254 list=ISP1 3add address=192.168.111.155 list=ISP2 Теперь выполним маркировку попадающих под правило соединений:\n1/ip firewall mangle 2add action=mark-connection chain=prerouting connection-mark=no-mark \\ 3 new-connection-mark=ISP1 passthrough=yes src-address-list=ISP1 Данное правило промаркирует все соединения, адрес источник которых входит в лист ISP1 и не имеет других марок - критерий Connection Mark - no mark - маркой ISP1. Немного о последнем критерии, с его помощью мы маркируем только те соединения, которые не имеют уже установленной марки. Это сделано для того, чтобы избежать возможной перемаркировки пакетов. И хотя в нашей конфигурации в данном месте таких быть не должно лучше все же подстраховаться на будущее.\nТаким же образом маркируем соединения для второго провайдера на основании адресов из второго списка.\nЗатем перейдем к маршрутизации, создадим правило, которое будет направлять трафик, промаркированный как ISP1 в первую таблицу маршрутизации:\n1/ip firewall mangle 2add action=mark-routing chain=prerouting connection-mark=ISP1 new-routing-mark=ISP1 \\ 3 passthrough=no src-address=192.168.111.0/24 Здесь же создадим правило для второй таблицы маршрутизации.\nВ результате полный набор правил будет выглядеть так:\n1/ip firewall mangle 2add action=mark-connection chain=prerouting connection-mark=no-mark \\ 3 new-connection-mark=ISP1 passthrough=yes src-address-list=ISP1 4add action=mark-connection chain=prerouting connection-mark=no-mark \\ 5 new-connection-mark=ISP2 passthrough=yes src-address-list=ISP2 6 7add action=mark-routing chain=prerouting connection-mark=ISP1 new-routing-mark=ISP1 \\ 8 passthrough=no src-address=192.168.111.0/24 9add action=mark-routing chain=prerouting connection-mark=ISP2 new-routing-mark=ISP2 \\ 10 passthrough=no src-address=192.168.111.0/24 Аналогичным образом можно решать и иные задачи по разделению трафика между каналами, например, сделать выборочный обход блокировок. Для этого маркируем трафик на основании адреса назначения согласно спискам и направляем в нужную таблицу маршрутизации.\nБалансировка NTH (по соединениям) Довольно простой метод балансировки, когда мы оперируем соединениями и полностью соответствует принципу \u0026quot;на первый-второй рассчитайсь\u0026quot;. Т.е. первое соединение направляем в первый канал, следующее во второй, затем снова в первый и т.д. Но если реализовать этот способ без дополнительных настроек, то мы получим ситуацию, когда трафик от одного узла к другому внешнему узлу может идти сразу через оба канала, что является нежелательным. Поэтому мы будем действовать по следующему алгоритму:\nМаркировать новые соединения по принципу NTH Добавлять адрес источник промаркированного соединения в список В начале таблицы Mangle перехватываем трафик и принудительно маркируем на основании списков Ниже будем рассматривать сразу готовое решение, начнем с перехвата трафика, для этого добавим уже известное нам по прошлому методу правило:\n1/ip firewall mangle 2add action=mark-connection chain=prerouting connection-mark=no-mark \\ 3 new-connection-mark=ISP1 passthrough=yes src-address-list=ISP1 Затем продублируем его для списка второго провайдера и направим маркированный трафик в нужные таблицы маршрутизации:\n1/ip firewall mangle 2add action=mark-routing chain=prerouting connection-mark=ISP1 new-routing-mark=ISP1 \\ 3 passthrough=no src-address=192.168.111.0/24 По сути, мы продублировали набор правил для ручной балансировки, но есть одно существенное отличие, если тогда мы формировали списки вручную, то теперь будем делать это динамически. Еще ниже добавляем следующее правило для маркировки соединений: Chain - prerouting, Src. Address - 192.168.111.0/24, Connection Mark - no mark, Сonnection state - new: Еще раз обращаем внимание, что мы маркируем только новые соединения, адрес источника которых - адреса локальной сети и которые не имеют других марок.\nЗатем переходим на закладку Extra и в разделе Nth ставим Every 2, Packet 1 - это означает что под условия будет попадать каждый первый пакет из двух. На закладке Action выбираем mark connection, New Connection Mark - ISP1 и ставим флаг Passthrough.\nВ терминале:\n1/ip firewall mangle 2add action=mark-connection chain=prerouting connection-mark=no-mark connection-state=new \\ 3 new-connection-mark=ISP1 nth=2,1 passthrough=yes src-address=192.168.111.0/24 Затем аналогичное правило для второго провайдера, только в Nth ставим Every 2, Packet 2 или nth=2,2 для терминала.\nТак как флаг Passthrough установлен - пакет идет дальше, следующим шагом будет добавление адреса источника в соответствующий список. Для этого добавим следующее правило: Chain - prerouting, Src/ Address - 192.168.111.0/24, Сonnection Mark - ISP1: Переходим в Actions и указываем действие add src to address list, в поле Address List указываем список первого провайдера ISP1, ниже указываем срок действия записи, а нашем случае 8 часов. Теперь после выполнения балансировки все соединения этого узла будут закреплены за выбранным каналом на 8 часов, срок действия записи можете указать по собственному усмотрению. В терминале:\n1/ip firewall mangle 2add action=add-src-to-address-list address-list=ISP1 address-list-timeout=8h \\ 3 chain=prerouting connection-mark=ISP1 src-address=192.168.111.0/24 Данное действие терминирующим не является и пакет идет по цепочке дальше, поэтому мы должны отправить его в нужную таблицу маршрутизации разместив еще одно правило.\n1/ip firewall mangle 2add action=mark-routing chain=prerouting connection-mark=ISP1 new-routing-mark=ISP1 \\ 3 passthrough=no src-address=192.168.111.0/24 Повторяем указанный набор правил для второго провайдера.\nВ результате у нас получится:\n1/ip firewall mangle 2add action=mark-connection chain=prerouting connection-mark=no-mark \\ 3 new-connection-mark=ISP1 passthrough=yes src-address-list=ISP1 4add action=mark-connection chain=prerouting connection-mark=no-mark \\ 5 new-connection-mark=ISP2 passthrough=yes src-address-list=ISP2 6 7add action=mark-routing chain=prerouting connection-mark=ISP1 new-routing-mark=ISP1 \\ 8 passthrough=no src-address=192.168.111.0/24 9add action=mark-routing chain=prerouting connection-mark=ISP2 new-routing-mark=ISP2 \\ 10 passthrough=no src-address=192.168.111.0/24 11 12add action=mark-connection chain=prerouting connection-mark=no-mark connection-state=new \\ 13 new-connection-mark=ISP1 nth=2,1 passthrough=yes src-address=192.168.111.0/24 14add action=mark-connection chain=prerouting connection-mark=no-mark connection-state=new \\ 15 new-connection-mark=ISP2 nth=2,2 passthrough=yes src-address=192.168.111.0/24 16 17add action=add-src-to-address-list address-list=ISP1 address-list-timeout=8h \\ 18 chain=prerouting connection-mark=ISP1 src-address=192.168.111.0/24 19add action=add-src-to-address-list address-list=ISP2 address-list-timeout=8h \\ 20 chain=prerouting connection-mark=ISP2 src-address=192.168.111.0/24 21 22add action=mark-routing chain=prerouting connection-mark=ISP1 new-routing-mark=ISP1 \\ 23 passthrough=no src-address=192.168.111.0/24 24add action=mark-routing chain=prerouting connection-mark=ISP2 new-routing-mark=ISP2 \\ 25 passthrough=no src-address=192.168.111.0/24 Внимательный читатель заметит, что у нас появилось два одинаковых блока с действием mark routing и сразу возникает резонный вопрос: а нельзя ли обойтись одним. Можно, оставив нижний, но при этом нужно учитывать, что большая часть трафика будет промаркирована именно первыми правилами, основываясь на нахождении адреса источника в списке и поэтому дальнейшее прохождение пакетов по цепочке является нежелательным с точки зрения производительности. Поэтому первый блок сразу отправляет пакеты в нужную таблицу маршрутизации прерывая их дальнейшее прохождение вниз по правилам.\nТеперь некоторое время поработаем и заглянем в списки, как видим узлы равномерно распределены по каналам и добавлялись туда строго по очереди (обратите внимание на колонку с временем добавления): Если вам нужно, чтобы какой-то узел постоянно работал через один и тот же канал, просто добавьте его в нужный список вручную.\nСледующий вопрос: как быть при разной пропускной способности каналов. Допустим ISP1 предоставляет канал в 100 Мбит/с, а ISP2 только 50 Мб/с. В таком случае нам нужно изменить условия балансировки, как показывают несложные математические вычисления, вместо балансировки 1/2 нам нужно балансировать 1/3. Т.е. в условиях Nth ставим Every 3, а затем два пакета маркируем для первого провайдера, а третий для второго.\n1add action=mark-connection chain=prerouting connection-mark=no-mark connection-state=new \\ 2 new-connection-mark=ISP1 nth=3,1 passthrough=yes src-address=192.168.111.0/24 3add action=mark-connection chain=prerouting connection-mark=no-mark connection-state=new \\ 4 new-connection-mark=ISP1 nth=3,2 passthrough=yes src-address=192.168.111.0/24 5add action=mark-connection chain=prerouting connection-mark=no-mark connection-state=new \\ 6 new-connection-mark=ISP2 nth=3,3 passthrough=yes src-address=192.168.111.0/24 Никакие другие правила данное изменение не затрагивает и больше изменять ничего не нужно.\nБалансировка PCC (per connection classifier) Это более сложный способ и в качестве критериев балансировки используются критерии соединения, такие как адрес и порт источника или назначения. При этом данный способ более прост в реализации за счет того, что нам не нужно контролировать ряд аспектов, например, привязку всех соединений узла к каналу.\nНачнем. Прежде всего добавим правило маркировки соединений, маркировать мы все также будем трафик с адресами источника Src. Address - 192.168.111.0/24 и не имеющих других марок Connection Mark - no mark. Только на закладке Advanced добавим критерий Per Connection Classifer - src. address 2/0.\nЭто означает что в качестве критерия классификации мы выбираем адрес источник (доступны также адрес и порт источника, адрес назначения, адрес и порт назначения, оба адреса и т.д.) на основании которого вычисляется 32-битный хеш, затем этот хеш делится на указанное в числителе дроби число и остаток сравнивается со знаменателем, при совпадении происходит срабатывание правила. Так как делим мы на 2, то возможные остатки у нас 0 и 1, для первого провайдера указываем ноль и присваиваем соединению метку ISP1, а чтобы пакет пошел дальше не забываем про Passthrough. Аналогичное правило создаем и для второго провайдера, только в критерии ставим в знаменатель остаток 2. Если нам нужно балансировать каналы в иной пропорции, то можем использовать иные параметры, так повторяя указанный выше пример с каналами 100 Мбит/с и 50 Мбит/с следует использовать числитель 3 и знаменатели 0,1,2. Правил будет также три, два из них должны ставить метку ISP1, одно - ISP2.\nДобавить правило в терминале можно так:\n1/ip firewall mangle 2add action=mark-connection chain=prerouting connection-mark=no-mark new-connection-mark=ISP1 \\ 3 passthrough=yes per-connection-classifier=src-address:2/0 src-address=192.168.111.0/24 Затем ниже добавляем правила направляющие промаркированный трафик в нужную таблицу маршрутизации, пример для первого провайдера:\n1/ip firewall mangle 2add action=mark-routing chain=prerouting connection-mark=ISP1 new-routing-mark=ISP1 \\ 3 passthrough=no src-address=192.168.111.0/24 Полный набор правил будет выглядеть так:\n1/ip firewall mangleadd action=mark-connection chain=prerouting connection-mark=no-mark new-connection-mark=ISP1 \\ 2 passthrough=yes per-connection-classifier=src-address:2/0 src-address=192.168.111.0/24 3add action=mark-connection chain=prerouting connection-mark=no-mark new-connection-mark=ISP2 \\ 4 passthrough=yes per-connection-classifier=src-address:2/1 src-address=192.168.111.0/24 5 6add action=mark-routing chain=prerouting connection-mark=ISP1 new-routing-mark=ISP1 \\ 7 passthrough=no src-address=192.168.111.0/24 8add action=mark-routing chain=prerouting connection-mark=ISP2 new-routing-mark=ISP2 \\ 9 passthrough=no src-address=192.168.111.0/24 Как видим, несмотря на более сложный алгоритм реализация этого способа гораздо проще, так как классификацию соединений берет на себя роутер и нам не нужно создавать дополнительные списки и правила.\nБалансировка ECMP (equal cost multipath routing) Аббревиатура ECMP расшифровывается как маршрутизация через множество путей равной стоимости. А так как все пути равнозначны, то трафик будет равномерно балансироваться между ними. Этот метод широко используется провайдерами, но для конечных сетей это не самый лучший вариант. Почему? Потому что мы не можем повлиять на выбор пути для соединения согласно каким-либо критериям и поэтому несколько соединений от одного внутреннего узла к одному внешнему могут пойти и пойдут разными путями. К чему это может привести мы писали в начале этой статьи. Поэтому подходите к выбору этого способа балансировки взвесив все за и против.\nПрежде всего создадим еще одну таблицу маршрутизации и добавим в нее нулевой маршрут с несколькими шлюзами, если нужна балансировка в разных пропорциях, то следует добавить нужный шлюз несколько раз. Ниже показан пример для каналов 100 Мбит/с и 50 Мбит/с у первого и второго провайдера. Указанные шлюзы будут использоваться по кольцу (Round-robin). Обратите внимание, что новый маршрут мы поместили в новую таблицу mixed. В терминале:\n1/ip route 2add check-gateway=ping distance=1 gateway=\\ 3 192.168.3.1,192.168.3.1,192.168.233.2 routing-mark=mixed Теперь поймаем все исходящие соединения локальной сети без марок и назначим им марку mixed:\n1/ip firewall mangle 2add action=mark-connection chain=prerouting connection-mark=no-mark \\ 3 new-connection-mark=mixed passthrough=yes src-address=192.168.111.0/24 И сразу завернем этот трафик в нужную таблицу маршрутизации:\n1/ip firewall mangle 2add action=mark-routing chain=prerouting connection-mark=mixed new-routing-mark=mixed \\ 3 passthrough=no src-address=192.168.111.0/24 Полностью конфигурация будет выглядеть так:\n1/ip route 2add check-gateway=ping distance=1 gateway=\\ 3 192.168.3.1,192.168.3.1,192.168.233.2 routing-mark=mixed 4 5/ip firewall mangle 6add action=mark-connection chain=prerouting connection-mark=no-mark \\ 7 new-connection-mark=mixed passthrough=yes src-address=192.168.111.0/24 8add action=mark-routing chain=prerouting connection-mark=mixed new-routing-mark=mixed \\ 9 passthrough=no src-address=192.168.111.0/24 Как можно заметить, данный способ вообще предельно прост, но имеет ряд особенностей, которые следует учитывать.\nДругие сети за роутером Все это время мы просто маркировали исходящие пакеты из локальной сети, не разбираясь их назначением, молча подразумевая что все они уходят во внешнюю сеть. Но как быть, если за роутером находятся другие внутренние сети, неважно, непосредственно подключенные или через VPN. Очевидно, что нам нужно исключить их из балансировки.\nПервое, что приходит на ум - это создать дополнительный список, скажем dont_balance и добавить его дополнительным критерием к правилам маркировки соединения через Dst. Addreess List, но таких правил может быть много и дополнительный критерий увеличит нагрузку на роутер. Поэтому мы пойдем другим путем, а именно вспомним, что во всех правилах маркировки мы использовали критерий Connection Mark - no mark. Следовательно, нам достаточно добавить таким соединениям собственную марку, и они не будут маркироваться правилами балансировки.\nЧтобы не делать много записей можно сразу добавить в список диапазоны используемых частных сетей. На безопасность это не влияет, но упрощает администрирование. В терминале создать и заполнить список можно так:\n1/ip firewall address-list 2add address=192.168.0.0/16 list=dont_balance 3add address=10.0.0.0/8 list=dont_balance Теперь промаркируем входящие соединения из этих сетей в локальную сеть и исходящие из локальной во внутренние сети:\n1/ip firewall mangle 2add action=mark-connection chain=prerouting dst-address-list=dont_balance \\ 3 new-connection-mark=LOCAL passthrough=yes src-address=192.168.111.0/24 4add action=mark-connection chain=prerouting dst-address=192.168.111.0/24 \\ 5 new-connection-mark=LOCAL passthrough=yes src-address-list=dont_balance Далее можно не делать ничего, соединения с уже существующей меткой пройдут сквозь остальные правила и останутся в основной таблице маршрутизации, но если такого трафика много, то с целью уменьшения нагрузки на роутер добавим ниже еще одно правило, которое принудительно отправит эти пакеты в основную таблицу и прекратит их прохождение по цепочке.\n1/ip firewall mangle 2add action=mark-routing chain=prerouting connection-mark=LOCAL new-routing-mark=main passthrough=no Эти правила должны располагаться в самом верху таблицы Mangle, выше всех других правил балансировки.\n","id":"8092764bdef321364e4e583a85ddac7d","link":"https://interface31.ru/post/mikrotik-i-neskol-ko-provayderov-balansirovka-kanalov/","section":"post","tags":["MikroTik","Маршрутизация","Сетевые технологии"],"title":"Mikrotik и несколько провайдеров. Балансировка каналов"},{"body":"Выбирая дистрибутив Linux для работы, следует обязательно обратить внимание на окружение рабочего стола, так как именно от него зависит удобство взаимодействия с системой и возможность использовать ранее полученные пользовательские навыки. Также немаловажно учитывать потребление ресурсов и правильно сопоставить его с аппаратными возможностями имеющегося парка ПК. Ну и не стоит забывать, что работать с системой будут обычные пользователи, которые будут стараться использовать уже имеющееся навыки, зачастую не самые правильные.\nВообще, всякий раз, когда нас просят порекомендовать дистрибутив для настольного применения мы советуем начать не с выбора дистрибутива, а с выбора среды рабочего стола. Многие удивляются, но ничего удивительного в этом нет. Компьютер сегодня - это просто рабочий инструмент и пользователь вполне ожидаемо хочет включить его и работать: запускать программы, искать и находить свои файлы, работать с сетью, периферийными устройствами и, крайне желательно, делать это максимально привычным способом.\nПоэтому наш обзор будет строиться именно вокруг пользовательского опыта и его преемственности, с учетом того, что получен он был в подавляющем большинстве случаев в Windows и будем считать такую схему построения интерфейса классической.\nGNOME 3 Одна из самых известных настольных оболочек, входит в \u0026quot;большую двойку\u0026quot; сред и встречается в большом количестве дистрибутивов. Но при этом GNOME 3 одно из самых необычных и непривычных рабочих окружений. Судите сами, сразу после входа в систему нас встречает рабочий стол без возможности разместить на нем значки и узкая верхняя панель с часами и значками статусов. В панели отображается только запущенная в текущий момент программа, в нашем случае файловый менеджер. Для получения доступа к списку запущенных программ следует нажать кнопку Обзор в верхнем правом углу, после чего мы увидим док с запущенными приложениями и ярлыками наиболее часто используемых программ. Справа от дока будут показаны окна работающих приложений и будет возможность переключаться между ними. При этом приложения никак не сортируются, не группируются и работать с большим количеством однотипных окон становится тем еще развлечением. Чтобы получить доступ к установленным программам следует нажать на блок из точек внизу дока, после чего получим развернутое на весь экран меню с крупными значками и строкой поиска. Значки легко группируются простым перетаскиванием и больше всего это напоминает мобильные операционные системы и явно имеет прицел на сенсорное управление. Нельзя сказать, что GNOME 3 однозначно плоха, но принципы взаимодействия с интерфейсом в этой среде существенно отличаются как от классической пользовательской среды, так и от любых других сред, сочетая элементы многих из них. Как невесело шутят пользователи: интерфейс GNOME придумали инопланетяне. Также много и других неоднозначных мелочей, так при копировании файлов или иной длительной операции вместо привычного прогресс-бара во всплывающем окне вы увидите, точнее не увидите небольшой круговой индикатор в верхней панели файлового менеджера, что на первых порах сильно сбивает с толку.\nЧто касается визуального оформления, то здесь все на высоком уровне, придраться решительно не к чему, это взрослая, современная оболочка и вопросам дизайна уделяется здесь не последнее место. Вполне ожидаемо все это требует ресурсов, особенно оперативной памяти. Так сразу после запуска система требует что-то около 1,2 ГБ памяти, запустим несколько программ, браузер и вот уже практически 2 ГБ, а мы еще ничего и не делали... В общем GNOME 3 однозначно не для слабых машин, но на типичном современном ПК с 4 ГБ ОЗУ в стандартной конфигурации будет чувствовать себя достаточно неплохо.\nПри этом GNOME 3, по сути, устаревшая версия оболочки, но так как она часто используется в дистрибутивах с длительным сроком поддержки, то видеть мы ее будем еще долго, а пока что посмотрим на ее преемницу.\nGNOME 4x Выпуская четвертую версию рабочей среды, разработчики вдруг решили, что номер версии выглядит как-то не солидно и перешли на двузначную нумерацию, первая версия называлась GNOME 40, потом пошли 41, 42 и т.д. На первый взгляд мало что изменилось. все тот же рабочий стол без значков и узкая верхняя панель. На панели все также отображается только единственное, активное приложение. Но все меняется, стоит нажать на кнопку Обзор, док переехал вниз и если раньше достаточно было двинуть мышку вниз, то теперь приходится постоянно гонять ее туда-обратно через весь экран, понятно, что удобства это не прибавляет. Для доступа к программам все также служит кнопка из группы точек и точно также список разворачивается на весь экран. В целом это все тот же GNOME 3, с сохранением всех его особенностей плюс более активное продвижение работы с несколькими рабочими столами, они теперь везде. Ну и по ресурсам новая версия оболочки стала более требовательной. Сразу после запуска система потребляла вполне приемлемые 1,5 ГБ, но стоило нам открыть пару приложений оболочки и браузер, как потребление увеличилось до целых 2,8 ГБ, что много даже по меркам недорогих современных систем, а про старые можно совсем забыть.\nДа, GNOME 4x - это современная рабочая среда для современных систем и 4 ГБ здесь просто впритык. За красоту и удобства надо платить. Хотя нет, насчет второго это мы погорячились.\nТак что делать с удобством? Ответ прост - кастомизировать систему под себя. Возможностей здесь хватает, но и сам процесс не очень-то прост, поэтому лучше сразу обратить внимание на дистрибутивы, где это сделали за вас. Например, Ubuntu давно настраивает GNOME в стиле своей старой оболочки Unity, от поддержки и развития которой отказались. Здесь вернули возможность размещать на рабочем столе значки и сделали док видимым постоянно, без необходимости нажимать на кнопку Обзор. Вроде бы мелочи, но работать стало гораздо удобнее. А в варианте ROSA Fresh 12 оболочку вообще сразу не узнать, разработчики постарались превратить GNOME 4x в классическую рабочую среду, с классическим стартовым меню и панелью задач, получилось, надо сказать, достаточно неплохо. В целом, говоря о GNOME, следует исходить из очень большой вариативности, начиная от стандартного вида, где взаимодействие с системой весьма необычно и неудобно, заканчивая разного рода кастомизированными вариантами, которые могут полностью менять подходы.\nKDE 5 Plasma Еще одна рабочая среда из \u0026quot;большой двойки\u0026quot;, но в отличие от GNOME она продолжает сохранять и развивать классический подход к управлению интерфейсами операционной системы. Все максимально привычно и близко для пользователя переходящего с Windows. Пожалуй, это единственная среда рабочего стола в Linux, где пользователю не придется серьезно переучиваться, ну не более чем при переходе между версиями Windows, а еще KDE отлично выглядит и имеет широкие возможности к персонализации при помощи виджетов рабочего стола. Которые были любимы многими во времена Windows 7, но затем были безжалостно выпилены.\nЕще одной особенностью KDE, мы бы даже сказали - визитной карточкой, является изобилие настроек. Настроить можно буквально все, причем привычным пользователю образом - через графическую оболочку, буквально в каждом пункте настроек будут дополнительные настройки, а в них еще и еще. Залипнуть можно надолго. По ресурсам KDE 5 соответствует современной и продвинутой оболочке: 1.5 ГБ ОЗУ при старте и 2,4 ГБ с парой открытых приложений и браузером. Явно не для слабых ПК, но на средней машине с 4 ГБ памяти особых проблем испытывать не придется, хотя сильно и не развернёшься. KDE также широко используется во многих дистрибутивах, для некоторых являясь основным. Но особой вариативности он не подразумевает, что-то, скажем стартовое меню, могут изменить, но в целом эту оболочку ни с чем не перепутать и принципы работы с ней остаются неизменными. Ниже показан вариант KDE из состава Альт Рабочая станция К: Сегодня KDE 5 Plasma - это зрелая, но современная оболочка, с упором на классические приемы работы и будем надеяться, что она будет оставаться такой и впредь.\nCinnamon Еще одна достаточно известная оболочка от разработчиков Linux Mint и многим будет достаточно интересно узнать ее историю. После выпуска GNOME 3 разработчики Mint потеряли уверенность в будущем проекта, так как GNOME развивался куда-то не туда, а других альтернатив у них не было. В результате они сделали собственное ответвление от GNOME Shell, которое в результате и стало отдельной рабочей средой Cinnamon. Ну а мы можем сказать, что именно так мог бы выглядеть GNOMЕ 3 здорового человека.\nОболочка включает все плюсы и достоинства GNOME, включая визуальную составляющую, но сохраняет классический подход взаимодействия с системой. Не даром Mint считается одной из лучших систем для новичков. По ресурсам это практически тот же GNOME 3, для слабых ПК не рекомендуется, на всем остальном работать будет вполне нормально. Данная среда достаточно популярна и за пределами Mint, не так давно в семейство Ubuntu была официально принята версия с Cinnamon, которая отличается в основном расцветкой и темной темой: Также ее можно встретить и в Альт Рабочая станция, но здесь разработчики полностью в своем репертуаре, полностью забив на визуальную составляющую из-за чего неплохая в целом рабочая среда выглядит достаточно неприглядно. В целом Cinnamon выглядит неплохой альтернативой в случае, если вам не нравится KDE, и вы абсолютно не в восторге от смелых экспериментов GNOME, но хочется иметь красивую и современную рабочую оболочку.\nXFCE Как только речь заходит о чем-нибудь попроще, то сразу вспоминают эту рабочую среду. Действительно, \u0026quot;мышка\u0026quot; или \u0026quot;крыска\u0026quot; по символу оболочки, является более легковесной оболочкой, но все еще достаточно мощной и визуально привлекательной. А еще она довольно легко настраивается, позволяя создавать самые различные рабочие пространства.\nВ Xubuntu основная панель и стартовое меню расположены наверху, что делает систему похожей на GNOME 2, а если добавить снизу панель в виде дока, то и на Mac, хотя общие принципы работы здесь ближе к классическим. Ресурсов тоже много не тратится, после запуска система потребовала всего 925 МБ, а несколько приложений плюс браузер поместились в скромные по нынешним временам 1,5 ГБ. Совсем легковесной данную оболочку не назвать, но старые компьютеры получают второй шанс. На скриншоте выше можно заметить, что мы переместили панель вниз, реализовав таким образом классический интерфейс, он же сразу присутствует во многих других дистрибутивах, ниже показан Simply Linux, правда уже после некоторых косметических доработок. Про XFCE можно смело сказать, что это №1 среди легковесных оболочек, при этом она остается весьма привлекательной графически и достаточно легко настраивается под любые вкусы и потребности.\nMate После выхода GNOME 3 не все согласились с новой концепцией и если кто-то начал делать свою оболочку, то другие разработчики решили продолжить дело GNOME 2 и создали форк этой рабочей среды - Mate. При этом они не чужды современных технологий и сегодня Mate это не какой-то там динозавр, а вполне современная оболочка рабочего стола, но повторяющая концепты реализованные в старом добром GNOME 2. Поэтому меню и основная панель расположены сверху, а открытые программы показаны на панели внизу. При этом нельзя сказать, что Mate напрямую копирует GNOME 2, система развивается и берет лучшее из современных технологий и подходов к построению интерфейсов, но преемственность видна невооруженным глазом. По принципам работы Mate, как и GNOME 2, более тяготеют к старому Mac и могут быть несколько непривычны, но освоить их гораздо легче, чем современные GNOME.\nТем более что все можно настроить в привычном, классическом виде, как, например, сделали в РЕД ОС, там с первого взгляда и не узнаешь Mate, тем более в непривычной красной расцветке: По ресурсам это также середнячок, всего 1 ГБ ОЗУ при запуске и 1,6 ГБ по сценарию несколько приложений и браузер. Подойдет в том числе и на старые компьютеры, хотя сегодня найти ПК с 2 ГБ ОЗУ и без возможности расширения - это еще надо постараться. Если брать сегодняшний день, то Mate из простого форка GNOME 2 развилась в современную рабочую среду, построенную на классических принципах и это хорошо, так как любым смелым начинаниям всегда должна быть альтернатива. Тем более что GNOME 2 - это целая эпоха в развитии Linuх.\nLXQt Первоначально проект назывался LXDE и представлял собой очень легкую и простую среду рабочего стола на основе GTK, но после выхода GTK3 разработчики остались ей недовольны и постепенно портировали проект на Qt.\nLXQt - это действительно простая оболочка, в чем-то может даже быть примитивная, чего стоит одно только стартовое меню, которое возвращает нас в конец 90-х и о котором успели забыть даже пользователи Windows. И если внешне LXQt еще и выглядит более-менее современно, то дальше начинаются сплошные компромиссы, вопросы есть и к внешнему виду, и к эргономике, и к наличию системных утилит и инструментов. Но зато самое низкое потребление ресурсов: всего 670 МБ при загрузке и 1,28 ГБ с несколькими приложениями и браузером. В общем, если ваши компьютеры совсем дрова, то LXQt придется вам ко двору, иначе - лучше поискать иные альтернативы, потому что легкость и простота напрямую соседствуют тут с примитивностью и убогостью.\nВыводы Каких-то однозначных выводов здесь не будет, выбор среды рабочего стола дело личных предпочтений, но кое-какие итоги подвести можно.\nНачнем с GNOME 3/4x - худшего варианта придумать сложно, разработчики явно пошли куда-то не туда и оболочка в своем первоначальном виде способна выбить из седла даже опытного пользователя. Поэтому во многих дистрибутивах GNOME так или иначе дорабатывают, приводя в более-менее классический вид, но во многом все зависит от дистрибутива. Да и системные требования у этой оболочки не очень-то и низки.\nKDE 5 Plasma - это нестареющая классика. Все привычно и удобно, выглядит отлично, настроек - море. Но вот не всем KDE нравится, тут уже ничего не поделать. По ресурсам тоже достаточно требователен, ну так вы же хотите современную рабочую среду или нет?\nДля тех, кому не нравится KDE, и кто не в восторге от смелых экспериментов GNOME можно предложить Cinnamon, в качестве GNOME здорового человека, выглядит не хуже, по ресурсам требует столько же, но реализует классический интерфейс взаимодействия с системой.\nXFCE и Mate - это когда надо попроще, но в тоже время остаются требования к приличному внешнему виду и возможностям. Все это у них есть, как и возможность тонкой настройки. По сути, это золотая середина для рабочих систем, не требующая срочного апгрейда аппаратной части.\nНу и наконец LXQt - это когда совсем все плохо, а работать надо. Данная рабочая среда действительно позволяет вдохнуть новую жизнь в старое железо, но при этом вам придется пойти на очень многие компромиссы. Кроме того, данная оболочка не пользуется особой популярностью среди создателей дистрибутивов, в отличие от перечисленных выше.\nА в целом выбирайте по собственным потребностям и в первую очередь ориентируйтесь на пользователей, чтобы они, со своим прошлым опытом, могли быстро и безболезненно освоить новую для них рабочую среду.\n","id":"fa040f27a61e3928d7d60c98c8332a08","link":"https://interface31.ru/post/sovremennye-sredy-rabochego-stola-linux/","section":"post","tags":["Linux","Рабочее место"],"title":"Современные среды рабочего стола Linux"},{"body":"Продолжая рассматривать решения для собственной почты, нельзя обойти вниманием еще один Open Source проект - Mail-in-a-Box. Пожалуй, это одна из самых продвинутых в техническом плане сборок, но и самая своеобразная. Общая идея этого продукта заложена в названии - Mail-in-a-Box (Почта в коробке) и предполагает развертывание полноценного и современного почтового сервера в одно действие. Но, в отличие от иных сборок, мнение пользователя здесь не учитывается, разработчики считают, что они лучше знают, каким должен быть почтовый сервер и мы либо играем по их правилам, либо не играем вообще.\nДа, вы не ослышались, Mail-in-a-Box считает собственные настройки единственно верными и не приветствует ручное изменение конфигурации, более того, при обновлении или повторном запуске утилиты конфигурирования все настройки будут сброшены на изначальные. С другой стороны, вам вообще не требуется знать почти ничего об электронной почте чтобы работать с данной сборкой. Буквально в несколько очень простых действий вы можете поднять полностью автономную почтовую систему. В общем, выбор за вами.\nДоменные имена и DNS-зона Как театр начинается с вешалки, так и почта начинается с настройки DNS-зоны, важно сделать это заранее, так как изменения в системе DNS не распространяются мгновенно. В нашем примере будет использован специальный технический домен, который мы специально используем для подготовки материалов.\nИсходные данные такие:\nit-31.ru - используемый домен mk-52 - почтовый сервер, полное доменное имя (FQDN) mk-52.it-31.ru 203.0.113.25 - IP-адрес почтового сервера Те, кто читал наши предыдущие статьи о почтовых сборках заметят, что мы не указали псевдоним (CNAME) для сервера. Так и есть, с Mail-in-a-Box использовать его не получится, поэтому сразу называем сервер как надо или используем то имя, которое есть.\nЕсть два варианта развертывания Mail-in-a-Box - в качестве автономной системы, в этом случае DNS-сервер вашей зоны будет расположен на этом же узле, либо с использованием внешних DNS-серверов. Первый способ проще, но накладывает серьёзные ограничения и неудобства в управление доменной зоны. А в случае неисправностей почтового сервера ваша зона останется без сервера имен, что приведет к ее глобальной недоступности.\nВнешние DNS-сервера позволяют сохранить управляемость и надежность облуживания зоны, но потребуют дополнительных действий и настроек, мы рекомендуем именно этот вариант.\nНо если вы хотите все-таки получить автономную систему, то вам потребуется внести на DNS-сервере, обслуживающем вашу зону следующие записи:\n1ns1.mk-52 IN A 203.0.113.25 2ns2.mk-52 IN A 203.0.113.25 Это так называемые Glue (склеивающие) записи, позволяющие определить адреса сервером имен если они находятся в обслуживаемом ими домене.\nЗатем здесь же изменим записи, определяющие сервера имен зоны:\n1@ IN NS ns1.mk-52.it-31.ru. 2@ IN NS ns2.mk-52.it-31.ru. В NS-записях следует использовать только полные (FQDN) имена узлов и обязательно заканчивать их точкой.\nВажно! Имейте ввиду, что не все DNS-хостинги позволят вам внести такой набор записей, так как по спецификации зону должны обслуживать не менее двух NS-серверов в разных IP-подсетях.\nЕсли же мы используем внешние DNS-сервера, то вносим на них стандартный набор записей, сначала MX и А:\n1@ IN MX 10 mk-52 2mk-52 IN A 203.0.113.25 Затем SPF и DMARC:\n1@ IN TXT \u0026#34;v=spf1 +a +mx ~all\u0026#34; 2_dmarc TXT \u0026#34;v=DMARC1; p=none; rua=mailto:report@it-31.ru\u0026#34; Мы указали достаточно мягкие правила, согласно которым почту могут отправлять узлы перечисленные в A и MX-записях домена, а политика DMARC предписывает только присылать отчеты, если почта не прошла проверку у получателя. Более подробно с этими записями и их настройкой вы можете ознакомиться в статье:\nРекомендуем к прочтению Настраиваем свой почтовый сервер. Что нужно знать. Ликбез Далее, вне зависимости от того какой способ управления DNS вы выбрали, вам нужно обратиться к провайдеру или хостеру, тому кто выдал вам IP-адрес, и попросить создать обратную запись (PTR) с именем вашего хоста, пример такой записи для нашего случая:\n125.113.0.203 IN PTR mk-52.it-31.ru. Еще раз напоминаем, обратную запись делает владелец IP-подсети, и она должна содержать имя сервера, отправляющего почту.\nПредварительная настройка сервера Для установки Mail-in-a-Box потребуется Ubuntu 22.04 LTS, другие операционные системы не поддерживаются. Также важно использовать для этого чистую минимальную установку, так как установщик будет настраивать систему по собственному усмотрению, в т.ч. и удаляя ненужные, на его взгляд, пакеты, например, apache.\nПодготовить чистый сервер для установки вы можете при помощи нашей статьи:\nРекомендуем к прочтению Linux - начинающим. Установка и первоначальная настройка Ubuntu 22.04 LTS для сервера В процессе предварительной подготовки нам нужно задать правильное имя сервера, используя для этого FQDN:\n1hostnamectl set-hostname mk-52.it-31.ru Затем откроем файл /etc/hosts и приведем записи в нем к виду:\n1127.0.0.1 localhost 2127.0.1.1 mk-52.it-31.ru mk-52 И правильно настроим часовой пояс:\n1timedatectl set-timezone Europe/Moscow Получить список доступных поясов можно командой:\n1timedatectl list-timezones На этом подготовка сервера закончена.\nУстановка Mail-in-a-Box Все указанные ниже команды должны выполняться от имени суперпользователя root, поэтому сразу повысим права:\n1sudo -s Скачаем и сразу запустим скрипт установки:\n1curl -s https://mailinabox.email/setup.sh | bash Первым делом вас попросят указать почтовый ящик для управления вашим сервером. вводим желаемое значение. Затем имя хоста, штатно рекомендуется использовать box, но мы же не инкубаторские, поэтому вводим собственное имя в формате FQDN. Затем можно откинуться на спинку стула и расслабится пока скрипт осуществляет установку и настройку пакетов. По окончании установки вам будет предложено создать первый почтовый ящик, он же будет почтой и логином администратора. Если вы укажете здесь значение отличное от того, что вы ввели на первом шаге, то указанное в самом начале значение будет добавлено к первому ящику как алиас. На этом установка Mail-in-a-Box закончена.\nВозможные проблемы при установке Так как Mail-in-a-Box устанавливает свой DNS-сервер, точнее сразу два: NSD для управления зоной и BIND для внутренних целей, то после этого в системе может нарушиться разрешение адресов, и вы получите ошибку скачивания пакетов. В этом случае откройте файл /etc/bind/named.conf.options и добавьте в него опцию:\n1forwarders { 8.8.8.8; }; Перезапустите BIND:\n1systemctl restart named И повторите установку командой:\n1mailinabox После завершения установки приведите конфигурацию BIND к исходному виду и еще раз перезапустите сервис.\nНачало работы. Административная часть Для того, чтобы попасть в админ-панель наберите в адресной строке браузера https://имя_сервера/admin и используйте для входа учетные данные созданные вами в конце установки.\nДля начала перейдите в System - Status Checks и проверьте статус установки. Особое внимание обратите на ошибки и предупреждения. Как мы уже говорили, у разработчиков свои понятия о правильном, поэтому не все указанные там ошибки являются таковыми, но все равно внимательно изучите список и постарайтесь устранить их по максимуму. Если вы выбрали размещение зоны прямо на почтовом сервере, то для добавления записей в зону можно использовать раздел System - Custom DNS, но возможности там самые примитивные. Отсюда же можно попасть в систему мониторинга, для этих целей здесь используется Munin. Более подробно о работе с этой системой мониторинга можно прочитать в нашей статье:\nРекомендуем к прочтению Устанавливаем и настраиваем систему мониторинга Munin Также автоматически настроено резервное копирование, управление им доступно в разделе System - Backup Status. По умолчанию копии делаются локально, но вы можете настроить копирование на внешние узлы через rsync, в S3 хранилища или использовать Backblaze B2. В целом набор возможностей впечатляет, перед нами действительно современная и продвинутая почтовая система сразу из коробки. Также сразу же настроено автоматическое обновление системы, об этом беспокоиться тоже не надо.\nСледующий раздел Mail \u0026amp; Users состоит из трех разделов, первый Instructions - чисто информационный, содержит настройки подключения к серверу. Единственный момент, вместо предлагаемого для подключения клиентов порта 465 следует использовать 587, порт 465 давно признан устаревшим и исключен из спецификаций. Возможность работы почтовых клиентов через 25 порт заблокирована.\nДва оставшихся раздела Users и Aliaces позволяют заводить почтовые ящики пользователей и алиасы к ним. Тут все достаточно просто, но приятным дополнением оказывается наличие API, краткая документация к которому доступна прямо в этом разделе, что открывает широкие возможности по автоматизации. Раздел Contacts/Calendar содержит исключительно ссылки на веб-доступ к контактам и календарю.\nНастройка DKIM-записи Если вы используете внешние DNS, то вам потребуется добавить открытый ключ для проверки подлинности отправителя почты - DKIM, для этого перейдите в раздел System - External DNS и найдите в нем DKIM-запись. Ее содержимое следует перенести на ваш DNS-хостинг.\nНастройка дополнительных функций Как мы уже говорили, Mail-in-a-Box - весьма современный и продвинутый сервер, предоставляющий массу возможностей, одна из них - автообнаружение настроек почтовыми клиентами. Или MTA-STS (Mail Transfer Agent-Strict Transport Security) - тонкая настройка политик использования TLS при почтовом обмене.\nПодробный обзор этих технологий выходит за рамки данной статьи, но все что нужно знать - что они уже есть и настроены. Чтобы их использовать вам потребуется только добавить нужные DNS-записи, дождаться пока они заработают и получить сертификаты.\nНачать следует с раздела System - External DNS, где перечислены все примеры нужных записей, просто переносим их копированием на свой DNS-сервер. Рядом с каждой записью присутствует краткое описание. После того, как добавленные записи заработают, в частности это касается А-записей для служебных поддоменов, переходим в System - TLS (SSL) Certificates и получаем для них сертификаты. Как видим - ничего сложного, если вы выбрали полностью автономный вариант системы, то все это будет работать у вас из коробки.\nНачало работы. Пользовательская часть В качестве веб-клиента в Mail-in-a-Box используется Roundcube, а календарь и адресная книга используются от Nextcloud. Для того, чтобы попасть в веб-почту просто наберите в адресной строке https://имя_сервера/mail. Сразу же стоит перейти в настройки почтового ящика и установить в качестве адресной книги по умолчанию ownCloud, в противном случае Roundcube будет использовать собственную книгу, которая не будет синхронизироваться между клиентами. Затем проверьте оправку почты, начните с локальной, потом на внешние сервера. Не ленитесь заполнять все поля и прикреплять вложения, если там есть какие-то проблемы, то лучше узнать о них сейчас, а не от пользователей. На принимающей стороне убедитесь, что письмо проходит проверку подлинности отправителя, имеет подпись и используются защищенные каналы связи. Календарь и контакты стандартные от Nextcloud, но это отдельный веб-интерфейс с отдельной аутентификацией: Если вы хотите обмениваться событиями и приглашать коллег - добавьте в настройках свой адрес электронной почты. А внизу, в Calendar Settings вы можете скопировать ссылку для подключения календаря и адресной книги на почтовом клиенте если вы не стали настраивать автообнаружение, либо оно по какой-то причине не работает. Структура ссылки там всегда такая: https://имя_сервера/cloud/remote.php/dav.\nЕсли вы настроили автообнаружение, то почтовый клиент получит настройки автоматически, иначе потребуется указать нужные параметры руками и отдельно подключить календарь и адресную книгу. Если вы все сделали правильно, то будет работать синхронизация и вы сможете спокойно работать и в почтовом клиенте, и через веб-интерфейс. Подводя итоги, можно сказать, что Mail-in-a-Box - интересный, хотя и достаточно неоднозначный продукт. С одной стороны он позволяет быстро развернуть современную почтовую систему с массой возможностей, с другой - какая-либо гибкость настроек отсутствует и вам придется соглашаться с тем, каким видят почтовый сервер разработчики продукта. Но в любом случае данная сборка заслуживает внимания, особенно если вы не чувствуете себя готовым глубоко погружаться в работу электронной почты.\n","id":"19988a36cd3d419cb1e674e8c74c3287","link":"https://interface31.ru/post/ustanovka-i-nastroyka-pochtovogo-servera-mail-in-a-box-v-ubuntu-2204/","section":"post","tags":["Dovecot","E-mail","Mail-in-a-Box","Postfix","Ubuntu Server"],"title":"Установка и настройка почтового сервера Mail-in-a-Box в Ubuntu 22.04"},{"body":"Современные кассовые решения - сложные системы. Касса сегодня, это не взять деньги и пробить чек, нужно соблюсти множество требований, начиная от 54-ФЗ и заканчивая маркировкой товаров. Для проверки корректности работы, отладки и или обучения персонала, конечно, можно использовать реальное оборудование, но не всегда это удобно и возможно, поэтому на выручку нам приходят эмуляторы торгового оборудования. Не так давно фирма 1С выпустила новый набор эмуляторов, который серьезно отличается от всех предыдущих: новая версия поддерживает платформу 64 бита и работу в ОС Linux.\nЕсли вас интересуют прошлые версии эмуляторов от фирмы 1С, а также сторонние решения, то рекомендуем ознакомиться с нашей статьей:\nРекомендуем к прочтению Эмуляторы Онлайн-ККТ и банковского терминала для 1С:Предприятие Новые эмуляторы представлены двумя видами:\nСкачать 1C: Эмулятор ККТ с передачей данных (54-ФЗ) c функций эквайринговых операций, версия 5.0 / Зеркало\nПоддерживает эмуляцию следующих типов оборудования: ККТ, Эквайринговый терминал, электронные весы простого взвешивания, дисплей покупателя. Поддерживается работа в 32/64 битном клиенте 1С для Windows и Linux.\nСкачать 1C: Эмулятор сканера штрихкодов, версия 1.0.1.4 / Зеркало\nЭмулятор сканера также поддерживает 32/64 битные платформы и работает в Windows и Linux.\nДля установки эмуляторов просто достаточно загрузить их в информационную базу штатными методами.\nВ современных конфигурациях с использованием БПО 3.1.х: Администрирование - Подключаемое оборудование - Еще - Драйверы оборудования - Подключить новый - Загрузить в информационную базу.\nВ более старых на базе БПО 2.1.х: Администрирование - Подключаемое оборудование - Драйверы оборудования - Добавить новый драйвер из файла.\nВ открывшемся окне выберите файл с архивом и, при необходимости, заполните недостающие поля, для драйвера ККТ потребуется вручную указать версию. При этом автоматически будут добавлены драйвера для всех типов поддерживаемых устройств, несколько раз устанавливать драйвер не нужно. Кроме заявленного набора эмулируемого оборудования был также добавлен эмулятор принтера этикеток. Теперь вам нужно перейти в Администрирование - Подключаемое оборудование и добавить нужные экземпляры устройств. Начнем с ККТ, как основного и часто используемого типа эмулятора. Само подключение никаких сложностей не вызывает, а вот настройки заслуживают отдельного внимания.\nПрежде всего даже не пытайтесь настроить время отображения на экране, в текущей версии окно с результатами работы ККТ быстро промелькивает и нет никакой возможности увидеть его содержимое. Поэтому запомните путь к логу, он указан ниже, там можно будет найти все пробитые чеки в XML-формате и проконтролировать содержимое всех необходимых полей. Также на закладке ФФД 1.2 настройте эмуляцию работы с маркированным товаром, здесь можно указать поведение как при проверке марки средствами ФН, так и эмулировать работу с ОИСМ: Перед тем как пользоваться экземпляром виртуальной кассы нам нужно выполнить регистрацию виртуального ФН, иначе вы получите ошибку при попытке пробить чек. Здесь все по-взрослому, как с настоящим ФН, поэтому вы можете смело тестировать самые разные сценарии или обучать младший технический персонал. Как мы уже говорили, при работе эмулятора ККТ окошки быстро мелькают и закрываются, поэтому результаты работы нужно смотреть в папке с логами, там на каждый чек формируется отдельный текстовый файл с XML-структурой электронного чека, как это положено по стандарту. И если для целей обучения это может быть не очень удобно, то для целей разработки или настройки - более чем достаточно. Закладка Платежные операции в настройках эмулятора относится к эквайринговому терминалу, но настройки можно выполнять в любом экземпляре оборудования, они сквозные. Здесь нужно обратить внимание на опции Печати чеков, так как без нее вы не увидите слип чека, с включенной опцией слипы будут также сохраняться в папку с логами и Порог положительных операций - все что меньше этой суммы будет автоматически одобряться, если больше \u0026quot;банк\u0026quot; будет отказывать в проведении платежа. Закладка Дисплей покупателя относится к одноименному оборудованию и никаких особо важных настроек там нет.\nЭмулятор сканера штрихкода позволяет повесить на две горячие клавиши два заранее предопределенных штрихкода, если мы оставим пустое значение, то при вызове этого сочетания клавиш получим приглашение ввести штрихкод. Если штрихкод содержит непечатаемые символы, например, Datamatrix с символами FNC1, GS используемыми в маркировке, то такой код следует закодировать в Base64 и установить соответствующий флаг в настройках. Теперь давайте посмотрим, как все это работает, сразу при входе в РМК подключается дисплей покупателя и его окно перекрывает все активные окна, т.е. всегда на виду. Далее мы можем работать как обычно, подбирать товар через поиск, быстрые товары или эмулировать ввод со сканера. Ниже показано окошко запроса штрихкода, если он не был указан при настройке эмулятора. Для работы с весами просто достаточно выбрать весовой товар и нажать кнопку Получить вес, будет передано случайное число в диапазоне от нескольких десятков, до нескольких тысяч. Возможно, подразумеваются граммы, но никаких дополнительных настроек у эмулятора нет и цифры в чеке получаются просто космические. Не хотите взять по сходной цене тонну конфет? Но для задач настройки и тестирования это не имеет никакого значения. Главное, что эмулятор работает и передает в программу данные. Эмулятор эквайрингового терминала никак себя в работе не проявляет если операция прошла успешно, иначе получите на экран штатное сообщение об ошибке. Для целей разработки это нормально, а вот для обучения хотелось бы более наглядной картины. Эмулятор принтера этикеток тоже никак себя не проявляет, в момент \u0026quot;печати\u0026quot; промелькнуло окно, но никакой файл в лог записан не был. Но это и не нужно, основная цель этого эмулятора - разблокировать в программе возможности работы с принтерами этикеток, без подключенного экземпляра оборудования они будут недоступны. В целом, новые эмуляторы не обошлись без недостатков, в частности по визуализации работы ККT и это может быть критично, если ваша цель обучение персонала или создание документации. Но если вы разработчик или занимаетесь настройкой и отладкой готового решения, то данный набор эмуляторов представляет наилучший выбор. Во-первых, поддерживаются 64-битные системы и Linux, во-вторых, эмулируется весь необходимый набор оборудования с учетом всех современных требований. А недостатки, надеемся, будут в последствии исправлены, хотя критическими они не являются, просто небольшое неудобство.\n","id":"fab1463fda74c37160c9393c7539da36","link":"https://interface31.ru/post/1semulyator-torgovogo-oborudovaniya-s-podderzhkoy-64-bit-i-linux/","section":"post","tags":["1С Предприятие 8.х","ККТ","Торговое оборудование","Эквайринг"],"title":"1С:Эмулятор торгового оборудования с поддержкой 64 бит и Linux"},{"body":"Системы электронной почты крайне чувствительны к правильной настройке DNS и этот момент часто вызывает затруднения у начинающих администраторов. Еще больше вопросов возникает если почтовая система обслуживает сразу несколько доменов. Чтобы каждый раз не отвечать одно и тоже, а также чтобы окончательно расставить все на свои места мы решили написать эту небольшую статью. Надеемся, что после ее прочтения у вас не возникнет трудности с настройкой DNS-записей для мультидоменной системы электронной почты.\nЧто такое мультидоменная система электронной почты? Это почтовый сервер (или группа серверов), которые осуществляют прием и отправку почты сразу для нескольких доменов, которые могут быть как связаны, так и не связаны между собой. Например, вы можете на своем сервере разместить почту соседней организации, домен которой вам не пренадлежит, все что потребуется от ваших соседей - это правильно настроить DNS.\nГде нужно делать эти настройки? На сервере имен, обслуживающем DNS-зону, это могут быть сервера регистратора, хостера, публичные или собственные. Будем считать, что вы знаете где это делается и как и не будем заострять на этом внимание.\nЕсли вы не знаете где размещена зона, то выполните команду:\n1nslookup -type=ns example.com где example.com - интересующий домен, в выводе вы получите сервера имен обслуживающие зону и по ним уже сможете определить, где и у кого она расположена.\nВ нашем примере мы будем рассматривать следующую схему: В которой присутствую следующие домены:\nexample.com - основной домен example.org - дополнительный домен example.net - дополнительный домен Все эти домены обслуживает единственный почтовый сервер:\nmail.example.com - полностью определенное имя домена (FQDN) почтового сервера 198.51.100.25 - IP адрес почтового сервера Несколько слов про основной домен, им считается тот домен, в котором расположен почтовый сервер. Понятие это сугубо условное, и вы можете разместить почтовый сервер в том домене, который вам больше нравится, либо который уже \u0026quot;исторически сложился\u0026quot; как основной для вашего предприятия. На работу почтовой системы это никак не повлияет, но настройки DNS-зоны для основного домена будут отличаться от настроек зон дополнительных доменов.\nНастройка DNS-зоны основного домена Далее мы будем касаться только записей, напрямую касающихся электронной почты. Первым делом создадим A-запись для сервера электронной почты, если вы не сделали этого ранее:\n1mail IN A 198.51.100.25 Обратите внимание, что мы указали относительное имя, поэтому оно автоматически будет дополнено суффиксом из названия доменной зоны, т.е. запись будет указывать на:\n1mail.example.com Абсолютное DNS-имя всегда оканчивается на точку, в противном случае оно будет считаться относительным. Распространенная ошибка:\n1mail.example.com IN A 198.51.100.25 Такая запись на самом деле будет указывать на узел:\n1mail.example.com.example.com Поэтому не занимайтесь лишней писаниной и везде, где можно указывать относительные имена используйте их, а абсолютные всегда завершайте точкой.\nИтак, мы добавили A-запись, что нам это дает? Данная запись поможет любому желающему узнать IP-адрес нашего почтового сервера mail.example.com.\nСледующим шагом добавим MX-запись, которая указывает какие именно сервера в данном домене отвечают за получение почты. Обратите внимание, что MX-запись относится именно к получению почты и не имеет никакого отношения к ее отправке. MX-записей может быть несколько, они отличаются приоритетом, чем больше число - тем ниже приоритет.\n1@ IN MX 10 mail Важно понимать, что MX-запись прописывается для всего домена (это обозначается символом @ в поле узла) и для указания сервера мы должны использовать доменное имя, а не IP-адрес, в данном случае мы также указали относительное имя.\nВ принципе этого уже достаточно, чтобы почта заработала. Но в современных реалиях для нормальной доставки почты нам понадобятся еще кое-какие записи. Это SPF, DKIM и DMARK. В нашем случае это будет следующий набор записей:\n1@ IN TXT \u0026#34;v=spf1 +a +mx ~all\u0026#34; 2mail._domainkey TXT \u0026#34;v=DKIM1; k=rsa; p=\u0026lt;публичный ключ example.com\u0026gt;\u0026#34; 3_dmarc TXT \u0026#34;v=DMARC1; p=none; rua=mailto:report@example.com\u0026#34; Мы не будем подробно разбирать содержание этих записей, если коротко, то:\nSPF - позволяет указать узлы, которые имеют право отправлять почту от имени нашего домена, в данном случае это A-запись, MX-запись, остальные скорее всего такого права не имеют. DKIM - открытый ключ позволяющий проверить подлинность электронно-цифровой подписи письма DMARC - набор политик, определяющий правила проверки по SPF и DKIM и позволяющий получать отчеты о таких проверках со стороны получателя. Более подробно все эти записи рассмотрены в нашей статье:\nРекомендуем к прочтению Настраиваем свой почтовый сервер. Что нужно знать. Ликбез В целом вроде бы все, но есть одна тонкость, связанная с SPF, так как сервер у нас для всех доменов один, то нормальной практикой будет использовать для всех доменов один и тот-же набор SPF записей, через include или redirect, но как быть, если в основном домене появляется собственный отправитель, которого в других доменах быть не должно? Чтобы избежать таких ситуаций добавим еще одну SPF-запись, которая не будет использоваться в текущем домене, но на которую мы сможем ссылаться из доменов дополнительных:\n1_spf IN TXT \u0026#34;v=spf1 +a +mx ~all\u0026#34; Теперь, если у нас, допустим появился новый узел, отправляющий почту box.example.com, то просто делаем так:\n1@ IN TXT \u0026#34;v=spf1 +a +a:box.example.com +mx ~all\u0026#34; 2_spf IN TXT \u0026#34;v=spf1 +a +mx ~all\u0026#34; На этом настройка DNS-зоны основного домена закончена. Если коротко, то вы должны добавить A-запись для узла почтового сервера, MX-запись, указывающую на почтовый сервер и SPF, DKIM и DMARC записи.\nНастройка PTR-записи Дочитав до конца предыдущего раздела, внимательный читатель мог воскликнуть: позвольте, как так закончена, а PTR? Так вот, PTR не имеет никакого отношения к настройке DNS-зоны основного домена. Скажем больше, технически эта запись никак не влияет на процессы отправки и получения почты, т.е. говоря проще - вообще не нужна, все будет прекрасно работать и без нее.\nНо почему тогда все говорят о ее важности и необходимости? Все просто, существует соглашение, что добросовестный отправитель имеет рабочую PTR-запись, это один из механизмов защиты от спама. Это связано с тем, что обратную запись может прописать только владелец обратной зоны, т.е. владелец диапазона IP-адресов. Для этого его должен попросить об этой услуге действительный арендатор выделенного адреса. Спамер может поднять почтовый сервер на взломанном сервере, но прописать PTR для него будет проблематично, собственно, на этом и основана эта защита.\nТак как мы добросовестные отправители, то обращаемся к провайдеру или хостеру, в зависимости от того, кто выделил нам белый IP-адрес и просим его прописать в обратной зоне запись для нашего почтового сервера.\nОбратите внимание, PTR-запись создается не для домена, а для конкретного узла-отправителя, которым в нашем случае является сервер mail.example.com и неважно сколько еще и каких доменов он обслуживает.\nВ общем виде PTR-запись должна выглядеть примерно так:\n125.100.51.198 IN PTR mail.example.com. Но, еще раз заостряем на это внимание, данную запись вносит ваш провайдер или хостер, не пытайтесь добавить ее самостоятельно в вашу DNS-зону, это не приведет к успеху (и является одной из самых частых ошибок).\nНастройка DNS-зоны дополнительных доменов Итак, у вас может быть сколько угодно дополнительных доменов, но настройка их DNS-зон будет идентичной. Собственного почтового сервера в этих зонах нет, поэтому мы сразу перейдем к созданию MX-записи, которая укажет какой именно узел принимает почту для этого домена:\n1@ IN MX 10 mail.example.com. Так как сервер находится в другом домене, то указываем абсолютное имя и не забываем завершить его точкой.\nЕсли вы используете веб-доступ к почте и хотите, чтобы пользователи использовали адрес в собственном домене, например, mail.example.net, то добавьте еще одну запись псевдонима:\n1mail CNAME mail.example.com. DKIM и DMARC записи в каждом дополнительном домене будут собственные:\n1mail._domainkey TXT \u0026#34;v=DKIM1; k=rsa; p=\u0026lt;публичный ключ example.net\u0026gt;\u0026#34; 2_dmarc TXT \u0026#34;v=DMARC1; p=none; rua=mailto:report@example.net\u0026#34; А вот SPF имеет свои особенности, если отправитель в данном домене один, только этот почтовый сервер, то мы можем сослаться на SPF-записи основного домена, это будет наиболее правильно, так как позволит централизованно управлять SPF-записями:\n1@ IN TXT \u0026#34;v=spf1 redirect=_spf.example.com\u0026#34; Но как быть, если нужно добавить собственных отправителей? Тогда вместо перенаправления используем включение:\n1@ IN TXT \u0026#34;v=spf1 +a:shop.example.net include=_spf.example.com\u0026#34; В этом случае к собственным записям будут добавлены записи из основной доменной зоны.\nБольше никаких дополнительных записей в дополнительных зонах делать не нужно. Краткий итог: вы должны создать MX-запись, которая будет указывать на доменное имя реального почтового сервера, при желании CNAMЕ для используемых сервисов, наподобие веб-почты. DKIM и DMARK указываем собственные, а SPF подключаем от основного домена.\n","id":"6416410707f5dc85f62aed3096a088e9","link":"https://interface31.ru/post/kak-pravil-no-nastroit-dns-zapisi-dlya-mul-tidomennogo-pochtovogo-servera/","section":"post","tags":["DNS","E-mail"],"title":"Как правильно настроить DNS-записи для мультидоменного почтового сервера"},{"body":"Зависимость нормальной работы предприятия от доступа в сеть интернет сегодня приобретает критический характер и перебои в работе провайдера могут привести к реальным убыткам или простою рабочих процессов, поэтому многие подключают резервные каналы других поставщиков услуг, чтобы использовать их для резервирования или балансировки нагрузки. В данном цикле статей мы рассмотрим работу с несколькими провайдерами на оборудование Mikrotik и сегодня расскажем про различные способы резервирования, а также их достоинства и недостатки.\nВ данной статье мы не будем рассматривать базовую настройку роутера: выход в интернет, правила брандмауэра и т.п., будем считать, что читатель владеет этими вещами и уделим внимание только обеспечению резервирования внешних каналов.\nИнформация Данная статья предназначена для RouterOS 6.x\nНиже показана схема, реализованная в нашей лаборатории с указанием адресов и интерфейсов, подключенных к двум условным провайдерам, а также их шлюзы. Для правильной работы всех описанных ниже способов вам потребуется отключить динамическое добавление маршрутов, которое может быть включено если вы получаете сетевые настройки от провайдера по DHCP или используете PPPoE: Внимание! Важно! Во время выполнения операций с настройкой маршрутов у вас кратковременно пропадет доступ в интернет. Поэтому все указанные действия следует выполнять имея физический доступ к устройству.\nХотя можно обойтись и без этого, просто перед настройкой создайте дополнительный нулевой маршрут через основной шлюз и укажите ему самую меньшую административную дистанцию. Но помните, что любое неверное ваше действие грозит потерей сетевого доступа к устройству из внешней сети.\nРезервирование на основе дистанции маршрута Самый простой, можно даже сказать примитивный способ, в этом случае мы добавляем два маршрута с разной административной дистанцией и включаем проверку доступности шлюза для них.\nДля этого перейдем в IP - Routes и добавим маршрут к первому провайдеру: Dst. Address - оставляем по умолчанию - 0.0.0.0/0, Gateway - указываем шлюз первого провайдера, в нашем случае 192.168.3.1, включаем механизм проверки доступности шлюза - Check Gateway - ping, и устанавливаем административную дистанцию маршрута - Distance - 1. Эти же действия в терминале:\n1/ip route 2add check-gateway=ping distance=1 gateway=192.168.3.1 Аналогичным образом добавляем маршрут ко второму провайдеру, только указываем административную дистанцию Distance - 2. В данном случае абсолютные цифры не так важны, при наличии нескольких маршрутов к одному адресу назначения работать будет тот, у которого административная дистанция меньше. Или в терминале:\n1/ip route 2add check-gateway=ping distance=2 gateway=192.168.233.2 После этого у вас появится интернет и будет активен маршрут через первого провайдера: Теперь имитируем аварию, в нашем случае мы просто отключим патч-корд от интерфейса ether1, через небольшое время роутер обнаружит недоступность шлюза и сделает маршрут не активным, после чего автоматически заработает маршрут через второго провайдера и трафик пойдет туда. После восстановления доступности шлюза провайдера обратное переключение произойдет автоматически.\nРезервирование при помощи рекурсивной маршрутизации Предыдущий способ имеет один серьезный недостаток, он проверяет доступность шлюза провайдера, но не проверяет наличие интернета за этим шлюзом, и вы можете оказаться в ситуации, когда интернет отсутствует, но переключения на резервный канал не произошло. Чтобы избежать такой ситуации следует проверять доступность не шлюза провайдера, а внешних высокодоступных узлов.\nОдин из методов, позволяющих это сделать, называется рекурсивной маршрутизацией, мы подробно рассматривали ее в отдельной статье, поэтому здесь просто покажем последовательность настройки, не вдаваясь в подробности.\nРекомендуем к прочтению Резервирование каналов в Mikrotik при помощи рекурсивной маршрутизации Прежде всего выберем два высокодоступных узла, в нашем случае это будут 8.8.8.8 и 9.9.9.9 и пропишем к каждому из них маршрут через шлюзы первого и второго провайдеров.\nПереходим в IP - Routes и создаем маршрут:Dst. Address - 8.8.8.8 - узел для проверки первого провайдера, Gateway - 192.168.3.1 - шлюз первого провайдера, Distance - 1, Scope - 10. Обратите внимание на значение области (Scope), если вы оставите там значение по умолчанию - 30, то рекурсивная маршрутизация работать не будет! Затем добавим второй аналогичный маршрут, но уже к узлу 9.9.9.9 через шлюз второго провайдера. Тоже самое быстро в терминале:\n1/ip route 2add distance=1 dst-address=8.8.8.8/32 gateway=192.168.3.1 scope=10 3add distance=1 dst-address=9.9.9.9/32 gateway=192.168.233.2 scope=10 Теперь добавим рекурсивные маршруты для каждого из провайдеров со следующими настройками: Dst. Address оставляем по умолчанию - 0.0.0.0/0,Gateway - 8.8.8.8 - высокодоступный узел для первого провайдера,Check Gateway - ping - указываем проверку доступности шлюза,Distance - 1. Для второго провайдера все тоже самое, но Gateway - 9.9.9.9 и Distance - 2. В терминале воспользуйтесь командами:\n1/ip route 2add check-gateway=ping distance=1 gateway=8.8.8.8 3add check-gateway=ping distance=2 gateway=9.9.9.9 Мы сейчас не будем вдаваться в подробности как это работает, для этого есть отдельная статья, но общий смысл заключается в том, что рекурсивные маршруты в итоге работают через реальные шлюзы провайдеров, но проверяют доступность не провайдерского шлюза, а высокодоступного узла за ним. Если связь пропала - маршрут деактивируется и начинает работать следующий, с большей дистанцией.\nНа рисунке ниже мы можем видеть, что активный маршрут переключился на резервный канал несмотря на то, что шлюз основного провайдера доступен: При восстановлении работы первого провайдера обратное переключение произойдет автоматически.\nРезервирование при помощи Netwatch Прежде всего добавим маршруты к каждому из провайдеров с разными дистанциями, никаких проверок включать не надо, но обязательно следует добавить к каждому маршруту комментарий, в нашем случае это будут \u0026quot;ISP1\u0026quot; и \u0026quot;ISP2\u0026quot;. В терминале:\n1/ip route 2add comment=ISP1 distance=1 gateway=192.168.3.1 3add comment=ISP2 distance=2 gateway=192.168.233.2 Затем выбираем высокодоступный хост и добавляем к нему маршрут через первого провайдера: Эти же действия в терминале:\n1/ip route 2add distance=1 dst-address=8.8.8.8/32 gateway=192.168.3.1 Затем переходим в Tools - Netwatch и добавляем там новый узел, на закладке Host указываем адрес выбранного высокодоступного узла, при необходимости меняем интервал опроса. На закладе Up вводим следующий скрипт:\n1/ip route set [find comment=\u0026#34;ISP1\u0026#34;] disabled=no 2/ip route set [find comment=\u0026#34;ISP2\u0026#34;] disabled=yes Затем на закладке Down:\n1/ip route set [find comment=\u0026#34;ISP1\u0026#34;] disabled=yes 2/ip route set [find comment=\u0026#34;ISP2\u0026#34;] disabled=no Их смысл предельно прост, если узел через первого провайдера доступен, то включаем маршрут с меткой ISP1, а маршрут с меткой ISP2 выключаем, если недоступен - то делаем ровно наоборот.\nВ терминале все это можно быстро сделать при помощи \u0026quot;заклинания\u0026quot;:\n1/tool netwatch 2add down-script=\u0026#34;/ip route set [find comment=\\\u0026#34;ISP1\\\u0026#34;] disabled=yes\\r\\ 3 \\n/ip route set [find comment=\\\u0026#34;ISP2\\\u0026#34;] disabled=no\u0026#34; host=8.8.8.8 \\ 4 up-script=\u0026#34;/ip route set [find comment=\\\u0026#34;ISP1\\\u0026#34;] disabled=no\\r\\ 5 \\n/ip route set [find comment=\\\u0026#34;ISP2\\\u0026#34;] disabled=yes\u0026#34; Для проверки блокируем доступ через первого провайдера и убеждаемся, что переключение происходит: Обратное переключение произойдет автоматически после восстановления связи с высокодоступным узлом.\n","id":"dde87d02345fbc4932daec79f9eb3714","link":"https://interface31.ru/post/mikrotik-i-neskol-ko-provayderov-rezervirovanie-kanalov/","section":"post","tags":["Failover","MikroTik","Маршрутизация","Сетевые технологии"],"title":"Mikrotik и несколько провайдеров. Резервирование каналов"},{"body":"Система программ 1С:Предприятие широко применяется в организациях любого размера и хорошо известна каждому администратору. Но до сих пор возникают вопросы по правильному лицензированию программы. С одной стороны ничего сложного там нет, все написано в лицензионном соглашении, которое полностью размещено на узенькой страничке анкеты, с другой есть различные особенности, разночтения и заблуждения. Поэтому мы решили в простой и доступной форме еще раз осветить этот вопрос.\nСразу определимся с терминологией:\nПлатформа - программное средство позволяющее запускать информационные базы 1С и работать с ними. Прикладное решение (конфигурация) - программный продукт. выполняющий задачи автоматизации задач управления и учета в определенной области. Информационная база - структура данных, созданная на базе прикладного решения, в которой хранится информация по определенному объекту учета. Сама платформа не представляет практической ценности в отсутствие прикладных решений и именно прикладные решения составляют основу лицензирования. Если нам нужно закрыть какие-то участки учета, то мы приобретаем соответствующие прикладные решения. Скажем, 1С:Бухгалтерия или 1С:ЗУП. Затем на основе купленных прикладных решений мы создаем информационные базы, в которых уже ведем учет. Информационные базы не являются предметом лицензирования.\nДля того, чтобы работать с информационной базой нам потребуется клиентская лицензия, она может быть однопользовательской, в этом случае она устанавливается на рабочее место и не имеет ограничений по количеству сеансов, либо многопользовательской, тогда она устанавливается на сервер и выдается на каждый сеанс с информационной базой. Ниже мы рассмотрим эти вопросы более подробно.\nБазовые версии Предназначены для малого бизнеса, ИП и микропредприятий. Основное их преимущество - цена, которая значительно дешевле прикладных решений уровня ПРОФ и КОРП. Так, Бухгалтерию предприятия в базовом варианте можно купить чуть дороже 3000 руб. Кроме того, в отношении базовых версий нет жесткой ценовой политики и такие продукты можно приобрести со значительной скидкой у некоторых продавцов.\nОсновные ограничения базовой версии: В одной информационной базе можно вести учет только по одному предприятию, количество информационных баз не ограничено. Одновременно может работать только один пользователь. Нет возможности доработки конфигурации или установки расширений, можно подключать только внешние отчеты и обработки. В состав поставки входят только три кода активации, т.е. количество переустановок ограничено двумя, дополнительные коды не предоставляются. Но наряду с этим у Базовых версий есть одно серьезное преимущество - поддержка для них, включая предоставление обновлений, является бесплатной и пожизненной.\nТакже существует отдельная версия 1С:Бухгалтерия 8. Базовая для 1, эта версия привязывается к ИНН и позволяет вести учет только для одного предприятия. Также присутствуют дополнительные ограничения, но для целевой аудитории этой конфигурации они не актуальны.\nПРОФ и КОРП версии Сейчас мы будем говорить о прикладных решениях, не касаясь платформы. Принципиальной разницы в лицензировании ПРОФ и КОРП версий прикладных решений нет, отличия состоят в возможностях прикладного решения. Так, например, 1С:Бухгалтерия ПРОФ не подходит для полноценного учета фирмам с обособленными подразделениями и для появления таких возможностей следует приобретать КОРП версию конфигурации.\nПользователи ПРОФ версии всегда могут сделать апгрейд на КОРП, сдав текущую лицензию и получив скидку в размере ее стоимости, но не более 50% стоимости КОРП конфигурации. Кстати, с Базовой версии апгрейд невозможен, но можно без потери данных перейти на ПРОФ просто приобретя прикладное решение этого уровня за полную стоимость.\nВ комплекте с каждым прикладным решением идет лицензия на рабочее место, которая позволяет запускать на нем только это прикладное решение. Набор, состоящий из прикладного решения и лицензии на рабочее место называется основной поставкой (коробкой).\nНо технически правомерность использования прикладных решений платформой не проверяется, и эта лицензия работает как обычная лицензия на рабочее место, позволяя запускать любое количество сеансов с любыми прикладными решениями. На это мало кто обращает внимание, но фактически использование лицензии из комплекта прикладного решения для работы с любыми другими конфигурациями, кроме купленной, является нарушением.\nИсключение - комплекты на 5 пользователей, их лицензии работают как полноценные лицензии на рабочее место.\nСервер 1С Отдельный продукт в составе платформы, позволяющий запускать прикладные решения в клиент-серверном варианте, требует отдельного лицензирования - лицензии на запуск сервера 1С:Предприятие, лицензия позволяет запускать неограниченное количество экземпляров сервера на том узле куда она установлена.\nСервер имеет два варианта лицензирования:\nЛицензия на сервер - позволяет запускать только 32-битные экземпляры сервера 1С Лицензия на сервер (x86-64) - позволяет запускать как 64-х, так и 32-битные экземпляры сервера 1С В настоящий момент 32-битная версия сервера не представляет интереса для промышленной эксплуатации ввиду объективных ограничений по ресурсам.\nСуществует еще один вариант поставки сервера - Сервер МИНИ на 5 подключений, данная лицензия позволяет запускать 32-х или 64-битные экземпляры сервера, но ограничивает количество подключений на уровне 5 сеансов в режиме 1С:Предприятие + 1 сеанс в режиме Конфигуратора. Данная поставка может быть полезна небольшим предприятиям или филиалам с небольшим количеством пользователей.\nЛицензия на сервер может быть улучшена до Лицензии на сервер (x86-64) с доплатой разницы в стоимость, апгрейд Сервера МИНИ невозможен.\nПлатформы ПРОФ и КОРП С 10 сентября 2019 года фирма 1С выполнила разделение платформы на уровни ПРОФ и КОРП, платформу уровня ПРОФ можно использовать если:\nу вас не более 500 одновременных сеансов пользователей используется не более 12 ядер процессора (считаются также виртуальные ядра) Если у вас установлен многоядерный процессор и используются лицензии уровня ПРОФ, то система не будет использовать более 12 ядер.\nТакже платформы отличаются возможностями настройки параметров сервера и рядом иных возможностей, подробнее об этом можно прочитать в нашей статье:\nРекомендуем к прочтению Настройки сервера 1С:Предприятие 8 \u0026quot;по умолчанию\u0026quot; для работы с лицензиями уровня ПРОФ В состав платформы уровня КОРП входят пользовательские лицензии и лицензия на сервер. Т.е. для перехода на платформу уровня КОРП вы должны выполнить их апгрейд. Кроме того, вместе с клиентскими лицензиями вы должны будете приобрести расширенную корпоративную лицензию - РКЛ, которая является срочной и срок действия которой требуется регулярно продлять.\nБолее подробно рассматривать лицензирование платформы уровня КОРП мы не будем, так как она используется крупными предприятиями и вряд-ли вам придется там решать вопросы лицензирования самостоятельно.\nОбъекты лицензирования Все это была теория, теперь перейдем к практике и разберемся какие именно объекты системы 1С:Предприятие мы должны лицензировать и каким образом. Таких объектов немного, давайте рассмотрим их более подробно: Начнем с прикладных решений (конфигураций). На каждую используемую конфигурацию должна быть приобретена основная поставка, в состав которой входит одна лицензия, которая, как мы уже говорили выше, дает право на использование прикладного решения и подключение к нему с одного рабочего места. Обратите внимание, что лицензируются именно конфигурации, а не информационные базы. Каждая законно приобретенная конфигурация позволяет создавать и использовать неограниченное количество информационных баз.\nЗатем нам нужно лицензировать подключения. Для этого мы можем использовать однопользовательские лицензии, которые позволяют лицензировать рабочие места, в этом случае вы можете открывать неограниченное количество сеансов к любым информационным базам с этого рабочего места. Альтернативой им являются многопользовательские лицензии, которые выдаются на каждый открытый сеанс, но при этом не привязываются ни к пользователю, ни к рабочему месту. По окончании сеанса лицензия освобождается и может быть выдана другому пользователю.\nНаборы лицензий от 5 и выше поставляются как универсальные, их тип определяется в момент первой активации, если лицензия была активирована как однопользовательская, то все остальные лицензии из этого комплекта становятся однопользовательскими и наоборот. Если вы ошиблись с типом активации, то фирма 1С позволяет один раз сбросить тип лицензии и переактивировать заново, но такая операция производится только по запросу клиента и подробного рассмотрения ситуации.\nИ наконец, сервера. На каждый сервер должна быть приобретена и активирована лицензия. При этом количество запущенных экземпляров сервера на одном серверном устройстве не ограничивается (исключение - Сервер МИНИ).\nНикаких других объектов лицензирования в системе 1С:Предприятия нет.\nОбласть лицензирования Областью правомерного использования Лицензионного соглашения для основной поставки является локальная сеть, в которой установлено соответствующее прикладное решение. Под областью локальной сети в данном случае подразумевается определение согласно ГОСТ 29 099-91:\nГОСТ 29 099-91 \u0026quot;Сети вычислительные локальные. Термины и определения\u0026quot;: \u0026quot;Локально-вычислительная сеть; ЛВС -- вычислительная сеть, охватывающая небольшую территорию и использующая ориентированные на эту территорию методы и средства передачи данных\u0026quot;. Под небольшой территорией подразумевается комплекс зданий, имеющих общий почтовый адрес.\nЭто ограничение вызывает множество различных толкований, чаще всего неправильных. Поэтому давайте подробно разберемся в вопросе и окончательно определимся с тем, какое использование основной поставки будет правомерным, а какое нет.\nКлючевое слово здесь - основная поставка. Проще говоря - коробка с конфигурацией и клиентской лицензией, но нас будет сейчас интересовать именно конфигурация. Каким образом мы можем использовать прикладное решение (конфигурацию)? Создать на его основе информационную базу и никак иначе и таких информационных баз может быть множество.\nТаким образом легально создавать и размещать информационные базы, созданные на основе правомерно приобретенного прикладного решения, мы можем только в пределах локальной сети предприятия. При этом абсолютно не важно какой метод доступа к базам мы используем: файловый, клиент-серверный или веб-сервер.\nСразу возникает закономерный вопрос: а как быть с удаленными пользователями? Здесь все просто, если на клиентском устройстве подключенном к ЛВС предприятия любым способом, включая средства удаленного доступа не создается информационных баз 1С:Предприятие, то для правомерного использования уже существующих прикладных решений достаточно лицензии клиентского доступа (однопользовательской или многопользовательской).\nКак только за пределами ЛВС возникает информационная база, не важно самостоятельная или подчиненный образ РИБ, то для использования этой базы потребуется приобрести отдельную основную поставку.\nНикаких иных ограничений для правомерного использования прикладного решения нет, например, по юридическим лицам. Ситуация, когда прикладное решение приобретено одним лицом, но используется для учета другого юридического лица или ИП является с точки зрения 1С абсолютно правомерной.\nДля флагманских и дорогих прикладных решений, таких как ERP или УХ существует специальная лицензия на основную поставку - Лицензия для дочерних обществ и филиалов - которая позволяет приобретать для аффилированных с основной организацией подразделений основную поставку по специальной цене, значительно более низкой, чем стоимость основной коробки.\nПодписка ИТС Информационно-технологическое сопровождение (1С:ИТС) - это комплексная поддержка, которую фирма 1С совместно с официальными партнерами оказывает пользователям программ 1С:Предприятие. Применительно к лицензированию подписка ИТС имеет одно важное значение: любые обновления любых компонентов системы 1С, включая платформу и прикладные решения, являются легальными только при наличии действующего договора ИТС.\nПри этом абсолютно не важно каким образом и откуда вы получили эти обновления, если на момент выхода этих обновлений у вас отсутствовал действующий договор ИТС - то установка этих обновлений приравнивается к нелицензионному использованию платформы или прикладного решения. Поэтому наличие действующей подписки ИТС является еще одним условием правомерного использования системы программ 1С:Предприятие.\n","id":"d38fb32d898ad50c509552abca15ee5d","link":"https://interface31.ru/post/licenzirovanie-1spredpriyatie-8h/","section":"post","tags":["1С Предприятие 8.х","Лицензирование"],"title":"Лицензирование 1С:Предприятие 8.х"},{"body":"С одной стороны, ответ на поставленный в заголовке вопрос прост и очевиден, список \u0026quot;почтовых\u0026quot; портов знают все. Но когда доходит дела, в частности настройки брандмауэра и проброса портов, то вопросов меньше не становится, а ровно наоборот. Какие порты следует открыть наружу? Какие нет? Какие нужны для работы почтовых клиентов? И т.д. и т.п. Чтобы каждый раз не отвечать на подобные вопросы мы решили сделать краткую статью ликбез, где рассмотрим типовой современный почтовый сервер и его сетевое взаимодействие с клиентами и внешним миром.\nСовременный почтовый сервер - сложная система, состоящая из множества компонентов, работающих между собой на сетевом уровне с использованием различных протоколов. И представления: SMTP - 25 порт, POP3 - 110, IMAP - 143 - сегодня явно недостаточно. К тому же широкое применение веб-интерфейсов и защищенных протоколов вносит дополнительную путаницу. Поэтому давайте разбираться.\nНиже показана условная схема типового почтового сервера, данный набор компонент так или иначе присутствует у любого из них, разница, может быть, в незначительных мелочах, поэтому мы не будем касаться конкретных реализаций, а рассмотрим работу почтовой системы в целом. Начнем с основной функции почтового сервера - отправки и получения почты, за это отвечает Message transfer agent (MTA) - агент передачи сообщений, по сути, это и есть почтовый сервер. Он работает по протоколу SMTP и обеспечивает взаимодействие с другими MTA, получая или отправляя почту, а сам процесс обмена почтой между серверами называется ретрансляцией.\nПротокол SMTP - это старый и очень простой протокол, в котором отсутствуют многие возможности без которых работа сегодня немыслима, поэтому сегодня практически везде используется его расширенная версия ESMTP (Extended Simple Mail Transfer Protocol), но очень часто название протокола, даже в технической литературе, продолжает указываться как SMTP.\nПротокол SMTP использует для работы порт 25 TCP и изменить это значение нельзя, точнее, вы можете это сделать, но после этого вас не смогут найти другие почтовые сервера, которые решат доставить вам почту. Также это единственный порт, который обязательно должен быть доступен из внешней сети.\nСовременные коммуникации нельзя представить без шифрования и SMTP не исключение. Первоначально развитие многих протоколов шло по пути создания защищенной при помощи SSL/TLS версии и назначения для нее отдельного порта. Поэтому в свое время появился защищённый протокол SMTPS (SMTP over SSL) работавший на порту 465 TCP.\nОднако такой подход, по многим причинам, не принес желаемого результата и для протокола SMTP было разработано расширение STARTTLS, которое является основным способом защиты почтового соединения. Так как STARTTLS всего лишь расширение, то MTA начинают сессию как обычную SMTP, а только потом начинают договариваться о шифровании и согласовывать криптоалгоритмы. Всегда используется самый стойкий алгоритм из доступных обеим сторонам, если же договориться не получилось, то обмен почтой происходит в открытом виде.\nВсе это взаимодействие происходит через один-единственный порт - 25, как для зашифрованной, так и незашифрованной почты.\nВнимание! Протокол SMTPS и порт 465 TCP уже много лет признаны устаревшими и использовать их не следует!\nВ настоящий момент принято соглашение, что порт 25 используется только для ретрансляции почты, т.е. взаимодействия между серверами, клиентам использовать этот порт не следует. Для взаимодейтсвия с клиентами была создана новая служба Message submission agent (MSA) - агент отправки почты, который обычно является частью MTA, но использует собственный порт 587 TCP. Именно этот порт следует указывать как порт отправки почты в почтовых клиентах. Он также поддерживает аутентификацию и TLS-шифрование.\nБолее того, вынесение обслуживания клиентов в отдельную службу позволяет более тонко настроить безопасность, например, запретив незащищенные подключения, что не позволит пользователю настроить почтовый клиент неправильно. При разделении функций MTA и MSA наилучшей практикой будет открытие 25 порта только во внешнюю сеть, а 587 во внутреннюю.\nНеобходимость доступа к 587 порту извне обусловлена необходимостью подключения клиентов, если такие есть, то порт также должен быть доступен снаружи. Также не забываем, что многие провайдеры блокируют исходящие соединения на 25 порт из \u0026quot;домашних\u0026quot; сетей, к которым подключены преимущественно частные пользователи, при этом 587 остается доступен.\nС отправкой почты выяснили, теперь перейдем к ее получению. Под получением почты в данном контексте мы подразумеваем не получение сообщений сервером, а доступ клиента к своему почтовому ящику на сервере, для этих целей предназначен Message delivery agent (MDA) - агент доставки сообщений.\nТрадиционно для доступа к почте используется два протокола POP3 и IMAP. Протокол POP3 (Post Office Protocol Version 3) более примитивен и работает по принципу \u0026quot;загрузи и удали\u0026quot;, хотя поддерживает возможность оставлять письма на сервере. Широко использовался в прошлом, когда доступ к интернет был лимитирован, что позволяло скачать все новые сообщения и работать с ними локально.\nЕму на смену пришел протокол IMAP (Internet Message Access Protocol), который позволяет работать с почтовым ящиком клиента на сервере как с локальным, не перемещая все его содержимое на компьютер пользователя, загрузка сообщения производится по требованию клиента, например, когда он решил прочитать сообщение. Все современные реализации почтовых клиентов по умолчанию используют IMAP.\nДанные протоколы имеют свои защищенные версии: POP3S и IMAPS и используют двойной набор портов для защищенной и незащищенной версии. Так для POP3 это пара 110 / 995 TCP, для IMAP - 143 / 993 TCP. Большинство современных решений почтовых серверов позволяют делать прозрачное перенаправление с незащищенных портов на защищенные и даже указав в настройках 110 или 143 порт клиент все равно будет использовать шифрование. Если это не так, то доступ к незащищенным портам следует ограничить. Доступ из внешней сети также обусловлен наличием там клиентов, если они есть - порты должны быть доступны. Если у вас настроен редирект, то следует открывать наружу оба порта, что облегчит настройку почтовых клиентов.\nВ современных реалиях для доступа к почте достаточно протокола IMAP и если нет каких-то особых требований POP3 можно просто отключить.\nЕще одной особенностью современной почты является широкое применение веб-интерфейсов для доступа к содержимому почтового ящика. По факту веб-клиент является разновидностью Mail User Agent (MUA) - обычного почтового клиента, только расположен он не на компьютере пользователя, а на сервере. Поэтому его внутреннее взаимодействие с компонентами почтового сервера нас особо не волнует, гораздо важнее способы доступа к нему.\nСегодня для этого используется защищённый протокол HTTPS - 443 TCP, но несмотря на это обязательно поддерживается доступ по HTTP - 80 TCP, все соединения с которого прозрачно перенаправляются на 443 порт. Это сделано как для совместимости, так и для удобства пользователей, потому что если мы наберем в адресной строке браузера просто адрес, без указания протокола, то соединение будет установлено через HTTP.\nПоэтому оба порта должны быть доступны для клиентов и именно веб-интерфейс чаще всего открывается для доступа из внешних сетей.\nОтдельного разговора заслуживает популярная ныне служба получение бесплатных сертификатов Let's Encrypt, для ее нормальной работы обязательно требуется доступ из внешней сети к серверу по протоколу HTTP, и не смотря на то, что Certbot умеет нормально работать по HTTPS, для нормальной работы службы порт 80 обязательно должен быть доступен, а в зависимости от настроек веб-сервера также может потребоваться 443. Поэтому при использовании Let's Encrypt обязательно откройте доступ к портам 80 и 443 из внешней сети.\n","id":"57d25106f41fa7b20e8780cbdf90001a","link":"https://interface31.ru/post/kakie-porty-i-dlya-chego-ispol-zuet-pochtovyy-server-likbez/","section":"post","tags":["E-mail","Сетевые технологии"],"title":"Какие порты и для чего использует почтовый сервер. Ликбез"},{"body":"Не так давно мы делали экскурс в историю и рассматривали достаточно нашумевшую в свое время LindowsOS, коммерческий дистрибутив Linux с достаточно своеобразным подходом к его построению. Но если копнуть чуть глубже, то выяснится, что проект жив по сей день и до сих пор является коммерческим, выпускаемым под новой торговой маркой Linspire, также у него есть бесплатная версия, доступная всем желающим - Freespire. Самое время посмотреть, что сегодня представляют наследники Lindows, какой подход используют и насколько могут быть интересны обычному пользователю.\nНемного истории LindowsOS, которую мы рассматривали в предыдущем обзоре, получила основную известность благодаря неоднозначному наименованию и последовавшей за этим судебной тяжбой с компанией Microsoft. Поэтому, если вам интересна эта история с самого начала, то рекомендуем предварительно прочитать наш обзор:\nРекомендуем к прочтению LindowsOS - попытка прорубить форточку в свободный мир Но дела в суде у Microsoft не задались, суд совершенно справедливо заметил, что слово \u0026quot;windows\u0026quot; является общеупотребительным, а оконные интерфейсы появились у Xerox и Apple гораздо раньше первого выпуска Windows. Суд продлился около двух лет и поняв тщетность этого пути Microsoft решила наболевший вопрос иначе, она предложила купить торговую марку LindowsOS за 20 млн. $, сделка состоялась и в последующем Lindows выпускался под новой торговой маркой Linspire. Новое название было составлено из слов Linux и inspire - вдохновлять, воодушевлять.\nОглядываяь назад можно назвать сделку с Microsoft наиболее крупным коммерческим успехом компании. В 2006 году компания Linspire перешла с Debian на Ubuntu, а также заключила соглашение с Microsoft о лицензировании отдельных компонент, что позволило улучшить поддержку закрытых форматов компании. А также, в духе веяний того времени, была создана бесплатная версия системы - Freespire.\nНо особого коммерческого успеха Linspire не достигла, после чего в 2008 году была куплена компанией Xandros, система снова была переведена на платформу Debian, а выпуск коммерческой версии Linspire был прекращен. Спустя еще 10 лет торговую марку приобрела компания PC/OpenSystems, которая вдохнула в систему новую жизнь. Была заново запущена коммерческая версия Linspire, а в качестве базового дистрибутива снова стали использовать Ubuntu.\nLinspire 12 Linspire 12 - это последняя на данный момент версия данной системы, в открытом доступе отсутствует, ее можно приобрести в двух вариантах: на физическом носителе или в электронном виде. Версия без поддержки обойдется вам в 39.99/29,99 $, с поддержкой 79,99/59,99 $, в целом это достаточно недорого.\nЧто предлагают нам за эти деньги? Во-первых, сертификацию, которая требуется во многих штатах для запуска правительственного ПО, затем сертификацию крупных вендоров (Oracle, IBM) для запуска их приложений, список различного коммерческого ПО, работа которого в среде Linspire протестирована и гарантируется. В общем - достаточно немало. При этом отдельно оговаривается, что в состав дистрибутива входят несвободные компоненты для воспроизведения мультимедиа, такие как: MP3, WMA, Real, Quicktime and the Flash Plugin.\nСледует сразу отметить, что это сугубо американская проблема, так как в США действуют патенты на алгоритмы. Это приводит к тому, что использование кодеков для воспроизведения защищенных патентами форматов без отчислений правообладателю на территории США является нелегальным несмотря на то, что эти кодеки свободно доступны в репозиториях большинства Linux дистрибутивов.\nВ свободном доступе Linspire отсутствует, однако в процессе бета-тестирования публично выкладывались бета-версии, одной из которых мы и воспользуемся, нами была скачана сборка от 28.01.2023 года.\nЛоготип сохранил свою преемственность, в частности характерную букву L, но выполнен в иной цветовой гамме. А дальше нас встречает обычная Ubuntu со стандартным установщиком, процесс установки полностью идентичен, каких-либо особенностей там нет. Внутри у нас GNOME 42 фактически в ванильном виде, от доработок интерфейса присутствующих в Ubuntu здесь отказались, возможно, чтобы не быть похожими на исходную систему до степени смешения. Такое решение вряд ли можно приветствовать, ванильный GNOME 4x предполагает достаточно своеобразные методы взаимодействия с интерфейсом, скажем, чтобы получить доступ к списку запущенных приложений и меню быстрого доступа нам нужно нажать Обзор в верхнем левом углу и затем переместиться в самый низ экрана. А чтобы попасть к списку установленных программ нужно дополнительно нажать на значок с квадратиками. Оптимальной такую схему не назовешь и в той же Ubuntu интерфейс был доработан для быстрого доступа прямо с рабочего стола. Набор предустановленного ПО небогат и достаточно типичен, но есть и свои особенности, так в качестве браузера по умолчанию используется MS Edge. А офисный пакет представлен ONLYOFFICE: Для установки ПО предназначен магазин, интегрированный с Flatpak, который используется как источник программ по умолчанию. Кроме того, в систему предустановлен ряд утилит, которые могут пригодиться в корпоративном использовании, например, Boot-Repair - инструмент для тонкой настройки и восстановления загрузчика. А в остальном смотреть здесь больше нечего, перед нами типовой Linux с GNOME 4x на базе Ubuntu, с минимальным набором базового ПО. Хотя именно так и должно быть, это дистрибутив для работы и удивлять он должен в последнюю очередь, так как его задача - обеспечить привычную и удобную рабочую среду для повседневных операций.\nТакже интересно будет взглянуть на список источников ПО, своих репозиториев Linspire не имеет, используются стандартные источники Ubuntu плюс ряд PPA. Отдельный интерес из низ представляют репозитории от Microsoft, так как в систему кроме браузера Edge входит .Net Core и репозитории с Oracle Java, лицензионное соглашение которой запрещает распространение бинарных сборок, однако это не распространяется на собранные из исходного кода пакеты, которые и находятся в этом PPA.\nLinspire 12 не представляет из себя ничего выдающегося, самый обычный рабочий дистрибутив на базе Ubuntu, предназначенный в первую очередь для ряда потребителей на внутреннем рынке США, в частности государственных учреждений. По сути, мы имеем своеобразное \u0026quot;импортозамещение\u0026quot; по-американски. Когда компания предоставляет пользователям за деньги обычное свободное ПО, но с рядом дополнительных сертификатов и лицензий на ряд компонентов (те же кодеки), а также обеспечивает гарантированную совместимость с рядом коммерческого ПО.\nМожно ли сделать все это на обычной Ubuntu? Наверное можно, кроме сертификации, но это требует дополнительных действий, здесь же все уже есть из коробки, плюс имеется коммерческая поддержка. На наш взгляд - весьма грамотный ход, дистрибутив не рвется на международные рынки, не свергает признанных лидеров, а тихо, в меру своих сил и способностей работает в достаточно узкой и специфичной рыночной нише.\nFreespire 9 Если вам не нужны сертификации, совместимость с корпоративным ПО и несвободные компоненты, то разработчики предлагают вам скачать свободную версию дистрибутива - Freespire. Нумерация у двух линеек не совпадает и последней коммерческой Linspire 12 соответствует бесплатная Freespire 9.\nВнешне системы отличаются только оформлением, если Linspire использует светлую тему, то Freespire настроен на использование темной. А еще глаз зацепился за логотип на загрузочном экране, на наш взгляд он сильно похож на логотип Fedora. В остальном нас ждет все тоже самое, тот же Ubuntu и ванильный GNOME 4.x из коробки, правда набор активированных плагинов тут несколько иной и некорректно работает из коробки плагин, выводящий на рабочий стол значки, но это лечится его отключением и повторным включением. В качестве браузера здесь Mozilla Firefox из отдельного PPA, так как в базовой системе используется Snap-пакет. В качестве офисного пакета снова ONLYOFFICE: Магазин точно также интегрирован с Flatpak и в первую очередь предлагает пакеты оттуда. Если проверить список источников пакетов, то мы не увидим там ни одного подключенного к Linspire, здесь только Firefox и bashtop, что вполне обоснованно, редко кому из обычных пользователей нужна Java именно от Oracle или компоненты .NET Core. Что касается кодеков, то они свободно доступны в репозиториях Ubuntu и проблемы их использования за пределами территории США нет. Представляет ли данная система интерес и для кого? Безусловно, если вы хотите Ubuntu без Ubuntu, с ванильным GNOME и интегрированным Flatpak. Далее - карты в руки, настраивайте систему на свой вкус и цвет. Несомненный плюс Freespire в том, что это все еще Ubuntu с минимумом сторонних источников пакетов. Даже если компания завтра прекратит поддержку, то пользователям это ничем не помешает, они также продолжат использовать систему дальше и обновлять ее в рамках поддержки базового дистрибутива.\nВыводы Мы бы не стали делать этот обзор, потому как ничем таким ни Linspire 12, ни Freespire 9 не выделяются. Самый обычный Linux для работы, если бы ни один аспект. В обсуждениях отечественного Linux очень часто проскальзывает мнение, что мол это \u0026quot;чисто отечественная забава\u0026quot; брать бесплатный Linux, слегка его переделывать, включать в реестр и продавать за деньги.\nВот вам точно такая же коммерческая модель, только из-за океана. Оказывается, в США есть ровно такое же \u0026quot;импортозамещение\u0026quot;, при этом продается, по сути, обычная Ubuntu, немного доработанная под требования бизнеса и получившая нужные сертификаты. И говорить, что это \u0026quot;мол иное\u0026quot; не следует, в любой стране есть свои законодательные нормы и своя бюрократия. А также различные лицензионные заморочки.\nПоэтому покупатели Linspire платят не за Ubuntu с нескучными (или, наоборот, скучными) обоями, а за наличие нужных сертификатов, совместимости с нужным коммерческим софтом из коробки и отсутствие возможных лицензионных проблем. По сути это ничем не отличается от вопросов к нашим дистрибутивам: а есть ли поддержка 1С:Предприятие или Крипто-Про.\nНу так есть же RHEL или SLES, скажет кто-то. Есть, но только там совсем другой порядок цен, а деньги считать за океаном умеют.\nПоэтому современный Linspire - это крепкий, рабочий дистрибутив, не способный ничем удивить, но способный обеспечить стабильную рабочую платформу и соответствие всем лицензионным и прочим законодательным требованиям. За пределами США особого интереса он не представляет, а вот его бесплатный вариант Freespire может оказаться интересен, если вам нужен Ubuntu без Ubuntu и интегрированный с Flatpak из коробки. Вполне себе интересный вариант, учитывая, что вмешательство в базовую систему там минимальное.\n","id":"4f1a74221727839a26d0c9fca69040a7","link":"https://interface31.ru/post/linspire-12-i-freespire-9---sovremennye-nasledniki-odioznoy-lindowsos/","section":"post","tags":["Debian","LindowsOS","Linux","Ubuntu"],"title":"Linspire 12 и Freespire 9 - современные наследники одиозной LindowsOS"},{"body":"Windows Server Core не пользуется большой популярностью у ряда администраторов и, на наш взгляд, совершенно зря. Благодаря меньшему количеству работающих приложений и служб он более прост в обслуживании, ему требуется меньшее количество обновлений, а также он безопаснее, за счет сужения возможного периметра атаки. Windows Server Core отлично подходит для тех систем, где от пользователя не требуется интерактивное взаимодействие с рабочим столом, например, контроллеров домена. В этой статье мы рассмотрим, как развернуть минимальную конфигурацию Active Directory с отказоустойчивым DHCP.\nДля полноценного функционирования Active Directory вам потребуется не менее двух контроллеров домена, это могут быть как физические, так и виртуальные машины, но мы рекомендуем иметь хотя бы один контроллер на физическом узле. В нашем случае будет использоваться два ПК с Windows Server 2022 в варианте Core, тем не менее данный материал подходит для всех актуальных версий Windows Server.\nПеред тем как приступать к установке сделаем небольшое планирование, прежде всего определимся с адресным пространством и адресами основных узлов сети. В нашем случае это будет:\n192.168.78.0/24 - используемая сеть 192.168.78.1 - основной шлюз сети 192.168.78.7 - CORE-DC01 - первый контроллер домена 192.168.78.8 - CORE-DC02 - второй контроллер домена 192.168.78.100 - 199 диапазон адресов к раздаче через DHCP it-31.lab - полное имя домена При выборе диапазона адресов избегайте широко используемых в сетевом оборудовании 192.168.0.0/24, 192.168.1.0/24 и т.п. чтобы при расширении сети или подключении удаленных пользователей не столкнуться с проблемами, связанными с пересечением адресного пространства. Также напоминаем, что в Active Directory нет первичных и вторичных контроллеров домена, все контроллеры равноправны.\nПерейдем к практической части и установим на два сервера Windows Server 2022 в режиме Core, во время первой загрузки вам будет предложено установить пароль для встроенной учетной записи Администратор, обратите внимание, что если вы использовали русскую редакцию, то по умолчанию у вас будет использоваться русская раскладка. После чего будет запущена утилита SConfig для базовой настройки сервера, но автоматический ее запуск присутствует только в Windows Server 2022, в других редакциях для ее вызова введите:\n1sconfig Использование утилиты простое: выбираем нужный нам цифровой пункт и следуем дальнейшим подсказкам. Начать следует с пункта 2 и установить имя компьютера согласно запланированному. Затем перейти к пункту 7 и включить удаленный рабочий стол для доступа к серверу по RDP. После чего переходим в пункт 8 и настраиваем сеть и указываем адреса DNS-серверов. На последних следует остановиться более подробно. Текущие рекомендации советуют указывать в качестве первичного сервера DNS адрес любого иного контроллера домена, дополнительным - адрес локальной петли (127.0.0.1). Таким образом для первого сервера укажем 192.168.78.8 и 127.0.0.1, для второго: 192.168.78.7 и 127.0.0.1.\nТот факт. что никаких DNS-серверов по этим адресам у нас пока нет смущать не должен, дальнейшим действиям это не помешает, но избавит вас от необходимости повторно изменять сетевые настройки. Выше были приведены минимально необходимые настройки, после их внесения сервер обязательно требуется перезагрузить.\nПосле перезагрузки перейдем в командную строку PowerShell и установим необходимые компоненты:\n1Install-WindowsFeature AD-Domain-Services -IncludeManagementTools 2Install-WindowsFeature DHCP -IncludeManagementTools Дальнейшие действия мы будем выполнять на CORE-DC01.\nТак как у нас нет никакой структуры AD, то нам потребуется сначала создать лес, а потом первый домен в нашем лесу. Для этого используется командлет Install-ADDSForest, в сети можно встретить огромные \u0026quot;заклинания\u0026quot; с перечислением кучи параметров, но в большинстве случаев они дублируют параметры по умолчанию и приводить их нет никакой необходимости, поэтому укажем только необходимые:\n1Install-ADDSForest -DomainName \u0026#34;it-31.lab\u0026#34; -InstallDNS Эта команда повысит сервер до контроллера, создаст новый лес с указанным доменом в нем, а также установит DNS-сервер и сделает контроллер Глобальным каталогом. При этом вам потребуется указать пароль для режима восстановления и подтвердить автоматическую перезагрузку. Из дополнительных опций вам может понадобиться -DomainNetbiosName - которое задает NetBIOS-имя домена, NetBIOS-имя автоматически формируется из префикса (первой части до первой точки) полного доменного имени и не может быть длиннее 15 символов, если префикс длиннее 15 символов, то имеет смысл указать NetBIOS-имя отдельно.\nСледующие две опции -ForestMode и -DomainMode указывают уровень леса и уровень домена. Уровень домена не может быть ниже уровня леса, но может быть выше его. Уровень определяет нижнюю версию контроллеров, которые можно использовать в лесу или домене. По умолчанию выбираются максимальные уровни. Всего же доступны следующие значения:\nWindows Server 2003: 2 или Win2003 Windows Server 2008: 3 или Win2008 Windows Server 2008 R2: 4 или Win2008R2 Windows Server 2012: 5 или Win2012 Windows Server 2012 R2: 6 или Win2012R2 Windows Server 2016: 7 или WinThreshold Максимальный уровень домена на текущий момент - Windows Server 2016.\nПо окончании настройки контроллер домена будет автоматически перезагружен. Как видим, создание контроллера домена при помощи PowerShell даже быстрее и проще, чем использование привычного графического мастера. Всего одна команда против клацанья мышкой на нескольких экранах.\nТеперь перейдем на CORE-DC02 и первым делом попробуем ввести его в домен, воспользовавшись цифровым пунктом 1 в SConfig, если нигде не допущено ошибок, то эта задача увенчается успехом. Таким образом мы убедились, что созданный нами контроллер работает, поэтому перезагружаемся и идем дальше. Для добавления контроллера в существующий домен мы будем использовать иной командлет - Install-ADDSDomainController, и, точно также, вместо огромных заклинаний будем использовать только необходимые параметры, в командной строке PowerShell выполните:\n1Install-ADDSDomainController -DomainName \u0026#34;it-31.lab\u0026#34; -InstallDns -Credential (Get-Credential \u0026#34;IT-31\\Администратор\u0026#34;) Данная команда добавит контроллер в указанный домен, установит DNS и сделает его глобальным каталогом, в качестве дополнительной опции мы указали учетные параметры администратора домена. На этом базовое развертывание Active Directory завершено, как видим, использование Windows Server Core ни капли не усложняет процесс, наоборот, использование командной строки позволяет выполнить эту операцию быстрее и проще.\nДля получения дополнительной информации о всех возможных ключах в использованных командлетах рекомендуем обратиться к документации.\nРекомендуем к прочтению Install-ADDSForest Install-ADDSDomainController Для дальнейшей настройки и управления созданной инфраструктурой мы будем использовать привычные инструменты из пакета RSAT, в Windows 10 / 11 их можно получить в разделе Приложения - Дополнительные компоненты приложения Параметры. Нам потребуются оснастки для управления Active Directory, DNS и DHCP, а также редактор групповых политик. Продолжим настройку с DNS, а именно добавим обратную зону. В минимальной конфигурации она не нужна, но многие приложения, интернирующиеся с AD, могут не работать или работать неправильно без обратной зоны.\nПоэтому откроем оснастку управления DNS и подключимся к любому из серверов, там перейдем к разделу Зоны обратного просмотра и создадим новую зону, при этом укажем параметры: Основная зона - Для всех серверов - Зона обратного просмотра IPv4, после чего укажем Идентификатор сети - первые три октета IP-адреса, на его основе будет сформировано имя зоны. После создания обратной зоны заглянем в свойства самого DNS-сервера и укажем сервера пересылки - список DNS-серверов которым будут отправляться запросы, которые наш сервер неспособен разрешить самостоятельно, в их качестве следует указать адреса серверов имен провайдера или публичные сервера. На этом настройка DNS-сервера закончена, и мы переходим к финальной части - настройке DHCP. Откроем оснастку управления DHCP-сервером и подключимся к одному из них, прежде всего сервер нужно авторизовать в Active Directory, для этого щёлкните на нем правой кнопкой мыши в открывшемся меню выберите Авторизовать. Теперь создадим в Active Directory пользователя, например, dhcp-dns-update и сделаем его членом единственной группы DnsUpdateProxy. Раскроем дерево сервера, перейдем в свойства IPv4 на закладку Дополнительно и нажмем Изменить рядом с надписью Учетные данные для регистрации динамических обновлений DNS, в открывшемся окне введем данные созданного нами пользователя.\nУказанные выше настройки следует выполнить для обоих серверов. Теперь на одном из них настроим область при помощи мастера, укажем диапазон выдаваемых адресов и маску сети: Шлюз и DNS-сервера, напоминаем, что клиентам следует выдавать только адреса доменных DNS-серверов: Завершив создание зоны, убеждаемся, что DHCP сервер работает нормально: выдает адреса клиентам и регистрирует динамические записи для них на DNS-сервере. После чего перейдем к созданию отказоустойчивой конфигурации. Открываем меню правой кнопкой мыши для области и выбираем в нем Настройка наработки отказа, в открывшемся мастере выбираем сервер-партнер (второй сервер), настраиваем режим работы - по умолчанию балансировка 50 / 50 - и задаем секретный ключ. По окончанию работы мастера будет выполнена автоматическая настройка второго сервера и выполнена репликация данных между ними. В процессе эксплуатации DHCP-сервера помните, что автоматически реплицируются только данные об аренде, если вы изменили настройки области или выполнили резервирование, то следует запустить репликацию данных вручную, для этого щелкните на области правой кнопкой мыши и в меню выберите Репликация области. Если вы изменили настройки обработки отказа, то следует выполнить Репликацию отношения. На этом настройка базовой конфигурации Active Directory с отказоустойчивой конфигурацией DHCP завершена. Как видим, сделать это на основе Windows Server Core абсолютно несложно, поэтому не следует пугаться и избегать этого сценария, а, наоборот, использовать вариант установки Core там, где он более всего подходит, например, как в нашем случае.\n","id":"58f89dac7fda95e649daa8d2814897f5","link":"https://interface31.ru/post/bystroe-razvertyvanie-active-directory-s-otkazoustoychivoy-konfiguraciey-dhcp-na-baze-windows-server/","section":"post","tags":["Active Directory","DHCP","DNS","Windows Server","Windows Server Core","Развертывание"],"title":"Быстрое развертывание Active Directory с отказоустойчивой конфигурацией DHCP на базе Windows Server Core"},{"body":"История Linux богата событиями и имеет много ярких представителей, некоторые из них стали основателями целых направлений и семейств, надолго задав стандарты, ставшие отраслевыми. Другие известны смелыми попытками создать что-то не такое, как у всех, либо хотя бы создать видимость таких попыток. Наиболее известна из них LindowsOS, получившая широкую известность из-за скандала с наименованием. И о ней же сегодня мало что известно, зато хватает различных мифов и домыслов. Поэтому сегодня мы перенесемся на 20 лет назад и посмотрим на эту систему вживую.\nЕсли сегодня спросить о том, что такое операционная система LindowsOS, то мало кто даст правильный ответ. Чаще всего можно услышать, что это был такой дистрибутив на базе Debian со встроенным Wine, который позволял легко и просто запускать Windows-программы. Также еще можно услышать, что Microsoft увидел в нем серьезную угрозу и поспешил расправиться с возможным конкурентом, выкупив проект и уничтожив его.\nНо все это достаточно далеко от правды, которая оказывается куда скучней и прозаичнее.\nLindowsOS - это попытка создать в начале нулевых дистрибутив Linux для обычных Windows пользователей, чтобы они могли без переучивания применять имеющийся пользовательский опыт в новой системе, по сути - сделать Linux без Linux. Да, именно так, и ниже мы увидим ряд неоднозначных решений и использование худших практик использования ОС. Но обо всем по порядку.\nСистема изначально создавалась как коммерческая, попавшая нам в руки версия LindowsOS 4.0 стоила в 2003 году 59,95 $, отдельно от нее предлагалась подписка на сервис Click-N-Run в размере 49,95 $ в год. Запомним эти цифры, нам еще придется к ним вернуться.\nНу а пока давайте посмотрим на живую систему, начнем установки. Сразу после загрузки с диска нас встречает полноэкранное меню с пунктами установки и диагностики, внешне оно выполнено весьма напоминающим загрузочный экран систем Windows. Инсталлятор предельно скуп на настройки и позволяет установить систему действительно в пару кликов мыши, по тем временам это достаточно необычно для Linux. От вас попросят указать только имя машины, пароль указывать не обязательно. После чего ждем, пока заполнится шкала прогресса и получаем предложение перезагрузить компьютер. Внешне инсталлятор также напоминает Windows системы, включая привычную практику Next - Next - Finish. При первом входе в систему нам предлагают принять лицензионное соглашение, оно длинное и запутанное, пестрит упоминанием зарегистрированных торговых марок, кучей различных ограничений, но - самое главное - в нем нет и одного упоминания лицензии GPL, что уже является ее нарушением. После принятия лицензии автоматически запустится слайд-шоу со звуком, рассказывающее об основных приемах работы в новой системе. Помнится, что-то подобное практиковалось и при первом запуске настольной Windows. В остальном перед нами типичный рабочий стол с окружением KDE 3 куда вынесены привычные пользователю Windows значки, файловая система тоже организована с оглядкой на Microsoft, но сделано это при помощи символических ссылок, что только больше запутывает, чем облегчает доступ к данным. Вместо того, чтобы познакомить пользователя с организацией хранений данных в Linux разработчики, наоборот, решили его от этого огородить. Стартовое меню выполнено в стиле классического меню Пуск версии Windows 9.x / 2000, в целом, для той поры, неплохой вариант. Все ПО распределено по группам, только вот состав программ из коробки очень и очень скудный. Нет офисного пакета, нет видеоплеера, нет средств работы с изображениями (кроме просмотрщика), в общем много чего нет и, наверное, проще перечислить что есть. Зато в каждом разделе можно заметить ссылку на Click-N-Run, если нажать на нее, то откроется одноименная программа, которая сегодня не работает, но не составляет труда догадаться, что это был собственный магазин приложений. Для 2003 года это действительно свежая и прорывная идея, но, как всегда, подкачала реализация. О том, как все это должно работать можно посмотреть на картинках во встроенной справке. В целом идея и ее техническое исполнение для 2003 года выглядит отлично, но, вспомним, что за доступ к Click-N-Run вам потребуется дополнительная подписка в размере 49,95 $ в год, при том, что каталог содержал преимущественно открытое ПО. В частности, в качестве офисного пакета предлагался StarOffice / OpenOffice, в качестве графического редактора Gimp и т.д. и т.п.\nЕсли же не покупать подписку, то делать в LindowsOS было практически нечего, никаких иных графических инструментов управления пакетами здесь не было и вообще все и везде старательно огораживало пользователя от Linux и заставляло сохранять привычные Windows практики. Наиболее порочной практикой принесенной из Windows стала работа от root, причем без пароля. При этом на дворе стоял 2003 год, начало эпохи широкополосного интернета и сетевых эпидемий. Что заставило Microsoft пересмотреть подход к наличию у пользователя административных прав, но здесь у нас все наоборот.\nА что вообще под капотом? Давайте посмотрим: ядро 2.4.20 и репозитории от Debian Sarge, который на тот момент был в состоянии testing и официально вышел только в 2005 году. Активный пользователь действительно root, а файловая система расположена в одном разделе и применяется ReiserFS. При этом никаким Wine внутри и не пахнет и запускать Windows-приложения из коробки система не в состоянии.\nКак видим, никаким \u0026quot;серьезным конкурентом\u0026quot; Windows здесь и не пахнет, как и не пахнет каким-либо прорывом в мире Linux. Перед нами скорее попытка прорубить форточку в мир открытого ПО и пересадить пользователей одной коммерческой системы на другую коммерческую систему.\nТем более, что хватало и альтернатив, в первую очередь стоит выделить Mandrake 9, который справедливо считался настольным и дружелюбным. А через год с небольшим выйдет первая версия Ubuntu. Причем это были настоящие Linux системы, реализующие лучшие практики мира UNIX, но в тоже время дружелюбные к пользователю и предоставляющие доступ ко всему объему свободного ПО не требуя за это платы.\nА для пользователей Windows получалась достаточно дорогая альтернатива, при этом не предлагающая полноценной замены. Поэтому самым разумным действием было просто выключить это недоразумение. А что же Microsoft? Ей действительно не нравилось название ОС, похожее на собственное до степени смешения, однако суд справедливо указал, что слово windows (окна) является общеупотребительным и возникло задолго до появления ОС от MS, после чего Microsoft просто купила торговую марку Lindows за 20 млн. $, сам проект остался и взял себе новое имя Linspire, просуществовав до 2008 года, когда был куплен компанией Xandros.\nВыводы Если смотреть на вещи трезво, то LindowsOS - это даже не про Linux, как таковой, а про попытку коммерческой компании пересадить часть пользователей с одной коммерческой системы на другую. Что было действительно передовым - так это модель подписки, в те времена все еще достаточно редкая. В остальном было плохо если не все, то почти все. Старательно делая Linux без Linux, разработчики пришли к тому, что любой, кто более-менее разбирался в Linux от их творчества приходил в ужас, включая множественные нарушения свободных лицензий и попытки выдать открытое ПО за коммерческое. А для обычных Windows пользователей выходило как-то и не очень дешево.\nВся дальнейшая история дистрибутива это показывает, что никакой особой ценности он не имел и популярностью не пользовался. Основную рекламу ему, как ни странно. сделал Microsoft, возможно на это и был расчет при выборе явно провокационного названия. А дальше грамотно развить пиар-кампанию и вот уже злобные проприетарщики уничтожают опасного конкурента. Хотя, как мы увидели, реальной конкуренции LindowsOS не мог составить никому: ни Linux, ни Windows.\nКак мы говорили в начале статьи, правда оказалась весьма скучной, ведь гораздо интереснее верить мифам, где LindowsOS предстает в качестве дерзкого бунтаря, бросившего вызов большому корпоративному монстру. Хотя по факту это лишенная всякого героизма и романтики история об ушлых и не совсем чистых на руку дельцах.\n","id":"7bb69f3eb5810e562f069cdf0dfbd9b2","link":"https://interface31.ru/post/lindowsos-popytka-prorubit-fortochku-v-svobodnyy-mir/","section":"post","tags":["Debian","LindowsOS","Linux","Microsoft"],"title":"LindowsOS - попытка прорубить форточку в свободный мир"},{"body":"Оперативная память сегодня недорога и доступна, но, тем не менее, продолжает оставаться достаточно дефицитным ресурсов. Это связано с несколькими факторами. Во-первых, аппетиты программного обеспечения к оперативной памяти постоянно растут, во-вторых, возможности расширения часто ограниченны аппаратными особенностями устройства. Но, если вы используете Linux, есть способ выйти за рамки этих ограничений и улучшить производительность системы при помощи zRam. Как это сделать - читайте в нашей статье.\nzRam - это модуль ядра Linux, создающий блочное устройство (RAM-диск) со сжатием на лету, которое подключается как раздел подкачки и позволяет тем самым увеличить предоставляемое системе количество памяти.\nИ вот здесь у многих читателей может возникнуть непонимание: как же так, системе и так не хватает памяти, а мы создаем в ней какие-то RAM-диски, да еще подключаем их как подкачку. С подкачкой вообще у многих начинающих Linux-пользователей взаимоотношения сложные, в то время как это один из важнейших инструментов, обеспечивающих производительную работу системы. Поэтому также рекомендуем вам ознакомиться со статьей:\nРекомендуем к прочтению Linux - начинающим. Что такое пространства подкачки и как они работают Если же говорить коротко, то современные системы оперируют понятием виртуальной памяти, которая включает в себя как физическую память, так и пространства подкачки. Каждое приложение также получает собственное виртуальное адресное пространство, которое затем отражается на физическую память. Таким образом приложению все равно где физически находятся страницы памяти, главное - что приложение получило всю запрашиваемую память и может ее использовать.\nРазница проявляется в скорости доступа. Так как скорость работы с дисками гораздо меньше скорости работы с памятью, то обращения к пространствам подкачки связано с определенным снижением производительности. Но в нашем случае мы получаем пространство подкачки в оперативной памяти и почти такое же быстрое как память.\nА теперь о том, откуда берется дополнительная память и в чем выгода от использования zRam. Официальная документация предлагает ориентироваться на коэффициент сжатия памяти от 1:2 д 1:3, хотя на практике могут быть и более высокие результаты. Давайте возьмем самый слабый сценарий 1:2 и посмотрим, что у нас получится. Допустим у системы есть 2 ГБ физической памяти, полностью созданный и заполненный zRam такого же размера займет всего 1ГБ, таким образом у системы останется 1 ГБ физической памяти и добавится 2 ГБ практически столь же быстрой подкачки. Т.е. мы как-бы расширили размер оперативной памяти до 3 ГБ, пусть и за счет некоторого снижения скорости доступа и увеличения нагрузки на процессор. Еще раз повторимся, любой процесс работает с виртуальным адресным пространством и для него нет разницы между данными в RAM и данными в подкачке, вся разница только в скорости доступа.\nДалее мы рассмотрим, как настроить виртуальный диск подкачки при помощи zRam в Debian или Ubuntu, но данная инструкция также подойдет для всех основанных на этих ОС дистрибутивах.\nПрежде всего установим пакет для работы с zRam:\n1apt install zram-tools Сразу же после установки будет создан и подключен как раздел подкачки виртуальный диск и запущена служба zramswap, но размер раздела там совсем скромный - 256 МБ, поэтому давайте настроим его под свои потребности. Для этого откроем /etc/default/zramswap и внесем в него некоторые изменения.\nПрежде всего определимся с алгоритмом сжатия. Их приоритет в разных сценариях приведен сразу здесь, в комментариях. Если мы говорим о скорости, то, в порядке убывания, следует использовать lz4 \u0026gt; zstd \u0026gt; lzo, если о степени сжатия, то zstd \u0026gt; lzo \u0026gt; lz4. На наш взгляд, золотой серединой является zstd, поэтому раскомментируем и приведем к следующему виду опцию:\n1ALGO=zstd Теперь укажем размер создаваемого раздела, безопасно будет указать размер равный объему RAM, впоследствии это можно будет легко изменить. Для этого есть два варианта, указать значение в процентах:\n1PERCENT=100 Или жестко задав размер в МБ:\n1SIZE=2048 Ниже находится еще одна опция, указывающая приоритет раздела подкачки, чем больше число, тем выше приоритет. Обычно менять его не требуется, разве только что у вас уже есть несколько пространств подкачки с разным приоритетом, в таком случае значение следует изменить, чтобы созданное при помощи zRam пространство имело наивысший приоритет. По умолчанию значение приоритета - 100.\n1PRIORITY=100 Для применения изменений достаточно перезапустить службу:\n1systemctl restart zramswap Теперь давайте посмотрим на результаты, используя каждый раз идентичную нагрузку, проще всего это сделать при помощи браузера с одним и тем же набором страниц. Было, и пусть вас не смущает высокая нагрузка CPU, это воспроизведение HD-видео в браузере: Стало: На первый взгляд разницы особо и не видно, в обоих случаях в подкачке около 500 МБ, но теперь они находятся в оперативной памяти, что положительно отзывается на реальном быстродействии системы, это заметно по отсутствию кратковременных задержек из-за обращения к страницам подкачки на дисковых устройствах.\nЧто здесь можно сделать еще? Давайте заставим систему более активно использовать подкачку. Зачем держать страницы в драгоценной памяти, когда их можно сжать и сбросить в не менее быстрый своп. Для этого откроем /etc/sysctl.conf и добавим или изменим при наличии опцию:\n1vm.swappiness=160 По умолчанию используется значение 60, максимальное - 200. Имеет смысл увеличить его до 160 - 180, наша задача - по максимуму использовать сжатую память, но не допускать выхода из zRam раздела.\nДля применения изменений выполните:\n1sysctl -p Снова создадим нагрузку и посмотрим на результат: Как видим, система стала гораздо активнее свопить, но быстродействие ее от этого не ухудшилось, даже наоборот, так как процессы, которым действительно нужна память, теперь ее практически сразу получают за счет более агрессивного использования пространства подкачки.\nА теперь самое время оценить эффективность сжатой памяти, этот и многие другие парамерты можно посмотреть командой:\n1zramctl --output-all В выводе нас интересуют столбцы DATA и MEM-USED, отдельно их можно посмотреть командой:\n1zramctl -o DATA,MEM-USED Как видим в подкачке находится 1,1 ГБ данных, которые в сжатом виде занимают всего 231 МБ памяти, т.е. фактически мы получили коэффициент сжатия 1:4,7, это хороший результат, просто отличный. Опираясь на него, мы можем увеличить раздел zRam раздела на величину, превышающую объем памяти. Но будьте аккуратны. Прежде чем вносить изменения протестируйте сжатие под разными видами нагрузки, чтобы убедиться, что коэффициент остается постоянно высоким. В противном случае в подкачке могут оказаться данные с совершенно другим коэффициентом сжатия, и физическая память очень быстро закончится.\nИ еще один вопрос, который эпизодически поднимают в сети: нужно ли при использовании zRam выключать пространства подкачки на дисках? Нет, не нужно, так как в случае того, если вам не хватит zRam раздела именно следующий уровень подкачки поможет вам, хоть и со снижением производительности. сохранить работоспособность системы.\n","id":"b87ce8a37af5341ba0ce336ff3ad7490","link":"https://interface31.ru/post/uluchshaem-proizvoditelnost-linux-pri-pomoshhi-zram/","section":"post","tags":["Debian","Linux","Ubuntu","zRam","Производительность"],"title":"Улучшаем производительность Linux при помощи zRam"},{"body":"Двойным горизонтом DNS (Split DNS, разделенный DNS) называется такая организация системы доменных имен, когда различным клиентам предоставляется различные наборы информации в зависимости от некоторых условий. Например, в зависимости от исходного адреса DNS-запроса или запрашиваемого домена. Это простой, но в тоже время удобный инструмент, позволяющий гибко управлять пространством имен с минимальной нагрузкой на оборудование. В данной статье мы рассмотрим, как настраивать двойной горизонт DNS на роутерах Mikrotik.\nВнимание! Важно! В роутерах Mikrotik DNS over HTTPS (DoH) имеет приоритет над встроенным DNS-сервером и при его включении ничего из описанного ниже работать не будет!\nИтак, двойной горизонт DNS, что это такое и для чего нужно? Давайте представим себе простую ситуацию, во внутренней сети у нас есть сервер, который одновременно доступен снаружи по публичному доменному имени. И есть мобильные клиенты, которые могут подключаться к этому серверу как снаружи, так и внутри периметра. Так как имя сервера разрешается во внешний IP-адрес, то для нормальной работы внутри периметра обычно настраивается Hairpin NAT, который позволяет обеспечить правильное прохождение пакетов от клиента к серверу вне зависимости от его расположения. Эта схема полностью рабочая, но имеет один существенный недостаток: весь трафик между клиентами и сервером, находящимися в одной локальной сети все равно проходит через роутер, создавая лишнюю нагрузку на оборудование.\nКак можно этого избежать? Очень просто, настроим на локальном DNS-сервере статическую запись, которая на запрос адреса сервера будет отдавать его внутренний адрес. Теперь, оказавшись внутри периметра локальный клиент будет общаться с сервером напрямую, минуя роутер. При этом везде за пределами локальной сети адрес сервера по-прежнему разрешается во внешний адрес. Это и есть двойной горизонт DNS. Как реализовать это в роутерах Mikrotik? Переходим в IP - DNS - Static и добавляем запись типа A в которой указываем внешнее доменное имя сервера и его внутренний адрес. Либо выполните в терминале:\n1/ip dns static 2add address=192.168.100.10 name=srv.example.com Это самый простой вариант системы с двойным горизонтом, но Mikrotik позволяет реализовывать и более сложные схемы, связанные с пересылкой запросов к разным доменам на разные DNS-сервера.\nДопустим у нас есть локальный домен interface31.lab, который обслуживает DNS-сервер 192.168.72.8, и мы хотим все запросы к адресам локального домена направлять ему, а остальное - вышестоящим DNS-серверам (публичным или провайдерским).\nСнова переходим в IP - DNS - Static и добавляем запись типа FWD со следующим содержимым:\nRegexp - .*\\.interface31\\.lab$ Type - FWD Forward To - 192.168.72.8 1/ip dns static 2add forward-to=192.168.72.8 regexp=\u0026#34;.*\\\\.interface31\\\\.lab\\$\u0026#34; type=FWD Важно! При работе с регулярными выражениями в Mikrotik следует помнить, что они регистрозависимые, в то время как DNS-запросы не чувствительны к регистру, поэтому Mikrotik автоматически переводит все DNS-запросы в нижний регистр и все регулярные выражения нужно составлять именно в нем.\nА как быть, если нам нужно перенаправить запрос только к единственному доменному имени? Просто впишите его в поле Name: Команда для терминала:\n1/ip dns static 2add forward-to=192.168.72.8 name=srv.example.com type=FWD Стоп, скажет внимательный читатель, а чем это отличается от A-записи, которую мы добавляли в начале статьи? По сути ничем, но позволяет реализовать централизованный подход к управлению пространством имен. Если вы решили изменить внутренний IP-адрес для узла srv.example.com, то это нужно будет сделать на единственном вышестоящем сервере. В противном случае вам придется изменять настройки на каждом из роутеров.\nТеперь о приоритетах. Любая A-запись имеет больший приоритет, чем FWD. Любая запись с использованием регулярных выражений имеет приоритет над записью с простым указанием имени. Т.е. сначала обрабатываются A-записи с Regexp, потом A c Name, потом FWD с Regexp и уже после них FWD с Name. Учитывайте это при создании записей.\nЭто же позволяет исключить отдельные имена из перенаправления по регулярному выражению - просто создайте для них A-записи.\nНадеемся это материал окажется вам полезен и позволит в полной мере раскрыть все возможности вашего роутера Mikrotik.\n","id":"544bc9911feb44718187dd34b99fdf02","link":"https://interface31.ru/post/nastraivaem-split-dns-na-routerah-mikrotik/","section":"post","tags":["DNS","MikroTik","Сетевые технологии"],"title":"Настраиваем двойной горизонт DNS (Split DNS) на роутерах Mikrotik"},{"body":"Сегодня у нас будет довольно необычный обзор - на любительскую сборку Windows 11 под названием Tiny 11. Чем же примечательна данная сборка? Да в принципе - ничем, кроме того, что о ней последнее время не пишет только ленивый и она уже успела попасть в ленты новостей и заголовки крупных сетевых изданий. Нам обещают \u0026quot;облегченную\u0026quot; сборку Windows 11, которая будет способна работать даже на слабых ПК и местами уже слагают оды и поют дифирамбы. А как обстоит ситуация на самом деле? Давайте разбираться.\nНачнем с того, что наше личное отношение к сборкам довольно негативное, особенно к сборкам с частично вырезанным функционалом и сделанными непонятно кем. В этом плане Tiny 11 ничем не отличается от ZverCD и его многочисленных \u0026quot;родственников\u0026quot;, которых в изобилии на любом торрент-трекере, но, когда нас несколько раз спросили коллеги от том, что мы думаем про Tiny 11 - стало ясно, надо писать обзор.\nКак следует из описания создателей сборки, Tiny 11 создана на базе Windows 11 22H2 и из нее вырезаны некоторые компоненты, которые не сильно нужны для работы, благодаря чему и были достигнуты все заявленные особенности. Мы не будем подробно останавливаться на технических моментах сборки, почему - будет ясно после прочтения обзора.\nА для того, чтобы выяснить все преимущества и недостатки системы, то не просто посмотрим на нее, а сравним с чистой установкой Windows 11 22H2 в тех же самых лабораторных условиях. Для сравнения мы взяли две полностью идентичные виртуальные машины с 4 ядрами CPU, 4 ГБ оперативной памяти, а виртуальные диски разместили на недорогом SSD Crucial BX500 240 ГБ. Такая конфигурация примерно соответствует ПК нижней ценовой категории, где Tiny 11 как раз должна раскрыть себя во всей красе.\nУстановка ничем не отличается от оригинальной системы, разве что перед нами англоязычный дистрибутив, ничего нового вы там не найдете, разве что убран вход в учетную запись Microsoft и сразу предлагается создать локальный аккаунт. Также удалена проверка соответствия системным требованиям и систему можно спокойно установить на ПК без TPM 2.0 После установки перед нами Windows 11 Pro 22H2, о чем говорится в сведениях о системе, сразу после запуска в системе около 130 работающих процессов. При этом занято 2 ГБ оперативной памяти и всего 9 ГБ на жестком диске. А теперь давайте посмотрим, как обстоят дела в полноценной системе, которую мы установили рядом. Здесь у нас около 150 рабочих процессов, не сказать, что сильно больше, но тем не менее. Оперативной памяти занято все те же 2 ГБ, а вот по размеру на диске полноценная Windows 11 с треском проигрывает вдвое, занимая \u0026quot;целых\u0026quot; 18 ГБ. На этом часть обзоров в сети заканчивается, а дальше начинаются песни про \u0026quot;отличный результат\u0026quot; и \u0026quot;пожалуй, лучшую сборку\u0026quot;.\nНо мы пойдем дальше и посмотрим на набор ПО по умолчанию, у Tiny 11 всего 14 элементов, которые занимают 1,25 ГБ. Как видим, список программ основательно прорежен, нет ни браузера, ни медиаплееров, что сегодня более чем странное решение. Но хорошо, что присутствует магазин, из которого можно установить все недостающее ПО.\nВ полноценной системе предустановленных приложений 40 и занимают они уже 2,5 ГБ, т.е. в два раза больше. Но, как мы уже говорили выше, решение выпилить штатные приложение более чем странное и пользы от него немного. Кроме как занимая лишние 1,2 ГБ эти приложения практически никакого влияния на систему не оказывают, что прекрасно видно по потреблению остальных ресурсов. Этот вопрос мы достаточно подробно разбирали на примере Windows 10 и подробно останавливаться на нем не будем.\nРекомендуем к прочтению Предустановленное ПО в Windows 10 - мифы и реальность С чего продолжим наше знакомство? Конечно же с обновления. Tiny 11 не является пиратской сборкой и требует активации при помощи легального ключа, поэтому никаких препятствий для использования службы Windows Update быть не должно. Параллельно мы решили обновить и полноценную систему. чтобы сравнить процесс и результат.\nА результат не порадовал, в то время как Windows 11 обновилась примерно за 20 минут и две перезагрузки, то Tiny 11 что-то делала почти целый час и так и не смогла установить некоторые обновления, включая накопительное февральское. В общем, первые проблемы уже подвезли, а мы еще даже не пробовали в ней работать. Ну кое-что все-таки обновилось, давайте еще раз перезагрузимся и посмотрим, как там у нас обстоят дела: Всего 107 процессов, 1,5 ГБ оперативной памяти и, внезапно, 18 ГБ на жестком диске. Ну потому, что чудес не бывает, особенно в Windows.\nА что у нас в полноценной Windows 11? А у нас практически полный паритет, разве что памяти на 200 МБ больше занято. Вот вам и облегченная сборка... При этом мы дали обоим системам поработать в течении 10 минут, чтобы успели запуститься все процессы с отложенным запуском.\nРодная утилита показывает нам размер системы как 15,2 ГБ: В Windows 11 это значение составляет 17,3 ГБ, ну очень сомнительная экономия, скажем честно. Ну ладно, давайте рассмотрим какой-нибудь рабочий сценарий. Установим браузер, офисный пакет, какое-нибудь прикладное ПО, например, 1С:Предприятие, откроем одни и те же сайты, послушаем, наконец, музыку... Кроме того, Tiny 11 нужно еще и русифицировать, благо это доступно и делается штатными инструментами.\nА вот с послушать музыку мы погорячились... Слушать ее, как и воспроизводить любое мультимедийное содержимое в сборке нечем. А это плохо! Почему? Да потому, что современная система должна закрывать все основные сценарии из коробки, а воспроизведение мультимедиа входит в один из них. Да, есть магазин, но учитывая определенную нелюбовь к магазинным приложениям среди достаточно большой части пользователей мы имеем вполне реальный риск установки в систему ПО из сомнительных источников с сомнительными дополнениями в нагрузку.\nВ итоге мы привели системы к максимально идентичному виду, доустановив в Tiny браузер и родной аудиоплеер и воспроизвели одинаковую нагрузку, открыв одни и те же сайты, документы, информационные базы. Казалось бы, ну теперь то увидим разницу...\nИтак! В синем углу ринга, в красных трусах Tuny 11: 142 процесса, 3,2 ГБ ОЗУ, 18,8 ГБ на диске. В красном углу ринга Windows 11: 147 процессов, 3,1 ГБ ОЗУ, 22,3 ГБ на диске. Говорить о решительной, даже сколь-нибудь уверенной победе одной из сторон не приходится и Windows 11 просто выигрывает \u0026quot;по очкам\u0026quot;.\nВыводы Tiny 11 - это самая типичная сборка Windows с необоснованно раздутым вниманием к ней. Все ее \u0026quot;преимущества\u0026quot; видны только сразу после установки, при реальной работе особой разницы с полноценной Windows 11 вы не заметите. В плюсы можно разве что записать отключенную проверку системных требований, но это без особого труда обходится и на оригинальном дистрибутиве.\nВ остальном перед нами самая обычная Windows 11 со всеми вытекающими, говорить об ее \u0026quot;оптимизации\u0026quot; для слабых ПК не имеет никакого смысла, так как вся \u0026quot;оптимизация\u0026quot; коснулась только высвобождения дискового пространства, что выглядит крайне сомнительно ввиду того, что стоимость недорогого SSD 120 ГБ примерно равна среднему чеку в гипермаркете.\nА дальше пошли сплошные недостатки. Мы буквально с первых шагов наткнулись на проблемы с обновлениями, а сколько еще открытий может всплыть в процессе эксплуатации?\nНе будем забывать, что в принципе Tiny 11 ничего не отличается от очередной сборки \u0026quot;СуперПуперЗверьСД\u0026quot;, мы точно также не знаем, что именно вырезали ее создатели, что добавили и насколько квалифицированно они это сделали.\nПоэтому выводы тут однозначные: есть желание - скачайте поиграться, к серьезному применению не рекомендуется. Ну и заодно можно посмотреть, как современные медиа делают шум из ничего, и подумать на отвлеченные темы...\n","id":"5ee3ca0bb582327eca87056123e9855e","link":"https://interface31.ru/post/tiny-11---delo-zvercd-zhivet-i-torzhestvuet/","section":"post","tags":["Microsoft","Windows","Windows 11","Производительность"],"title":"Tiny 11 - дело ZverCD живет и торжествует"},{"body":"OpenVPN, при всех ограничениях и недостатках реализации этой технологии в RouterOS пользуется высокой популярностью у владельцев роутеров Mikrotik. И хотя, на наш взгляд, это не самое оптимальное решение для данного оборудования, игнорировать его популярность мы не можем, поэтому решили рассмотреть настройку OpenVPN сервера в среде новой версии RouterOS 7, где были сделаны ряд доработок и изменений. В любом случае OpenVPN - только инструмент его выбор и применение полностью зависит от специалиста, который должен знать и понимать все сильные и слабые стороны.\nИнформация Данная статья предназначена для RouterOS 7.x, для настройки OpenVPN сервера в RouterOS 6.x перейдите к статье.\nВ RouterOS 7 был серьезно доработан OpenVPN, теперь он наконец-то поддерживает транспорт UDP, но остался ряд принципиальных ограничений:\nНет LZO сжатия Нет TLS аутентификации Нельзя передавать опции на клиент Требуется аутентификация по логину/паролю В целом, реализация OpenVPN в RouterOS остается на достаточно примитивном уровне, и мы еще раз советуем трезво взвесить все за и против перед внедрением данной технологии на базе Mikrotik.\nПодготовка роутера OpenVPN, как и любой другой продукт, использующий TLS-шифрование, чувствителен к правильному времени, поэтому сразу настроим синхронизацию часов роутера с серверами точного времени. Откроем System - NTP Client и укажем сервера для синхронизации, мы используем сервера www.ntppool.org. В терминале это же действие можно выполнить так:\n1/system ntp client 2set enabled=yes 3 4/system ntp client servers 5add address=0.ru.pool.ntp.org 6add address=1.ru.pool.ntp.org Не забудьте убедиться, что синхронизация времени прошла успешно.\nСоздание ключей и сертификатов В данном случае у нас есть два пути: создать все необходимые ключи и сертификаты в стороннем CA, либо использовать возможности RouterOS, в этом разделе мы рассмотрим последний вариант. Но учтите, что CA на RouterOS имеет свои особенности, которые мы рассмотрели в статье:\nРекомендуем к прочтению Особенности эксплуатации CA на роутерах Mikrotik: резервное копирование, экспорт и импорт сертификатов Всю дальнейшую работу будем выполнять в System - Certificate и начнем с создания собственного центра сертификации, сгенерировав корневую ключевую пару. Перейдем на закладку Key Usage и укажем crl sign и key cert. sign, остальные флаги следует снять, затем нажмем кнопку Apply, применив изменения и подпишем сертификат нажав Sign. В открывшемся окне следует указать адрес, на котором будет опубликован список отозванных сертификатов - CRL, если это будет единственный OpenVPN сервер, то можно указать 127.0.0.1, иначе лучше указать один из реальных адресов роутера, в нашем случае внутренний. После чего нажимаем Start и дожидаемся окончания процесса подписи. Эти же действия в терминале:\n1/certificate 2add name=CA country=\u0026#34;RU\u0026#34; state=\u0026#34;31\u0026#34; locality=\u0026#34;BEL\u0026#34; organization=\u0026#34;Interface LLC\u0026#34; common-name=\u0026#34;CA\u0026#34; key-size=2048 days-valid=3650 key-usage=crl-sign,key-cert-sign 3sign ca ca-crl-host=192.168.72.1 Затем выпустим ключевую пару сервера. Закладка General нового сертификата заполняется аналогично, только в полях Name и Common Name указываем ovpn-server (или любое наименование на свое усмотрение). На вкладке Key Usage указываем digital-signature, key-encipherment и tls-server. Затем подписываем сертификат, для этого в поле CA выбираем созданный ранее сертификат CA. В терминале:\n1/certificate 2add name=ovpn-server country=\u0026#34;RU\u0026#34; state=\u0026#34;31\u0026#34; locality=\u0026#34;BEL\u0026#34; organization=\u0026#34;Interface LLC\u0026#34; common-name=\u0026#34;ovpn-server\u0026#34; key-size=2048 days-valid=3650 key-usage=digital-signature,key-encipherment,tls-server 3sign ovpn-server ca=\u0026#34;CA\u0026#34; После этого нужно отдельно выпустить сертификат для каждого клиента, в полях полях Name и Common Name укажите наименование клиента, лучше выбирать осмысленные имена, чтобы было легко понять кому принадлежит данный сертификат. Также следует подумать над сроком действия сертификата, если клиентом будет роутер в удаленном офисе, то можно также выпустить сертификат на 10 лет, а вот если клиентом будет ноутбук сотрудника на испытательном сроке, то лучше выдать его на срок испытательного срока. Выпустить новый сертификат не представляет проблемы, в то время как не отозванный вовремя сертификат может привести к несанкционированному доступу и утечке данных.\nДля клиентского сертификата на закладке Key Usage выберите только tls client и точно также подпишите сертификат.\nВ терминале:\n1/certificate 2add name=mikrotik country=\u0026#34;RU\u0026#34; state=\u0026#34;31\u0026#34; locality=\u0026#34;BEL\u0026#34; organization=\u0026#34;Interface LLC\u0026#34; common-name=\u0026#34;mikrotik\u0026#34; key-size=2048 days-valid=365 key-usage=tls-client 3sign mikrotik ca=\u0026#34;СA\u0026#34; Обратите внимание, что мы выпустили сертификат на 1 год - 365 дней.\nЕсли все сделано правильно, то корневой сертификат будет иметь флаги KLAT, а остальные - KI. Для передачи клиентам мы должны экспортировать: сертификат CA, сертификат клиента, закрытый ключ клиента. Для этого лучше всего использовать формат PKCS12, позволяющий разместить все сертификаты и ключи в одном контейнере.\nЧтобы экспортировать сертификат щелкните на нем правой кнопкой мыши и выберите Export, в открывшемся окне укажите формат Type - PKCS12 и парольную фразу для экспорта (минимум 8 символов) в поле Export Passphrase. Без указания пароля закрытые ключи выгружены не будут, и вы не сможете использовать такой сертификат для клиента. В терминале экспортировать сертификат можно командой:\n1/certificate 2export-certificate ivanov type=pkcs12 export-passphrase=12345678 В данном случае мы выгрузили сертификат для клиента ivanov c паролем 12345678.\nИспользование сертификатов выданных сторонним CA Если вы не хотите использовать роутер в качестве удостоверяющего центра, то можете сгенерировать сертификаты самостоятельно, например, это можно сделать при помощи Easy-RSA на отдельной Linux-машине:\nРекомендуем к прочтению Создание ключей и сертификатов для OpenVPN при помощи Easy-RSA 3 В этом случае вам нужно будет импортировать следующие сертификаты и ключи:\nКорневой сертификат удостоверяющего центра (обычно ca.crt) Сертификат сервера Закрытый ключ сервера Сертификаты и ключи требуется предварительно загрузить в роутер в разделе Files. Затем их можно импортировать в System - Certificate кнопкой Import. Если все сделано правильно, то корневой сертификат будет иметь ключ T (LT), а сертификат сервера - KT. В консоли это можно сделать командой:\n1/certificate 2import file-name=ca.crt Где в опции file-name укажите имя импортируемого сертификата или ключа.\nНастройка OpenVPN сервера Начнем с создания пула адресов для выдачи клиентам, для этого перейдем в IP - Pool и создадим новый пул адресов ovpn-pool, в нашем случае будет использоваться диапазон 10.10.72.100 - 10.10.72.199. Эти же действия в терминале:\n1/ip pool 2add name=ovpn-pool ranges=10.10.72.100-10.10.72.199 Затем перейдем в PPP - Profiles и создадим новый профиль. Укажем его имя Name - ovpn, локальный и удаленный адреса: Local Address - 10.10.72.1, Remote Address - ovpn_pool. На всякий случай напомним, что локальный адрес должен принадлежать той-же /24 сети, что и диапазон пула адресов. В терминале:\n1/ppp profile 2add local-address=10.10.72.1 name=ovpn remote-address=ovpn-pool Теперь в PPP - Secrets создадим учетные записи пользователей, это одна из особенностей реализации OpenVPN в RouterOS - обязательная аутентификация по логину-паролю. Мы советуем давать учетной записи такое же самое имя, как и сертификату, что позволит избежать путаницы. К паролю особых требований нет, все равно основная аутентификация производится по сертификатам. Ниже в поле Service указываем ovpn, что ограничит ее работу только с OpenVPN-сервером и в поле Profile выбираем созданный на предыдущем шаге профиль, в нашем случае тоже ovpn. Если вы предпочитаете терминал:\n1/ppp secret 2add name=ivanov password=123 profile=ovpn service=ovpn Аналогичным способом создаем учетные записи для остальных пользователей.\nПосле чего настроим сам OpenVPN сервер, для этого перейдем в PPP - Interface и нажмем на кнопку OVPN Server, в открывшемся окне включим службу установив флаг Enabled, Protocol - udp, Default Profile - ovpn, в поле Certificate укажем созданный нами сертификат сервера. Для дополнительной безопасности включим Require Client Certificate, в этом случае сервер будет проверять сертификат клиента на принадлежность к цепочке сертификатов CA.,\nНиже расположены настройки шифрования. Первым делом отключим устаревшие и небезопасные версии протокола TLS выбрав TLS Version - only v1.2, а вот в выборе шифров однозначных рекомендаций дать нельзя, опирайтесь на собственные предпочтения с оглядкой на мощность используемого устройства. Варианты null и md5 использовать по соображениям безопасности не следует. И помните, чем сильнее шифр, тем выше нагрузка на процессор устройства.\nПараметры, показанные на рисунке ниже выбраны нами сугубо в ознакомительных целях. Все вышеописанные действия в терминале:\n1/interface ovpn-server server 2set auth=sha256 certificate=ovpn-server cipher=aes256 \\ 3 default-profile=ovpn enabled=yes protocol=udp require-client-certificate=yes \\ 4 tls-version=only-1.2 На этом настройка OpenVPN сервера закончена, осталось разрешить входящие подключения к нему. Откроем IP - Firewall и добавим правило: Chain - input, Protocol - udp, Dst. Port - 1194. Действие можно не указывать, так как по умолчанию применяется accept. Чтобы создать правило в терминале - выполните команду:\n1/ip firewall filter 2add action=accept chain=input dst-port=1194 protocol=udp Данное правило должно располагаться выше запрещающего в цепочке INPUT.\nНастройка OpenVPN клиента на роутере Mikrotik Прежде всего разместим на устройстве файл(ы) с сертификатами. Если у вас сертификат PKCS12, то достаточно просто импортировать его в System - Certificate, в поле Name желательно указать понятное имя, чтобы впоследствии было меньше путаницы: В терминале:\n1/certificate 2import file-name=cert_export_mikrotik.p12 passphrase=12345678 name=\u0026#34;mikrotik_ovpn_client\u0026#34; Если у вас сертификаты от стороннего CA, то последовательно импортируйте:\nКорневой сертификат удостоверяющего центра (обычно ca.crt) Сертификат клиента Закрытый ключ клиента В результате у вас должно появиться два сертификата: сертификат CA с флагами LT или T и сертификат клиента с флагами KT. Затем перейдем в PPP - Interface и создадим новый интерфейс типа OVPN Сlient. В поле Connect To указываем адрес OpenVPN сервера, Port - 1194, Mode - ip, Protocol - udp. Ниже указываем учетные данные, созданные для этого пользователя на сервере. Параметры шифрования указываем аналогично тому, что вы выбрали на сервере. В поле Certificate выберите сертификат клиента, также можно установить флаг Verify Server Certificate для большей безопасности. Эти же действия в терминале:\n1/interface ovpn-client 2 add auth=sha256 certificate=mikrotik_ovpn_client cipher=aes256-cbc \\ 3 connect-to=192.168.233.145 name=ovpn-out1 protocol=udp tls-version=\\ 4 only-1.2 user=mikrotik verify-server-certificate=yes Если все сделано правильно, то соединение будет установлено сразу после его создания.\nДля того, чтобы клиенты этой сети имели доступ в сеть за сервером, нужно настроить маршрутизацию. Для этого переходим в IP - Routes и добавляем новый маршрут. В поле Dst. Address указываем сеть за сервером, в нашем случае это 192.168.72.0/24, в поле Gateway укажем внутренний адрес OpenVPN сервера - 10.10.72.1, интерфейс выхода будет подобран роутером автоматически. В терминале добавить маршрут можно следующим образом:\n1/ip route 2add disabled=no dst-address=192.168.72.0/24 gateway=10.10.72.1 routing-table=main suppress-hw-offload=no Если задачи доступа в данную сеть из сети за сервером не стоит, то на этом можно закончить. Иначе возвращаемся на роутер, выполняющий роль сервера и продолжаем настройку маршрутизации там.\nПо умолчанию для подключившегося клиента создается динамический интерфейс, настроить маршрутизацию для него нельзя, поэтому создадим статический интерфейс и привяжем к нему подключения от данного клиента. Перейдем в Interfaces и создадим новый интерфейс типа OVPN Server Binding. В настройках укажем желаемое имя, Name - mikrotik-f2, в поле User - укажем пользователя, подключение которого будет привязано к этому интерфейсу - mikrotik. В терминале используйте:\n1/interface ovpn-server 2add name=mikrotik-f2 user=mikrotik Теперь можно добавить маршрут к сети за клиентом, в качестве шлюза укажите присвоенный клиенту адрес. В терминале:\n1/ip route 2add disabled=no dst-address=192.168.232.0/24 gateway=10.10.72.194 routing-table=main suppress-hw-offload=no Теперь можем проверить связь между сетями, если все сделано без ошибок, то сети должны видеть друг друга.\nНастройка стандартного клиента OpenVPN на ПК Рассмотрим настройки на примере клиента OpenVPN для Windows. Будем считать, что клиент установлен в C:\\OpenVPN, а для хранения ключей используется директория C:\\OpenVPN\\keys.\nПрежде всего разместим файл сертификатов в формате PKCS12 в директории для хранения ключей, а также создадим файл с учетными данными C:\\OpenVPN\\auth.cfg и разместим в нем в разных строках логин и пароль:\n1ivanov 2123 Где ivanov - имя пользователя, 123 - пароль которые мы задали для этой учетной записи на сервере.\nТеперь создадим файл C:\\OpenVPN\\keypass.cfg в котором разместим парольную фразу для сертификата:\n112345678 За основу конфигурационного файла мы примем стандартный шаблон client.ovpn, который расположен в C:\\OpenVPN\\sample-config. Его следует скопировать C:\\OpenVPN\\config, ниже будут приведены только ключевые опции, а также те, которые мы изменяем или добавляем.\nУкажем режим работы - клиент, тип туннеля и протокол:\n1client 2dev tun 3proto udp Адрес и порт сервера:\n1remote 192.168.233.145 1194 Убеждаемся в наличии опций:\n1persist-key 2persist-tun Затем заменяем весь блок с ключами и сертификатами:\n1ca ca.crt 2cert client.crt 3key client.key Строками:\n1pkcs12 C:\\\\OpenVPN\\\\keys\\\\cert_export_ivanov.p12 2auth-user-pass C:\\\\OpenVPN\\\\auth.cfg 3askpass C:\\\\OpenVPN\\\\keypass.cfg Проверяем опцию:\n1remote-cert-tls server И добавляем маршрут в сеть за сервером:\n1route 192.168.72.0 255.255.255.0 10.10.72.1 Затем закомментируем:\n1#tls-auth ta.key 1 Укажем используемые шифры:\n1auth SHA256 2cipher AES-256-CBC Отключаем шифрование:\n1#comp-lzo Данный конфигурационный файл можно использовать и в Linux системах, для этого нужно раскомментировать следующие опции:\n1user nobody 2group nogroup Проверяем подключение, если все сделано правильно - оно будет успешным. Как видим, настроить OpenVPN сервер на Mikrotik под управлением RouterOS 7 достаточно несложно, но при этом надо учитывать все плюсы и минусы данной реализации и трезво подходить к выбору.\n","id":"5d891a3f32a9bb9ee0cee3d64cd3aa26","link":"https://interface31.ru/post/nastroyka-openvpn-servera-na-routerah-mikrotik-v-routeros-7/","section":"post","tags":["MikroTik","OpenVPN","VPN","Сетевые технологии"],"title":"Настройка OpenVPN-сервера на роутерах Mikrotik в RouterOS 7"},{"body":"Продолжая тему собственной почты, мы рассмотрим еще один почтовый сервер, точнее сборку на основе привычных Open Source программ - Modoboa. Под капотом у нее всё та же связка из Postfix и Dovecot плюс стандартный обвес из антивируса, антиспама и прочих утилит. Почему снова сборка? Потому что создание полноценного почтового сервера вручную - процесс долгий и достаточно сложный и вряд-ли начинающий администратор сможет сразу это сделать без ошибок. В то время как сборка дает гарантированно рабочий результат, а при необходимости вы всегда можете углубиться в настройки.\nДоменные имена и DNS-зона Почтовая система крайне чувствительна к правильной настройке DNS, поэтому с нее и начнем. Сделать это нужно заранее, так как изменения в DNS не распространяются мгновенно. В нашем примере будет использован реальный технический домен, который мы использовали специально для подготовки материала.\nИтак:\nit-31.ru - используемый домен mk-52 - почтовый сервер, полное доменное имя (FQDN) mk-52.it-31.ru email - псевдоним для более удобного обращения к почте, в данном случае мы выбрали email, так как mail уже используеся нами для другого сервера. 203.0.113.25 - IP-адрес почтового сервера Итак, нам потребуется следующий базовый набор записей:\n1@ IN MX 10 mk-52 2email IN CNAME mk-52 3mk-52 IN A 203.0.113.25 Обратите внимание, что в качестве MX-записи мы используем реальное имя сервера, а не IP-адрес и не запись псевдонима.\nТакже сразу добавим SPF и DMARС-записи:\n1@ IN TXT \u0026#34;v=spf1 +a +mx ~all\u0026#34; 2_dmarc TXT \u0026#34;v=DMARC1; p=none; rua=mailto:report@it-31.ru\u0026#34; SPF-запись говорит о том, что почту могут отправлять узлы указанные в A и MX-записях домена, остальным узлам, скорее всего, почту отправлять запрещено, но прямого указания блокировать таких отправителей нет. DMARC предписывает не предпринимать никаких действий и только присылать отчеты на указанный ящик. Впоследствии, отладив работу сервера, эти правила следует изменить на более строгие, подробнее об этом можно прочитать в нашей статье:\nРекомендуем к прочтению Настраиваем свой почтовый сервер. Что нужно знать. Ликбез Затем просим провайдера или хостера, предоставившего нам выделенный IP-адрес добавить в обратную зону PTR-запись:\n125.113.0.203 IN PTR mk-52.it-31.ru. Еще раз напомним, PTR-запись создается владельцем IP-адреса и содержит имя сервера фактически отправляющего почту с этого адреса.\nПеред тем, как приступать к дальнейшим настройкам следует убедиться, что работают как минимум A и MX-записи.\nПредварительная настройка сервера Так как мы работаем с системами на базе Debian, то для установки выбрали актуальный на текущий момент Debian 11, но вы можете использовать также Debian 10 или Ubuntu начиная с версии 18.04 LTS. Установку следует производить в чистую систему, поэтому следует выполнить минимальную установку Debian или заказать сервер в минимальной конфигурации. Для этого можете воспользоваться нашими руководствами:\nРекомендуем к прочтению Linux - начинающим. Установка и первоначальная настройка Debian 11 для сервера Linux - начинающим. Установка и первоначальная настройка Ubuntu 22.04 LTS для сервера Для начала правильно установим часовой пояс:\n1timedatectl set-timezone Europe/Moscow Получить список зон можно командой:\n1timedatectl list-timezones Теперь установим имя хоста:\n1hostnamectl set-hostname mk-52.it-31.ru Важно - в данной команде следует указать полное имя сервера - FQDN.\nЗатем установим СУБД и необходимые зависимости:\n1apt install git postgresql В качестве базы данных мы будем использовать PostgreSQL, никаких настроек установленные пакеты не требуют.\nУстановка и базовая настройка Modoboa Перейдем в домашнюю директорию с клонируем git-репозиторий со скриптами установки.\n1cd ~ 2git clone https://github.com/modoboa/modoboa-installer Теперь перейдем в директорию со скриптами и создадим файл настроек для будущей установки:\n1cd modoboa-installer 2python3 ./run.py --stop-after-configfile-check it-31.ru В качестве аргумента скрипта указываем наш домен, а не имя сервера.\nТеперь откроем файл installer.cfg и отредактируем в нем некоторые секции.\nНачнем с имени сервера, по умолчанию предполагается mail, если вы планируете использовать другое имя, то измените его в следующей секции:\n1[general] 2hostname = email.%(domain)s В нашем случае имя сервера будет email.\nПо умолчанию предполагается использование самоподписанного сертификата, поэтому сразу переключаем на получение через Let's Encrypt. Для успешного выполнения данной операции у вас должна существовать A или CNAME запись для выбранного имени сервера. Крайне желательно сделать ее заранее, чтобы изменения успели распространиться по системе DNS.\n1[certificate] 2generate = true 3type = letsencrypt 4 5[letsencrypt] 6email = admin@it-31.ru В секции letsencrypt указываем существующий почтовый ящик (либо обязательно создайте его позднее), так как на него будут отправляться уведомления при возникновении проблем с сертификатом.\nТакже проверяем следующую секцию и убеждаемся, что выбрана СУБД PostgrSQL:\n1[database] 2engine = postgres 3host = 127.0.0.1 4install = true Сохраняем изменения и переходим к установке.\n1 python3 ./run.py it-31.ru Инсталлятор еще раз предупредит вас о необходимости наличия DNS-записей для выбранного имени, уведомит о наборе устанавливаемого ПО и попросит подтвердить установку. После чего, в старых добрых традициях предложит вам сходить выпить кофе, так как процесс этот небыстрый. По окончании установки скрипт укажет нам адрес административной панели и учетные данные для входа: admin:password.\nНо не будем спешить, а выполним настройку ClamAV для возможности скачивать обновления антивирусных баз, так как официальные сервера не доступны из РФ. Откройте файл /etc/clamav/freshclam.conf и закомментируйте в нем все строки начинающиеся на DatabaseMirror, а затем добавьте ниже строку:\n1DatabaseMirror https://pivotal-clamav-mirror.s3.amazonaws.com После чего следует удалить файл freshclam.dat и перезапустить службу:\n1rm -f /var/lib/clamav/freshclam.dat 2systemctl restart clamav-freshclam На этом установка и начальная настройка сервера закончена.\nНачало работы. Административная часть Откроем в браузере указанный адрес и введем учетные данные администратора. После чего мы попадаем в админку, она довольно простая и разобраться с ней не составит труда. При желании можете переключиться на новый административный интерфейс v2. Но что вам потребуется сделать первым делом - это сменить пароль администратора с password на что-либо сложное и надежное. Теперь пробежимся по настройкам сервера, для этого перейдите в раздел Modoboa, настройки собраны по группам, что делает работу с ними более удобной. Настроек достаточно много, все они кратко прокомментированы, но начать придется с изменения пароля по умолчанию, потому что он не соответствует требованиям по уровню сложности и пока вы его не измените никакие другие настройки сохранить не получится. Следующим шагом будет создание почтового домена в разделе Домены, по умолчанию домен не создается. На страничке создания домена можно сразу задать квоты и лимиты, по умолчанию они не устанавливаются. Также обязательно установите флаг Enable DKIM signing и укажите селектор и длину ключа. Если это единственный сервер, то селектор можно оставить по умолчанию, если же серверов в домене несколько, то у каждого должен быть свой уникальный селектор ключа. Следующим шагом вам будет предложено создать администратора домена, который будет иметь возможность создавать почтовые ящики и алиасы в своем домене, но не будет иметь доступа к настройкам сервера. Сразу же после этого перейдите в раздел Пользователи, откройте настройки созданного администратора и на вкладке Ресурсы укажите количество доступных ему для создания ящиков и алиасов, для отключения лимитов установите значение как -1. Панель администратора домена отличается отсутствием настроек сервера и разделом домены только на чтение (виден только собственный домен), фактически все управление сводится к разделу Пользователи. Также добавились ссылки на веб-почту, календари и контакты. Создадим нового пользователя, это несложно, достаточно просто указать адрес ящика. Как видим, админка достаточно проста и удобна. Каких-либо сложностей в ее освоении возникнуть не должно.\nНастройка DKIM-записи Откройте раздел Домены и перейдите к нужному домену и в информации о нем в строке DKIM key нажмите Show key. В открывшемся окне появится собственно ключ и готовая запись для Bind. В общем случае DNS запись должна выглядеть следующим образом:\n1modoboa._domainkey TXT \u0026#34;v=DKIM1;k=rsa;p=MIIBIjANBgk...iJPQIDAQAB\u0026#34; Это позволит серверам-получателям проверить подлинность отправителя и существенно повысит вероятность успешной доставки почты адресату.\nНачало работы. Пользовательская часть Начнем с веб-интерфейса, у Modoboa он свой и на первый взгляд закрывает все основные задачи: почта, адресная книга, календарь. Но сделан он откровенно неудобно, беден функционально и работает достаточно медленно. В общем пользоваться им можно только от безысходности. Но он есть и работает, для проверки сервера сгодится, которую мы начинаем с внутренней отправки. В русскоязычном интерфейсе глаз сразу цепляется за кнопку отправки, на которой написано Послать. По сути, верно, но в русском языке данное слово имеет ряд не совсем приличных смыслов.\nЕсли между своими ящиками почта бегает, то пробуем отправить почту внешним получателям. Здесь мы столкнулись с багом веб-интерфейса - невозможно прикрепить вложение, колесико крутится вечно и ничего не происходит. Ну да невелика беда, все равно вряд ли вы будете пользоваться веб-интерфейсом. Остальные разделы также просты, даже примитивны, присутствуют только самые базовые функции. Поэтому просто проверяем отправку внешним получателям. Реальную работу с почтой лучше всего производить с помощью почтового клиента, подключение стандартное, через iMAP, однако ни календари. ни адресная книга автоматически не находятся и не подключаются. Но их можно подключить вручную, для этого идем в раздел с календарем и получаем ссылку на него. Тоже самое делаем и для адресной книги, но для нее также потребуется разрешить синхронизацию в настройках учетной записи. После чего можем полноценно работать с нашим сервером через почтовый клиент. В целом Modoboa, если не считать примитивный и практически непригодный к использованию веб-интерфейс, позволяет очень быстро и просто развернуть почтовый сервер, который уже через 10 минут будет готов к работе. Если вы предпочитаете использовать почтовые клиенты и хотите при этом иметь полноценную админку, то к нему однозначно стоит присмотреться.\n","id":"a8b1a75b93ad6b028690b4b0c7eac499","link":"https://interface31.ru/post/ustanovka-i-nastroyka-pochtovogo-servera-modoboa-v-debian-ili-ubuntu/","section":"post","tags":["Debian","Dovecot","E-mail","Postfix","PostgreSQL"],"title":"Установка и настройка почтового сервера Modoboa в Debian или Ubuntu"},{"body":"Имя компьютера, в полном соответствии с известной поговоркой, как и имя лодки способно влиять на многое, прежде всего на удобство работы и восприятия. А неудачное имя способно только запутывать и заставлять каждый раз тратить дополнительное время. При этом очень хорошо, если у вас будет принята некоторая политика присвоения имен хостам, и вы будете ее придерживаться. А сегодня мы рассмотрим способы управления именем хоста и дополнительной информацией о нем, которые нам предоставляет systemd в виде утилиты hostnamectl.\nМожно по-разному относиться к systemd, но нельзя не признать, что он дает администратору простые и удобные инструменты, которые всегда одинаково работают вне зависимости от дистрибутива. Один из них - hostnamectl, но это не просто еще одна утилита, а удобный и информативный инструмент.\nЕсли вы первый раз оказались в незнакомой системе, то просто запустите:\n1hostnamectl И вы, кроме имени узла, получите массу полезной информации: версия ОС, версия ядра, архитектура, разрядность, а для виртуальных машин их тип и систему виртуализации. В целом здесь есть ответы на все первоначальные вопросы, которые возникают в новой системе. При этом вам не нужно угадывать какая именно система перед вами и мучительно вспоминать команды, позволяющие посмотреть ее версию. В любой системе использующей systemd вывод будет выглядеть одинаковым. И только уже хотя бы поэтому о hostnamectl нужно знать.\nНо перейдем к основному назначению данной утилиты, а именно управление именем хоста. В Linux поддерживается три возможных имени узла:\nКрасивое (pretty) - это имя задается пользователем и может содержать пробелы и специальные символы, например \u0026quot;My Notebook Asus\u0026quot;. Статичное (static) - задается администратором во время установки системы, может содержать только ASCII-символы без пробелов и точек, либо несколько групп символов через точки, если имя указано в формате FQDN. Максимальная длина - 64 символа. Временное (transient) - резервный вариант, получаемый при конфигурировании сети (например, node12345678), используется только в том случае, если не указано статическое имя. У утилиты есть ряд доступных команд, чтобы ознакомиться с ними наберите:\n1hostnamectl -h В ответ на экран будет выведена короткая, но исчерпывающая справка по использованию данного инструмента. Начнем с команды status, это команда по умолчанию, если вы ничего не указали, то подразумевается, что вы хотите выполнить status, так приведенная нами в самом начале команда:\n1hostnamectl На самом деле вызывает:\n1hostnamectl status Также мы можем указать, какое именно имя нас интересует:\n1hostnamectl status --pretty Или просто:\n1hostnamectl --pretty По умолчанию в системе установлено статическое имя и аналогичное ему временное. Остальные команды позволяют получать или устанавливать определенные параметры. Если вызвать команду без указания параметра, то она покажет текущее значение, если параметр указать - то он будет установлен. Так, например, для получения имени хоста используйте:\n1hostnamectl hostname Для установки:\n1hostnamectl hostname newhostname Также допускается запись:\n1hostnamectl set-hostname newhostname Последний вариант часто используется в инструкциях и документации, так как позволяет понять суть производимых действий без дополнительных пояснений.\nПри установке имени без использования дополнительных опций будут изменены все три имени, например, мы можем использовать такой вариант:\n1hostnamectl set-hostname \u0026#34;Ubuntu Browser Test\u0026#34; В этом случае красивое имя будет установлено именно так, как мы указали, а статическое будет сформировано на его основе в наиболее близкой по содержанию форме. Как видим, с красивым именем все хорошо, только вот статическое нам категорически не нравится. Давайте исправим именно его, для этого просто укажем команде дополнительную опцию:\n1hostnamectl set-hostname ubuntu-browser-test --static А что, если мы еще захотим изменить и временное, но в этом случае система пояснит нам, что так как у нас уже задано статическое имя, то временное использоваться не будет.\nКроме имени хоста мы можем еще указать icon-name - специальное значение, согласно принятой спецификации, на основании которой многие графические утилиты будут автоматически выводить значок для системы.\nСледующая необязательная опция - chassis, позволяет указать тип шасси, что влияет на отображение узла в некоторых графических приложениях или доступные способы взаимодействия с ним, допустимы следующие параметры: desktop, laptop, convertible, server, tablet, handset, watch, embedded, плюс два дополнительных типа для виртуальных машин vm и container.\nОднако практической необходимости менять эти опции нет. Гораздо интереснее и полезнее использовать следующие две команды.\nТак команда deployment позволяет указать среду развертывания данного узла, рекомендуемые значения: development, integration, staging, production, но вы можете указать и свое значение, обязательное условие - это должно быть одно слово, не содержащее недопустимых символов.\nНапример, мы указали:\n1hostnamectl deployment testing Следующая команда - location - позволяет задать размещение узла в любой произвольной форме, можете написать туда все, что хотите, включая адрес, место размещения в стойке и т.д. и т.п.\n1hostnamectl location \u0026#34;Lan Lab IT31\u0026#34; Вся указанная информация будет доступна при выполнении команды status. Это удобно, так как позволяет быстро понять в каком контуре развернута данная машина и где именно она расположена. Мы рекомендуем использовать данные опции, так как это позволяет быстро получить дополнительную информацию и избежать дополнительных вопросов или досадных ошибок, например, перепутав тестовый сервер с рабочим.\nИ, наконец, еще одна интересная опция --json, которая позволяет вывести результат в формате JSON, что удобно для последующей машинной обработки. У опции есть два параметра pretty и short, в первом случае выводится человекочитаемый формат, во втором - короткий. На этом наша статья подходит к концу, как видим, hostnamectl - это мощный и удобный инструмент, возможности которого не сводятся только к изменению имени хоста и каждый системный администратор, работающий с современным Linux должен знать и уметь пользоваться этим инструментом.\n","id":"b04b40596af433c2b9e6f1c994548f7c","link":"https://interface31.ru/post/linux-nachinayushhim-nastraivaem-imya-hosta-pri-pomoshhi-hostnamectl/","section":"post","tags":["Debian","Linux","systemd","Ubuntu","Ubuntu Server"],"title":"Linux - начинающим. Настраиваем имя хоста при помощи hostnamectl"},{"body":"Любой администратор рано или поздно приходит к необходимости мониторить основные показатели используемых серверов и своевременно получать предупреждения, если контролируемые показатели выходят за указанные рамки. Существует много решений для мониторинга, от простых, до сложных и сегодня мы рассмотрим одно из них - Munin. Это очень простой в использовании и нетребовательный мониторинг, который позволяет достаточно эффективно контролировать узлы под управлением Linux и неплохо подходит для небольших и средних сетей.\nНазвание и логотип проекта отсылают нас к скандинавской мифологии: ворон Мунин один из спутников бога Одина, он летал по всему миру, запоминал увиденное и потом рассказывал ему обо всем. Его имя с древнеисландского проводится как \u0026quot;помнящий\u0026quot;. Так и одноименная система мониторинга, тоже исследует все ваши узлы, запоминает увиденное и потом рассказывает вам обо всем, используя графики.\nРазработка Munin началась в 2003 году и, хотя сейчас ее темпы замедлились, продукт является стабильным, развивается и поддерживается. Основным достоинством данной системы мониторинга является продуманная модульная архитектура и простота использования, буквально на уровне \u0026quot;Plug and Play\u0026quot; - включил и работай. И это не пустые слова, ниже мы убедимся, что дело обстоит именно так.\nА пока рассмотрим структурную схему системы: Мониторинг состоит из двух частей и построен по клиент-серверному принципу (master - nodes). Клиентская часть называется Munin node и ставится на те узлы, которые мы хотим контролировать. Это сетевая служба, которая после запуска начинает слушать порт TCP 4949, для получения данных о системе она использует плагины. Каждый плагин поставляет определенный набор метрик и благодаря такой модульной структуре мы можем легко изменять и наращивать набор передаваемых данных, лишь бы был подходящий плагин.\nСерверная часть называется Munin master и с определенной периодичностью опрашивает подключенные к ней ноды, которые передают данные с используемых плагинов. Эти данные для каждого узла помещаются в свою RRD базу данных и на их основе формируются графики в виде png-изображений и html-страницы для доступа к ним.\nЧтобы увидеть сформированную информацию нам еще потребуется веб-сервер, особых требований к нему нет, он должен уметь работать со статическим содержимым и поддерживать FastCGI.\nУстановка и настройка Munin node Установка производится в одну команду:\n1apt install munin-node После установки открываем конфигурационный файл /etc/munin/munin-node.conf и находим в нем следующий параметр, в котором следует указать желаемое имя хоста, которое вы хотите видеть в мониторинге:\n1host_name my_server.example.com Если не использовать данную опцию, то вместо ее будет использовать имя хоста, которое можно узнать командой:\n1hostname -f Для чего это нужно? Допустим вы используете для сервера с именем srv-mx-01 красивый псевдоним (CNAME) mail.example.com и хотите видеть в системе мониторинга именно его.\nТеперь разрешим нашему master подключаться к данной ноде, это можно сделать двумя разными способами, через директиву allow, которая предполагает regex-формат записи:\n1allow ^192\\.168\\.233\\.80$ В данном случае мы разрешаем принимать соединения от узла 192.168.233.80. Либо использовать более новую директиву:\n1cidr_allow 192.168.233.80/32 С ее помощью можно разрешать доступ не только отдельному узлу, но и целым подсетям, используя более широкую маску. И, обратите внимание, указание маски /32 для одиночного узла обязательно.\nНа этом настройки ноды закончены, сохраняем конфигурационный файл и перезапускаем службу.\n1systemctl restart munin-node Как видим, все очень просто. Конечно, там есть что тонко настроить под свои нужды, но для простого запуска мониторинга достаточно указать только эти две опции, или даже одну.\nУстановка и настройка Munin master Здесь тоже достаточно одной команды:\n1apt install munin Затем откроем файл конфигурации /etc/munin/munin.conf и добавим туда секцию с описанием ноды:\n1[my_server.example.com] 2 address 192.168.233.191 3 use_node_name yes В квадратных скобках указываем именно то имя, которое содержится в опции host_name ноды, если вы не использовали эту опцию, то укажите реальное hostname узла, в противном случае мастер не будет принимать данные от этой ноды. Ниже указываем адрес узла, опция use_node_name yes предписывает на графиках использовать имя узла, а не его адрес.\nАналогичные настройки выполняем для каждой ноды. Сохраняем файл, перезапускать никакие службы не нужно, изменения автоматически будут прочитаны при очередном опросе.\nФактически мы только что запустили систему мониторинга, данные уже собираются и накапливаются. Осталось только организовать к ним доступ.\nНастройка веб-сервера Nginx Для доступа к сформированным Munin данным подходит любой веб-сервер, мы будем использовать Nginx. Установим его и необходимые для работы компоненты, и утилиты:\n1apt install nginx spawn-fcgi apache2-utils Теперь создадим сокет для FastCGI приложения munin, которое понадобится нам чтобы масштабировать изображения:\n1spawn-fcgi -s /var/run/munin/fcgi-graph.sock -U www-data -u www-data -g www-data /usr/lib/munin/cgi/munin-cgi-graph Теперь создадим файл виртуального хоста для Munin и перейдем к его редактированию:\n1nano /etc/nginx/sites-available/munin.conf Внесем в него следующий текст:\n1server { 2 listen 80; 3 4 index index.html; 5 6 access_log /var/log/nginx/munin_access.log; 7 error_log /var/log/nginx/munin_error.log; Если это единственный виртуальный хост на веб-сервере, то можно сделать так, чтобы, набрав адрес сервера мы сразу попадали в панель Munin, для этого добавьте секцию:\n1location = / { 2 rewrite ^/$ munin/ redirect; break; 3} Теперь укажем путь к самим данным Munin и включим Basic-аутентификацию для панели мониторинга:\n1location /munin/static/ { 2 alias /etc/munin/static/; 3 expires modified +1w; 4} 5 6location /munin/ { 7 auth_basic \u0026#34;Restricted\u0026#34;; 8 auth_basic_user_file /etc/nginx/htpasswd; 9 alias /var/cache/munin/www/; 10 expires modified +310s; 11} И наконец блок для работы масштабирования изображений:\n1location ^~ /munin-cgi/munin-cgi-graph/ { 2 access_log off; 3 fastcgi_split_path_info ^(/munin-cgi/munin-cgi-graph)(.*); 4 fastcgi_param PATH_INFO $fastcgi_path_info; 5 fastcgi_pass unix:/var/run/munin/fcgi-graph.sock; 6 include fastcgi_params; 7} 8} Обратите внимание на две фигурные скобки в конце, последняя закрывает открытую нами в самом начале секцию server, в которую вложены секции location.\nТеперь создадим пароль, для этого используйте команду:\n1htpasswd -c /etc/nginx/htpasswd andrey Ключ -с предписывает создать новый файл, аndrey - имя желаемого пользователя, для всех следующих пользователей команду следует запускать без ключа:\n1htpasswd /etc/nginx/htpasswd boss Включим наш виртуальный хост:\n1ln -s /etc/nginx/sites-available/munin.conf /etc/nginx/sites-enabled/ Если Munin является единственным виртуальным хостом, то отключим виртуальный хост по умолчанию:\n1rm /etc/nginx/sites-enabled/default Проверим конфигурацию на ошибки и перезапустим веб-сервер:\n1nginx -t 2nginx -s reload Теперь наберем в браузере адрес мастера и после аутентификации попадем в панель мониторинга. Если кроме Munin у вас присутствуют другие виртуальные хосты, то следует набрать http://адрес_мастера/munin. Затем выбираем интересующий нас узел и просматриваем графики, все устроено просто, логично, разобраться не составит никакого труда. Управление плагинами Если мы хотим изменить или расширить набор собираемых данных, то нам понадобятся плагины. При установке активируются только самые общие плагины, гораздо больше входит в поставку. Найти их можно в директории /usr/share/munin/plugins. Для их использования потребуется всего-лишь создать символическую ссылку. Плагины делятся на простые и использующие подстановку, последние отличаются наличием нижнего подчеркивания в конце имени.\nАктивировать простой плагин очень просто:\n1ln -s /usr/share/munin/plugins/cpuspeed /etc/munin/plugins/ Для плагинов, использующих подстановку, потребуется заглянуть в документацию, чтобы уточнить какой параметр нужно подставлять. Обычно она находится внутри плагина, просто откройте его и прочтите комментарии. Например, для плагина if_ требуется указать имя интерфейса, если интерфейсов несколько - делаем несколько символических ссылок:\n1ln -s /usr/share/munin/plugins/if_ /etc/munin/plugins/if_ens33 2ln -s /usr/share/munin/plugins/if_ /etc/munin/plugins/if_wg0 Чтобы отключить плагин, просто удалите символическую ссылку из директории /etc/munin/plugins.\nПосле чего перезапустите службу:\n1systemctl restart munin-node Обычно плагины нормально работают с настройками по умолчанию, но для некоторых может потребоваться указать отдельные параметры, либо мы можете захотеть переопределить некоторые настройки, это можно сделать при помощи конфигурационных файлов в директории /etc/munin/plugin-conf.d, создайте в нем файл(ы) в которые поместите запись формата:\n1[\u0026lt;plugin-name\u0026gt;] 2 3\u0026lt;option\u0026gt; \u0026lt;values\u0026gt; Доступные параметры можно узнать в документации плагина.\nОбратите внимание, что все файлы их этой директории читаются последовательно и применяется самая последняя настройка. Поэтому мы советуем для настройки каждого плагина использовать отдельный файл с его именем.\nКак быть, если штатных плагинов недостаточно? Вы можете скачать подходящий с официального сайта или найти в интернете, затем просто поместите его в любое удобное расположение, сделайте исполняемым:\n1chmod +x имя_файла_плагина И точно также сделайте символическую ссылку. Размещать собственные плагины в /usr/share/munin/plugins не рекомендуются, так как они могут быть удалены или перезаписаны при обновлении пакета.\nНастройка почтового клиента для отсылки уведомлений Ну какой современный мониторинг без уведомлений? Правильно - никакой. Поэтому подготовим наш сервер к тому, чтобы он мог отсылать нам сообщения на электронную почту. Данная настройка выполняется на мастере, вместо того чтобы поднимать здесь почтовый сервер, мы установим почтовый клиент, который прозрачно заменит sendmail и позволит работать с внешней почтовой службой, публичной или собственной.\n1apt install ssmtp mailutils Затем откроем /etc/ssmtp/ssmtp.conf и добавим учетную запись почты:\n1mailhub=mail.it-31.ru:587 2 3 AuthUser=munin@it-31.ru 4 AuthPass=Pa$$word_1 5 UseTLS=YES 6 UseSTARTTLS=YES 7 TLS_CA_File=/etc/pki/tls/certs/ca-bundle.crt Каждая учетная запись начинается с опции mailhub, где указывается почтовый сервер и порт подключения клиента. Ниже указываем учетные данные и параметры шифрования, а также путь к собственному сертификату.\nНиже находим и приводим к следующему виду опцию:\n1FromLineOverride=YES Сохраняем файл и открываем следующий /etc/ssmtp/revaliases, в него добавляем строку:\n1munin:munin@it-31.ru:mail.it-31.ru:587 Которая обозначает, что пользователь munin должен использовать учетную запись munin@it-31.ru на сервере mail.it-31.ru:587.\nПроверяем отправку почты:\n1echo \u0026#34;Test\u0026#34; | su - munin --shell=/bin/bash -c \u0026#34;mail -s \u0026#34;Test\u0026#34; andrey@it-31.ru\u0026#34; В данном случае мы отправляем письмо с темой Test и сообщением Тest на ящик andrey@it-31.ru.\nЕсли письмо доставлено нормально, то все хорошо, иначе выполняем отладку командой:\n1echo \u0026#34;Test\u0026#34; | su - munin --shell=/bin/bash -c \u0026#34;ssmtp -v -s \u0026#34;Test\u0026#34; andrey@it-31.ru\u0026#34; В этом случае на экран будет выведен лог почтовой сессии, что в большинстве случаев достаточно для выявления и устранения проблемы.\nНастройка уведомлений на электронную почту Как мы уже видели, Munin прост, поэтому настроить уведомления в нем также просто. Прежде всего создадим список контактов, для этого внесем в /etc/munin/munin.conf следующую строку:\n1contact.andrey.command mail -s \u0026#34;Munin ${var:worst}: ${var:group}::${var:host}::${var:plugin}\u0026#34; andrey@it-31.ru Где мы задали для контакта с именем andrey команду для отправки почты по некоторому шаблону, кстати, аналогичным образом можно не только отправлять на почту, но и выполнять любое действие.\nТеперь опустимся ниже и в описании ноды укажем, о каких событиях мы хотим получать оповещения. В Munin есть два типа событий warning и critical, по умолчанию о наступлении любого из них уведомляются все созданные контакты. Для примера мы хотим отслеживать нагрузку на процессор со стороны пользовательских процессов.\nДля установки правильных значений всегда следует обратиться к документации на плагин, так, например, для нагрузки CPU значение 100 соответствует загрузке одного ядра, для 4-ядерного процессора полная загрузка будет 400.\nВ тестовых целях мы указали следующие данные (приводим блок целиком):\n1[u1804-1c.it-31.lab] 2 address 192.168.233.191 3 use_node_name yes 4 cpu.user.warning 75 5 cpu.user.critical 95 Это сразу отразилось в графическом интерфейсе: на графиках появилась линия с пороговым значением, а ниже табличка. Давайте теперь нагрузим этот узел и подождем следующего опроса. Если вы не допустили ошибок, то как только Munin узнает о превышении пороговых значений - он вышлет вам уведомление. После того, как показатели придут в норму вы получите еще одно уведомление.\nВсе это хорошо, но можно как-то более гибко организовать рассылку? Можно. Допустим, мы хотим, чтобы уведомления получал еще один пользователь, но только critical.\nХорошо, добавляем в файл конфигурации следующие строки:\n1contact.boss.command mail -s \u0026#34;Munin ${var:worst}: ${var:group}::${var:host}::${var:plugin}\u0026#34; boss@it-31.ru 2contact.boss.always_send critical Они создают еще один контакт boss с отправкой сообщения на почту, но ограничивают отправку только событиями со статусом critical.\nТакже можно явно указать каким контактам рассылать сообщения в настройках ноды, это может быть удобно, когда за разные узлы отвечают разные сотрудники:\n1[u1804-1c.it-31.lab] 2 address 192.168.233.191 3 use_node_name yes 4 cpu.user.warning 75 5 cpu.user.critical 95 6 contacts andrey boss При явном указании опции contacts все рассылки для этой ноды будут производиться только для указанных контактов.\nМониторинг Windows На официальном сайте клиента для Windows у Munin нет, но его можно найти в репозиториях на GitHub, нельзя сказать, что проект активно развивается, скорее наоборот, но он есть и работает. После установки вам потребуется перейти в директорию с установленной нодой и выполнить с правами администратора пакетный файл Install-Service.bat, никакой настройки не требуется, служба начинает работать сразу. Дополнительную информацию можно найти в файле README.txt.\nНа этом наша статья подошла к концу, как видим на базе Munin вы можете очень быстро и просто поднять достаточно функциональную систему мониторинга с хорошими возможностями ее расширения за счет плагинов и тонких настроек, которые выходят за пределы нашего материала.\n","id":"52498e5d93e9f4c547771c26c6874127","link":"https://interface31.ru/post/ustanavlivaem-i-nastraivaem-sistemu-monitoringa-munin/","section":"post","tags":["Debian","Munin","Nginx","Ubuntu","Мониторинг"],"title":"Устанавливаем и настраиваем систему мониторинга Munin"},{"body":"Если попросить назвать основные Linux-дистрибутивы, от которых пошло развитие всей современной экосистемы, то многие назовут Debian и Red Hat, кто-то еще вспомнит про SuSe. Это неудивительно, так как именно эти системы и их потомки занимают сейчас ведущее место на рынке. Но есть еще один, один из самых старых дистрибутивов, который благополучно дожил до наших дней, хотя и не пользуется популярностью - Slackware. Как и полагается столь почтенному дистрибутиву, у него есть ответвления, в том числе и для повседневного использования на рабочем столе, самый известный из них - Zenwalk, последнюю версию которого мы сегодня рассмотрим.\nОдной из отличительных черт Slackware является то, что он старается следовать философии Unix и ее чистоте дизайна. Поэтому данную систему не зря называют самым Unix-подобным Linux. В самой философии Unix нет ничего плохого и многие ее принципы до сих пор используются в современном программном обеспечении, но формировалась она в 70 - 80-х годах прошлого века и учитывала, прежде всего, особенности компьютеров тех лет.\nК моменту появления Linux Unix был уже известной и широко используемой системой, поэтому не удивительно, что Linux стал эдаким младшим братом, стремясь перенять лучшие практики и подходы более старшего \u0026quot;родственника\u0026quot;. По мере того, как Linux становился на ноги, он стал отходить от слепого следования Unix и пошел своим путем, со своими ошибками и удачами. В результате современный Linux - это полностью самодостаточная система, которая имеет с Unix ряд общих черт, поэтому сегодня если и говорят о родстве этих двух систем, то используют термин Unix-подобная.\nТем не менее, Linux такая система, где каждый может идти своим путем и Патрик Фолькердинг (Patrick J. Volkerding) решил следовать именно философии Unix в своем дистрибутиве Slackware. Zenwalk - это дистрибутив на базе Slackware, также разрабатываемый добровольцем Жаном-Филиппом Гийменом (Jean-Philippe Guillemin) и предназначенный в первую очередь для домашнего использования, т.е. наиболее близкий к простому пользователю.\nКак говорит сам разработчик:\nВ 2021 году: Zenwalk - это 64-разрядная \u0026quot;чистая\u0026quot; система Slackware с дополнительной конфигурацией после установки, оптимизациями и настройками \u0026quot;из коробки\u0026quot;, с готовой к использованию отполированной средой рабочего стола, с добавленными графическими системными инструментами, офисными и мультимедийными приложениями, а также продолжением следования принципу \u0026quot;одно приложение на задачу\u0026quot;!\nВсе платежи и финансовые взносы принадлежат Патрику Фолькердингу! Я просто увлеченный гик: ОН человек, который сделал это возможным. ОН вдохновил большую часть того, что мы сегодня называем Linux. Пожалуйста, отправляйте пожертвования в Slackware.\nПоэтому знакомство с миром Slackware вполне можно и даже нужно начать с Zenwalk, который, по идее, должен быть чем-то вроде Ubuntu в мире Debian - максимально дружелюбной к простому пользователю системой.\nНо лучше один раз увидеть, чем сто раз услышать, поэтому довольно теории, приступим к установке.\nИ уже сразу становится видно, что перед нами совсем не привычный Linux, инсталлятор ждет от нас указания параметров загрузки, либо можно нажать Enter и загрузиться с параметрами по умолчанию. А дальше нам предлагают остановиться и внимательно почитать. Slackware, да и Unix вообще - это такое место, где сначала надо читать, а только потом делать, предварительно несколько раз подумав. Если коротко, то нам поясняют, что прежде, чем начать установку необходимо самостоятельно разметить диск. Рекомендуется, как минимум, создать один раздел для системы и swap-раздел. Для этого можно использовать утилиты fdisk/cfdisk для MBR дисков и gdisk/cgdisk для GPT. А пока нам нужно войти в систему под пользователем root.\nУх, как будто перенеслись лет на 20-25 в прошлое. Кстати, Windows 9x тоже не умела размечать диск при установке и требовалось предварительно разметить его, загрузившись с дискеты. Записываем изменения и снова оказываемся в консоли. А дальше что? Вспоминаем о том, что мы прочитали ранее и вводим команду setup, которая откроет текстовый установщик, очень похожий на тот, что мы видели в FreeBSD. И да, это современная система 2022 года Мы не зря упомянули FreeBSD, которая в отличие от Slackware, есть настоящий Unix, следование общим принципам предполагает схожие подходы и, к сожалению, вызывает схожие проблемы. Если вам интересен этот вопрос, то советуем вам ознакомиться с нашим обзором на современные BSD-системы:\nРекомендуем к прочтению UNIX в кедах или звериный оскал десктопного BSD А мы пока вернемся к нашим баранам дельфинам и продолжим устанавливать Zenwalk, установщик не похож на все то, что вы могли видеть и использовать ранее в других дистрибутивах, но разобраться довольно несложно. Сразу совет: если не хотите приключений в консоли, то не меняйте раскладку клавиатуры, продолжайте с раскладкой по умолчанию (EN_US). А для начала процесса выберите пункт ADDSWAP и укажите раздел подкачки, точнее подтвердите использование ранее созданного раздела. Затем потребуется указать раздел для установки: И отформатировать его, поддерживаются как актуальные, так и давно устаревшие файловые системы, типа JFS или ReiserFS. И вот здесь нужно быть предельно внимательными, так как Zenwalk, в полном соотвествии с философией Unix молчит об очевидном и никак не огораживает своего пользователя от возможных деструктивных действий. Если на разделе были какие-то данные, то инсталлятор ни словом об этом не обмолвится и просто его отформатирует. По современным меркам это непривычно, но именно таков суровый аскетизм Unix, поэтому, если вы ставите Zenwalk на реальное железо - то просто отключите все лишние накопители, ну или предельно внимательно смотрите какой именно раздел вы форматируете.\nПосле чего выбираем набор пакетов, тут вас за руку водить тоже никто не будет, если вы укажете неработоспособную конфигурацию, то инсталлятор заботливо поставит вам именно то, что вы просили. Никаких предупреждений или автоматического включения одних пакетов в зависимости от выбора других здесь нет. Сам процесс установки тоже по спартанскому прост, просто лог на весь экран. Что? Это точно дистрибутив 2022 года? Да, в Slackware загрузчик LILO живее всех живых и много еще чего, о чем пользователи других дистрибутивов давно забыли. Управление автозагрузкой. Не знаем - не трогаем, сломать систему тут никто не помешает, и даже слова не скажет. Инсталлятор скромно промолчит об очевидном: ну видели же глаза что руки делают. От финиша нас отделяет совсем не много, осталось завести пользователей, установить пароли и, наконец-то, можно будет покинуть это не самое гостеприимное место. При загрузке система, даже если она единственная, ждет две минуты пока вы подтвердите выбор или перейдете в командную строку загрузчика LILO. И вот, наконец, перед нами экран входа в систему, вроде бы можно облегченно выдохнуть и перейти к работе в привычной среде XFCE. Но не будем спешить... Что касается графической составляющей, то здесь мы полностью соглассимся с разрабочиком, оболочка действительно отполирована и выдержана в стиле минимализма. После загрузки на экране одна единственная кнопка в левом верхнем углу и несколько значков вверху посередине. За верхней кнопкой скрывается стартовое меню, а открытые приложения выстраиваются по вертикали в нижней левой части экрана. Тема по умолчанию - темная. Практически везде используется прозрачность. При этом ресурсов все это потребляет весьма и весьма умеренно, что позволяет комфортно работать даже на довольно слабом железе. Для русификации достаточно просто выбрать нужную локаль и повторно войти в систему: В целом, пока наши потребности закрывает графическая панель настроек - проблем не возникает. В качестве браузера используется Chromium, который просто работает. Набор софта из коробки откровенно скромный, практически ничего нет. Графических инструментов управления ПО и магазинов тоже нет. Это общая беда многих систем, но сделаем скидку на то, что магазины это все-таки не Unix-way и посмотрим на консольные инструменты. Zenwalk предлагает пакетный менеджер Netpkg, который в целом достаточно прост и интерактивен. Это собственная разработка, призванная облегчить работу с пакетами в Slackware.\nОсвоить работу с ним можно по встроенной справке и следует признать, что инструмент довольно удобен. Ну давайте попробуем что-то установить, хотя бы консольный менеджер mc, кстати, обратите внимание на \u0026quot;модную\u0026quot; прозрачную консоль. И что? И ничего, в стартовом меню ничего не появилось, пробуем запустить в терминале и получаем ошибку, нет нужных библиотек... Ну как же так? А вот так! В релизе 2022 года Slackware не умеет автоматически разрешать зависимости в пакетном менеджере, и никто от этого особо не страдает. Такая вот \u0026quot;фишка\u0026quot;, благодаря которой установка любого более-менее сложного софта превращается в увлекательный квест и способна занять достаточно времени.\nИ вообще, если копнуть поглубже, то можно найти очень много интересного, кроме загрузчика LILO система до сих пор использует систему инициализации SysV, а поддержка PAM была введена только в последнем выпуске и только потому, что ряд программ отказался от поддержки теневых паролей (shadow). Фактически перед нами просто заповедник технологий 20 летней давности.\nВидимо поэтому в Zenwalk 15 была добавлена поддержка FlatPak, что существенно облегчает вопрос установки программ. Но поддержка реализована своеобразно, при переходе по кнопке FlatPak Hub мы фактически попадаем на сайт, где по кнопке установить просто скачается файл, запустить который в системе нельзя. Поэтому следует прокрутить страничку ниже и выполнить в терминале указанные на ней команды. Если работать от имени обычного пользователя, то будет предложено установить программу в систему, либо только для собственной учетной записи. В остальном интеграция с Flatpak неплоха, программы добавляются в стартовое меню и работают также как и родные. Внешние накопители также монтируются нормально, их значки появляются внизу с правой стороны экрана. Но вот дальше начались недоразумения. При попытке запустить mp3-файл открылось приложение, которое строит его спектр. Забавно, конечно, но я просто хотел послушать музыку. Фильм в разрешении 2K в системе 2022 года для Slackware тоже какая-то экзотика. Хорошо, установим из FlatPak популярный плеер VLC, уж он то умеет проигрывать всё. Может быть... Но не в нашем случае. Имя файла на кириллице, да еще и с пробелами оказалось непреодолимой преградой. Ладно, переименуем, не гордые. Так, а теперь что? И таких моментов по системе хватает. Возможно, они достаточно легко решаются, но видеть их в современном дистрибутиве достаточно неожиданно. Как будто мы снова попали на 10-15 лет назад, к тогдашнему Linux со всеми его детскими болезнями.\nВыводы Несомненно, Slackware и Zenwalk заслуживают внимания, как-никак один из самых старых дистрибутивов, но внимания сугубо академического, для расширения кругозора. Какого-либо практического применения этих систем в современных реалиях не просматривается, разве что вы их преданный фанат.\nНо на этом фоне прекрасно виден тот путь, который прошел за это время Linux, от \u0026quot;младшего брата\u0026quot; Unix, до мощной и современной самодостаточной системы. В этом плане Slackware - исключение, которое только подтверждает правило и показывает, что слепо следовать старым принципам это не всегда хорошо.\nПо сути, перед нами динозавр, живое ископаемое, которое подстригли и причесали на современный манер, одели в модный прикид, но древним он от этого быть не перестал.\nРазумный консерватизм - это хорошо, но когда он переходит все разумные пределы начинается ретроградство. Ну к чему все эти цепляния за старые, ушедшие технологии, такие как SysV или теневые пароли? Мир меняется, меняются внешние условия и требования. Не нравится что-то из мейнстрима? Всегда есть альтернативы, тот же OpenRC вместо systemd.\nНо здесь все как-бы застыло в тех далеких и светлых временах, когда трава была зеленее, деревья выше, мороженное вкуснее, а философия Unix только- только формировалась.\n","id":"d5bb95f249899973f4384696afc63172","link":"https://interface31.ru/post/zenwalk-15-vstrecha-s-dinozavrom/","section":"post","tags":["Linux","Slackware","Zenwalk"],"title":"Zenwalk 15 - встреча с динозавром"},{"body":"Система 1С:Предприятие известна каждому, по факту став стандартом де-факто программного обеспечения для управления и учета. Своей популярностью она во многом обязана возможностью свободно дорабатывать существующие решения под собственные потребности, что обеспечивается собственной высокоуровневой средой разработки, которая проста в освоении и позволяет сосредоточиться именно на программировании бизнес-логики. А теперь фирма 1С сделала еще один шаг навстречу, предоставляя всем желающим бесплатные комьюнити-лицензии для разработки и тестирования.\nДолгое время у 1С:Предприятия наблюдался некоторый парадокс: несмотря на низкий порог входа в освоение разработки на этой платформе этот самый порог мог оказаться неожиданно высоким по причине необходимости приобретения необходимых лицензий. Хорошо если вы просто пишете внешние отчеты и обработки, в этом случае будет достаточно лицензии на рабочее место или технологической поставки, но, если вам нужно проверить работу в клиент-серверной среде? Протестировать развертывание? Попрактиковаться в администрировании?\nОфициальная стоимость лицензий в этом случае оказывалась заоблачной и чаще всего вопрос решался вне правового поля, проще говоря использовались различные способы обхода системы лицензирования, что, между прочим, чревато достаточно неприятными правовыми последствиями.\nА также это поощряет дальнейшую разработку средств обхода защиты. Видимо, трезво взвесив все за и против фирма 1С решила значительно облегчить жизнь разработчиков и администраторов предложив им совершенно бесплатные комьюнити-лицензии.\nЧто это такое? Давайте обратимся к официальной документации, точнее Лицензионному соглашению:\nКомьюнити-лицензия технологической платформы «1С:Предприятие 8» (далее - «Комьюнити-лицензия») - это специальная версия Лицензионного соглашения технологической платформы «1С:Предприятие 8», предназначенная только для использования физическими лицами и исключительно для разработки и отладки прикладных приложений (конфигураций) на базе технологической платформы «1С:Предприятие 8».\nВ целом достаточно понятно. Это специальная лицензия для разработчиков, тестировщиков и администраторов, которую можно свободно использовать в указанных целях, а именно для разработки и отладки.\nНиже особо оговаривается:\nКомьюнити-лицензия не дает право эксплуатации технологической платформы «1С:Предприятие 8» и прикладных решений, работающих на базе технологической платформы «1С:Предприятие 8», по их прямому назначению, т.е. для решения реальных управленческих и учетных задач на предприятиях и в учреждениях, независимо от организационно-правовой формы, в т.ч. у индивидуальных предпринимателей и самозанятых\nЗа исключением:\nИспользование Клиентских лицензий, а также Лицензии на сервер «1С:Предприятие 8» с Комьюнити-лицензией не допускается, за исключением ситуаций, когда единственный сеанс с Комьюнити-лицензией подключается к серверу «1С:Предприятие 8» для целей отладки и внесения доработок.\nТ.е. мы все-таки можем подключиться с комьюнити-лицензией к боевому серверу, но исключительно в целях доработки и отладки. В остальном совместное использование лицензий разработчика с обычными лицензиями не допускается.\nЧто касается самих лицензий, то фирма 1С поступила достаточно щедро, каждому разработчику дается возможность активировать комьюнити-лицензии на трех ПК, при этом лицензия позволяет запускать как клиентские приложения, так и сервер 1С:Предприятие. Для нужд разработки, обучения или тестирования более чем достаточно.\nПри необходимости использования Комьюнити-лицензии на нескольких ЭВМ (но не более 3 (Трёх) для одного физического лица) следует для каждой ЭВМ активировать отдельный экземпляр Комьюнити-лицензии.\nПолный текст лицензионного соглашения вы можете скачать с нашего сайта по ссылке:\nСкачать Лицензионное соглашение\nИнтересно? Безусловно. Теперь давайте разберемся, что нужно сделать чтобы получить лицензии разработчика.\nПрежде всего вам нужно зарегистрироваться на портале https://developer.1c.ru, для этого не требуется наличия приобретенных продуктов 1С или сертификатов и доступно любому желающему окнуться в экосистему 1С. Затем вам потребуется платформа не ниже 8.3.23, а вот здесь возникает очередной казус. Если зайти на портал обновлений под учетной записью разработчика, то доступа к скачиванию платформы не будет. Получается довольно интересно, с одной стороны бесплатные комьюнити-лицензии, с другой запрет на скачивание платформы, которая без лицензии и прикладных решений фактически бесполезна. Чтобы получить возможность скачать платформу у вас должно быть приобретено хотя бы одно прикладное решение, начиная с 1С:Деньги за 600 рублей.\nВ целом проблемы получения дистрибутива платформы не существует, любой кто более-менее в теме имеет хотя бы одного заказчика (работодателя) с купленным продуктом и возможностью скачивания, на самый крайний случай можно скачать платформу с просторов сети интернет. Но, надеемся, в будущем фирма 1С исправит этот досадный недостаток.\nПолучение комьюнити-лицензии Начнем с наиболее популярной платформы Windows, установите платформу, выбрав требуемые компоненты и запустите любую имеющуюся информационную базу. Если никаких информационных баз нет, то создайте новую пустую базу для разработки или загрузки ранее выгруженного дампа. При первом запуске любой информационной базы платформа предложит вам получить лицензию, выбираем вариант с комьюнити-лицензией: После чего вводим учетные данные от портала разработчиков: И все! Лицензия получена. Бывалые 1С-ники удивятся, как так, без ввода информации о владельце, которую потом надо будет повторить посимвольно. А вот так, возможно мы видим начало нового подхода 1С к лицензированию.\nТеперь у вас на этом ПК полностью легальная платформа для разработки и тестирования с возможностью полноценного запуска серверных решений. При этом внутри каждой базы будет размещен не убираемый баннер о том, что это версия для разработчиков, также об этом, включая данные разработчика, будет показано в информации о программе.\nДанные ограничения видятся нам разумными, они не мешают процессам разработки и тестирования, но в тоже время затрудняют коммерческое использование комьюнити-лицензий, в том числе без уведомления конечного пользователя.\nПолучение комьюнити-лицензии на платформе Linux Многие рассматривают Linux исключительно как серверную среду для 1С:Предприятие. Поспешим огорчить таких пользователей, для активации комьюнити-лицензии вам потребуется клиентская часть платформы и графическая оболочка, потому как получить данный вид лицензии можно только интерактивно и только для текущего узла. Поэтому при установке платформы первый пункт должен быть выбран обязательно. Далее - как обычно, запускаем любую существующую информационную базу или создаем пустую новую. Но есть одна тонкость, если вы запустите платформу от обычного пользователя, то получите следующее предупреждение: Если вы продолжите получение лицензии в этом режиме, то она будет доступна только текущему пользователю и тот же сервер 1С, который имеет собственную учетную запись такую лицензию не увидит.\nЧтобы избежать этого запустите платформу с правами суперпользователя root, это можно выполнить как в графической среде, так и в терминале:\n1/opt/1cv8/x86_64/8.3.23.1437/1cv8 При использовании другой версии платформы вам понадобится откорректировать путь. Теперь лицензия будет получена для всех пользователей данной системы.\nНо прежде, чем запускать программу установим нужный набор прав на файл программной лицензии:\n1chmod g+w,o+w /var/1C/licenses/20230119223300.lic Где 20230119223300.lic - имя файла полученной лицензии. Теперь она может полноценно использоваться всеми экземплярами 1С, запущенными на данном ПК. На этом особенности ОС Linuх заканчиваются, и вы можете либо использовать данный ПК как машину разработчика, либо как выделенный сервер.\nУправление комьюнити-лицензиями В отличии от коммерческих лицензий, лицензии для разработчика имеют срок действия 1 неделю, по истечении которой платформа должна будет получить новую лицензию:\nДействие лицензии может быть прекращено в одном из следующих случаев: Нет доступа к ресурсам фирмы «1С» в сети Интернет. Лицензия для разработчиков имеет срок действия. По истечению срока действия платформа должна переполучить новую лицензию. Если доступа к Центру лицензирования фирмы «1С» нет, то переполучить лицензию не получится. А существующая лицензия станет недоступной для использования.\nВ целом данная инициатива видится нам положительной. Тестовые среды они такие: сегодня подняли виртуалку, завтра удалили, а лицензия осталась висеть. Поэтому фирма 1С сама будет удалять неактивные комьюнити-лицензии, что разработчикам только на пользу.\nПросмотреть все выданные лицензии можно в личном кабинете разработчика на портале https://developer.1c.ru, там же можно удалить привязку лицензии к ПК, чтобы ее можно было использовать на другом узле. Реализация идеи комьюнити-лицензий нам нравится, фирма 1С наконец-то поворачивается лицом к сообществу и предлагает ему бесплатные инструменты, которые позволяют существенно сэкономить на организации тестовой среды, разработки или тренировке и обучении технического персонала. Надеемся, что данная идея продолжит свое развитие и сделает экосистему 1С еще более близкой и привлекательной.\n","id":"5721b8053b217d03bf2ef92873baeb92","link":"https://interface31.ru/post/kak-poluchit-i-ispol-zovat-besplatnuyu-kom-yuniti-licenziyu-dlya-1spredpriyatiya/","section":"post","tags":["1С Предприятие 8.х","Linux","Бесплатно","Лицензирование"],"title":"Как получить и использовать бесплатную комьюнити-лицензию для 1С:Предприятия"},{"body":"Очередным Linux-дистрибутивом удивить сложно, при желании можно каждый день устанавливать новый и они еще долго не закончатся. Но существует ряд систем, на которые обязательно нужно обратить внимание и которые действительно являются отличными от других, как в хорошем, так и не очень хорошем смысле этого слова. Сегодня у нас на обзоре Pop!_OS - это дистрибутив на основе Ubuntu, но разрабатываемый и поддерживаемый коммерческим производителем оборудования и имеющий много интересных и полезных функций и возможностей.\nНачнем с разработчика - это компания System76, являющаяся известным поставщиком оборудования, работающего под управлением открытого ПО, осуществляющая продажи с 2005 года. Первоначально в качестве ОС использовалась Ubuntu, но начиная с 2017 года компания занялась разработкой собственной операционной системы на базе Ubuntu - Pop!_OS.\nЗдесь особенно важно подчеркнуть, что разработчиком дистрибутива является компания, распространяющая его вместе со своим оборудованием и оказывающая техническую поддержку, а следовательно, имеющая реальный опыт эксплуатации собственного ПО и не понаслышке знающая, что нужно пользователям и с какими проблемами они сталкиваются.\nЭто заметно уже на стадии получения дистрибутива, если сайт обнаружит на вашем ПК видеокарту NVIDIA, то автоматически будет предложено скачать вариант дистрибутива с интегрированными драйверами на видео. При этом сама система распространяется полностью бесплатно, текущая версия основана на Ubuntu 22.04, что отражается в ее наименовании: Pop!_OS 22.04 LTS.\nКак и многие другие дистрибутивы система загружается в живом режиме, и вы можете без установки оценить степень совместимости и удобства работы с системой именно на вашем оборудовании. Предупредим сразу - система довольно требовательная. Требования к паролю также, нетипично для Linux, высоки. Простой пароль, наподобие 123 вам установить не удастся, даже если вы ставите систему в тестовых целях. Причина такого поведения становится ясна достаточно быстро, Pop!_OS - это единственная известная нам система общего назначения предлагающая полностью зашифровать диск по умолчанию, от этого можно отказаться, но основной сценарий - это именно шифрование всего диска. Если не указать иного, то для этого будет использоваться пароль от учетной записи. Возможно, кому-то покажется, что такой уровень безопасности для пользовательской системы избыточен, но если говорить о портативных устройствах, то в случае его утери шифрование является надежным способом защиты, ведь многие хранят на устройствах чувствительную информацию (включая финансовую), используют запоминание паролей.\nСам процесс установки не занимает много времени и не развлекает нас слайдами, можно пока сходить сварить кофе или открыть лог установки, если совсем нечем заняться. После перезагрузки система первым делом попросит нас ввести пароль, потому что весь диск, кроме раздела /boot, зашифрован. На ввод дается три попытки, после чего устройство придется заново выключить и включить. После расшифровки диска загрузка продолжится, но это займет немного больше времени, чем обычно. Затем вас встретит окно входа в систему и придется еще раз вводить пароль, если вы являетесь единственным пользователем, то этого можно избежать, настроив автоматический вход. При первом входе вас встречает мастер входа в систему, который поможет настроить под себя рабочую область. По умолчанию используется темная тема с панелью задач, расположенной посередине, как в Windows 11. Но вы можете легко настроить рабочую среду под себя, например, превратив ее в док: Или вернуться к классической организации рабочего пространства: Как мы уже говорили, Pop!_OS основан на Ubuntu 22.04, но имеет в составе новое ядро 6.0 и графическую оболочку GNOME 42, причем оболочка заботливо настроена и серьезно отличается от ванильной. По умолчанию применяется темная тема и, хотя мы не относимся к их любителям, следует отметить, что оформление проработано хорошо, отсутствуют резкие переходы, напрягающие зрение, все выдержано в сглаженных тонах и длительная работа не вызывает дискомфорта.\nПри желании можно переключиться на светлую тему, вместе с этим поменяется оформление приложений, выпадающих меню и даже будут изменены обои рабочего стола. Таким образом обе темы смотрятся достаточно гармонично и визуально приятны, видно, что над графическим интерфейсом была проведена серьезная работа. Но это еще не все, Pop!_OS легким движением руки позволяет включить режим автоматического тайлинга, который последнее время становится все более популярным, особенно у обладателей мониторов с большой диагональю. При включении этого режима система автоматически распределит окна по экрану. Если вас не устроило такое расположение, то можете простым перетаскиванием расположить окна как вам удобно, а если просто перетащить одно окно на другое, то вы сможете работать с ними в режиме вкладок. Все это делается быстро и интуитивно понятно, управление окнами в этом режиме можно освоить за считанные минуты и это действительно удобно, во всяком случае на больших мониторах.\nТакже хватает тонких настроек: можно регулировать зазор между окнами, подсвечивать активное окно и многое другое. Этот режим - собственная разработка Pop!_OS и нам он понравился, ну а если вы хотите вернуться к обычному режиму, то все опять делается одной кнопкой. Для доступа к программам используется всплывающее меню, которое, в отличии от классического гномовского не разворачивается на весь экран, такое поведение нам нравится больше, особенно на больших экранах. Меню настраиваемое, вы можете создавать собственные папки и распределять значки по группам в соответствии с собственными предпочтениями. Ну а теперь к потреблению ресурсов. Многим оно не понравится, система имеет достаточно высокие требования, особенно по использованию оперативной памяти, так 4 ГБ - это самый самый минимум, обратите внимание на размер кеша и подкачки. Но будем честны, сегодня машина с 4 ГБ памяти - это скорее бюджетный сегмент, нежели производительная система. Ведь стоит открыть хотя бы браузер и память в системе может быстро закончиться. Для установки и управления софтом в системе предусмотрен собственный магазин Pop!_Shop, в качестве источников предлагаются репозитории Ubuntu и Flatpak, последний является предпочтительным. Но при этом во многих случаях пользователь имеет возможность выбирать источник самостоятельно. Там, где выбор не предлагается, пакеты Flatpak можно косвенно определить по признаку того, что при установке не запрашивается пароль, а явно установленные пакеты можно посмотреть в ~/.local/share/flatpak/app: На наш взгляд, для пользовательских систем использование форматов наподобие Flatpak более предпочтительно, так как позволят доставлять последние версии программ, не ставя под угрозу стабильность основной системы, что может произойти при использовании сторонних дистрибутивов или PPA.\nЧерез Pop!_Shop также можно производить обновление системы, также можно заметить, что ОС определила то, что запущена в виртуалке и автоматически предложила нам установить пакет драйверов для расширенной поддержки. Также Pop!_OS полноценно поддерживает работу с гибридной графикой, позволяя легко переключаться между видеокартами, либо закреплять использование конкретного видеоядра за конкретным приложением, но проверить этот в виртуальной машине мы, естественно, не можем.\nВ остальном работа с системой не вызвала у нас никаких затруднений, все просто, удобно, понятно. Поддерживается весь спектр популярного оборудования, нет проблем с емкими переносными накопителями, поддерживаются мультимедийные форматы, включая 2K и 4К. Ниже мы запустили воспроизведение 2K видео с exFAT флешки объемом 256 ГБ. Ну и за все время работы с Pop!_OS мы так и не разу не нашли настройки, ради которой нужно бы было пойти в консоль, что немаловажно для начинающих, хотя для бывалых линуксоидов никто не мешает сделать все по старинке, в консоли.\nВыводы Pop!_OS - отличная и современная Linux система, рассчитанная на широкий круг пользователя от известного поставщика Linux-систем. Наличие практического опыта позволило разработчикам создать красивый и удобный дистрибутив, которым легко пользоваться.\nВ первую очередь его можно порекомендовать начинающим, но и опытным пользователям он придется ко двору, настроек хватает на работе, а дома хочется просто включить ПК и заниматься своими делами, не обращая внимания на технические вопросы.\nНо есть и обратная сторона - система требовательна к ресурсам. Хотя по современным меркам наличие SSD и более 4 ГБ памяти - это обычная практика для устройств претендующих на уровень чуть выше печатной машинки.\nВ целом можем сказать, что система удалась и если у вас достаточно производительный компьютер и вы хотите получить красивый, удобный и современный Linux, который будет просто работать, не отвлекая вас техническими вопросами - то обязательно обратите внимание на Pop!_OS.\n","id":"269f18761d3f1c5bf2fcbdc52b45bc70","link":"https://interface31.ru/post/pop-os---stil-no-modno-molodezhno/","section":"post","tags":["Gnome","Linux","Pop!_OS","Ubuntu"],"title":"Pop!_OS - стильно, модно, молодежно!"},{"body":"Производительность дисковой подсистемы очень часто является узким местом многих вычислительных систем, и каждый системный администратор сталкивался и сталкивается с необходимостью оптимизации процессов обмена с накопителями. Одним из эффективных решений, позволяющих ускорить операции ввода - вывода является кеширование. Proxmox предлагает для виртуальных дисков KVM несколько режимов кеширования, в данной статье мы рассмотрим, как они работают, а также их достоинства и недостатки.\nПрежде чем говорить о режимах кеширования, сделаем небольшое отступление и разберем в общих чертах как устроен процесс взаимодействия с накопителями в ОС Linux, так как именно на ее основе работает KVM-виртуализация.\nЛюбые дисковые операции с физическим носителем достаточно дороги, вне зависимости от того, какой именно тип носителя перед нами, при этом операции случайного доступа всегда медленнее линейных, в ряде случаев медленнее на порядок и более. Что для старенького жесткого диска, что для современного NVMe такая тенденция будет сохраняться, отличаться будут только лишь абсолютные цифры.\nПри этом операции записи всегда дороже операций чтения. На это влияет множество факторов, но именно операции записи часто становятся узким горлышком системы. Почему так? Потому что данные на чтение мы можем эффективно и многократно кешировать на различных уровнях, обращаясь к физическому носителю только тогда, когда данные в кеше отличаются от данных на диске. А вот при записи не все так просто. Система должна убедиться, что данные действительно записаны на накопитель и только потом процесс сможет работать дальше. Иначе в случае аварийного отключения питания все данные, которые не были физически записаны на накопитель будут потеряны.\nНо процесс записи - дорогой процесс, поэтому по мере развития журналируемых файловых систем стало возможно многоуровневое кеширование записи. Система принимает данные в кеш и ставит их в очередь для физической записи на носитель, но процессу, инициировавшему операцию записи, выдается подтверждение, он считает, что данные физически записаны и продолжает работать дальше, не дожидаясь реальной записи данных.\nЧем этом может быть чревато? В случае аварийного отключения питания или иных сбоев (kernel panic и т.д.) вы потеряете часть информации, которая физически не была записана на накопитель. Но сама файловая система или база данных останутся в подавляющем большинстве случаев в исправном и непротиворечивом состоянии. Это достигается за счет журналирования и транзакционного контроля. При этом существует ряд критических операций, которые должны быть обязательно зафиксированы на физическом носителе, для этого предусмотрен системный вызов fsync, который принудительно сбрасывает страничный кеш на диск.\nЗдесь мы подходим к первому уровню кеширования на уровне операционной системы, страничный кеш является частью виртуальной памяти Linux, обладает высокой скоростью работы и эффективностью, но имеет самую низкую надежность. В случае любого сбоя содержимое страничного кеша будет потеряно.\nСледующий уровень - это кеш системы хранения, он может иметь различное исполнение, начиная от кеша самого накопителя и заканчивая кешами RAID-контроллеров или программных реализаций (например, ZFS). Но в рассматриваемом нами контексте это не имеет значения, следует только понимать, что этим кешем управляет уже само хранилище и в нормальном режиме записи оно практически всегда пишет в кеш и подтверждает запись. А уже потом, самостоятельно сбрасывает содержимое кеша на физические носители. При использовании вызова fsync кеш хранилища также будет сброшен на диск.\nЕсли коротко подвести итог, то следует понимать, что запись с fsync (синхронная) будет подтверждена тогда и только тогда, когда будет физически записана на устройство хранения. В остальных случаях данные попадут в тот или иной кеш. Но при этом синхронная запись самая медленная и к ней следует прибегать только для действительно важных данных.\nТеперь рассмотрим варианты кеширования для виртуальных дисков KVM, которые доступы в среде Proxmox VE. Ниже показан скриншот из английской версии интерфейса: В русской версии выполнен перевод отдельных строк, но общее содержание меню практически не отличается от приведенного. Еще раз обращаем внимание, что данные настройки доступны только для виртуальных машин и неприменимы к контейнерам.\nNo cache Используется по умолчанию и подразумевает то, что KVM никак не кеширует операции ввода - вывода и вообще никак не вмешивается в них. По сути, это эквивалентно прямому доступу виртуальной машины к хранилищу, при этом процесс записи управляется самим хранилищем, т.е. записываемые данные могут быть помещены в кеш. Виртуальный контроллер устройства хранения осведомлен о наличии кеша обратной записи у хранилища, и виртуальная машина будет использовать fsync для фиксации важных данных. Чтение также производится непосредственно из хранилища. Производительность ввода - вывода полностью зависит от производительности хранилища.\nКеш гостевого диска (внутри виртуальной машины) настроен на обратную запись (writeback), т.е. внутри гостевой системы будет активно использоваться кеширование и для сброса внутреннего кеша также должен использоваться вызов fsync.\nНа наш взгляд использование этой настройки по умолчанию полностью оправдано. Гипервизор никак не влияет на дисковые операции и их скорость и надежность полностью зависят от хранилища, что в большинстве случаев и ожидается пользователями.\nDirect sync Прямая синхронизация - это самый медленный, но самый безопасный режим. Каждая операция записи производится в синхронном режиме, что обеспечивает гарантированную запись данных, чтение также производится непосредственно из хранилища. Внутри виртуальной машины используется режим сквозной записи (writethrough), что также аналогично использованию fsync для каждой записи. Поскольку вся запись производится в синхронном режиме необходимости использовать sync для гостевой системы нет.\nВ каком случае может пригодиться этот режим? Тогда, когда целостность данных имеет для вас решающее значение и вы готовы для этого пожертвовать производительностью записи. В качестве примера такой системы можно привести контроллер домена, для которого задачей первоначальной важности является целостность и непротиворечивость базы.\nНе рекомендуется использовать совместно с дисками формата qcow2, это может привести к серьезному снижению производительности.\nWrite Through Сквозная запись, режим чем-то похож на прямую синхронизацию, но имеет некоторые особенности. В частности, записываемые данные дополнительно кешируются на уровне гипервизора используя страничный кеш. Запись также ведется в синхронном режиме, в т.ч. и внутри виртуальной машины, необходимости дополнительно использовать fsync для гостевой системы нет. Для операций чтения в первую очередь используется страничный кеш, что позволяет значительно повысить производительность чтения, при условии, конечно, что данные есть в кеше. Если же их там нет, что чтение будет произведено из хранилища.\nДанный режим по надежности не уступает прямой синхронизации, но позволяет ускорить операции чтения за счет кеширования на уровне гипервизора и уменьшить обращение к хранилищу, что косвенно окажет положительное влияние на работу дискового ввода-вывода в целом.\nТак что именно использовать: прямую синхронизацию или сквозную запись? Смотрите на реальные сценарии, если запись достаточно редкая и записанные данные используются преимущественно для чтения, то режим сквозной записи будет предпочтителен, если же у вас идет интенсивная запись и не связанное с ней интенсивное чтение, то вы не сможете нормально прогреть страничный кеш и только загрузите его (а с ним и ценную оперативную память) бесполезным мусором.\nТакже, как и прямую синхронизацию данный вид кеширования не следует использовать с qcow2 виртуальными дисками по причине сильного снижения производительности.\nWrite Back До этого мы, хоть и говорили о кешировании, по сути, занимались обратным - обеспечением синхронной записи на диск. И вот теперь мы будем говорить именно о кеше. Обратная запись - это режим кеширования по максимуму использующий страничный кеш гипервизора, это позволяет значительно укорить как операции чтения, так и записи. Но при этом следует помнить, что страничный кеш будет сбрасываться в хранилище в обычном режиме, т.е. с большой вероятностью попадет еще в кеш хранилища. При том, что запись будет подтверждена уже при помещении данных в страничный кеш. Это не очень безопасно, так как при аварийном отключении питания шансы потерять данные значительно вырастают. Внутри виртуальной машины также используется кеширование с обратной записью. Контроллер виртуального диска осведомлен о наличии обратного кеша и будет использовать вызовы fsync для фиксации данных.\nДля каких сценариев можно выбирать такой метод кеширования? В случаях, когда прежде всего важна скорость работы с данными, а их целостность не представляет особой ценности. Какие это могут быть системы? Скажем, кеширующий веб-сервер, при условии, что база данных расположена на отдельном узле. Максимум, что мы потеряем при аварии - это кеш, зато сможем быстро и без просадок обслуживать клиентские запросы. При этом, в случае необходимости зафиксировать важные данные система всегда может вызвать sync и осуществить синхронную запись.\nWrite Back (unsafe) Кеширование с обратной записью и дополнительной пометкой не безопасно - что это такое? Это все та же обратная запись, но с одной тонкостью, причем тонкостью очень существенной. Давайте внимательно посмотрим на схему ниже. Подождите, скажет внимательный читатель, ведь в начале статьи было написано, что вызов fsync гарантирует то, что запись будет подтверждена только после физической записи на устройство хранения. Но здесь нет никакого противоречия, в небезопасном режиме обратной записи гипервизор игнорирует вызовы fsync гостевой системы.\nК чему это может привести? Да к самым тяжелым последствиям, потому как именно fsync является залогом того, что критически важные данные, например, метаданные файловой системы будут действительно записаны на устройство и не будут потеряны при сбое. В нашем случае это не гарантируется и при аварийном отключении вы можете не только потерять данные, которые не успели записать, но и получить разрушение файловой системы или иных структур данных (СУБД и т.п.).\nДанный вид кеширования однозначно не следует использовать в производственных средах, да и вообще не следует использовать, кроме исключительных случаев, когда вам нужна максимальная производительность ввода - вывода, а на данные вам плевать. Ну, например, в тестовых средах или для разовой обработки какого-то объема данных, которые не находятся в единственном экземпляре.\nЗаключение Статья получилась относительно небольшая, мы сознательно не стали углубляться в тонкости процесса, чтобы сделать ее максимально простой и доступной для начинающих. Надеемся, что после ее прочтения вопрос выбора режима кеширования перестанет быть для вас чем-либо непонятным и вы сможете подойти к нему осознанно и с учетом выполняемых виртуальной машиной задач.\n","id":"86310bff226a3489b3a472933328afbe","link":"https://interface31.ru/post/rezhimy-keshirovaniya-virtual-nyh-diskov-kvm-v-proxmox-ve/","section":"post","tags":["Proxmox","Виртуализация","Производительность"],"title":"Режимы кеширования виртуальных дисков KVM в Proxmox VE"},{"body":"Переход на новую почтовую систему немыслим без переноса уже существующей почты, так как у многих пользователей там скопилось немало ценной информации, зачастую заботливо разложенной по достаточно сложной структуре директорий. Все это требуется не только сохранить, но перенести с наименьшими неудобствами. А если ящиков много, то безусловно хочется автоматизировать эту процедуру. Справиться с этой задачей нам поможет imapsync - простая, но в тоже время мощная утилита для миграции почтовых ящиков по протоколу IMAP.\nОсновное преимущество imapsync - это то, что ее не нужно устанавливать на почтовый сервер и, скажем больше, мы не советуем этого делать. Почему? Утилита написана на Perl и для работы требует достаточно много библиотек и зависимостей, засорять которыми сервер очень не хотелось бы, тем более что задача, по сути, одноразовая.\nПоэтому лучше всего использовать отдельный ПК на Linux, виртуалку или контейнер. Из DEB-систем поддерживаются Debian и Ubuntu, хотя утилита будет работать в любой системе, если вы, конечно, обеспечите ей все необходимые библиотеки. В нашем случае будет использоваться рабочий ПК на Debian.\nПрежде всего откроем /etc/apt/sources.list и убедимся, что у репозиториев подключен раздел contrib, если это не так, то в каждую строку после\n1main необходимо добавить\n1contrib Более подробно об этом вы можете прочитать в нашей статье:\nРекомендуем к прочтению Linux - начинающим. Часть 5. Управление пакетами в Debian и Ubuntu После чего не забываем обновить список пакетов:\n1apt update После чего обращаемся на сайт разработчика за инструкциями по установке. Для Debian они выглядят следующим образом:\n1apt install \\ 2 libauthen-ntlm-perl \\ 3 libcgi-pm-perl \\ 4 libcrypt-openssl-rsa-perl \\ 5 libdata-uniqid-perl \\ 6 libencode-imaputf7-perl \\ 7 libfile-copy-recursive-perl \\ 8 libfile-tail-perl \\ 9 libio-socket-inet6-perl \\ 10 libio-socket-ssl-perl \\ 11 libio-tee-perl \\ 12 libhtml-parser-perl \\ 13 libjson-webtoken-perl \\ 14 libmail-imapclient-perl \\ 15 libparse-recdescent-perl \\ 16 libproc-processtable-perl \\ 17 libmodule-scandeps-perl \\ 18 libreadonly-perl \\ 19 libregexp-common-perl \\ 20 libsys-meminfo-perl \\ 21 libterm-readkey-perl \\ 22 libtest-mockobject-perl \\ 23 libtest-pod-perl \\ 24 libunicode-string-perl \\ 25 liburi-perl \\ 26 libwww-perl \\ 27 libtest-nowarnings-perl \\ 28 libtest-deep-perl \\ 29 libtest-warn-perl \\ 30 make \\ 31 time \\ 32 cpanminus Впечатляет? Самое лучшее что можно сделать - это скопировать данное заклинание в терминал и нажать Enter. Потом еще раз посмотреть на предлагаемый набор пакетов и убедиться в правильности своего решения о том, что тащить все это \u0026quot;добро\u0026quot; на почтовый сервер не нужно.\nПосле того, как мы скачали все необходимые зависимости перейдем в домашнюю директорию и скачаем саму утилиту:\n1cd 2wget -N https://raw.githubusercontent.com/imapsync/imapsync/master/imapsync И сразу сделаем ее исполняемой:\n1chmod +x imapsync Официальная инструкция также советует скопировать файл в**/usr/bin**, однако мы не видим в этом особого смысла.\nИспользование утилиты достаточно просто. Но, прежде всего, стоит ознакомиться с терминологией: сервер-источник именуется как host1, сервер-приемник - host2 и все опции с индексом 1 относятся к источнику, а с индексом 2 - к приемнику, например, user1 или password2.\nВ простейшем случае перенос ящика будет выглядеть так:\n1./imapsync \\ 2 --host1 imap.yandex.ru \\ 3 --user1 user@mydomain.ru \\ 4 --password1 \u0026#34;Pa$$word1\u0026#34; \\ 5 --host2 mk-61.it-31,ru \\ 6 --user2 user@it-31.ru \\ 7 --password2 \u0026#34;Pa$$word1\u0026#34; Мы применили перенос каждой опции на новую строку исключительно для удобочитаемости команды, в реальности можете смело писать все в одну строку. Сами опции в особых комментариях не нуждаются, сначала мы указываем хост-источник и параметры доступа к почтовому ящику на нем, затем хост-приемник и параметры учетной записи, в которую мы переносим почту.\nЕсли все сделано правильно, то очень скоро мы увидим в терминале лог переноса писем. Скорость синхронизации зависит от многих факторов, но основное значение будет играть количество сообщений, а не их размер. Средняя скорость переноса с Яндекса на тестовый сервер у нас получилась около 2,5 сообщений в секунду.\nПри этом imapsync - умная утилита, она заботливо переносит не только структуру, но и статус писем. Если какие-то письма были помечены как непрочитанные в старом ящике, то они также станут непрочитанными в новом. Также вы можете запускать синхронизацию несколько раз, скачиваться будут только новые или измененные письма.\nТеперь давайте посмотрим на результат. Было: Стало: В целом - очень неплохо, с учетом того, что мы просто перенесли ящик 1:1.\nПосле первого переноса в директории откуда мы запускали утилиту появится папка LOG_imapsync, в которой содержатся логи переноса. Советуем внимательно их изучить. На основе полученной информации вы можете изменить сопоставление папок в источнике и приемнике или исключить некоторые из них из синхронизации.\nДля исключения следует использовать опцию --exclude, которая поддерживает регулярные выражения. Скажем, уберем из синхронизации папку Спам и Корзину:\n1--exclude \u0026#39;Spam|Trash\u0026#39; Если вам нужно явно указать соответствие папок, то добавьте опцию:\n1--f1f2 Outbox=Sent В данном случае мы указываем, что содержимое папки Outbox ящика-источника следует поместить в папку Sent ящика-приемника.\nЕще одной полезной опцией является указание возраста писем, допустим мы хотим перенести корреспонденцию только за текущий год, не проблема, указываем:\n1--maxage 365 В итоге будут синхронизированы только письма не старше 365 дней.\nА что делать с остальными? А можно перенести их в другой, архивный ящик, в этом нам поможет другая опция:\n1--minage 365 Теперь мы перенесем только письма с возрастом старше одного года.\nТакже эти опции можно комбинировать, они сочетаются по принципу И:\n1--maxage 730 --minage 365 Такая конструкция перенесет письма только за прошлый год (не старше двух лет и не моложе года).\nА если указать наоборот?\n1--maxage 365 --minage 730 То мы перенесем все письма за текущий год, и те, которые старше двух лет (не старше 1 года и не моложе 2 лет).\nПодобных опций достаточно много и все они перечислены в документации, поэтому советуем подробно с ней ознакомиться. Там же имеются готовые советы и рецепты для многих публичных служб и почтовых серверов.\nС синтаксисом немного разобрались, но как быть, если ящиков много? Конечно же автоматизировать, для этого в официальной документации приведен пример скрипта:\n1#!/bin/sh 2{ while IFS=\u0026#39;;\u0026#39; read h1 u1 p1 h2 u2 p2 fake 3 do 4 imapsync --host1 \u0026#34;$h1\u0026#34; --user1 \u0026#34;$u1\u0026#34; --password1 \u0026#34;$p1\u0026#34; \\ 5 --host2 \u0026#34;$h2\u0026#34; --user2 \u0026#34;$u2\u0026#34; --password2 \u0026#34;$p2\u0026#34; \u0026#34;$@\u0026#34; 6 done 7} \u0026lt; file.txt Данный скрипт не блещет изысканными решениями и прост как табуретка. На его вход подается файл file.txt, который следует создать в одной директории со скриптом и из которого берутся адреса и учетные данные для узлов источника и приемника. Сам файл file.txt должен содержать строки:\n1host1;user1_1;password11_1;host2;user2_1;password2_1; 2host1;user1_2;password11_2;host2;user2_2;password2_2; 3host1;user1_3;password11_3;host2;user2_3;password2_3; 4host1;user1_4;password11_4;host2;user2_4;password2_4; Дополнительные опции вы можете указать после \u0026quot;$@\u0026quot; или передать интерактивно при запуске скрипта, тогда они войдут в переменную $@.\nЭто достаточно примитивный, но при этом полностью рабочий скрипт. С более продвинутыми вариантами скриптов вы можете ознакомиться в Wiki Zimbra. Ну и помните, что в Linux нет догм и единых способов решения задачи, вы всегда можете выбрать тот, который наиболее подходим именно вам.\n","id":"122995cfe3fbb8fbd5475c6ee5e6264e","link":"https://interface31.ru/post/perenos-pochtovyh-yashhikov-mezhdu-serverami-pri-pomoshhi-imapsync/","section":"post","tags":["Debian","E-mail","IMAP","imapsync","Linux"],"title":"Перенос почтовых ящиков между серверами при помощи imapsync"},{"body":"Тема создания собственного почтового сервера снова приобрела повышенную актуальность, но для многих администраторов это весьма непростая задача. А так как почта является для многих организаций чувствительным сервисом, то плохо работающий почтовый сервер способен доставить массу неприятностей. Поэтому, если вам необходима собственная почта, но нет времени и желания глубоко вдаваться в тему, то лучше всего выбрать готовую сборку, которая поможет быстро получить гарантированно работающее решение. Сегодня мы рассмотрим одну из таких сборок - iRedMail.\niRedMail - это бесплатное почтовое решение на базе открытого ПО, под капотом вы найдете все те же Postfix и Dovecot, плюс ряд дополнительных служб и настроек, которые разработчики продукта заботливо соединили между собой в единый комплекс. При этом никаких собственных \u0026quot;импровизаций\u0026quot; iRedMail не добавляет, весь софт настраивается стандартным образом через стандартные файлы конфигурации, что позволяет, при необходимости, производить тонкую настройку вручную.\nА так как просто почта сегодня уже мало кого интересует, то мы добавим немного групповой работы при помощи веб-клиента SOGo, который предоставляет работу с календарями и задачами, а также синхронизацию через ActiveSync и работу по MAPI с Microsoft Outlook. Также в данной статье мы рассмотрим получение сертификатов при помощи Let's Encrypt, что позволит повысить безопасность нашего сервера.\nДоменные имена и DNS-зона Почтовая система крайне чувствительна к правильной настройке DNS, поэтому с нее и начнем. Сделать это нужно заранее, так как изменения в DNS не распространяются мгновенно. В нашем примере будет использован реальный технический домен, который мы использовали специально для подготовки материала.\nИтак:\nit-31.ru - используемый домен mk-61 - почтовый сервер, полное доменное имя (FQDN) mk-61.it-31.ru mail - псевдоним для более удобного обращения к почте 203.0.113.25 - IP-адрес почтового сервера Итак, нам потребуется следующий базовый набор записей:\n1@ IN MX 10 mk-61 2mail IN CNAME mk-61 3mk-61 IN A 203.0.113.25 Обратите внимание, что в качестве MX-записи мы используем реальное имя сервера, а не IP-адрес и не запись псевдонима.\nТакже сразу добавим SPF и DMARС-записи:\n1@ IN TXT \u0026#34;v=spf1 +a +mx ~all\u0026#34; 2_dmarc TXT \u0026#34;v=DMARC1; p=none; rua=mailto:report@it-31.ru\u0026#34; SPF-запись говорит о том, что почту могут отправлять узлы указанные в A и MX-записях домена, остальным узлам, скорее всего, почту отправлять запрещено, но прямого указания блокировать таких отправителей нет. DMARC предписывает не предпринимать никаких действий и только присылать отчеты на указанный ящик. Впоследствии, отладив работу сервера, эти правила следует изменить на более строгие, подробнее об этом можно прочитать в нашей статье:\nРекомендуем к прочтению Настраиваем свой почтовый сервер. Что нужно знать. Ликбез Затем просим провайдера или хостера, предоставившего нам выделенный IP-адрес добавить в обратную зону PTR-запись:\n125.113.0.203 IN PTR mk-61.it-31.ru. Еще раз напомним, PTR-запись создается владельцем IP-адреса и содержит имя сервера фактически отправляющего почту с этого адреса.\nПеред тем, как приступать к дальнейшим настройкам следует убедиться, что работают как минимум A и MX-записи.\nПредварительная настройка сервера Прежде всего определимся с выбором операционной системы, решающим фактором здесь будет поддержка SOGo Groupware, что ограничивает выбор между Debian 11 и Ubuntu 20.04 LTS, поэтому наш выбор - Debian 11. Также обратите внимание на то, что SOGo недоступен для архитектуры ARM.\niRedMail рассчитан на установку в чистую систему, поэтому следует выполнить минимальную установку Debian или заказать сервер в минимальной конфигурации. Для этого можете воспользоваться следующим руководством:\nРекомендуем к прочтению Linux - начинающим. Установка и первоначальная настройка Debian 11 для сервера Для начала правильно установим часовой пояс:\n1timedatectl set-timezone Europe/Moscow Получить список зон можно командой:\n1timedatectl list-timezones Теперь установим имя хоста:\n1hostnamectl set-hostname mk-61 Важно - в данной команде указываем короткое имя сервера.\nЗатем приведем файл /etc/hosts к следующему виду:\n1127.0.0.1 mk-61.it-31.ru mk-61 localhost localhost.localdomain Теперь проверим настройки, в ответ на команду:\n1hostname Сервер должен сообщить нам короткое имя. а на команду:\n1hostname - f Полное, т.е. FQDN.\nУстановка и базовая настройка iRedMail Все дальнейшие действия мы будем выполнять из-под суперпользователя root находясь в его домашней директории. Прежде всего скачаем архив с продуктом, ссылку на скачивание можно получить на официальной странице.\nВыполним переход в домашнюю директорию, скачаем и распакуем архив:\n1cd 2wget https://github.com/iredmail/iRedMail/archive/refs/tags/1.6.2.tar.gz 3tar -xzvf 1.6.2.tar.gz Теперь перейдем в распакованную папку и запустим инсталлятор:\n1cd iRedMail-1.6.2 2bash iRedMail.sh Скрипт сначала выполнит скачивание необходимых пакетов, после чего вас встретит псевдографический установщик. Прежде всего вам будет задан вопрос о месте хранения почты, вы можете использовать как предложенное значение, так и указать собственное расположение хранилища, здесь все зависит от структуры вашей дисковой подсистемы и предполагаемых объемов почты. В качестве веб-сервера безальтернативно предлагается NGINX: А вот в качестве базы данных мы будем использовать PostgreSQL - это надежное и производительное решение для работы с любыми объемами данных, в т.ч. и большими. Затем указываем имя домена, который будет обслуживать наш сервер, в нашем случае просто it-31.ru Следующим шагом будет создана учетная запись администратора с именем postmaster и вам будет предложено установить на нее пароль, при этом он не должен содержать специальных символов и не может быть пустым. Также, потом, вас попросят установить пароль для суперпользователя СУБД. В следующем окне выбираем SOGo и все остальное, с Roundcubemail выбор нужно обязательно снять! В противном случае фильтрация почты в SOGo работать не будет, так как они используют несовместимые настройки. После чего вам еще раз будут показаны все выбранные настройки и предложено подтвердить выбор, после утвердительного ответа начнется процесс установки, все пакеты скачиваются из штатных репозиториев системы. В процессе установки вас могут несколько раз спросить о применении тех или иных настроек, на все из них отвечаем утвердительно. В самом конце вы можете увидеть ошибку обновления ClamAV, что связано с недоступностью серверов обновлении из РФ. В этом случае, после завершения процесса установки, откройте файл /etc/clamav/freshclam.conf и добавьте туда строку:\n1DatabaseMirror https://pivotal-clamav-mirror.s3.amazonaws.com Все остальные строки с зеркалами нужно закомментировать. После чего следует удалить файл freshclam.dat и перезапустить службу:\n1rm -f /var/lib/clamav/freshclam.dat 2systemctl restart clamav-freshclam После чего сервер потребуется перезагрузить.\nНесколько слов о безопасности После установки в директории с установщиком iRedMail окажутся два файла: iRedMail.tips и config. Первый содержит подробную информацию об установленных пакетах и их настройках, а также об установленных для них логинов и паролей, эта же информация будет продублирована на почтовый адрес администратора. Второй - списки паролей для различных пользователей и служб.\nДанную информацию следует сохранить в надежном месте, а саму директорию с инсталлятором удалить:\n1rm -rf ~/iRedMail-1.6.2 Для работы сервера эти файлы не нужны, но в случае их утечки сервер будет полностью скомпрометирован.\nНастройка DKIM-записи При установке iRedMail ключ для первого обслуживаемого домена создается автоматически, его можно найти в iRedMail.tips или вывести командой:\n1amavisd-new showkeys Нам потребуется блок из скобок, в котором следует удалить переносы строк и лишние кавычки. Сама DNS-запись должна выглядеть так:\n1dkim._domainkey TXT \u0026#34;v=DKIM1; p=MIIBIjANBgk...DQIDAQAB\u0026#34; Это позволит серверам-получателям проверить подлинность отправителя и существенно повысит вероятность успешной доставки почты адресату.\nНачало работы, проверка основных функций В целом, наш почтовый сервер готов и можно начинать с ним работать. Но сначала просмотрим на доступные нам инструменты управления, в частности нам доступна бесплатная версия панели iRedAdmin, чтобы попасть в нее наберите адрес mail.it-31.ru/iredadmin. Панель простая, если не сказать - примитивная. Вам доступно создание нового домена, нового администратора и нового пользователя. Не следует удивляться, для полноценного управления существует коммерческая iRedAdmin-Pro, но можно прекрасно обходиться и без нее, ниже мы расскажем, как, а для начала и этого достаточно. Создадим нового пользователя для проверки и покинем консоль.\nДля повседневной работы мы будем использовать веб-интерфейс SOGo, он доступен по адресу почтового сервера или по псевдониму: mail.it-31.ru. Советуем везде использовать псевдоним, так как почтовый сервер в последующем вы можете и поменять, а псевдоним позволяет не менять настройки у пользователей, достаточно будет изменить единственную DNS-запись.\nSOGo представляет простой и удобный веб-клиент с достаточным количеством настроек и функциями для групповой работы. Поддерживается адресная книга и календари. Проверку почты следует начать с внутренней доставки, для нее требуется только правильная настройка сервера, отправим письмо с одного ящика на другой. Не ленитесь, заполните все поля и приложите вложение. Если что-то пойдет не так, то лучше узнать об этом сейчас, чем от пользователей, которые начнут работать с системой. Отправили, переходим в другой почтовый ящик и проверяем получение: Следующим шагом проверим отправку писем внешним получателям, например, на ящик публичной почтовой службы. Если вы все сделали правильно и все нужные DNS-записи присутствуют, то письмо будет успешно доставлено, в противном случае не забываем проверить папку Спам. В нашем случае письмо успешно пришло на Яндекс, и мы можем убедиться, что наш сервер использовал шифрование и DKIM-подпись, которая успешно прошла проверку. И теперь обратный тест, отправка почты извне на свой сервер. Для того, чтобы эта попытка увенчалась успехом нам нужно иметь рабочие MX и A-записи. Причем они должны обновиться именно для сервера-отправителя, в противном случае он не сможет выполнить доставку. Поэтому основные DNS-записи следует изменять заранее, оптимально - за несколько дней до настройки почтового сервера.\nМы надеемся, что у вас все сделано правильно и внешнюю почту вы также успешно получите. Затем можно попробовать настроить почтовый клиент, в нашем случае это будет Thunderbird. Для настройки достаточно просто указать адрес почты и пароль от почтового ящика, клиент сам определит не только основные, но и дополнительные настройки, предложив вам подключить адресные книги и календарь. Все содержимое почты и календаря будет синхронизировано с клиентом, и синхронизация будет работать в обе стороны. Т.е. спокойно можно использовать почтовый клиент совместно в веб-интерфейсом, не испытывая никаких неудобств и затруднений. Также можем сразу проверить работу фильтров, для проверки антиспама отправьте в теле письма строку:\n1XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X Отправитель должен получить репорт от системы антиспама, а у получателя письмо сразу должно упасть в папку Спам.\nДля проверки антивируса отправьте во вложении файл со строкой:\n1X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* Отправка будет блокирована, и отправитель также получит репорт. На этом проверку основных функций почтового сервера можно считать законченной.\nПолучение сертификатов Let's Encrypt Все это время мы работали с самоподписанным сертификатом, это не влияет на надежность шифрования, но создает проблемы с доверием, особенно если вы работаете из публичных сетей. Приучать пользователей игнорировать предупреждения безопасности - это очень плохая практика, поэтому настроим получение полноценных сертификатов от Let's Encrypt.\nДля начала установим certbot:\n1apt install certbot После чего проверим возможность получения сертификата:\n1certbot certonly --webroot --dry-run -w /var/www/html -d mail.it-31.ru -d mk-61.it-31.ru Ключ --dry-run как раз указывает на то, что нужно выполнить проверку без реального получения сертификата, ключи -d указывают домены, для которых мы хотим получить сертификат. При этом в общее имя (CN) сертификата будет записан домен указанный первым, остальные домены будут указаны в поле альтернативное имя. Никакого существенного значения это не имеет, но \u0026quot;для красоты\u0026quot; мы поставили первым псевдоним.\nЕсли проверка прошла удачно, то получаем сертификаты командой:\n1certbot certonly --webroot -w /var/www/html -d mail.it-31.ru -d mk-61.it-31.ru При получении сертификата у вас попросят указать почтовый адрес, указывайте действующую почту, так как не нее будут приходить уведомления, в случае если сертификат не удастся продлить автоматически.\nНикаких настроек по продлению делать не нужно, certbot сам добавит в планировщик необходимые задания. А вот после получения нам потребуется выполнить ряд действий: скопировать сертификаты в хранилище iRedMail и перезапустить службы. Для этого воспользуемся дополнительными возможностями certbot.\nОткроем файл с настройками нашего домена /etc/letsencrypt/renewal/mail.it-31.ru.conf и внесем в секцию [renewalparams] следующую опцию:\n1[renewalparams] 2... 3renew_hook = /etc/iRedMail_ssl.sh Теперь создадим сам файл скрипта (если вы используете встроенный редактор mc, то замените в команде nano на mcedit):\n1nano /etc/iRedMail_ssl.sh И внесем в него следующее содержимое:\n1#!/bin/bash 2 3rm -f /etc/ssl/private/iRedMail.key 4rm -f /etc/ssl/certs/iRedMail.crt 5ln -s /etc/letsencrypt/live/mail.it-31.ru/privkey.pem /etc/ssl/private/iRedMail.key 6ln -s /etc/letsencrypt/live/mail.it-31.ru/fullchain.pem /etc/ssl/certs/iRedMail.crt 7 8systemctl restart dovecot 9systemctl restart postfix 10systemctl restart nginx Данный скрипт удаляет старые сертификаты и создает на их месте новые, точнее символические ссылки на новые сертификаты, а затем перезапускает службы. Он будет автоматически запускаться certbot при каждом успешном обновлении сертификатов. А пока сделаем его исполняемым:\n1chmod +x /etc/iRedMail_ssl.sh И выполним:\n1/etc/iRedMail_ssl.sh Тем самым мы проверим его работоспособность и выполним замену самоподписанных сертификатов на полученные нами от Let's Encrypt. Если скрипт отработал без ошибок, то снова идем в веб-интерфейс почты и убеждаемся что мы работаем теперь с полноценным сертификатом. Теперь наш почтовый сервер полностью готов к эксплуатации.\nДополнительные инструменты управления Как мы уже успели увидеть, родная панель управления крайне скудна по возможностям, поэтому в сети встречается достаточно решений разной степени удобности и полезности. Но все они сводятся к тому, чтобы внести необходимые изменения в базу данных SQL. От установки различных веб-панелей и прочих веб-скриптов лучше всего отказаться, так как это все создаст дополнительные угрозы безопасности, особенно если сервер у вас находится не в пределах периметра, а на внешнем хостинге.\nСо своей стороны мы можем порекомендовать набор скриптов iRedMail-scripts, основное их достоинство в том, что они работают исключительно локально и просто преобразуют ваши запросы в SQL-команды, которые вы потом должны выполнить на сервере СУБД. При этом вы полностью контролируете ситуацию и можете дополнительно проверить, дополнить или изменить результат их работы.\nПервоначально работа с ними может показаться в чем-то сложной, но впоследствии вы оцените все преимущества такого подхода, позволяющему вам, как администратору, самому управлять собственной системой, а не надеяться на чей-то чужой \u0026quot;черный ящик\u0026quot;.\nДля получения скриптов установим git:\n1apt install git Перейдем в домашнюю директорию и клонируем репозиторий:\n1cd 2git clone https://github.com/jeekkd/iRedMail-scripts.git Все скрипты достаточно неплохо документированы, достаточно просто открыть файл или запустить его без параметров.\nВ нашем примере мы создадим несколько алиасов и привяжем их к почтовом аккаунту администратора. Для начала перейдем в директорию со скриптами:\n1 cd ~/iRedMail-scripts/Scripts Затем создадим первый алиас, вывод команд мы будем выполнять в SQL-файл.\n1./create-alias.sh report@it-31.ru \u0026gt; ~/output.sql Обратите внимание, что для перенаправления мы использовали знак \u0026gt;, который перезапишет файл назначения.\nТеперь второй алиас:\n1./create-alias.sh admin@it-31.ru \u0026gt;\u0026gt; ~/output.sql Здесь и далее для перенаправления вывода мы будем использовать знак \u0026gt;\u0026gt;, который будет дописывать существующий файл новыми строками.\nТеперь свяжем с нашими алиасами существующие почтовые ящики, к каждому алиасу можно привязать несколько ящиков, и вся почта направленная на алиас будет перенаправляться в каждый из них.\n1./add-user-to-alias.sh report@it-31.ru postmaster@it-31.ru \u0026gt;\u0026gt; ~/output.sql 2./add-user-to-alias.sh admin@it-31.ru postmaster@it-31.ru \u0026gt;\u0026gt; ~/output.sql В нашем случае мы все замкнули на админский ящик.\nЕсли мы откроем теперь файл output.sql, то увидим в нем обычные SQL-команды, которые можем исправлять, дополнять, копировать. Никаких глубоких знаний здесь не нужно, достаточно базовых познаний в SQL. После того, как файл с командами сформирован остается только загрузить его в СУБД, для этого скопируем его в домашнюю папку суперпользователя базы данных и изменим владельца:\n1cp ~/output.sql /var/lib/postgresql/ 2chown postgres:postgres /var/lib/postgresql/output.sql Теперь войдем под пользователем postgres:\n1su postgres Откроем консоль psql к нужной базе:\n1psql -d vmail И загрузим файл, после чего выйдем из консоли:\n1 \\i ~/output.sql 2\\q Теперь, для проверки, можем направить почту на алиас и проконтролировать ее получение в основном почтовом ящике.\nМониторинг Контроль над настроенным и установленным сервером требует наличия инструментов мониторинга основных показателей. В случае с iRedMail вам не нужно дополнительно ничего делать, так как из коробки была установлена система мониторинга netdata, если вы, конечно, не сняли галочку на этапе установки. Чтобы попасть в ее графический интерфейс наберите mail.it-31.ru/netdata и войдите под учетной записью администратора почтового сервера postmaster.\nВеб-интерфейс предоставляет быстрый доступ к основным показателям в реальном времени. Ниже можно просмотреть графики основных метрик и ознакомиться со статистикой всех используемых служб сервера, например, количество забаненых Fail2ban адресов. Более подробно разбирать систему мониторинга мы не будем, она достаточно проста и освоить ее самостоятельно не составит труда.\nНа этом наша статья подходит к завершению и за кадром осталось довольно многое, но с ее помощью вы сможете установить и настроить собственный почтовый сервер в течении получаса. И его сразу можно будет запустить в работу, что важно, особенно для начинающих. А более тонкие и детальные настройки мы будем рассматривать в наших будущих статьях.\n","id":"d53ce1ff3950af4bfe4f20be4d45b678","link":"https://interface31.ru/post/ustanovka-i-nastroyka-pochtovogo-servera-iredmail-s-veb-klientom-sogo-i-sertifikatami-lets-encrypt/","section":"post","tags":["Debian","Dovecot","E-mail","iRedMail","Let's Encrypt","Postfix","PostgreSQL","SOGo"],"title":"Установка и настройка почтового сервера iRedMail с веб-клиентом SOGo и сертификатами Let's Encrypt"},{"body":"Данная статья довольно необычна для нашего ресурса, потому что мы в своей работе используем дистрибутивы Debian / Ubuntu, но многие наши читатели, в рамках импортозамещения, пробуют переходить на Альт. Сервер 1С:Предприятия - также одна из самых востребованных ролей. И вот мы начали получать сообщения, что многие испытывают сложности с настройкой этой связки, хотя проблемам там взяться, вроде бы неоткуда. Поэтому мы самостоятельно изучили данный вопрос и подготовили практическую инструкцию с учетов всех особенностей и подводных камней для Альт Сервер 10\nЛицензионное соглашение Альт Сервер 10 допускает его неограниченное использование физическими лицами, юридические лица могут бесплатно воспользоваться им для тестирования, для промышленной эксплуатации потребуется приобрести лицензию, ее стоимость на момент написания статьи составляла 13 200 руб.\nНа платформе Альт работает только x86-64 версия сервера 1С:Предприятие, ее стоимость составляет 86 400 руб. Для малых предприятий можно использовать Сервер МИНИ на 5 подключений, цена которого 14 400 руб. Технически сервер 1С на Linux позволяет открыть 12 сеансов без наличия серверной лицензии, но такой режим эксплуатации однозначно нарушает лицензионное соглашение.\nСборка PostgresSQL для 1С от компании PostgresPRO предоставляется бесплатно.\nУстановка и предварительная подготовка сервера Мы будем устанавливать Альт Сервер 10, дистрибутив которого можно бесплатно скачать на сайте разработчика. Он имеет графический установщик и процесс не должен вызвать затруднений. Но есть определенные тонкости, так если вы хотите использовать автоматическую разметку диска, то вам понадобиться не менее 24 ГБ свободного места на диске, учтите это при выделении ресурсов виртуальным машинам. Альтернативой этому является ручная разметка диска. Предлагаемый по умолчанию профиль Офисного сервера также содержит много лишнего и если наша цель - выделенный сервер 1С, то выбираем Минимальную установку, которая займет на диске всего 1,6 ГБ. Сервер SSH включен в нее по умолчанию, поэтому можно открыть удаленную консоль сразу после установки, вход от имени root по SSH заблокирован, поэтому входим под обычным пользователем и повышаем права командой:\n1su - После которой вам потребуется ввести пароль суперпользователя.\nПервым делом обновим систему:\n1apt-get update 2apt-get dist-upgrade Затем добавим некоторые необходимые утилиты, файловый менеджер Midnight Commander уже установлен, но нет wget, которая нам позже понадобится.\n1apt-get install wget Затем откроем**/etc/hosts** и добавим в него явное соответствие адреса узла и имени хоста, в нашем случае это:\n1192.168.233.148 host-148 При сохранение этого файла вы получите предупреждение, что файл содержит жесткие ссылки и следует ли их отсоединить, отвечаем - нет. Если вы использовали разметку по умолчанию, то в системе отсутствуют пространства подкачки, эксплуатировать серверную систему в таком режиме нежелательно, поэтому создадим файл подкачки, в нашем случае размером 4 ГБ:\n1fallocate -l 4G /swapfile Установим на него нужные права:\n1chmod 600 /swapfile Создадим в нем пространство подкачки:\n1mkswap /swapfile И подключим его:\n1swapon /swapfile Для того, чтобы он монтировался каждый раз при входе в систему, добавим в /etc/fstab строку:\n1/swapfile none swap sw 0 0 На этом предварительная настройка закончена, перезагружаем сервер.\nУстановка PostgreSQL для 1C Во всех своих внедрениях мы используем бесплатную сборку от компании Postgres Professional, получить ее можно на сайте 1c.postgres.ru, выбираете необходимые вам параметры, заполняете короткую анкету и получаете инструкции по установке на электронную почту. Но при выборе версии сервера СУБД обязательно сверяйтесь со списком системных требований 1С и требованиями используемого прикладного решения (конфигурации).\nОбычно, ничего страшного от использования \u0026quot;несовместимой\u0026quot; версии не бывает, но иногда это может вызвать затруднения. Кроме того, официальная поддержка также может указать на факт использования несовместимой версии и отказать вам в решении вашего вопроса. Исходя их этих соображений мы выбираем 14-ю версию PostgreSQL.\nПрежде всего перейдем в домашнюю директорию и скачаем скрипт для установки репозиториев Postrges Pro:\n1cd 2wget https://repo.postgrespro.ru/1c-14/keys/pgpro-repo-add.sh После чего запустим его командой:\n1sh pgpro-repo-add.sh Скрипт пропишет нужные репозитории и обновит кеш пакетов, поэтому можно сразу приступать к установке продукта:\n1apt-get install postgrespro-1c-14 Сервер СУБД будет автоматически добавлен в автозагрузку и запушен, в чем не трудно убедиться при помощи команды:\n1systemctl status postgrespro-1c-14 Настройки установленный пакет не требует, но вы можете выполнить более тонкое конфигурирования под имеющиеся ресурсы с помощью нашей статьи:\nРекомендуем к прочтению Оптимизация производительности PostgreSQL для работы с 1С:Предприятие В завершении нам нужно установить пароль для суперпользователя СУБД postgres, для этого войдем в систему под его именем, не обращаем внимание на ошибку доступа:\n1su postgres Открываем консоль PSQL:\n1psql И выполняем:\n1ALTER USER postgres WITH PASSWORD \u0026#39;MyPa$$word\u0026#39;; Где MyPa$$word - желаемый пароль.\nВыходим из консоли PSQL и из сеанса пользователя postgres:\n1\\q 2exit На этом установка и настройка PostgreSQL закончена.\nУстановка сервера 1C:Предприятие Еще раз напомним, что сервер СУБД, сервер 1С:Предпритяие и веб-сервер - это разные, полностью самостоятельные компоненты и могут быть установлены как на одном узле, так и на разных. Поэтому мы специально построили наш материал таким образом, чтобы каждый раздел приводил к созданию законченной части решения.\nПлатформа 1С актуальных релизов выпускается в виде единого дистрибутива, который можно получить на Портале ИТС, вам потребуется скачать Технологическая платформа 1С:Предприятия (64-bit) для Linux нужного выпуска. Мы будем устанавливать релиз 8.3.22.1709, если у вас другая версия платформы - то вам потребуется исправить номер версии во всех приведенных ниже командах.\nЕдиный дистрибутив построен по принципу \u0026quot;все свое ношу с собой\u0026quot;, поэтому вопрос установки необходимых зависимостей практически не стоит. Но кое-что все-таки придется установить вручную, прежде всего это шрифты от Microsoft, распространять их в составе пакета нельзя по лицензионным соображениям.\nДля их установки выполните:\n1apt-get install fonts-ttf-ms Но если оставить все как есть, то 1С не увидит эти шрифты, поэтому создадим символическую ссылку:\n1ln -rs /usr/share/fonts/ttf/ms /usr/share/fonts/msttcorefonts Кроме этого, рекомендуется установить библиотеку Unix ODBC, она не является обязательной, но может потребоваться для поддержки отдельной функциональности платформы:\n1apt-get install unixodbc Далее будем считать, что архив с дистрибутивом находится в домашней директории суперпользователя в которой мы и находимся. Распакуем его:\n1tar -xzvf server64_8_3_22_1709.tar.gz Затем установим компоненты сервера и модуля расширения веб-сервера:\n1./setup-full-8.3.22.1709-x86_64.run --mode unattended --enable-components server,ws Зарегистрируем юнит службы:\n1systemctl link /opt/1cv8/x86_64/8.3.22.1709/srv1cv8-8.3.22.1709@.service И добавим его в автозагрузку:\n1systemctl enable srv1cv8-8.3.22.1709@ Запустим наш экземпляр сервиса и проверим его статус:\n1systemctl start srv1cv8-8.3.22.1709@default 2systemctl status srv1cv8-8.3.22.1709@default Он должен быть запущен и работать, также убедимся, что все необходимые службы сервера запущены и ожидают соединений на своих портах:\n1ss -tpln Должны быть активны процессы: ragent - TCP 1540, rmngr - TCP 1541 и один или несколько rphost - TCP 1560 - 1591.\nПосле чего имеет смысл перезагрузить сервер и проверить что все службы успешно стартуют в автоматическом режиме.\nПодключение клиентов, создание баз Для подключения клиентов нужно чтобы прежде всего они находили сервер по имени узла, для этого нам нужно либо добавить запись на DNS-сервере предприятия или добавить запись в файл hosts. В Windows он находится по пути C:\\Windows\\System32\\drivers\\etc\\hosts, в Linux - /etc/hosts. Внесите в него строку:\n1192.168.233.148 host-148 Новую базу можно создать прямо из клиента 1С:Предприятие, вы можете сразу создать пустую базу на основе шаблона, либо чистую, чтобы залить туда дамп существующей базы. После того как вы выберете расположение на сервере вам потребуется указать ряд параметров. Обратим внимание на некоторые параметры: прежде всего на имя информационной базы в кластере и имя базы данных. Это разные сущности и не стоит их путать. Информационная база - это объект, который существует и работает на уровне сервера 1С:Предприятие. База данных - это связанная с ней база в СУБД, где физически хранятся данные. Чтобы отличать одно от другого мы для себя создали следующее соглашение: имя информационной базы записывается в верхнем регистре, базы данных - в нижнем.\nПри создании базы из шаблона или заливке крупного дампа вы можете столкнуться с ошибкой типа:\n1На устройстве нет свободного места /tmp/v8_3xha48_12.tmp\u0026#39;. 28(0x0000001 С): No space left on device Это как так? Ведь у нас должно быть много свободного места! Но не будем спешить, перед нами одна из типично Альтовских особенностей, дело в том, что Альт Сервер по умолчанию выносит директорию /tmp на tmpfs в оперативную память и использует для этого раздела половину установленной на сервере памяти.\nПроверим:\n1df -h Для нашего тестового сервера мы создали виртуальную машину с 4 ГБ памяти и как видим, свободного места в /tmp осталось всего 1,1 ГБ, вполне ожидаемо, что при попытке загрузить дамп размером около гигабайта мы потерпели неудачу.\nКак быть? Можно временно отключить создание tmpfs, для этого откройте /etc/fstab и временно закомментируйте строку:\n1tmpfs /tmp tmpfs nosuid 0 0 После чего перезагрузите сервер.\nТакже, возможно, вы захотите более явно управлять размерами раздела /tmp и не выделять ему половину оперативки, особенно если ее много. В таком случае запись следует изменить, укажите:\n1tmpfs /tmp tmpfs size=4g,nr_inodes=1m,nosuid 0 0 В данном случае параметр size указывает желаемый размер раздела, в нашем случае 4 ГБ, можно также указывать размер в процентах.\nРазобравшись с tmpfs мы, наконец-то, сможем залить нашу базу и начать работать с ней. Проверить параметры работы базы можно вызвав пункт меню О программе. Как видим, ничего сложного с работой сервера 1С:Предприятие размешенного на платформе Альт нет, но есть некоторые специфические моменты, которые следует знать и учитывать.\nПубликация информационной базы на веб-сервере Установка веб-сервера не является обязательной для работы сервера 1С:Предприятие, но это достаточно популярный сценарий, поэтому коротко рассмотрим и его.\nНачнем с установки Apache 2:\n1apt-get install apache2 После чего включим пользователя веб-сервера в группу пользователей сервера 1С:\n1usermod -a -G grp1cv8 apache2 Для каждой публикуемой базы мы должны создать каталог публикации:\n1mkdir /var/www/acc30 Рекомендуем называть каталоги по имени баз, чтобы было меньше путаницы. Владельцем каталога следует сделать 1С:Предприятие:\n1chown -R usr1cv8:grp1cv8 /var/www/acc30 Теперь перейдем в директорию с платформой:\n1 cd /opt/1cv8/x86_64/8.3.22.1709 И выполним публикацию базы:\n1 ./webinst -publish -apache24 -wsdir ACC30 -dir /var/www/acc30 -connstr \u0026#34;Srvr=host-184;Ref=ACC30;\u0026#34; -confpath /etc/httpd2/conf/httpd2.conf Коротко поясним используемые параметры:\npublish - указывает необходимое действие, в данном случае публикацию, может быть опущен, так как это действие по умолчанию apache24 - задает тип веб-сервера, для Apache 2.4 следует указывать apache24. wsdir - имя публикации, по которому к базе следует обращаться из браузера, обратите внимание, что оно регистрозависимое dir - путь публикации, ранее созданная нами директория connstr - строка соединения, состоит из нескольких частей: Srvr - имя сервера, Ref - имя базы на сервере, каждая часть должна заканчиваться служебным символом \u0026quot;;\u0026quot; confpath - путь к конфигурационному файлу веб-сервера Перезапустим веб-сервер:\n1systemctl restart httpd2 Быстрее всего проверить работу базы можно в браузере, обращаться можно как по имени узла, так и по IP: http://192.168.233.184/ACC или http://host-184/ACC. Если вы увидели заставку 1С:Предприятия или окно аутентификации - то значит все работает. Войти в базу вы не сможете, так как при работе через браузер компонента веб-расширения ищет лицензию сначала локально, потом на сервере 1С, но если мы их туда не устанавливали, то вы получите сообщение об ее отсутствии. Однако такое поведение говорит, что публикация на веб-сервере выполнена без ошибок и работает.\nДля использования локально установленной лицензии рекомендуем настроить тонкого клиента, который предлагает работу с веб-сервером как один из возможных вариантов. Убедиться в том, что мы работаем именно через веб-сервер также можно при помощи пункта меню О программе: В данной статье мы коснулись только самых базовых настроек, особенно в том, что касается веб-сервера. Но и цель данной статьи - помочь вам быстро начать работать с сервером 1С:Предприятие на платформе Альт Сервер 10. Для более тонкой настройки можно воспользоваться иными статьями с нашего ресурса, но с оглядкой на используемый дистрибутив.\n","id":"323aef755f19644b3234955513329789","link":"https://interface31.ru/post/ustanovka-servera-1cpredpriyatiya-postgresql-apache2-na-alt-server-10/","section":"post","tags":["1С Предприятие 8.х","ALT","Apache","Linux","PostgreSQL"],"title":"Установка сервера 1C:Предприятие, PostgreSQL и Apache2 на Альт Сервер 10"},{"body":"Astra Linux сегодня является безусловным лидером по импортозамещению и широко применяется в государственных и силовых структурах. В отличии от других систем Astra Linux Special Edition является полностью коммерческой и не имеет бесплатных версий. Существующая редакция Common Edition по сути является другой системой. Однако, при некоторой настойчивости, дистрибутив Astra Linux SE можно найти в свободном доступе на официальном сайте, что позволяет ознакомиться с системой, но не дает права ее использования.\nМы уже делали обзор Astra Linux Common Edition 2.12 Орел. С тех пор в нем мало что изменилось, это система основанная на Debian 9, который к настоящему времени сильно устарел. Работы по этой ветке фактически заброшены и никаких перспектив не просматривается. Сегодня CE версия имеет номер 2.12.45 и из существенных обновлений там разве что относительно свежее LTS -ядро 5.10.\nРекомендуем к прочтению Astra Linux 2.12 Orel - избавляемся от стереотипов о российском ПО Зато кипит жизнь в закрытой, коммерческой ветке 1.7 Special Edition, которая представлена двумя основными сертифицированными выпусками: усиленный уровень защиты Воронеж и максимальный уровень защиты Смоленск. Кроме них в линейке присутствует несертифицированная версия Орел, предназначенная для работы в открытых сегментах сетей, образовательных учреждениях и т.д. Однако путать ее с CE Орел не стоит, общего у них только название.\nВ публичном доступе дистрибутива как бы нет, но если порыться на открытом фирменном FTP, то его можно без особого труда найти. Однако следует помнить, что наличие дистрибутива в свободном доступе еще не дает прав на его использование. Что и, как всегда, написано в лицензионном соглашении, которое мало кто читает.\nИнсталлятор выдержан в гораздо более строгом стиле и говорит нам только о том, что мы устанавливаем Astra Linux, никаких сведений о редакциях нет. Практически сразу нам предлагают ознакомиться с лицензионным соглашением, в котором есть достаточно интересные вещи, мы специально выделили их на скриншоте. Прежде всего - лицензия на ПО не предоставляется физическим лицам. А юридические не только должны приобретать и вовремя продлевать лицензию, но также обязаны обновлять установленное ПО не реже одного раза в три года (36 месяцев).\nНа первый взгляд условие странное, но вспомним, что Special Edition - это прежде всего сертифицированные системы, работающие в закрытом контуре, где нет доступа к репозиториям, а обновления предоставляются в виде tar-архива в личном кабинете, либо вовсе рассылаются на оптических носителях. Предельный срок обновлений намекает на планируемые сроки обновления базовой платформы, но это сугубо наши догадки.\nГлядя на нумерацию веток: 1.7 SE и 2.12 CE можно предположить, что версия Common Edition планировалась как апстрим основной ветки, в которой должны были обкатываться новинки, по принципу RHEL - Fedora или LTS и обычные выпуски Ubuntu. Но все пошло совсем по-другому. Получив значительную рыночную долю совсем не рыночными методами, разработчики практически прекратили развитие CE и сосредоточились на линейке 1.7, которая недоступна широким массам.\nНо вернемся к установке. Перед нами классический установщик Debian, оформленный в синем стиле Astra. Никаких особенностей там нет, если вы хоть раз ставили Debian, то удивить вас здесь нечем. На выбор предлагаются несколько LTS-ядер, от достаточно консервативного 5.4 до актуального 5.15. Ядра представлены в обычном и защищенном вариантах. Стандартный набор ПО включает в себя графическую среду собственной разработки Fly и набор пользовательских приложений. После чего установка продолжится своим чередом. Но когда же будет выбор редакции? Ведь мы же уже фактически все установили. Ну вот как раз сейчас и будет. Дистрибутив содержит все три редакции, но использование Воронежа и Смоленска без лицензии не имеет никакого смысла (точнее без сопутствующих сертификатов ФСТЭК, ФСБ, МО и т.д.), разве что в ознакомительных и лабораторных целях, поэтому наш выбор - Орел. После выбора редакции предоставляется возможность более тонкой настройки параметров безопасности, при желании или необходимости можно достаточно жестко \u0026quot;закрутить гайки\u0026quot;. Без установки пароля на меню загрузчика GRUB завершить установку не удастся, но это вполне оправданный шаг и дополнительный уровень безопасности, если кто-то получит доступ к серверу на этом уровне. После чего установка завершается и судя по надписи на экране именно сейчас происходит преобразование единого образа установленной системы к одной из выбранных нами редакций. После перезагрузки нас ждет экран входа в систему, перепутать Astra тут с чем-нибудь невозможно. Но все нужные функции здесь есть, все, как и в других дисплейных менеджерах. Рабочий стол представлен графической оболочкой Fly собственно разработки, на первый взгляд все достаточно аккуратно и приятно. На второй тоже, можно высказывать разные мнения по поводу стиля графической оболочки, но это дело вкуса, в то же время нельзя не признать, что она копирует и переносит основной пользовательский опыт из Windows систем, а это важно для быстрой адаптации пользователей. Здесь нет прямого копирования, но оболочка буквально заточена на то, чтобы пришедший из мира Windows пользователь мог максимально использовать свой опыт. Да, местами Fly не хватает гибкости и кастомизации, но со своей задачей эта рабочая среда справляется.\nДля любителей нескучных обоев в домашней директории даже сделали отдельную папочку, куда положили набор очень неплохих фото из разных частей нашей необъятной родины. А еще есть разные смелые фантазии на тему Астры, в целом - скучно не будет. Для того, чтобы обновить систему нам потребуется вручную раскомментировать репозитории в /etc/apt/sources.list, они там есть, но не активны по умолчанию. Это непонятно для привычного пользователя Linux, но вполне оправдано, если мы говорим о защищенных системах. Обновление можно выполнять как в консоли, через apt update / upgrade, так и при помощи фирменной утилиты из Панели управления. Панель управления, кстати, очень неплохая и закрывает большую часть вопросов по ежедневному администрированию системы. Отдельный ее раздел посвящен безопасности. Также есть отдельные графические инструменты по работе с системой, скажем по взаимодействию с systemd, на наш взгляд - очень удобно. А что там по ресурсам? Сам по себе Fly очень экономичен, загруженная система занимает что-то около 400-500 МБ ОЗУ, по нынешним меркам это просто-таки аскетично. Но против современных приложений не пойдешь, то и как только мы решим что-то посмотреть в браузере, так потребление ресурсов резко вырастет. Что касается набора ПО, то он стандартный, система основана на пакетной базе Debian 10, но есть тонкости, часть пакетов позаимствована из свежей Ubuntu 22.04, в этом нетрудно убедиться, посмотрев свойства офисного пакета. Ничего плохого в этом нет, разработчики вполне уверенно балансируют между стабильностью платформы и свежестью ряда наиболее используемых приложений. Кроме LibreOfiice весьма свежие версии у браузера, да и ядро 5.15 оно тоже не от Debian 10 и даже 11.\nЕсть ли сложности? А куда без них. Решили мы поставить сетевой принтер, особых проблем это не вызвало, но список доступных драйверов заставил задуматься. Да, мы без проблем подключили свой старенький Samsung, не должно быть проблем у пользователей HP, но что делать, например, владельцам Pantum? Ладно, в Орел мы можем поставить сторонние пакеты, а как быть в случае Воронежа или Смоленска? Там, куда не кинь - всюду клин, или нарушать требования безопасности, или сидеть без печати. С учетом текущей ситуации на рынке вполне могли бы добавить нужные драйвера в систему.\nКроме того, приходится отметить определенную скупость репозиториев, так для 1С:Предприятие требуется набор шрифтов MS, пробуем поставить и что? При этом сама 1С спокойно и без каких-либо проблем устанавливается. И даже неплохо выглядит, а все благодаря набору шрифтов PT Astra, которые повторяют начертания основных шрифтов Windows. В данном случае это хорошо, но вопрос о необходимости сторонних пакетов во многих иных ситуациях остается быть актуальным. Подобных моментов в Astra хватает, но это больше уже не технические вопросы, а организационные. Под капотом все тот же Debian 10 и нет никакой проблемы установить то, что нужно. Но в большинстве случаев это будет идти в разрез с требованиями безопасности.\nВыводы Начнем с грустного, про Astra Common Edition можно забыть, это подтверждают и сами разработчики. Текущая актуальная версия 1.7 является полностью коммерческой и не может быть лицензирована частным лицам.\nСистема базируется на Debian 10, но часть компонентов заимствует из более современной Ubuntu 22.04. В целом такой подход оправдан, так как позволяет сохранять баланс между стабильностью основной системы и актуальностью наиболее часто используемых программ.\nНо не будем забывать, что основное назначение Astra Linux не системы общего пользования, а государственные и силовые информационные системы, где выдвигаются повышенные требования к безопасности. Сейчас Astra получила большую долю рынка в этом сегменте, и основная работа производится именно в этих интересах.\nЧастным лицам и малому бизнесу Astra предложить особо и нечего. Ну для этого сегмента есть и другие игроки: Альт или РедОС.\nВ целом Astra Linux SE - это крепко сбитая, цельная система в первую очередь для систем, требующих повышенного уровня защиты, а все имеющиеся проблемы следует рассматривать именно через эту призму. При этом это вполне современная и приятно выглядящая ОС, позволяющая максимально использовать предыдущий опыт работы пользователей с Windows.\nВ целом Astra имеет все шансы стать основным отечественным дистрибутивом и очень хотелось бы увидеть недорогие версии для небольших предприятий и бесплатные для частных лиц.\n","id":"019ae858d63f21432ea423b04ea35991","link":"https://interface31.ru/post/obzor-astra-linux-se-17-orel/","section":"post","tags":["Astra Linux","Debian","Linux","Импортозамещение"],"title":"Обзор Astra Linux SE 1.7 Орел"},{"body":"SSL-сертификаты все плотнее входят в нашу жизнь и трудно представить современного администратора, никогда не имевшего с ними дело. Но, как показывает практика, работа с сертификатами все еще вызывает затруднение у многих наших коллег и виной тому недостаточный объем теоретических знаний. Наиболее частые сложности возникают с форматами сертификатов, поэтому мы сегодня решили внести ясность в этот вопрос и разобрать какие форматы сертификатов бывают и как можно выполнять преобразования между ними.\nФорматы сертификатов Начнем с того, что термин сертификат не является полностью корректным. Если мы говорим об инфраструктуре открытых ключей (PKI), то в ее основе лежит понятие ключевой пары - открытого и закрытого ключа. Сертификат - это средство распространения открытого ключа, которое содержит сам открытый ключ и ряд дополнительной информации. Сертификат является публичным и общедоступным. Закрытый ключ, наоборот, секретным и должен храниться в безопасном месте.\nНо, как говорится, из песни слов не выкинешь и понятие сертификат широко используется и специалистами, и простыми пользователями в самом широком смысле: подразумевая и сам сертификат, и ключ сертификата, и полностью ключевую пару. Поэтому, каждый раз, когда вам встречается это слово, то нужно, прежде всего определиться в каком контексте оно употребляется и что именно значит.\nТакже при работе с сертификатами вам обязательно встретится аббревиатура X.509, это стандарт для сертификатов и ключей PKI, определяющий их формат, структуру и способы работы с ними. Поэтому, когда речь идет о X.509, то мы понимаем, что это сертификаты PKI.\nНо перейдем к форматам. Серьезную путаницу вносит то, что расширения сертификатов и ключей не всегда четко указывают на формат, точнее даже наоборот и точно убедиться с чем именно вы имеете дело можно только ознакомившись с содержимым. Мы не будем рассматривать все возможные варианты форматов, ограничимся только самыми ходовыми.\nФормат DER Это бинарный формат для сертификатов и ключей, фактически он является исходным, так как изначально ключи - это некоторые бинарные сущности. Чаще всего используется на платформе Java и в Windows, там это формат по умолчанию. Могут использовать расширения .der и .cer, но ничего не мешает дать такому файлу другое широко используемое расширение.\nПоэтому для выяснения формата файла следует просмотреть его содержимое или воспользоваться командой file в Linux:\n1file mycert.cer Если сертификат бинарный, то в ответ вы получите:\n1mycert.cer: data Все тоже самое справедливо и для закрытого ключа, который чаще всего имеет расширение .key.\nФормат PEM Данный формат наиболее популярен и распространен, особенно в открытом ПО. Представляет кодированный при помощи Base64 формат DER и по сути является обычным текстовым файлом. Характерными особенностями являются обязательные строки, между которыми находится содержимое сертификата или ключа:\n1-----BEGIN CERTIFICATE----- 2Содержимое сертификата Base64 ASCII 3-----END CERTIFICATE----- А команда file определяет такой файл как:\n1mycert.crt: ASCII text, with CRLF line terminators Контейнер в формате PEM может содержать один или несколько сертификатов, закрытый ключ или сертификат(ы) и закрытый ключ одновременно. В этом случае каждый из них обрамляется обязательными строками BEGIN и END. Кроме расширения .pem могут также использоваться .cer, .crt и .key для ключа. Поэтому определять формат следует по типу содержимого.\nФормат PKCS #7 Специальный контейнер, предназначенный для хранения сертификатов и/или списков отзыва (CRL), может иметь расширения .p7b или .p7c. Важной особенностью является то, что данный формат не предназначен для хранения закрытого ключа и используется только для сертификатов. Чаще всего используется в Windows системах.\nМожет иметь как DER, так и PEM формат, в последнем случае файл имеет обязательные строки:\n1-----BEGIN PKCS7----- 2Содержимое Base64 ASCII 3-----END PKCS7----- Данный контейнер в основном определяется по расширению, а его внутренний формат по содержимому.\nФормат PKCS #12 Данный формат предназначен для хранения закрытого ключа и сертификата, кроме них может содержать полную цепочку доверия и список отзыва. Часто используется для распространения и хранения ключевой пары. Наибольшее распространение имеет в Windows системах и является дальнейшим развитием контейнера PFX от Microsoft, в настоящий момент эти аббревиатуры употребляются как синонимы.\nИмеет бинарный формат и защищен паролем (можно оставить пустой пароль), определяется по расширениям .pfx, .p12, .pkcs12.\nПреобразование форматов Для всех дальнейших действий мы будем использовать OpenSSL на платформе Linux, для работы в среде Windows вам потребуется несколько изменить синтаксис в части определения путей. Все команды выполняются от имени того пользователя, который является владельцем сертификата. Также помним, что форматом по умолчанию для OpenSSL является PEM.\nPEM в DER Для преобразования сертификата из PEM в DER выполните:\n1openssl x509 -in cert.pem -out cert.der -outform DER Для закрытого ключа:\n1openssl rsa -in privkey.pem -out privkey.der -outform DER Для получения нужного результата мы явно указываем выходной формат - DER.\nDER в PEM Синтаксис команд схож, для сертификата:\n1openssl x509 -inform DER -in cert.der -out cert.pem Для закрытого ключа:\n1openssl rsa -inform DER -in privkey.der -out privkey.pem Обратите внимание, что в данной команде мы, наоборот, явно указываем входной формат.\nPEM в PKCS #7 Для примера объединим два сертификата: собственно наш сертификат и сертификат удостоверяющего центра.\n1openssl crl2pkcs7 -nocrl -certfile cert.pem -certfile cacert.pem -out cert.p7c Ключ -nocrl указывает, что мы не включаем в контейнер список отзыва. Каждый включаемый в контейнер сертификат задается отдельной опцией**-certfile**.\nДля создания контейнера с CRL используем команду:\n1openssl crl2pkcs7 -in crl.pem -certfile cert.pem -certfile cacert.pem -out cert.p7c Так как мы не указывали ни входной, ни выходной форматы, то на входе используем сертификаты формата PEM и получаем контейнер с тем же форматом. Для получения файла в формате DER укажите:\n1openssl crl2pkcs7 -nocrl -certfile cert.pem -certfile cacert.pem -out cert.p7c -outform DER Преобразовать сертификаты в формате DER сразу в PKCS #7 нельзя, их следует сначала преобразовать в формат PEM.\nPEM в PKCS #12 Создадим контейнер, в который поместим собственно ключевую пару и дополнительный сертификат CA:\n1openssl pkcs12 -export -in cert.pem -inkey privkey.pem -certfile cacert.pem -out cert.p12 В ключе**-in** указываем сертификат, связанный с закрытым ключом, в -inkey - закрытый ключ, затем добавляем нужное количество опций -certfile для включения дополнительных сертификатов, которые будут формировать цепочку доверия.\nPKCS #7 в PEM Мы можем вывести все сертификаты файла PKCS #7 в PEM командой:\n1openssl pkcs7 -print_certs -in cert3.p7b -out certs.pem Если исходный файл в формате DER, то добавьте:\n1openssl pkcs7 -print_certs -inform DER -in cert3.p7b -out certs.pem Напоминаем, что определять формат PKCS #7 следует по содержимому.\nPKCS #12 в PEM Данный контейнер может содержать как ключевую пару, так и дополнительные сертификаты, чтобы вывести их все в формат PEM используйте команду:\n1openssl pkcs12 -in cert.p12 -out certs.pem -nodes Последний ключ -nodes указывает на то, что не нужно шифровать закрытый ключ.\nНо что, если нам нужно получить только отдельные части контейнера? Ничего сложного.\nДля вывода только сертификата и закрытого ключа используйте:\n1openssl pkcs12 -in cert.p12 -clcerts -out certs.pem -nodes text Только сертификата:\n1openssl pkcs12 -in cert.p12 -clcerts -out cert.pem -nodes -nokeys 2```/ 3 4Так как мы не извлекаем ключ, то опция -nodes как бы не нужна, но она подавляет появление запроса на пароль для экспортируемого файла. 5 6Для вывода только сертификата(ов) CA: openssl pkcs12 -in cert.p12 -cacerts -out cacert.pem -nodes -nokeys\n1 2Только закрытого ключа: openssl pkcs12 -in cert.p12 -out privkey.pem -nodes -nocerts\n1 2Как видим, при помощи OpenSSL не составляет никакого труда разобрать контейнер PKCS #12 на составляющие. 3 4#### Установить / снять пароль с закрытого ключа 5 6Еще одна часто встречающаяся задача: снять пароль с закрытого ключа, для этого используйте команду: openssl rsa -in privkey.key -out privkey-nopass.key\n1 2Обратная операция выполняется командой: openssl rsa -des3 -in privkey.key -out privkey-pass.key\n1 2Где **-des3** указывает на алгоритм шифрования, допустимы значения: **-aes128**, **-aes192**, **-aes256**, **-aria128**, **-aria192**, **-aria256**, **-camellia128**, **-camellia192**, **-camellia256**, **-des**, **-des3**, **-idea**. Перед их использованием следует уточнить, какие именно из них поддерживает тот софт, с которым вы собираетесь использовать ключ. ","id":"f443ee1f7e90dfc4fc7544167090fefb","link":"https://interface31.ru/post/formaty-sertifikatov-x509-ssl-i-preobrazovaniya-mezhdu-nimi/","section":"post","tags":["PKI","SSL","X.509","Безопасность"],"title":"Форматы сертификатов X.509 (SSL) и преобразования между ними"},{"body":"Межсетевой экран, он же брандмауэр или файрвол - важнейшая служба вашего роутера, отвечающая как за его безопасность, так и за безопасность всей сети. Мы до сих пор не рассматривали базовую настройку брандмауэра в отрыве от общей настройки роутера, но как показала практика, многие администраторы откровенно плавают в этом вопросе и имеют некорректно или не оптимально настроенные системы. Как минимум это выливается в повышенную нагрузку на оборудование, а в самом плохом варианте ставит под угрозу безопасность всей сети. Поэтому давайте отдельно разберемся в этом вопросе.\nОбщие принципы построения брандмауэра Существует два основных типа настройки брандмауэра: нормально открытый брандмауэр и нормально закрытый. В первом случае разрешено все, что явно не запрещено, во втором случае - запрещено все, что явно не разрешено.\nВозможно, для кого-то будет новостью, но оба этих подхода обычно гармонично сочетаются в рамках одного устройства. Нормально открытый брандмауэр применяется для внутренних сетей и исходящих соединений, а нормально закрытый - для все остальных соединений из внешних сетей. Это позволяет достичь простоты и удобства для собственных пользователей и в тоже время надежно защититься от внешнего мира.\nЛюбое новое соединение первоначально находится в статусе нового (new) и мы должны принять решение: одобрить его или запретить. Для этой задачи и предназначены создаваемые нами правила, в нормально закрытом брандмауэре мы описываем, какие соединения и по каким критериям следует разрешить. Если же пакет не соответствует ни одному правилу, то мы запрещаем такое соединение.\nПосле того, как соединение было установлено - оно переходит в состояние установлено (established), при этом специальный механизм ядра Connection Tracker отслеживает все проходящие пакеты и сопоставляет их соединениям, поэтому мы можем спокойно оперировать именно состоянием соединения, не задумываясь над техническими тонкостями работы.\nНужно ли каждый раз отслеживать пакеты уже установленного соединения вновь и вновь гоняя их по цепочке правил? Конечно же нет, если мы одобрили соединение, то в последующем можем и должны одобрять все его пакеты автоматически, это снижает нагрузку на устройство и позволяет использовать различные приемы, вроде Port Knocking или противодействия перебору паролей.\nОчень часто одни соединения, будучи установленными, создают другие, которые называются связанными (related), как пример можно привести хорошо известные FTP или PPTP, которые имеют управляющее соединение и соединение(я) для передачи данных. Они могут использовать динамические порты и поэтому их также следует автоматически разрешать, если мы разрешили основное соединение.\nПоэтому в любом корректно настроенном брандмауэре самым первым правилом должно находиться разрешающее установленные и связанные соединения, а только после него мы уже должны анализировать новые подключения.\nВ роутерах Mikrotik существует еще один тип соединения - неотслеживаемое (untracked), такие соединения не отслеживаются Connection Tracker, что позволяет существенно снизить нагрузку на устройство. Для чего это может быть нужно? Допустим, в фильтруемом вами трафике есть значительная доля принадлежащая доверенным узлам, для которых можно четко прописать критерии, в этом случае можно пометить их неотслеживаемыми и добавить их одобрение в самое первое правило, к уже установленным и связанным.\nТаким образом, одним единственным правилом мы будем сразу пропускать подавляющую долю трафика, а к затратным операциям анализа будут доходить только новые пакеты.\nНо тут самое время вспомнить еще про одно состояние соединения - недействительное (invalid), это пакеты не являющиеся новыми, но не принадлежащие никакому установленному соединению, такие пакеты могут использоваться для атак и поэтому их следует блокировать в первую очередь, сразу после того, как мы одобрили установленные и связанные соединения и до того, как приступили к анализу новых пакетов.\nНу и завершающим правилом в цепочке должно стоять запрещающее, отсекающее все соединения, которые не попали под разрешающие правила и не являются уже установленными или связанными с ними.\nКонфигурация брандмауэра по умолчанию Прежде всего рассмотрим конфигурацию, предлагаемую производителем по умолчанию. Многие считают ее наиболее оптимальной и безопасной, но это не так, конфигурация по умолчанию направлена на универсальность и совместимость с различными пользовательскими сценариями, не позволяя ему наделать грубых ошибок, которые могут фатально сказаться на безопасности.\nВсе правила сгруппированы в две цепочки: input - для входящего трафика самого роутера и forward - для транзитного, между интерфейсами роутера. Сразу напомним, что у роутеров Mikrtoik нет жестко заданных \u0026quot;внешних\u0026quot; и \u0026quot;внутренних\u0026quot; интерфейсов, и вообще все эти понятия находятся исключительно у нас в голове, согласно логическому плану сети.\nВ конфигурации по умолчанию также присутствует два списка интерфейсов: WAN - куда включен порт, настроенный как внешний, обычно ether1 и LAN, в состав которого входит мост, объединяющий оставшиеся порты. и эти списки активно применяются в правилах.\nСамих правил немного, всего 11 штук: 5 для input и 6 для forward. Рассмотрим их подробнее. Правило с нулевым номером в расчет не берем, это пустышка для вывода счетчиков Fasttrack. Начнем с первых двух, это классическая связка, о которой мы говорили выше: разрешаем established, related и untracked для всех входящих соединений, без привязки к интерфейсам. Затем запрещаем invalid, вполне очевидно, что далее пройдут только пакеты соединений в состоянии new.\n1/ip firewall filter 2add chain=input action=accept connection-state=established,related,untracked comment=\u0026#34;defconf: accept established,related,untracked\u0026#34; 3add chain=input action=drop connection-state=invalid comment=\u0026#34;defconf: drop invalid\u0026#34; Третье правило разрешает входящий ICMP, у многих администраторов с ним напряженные отношения, часто его блокируют полностью, чтобы устройство не пинговалось, но так делать не нужно, протокол ICMP важен для нормальной работы сети. Либо фильтровать нужные его типы выборочно, что выходит за рамки данной статьи.\n1add chain=input action=accept protocol=icmp comment=\u0026#34;defconf: accept ICMP\u0026#34; Следующее правило весьма специфично, оно разрешает входящие на петлевой интерфейс, точнее адрес 127.0.0.1, поскольку интерфейс петли явно в RouterOS не доступен, а также снабжено комментарием, что это для CAPsMAN. Его смысл станет понятен чуть ниже.\n1add chain=input action=accept dst-address=127.0.0.1 comment=\u0026#34;defconf: accept to local loopback (for CAPsMAN)\u0026#34; И завершает цепочку input блокирующее правило:\n1add chain=input action=drop in-interface-list=!LAN comment=\u0026#34;defconf: drop all not coming from LAN\u0026#34; Которое блокирует входящие подключения для всех, кроме интерфейса LAN, а так как локальная петля туда не входит, то выше потребовалось отдельное правило.\nКак видим конфигурация слегка избыточна, но при этом универсальна. А блокировка входящих по такой широкой маске - все, кроме локальной сети - позволяет сохранить должный уровень безопасности, даже если пользователь подключит другие внешние сети, скажем VPN.\nА где же здесь размещать свои собственные правила? А вот здесь:\n1/ip firewall filter 2add chain=input action=accept connection-state=established,related,untracked comment=\u0026#34;defconf: accept established,related,untracked\u0026#34; 3add chain=input action=drop connection-state=invalid comment=\u0026#34;defconf: drop invalid\u0026#34; 4add chain=input action=accept protocol=icmp comment=\u0026#34;defconf: accept ICMP\u0026#34; 5\u0026lt;собственные правила\u0026gt; 6add chain=input action=accept dst-address=127.0.0.1 comment=\u0026#34;defconf: accept to local loopback (for CAPsMAN)\u0026#34; 7add chain=input action=drop in-interface-list=!LAN comment=\u0026#34;defconf: drop all not coming from LAN\u0026#34; Теперь о цепочке forward, самыми первыми здесь теперь добавлены два правила, разрешающие транзит соединений, подпадающих под действие политик IPsec. Это связано с тем, что IPsec сегодня применяется все чаще, но правильно настроить правила для него умеют не все пользователи. Поэтому появились эти правила, обеспечивающие гарантированное прохождение любых соединений, использующих IPsec через роутер в любом направлении.\n1add chain=forward action=accept ipsec-policy=in,ipsec comment=\u0026#34;defconf: accept in ipsec policy\u0026#34; 2add chain=forward action=accept ipsec-policy=out,ipsec comment=\u0026#34;defconf: accept out ipsec policy\u0026#34; Затем идет правило, включающее Fasttrack для всех установленных и связанных соединений. Подробнее про Fasttrack мы писали в нашей статье:\nРекомендуем к прочтению Правильное использование Fast Path и FastTrack в Mikrotik Если коротко, то Fasttrack значительно снижает нагрузку на оборудование, но фактически пускает трафик в обход брандмауэра. Но так как фильтровать established и related нам не надо, то почему бы и не пустить их коротким путем?\n1add chain=forward action=fasttrack-connection connection-state=established,related comment=\u0026#34;defconf: fasttrack\u0026#34; Далее та же самая классика: разрешаем established, related и untracked, запрещаем invalid. Для всех направлений без разбора.\n1add chain=forward action=accept connection-state=established,related,untracked comment=\u0026#34;defconf: accept established,related, untracked\u0026#34; 2add chain=forward action=drop connection-state=invalid comment=\u0026#34;defconf: drop invalid\u0026#34; Ну и, наконец, запрещающее правило, оно тоже интересно:\n1add chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN comment=\u0026#34;defconf: drop all from WAN not DSTNATed\u0026#34; Оно запрещает транзит только новым соединениям, только с внешнего списка интерфейсов, кроме соединений прошедших через DNAT. А так как DNAT обычно используется для проброса портов, то таким образом мы избегаем необходимости создавать для них разрешающие правила.\nДа, опять очень и очень общие критерии, но в состоянии абсолютной неопределенности возможных конфигураций это, пожалуй, лучшее решение. Особенно если роутер будет использоваться вместе с UPnP, где сетевые приложения могут самостоятельно пробрасывать произвольные порты.\nПоэтому мы еще раз повторимся, что конфигурация по умолчанию не является самой оптимальной или самой безопасной, но она наиболее универсальна, одновременно закрывая самые разные сценарии использования роутера.\nКуда добавлять собственные правила? Да вот сюда:\n1add chain=forward action=accept connection-state=established,related,untracked comment=\u0026#34;defconf: accept established,related, untracked\u0026#34; 2add chain=forward action=drop connection-state=invalid comment=\u0026#34;defconf: drop invalid\u0026#34; 3\u0026lt;собственные правила\u0026gt; 4add chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN comment=\u0026#34;defconf: drop all from WAN not DSTNATed\u0026#34; Стоит ли оставлять и использовать конфигурацию по умолчанию? Да, если вы еще не уверены в собственных силах, плохо понимаете работу межсетевого экрана или вам нужно просто быстро настроить роутер для типовых задач.\nСобственная конфигурация брандмауэра В среде опытных пользователей Mikrotik принято сбрасывать устройство и настраивать конфигурацию с нуля. Для этих целей мы используем следующую конфигурацию брандмауэра, она во многом повторяет стандартную, но имеет ряд отличий. В плане именования интерфейсов мы также будем использовать листы WAN и LAN, с таким же набором интерфейсов.\nПри построении данного набора правил мы исходили из соображений, что администратор представляет как устроена его сеть, каким службам нужен доступ извне, какие сети являются внешними, а какие внутренними. При этом всеми силами старались избегать широких критериев в правилах, так как \u0026quot;проходной двор\u0026quot;, даже вроде-бы в довольно безопасных вещах, таких как IPsec или DNAT может иногда сыграть злую шутку. Все мы помним, что если на стене висит ружье, то оно обязательно выстрелит.\nПравил в нашем варианте меньше, всего 9, из них 4 для input и 5 для forward. Набор правил для input приведем сразу и целиком, здесь тот же самый классический набор, но за одним исключением: мы знаем, какие сети являются внешними и фильтруем только подключения из них. Это упрощает конфигурацию и снижает нагрузку. При этом в каждом правиле мы четко указываем список входящих интерфейсов.\n1/ip firewall filter 2add action=accept chain=input connection-state=established,related in-interface-list=WAN comment=\u0026#34;accept established,related\u0026#34; 3add action=drop chain=input connection-state=invalid in-interface-list=WAN comment=\u0026#34;drop invalid\u0026#34; 4add action=accept chain=input in-interface-list=WAN protocol=icmp comment=\u0026#34;accept ICMP\u0026#34; 5\u0026lt;собственные правила\u0026gt; 6add action=drop chain=input in-interface-list=WAN comment=\u0026#34;drop all from WAN\u0026#34; Мы точно также разрешаем установленные и связанные, запрещаем invalid, разрешаем ICMP. Можно заметить, что у нас нет untracked, это сознательное решение, если мы будем использовать неотслеживаемые соединения - то всегда можем добавить этот параметр, но сделаем это осознанно. Собственные правила мы можем добавлять выше запрещающего весь остальной трафик с внешних интерфейсов.\nТакже следует отметить несколько иную политику блокировки остального трафика. Стандартная конфигурация подходит достаточно радикально, запрещая все, кроме LAN. Мы же используем более мягкий подход, и блокируем только внешние сети - WAN. Это позволяет сделать конфигурацию проще и не прописывать дополнительные правила для того же CAPsMAN, при этом мы помним, что администратор знает какие сети являются внутренними, а какие нет и контролирует актуальность списков.\nПерейдем к forward, в нашей базовой конфигурации правил для IPsec нет, опять-таки осознанно, по причине их ненужной избыточности. Как появится IPsec - так и создадим правила, а просто так нечего им небо коптить.\nА вот к Fasttrack у нас подход другой. В стандартной конфигурации он включен для всех established и related, вне зависимости от направления. Это здорово разгружает роутер, но со временем у вас неизбежно появятся туннели, VPN, прочие сети и Fasttrack будет там чаще мешать, чем помогать, порой приводя к неожиданным результатам. Поэтому четко указываем, что применяем коротки путь только для соединений из локальной сети наружу и извне в локальную сеть. Часто можно даже отойти от использования списков и просто указать интерфейсы.\n1add action=fasttrack-connection chain=forward connection-state=established,related in-interface-list=WAN out-interface-list=LAN comment=\u0026#34;fasttrack\u0026#34; 2add action=fasttrack-connection chain=forward connection-state=established,related in-interface-list=LAN out-interface-list=WAN Кстати, внимательный читатель может заметить, что комментарий стоит только у одного правила, первого. Это сделано специально. Для чего? Посмотрите на скриншот выше, там комментарий отделяет сразу два правила.\nНу и дальше все тоже самое. Разрешаем established и related, запрещаем invalid и обязательно указываем, что это именно для внешних сетей, ниже запрещаем все остальное, также для внешних интерфейсов.\n1add action=accept chain=forward connection-state=established,related in-interface-list=WAN comment=\u0026#34;accept established,related\u0026#34; 2add action=drop chain=forward connection-state=invalid in-interface-list=WAN comment=\u0026#34;drop invalid\u0026#34; 3\u0026lt;собственные правила\u0026gt; 4add action=drop chain=forward in-interface-list=WAN comment=\u0026#34;drop all from WAN\u0026#34; Что касается DNAT, то мы не сторонники давать доступ в сеть самыми широкими мазками. Если появляется проброс - создаем отдельное правило под проброс. Может это и увеличивает количество работы, но дает более читаемую и безопасную конфигурацию брандмауэра, когда вы явно видите кому и что разрешено без изучения дополнительных разделов.\nНо если вы используете роутер дома и самый широкий набор приложений пробрасывает порты при помощи UPnP, то последнее правило действительно будет удобнее заменить на:\n1add action=drop chain=forward connection-nat-state=!dstnat in-interface-list=WAN comment=\u0026#34;drop all from WAN\u0026#34; Данный набор правил является базовым костяком нормально настроенного брандмауэра и должен присутствовать по умолчанию на любом устройстве. Уже потом он будет обрастать дополнительными правилами, но общий принцип построения защиты должен неукоснительно соблюдаться. Это позволит вам достичь высокого уровня безопасности при небольшой нагрузке на устройство.\n","id":"660d0a6efdc6873c985476051b72d922","link":"https://interface31.ru/post/bazovaya-nastroyka-brandmauera-v-mikrotik/","section":"post","tags":["Firewall","MikroTik","Безопасность"],"title":"Базовая настройка брандмауэра в Mikrotik"},{"body":"Ранее мы рассматривали как создать отказоустойчивые конфигурации DNS и DHCP на базе открытых решений от ISC. Сегодня мы дополним цикл завершающей статьей, в которой расскажем, как настроить автоматическое обновление зон DNS-сервера на основе выданных DНСP-сервером адресов. Это полезно для больших сетей, где пользователи активно взаимодействуют друг с другом, так как для обращения к узлу будет достаточно знать его сетевое имя. Всю остальную необходимую информацию нам предоставит DNS-сервер, а DHCP-сервера будут следить за ее актуальностью.\nВ рамках данной статьи мы будем подразумевать, что у вас уже есть настроенные и нормально функционирующие BIND 9 и ISC DHCP и будем в дальнейшем опираться на конфигурации, описанные в статьях:\nРекомендуем к прочтению Настраиваем отказоустойчивый DHCP-сервер на базе ISC DHCP Настраиваем отказоустойчивый DNS-сервер на базе BIND 9 Перед тем, как продолжать настройку рекомендуем внимательно с ними ознакомиться на предмет расположения файлов и настроек. Все инструкции актуальны для текущих выпусков операционных систем Debian и Ubuntu.\nОбщая схема сети Чтобы вам было легче ориентироваться в адресах и настройках мы привели ниже общую схему сети. В ней мы будем использовать диапазон адресов 192.168.72.0/24 и домен interface31.lab. В данной сети у нас развернуты отказоустойчивые конфигурации DNS и DHCP, и мы добавили на схему все важные узлы. Настройка первичного DNS-сервера BIND 9 Прежде всего убедимся, что файлы зоны находятся в /var/lib/bind, это важно, так как AppArmor блокирует для службы named возможность записи в другие расположения. Если это не так, то просто скопируйте файлы зон в /var/lib/bind.\nЗатем откроем файл /etc/bind/named.conf.local и в самом начале добавим строку:\n1include \u0026#34;/etc/bind/rndc.key\u0026#34;; Она указывает на RNDC-ключ, который нужен для проверки подлинности серверов, имеющих право вносить изменения в зону, данный ключ создается автоматически при установке BIND.\nТеперь приведем описания зон к следующему виду. Для прямой:\n1zone \u0026#34;interface31.lab\u0026#34; { 2 type master; 3 file \u0026#34;/var/lib/bind/db.interface31.lab\u0026#34;; 4 allow-transfer { 192.168.72.9; }; 5 allow-update { key rndc-key; }; 6}; Обратной:\n1zone \u0026#34;72.168.192.in-addr.arpa\u0026#34; { 2 type master; 3 file \u0026#34;/var/lib/bind/db.192.168.72\u0026#34;; 4 allow-transfer { 192.168.72.9; }; 5 allow-update { key rndc-key; }; 6}; Обращаем внимание на опцию allow-update, которая разрешает обновлять зоны предъявителю RNDC-ключа и опцию file, которая обязательно должна указывать на расположение файлов зон в /var/lib/bind.\nПроверяем отсутствие ошибок в конфигурации:\n1named-checkconf И перезапускаем службу DNS-сервера:\n1systemctl restart named Более никаких настроек DNS-сервера не требуется.\nНастройка DHCP-серверов ISC DHCP Для каждого из серверов нам потребуется провести одинаковые настройки, поэтому разберем их только для одного из них.\nПрежде всего скопируем с первичного DNS-сервера файл RNDC-ключа /etc/bind/rndc.key и поместим его в /etc/dhcp, затем установим на него следующие права:\n1chown root:root /etc/dhcp/rndc.key 2chmod 640 /etc/dhcp/rndc.key После этого откроем /etc/dhcp/dhcpd.conf и найдем в нем опцию ddns-update-style, которую заменим следующим блоком:\n1ddns-updates on; 2ddns-update-style interim; 3ignore client-updates; 4update-static-leases on; Данные опции включают динамическое обновление DNS и предписывают делать это в том числе и для статических записей. Это общие настройки сервера, сохраняем изменения и входим.\nТеперь будем настраивать непосредственно область, настройки которой в нашем случае хранятся в файле /etc/dhcp/dhcpd.d/subnet.conf. Прежде всего добавим в самое его начало строки:\n1include \u0026#34;/etc/dhcp/rndc.key\u0026#34;; 2 3zone interface31.lab. { 4 primary 192.168.72.8; 5 key rndc-key; 6} 7 8zone 72.168.192.in-addr.arpa. { 9 primary 192.168.72.8; 10 key rndc-key; 11} В них мы импортировали RNDC-ключ и указали DNS-зоны, которые мы хотим обновлять. Обратите внимание, что имена зон мы пишем в абсолютном формате, т.е. с точкой на конце. Внутри каждой секции указываем адрес первичного DNS-сервера и ключ доступа к нему.\nНиже, в секцию subnet добавляем следующие опции:\n1option domain-name \u0026#34;interface31.lab\u0026#34;; 2 option domain-search \u0026#34;interface31.lab\u0026#34;; Проверяем конфигурацию на ошибки:\n1dhcpd -t -cf /etc/dhcp/dhcpd.conf И перезапускаем DHCP-сервер:\n1systemctl restart isc-dhcp-server Затем выполняем аналогичные настройки на втором сервере.\nНа этом настройка закончена. Проверить работу мы можем после получения клиентом адреса выполнив DNS-запрос по его имени хоста:\n1nslookup WIN10LAB Либо с явным указанием DNS-сервера, которому направляем запрос:\n1 nslookup WIN10LAB 192.168.72.9 Как видим, настроить динамическое обновление DNS-зон на основе данных аренды DHCP-сервера совсем несложно, получив при этом полноценное управление инфраструктурой при помощи доменных имен, не задумываясь какой именно IP-адрес в данный момент получен узлом.\n","id":"c6415d1840ebd7efeb204e9b90376614","link":"https://interface31.ru/post/dinamicheskoe-obnovlenie-dns-servera-bind-9-pri-pomoshhi-isc-dhcp/","section":"post","tags":["Bind 9","Debian","DHCP","DNS","Linux","Ubuntu Server","Сетевые технологии"],"title":"Настраиваем динамическое обновление DNS-сервера BIND 9 при помощи ISC DHCP"},{"body":"Последнее время мы уделяли мало внимания почтовым системам, но вновь возросший интерес заставил нас вернуться к этой теме. Основные затруднения начинающих при работе с почтой состоят в том, что почта - это сложная система, состоящая из нескольких компонентов, взаимодействующих как между собой, так и с внешними системами. Кроме того, почта крайне чувствительная к правильной настройке DNS. Чтобы разобраться и не запутаться во всем этом мы предлагаем освежить знания по базовому устройству систем электронной почты при помощи этой статьи.\nОбщее устройство и принципы работы почтового сервера Севрер электронной почты - это сложная система, состоящая из множества компонентов, которые взаимодействуют между собой. Поначалу кажется, что разобраться во всем этом многообразии довольно сложно. Но это не так, почтовый сервер содержит ряд ключевых компонентов, вокруг которых уже выстраиваются дополнительные и для понимания происходящих процессов достаточно знать основные принципы работы.\nДавайте рассмотрим схему ниже, она предельно упрощена и содержит только самые важные элементы, которые лежат в основе любой почтовой системы. Их ровно три:\nMessage transfer agent (MTA) - агент передачи сообщений. Данный компонент, собственно, и является почтовым сервером в узком понимании этого термина, он работает по протоколу SMTP и его основная задача прием и передача почтовых сообщений, как для внешних получателей, так и для внутренних. Взаимодействует как с внешними серверами, так и с почтовыми клиентами. И это единственный компонент почтового сервера, который имеет связь с внешним миром. Основная задача MTA - это отправка почты внешним получателям и получение почты для внутренних. Message delivery agent (MDA) - агент доставки сообщений. Он обеспечивает доставку полученных от MTA сообщений к месту прочтения клиентским приложением. Проще говоря, именно с помощью MDA почтовый клиент может получить доступ к собственной почте. Работает по протоколам POP3 и IMAP, также отдельные решения могут использовать проприетарные протоколы, такие как MAPI Exchange. MDA не взаимодействует с внешними системами и не принимает участие в отправке почты, его задача - доставка уже полученных сообщений клиенту почтовой системы. Хранилище почтовых ящиков - третий компонент почтового сервера, отвечающий за хранение полученных и отправленных сообщений. Различные системы могут использовать разные форматы хранения, в Linux системах наиболее распространены mbox и Maildir, но на этом варианты хранилищ не исчерпываются. С почтовым сервером взаимодействует клиент электронной почты - Mail User Agent (MUA) - он может быть как в виде отдельного приложения, так и в виде популярного ныне веб-интерфейса. В любом случае это только разновидности почтового клиента, принцип их работы одинаков.\nКогда пользователь хочет получить свою почту, он обращается к агенту доставки сообщений (MDA), сегодня MDA несут важную дополнительную функцию - ведение базы пользователей и их аутентификацию. Проверив, что пользователь тот, за кого себя выдает MDA предоставляет ему доступ к собственному ящику в хранилище при помощи выбранного пользователем протокола. Во всех современных решениях используется протокол IMAP, который позволяет гибко управлять собственным почтовым ящиком и не требует обязательного скачивания сообщений клиентом.\nЕсли же мы хотим отправить почту, то почтовый клиент связывается с MTA, либо с дополнительным компонентом - Message submission agent (MSA) - агентом отправки почты, он использует отдельный порт - 587 и его задача получение сообщений от почтового клиента и передача их MTA для отправки по назначению. Вне зависимости от наличия MSA клиент всегда может отправить почту непосредственно через MTA.\nМы не стали добавлять MSA на основную схему, чтобы не плодить дополнительных сущностей, но о его существовании надо знать, чтобы не удивляться наличию дополнительного порта на почтовом сервере. Его появление во многом обусловлено ограниченностью протокола SMTP, тогда как для взаимодействия с клиентами нужны были дополнительные функции, поэтому MSA работает через протокол ESMTP (Extended SMTP) и поддерживает, например, такие возможности, как аутентификацию пользователей. Чаще всего функции MTA и MSA выполняет один и тот же пакет.\nТеперь, читая, скажем, про связку Postfix + Dovecot + Roundcube вы будете четко понимать, что речь идет про MTA (Postfix), MDA (Dovecot) и веб-клиента MUA (Roundcube), представлять назначение каждого компонента и не путаться во взаимодействии с ними.\nОбязательные DNS-записи: MX и PTR Итак, мы хотим отправить почту. Пользователь открывает MUA, быстро создает сообщение и нажимает кнопку Отправить. Дело сделано, но мало кто задумывается о том, что происходит после, все мы привыкли что уже через считанные секунды наше сообщение будет в почтовом ящике получателя.\nНа самом деле сообщению предстоит достаточно длительный путь, сопровождаемый активной работой компонентов как сервера отправителя, так и сервера получателя. Но пойдем по порядку.\nПервым в дело вступает MTA, он анализирует поле адреса назначения в заголовках письма, допустим мы видим там:\n1To: Maria Smirnova \u0026lt;MSmirnova@example.org\u0026gt; 2From: Ivanov Ivan \u0026lt;IIvaniov@example.com\u0026gt; Если домен получателя отличается от обслуживаемого MTA домена, то он должен каким-то образом узнать, кому именно отправлять почту. Для этого он использует систему DNS, запросив специальную запись - MX. MX - Mail Exchanger - особая DNS-запись, указывающая на адрес почтового шлюза домена, таких записей может быть несколько, они отличаются приоритетом, чем больше число - тем ниже приоритет.\nMX-запись никак не связана с отправкой почты, но именно она указывает на узел, который уполномочен принимать почту в данном домене. Данная запись должна содержать именно имя узла, а не IP-адрес, после чего сервер-отправитель сделает еще один запрос, чтобы по имени хоста получить его IP-адрес. Данные записи прописываются администратором домена и в базовом варианте будут выглядеть так:\n1@ IN MX 10 srv-mx-01 2srv-mx-01 IN A 203.0.113.25 Первая запись - это MX-запись для домена, которая говорит кому отправлять почту. Вторая запись сопоставляет имя srv-mx-01.example.com и действительный IP-адрес узла.\nЧасто администраторы предпочитают использовать псевдонимы - CNAME - для указания на отдельные почтовые узлы. Это удобно, но в любом случае MX-запись должна содержать реальное имя узла, а не псевдоним, поэтому правильно будет так:\n1@ IN MX 10 srv-mx-01 2smtp IN CNAME srv-mx-01 3imap IN CNAME srv-mx-01 4srv-mx-01 IN A 203.0.113.25 Принимать почту в домене могут несколько серверов, или один, но на разных каналах. Допустим у нас есть основной канал и есть резервный, тогда набор записей будет выглядеть так:\n1@ IN MX 10 srv-mx-01 2@ IN MX 20 srv-mx-02 3srv-mx-01 IN A 203.0.113.25 4srv-mx-02 IN A 198.51.100.25 Если сервер-отправитель не сможет отравить почту первому MX-серверу в списке, то он переключится на второй. Обратите внимание на разный приоритет серверов: 10 и 20, таким образом пока доступен сервер с приоритетом 10 почта никогда не будет направляться серверу с приоритетом 20.\nА если мы укажем несколько серверов с одинаковым приоритетом? Почта будет направляться на все из них по принципу Round-robin, т.е., чередуясь по кругу, такое решение можно использовать для балансировки нагрузки.\nC MX-записями разобрались, переходим к PTR. PTR - Pointer - соответствие адреса имени, позволяет на основании IP-адреса получить имя хоста этого узла. Какое это имеет отношение к отправке и получению почты? Да никакого, наличие или отсутствие PTR-записи никак не влияет на процесс отправки или получения почты. Но зачем же тогда она нужна?\nОсновное ее назначение - это защита от спама. Уже давно существует соглашение, что добросовестный отправитель почты имеет PTR-запись. Это позволяет сразу отсечь огромный пласт взломанных и инфицированных систем, потому как прописать PTR-запись может только владелец IP-адреса, т.е. хостер или провайдер. Поэтому даже получив полный доступ к инфраструктуре, включая DNS-сервер, злоумышленник все равно не сможет добавить или изменить PTR-запись.\nДля кого следует прописывать обратную запись? Для имени узла, фактически отправляющего почту, вне зависимости от того, какие домены он обслуживает. Так один почтовый сервер может обслуживать множество доменов, но PTR-запись мы должны прописать для фактического имени хоста. В классическом виде PTR-запись будет выглядеть так:\n125.113.0.203 IN PTR srv-mx-01.example.com. Обращаем внимание на то, что в PTR всегда указывается полное доменное имя FQDN и обязательно с точкой на конце. Но это знание более академическое, так как обратной зоной будет управлять ваш провайдер и прямого доступа туда у вас не будет.\nЕще один интересный момент, это обратные записи для нескольких каналов одного сервера, ошибкой будет прописать:\n125.113.0.203 IN PTR srv-mx-01.example.com. 225.100.51.198 IN PTR srv-mx-02.example.com. Почему? Да потому что сервера srv-mx-02 у нас физически не существует, мы придумали его как второе имя для основного сервера srv-mx-01 и в заголовках писем в качестве отправителя будет присутствовать именно это имя. Кроме того, как мы уже говорили, MX-сервера не имеют никакого отношения к процессу отправки почты.\nПоэтому правильно будет сделать PTR-записи так:\n125.113.0.203 IN PTR srv-mx-01.example.com. 225.100.51.198 IN PTR srv-mx-01.example.com. И еще раз предупредим, все записи выше даны сугубо в академических целях, в реальности вам нужно будет только сообщить провайдеру (или провайдерам) для какого узла им нужно сделать PTR-запись.\nSPF - Sender Policy Framework SPF - это специальный тип DNS-записи в формате TXT, позволяющий владельцу домена указать те узлы, которые имеют право отправлять почту от имени домена. Эта запись не является обязательной, но ее наличие резко снижает вероятность попадания вашей корреспонденции в спам.\nЧаще всего содержимое SPF сводится к стандартному:\n1@ IN TXT \u0026#34;v=spf1 +a +mx ~all\u0026#34; Запись состоит из списка тегов и значений, теги в SPF-записи называются механизмами и могут иметь следующие значения:\nv - версия SPF, это обязательный механизм, сейчас доступно единственное значение v=spf1 a - определяет узлы на основе доменного имени (A-записи), формат a:example.com, если домен не указан, то применяется текущий домен mx - определяет узлы на основе MX-записей домена, если домен не указан, то применяется текущий домен ip4/ip6 - определяет узлы на основе IPv4 или IPv6 адреса all - все остальные узлы include - включает в состав SPF-записи указанного домена, например, include:_spf.yandex.net redirect - использовать для домена SPF-записи указанного домена. Для уточнения действий к механизмам применяются квалификаторы (префиксы):\n+ - Аутентификация пройдена. Узлу разрешена отправка почты от имени домена. - - Аутентификация не пройдена. Узлу запрещена отправка почты от имени домена. ~ - Аутентификация с неполным отказом. Скорее всего, узлу запрещена отправка почты от имени домена. ? - Нейтральный квалификатор, обозначает что для узла нет явных указаний, обычно используется как ?all Таким образом стандартная запись читается как: разрешено отправлять почту узлам перечисленным в A и MX записях домена, остальным, скорее всего запрещено. При аутентификации с неполным отказом письма от прочих узлов обычно не отвергаются получателем, а помечаются как подозрительные. Квалификатор \u0026quot;+\u0026quot; подразумевается по умолчанию и его можно не указывать. Если нам нужно указать несколько узлов, то используем несколько механизмов. Например:\n1@ IN TXT \u0026#34;v=spf1 a a:mail.example.org mx -all\u0026#34; Здесь мы указали, что отправлять почту можно с узлов указанных в A и MX записях текущего домена, а также с узла mail.example.org.\nЕсли у вас есть домены с которых никогда не должна отправляться почта, то не будет лишним указать для них следующую SPF-запись:\n1@ IN TXT \u0026#34;v=spf1 -all\u0026#34; Теперь немного об include и redirect, может показаться, что они делают одно и тоже, но есть тонкости. Механизм redirect просто перенаправляет вас к записям указанного в нем домена. Это удобно, если сервер обслуживает сразу несколько доменов, это позволяет иметь одну единственную запись, которую будут использовать все остальные. Также это применяется при использовании своего домена совместно c публичными почтовыми системами:\n1@ IN TXT \u0026#34;v=spf1 redirect=_spf.yandex.net\u0026#34; Такая запись указывает использовать для домена записи, указанные у публичной службы.\nЕсли же вместе с публичными сервисами вы используете собственные сервера, то вам нужно использовать механизм include, который подгрузит записи указанного домена к вашим собственным.\n1@ IN TXT \u0026#34;v=spf1 ip4:203.0.113.25 include=_spf.yandex.net ~all\u0026#34; Данная запись говорит о том, что отправлять почту имеет право узел с адресом 203.0.113.25, а также все остальные, которые перечислены в записях указанного домена.\nDKIM - DomainKeys Identified Mail Если говорить коротко, то DKIM - это технология электронно-цифровой подписи, которая позволят получателю убедиться, что письмо действительно принадлежит отправителю. Для этого на каждом почтовом сервере, которые отправляют почту в нашем домене мы генерируем ключевую пару RSA. Закрытый ключ мы добавляем в конфигурацию почтового сервера и теперь он будет подписывать все исходящие письма.\nЕсли сервер обслуживает несколько доменов, то ключевые пары нужно создать для каждого домена.\nДля того, чтобы проверить подлинность подписи мы публикуем открытый ключ и используем для этого систему DNS, сформировав специальную запись типа TXT:\n1m1._domainkey TXT \u0026#34;v=DKIM1; k=rsa; p=\u0026lt;публичный ключ\u0026gt;\u0026#34; Где m1 - селектор, он выбирается произвольно и должен быть уникальным для каждого почтового сервера, также селектор указывается в конфигурации почтового сервера при настройке подписи DKIM. Он нужен для того, чтобы получатель мог получить открытый ключ именно того сервера, который отправил данное письмо.\nМеханизм предельно прост, при подписи письма сервер отправитель добавляет в заголовки селектор, сервер получатель извлекает селектор и ищет в DNS запись DKIM для этого селектора, после чего извлекает оттуда открытый ключ и проверяет подлинность подписи.\nТехнология DKIM не является обязательной к применению, но значительно повышает вероятность доставки ваших писем получателям.\nDMARC - Domain-based Message Authentication, Reporting and Conformance DMARC - это техническая спецификация, обеспечивающая единые механизмы проверки почты по SPF и DKIM, а также формирование и отправку отчетов. На первый взгляд выглядит сложно и непонятно, но на самом деле позволяет отправителю не только дать прямые указания что делать с почтой, но и получать обратную связь от получателей, что очень важно если вы только тестируете отправку почты.\nВ простейшем случае DMARC запись выглядит так:\n1_dmarc TXT \u0026#34;v=DMARC1; p=none; rua=mailto:report@example.com\u0026#34; Запись состоит из тегов:\nv - версия DMARC, обязательный тег, в настоящее время единственное значение v=DMARC1 p - правило для домена, указывает какое действие следует предпринять если письмо не прошло проверку, может иметь значения: none - ничего не делать, quarantine - поместить письмо в карантин, reject - отклонить письмо. sp - правило для субдоменов, принимает такие же значения, как и p. aspf и adkim - позволяют указать строгость проверки, по умолчанию используется мягкая проверка, при которой результат будет провален только при провале и SPF и DKIM, с помощью данных опций и значения s (strict) мы можем ужесточить проверку, и она будет провалена при провале только одной из указанных опций. pct - процент писем, подлежащих фильтрации DMARC, удобно для постепенного внедрения проверки, например, мы можем для начала указать 10% и потом по отчетам анализировать правильность настройки почтовой для отправляемых нами писем. rua и ruf - адреса для направления ежедневных отчетов о применении политик DMARC, при этом ruf используется для отчета только о письмах, не прошедших проверку. fo - определяет о каких не пройденных проверках сообщать владельцу домена, по умолчанию значение 0 - сообщать только если не пройдены проверки SPF и DKIM,1 - если не пройдена хотя бы одна проверка, s или d - если не пройдена SPF или DKIM. В самом простом варианте мы говорим получателям ничего не делать с не прошедшими проверку письмами и слать нам отчеты на указанный адрес.\nБолее сложная политика может выглядеть так:\n1_dmarc TXT \u0026#34;v=DMARC1; p=quarantine; sp=reject; rua=mailto:report@example.com; ruf=mailto:admin@example.com; fo=1; pct=25\u0026#34; Данная запись предписывает не прошедшие проверку письма основного домена отправлять в карантин, поддоменов - отклонять, сообщать если не пройдена даже одна из проверок и фильтровать 25% входящей почты. Отчеты присылать на указанные адреса, в нашем случае они разные. Общий отчет направляется в один почтовый ящик, отчет о не прошедших проверку письмах в другой.\n","id":"1918814c75527082016852cc9b37cc0d","link":"https://interface31.ru/post/nastraivaem-svoy-pochtovyy-server-chto-nuzhno-znat-likbez/","section":"post","tags":["DKIM","DMARC","DNS","E-mail","SPF","Сетевые технологии"],"title":"Настраиваем свой почтовый сервер. Что нужно знать. Ликбез"},{"body":"Диски с черепичной магнитной записью до сих пор остаются для многих пользователей неким пугалом и их стараются всеми силами избегать. Но так ли это на самом деле? Конечно же нет, черепичная магнитная запись - это технология со своими плюсами и минусами, которые нужно обязательно учитывать. В данной статье мы коротко разберем: что такое черепичная запись, какие особенности работы имеют диски с SMR, какие режимы работы подходят таким дискам, а какие нет. И вообще, стоит ли избегать покупки и эксплуатации дисков с SMR.\nНачнем с краткого обзора рынка устройств хранения, который последние годы претерпел значительные изненения. Так ниша накопителей емкостью до 1 ТБ включительно плотно занята твердотельными накопителями, которые стали основным видом носителя для системных дисков и нагруженных систем. Там, где планируются высокие дисковые нагрузки - применяется NVMе, в недорогие системы идут SATA SSD, даже самые дешевые модели из которых имеют показатели в разы превосходящие лучшие модели жестких дисков.\nА сами жесткие диски сегодня окончательно ушли в нишу устройств для недорогого (в пересчете на терабайт) хранения больших объемов информации без претензии на производительность, тем более что объемы хранимых данных год от года только растут. Все это потребовало от производителей жестких дисков наращивать объемы при сохранении невысокой общей стоимости хранения.\nКаким образом можно это сделать? Физические габариты устройства ограничены и бесконечно наращивать количество пластин мы не можем, так как это приведет к усложнению и удорожанию устройства, а также к ухудшению его эксплуатационных качеств (повышенный нагрев и шум). Поэтому производители пошли другим путем - увеличением плотности записи.\nПервоначально жесткие диски использовали метод продольной магнитной записи (Longitudinal Magnetic Recording, LMR), основным недостатком которой была необходимость оставлять защитное пространство между дорожками, чтобы избежать их взаимного влияния, что существенно ограничивало плотность записи. Поэтому, начиная с 2010 года произошел переход на перпендикулярную магнитную запись (Perpendicular Magnetic Recording, PMR), здесь вектор намагниченности лежит не в плоскости магнитной пластины, как у LMR, а перпендикулярен ей, это позволило добиться значительного повышения плотности записи и все современные диски построены на базе технологии PMR.\nНо очередным препятствием на этом пути стали физические ограничения, так, чтобы достичь необходимой для уверенной записи напряженности магнитного поля записывающая головка должна иметь определенные физические размеры, в то время как для уверенного считывания достаточно головки гораздо меньших размеров (примерно в два раза).\nВ результате появилось достаточно очевидное решение - писать дорожки внахлест, перезаписывая часть предыдущей, оставляя при этом ширину достаточную для уверенного считывания, такой метод очень похож на укладку черепицы и поэтому получил название черепичной магнитной записи (Shingled Magnetic Recording, SMR). Это в очередной раз позволило увеличить плотность записи, но принесло ряд новых проблем. Если мы хотим перезаписать часть данных, то при этом мы неизбежно испортим нижележащую дорожку, что потребует последовательной перезаписи всего диска. Чтобы избежать такого сценария группы дорожек на диске объединили в ленты и теперь, если мы хотим изменить часть данных ленты, лента целиком считывается в память, данные в ней модернизируются и снова записывается на поверхность магнитной пластины. Внимательный читатель заметит, что это сильно похоже на работу SSD, который тоже не может изменить произвольную ячейку, так как для этого потребуется очистить целый блок. И будет абсолютно прав, как мы увидим ниже принципы работы SSD и SMR-дисков во многом схожи.\nРазмер лент производители не разглашают, но о них косвенно можно судить по размерам DRAM-буфера, который обычно не менее 256 МБ, кстати, большой объем буфера - один из признаков того, что перед нами SMR-диск. По неофициальным данным размер ленты варьируется от 120 МБ до 256 МБ. Минимальный объем адресуемой области современных файловых систем - 4 КБ. Понятно, что при случайной записи перезаписывать на каждые 4 КБ по 256 МБ - это жуткий перебор и катастрофически скажется на производительности, поэтому разработчики реализовали достаточно сложный алгоритм работы.\nТак у SMR-дисков появилась таблица заполненности лент и диск знает, какая лента свободная, а какая нет. Поэтому запись в первую очередь будет вестись в свободные ленты. Если мы хотим переписать ленту целиком, то диск также обнаружит это и выполнит запись без предварительного чтения. А если мы захотим прочитать чистую ленту, то контроллер просто отдаст нули, не прибегая к чтению с диска.\nНо это все полумеры, если данные идут непрерывным потоком, то свободных лент может и не хватить, чтобы не снижать производительность на SMR-дисках выделяется особая область - медиа кеш, который использует обычную перпендикулярную запись и расположен в самом начале диска, его размер около десятка гигабайт и он расположен за пределами LBA, т.е. не доступен пользователю напрямую. Если проводить аналогии с SSD, то это аналог резервной области и SLC-кеша одновременно. Как можно увидеть из приведенной выше схемы, то диск использует несколько различных алгоритмов, если в наличии есть достаточное количество свободных лент, то запись будет производиться непосредственно в них, если же идет большой поток случайной записи, то ее готов принять в себя медиа-кеш. Но даже потом, диск будет предпочитать писать в свободные ленты, чтобы избежать штрафа на перезапись ленты. Нетрудно заметить, что все это очень напоминает механизм CoW в SSD.\nПосле того, как диск перешел в режим ожидания в нем включается механизм реорганизации, который будет перемещать записанные данные в занятые ленты, тем самым упорядочивая данные и поддерживая максимально возможное количество свободных лент. Ну чем вам не уборка мусора?\nКроме того, SMR диски поддерживают команду TRIM, что позволяет вовремя освобождать ленты от удаленной информации и производить реорганизацию наиболее эффективно.\nКак видим, разработчики сделали очень многое для того, чтобы SMR-диски не уступали по производительности своим обычным коллегам. Кстати, сегодня часто употребляется аббревиатура CMR (Conventional Magnetic Recording, обычная магнитная запись), по идее одна должна включать в себя LMR и PMR, но так как первая уже свыше 10 лет не используется, то можно считать CMR еще одним аналогом PMR.\nИтак, в каких же сценариях SMR-диски могут показать сильное падение производительности? Ответ очевиден: продолжительные нагрузки, преимущественно случайного характера. В этом случае мы быстро исчерпаем количество свободных лент, полностью загрузим медиа кеш и заставим диск перейти в режим реорганизации с большими штрафами на каждую операцию записи. Второй вариант - это интенсивные операции записи на практически полностью заполненном диске.\nТаже не рекомендуется использовать SMR-диски в RAID-массивах с вычислением четности (RAID5/6, RAIDz), в момент перестроения нагрузка на диски может привести к серьезному снижению производительности или выпадению диска из массива. Также не следует сочетать в одном массиве SMR и PMR диски.\nВыводы Так стоит ли избегать SMR-дисков? Ответ - нет. Наряду с недостатками они имеют целый ряд преимуществ. За счет более высокой плотности записи они имеют меньшее количество пластин на тот же объем и, следовательно, имеют более низкий нагрев, уровень шума и вибраций, а также такие диски дешевле. И если это не заметно на небольших объемах, то с их ростом разница в цене начинает быть ощутимой.\nПри этом надо понимать, что SMR-диски не предполагают продолжительной и интенсивной нагрузки, особенно случайной записи. Их основное предназначение - хранение. Они отлично подходят для \u0026quot;холодных\u0026quot; данных или для сценариев \u0026quot;один раз записал - много раз читаю\u0026quot;, например, домашние медиахранилища для музыки, видео, фотографий.\nОсновной негатив, который значительно испортил репутацию SMR-дисков создали сами производители, скрывая использование данной технологии в некоторых моделях, в результате чего пользователи использовали их в нежелательных сценариях и получили негативный опыт. Если полностью учитывать особенности SMR-дисков и использовать их по назначению, то никаких сложностей или проблем их эксплуатация не принесет, а, наоборот, позволить обновить систему хранения с экономией средств и улучшением эксплуатационных характеристик (шум, вибрация, нагрев).\n","id":"302312f4cd052b7c9fb26559a432ccce","link":"https://interface31.ru/post/chto-takoe-cherepichnaya-magnitnaya-zapis-smr-i-stoit-li-ee-izbegat/","section":"post","tags":["HDD","PMR","SMR","Производительность"],"title":"Что такое черепичная магнитная запись SMR и стоит ли ее избегать?"},{"body":"В современных системах Active Directory для синхронизации каталогов SYSVOL использует службу репликации DFS (DFSR), для которой намеренно убрана возможность внесения любых изменений через интерфейсы управления, чтобы избежать аварийных ситуаций. Но случается, что файловая репликация в домене перестает работать и администраторы начинают испытывать существенные затруднения с ее диагностикой и восстановлением. Но не все так плохо, при помощи нашей статьи вы быстро и без особых затруднений сможете исправить ситуацию.\nФайловая репликация SYSVOL используется в Active Directory для синхронизации логон-скриптов и групповых политик между контроллерами домена и при ее нарушении наблюдаются проблемы с изменением и применением политик. Одним из симптомов нарушения репликации является пропажа из общих ресурсов контроллера папки SYSVOL.\nВ этом случае у нас будет наблюдаться рассинхронизация содержимого данной директории на контроллерах и станет необходимо определить контроллер с наиболее полным и актуальным ее содержимым, чтобы сделать его заслуживающим доверия (авторитетным) источником и провести с него репликацию SYSVOL на остальные контроллеры.\nОтветственным за внесение изменений в групповые политики и пространство имен DFS является эмулятор первичного контроллера домена - PDC, поэтому скорее всего именно он будет обладать наиболее актуальной копией. Если это не так, то мы рекомендуем передать эту роль контроллеру, обладающему наиболее актуальной копией или перенести ее содержимое на PDC.\nВсе указанные ниже команды нужно производить в командной строке, запущенной с повышенными правами.\nПрежде всего остановим службу репликации DFS на всех контроллерах домена:\n1sc stop dfsr Теперь перейдем на контроллер, назначенный нами авторитетным, в нашем случае это PDC и запустим на нем оснастку Редактирование ADSI и выполним Действия - Подключения к - Контекст именования по умолчанию. И в нем разворачиваем дерево CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=\u0026lt;Имя_Контроллера\u0026gt;,OU=Domain Controllers,DC=\u0026lt;Имя_Домена\u0026gt; и раскрываем свойства объекта. На авторитетном контроллере мы должны установить два параметра:\n1msDFSR-Enabled=FALSE 2msDFSR-Options=1 Затем здесь же раскрываем деревья других контроллеров и изменяем там только один параметр:\n1msDFSR-Enabled=FALSE После чего на авторитетном контроллере запускаем принудительную репликацию:\n1repadmin /syncall /APed На всех остальных контроллерах проверяем, что репликация выполнена:\n1repadmin /showrepl Возвращаемся на авторитетный контроллер и запускаем на нем службу репликации DFS:\n1sc start dfsr Затем переходим в оснастку Просмотр событий - Журналы приложений и служб - Репликация DFS: В нем должно появиться событие 4114 - Реплицированная папка с локальным путем C:\\Windows\\SYSVOL\\domain была отключена.\nПосле чего возвращаемся в оснастку Редактирование ADSI и для авторитетного контроллера устанавливаем:\n1msDFSR-Enabled=TRUE Снова выполняем принудительную репликацию и убеждаемся, что она завершилась успехом.\nЗатем на авторитетном DC выполняем:\n1DFSRDIAG POLLAD В журнале событий должна появиться запись 4602 - Служба репликации DFS успешно инициализировала реплицированную папку SYSVOL по локальному пути C:\\Windows\\SYSVOL\\domain. Этот участник является назначенным основным членом для этой реплицированной папки.\nПереходим на остальные контроллеры и запускаем на них службу репликации DFS:\n1sc start dfsr Убеждаемся, что на каждом из них в журнале появилось событие 4114.\nЕще раз возвращаемся в оснастку Редактирование ADSI и устанавливаем для всех неавторитетных контроллеров значение:\n1msDFSR-Enabled=TRUE И выполняем принудительную репликацию. Убедившись, что она завершилась успешно, на каждом неавторитетном контроллере вводим команду:\n1DFSRDIAG POLLAD После чего контролируем появление в журнале событий 4614 и 4604, указывающие на то, что SYSVOL был инициализирован и реплицирован с заслуживающего доверия контроллера домена.\n","id":"1af66596a98c585a7242683397f5c688","link":"https://interface31.ru/post/vosstanovlenie-replikacii-sysvol-pri-pomoshhi-dfsr-v-active-directory/","section":"post","tags":["Active Directory","DFSR","SYSVOL","Windows Server","Репликация"],"title":"Восстановление репликации SYSVOL при помощи DFSR в Active Directory"},{"body":"Вот уже не первый раз читатели нас спрашивают: как установить операционную систему Debian или Ubuntu с графической оболочкой, но минимальным набором пакетов. Задача достаточно простая, но на пути к ней есть ряд неочевидных моментов, поэтому мы решили пойти навстречу и написать такую статью. Сразу предупреждаем, если вы хотите получить минималистичную систему в которой можно сразу приступить к работе - то лучше поищите готовый дистрибутив. Наш метод предназначен тем, кто хочет получить именно минимальный каркас, который потом самостоятельно настраивать и приводить в нужное состояние.\nУстановка базовой системы Так как данная статья рассчитана на пользователя, имеющего базовый опыт работы с Ubuntu или Debian, то мы не будем останавливаться подробно на вопросах установки, а укажем только на некоторые ключевые особенности.\nНачнем с дистрибутивов. У Debian имеется единый дистрибутив, при помощи которого можно установить как серверную, так и настольную систему, причем сделать это как в текстовом, так и в графическом режиме. Оба режима установщика полностью равнозначны и можно, например, спокойной установить настольную систему в текстовом или сервер в графическом. На результат влияет только выбранный набор ПО при установке. Чтобы не получить лишнего оставляем только единственный пункт - Стандартные системные утилиты, также, по желанию, можем добавить туда SSH-сервер. По сути, мы получим типичную минимальную серверную инсталляцию. В Ubuntu подход совершенно иной, там имеется серверный дистрибутив, при помощи которого можно установить минимальную систему без GUI и набор дистрибутивов для каждой графической оболочки, которые сразу и безальтернативно поставят вам весь набор ПО. При этом, вопреки распространенному мнению пакетная база у обоих дистрибутивов полностью одинакова и все что отличает их - это набор предустанавливаемого ПО. Поэтому нам понадобится серверный дистрибутив, который следует установить в минимальной конфигурации.\nТеперь о разметке диска, так как речь идет о настольной системе, то имеет смысл выносить /home на отдельный раздел, а также использовать LVM, чтобы облегчить дальнейшее управление дисками. При использовании swap-раздела (Debian) его следует размещать вначале диска перед корневым.\nТаким образом схема разделов представляется следующей:\nDebian: EFI - boot (опционально) - swap - корневой раздел - home Ubuntu: EFI - boot (опционально) - корневой раздел - home Теперь о размерах разделов, для EFI вполне достаточно 500 МБ, а вот boot, с учетом размера современных ядер также следует делать не менее 500 МБ, а лучше 1 ГБ. Размер установленной системы, в зависимости от выбранной графической оболочки составляет для Debian 3-5 ГБ, для Ubuntu 8-10 ГБ. Откуда такая разница? Все дело в файле подкачки, который Ubuntu размещает в корневом разделе. Исходя из этого планируйте размер корневого раздела таким образом, чтобы там поместилось и все задуманное вами ПО. Каких-либо рекомендаций дать здесь невозможно, у каждого свои потребности и свой взгляд на состав будущей системы.\nТакже, так как это настольная система, мы советуем при установке Debian оставить пустым пароль суперпользователя root и использовать управление системой через sudo, так как это сделано в Ubuntu.\nУстановка графической оболочки Графических оболочек много, на любой вкус и рассмотреть установку их всех в рамках одной статьи невозможно, поэтому мы приведем примеры только для трех: Gnome,KDE и XFCE, но поняв принцип вы сможете также легко установить любую.\nПрежде всего вам нужно найти метапакет, устанавливающий нужную оболочку в минимальной конфигурации. Для этого следует обратиться к специализированным ресурсам, содержащим информацию о пакетах и их подробное описание. Это Debian Packages и Ubuntu Packages, соответственно.\nТак для Gnome без труда находится пакет gnome-core - GNOME Desktop Environment - essential components. Это как раз то, что нам нужно, открыв информацию о пакете можно просмотреть его зависимости, чтобы понять, что будет установлено в систему, сами метапакеты являются пустышками, их цель - удобная установка набора пакетов.\nНа что нужно обязательно обратить внимание? На наличие в зависимостях дисплейного менеджера, если не углубляться в подробности, то это экран входа в систему в графическом режиме предназначенный для ввода учетных данных пользователя и выбору параметров сеанса. Наиболее широко используется следующие дисплейные менеджеры:\nGDM - экранный менеджер GNOME LightDM - независимый от среды рабочего стола экранный менеджер. SDDM - экранный менеджер, основанный на QML, рекомендуется для KDE и LXQt. Если вы собираетесь установить несколько графических оболочек, то учтите, что активным может быть только один дисплейный менеджер и каждый из них способен работать с любой графической оболочкой, рекомендации выше нацелены на использование наиболее \u0026quot;родного\u0026quot; по составу библиотек и пакетный базы менеджера.\nЕсли в зависимостях метапакета дисплейного менеджера нет, то его следует установить отдельно. При установке сразу нескольких менеджеров вам будет предложено выбрать какой из них будет использоваться. В нашем случае метапакеты содержат дисплейные менеджеры: Gnome - gdm3, KDE - sddm, XFCE - lightdm.\nНиже мы приведем примеры установки каждой из графических сред и покажем скриншоты из готовой системы.\nGnome:\n1apt install gnome-core KDE Plasma 5:\n1apt install kde-plasma-desktop XFCE 4:\n1apt install xfce4 Итак, графическая оболочка установлена, осталось научить систему грузиться в графическом режиме, в этом нам поможет systemd, для которого следует просто изменить цель загрузки (boot targets):\n1systemctl set-default graphical.target Перезагружаем систему и видим графическое окно входа, основная цель достигнута.\nНастройка NetworkManager Еще одна задача, которую вы с большой вероятностью захотите выполнить - это переключить управление сетью на Network Manager. Данное ПО в представлении не нуждается и фактически представляет стандарт для графических оболочек Linux систем. Для полноценной работы нам потребуется установить две компоненты: сам Network Manager и апплет для панели задач, большинство систем, кроме KDE, используют network-manager-gnome, в KDE - plasma-nm.\nВ некоторых оболочках Network Manager уже может быть установлен, косвенным признаком является наличие значка управления сетью на панели задач. Чтобы окончательно убедиться в этом выполните:\n1dpkg -l | grep network-manager Если Network Manager установлен, то можно сразу переходить к настройке. В противном случае нам потребуется его установить.\nДля KDE Plasma:\n1apt install network-manager plasma-nm Для остальных оболочек:\n1apt install network-manager network-manager-gnome Настройка будет зависеть от типа системы, так как в современных Debian и Ubuntu разный подход к управлению сетью.\nDebian В Debian управление сетью происходит по-старинке, через Ifupdown, для переключения на Network Manager достаточно просто удалить настройки в /etc/network/interfaces. Откроем этот файл и удалим оттуда все строки, кроме:\n1# interfaces(5) file used by ifup(8) and ifdown(8) 2auto lo 3iface lo inet loopback Затем перезапустите NetworkManager, обратите внимание на соблюдение регистра в команде:\n1systemctl restart NetworkManager После чего настройки интерфейса будут автоматически подхвачены службой, что сразу отразится на значке в панели задач: там появится сетевой интерфейс и возможность работать с ним.\nUbuntu В Ubuntu для управления сетью используется netplan, это достаточно продвинутая система и она поддерживает работу с NetworkManager, надо просто явно указать это в настройках, иначе, по умолчанию, будет использоваться networkd. Для этого откройте файл**/etc/netplan/00-installer-config.yaml** и приведите его к следующему виду:\n1network: 2 version: 2 3 renderer: NetworkManager Напоминаем, что для файла настроек применяется формат YAML который использует для форматирования отступы в 2 или 4 пробела.\nДля проверки используйте:\n1netplan try Если все хорошо, то примените новые сетевые настройки командой:\n1netplan apply Изменения вы увидите сразу. И, кстати, если после установки Network Manager и выполнения указанных действий вы так и не увидели значка на панели задач - просто перезагрузите компьютер.\n","id":"6835f6cc449d5c0c7d361d08b3685454","link":"https://interface31.ru/post/kak-ustanovit-debian-ubuntu-s-graficheskoy-obolochkoy-v-minimalnoy-konfiguracii/","section":"post","tags":["Debian","KDE","Linux","Ubuntu","Ubuntu Server","XFCE"],"title":"Как установить Debian или Ubuntu с графической оболочкой в минимальной конфигурации"},{"body":"Дистрибутивов Linux много, и они все достаточно разные. Есть прикладные, есть любительские, а есть экспериментальные, на которые интересно посмотреть в целях расширения кругозора и знакомства с чем-то новым и необычным. Стоит ли тратить на это свое время? Стоит, так как хороший специалист должен не только разбираться в своей специализации, но и иметь представление о состоянии дел в отрасли в целом, включая различные экспериментальные проекты и течения, хотя бы для того, чтобы иметь о них собственное мнение.\nЕсли бегло взлянуть на описание Nitrux, то многие могут просто махнуть рукой, мол еще один дистрибутив на базе Debian с нескучными обоями. Но стоит прочитать подробнее и скуку как рукой снимет. Начнем с ядра, здесь установлено ядро Linux 6.0 от Xanmod, что уже само по себе интересно. Вместо вездесущего systemd применяется альтернативная система инициализации OpenRC, отличный повод проверить ее в деле для всех противников Поттеринга. И, наконец, собственное рабочее окружение NX Desktop основанное на базе KDE Plasma с собственным фреймворком для создания приложений для него - MauiKit. Плюс набор собственных приложений для основных выполняемых в оболочке задач.\nВсе вышеперечисленное вместе представляет собой довольно экзотический коктейль, поэтому интересно посмотреть, что из этого вышло и как оно работает. Для тестирования мы взяли свежий выпуск Nitrux 2.5.0 увидевший свет буквально на днях, 1 ноября 2022 года.\nИзначально система загружается в Live-режим что позволяет проверить совместимость с вашим оборудованием и вообще решить, стоит ли продолжать. Инсталлятор оформлен в собственном стиле, но повторяет все шаги классического установщика Debian, все также начинаем с выбора языка, русский присутствует. Затем указываем часовой пояс. параметры клавиатуры и вводим данные о компьютере и пользователях. Вот здесь имеется некоторое неудобство, все параметры вводятся в узкой колонке справа, и чтобы заполнить их все требуется прокрутка. Выглядит это тем более непонятно с учетом того, что места на экране хватает. Опционально можно ввести пароль пользователя root, если же оставить его пустым, то будет установлена утилита sudo и административные права получит созданный на этом этапе пользователь. Разметка по умолчанию - один раздел на весь диск, только вместо ext4 используется файловая система XFS. После чего вам еще раз покажут все настройки и начнется процесс установки, смотреть в это время особо не на что, красивых слайдов не подготовили. В целом установка проста и каких-либо затруднений вызывать не должна. Окно входа в систему: А вот дальше начинается самое интересное - рабочая среда NX Desktop. Несмотря на то, что она основана на KDE - общего у них не много: KDE предоставляет стандартный классический интерфейс, привычный пользователям Windwos систем, NX Desktop - это нечто кардинально иное, основанное на идеях Gnome 3 и macOS, но в собственном, достаточно специфическом понимании.\nНа первый взгляд концепция понятна: док внизу, меню в верхней панели - где-то мы это все уже видели, но здесь решили идти до конца и перенесли в левую часть верхней панели кнопки управления окнами. При этом окна у нас сами по себе, кнопки сами по себе, а меню и настройки, в зависимости от типа приложения либо в меню, либо в самом окне. Ниже показан родной файловый менеджер Index, кнопки управления окном - слева вверху, меню и настройки в самом окне. Есть вопросы и к работе контекстного меню, если кликнуть правой кнопкой на объект, то меню всплывает поверх файла и его внешний вид очень напоминает еще одну свежую систему. А если кликнуть на пустом месте, то вместо меню выезжает панель настроек в правой части окна, это сбивает фокус и заставляет постоянно бегать мышкой туда и обратно. Какой логикой руководствовались разработчики - непонятно, но явно не эргономикой. Также крайне непонятно работает множественное выделение, чтобы выделить файл можно кликнуть на него с зажатым Ctrl, но снять выделение можно только сняв небольшой чекбокс с файла, группового снятия выделения нет. Выделение с Alt работает крайне непонятно, только вперед по списку, если в диапазон попадают уже выделенные файлы, то можно получить совсем неожиданные результаты.\nРабота с окнами тоже вызывает много нареканий, так если вам нужно свернуть неактивное окно, то вам нужно сначала кликнуть на него и сделать активным, а потом вернуться в левый верхний угол к элементам управления. А теперь представьте сколько лишних километров пробега мышью намотают владельцы 2K и 4K мониторов?\nСтартового меню нет, вместо него стартовый экран, на котором представлены установленные программы, все они, кроме браузера, преимущественно собственной разработки. Все они созданы с помощью фреймворка MauiKit и достаточно просты, чтобы получить представление о них достаточно посмотреть на парочку. Например, программа для заметок и текстовый редактор. Отличительной особенностью программ на MauiKit является то, что органы управления окном находятся в верхней панели, а меню в самих окнах и выполнены на мобильный манер, выпадая при нажатии на клавишу \u0026quot;Плюс\u0026quot; или \u0026quot;Бутерброд\u0026quot;. Программы, хоть и простые, но тоже обладают загадочной логикой, так приложение для просмотра изображений при открытии файла из папки двойным кликом отказывается листать изображения, для этого нужно открыть саму папку как галерею внутри приложения. Смонтированные файловые системы, например, флешки или диски внутри приложений недоступны. Хотя, когда мы открыли файл с фильмом с флешки приложение для просмотра видео для чего-то подтянуло в коллекцию вообще все мультимедиа с флешки до которого дотянулось. Мягко говоря, это не очень хорошо, так как выводит она содержимое всего диска, включая вложенные папки в которых может содержаться то, что не предназначено для посторонних глаз (персональная, финансовая, медицинская информация). Аудио тоже по умолчанию открывается видеопроигрывателем, чтобы нормально послушать музыку вам нужно будет сначала открыть аудиоплеер и уже в нем добавить нужную папку с треками. Сам плеер работает более-менее корректно, прочитал MP3-теги и подтянул обложку альбома из директории. Терминал тоже собственной разработки с оболочкой Zsh по умолчанию, мы понимаем, что она более продвинутая и многим нравится, но хотелось бы все-таки видеть из коробки привычный bash. С источниками пакетов у Nitrux сборная солянка, что-то из репозиториев Debian, что-то из собственных, а что-то из PPA и KDE Neon. Но использовать репозитории для установки ПО разработчики не рекомендуют, так при попытке запустить dpkg вы получите сообщение:\nWe strongly emphasize using AppImages over Debian packages.\nЭто понятно, многие приложения из Debian ожидают увидеть systemd и вместе с OpenRC могут вести себя некорректно.\nДля установки ПО в системе имеется NX Software Center, который является оболочкой над Appimagehub.com, который в момент написания статьи не был доступен с территории РФ без VPN. Софт в магазине далеко не новый, если не сказать - старый. Особенно странно видеть сочетание LibreOffice 7.0 вместе с ядром 6.0 и свежайшим KDE. Плюс сразу вылезли проблемы темной темы. Да, это сегодня считается стильным, модным, молодежным, но если у вас нет своих приложений, то может стоит быть немного попроще? Да, это лечится простой сменой набора значков, но тем не менее. Сразу обратите внимание, что сам офис у нас в одном окне, а его меню вместе с органами управления в верхней панели. Поставим еще одну программу - GIMP, версия тоже не сильно свежая, но здесь меню осталось в родном окне. Такая вот неоднородность поведения здорово сбивает с толку и мешает выработать единую привычку управления системой. Но это еще ерунда, как выяснилось окна сторонних, т.е. созданных не на MauiKit приложений нельзя просто так перемещать, изменять размер можно, перемещать нельзя. Есть один выход, но для этого придется воспользоваться контекстным меню в доке. Скажем честно - решение довольно дикое, учитывая, что перемещение окон - это одна из базовых функций любой графической оболочки, которая осуществляется на подсознательном уровне.\nНесмотря на то, что разработчики не рекомендуют, мы все-таки поставили еще один экземпляр GIMP через apt и сильно удивились. Теперь меню из окна перекочевало на верхнюю панель, а возможность перемещать окно пропало вовсе. В общем \u0026quot;минздрав\u0026quot; вас предупреждал. Для управления параметрами системы предлагается стандартный Центр настройки от KDE. Но со своими приколами, например, при попытке настроить синхронизацию времени получили такую вот непонятную ошибку. Казалось бы, не хватает прав - так запроси, для Linux это насквозь штатная ситуация. И таких фокусов, к сожалению, хватает. Поэтому мы без особого сожаления нажали кнопку выключения системы. С Nitrux, безусловно интересно, но этот интерес сродни посещения зоопарка: походили, посмотрели, скушали мороженное и поехали домой, к привычным делам и заботам.\nВыводы Несмотря на \u0026quot;взрослый\u0026quot; номер версии система кажется нам каким-то пробным концептом, где разработчики накидали общие детали будущей задумки, но еще сами до конца не знают как именно это должно будет выглядеть. Интерфейс непонятен, нелогичен и не имеет целостной концепции. Фактически нам приходится постоянно бегать мышкой из одного конца экрана в другой. Более-менее удобны только родные приложения на MauiKit, но с учетом что всё меню у них внутри окна, то следовало переместить туда же и кнопки управления.\nВыбор AppImage как основного источника приложений тоже далеко не лучший вариант, ведь есть более продвинутые Snap и Flatpack. Но тут самое время вспомнить про OpenRC и понять, что тут не все так просто. Хотя если уж так хочется покинуть стройные ряды systemd-дистрибутивов, то пакетная база Debian далеко не лучший выбор. Брали бы тогда за основу Gentoo, там эта система инициализации из коробки и с софтом было бы попроще.\nГде можно использовать Nitrux? Да, пожалуй, нигде. Мы не видим для нее какого-либо практического применения. Разве что удовлетворить собственное любопытство и таким образом скоротать длинный осенний вечер. Хотя система действительно весьма необычна и в чем-то интересна, надеемся, что у нее все еще впереди.\n","id":"1a29d27d092f9c5ad2942dc34cf439f6","link":"https://interface31.ru/post/nitrux-25-kogda-hochetsya-chego-to-neobychnogo/","section":"post","tags":["Debian","KDE","Linux","Nitrux"],"title":"Nitrux 2.5 - когда хочется чего-то необычного"},{"body":"Работа по удаленному доступу плотно вошла в повседневную жизнь системных администраторов и многие уже не представляют как они обходились без этого раньше. И даже самые скептические настроенные заказчики давно поменяли свое отношение к данной технологии, особенно во время коронавирусных ограничений. Тем не менее выбор подходящей программы для удаленного доступа вовсе не такой простой вариант, как кажется. многие из них имеют свои неочевидные особенности. Учитывая наш богатый опыт использования такого ПО, мы решили сделать небольшой обзор с оценкой основных возможностей и удобств.\nТак уж повелось, что одной из самых первых, действительно массовых программ стал TeamViewer, который фактически стал эталоном для данного класса ПО. Несмотря на то, что бесплатные версии не работают на территории РФ, мы все равно добавили его в обзор и будем сравнивать остальные решения с ним.\nДля каждой программы мы выделили несколько групп критериев по которым будем выставлять оценки по пятибалльной шкале, они базируются на нашем собственном опыте и представляются нам наиболее важными в реальной работе.\nПодключение - удобство подключения и переподключения к устройству, наличие портативных версий, работа без установки Взаимодействие - взаимодействие с удаленной системой, управление, буфер обмена, передача файлов, передача сочетания клавиш Повышение прав - работа с UAC и возможность выполнять действия из-под ограниченной учетной записи Инфраструктура - адресные книги, неконтролируемый доступ, совместная работа При этом мы не будем рассматривать вопросы лицензирования, так как это тема отдельной беседы и сильно зависит от характера применения и частоты использования приложений.\nВсе тесты проводились в конфигурации по умолчанию, без каких-либо настроек, это обусловлено тем, что очень часто для оказания поддержки приходится подключаться именно к такой конфигурации, особенно если работы разовые или не частые.\nTeamViewer По сути, это некий эталон программ для удаленного доступа, возможно потому, что она была одной из первых действительно массовых и удобных, поэтому часто простые пользователи называют так любую аналогичную программу. Мы тоже долго работали и продолжаем работать с TeamViewer вполне обоснованно считая ее лучшей программой в своем классе.\nTeamViewer можно как установить на ПК, так и использовать для установки, имеется отдельный вариант - TeamViewer QuickSupport, который представляет собой всего один исполняемый файл и может использоваться только для предоставления доступа к ПК. Это удобно, достаточно просто прислать ссылку и попросить запустить скачанный файл.\nПодключение происходит через ID и случайно генерируемый при каждом запуске пароль, пока открыто окно программы пароль остается неизменным. Никакого одобрения пользователя для подключения к ПК на той стороне не требуется. На стороне клиента введённый пароль запоминается и при обрыве связи позволяет быстро переподключиться к устройству. Каждое новое подключение открывается в отдельной вкладке. В целом TeamViewer позволяет быстро и просто подключаться к удаленным узлам и поддерживать с ними связь. Наша оценка в категории Подключение - 5 баллов.\nВзаимодействие с удаленной системой тоже не представляет сложностей, доступен общий буфер обмена, передача файлов путем перетаскивания, можно передать отдельные сочетания клавиш и, при необходимости, можно заблокировать средства ввода на удаленной машине. Единственная тонкость, которую мы не можем назвать недостатком - это использование раскладки именно локального компьютера, которая может отличаться от того, что показывает индикатор раскладки удаленного ПК.\nТакже существует отдельный удобный двухпанельный инструмент для передачи файлов в обе стороны. И хотя это окно видно только на локальном ПК, при передаче данных на удаленной стороне всплывают уведомления и пишется журнал событий, что весьма благотворно влияет на безопасность, утащить какие-то файлы с удаленного ПК \u0026quot;по-тихому\u0026quot; не получится. Отдельного упоминания заслуживает инструмент записи удаленного сеанса, для его включения требуется явное согласие удаленной стороны, так что за безопасность можно не переживать. Формат записи - собственный и достаточно компактный, запись продолжительностью 8 часов 40 минут занимает примерно 170 МБ. Для воспроизведения используется собственный плеер, есть возможность конвертировать запись в видео, но размеры ее значительно вырастут. Возможность записи является хорошим подспорьем при расследовании плавающих инцидентов, которые не удается воспроизвести, в этом случае включается запись сеанса и при возникновении проблемы есть возможность детально отследить что делалось до, во время и после нее. Как видим, возможностей очень много, поэтому за взаимодействие также ставим заслуженные пять баллов.\nТрудно представить современную систему без UAC, TeamViewer позволяет без проблем взаимодействовать с ней как при запуски из-под обычной учетки, где нужно только нажать \u0026quot;да\u0026quot;, так и при работе с ограниченными правами, позволяя удаленно заполнить учетные данные в запросе на повышение прав. Если же нужно получить админские права на продолжительный промежуток времени, то можно воспользоваться функцией Сменить пользователя и перелогиниться в другую учетную запись без обрыва связи. Поэтому за Повышение прав также 5 баллов, даже по удаленке вы не будете стеснены практически никакими рамками и будете работать практически так, как привыкли локально.\nДля работы с адресными книгами и получения неконтролируемого доступа вам потребуется учетная запись TeamViewer, после того как вы настроите неконтролируемый доступ - этот ПК автоматически окажется вашей адресной книге. Также можно добавлять туда узлы просто для быстрого доступа, но, чтобы подключиться вам понадобится одноразовый пароль. Для всех узлов, добавленных в адресную книгу, имеется простая сигнализация о возможных проблемах: неактивно защитное ПО, мало места на диске и т.д. и т.п., мелочь, а удобно, особенно если заказчик не крупный и никаких других систем мониторинга у него нет.\nТак как все это завязано на учетную запись - то доступно из любого места, достаточно просто залогиниться в приложении. В целях безопасности первый вход на новом устройстве следует подтвердить, перейдя по ссылке в письме на ящик, использованный для регистрации, поэтому он всегда должен быть под рукой.\nВ целом управлять парком устройств при помощи TeamViewer достаточно удобно, устройства можно расположить по группам, видеть какие из них онлайн, а какие нет, также можно настроить совместный доступ к группам, чтобы работать с коллегами или админами заказчика. Оценка за Инфраструктуру ожидаемо 5.\nОбщая оценка - 5 баллов, в дальнейшем мы будем рассматривать TeamViewer как некий эталон.\nAnyDesk Второй по популярности, после TeamViewer, инструмент удаленного доступа. Точно также может быть использован без установки, но при этом будет иметь ряд ограничений: нельзя передавать сочетания клавиш, нельзя взаимодействовать с питанием (выключение, перезагрузка), нельзя записывать видео. Для подключения предлагается только ID, после чего принимающая сторона должна подтвердить подключение. После обрыва связи подтверждение придется запрашивать снова. Это откровенно неудобно, особенно если поработать надо долго, а каналы связи оставляют желать лучшего. Кроме того, это фактически привязывает к вам сотрудника - он должен находиться в шаговой доступности и не может пойти заняться другими делами. Единственной альтернативой этому будет установка программы и настройка доступа с паролем, фактически - неконтролируемый доступ, что по вполне очевидным причинам, приемлемо не для всех клиентов. Поэтому Подключение - 4 балла.\nВзаимодействие опять сильно зависит от того, установлена программа или нет. Но штатно работает в обе стороны буфер обмена, а вот перетаскивания нет. Для передачи файлов есть специальный режим, но он тоже не очень удобен, так как полностью перекрывает основное окно. Но в целом каких-то особых претензий к нему нет. Запись сеанса также доступна только после установки. Каждое новое соединение открывается в новом окне, каждое из которых может быть своего размера, если разрешения экранов у удаленных систем разные, если есть необходимость работать с многими удаленными узлами, то работа превращается постоянное переключение в каше разномастных окон. Кроме того, даже если узлы добавлены у вас в адресную книгу, то в заголовках окон все равно будут ID, пока вы не переименуете сеансы в Избранном. А вот следующую возможность можно записать в плюсы - это построение ТСР-туннелей, которые очень похожи на SSH-туннели и позволяют либо прокинуть локальный порт на любой узел удаленной сети, либо любой порт в локальной сети на локальный порт удаленной машины. Данная возможность также доступна только после установки программы. В целом назвать взаимодействие с удаленной системой отличным нельзя, начиная от банальных неудобств интерфейсного характера и заканчивая ограничением возможностей, если программа запущена без установки. Например, чтобы перезагрузить компьютер - вам придется обращаться к сотруднику, но вам все равно придется его звать, чтобы он подключил вас обратно и хорошо если с той стороны кто-то толковый, а не бабушка-продавец в сельском магазине. Поэтому больше 4 баллов не поставим.\nА вот с повышением прав наступает отдельное веселье. Без установки доступны два варианта подключения: с админскими правами и без. Угадать куда вас подключит пользователь - то еще удовольствие, либо снова нужно звонить и оговаривать этот вопрос отдельно. В общем, если вас подключили без админских прав, то работать придется в четыре руки, все действия, требующие повышения полномочий нужно будет делать той стороне. Для нормальной работы вам придется или запросить повышение прав и дождаться подтверждения на той стороне, либо переподключиться нужным образом. Если же вы вошли под ограниченной учеткой, то работы не будет, так как все окна с запросом пароля администратора будут показываться сугубо с той стороны.\nЧтобы нормально работать с UAC и повышением прав удаленно - вам нужно установить программу. Тогда даже в ограниченной учетной записи вы сможете повысить права и ввести пароль удаленно.\nЭто не просто плохо, это очень плохо, например, в сценарии, когда вы знаете админские учетные данные, а пользователь их знать не должен и вам нужно получить доступ в систему. Без физического доступа к оборудованию у вас ничего не получится. Установить AnyDesk вы не сможете, говорить пользователю пароль нельзя.\nЕще один момент, который по-хорошему надо во взаимодействие, но он больше касается прав и безопасности. Запись сеанса не требует подтверждения пользователя и с его стороны никак не отображается. что не очень хорошо и может приводить ко злоупотреблениям.\nЕсли просуммировать все вышесказанное, то больше тройки мы тут не поставим.\nИ наконец инфраструктура. Прямо на главном экране отображаются последние сеансы и избранное, куда можно добавить произвольные узлы, это не требует никаких аккаунтов, но и хранится локально, на другом ПК вам придется формировать избранное заново. Во многих случаях этого может быть достаточно, особенно если узлов у вас не много. Также виден онлайн-статус узла и небольшая картинка со скриншотом рабочего стола. Неконтролируемый доступ настраивается после установки программы назначением пароля доступа, также можно указать отдельный список ID для которых будет разрешен такой доступ.\nПосле регистрации учетной записи в входе в нее в программе появится возможность создания адресной книги, но тут тоже есть нарекания. Во-первых, нельзя создавать группы, ситуацию несколько исправляет возможность создания нескольких адресных книг, но это не столь удобно, так как требует постоянно переключаться между ними. Но это половина беды, беда в том, что данные адресной книги не синхронизируются с узлами в избранном и последних сеансах, а чтобы получить нормальные, информативные заголовки окон вам придется продублировать адресную книгу в избранное и еще раз переименовать подключения. А как обрадуется ваш коллега, если ему временно нужно будет поработать на своем ПК в ваше отсутствие, выяснять принадлежность открытых окон к узлам ему придется сугубо визуально, ну либо потратить время на создание своего избранного. Почему нельзя было пойти по пути TeamViewer и показывать хотя бы имя хоста - вопрос. Так что оценка за инфраструктуру - 4 балла.\nВ целом, AnyDesk - неплохой продукт и основная альтернатива ушедшему из России TeamViewer, но недоработок очень много, которые не только доставляют неудобства, но и, в отдельных ситуациях, делающие удаленную помощь невозможной.\nИтоговая оценка - 3,75 балла.\nAeroAdmin Отечественная разработка программы для удаленного доступа разработчики которой явно брали пример с TeamViewer, имеет небольшой размер -2,8 МБ, работает без установки, доступ по ID и четырехзначному ПИН-коду. На стороне клиента подключение нужно принять, но не только принять, а еще установить уровни доступа. Фактически перед нами очередной пример неудачного интерфейса, неопытные пользователи таких окон пугаются, кроме того, тут им еще дали возможность легким движением руки отправить нас в черный список, так, не со зла, а сугубо по недоразумению. Но нам от этого легче не будет. Следующий прикол - это то, что после удачного подключения ПИН-код на удаленном ПК поменяется. Т.е. при обрыве связи вам придется не только просить переподключить вас, но и заново найти и развернуть приложение и продиктовать изменившийся код. Все в целом как-то недоделано, оценка за подключение - 3 балла.\nВзаимодействие с удаленной системой тоже как-то не складывается. Доступен буфер обмена, но передать через него файлы нельзя. Передаются сочетания клавиш и собственно все. Ни перетаскивания, ничего более. Запись сеанса доступна через внешний софт, но при этом будет записываться именно видео, размер файлов можете себе представить, очевидно что уместить рабочий день в 170 МБ у вас не выйдет.\nНу ладно, есть же отдельный инструмент передачи файлов, это не так удобно, но это работает. Да, работает, но только в коммерческой версии. Трудно сказать, чем руководствовались разработчики, мы бы еще поняли, если бы программа имела широкое распространение, но увы, такие методы только отбивают желание использовать ее вообще. Ну как без передачи файлов?\nВ остальном интерфейс программы каких-либо нареканий не вызывает, разве что можно посетовать на старомодный дизайн. Удаленная сторона, что тоже важно для такого рода программ, в обязательном порядке получает всплывающее уведомление о подключении администратора. Но в целом за взаимодействие более трех баллов мы не поставим.\nПри запуске из-под полной учетной записи AeroAdmin требует поднять права и проблем с UAC впоследствии не возникает. Но все меняется, если мы попытаемся запустить его из-под ограниченной учетной записи. От нас потребуют прав администратора. Уже весело, у рядового персонала таких прав нет и взять их негде, но, если отказаться от повышения прав программа все равно запустится. Но радоваться рано, на удаленной стороне появится приглашение ввести учетные данные, которые позволят перезапустить AeroAdmin с нужными правами. Но увы, после ввода учетных данных приложение на удаленной стороне просто закрылось, связь была потеряна. Это если не полный провал, то где-то близко. Если на удаленном ПК у пользователя нет административных прав, то мы даже не сможем посмотреть, что там происходит и дать консультацию хотя-бы в телефонном режиме. Оценка - неуд - 2 балла.\nИнфраструктура. По сути, ее нет. Чтобы настроить неконтролируемый доступ мы просто указываем ID оператора и задаем права и пароль. С одной стороны, все просто и логично, сразу видно кому чего можно, а кому нельзя. Но берем вполне реальную ситуацию: админ уехал в командировку, отпуск да куда угодно, с ноутбука он к этому узлу не подключался и там не прописан. И снова надо звонить, подтверждать и т.д. и т.п. Лишняя суета, лишние заботы.\nА что с адресной книгой? А для нее надо лицензию FREE+, ладно, соглашаемся. Мы ожидали чего угодно, анкеты с указанием контактных данных, включая телефон, разрешения присылать очень ценные рассылки, но не такого вот: Ребята, вы там это, в своем уме? Вы на календарь давно смотрели? А новости иногда читаете? Вот прямо сейчас мы разогнались регистрироваться в Facebook ради того, чтобы попробовать вашу адресную книгу? Тем более, что по отзывам она просто локально хранится в файле. А покупать коммерческую лицензию так и не проверив продукт в деле, ну тоже сомнительное предложение. Поэтому снова двойка.\nВ общем, задумка хорошая, исполнение - так себе.\nОбщая оценка - 2,5 балла.\nАссистент Еще одна отечественная разработка, тем более включенная в Единый реестр российских программ. Существует в двух вариантах: собственно дистрибутив и программа для быстрого предоставления удаленного доступа Ассистент \u0026quot;Быстрый старт\u0026quot;, которая представляет собой единственный бинарный файл, просто скачать и запустить. Но оказывается не все так просто, настроек для портативной версии очень даже много. Полная версия внешне не отличается от \u0026quot;Быстрого старта\u0026quot;, а также имеет ряд очень нужных опций, активных по умолчанию, например, предотвращение автоматического ухода в гибернацию. Это крайне полезная функция, переоценить ее трудно, очень много удаленной работы было сорвано тем, что ПК по истечении времени просто уходил в спящий режим. Либо можно убрать кнопку \u0026quot;Закрыть\u0026quot;, тоже достаточно полезная функция, предотвращающая случайное закрытие приложения и потерю связи. В \u0026quot;Быстром старте\u0026quot; подключение нужно подтвердить принимающей стороне и на это отводится ограниченный промежуток времени, при переподключении пароль запоминается, но подтверждение снова придется получить. Полная версия подтверждения не требует, пароль сохраняется в течении сеанса, но это поведение можно отключить. Определенный резон в таком поведении есть, \u0026quot;Быстрый старт\u0026quot; не требует административных прав для запуска и может быть после этого свернут в трей, что потенциально позволяет получить доступ к ПК сотрудника без его ведома.\nТак как с подключением у Ассистента полный порядок, то оценка - 5 баллов.\nВзаимодействие тоже зависит от того, какой клиент находится с удаленной стороны, так \u0026quot;Быстрый старт\u0026quot; не имеет ряда функций, не передает сочетания клавиш, но с задачей быстрой первой помощи справится позволяет. Работает буфер обмена, через который можно передавать файлы, для перетаскивания можно включить Drag\u0026amp;Drop зону на клиенте и перетаскивать файлы с удаленного хоста на локальный ПК. В обратную сторону Drag\u0026amp;Drop зона не работает (во всяком случае мы не разобрались как это сделать).\nПри изменении размеров окна изображение плавно масштабируется, уведомления в всех действиях (подключение, передача файлов и т.д.) выводятся для обоих сторон. Для передачи файлов есть отдельный двухпанельный менеджер, открывается в отдельном окне и не перекрывает основной экран. Также по быстрым кнопкам вверху экрана доступен ряд собственных приложений по управлению удаленным ПК: редактор реестра, диспетчер задач, диспетчер устройств, терминал, управление питанием и т.д. В целом - задумка интересная, исполнение тоже неплохое, во всяком случае каких-то серьезных недочетов мы не выявили. Запись сеанса доступна при установке стороннего ПО и только в формате видео, что, конечно, довольно ощутимый недостаток, так как временами приходится записывать продолжительные по времени сеансы. В целом взаимодействие с удаленной системой организовано в Ассистенте на достаточно высоком уровне и только отдельные недостатки в виде непонятно работающей Drag\u0026amp;Drop зоны или записи сеанса только в формате видео вынудили нас снизить балл до 4.\nЧто касается UAC, то здесь тоже есть разница в поведении между \u0026quot;Быстрым стартом\u0026quot; и установленной версией. В \u0026quot;Быстром старте\u0026quot; все запросы на повышение прав нужно подтверждать на удаленной стороне, такой подход в целом понятен, но в реальной работе вызывает затруднения, по-хорошему достаточно того, что удаленная сторона явно разрешила подключение. При этом если вы вызвали окно UAC, то полностью теряете доступ к системе пока там не подтвердят или откажутся от повышения прав. А дальше есть тонкости, если вы вошли под ограниченной учетной записью, то \u0026quot;Быстрый старт\u0026quot; имеет функцию повышения прав, вы можете ввести учетные данные Администратора и, дождавшись одобрения с удаленной стороны, получить нормальную работу с UAC на удаленном компьютере, если же там единственная учетная запись с полными правами и без пароля - вам не повезло. Установленная версия работает с UAC корректно как из-под полной, так и из под ограниченной учетной записи.\nОпять таки, заметим, что в плане повышения прав Ассистент работает гораздо более понятнее и удобнее аналогов, но проблемы с \u0026quot;Быстрым стартом\u0026quot; снижают балл. Оценка - 4 балла.\nПерейдем к инфраструктуре, для неконтролируемого доступа следует задать на удаленном устройстве постоянный пароль и разрешить неконтролируемый доступ. После регистрации и входа с аккаунтом ассистента становится доступен раздел Администрирование, который предоставляет доступ не только к адресной книге, но и помогает в управлении парком устройств, например, с помощью инструмента удаленной установки. Причем раскатывать софт можно сразу на группу устройств, а это очень нужная и полезная в повседневной деятельности функция. Если вы всерьез обеспокоены безопасностью, то Ассистент также предоставляет возможность использования собственного ID-сервера. Так что с инфраструктурой у нас полный порядок и заслуженные пять баллов.\nПодводя итоги можем сказать, что Ассистент нам очень понравился, если говорить о полноценной замене TeamViewer, то это один из лучших кандидатов. Установленная версия работает именно так, как ожидаешь, портативная не лишена недостатков, но тоже вполне работоспособна. А небольшие недочеты, которые иногда встречаются, совсем не портят впечатления о программе.\nОбщая оценка - 4,5 балла\n","id":"ebdd47970e8141dec60d2764564b3169","link":"https://interface31.ru/post/obzor-vozmozhnostey-programm-dlya-udalennogo-administrirovaniya-pk/","section":"post","tags":["Сетевые технологии","Удаленное администрирование"],"title":"Обзор возможностей программ для удаленного администрирования ПК. Часть 1"},{"body":"Snap - это универсальный формат пакетов, созданный компанией Canonical первоначально для Ubuntu, но получивший широкое распространение и в других дистрибутивах. Главной особенностью snap-пакетов является их самодостаточность, они содержат как нужное приложение, так и все основные зависимости к нему, что ускоряет распространение приложений и снижает возможные конфликты с другим ПО. В этой статье мы опишем основные приемы работы со snap для системного администратора и некоторые неочевидные особенности этой системы управления пакетами.\nК сожалению, многие администраторы, как начинающие, так и опытные крайне негативно относятся к snap, доходя до того, что сразу же удаляют его из системы. При этом разумной аргументации этих действий ими не предоставляется. На наш взгляд - это непрофессиональный подход, хороший специалист не ставит искусственных ограничений для применяемых технологий и умеет играть от сильных сторон, нивелируя слабые.\nПеред тем, как рассматривать работу со snap мы сделаем краткое отступление и рассмотрим причины, приведшие к появлению snap и аналогичных ему форматов, таких как flatpak или appimage. Традиционно софт в Linux распространяется по принципу конструктора, когда все зависимости приложения являются отдельными пакетами или библиотеками и распространяются отдельно. Таким образом, если библиотека нужна сразу нескольким приложениям, то нам достаточно скачать ее один раз и установить в систему. Если в библиотеке найдены ошибки, то достаточно быстро их исправить и выпустить обновление, авторам программ, которые используют эту библиотеку ничего дополнительно делать не надо.\nДля централизованного управления ПО каждый дистрибутив имеет собственный репозиторий, который содержит базу пакетов, собранных именно для этой версии дистрибутива, проверенных на ошибки и является единым доверенным источником программ для системы. И вот здесь появляются первые сложности. Количество даже основных дистрибутивов весьма велико, потому как у каждого из них на поддержке находятся сразу несколько выпусков, с разным составом базовой системы. Поэтому разработчик ПО как правило не собирает бинарные пакеты, этим занимаются мейнтрейнеры дистрибутиовов, что вызывает определенные задержки между выходом нового релиза программы и ее появления в репозитории.\nНо это еще не все. В промышленном применении используются дистрибутивы с долгосрочной поддержкой (LTS), которые гарантируют неизменность основной пакетной базы на протяжении всего срока поддержки, а следовательно, многие библиотеки к концу жизненного цикла успеют порядочно устареть. Это хорошо для промышленного ПО и серьезных бизнес-систем, которые получают стабильное и предсказуемое окружение на заранее определенный период времени. Но это плохо для пользовательского ПО, особенно связанного с такими быстро развивающимися областями как интернет, мессенджеры, мультимедиа.\nКлассическая ситуация, когда разработчик для внедрения каких-то новых возможностей использует новую версию библиотеки, которая входит в конфликт с библиотеками LTS-версий дистрибутивов. В этом случае ожидать появления новых версий программы в официальных репозиториях скорее всего не стоит. Установка из сторонних источников, включая сторонние репозитории, PPA и просто пакеты, всегда связана с риском и потенциальным нарушением стабильности системы.\nSnap и альтернативные ему технологии позволяют самому разработчику один раз выпустить универсальный пакет, который будет одинаково подходить для всех поддерживаемых систем. Это сразу снимает вопросы по скорости доставки ПО - пользователь может всегда использовать последнюю версию пакета, снимает риски нарушения безопасности и стабильности системы - все snap-приложения запускаются внутри изолированной от системы песочницы.\nКроме того, snap позволяет решить еще одну неочевидную проблему - поддержание единообразия ПО на предприятии. Если у вас в эксплуатации находятся разные выпуски дистрибутивов, то версии предлагаемого ими софта будут отличаться, что создает определенные трудности в сопровождении и поддержке. Snap позволяет применять единые версии ПО вне зависимости от используемого дистрибутива.\nУстановка и базовое использование snap Если вы используете одну из следующих систем, то ничего делать не надо, snap уже установлен и готов к работе:\nUbuntu и официальные разновидности от 18.04 и новее Manjaro KDE Neon Solus 3 и новее Zorin OS Для остальных дистрибутивов в большинстве случаев просто достаточно установить пакет snapd, но мы советуем все равно обратиться к инструкциям на официальной странице или к документации дистрибутива. Мы, традиционно будем рассматривать DEB-системы. Все указанные ниже команды выполняются из-под учетной записи суперпользователя (root) или через sudo.\nДля установки snap выполните:\n1apt install snapd После чего запустите службу и проверьте ее статус.\n1systemctl start snapd 2systemctl status snapd В Debian также рекомендуется сразу установить базовый пакет core:\n1snap install core Базовые пакеты core представляют собой набор основных системных библиотек, общих для всех приложений, что позволяет уменьшить размер snap-файлов за счет использования библиотек из базового пакета. Пакет core соответствует среде выполнения Ubuntu 16.04, если приложению нужен иной набор библиотек, то можно использовать пакеты core18, core20 и core22, каждый из которых соответствует определенному LTS-выпуску. Но вам особо не нужно об этом беспокоиться, так как данные пакеты будут автоматически установлены по зависимостям. Также существует ряд других общих пакетов, представляющие наборы общих библиотек для определенных сред и окружений, например, gnome-3-38-2004 или gtk-common-themes. Такой подход позволяет избежать ненужного дублирования. оставляя в snap-пакетах только действительно необходимые компоненты.\nХорошо, но откуда брать пакеты? Можно воспользоваться сайтом snapcraft.io, а можно просто выполнить поиск в консоли, синтаксис команд snap сильно напоминает синтаксис apt, поэтому долго привыкать не придется. Например, поищем Телеграм:\n1snap find telegream Однако не будет ничего страшного, если вы по привычке наберете:\n1snap search telegream Результат будет один и тот же. Искать можно не только по названию пакета, но и по части описания, если запрос содержит пробелы - его следует обернуть в кавычки. Обратите внимание, что в snap находится практически последняя актуальная версия приложения, тогда как в репозитории самого последнего LTS-выпуска 22.04 только 3.6.1 от 16.03.22. Если вы активно используете данный мессенджер (как и любое другое приложение) то такое расхождение в версиях будет достаточно критичным и выступит сильным аргументом к использованию snap.\nКак мы уже видели выше, для установки snap пакета нужно использовать команду install с именем пакета:\n1snap install telegram-desktop Посмотреть на список установленных snap можно командой:\n1snap list Здесь мы видим все установленные пакеты, в т.ч. и базовые наборы библиотек, которые были установлены по зависимостям, версию пакета и его издателя, доверенные издатели помечаются зеленой галочкой. Но бояться недоверенных издателей не следует, если snap сделан плохо и не работает, то это будет касаться только этого пакета, на работу системы он влияния не окажет.\nДля удаления пакета используйте:\n1snap remove telegram-desktop Если вы не хотите ждать окончания процесса удаления и хотите сразу вернуться в консоль, оставив процесс работать в фоне, используйте:\n1snap remove telegram-desktop --no-wait Чтобы полностью удалить пакет, вместе с пользовательскими настройками и данными выполните:\n1snap remove telegram-desktop --purge Альтернативой удалению может служить отключение пакета, после чего он будет сохранен, но перестанет быть доступным:\n1snap disable telegram-desktop Для включения выполните обратную команду:\n1snap enable telegram-desktop Опытные пользователи могут заметить, что мы ничего не сказали про обновление snap-пакетов, так вот - это не нужно, обновление всех установленных пакетов выполняется полностью в автоматическом режиме.\nОбновление и откат snap-пакетов Как уже было сказано выше snap-пакеты обновляются полностью автоматически, в фоновом режиме. Данный подход не нов, он широко используется в мобильных системах, магазине Microsoft и позволяет прозрачно для пользователя доставлять ему свежие версии ПО и исправления. Но при этом администратор имеет возможность контролировать процесс обновления и управлять им.\nЧтобы запустить обновление вручную выполните команду:\n1snap refresh Чтобы обновить только отдельный пакет просто укажите его имя:\n1snap refresh telegram-desktop Проверить периодичность обновления можно командой:\n1snap refresh --time Там же вы увидите время последнего запуска и следующее планируемое время, по умолчанию значение таймера представлена 00:00~24:00/4, что обозначает один раз в 6 часов. Посмотреть планируемые к обновлению пакеты вы можете командой:\n1snap refresh --list Следующий актуальный вопрос: что делать, если что-то пошло не так? В этом случае вы всегда можете откатиться на предыдущую версию пакета, для этого используйте:\n1snap revert telegram-desktop Приложение будет откачено на предыдущую версию и больше не будет автоматически обновляться на ту версию с которой сделали откат, обновление произойдет только после того, как издатель опубликует в snap новую версию.\nПосмотреть список доступных версий можно командой:\n1snap list --all или для отдельного пакета:\n1snap list --all telegram-desktop По умолчанию хранится две версии пакета: установленная и предыдущая. Теперь о том, какими параметрами мы можем управлять. В первую очередь расписанием, например, мы хотим обновлять пакеты в понедельник с 10 до 12 часов утра:\n1snap set system refresh.timer=mon,10:00~12:00 Для указания расписания следует использовать формат Timer string format.\nПри необходимости мы можем приостановить обновление пакетов на срок не более 90 дней. Допустим мы хотим отложить обновления до 22 декабря 2022 года. Сначала получим строку даты в нужном формате:\n1date --date=\u0026#34;2022-12-22\u0026#34; +%Y-%m-%dT%H:%M:%S%:z Затем подставим полученное значение в команду:\n1snap set system refresh.hold=2022-12-22T00:00:00+03:00 Еще одна полезная опция позволяет запретить обновление на лимитных подключениях, если NetworkManager видит, что вы подключены к тарифицируемому соединению, то обновление производиться не будет:\n1snap set system refresh.metered=hold Также мы можем увеличить количество хранимых версий пакета, что позволит выполнить многократный откат:\n1snap set system refresh.retain=3 Как видим, snap предоставляет удобные инструменты по управлению обновлением пактов и предоставляет возможность быстрого отката, но это еще не все.\nКаналы snap-пакетов Каналы - важная часть концепции snap, позволяя выбирать различные ветви развития продукта и обновляться в их рамках. Каждый канал состоит из трех частей:\nTracks - выпуски (треки) - позволяют разработчикам публиковать несколько выпусков своего продукта под одним именем Risk-levels - уровни риска - предоставляют несколько вариантов выбора между стабильностью и новыми функциями Branches - ветви - необязательная часть канала, предназначены для временных выпусков, исправляющих ошибки. Чаще всего мы будем оперировать именно выпусками и уровнями риска. С выпусками все просто, это могут быть, скажем, обычная ветка и вариант с долгосрочной поддержкой, а вот уровни риска разберем немного подробнее. Существуют четыре уровня риска:\nstable - стабильные выпуски, рекомендуемые к применению в производственных средах. candidate - выпуски, готовые к переходу в стабильное состояние, но требующие дополнительного тестирования beta - бета версии продукта для тестирования вне производственных сред edge - выпуски в процессе разработки, представляют собой постоянный поток изменений без обеспечения качества кода Для того, чтобы проверить какие каналы есть у интересующего вас пакета выполните:\n1snap info firefox И в самом внизу вывода изучите блок channels. Как можем увидеть, доступны два выпуска: latest и esr, каждый со своими уровнями риска. В поле tracking указан текущий канал - latest/stable, а в поле installed - установленная версия, если, конечно, пакет установлен.\nДопустим, мы хотим переключиться на стабильную версию esr - нет ничего проще:\n1snap switch --channel=esr/stable firefox Затем просто обновите пакет:\n1snap refresh firefox Также можно совместить все в одну команду:\n1snap refresh --channel=esr/stable firefox Если вы хотите переключить уровни риска в пределах одного выпуска, то просто укажите:\n1snap refresh --channel=candidate firefox Также ключ --channel можно использовать и при установке пакета, чтобы сразу указать необходимый выпуск, например:\n1snap install --channel=esr/stable firefox Таким образом можно быстро, просто и, главное, безопасно переключаться между выпусками в любом направлении. С традиционным пакетным менеджером такая задача практически нерешаема или несет с собой запредельные уровни риска.\nМгновенные снимки данных Любой пакет - это не только сама программа, но и пользовательские данные: профили, настройки, аккаунты. Все это требуется время от времени сохранять и snap снова предоставляет удобные инструменты для этого. Чтобы сделать моментальный снимок пользовательских данных всех установленных пакетов выполните:\n1snap save Для отдельного пакета дополнительно укажите его имя, можно указать сразу несколько пакетов, если вы хотите объединить их состояние в один снимок:\n1snap save telegram-desktop Посмотреть имеющиеся снимки можно командой:\n1snap saved Для восстановления снимка следует указать его номер:\n1snap restore 2 Это удобно, так как позволяет быстро восстановить как состояние отдельного пакета, так и всей системы.\nТакже снимки можно использовать для переноса настроек пакета между системами, скажем вы купили новый ноутбук и хотите перенести на него все профили с настольного ПК. Делаем снимок, а затем экспортируем его, указав номер и имя файла выгрузки:\n1snap export-snapshot 3 my-snapshot.data Для импорта просто укажите необходимый файл:\n1snap import-snapshot my-snapshot.data Чтобы удалить снимок выполните:\n1snap forget 3 Снимки можно делать автоматически, для этого выполните команду:\n1set system snapshots.automatic.retention=48h Что обеспечит автоматическое создание снимков раз в двое суток, промежуток времени между снимками не должен быть менее 24 часов.\nЧтобы отключить автоматическое создание снимков используйте:\n1set system snapshots.automatic.retention=no Все снимки хранятся 31 день, после чего автоматически удаляются.\nУправление интерфейсами Каждый snap-пакет запускается и работает в изолированном окружении, для взаимодействия с объектами за пределами контейнера используются интерфейсы, которые разрешают или запрещают соединения с определенными ресурсами. Это может быть оборудование, звук, сеть, домашняя директория пользователя и т.д. В большинстве случаев пользователю не требуется настраивать интерфейсы, все привязки происходят автоматически. Но администраторам нужно иметь представление и базовые навыки работы с ними.\nДавайте посмотрим соединения пакета, для примера возьмем firefox:\n1snap connections firefoх А теперь внимательно рассмотрим скриншот ниже, на котором мы видим три основных колонки:\nInterface - интерфейс - это соединение с каким-либо ресурсом или службой Plug - коннектор (штекер) - это подключение со стороны пакета, который хочет получить доступ к ресурсу, должен быть подключен к слоту (гнезду) службы Slot - слот (гнездо) - подключение со стороны ресурса или службы, к которому должен быть подключен коннектор, предоставляется службой snapd или базовыми пакетами core Таким образом интерфейс - это соединение между коннектором и слотом, которое может быть как установлено, так и разорвано. Зная имя интерфейса, мы всегда можем узнать как он используются, какие пакеты имеют коннекторы и кто предоставляет слот:\n1snap interface camera В выводе команды мы увидим, что коннекторы к интерфейсу имеют пакеты firefox и telegram-desktop, а слот предоставляет служба snapd. Теперь допустим. что мы не хотим чтобы браузер имел доступ к камере, все что нам нужно - это просто отключить интерфейс:\n1snap disconnect firefox:camera :camera Команда предписывает отключить коннектор firefox:camera от слота :camera, имена слотов и коннекторов указываем точно также как в выводе команды connections. Отключенный вручную интерфейс автоматически назад не подключается.\nИногда бывает задача отключить интерфейс временно, до обновления пакета. Например, он некорректно работает с камерой, но откатывать его по каким-либо причинам вы не хотите. Тогда используйте дополнительный ключ --forget, который отключит интерфейс только до обновления:\n1snap disconnect firefox:camera :camera --forget Еще раз проверим соединения, как видим в слоте камеры стоит прочерк, значит коннектор отключен и пакет не имеет доступа к этому интерфейсу. Для включения интерфейса воспользуйтесь командой:\n1snap connect firefox:camera :camera Данный механизм дает администратору простой, удобный и, снова повторимся, безопасный способ управления разрешениями приложений. Вам не нужно вникать в дебри назначения прав и ограничений, достаточно просто соединить или разъединить интерфейс.\nЗаключение В данной статье мы рассмотрели базовые принципы работы со snap, при этом многие моменты остались за кадром, так как формат статьи не позволяет сильно углубляться в вопрос. Но приведенных данных вполне достаточно, чтобы начать уверенно использовать данную технологию. При этом лично вы можете использовать или не использовать snap в своей деятельности, но как специалист должны иметь базовый набор знаний и основных навыков для работы со snap-пакетами. Кроме того, имея собственный опыт, вы сможете аргументировать свою позицию по отношению использования snap в том или ином сценарии.\n","id":"19b17e917b00fa63123e266d7fe97334","link":"https://interface31.ru/post/linux-nachinayushhim-uchimsya-rabotat-so-snap/","section":"post","tags":["Debian","Linux","Snap","Ubuntu","Ubuntu Server"],"title":"Linux - начинающим. Учимся работать со Snap"},{"body":"Количество Linux-дистрибутивов не поддается счету, но большинство из них не представляют особого интереса, так как не имеют четкого позиционирования, и потенциальный пользователь не может понять какие преимущества даст ему именно этот дистрибутив. Тем интереснее знакомиться с проектами, имеющими ясное понимание своего предназначения и не первый год движущихся к поставленным целям. Один из таких дистрибутивов - Linux Lite, который предназначен для использования на старых и слабых ПК и должен максимально облегчить переход с Windows на Linux.\nКогда мы говорим о слабых компьютерах многим представляются совсем уж старые и древние системы, которые по-хорошему давно пора выбросить, но на самом деле потребность в легковесных системах весьма велика. Современные ОС семейства Windows достаточно требовательны по ресурсам и на многих конфигурациях начального уровня, выпушенных даже несколько лет назад, работают откровенно плохо. Кроме того, прямо сейчас можно свободно найти в продаже что-то вроде Intel Celeron 3350, ядра: 2 х 1.1 ГГц, RAM 4 ГБ, eMMC 64 ГБ, как правило без каких-либо возможностей к расширению и работа с Windows на таком устройстве будет постоянным издевательством над пользователем.\nНо и современный Linux не назовешь нетребовательной системой, если вы хотите воспользоваться всем преимуществами топовых оболочек рабочего стола, то потребуется достаточно мощное железо. Поэтому для простых конфигураций следует взять что-нибудь попроще, но при этом хочется не потерять во внешнем виде и привычных удобствах. Вот здесь на сцену и выходят дистрибутивы предлагающие готовые легковесные решения максимально дружелюбные к неопытному пользователю. Linux Lite - один из них, сами разработчики позиционируют его как ворота в мир Linux, которые помогут разобраться в нем максимально привычным образом.\nВерсия 6.2 была выпушена 1 ноября 2022 года, а сам проект чуть ранее отметил десятилетний юбилей. Системные требования невелики: 2 ядра по 1 ГГц или выше, от 786 МБ ОЗУ и от 8 ГБ на диске. Но это как раз и есть те системы, которые продолжают работать разве что по недоразумению. Для тестирования мы выбрали более приближенный к реальной жизни вариант: виртуальная машина с 2 ядрами, 2 ГБ ОЗУ и 20 ГБ диском, размещенным на обычном HDD.\nСистема запускается в Live-режиме, что позволяет сразу оценить совместимость с вашим оборудованием и оценить качество работы ОС. Если нареканий нет, то можно переходить к установке. Процесс максимально прост и не отличается от установки Ubuntu, но даже если вы никогда ее не устанавливали, то запутаться в процессе решительно негде. Самые \u0026quot;сложные\u0026quot; настройки - это выбор языка и часового пояса. А чтобы не скучать во время установки можно посмотреть красивые слайды, рассказывающие о преимуществах системы. Окно входа в систему простое, но аккуратное, без каких-либо изысков. В качестве рабочей среды используется XFCE 4.16 - разумный выбор между легковесностью и возможностями. Организация рабочего пространства и расположение элементов интерфейса выполнены так, чтобы максимально повторять классический интерфейс Windows, но при этом нет попытки мимикрировать под Windows. Мы сразу видим, что перед нами Linux, но с максимально привычной рабочей средой. Внешнее оформление неплохо проработано, система выглядит неброско, но аккуратно и современно. Из шероховатостей в русской редакции сразу можно выделить недостаточную степень локализации, отсутствует русская раскладка, интерфейс некоторых приложении не переведен. Для опытного пользователя это не составит проблемы, все решается в течении 10 минут, но вот у новичков это может вызвать затруднения.\nПри этом под капотом у нас самая современная Ubuntu 22.04 LTS с ядром 5.15, что дает хороший задел на будущее - LTS-выпуски поддерживаются в течении пяти лет. Набор ПО тоже весьма свежий, что как раз неудивительно, базовая система - Ubuntu 22.04 сама только полгода назад увидела свет. В качестве офисного пакета штатный LibreOffice с плоской темой оформления, делая его визуально более похожим на офисный пакет от Microsoft, но как мы уже говорили выше, интерфейс офиса не переведен на русский язык, хотя полная русификация продукта делается походя, установкой нескольких пакетов из репозитория. В целом софта в системе немного, но все основные потребности он закрывает, что для легковесной системы правильно, проще самостоятельно поставить то, что нужно, чем вычищать то, что не нужно, особенно владельцам небольших дисков. Для управления системой, кроме стандартных, предлагается набор утилит собственной разработки Lite, которые доступны как в панели настройки, так и из стартового меню. Среди них есть как вообще простенькие утилитки по управлению значками на рабочем столе, так и вполне удобные инструменты для тонкой настройки системы. Так Lite Tweaks поможет удалить ядро, очистить кеш и логи, оптимизировать производительность системы, например, в одно нажатие включить zRAM, что актуально для слабых машин с небольшим количеством оперативки. Еще одна утилита из состава Lite предназначена для управления ПО, с ее помощью можно установить наиболее востребованные и популярные программы, в т.ч. проприетарные. Набор небольшой, но актуальный и будет однозначно полезен начинающим. К сожалению, никакого магазина в системе нет и если вам нужно что-то не входящее в приведенный выше список, то вам придется осваивать командную строку или Synaptic, который нельзя назвать дружелюбным для новичков. В целом это беда не только Lite, но и многих других дистрибутивов, порой гораздо более крупных. Отдельный интерес представляет еще одна собственная утилита System Monitoring Center, созданная по образу и подобию Диспетчера задач Windows, и надо сказать, получилось хорошо. Во всяком случае родной системный монитор XFCE и рядом не стоит. Кроме привычных показателей загрузки системы с его помощью можно также контролировать и состояние сенсоров, контролируя температурный режим железа. Также с его помощью можно управлять процессами, службами, автозагрузкой и все это хорошо знакомым и привычным способом. На наш взгляд, данный инструмент достоин того, чтобы на него обратили внимание разработчики других дистрибутивов. А что у нас с потреблением ресурсов? Все это время мы не замечали никаких проблем с производительностью, система работала быстро, хорошо, отзывчиво. Но 2 ГБ - это очень небольшой объем и каких-то чудес ждать не стоит, основным потребителем памяти сегодня является браузер, мы открыли две странички - наш сайт и ролик HD на Youtube - и сразу же стало понятно, что сильно не развернешься. Любителям открывать десятки вкладок придется туго, но при разумном подходе можно вполне комфортно работать в сети. Кстати, в качестве браузера по умолчанию в системе представлен Google Chrome. Также мы без каких-либо проблем организовали просмотр 4K потока IPTV через VLC, ресурсов тоже оказалось достаточно. Понятно, что несколько тяжелых задач система по объективным причинам не потянет, но вряд ли кто-то будет на слабом ПК одновременно кодировать видео и смотреть кино в 4K. А при разумном подходе система показывает себя очень неплохо. Если все-таки попытаться ее нагрузить, то система начинает свопить, подтормаживать, но в целом остается отзывчивой и управляемой. Понятно, что повесить можно любую систему, но при разумных сценариях использования Lite показывает себя отлично даже при недостатке физических ресурсов.\nВыводы Скажем честно - Linux Lite 6.2 нам понравился. Во-первых, это действительно простая и быстрая система, но при этом современно выглядящая и предоставляющая привычную для Windows пользователей организацию рабочей среды. Во-вторых, разработчики постарались упростить работу с системой при помощи собственного набора утилит, да, местами они просты, даже примитивны, но позволяют быстро решать многие элементарные задачи.\nИз недостатков - слабая локализация, в большинстве приложений ее просто нет. Назвать это серьезной проблемой нельзя, при наличии опыта все довольно просто решается, но для новичков это может быть существенно. Но следует понимать, что любое открытое ПО держится на разработчиках, а для локализации требуются носители языка в команде. Учитывая, что Lite дистрибутив далеко не первого эшелона и родом из Новой Зеландии к такому положению дел следует относиться с пониманием.\nВторой существенный недостаток - отсутствие магазина, и если языковой барьер многие современные пользователи спокойно преодолеют, то управление ПО способно доставить куда большее количество затруднений. Поэтому, как ни крути, а чтобы полноценно освоить Lite новичку потребуется помощь опытного друга, хотя бы первое время.\nОднако, если вас не пугает недостаточная локализация, вы умеете работать с пакетным менеджером и при этом ищете легковесный дистрибутив с хорошим, современным дизайном - то мы рекомендуем обратить самое пристальное внимание на Linux Lite.\n","id":"0e99e15cba66c3e6a94fa57caeacfccb","link":"https://interface31.ru/post/linux-lite-62---prosto-bystro-besplatno/","section":"post","tags":["Linux","Ubuntu","XFCE"],"title":"Linux Lite 6.2 - просто, быстро, бесплатно"},{"body":"Hyper-V Server - популярное решение для виртуализации от компании Microsoft, в отличии от роли Hyper-V в Windows Server, который требует серверной лицензии, Hyper-V Server - полностью бесплатен, а также, за счет того, что основан на Windows Server Core потребляет меньше ресурсов, имеет более высокую надежность и безопасность. А для управления гипервизором мы будем использовать Windows Admin Center - удобную веб-консоль, позволяющую полноценно администрировать и контролировать основные параметры системы.\nУстановка Hyper-V Server 2019 Мы будем устанавливать последнюю доступную версию гипервизора - Hyper-V Server 2019, однако сам процесс установки не меняется еще с самых первых версии и описанный ниже алгоритм можно использовать и для других выпусков. Сам процесс установки не вызовет никаких затруднений ни у кого, кто хоть раз устанавливал Windows. А благодаря небольшому количеству компонентов установка проходит очень быстро. При первой загрузке в систему вам будет предложено установить пароль Администратора, обратите внимание, что если вы установили русский вариант системы, то раскладка по умолчанию также будет русская, переключение стандартное Alt + Shift. Затем откроется текстовая утилита конфигурирования системы, если вы случайно ее закрыли, то запустить повторно можно командой:\n1sconfig Работа с ней уже должна быть знакома вам по предыдущим версиям Hyper-V Server. Если вы ранее с ней не работали, то начните с пункта 2 и переименуйте сервер. Затем установите сетевые параметры - пункт 8 и правильно настройте дату и время - пункт 9. После чего разрешите удаленный рабочий стол - пункт 7, что позволит подключаться к гипервизору по RDP, после чего сервер можно перезагрузить и войти на него удаленно. Если вы хотите, чтобы сервер отвечал на пинги, то следует активировать опцию Настройка отклика сервера на сообщение проверки связи в пункте 4 меню. Также имеет смысл скачать и установить обновления, с переходом на накопительную модель их не будет много, и задача не займет много времени. Для того, чтобы передать на сервер дистрибутив Windows Admin Center или образа систем нам нужно разрешить входящие SMB подключения, для этого перейдем в командную строку и запустим PowerShell:\n1powershell После чего выполним команду:\n1Set-NetFirewallRule -DisplayGroup \u0026#34;Общий доступ к файлам и принтерам\u0026#34; -Enabled true -PassThru В английской версии она будет иметь следующий вид:\n1Set-NetFirewallRule -DisplayGroup \u0026#34;File and Printer Sharing\u0026#34; -Enabled true -PassThru На этом установка и первоначальная настройка Hyper-V Server 2019 завершена, все остальные операции мы будем делать уже через Windows Admin Center.\nУстановка Windows Admin Center и работа с Hyper-V Server 2019 Прежде всего скачайте дистрибутив Windows Admin Center с официального сайта. Теперь нам нужно передать дистрибутив на сервер Hyper-V, для этого можно воспользоваться стандартным общим ресурсом, набрав в адресной строке проводника:\n1\\\\HV-CORE-19\\C$ Где HV-CORE-19 - сетевое имя гипервизора, после чего закачайте установочный пакет в любое удобное место, например, в корень диска C. А дальше просто запустите установку из командной строки:\n1C:\\WindowsAdminCenter2110.2.msi Большинство настроек можно оставить по умолчанию, отдельно стоит остановиться на настройках SSL, вы можете использовать как самоподписанный сертификат, так и загрузить отдельный, выпущенный доверенным УЦ, также рекомендуем обязательно включить перенаправление всех HTTP-запросов на HTTPS. По завершении установки откройте браузер на любом компьютере и наберите в адресной строке https://HV-CORE-19 (или IP-адрес сервера) после чего вы попадете в интерфейс Windows Admin Center. Это полноценная система управления сервером в которой вы найдете все, а не только инструменты управления Hyper-V. Мы не будем подробно останавливаться на всех возможностях Admin Center, разобраться в них не сложно, но только подчеркнем, что с его помощью вы сможете управлять всеми аспектами системы, включая работу с оборудованием, логами, реестром или брандмауэром, не будучи стесненными ограничениями стандартных консолей MMC. Также вы не ограничиваетесь в выборе операционной системы и можете работать из любой точки, а не только в пределах локальной сети. Мы же перейдем к возможностям Windows Admin Center для управления Hyper-V. Прежде всего, создадим виртуальный коммутатор, чтобы наши виртуальные машины могли выходить в сеть. Перейдем в раздел Виртуальные коммутаторы и выберем Создать. Наименование можно выбрать произвольным образом, в нашем случае оно указывает на сеть 192.168.233.0/24, тип коммутатора - внешний, после чего ниже выбираем сетевую карту, через которую гипервизор присоединен к нужной нам сети. Теперь можно создать виртуальную машину, открываем одноименный раздел и выбираем Добавить. Затем внимательно заполняем параметры виртуалки. Основной момент, на который следует обратить внимание и который нельзя будет в последствии изменить - это поколение. Виртуальные машины второго поколения лучше и производительнее, но поддерживают ограниченный список гостевых систем с которым можно ознакомиться здесь:\nРекомендуем к прочтению Следует ли создавать виртуальные машины 1-го и 2-го поколения в Hyper-V? Для разнообразия мы решили поставить Альт в виде стартового набора (один из самых маленьких образов) и поэтому выбираем первое поколение. Указываем количество процессорных ядер, память, выбираем виртуальный коммутатор, создаем или выбираем виртуальный жесткий диск. Здесь же сразу можно указать образ системы для установки, виртуальный дисковод будет создан автоматически. Созданную виртуальную машину можно как сразу запустить, так и перейти к ее Параметрам, где можно еще раз все тонко настроить, например, порядок загрузки, добавить устройства, настроить поведение при выключении гипервизора. Все проверили, все настроили - можно запускать виртуалку. Подключиться к ней можно либо прямо из браузера, либо скачать файл для RDP-соединения. Но в любом случае для подключения будет использован протокол RDP и никакой разницы между этими способами подключения вы не заметите. Доступ через браузер не менее быстр и удобен, если рабочий монитор имеет достаточное разрешение, то вы без каких-либо неудобств можете работать с виртуальной машиной никуда не переключаясь. Как видим, установить Hyper-V Server вместе с Windows Admin Center совсем несложно, но использование последнего выводит работу с гипервизором на новый уровень, предоставляя удобные и современные инструменты для управления вашей виртуальной инфраструктурой.\n","id":"74ad6d64983796cc192467d602c1d872","link":"https://interface31.ru/post/ustanovka-i-nastroyka-hyper-v-server-2019-s-upravleniem-cherez-windows-admin-center/","section":"post","tags":["Admin Center","Hyper-V","Windows Server","Windows Server 2019","Windows Server Core","Виртуализация"],"title":"Установка и настройка Hyper-V Server 2019 с управлением через Windows Admin Center"},{"body":"DNS-сервер относится к наиболее критичным элементам сетевой инфраструктуры, так как именно на него возлагается задача разрешения доменных имен, без которой трудно представить работу любой сети. Поэтому важно не допускать перебоев в обслуживании клиентов, а справиться с этой задачей нам поможет отказоустойчивая конфигурация из нескольких DNS-серверов. В данной статье мы рассмотрим, как создать собственную инфраструктуру DNS при помощи полнофункционального и открытого DNS-сервера BIND 9.\nПрежде всего коснемся понятия отказоустойчивости, многие неправильно понимают этот термин как защиту от любых нештатных ситуаций, включая потерю одного из узлов. Однако это неверно, да и сам термин отказоустойчивость не совсем удачен, поэтому вместо него в последнее время стараются использовать определение высокая доступность. Основной смысл отказоустойчивых конфигураций - это продолжение обслуживания клиентских запросов даже при недоступности одного из узлов, сами данные и настройки узла отказоустойчивая конфигурация никак не защищает.\nBIND 9 - это полнофункциональный открытый DNS-сервер, имеющий широкое распространение, 10 из 13 корневых DNS-серверов работают именно на BIND. В данной статье мы будем рассматривать установку BIND в среде Debian или Ubuntu, все действия, если не указано иного, выполняются с правами суперпользователя (root). Также предполагается, что читатель имеет представление о назначении DNS-сервера и основных типах DNS-записей.\nУстановка и настройка BIND 9 на первичном сервере Установка BIND и всех необходимых пакетов производится одной командой:\n1apt install bind9 При этом обратите внимание, что несмотря на то, что имя пакета bind9 установленная служба имеет название named.\nЗатем откроем файл /etc/bind/named.conf.options и после строки:\n1directory \u0026#34;/var/cache/bind\u0026#34;; Добавим следующие настройки:\n1listen-on port 53 { 127.0.0.1; 192.168.72.8; }; 2 allow-query { 127.0.0.0/8; 192.168.72.0/24; }; 3 allow-recursion { 127.0.0.0/8; 192.168.72.0/24; }; 4 allow-transfer { none; }; 5 forwarders { 8.8.8.8; 8.8.4.4; }; Разберем их подробнее:\nlisten-on port 53 - адреса на которых сервер будет принимать запросы, где 192.168.72.8 - адрес самого сервера allow-query - адреса сетей из которых принимаем запросы, указываем подсеть localhost и диапазон локальной сети allow-recursion - разрешаем рекурсивные запросы для localhost и локальной сети allow-transfer - кому можно предавать данные DNS-зон, по умолчанию никому forwarders - сервера пересылки, которым мы будем передавать запросы, которые не сможем разрешить самостоятельно, указываем любые внешние DNS После чего приведем к следующему виду еще две опции:\n1dnssec-validation no; 2 listen-on-v6 { none; }; Теперь откроем файл /etc/bind/named.conf.local и добавим туда описание прямой зоны:\n1zone \u0026#34;interface31.lab\u0026#34; { 2 type master; 3 file \u0026#34;/var/lib/bind/db.interface31.lab\u0026#34;; 4 allow-transfer { 192.168.72.9; }; 5}; Назначение параметров:\nzone - наименование зоны, которую будет обслуживать сервер, задается в виде доменного имени, в нашем случае interface31.lab type - тип зоны, в нашем случае - master - первичная file - файл с данными зоны, вы можете выбрать произвольное наименование, но в Debian принято соглашение называть эти файлы как db.имя_зоны, а хранить их в /var/lib/bind. allow-transfer - узел, которому разрешается передавать данные зоны, указываем адрес нашего вторичного DNS-сервера Затем добавим туда же описание обратной зоны:\n1zone \u0026#34;72.168.192.in-addr.arpa\u0026#34; { 2 type master; 3 file \u0026#34;/var/lib/bind/db.192.168.72\u0026#34;; 4 allow-transfer { 192.168.72.9; }; 5}; Название обратной зоны записывается как адрес сети без последнего октета (для сетей /24) наоборот и дополняетсяin-addr.arpa. Остальные параметры те же.\nНастройка прямой зоны Прямая зона отвечает за сопоставление доменных имен IP-адресам, при запросе к прямой зоне мы указываем доменное имя и получаем в ответ связанный с ним IP-адрес.\nСоздадим указанный нами в описании зоны файл:\n1touch /var/lib/bind/db.interface31.lab И начнем его заполнять, прежде всего внесем начальная запись зоны - SOA:\n1$TTL 86400 ; 2@ IN SOA dns-1.interface31.lab. root.interface31.lab. ( 3 2022103006 ; Serial 4 600 ; Refresh 5 3600 ; Retry 6 1w ; Expire 7 360 ) ; Negative Cache TTL Что означают эти записи?\nTTL - время жизни DNS-записи, в нашем случае сутки, именно на это время клиент может поместить ее в собственный кеш, по истечении TTL клиент обязан запросить запись заново\n@ IN SOA - основная запись домена, указывает его корневой DNS-сервер - dns-1.interface31.lab. и адрес ее администратора root.interface31.lab. (который следует понимать, как root@interface31.lab). Символ @ в начале строки указывает на текущий домен\nВажно! Обратите внимание, что доменные имена внутри файлов зоны должны указываться в абсолютной форме записи, т.е. с точкой на конце. В противном случае окончание домена будет дополнено значением текущего. Т.е. вместо dns-1.interface31.lab вы получите dns-1.interface31.lab.interface31.lab\nНиже идут записи отвечающие за синхронизацию зоны со вторичными серверами:\nSerial - серийный номер зоны, при каждом изменении данных мы должны увеличивать серийный номер, по его изменению вторичные сервера понимают, что произошли изменения и начинают синхронизацию. Широко применяется следующий алгоритм формирования серийного номера: ГГГГ-ММ-ДД плюс две цифры указывающие на номер итерации, если в одну и ту же дату вносится несколько изменений. Refresh - период обновления данных вторичными серверами, по истечении данного времени они повторно запрашивают у основного сервера SOA-запись и анализируют серийный номер. Retry - периодичность повторного обращения к основному серверу, если предыдущая попытка завершилась неудачей Expire - максимальное время жизни зоны на вторичных серверах при отсутствии синхронизации с основным, по истечении этого времени вторичный сервер перестает обслуживать запросы Negative Cache TTL - время жизни негативного кеша или минимальное время жизни записи. Применяется для кеширования неудачного результата запроса со стороны клиента, например, обращение к несуществующему доменному имени. Какие значения выбирать для этих параметров? Исходите из реальной нагрузки и здравого смысла. Указанные нами значения должны устроить администраторов большинства небольших и средних сетей.\nНиже будут располагаться сами записи зоны, начнем с NS-записей, которые указывают на сервера имен, обслуживающие зону, перечислим здесь оба наших DNS-сервера, в качестве значений используем доменные имена:\n1@ IN NS dns-1.interface31.lab. 2@ IN NS dns-2.interface31.lab. Под ними уже располагаем записи относящиеся непосредственно к узлам, например:\n1@ IN A 192.168.72.1 2chr72 IN A 192.168.72.1 3dns-1 IN A 192.168.72.8 4dns-2 IN A 192.168.72.9 5pve7 IN A 192.168.72.7 6proxmox IN CNAME pve7 Внимательный читатель заметит, что у нас есть две записи, указывающие на один и тот же адрес. Первая из них, содержащая вместо имени узла символ @ относится к текущему домену, т.е. определяет какой адрес вернет сервер если будет запрошено имя домена, т.е. просто interface31.lab, вторая запись уже относится к реальному узлу - роутеру.\nКроме A - записей зона может содержать и другие, все зависит от текущих потребностей. Например, мы добавили запись псевдонима - CNAME, которая указывает на то, что при запросе proxmox.interface31.lab нужно вернуть результат для имени pve7.interface31.lab. Чем это удобно? Тем что мы можем присвоить сетевым службам красивые имена, которые не будут привязаны к определенным узлам. Скажем переместили службу с srv-1 на srv-2 - просто поменяли CNAME.\nЗаканчиваться файл зоны должен пустой строкой.\nНастройка обратной зоны Обратная зона предназначена для обратного преобразования, с ее помощью мы можем по IP-адресу узнать доменное имя узла. Для повседневной работы обратная зона обычно не требуется, и многие администраторы ее не создают, но при ее отсутствии могут возникнуть проблемы у многих сетевых сервисов, чаще всего неявные и неочевидные для начинающих, поэтому мы рекомендуем всегда сразу создавать обратную зону.\nТочно также создадим файл зоны:\n1touch /var/lib/bind/db.192.168.72 И начнем его заполнять, первой записью у нас должна быть SOA, которая ничем не отличается от аналогичной записи прямой зоны и записи, указывающие на сервера имен, обслуживающие зону.\n1$TTL 86400 ; 2@ IN SOA dns-1.interface31.lab. root.interface31.lab. ( 3 2022103005 ; Serial 4 600 ; Refresh 5 3600 ; Retry 6 1w ; Expire 7 360 ) ; Negative Cache TTL 8 9@ IN NS dns-1.interface31.lab. 10@ IN NS dns-2.interface31.lab. Затем начнем заполнять его записями, для показанной выше прямой зоны обратная будет выглядеть так:\n18 IN PTR dns-1.interface31.lab. 29 IN PTR dns-2.interface31.lab. 37 IN PTR pve7.interface31.lab. 41 IN PTR chr72.interface31.lab. Что обозначают эти записи? Начнем с того, что если имя узла указано без точки, то оно дополняется именем текущего домена, поэтому для указанной нами в записи цифры 8 это будет 8.72.168.192.in-addr.arpa, т.е. обратная запись для узла с адресом 192.168.72.8. Также обратите внимание, что доменные имена узлов следует указывать полностью, с точкой на конце.\nПроверка работы первичного DNS-сервера После того, как вы выполнили все настройки, а также создали и настроили файлы зон можно проверить функционирование нашего сервера. Сначала проверим конфигурацию на ошибки:\n1named-checkconf Затем проверим зоны, для этого указываем их наименования и пути к файлам данных:\n1named-checkzone interface31.lab /var/lib/bind/db.interface31.lab 2named-checkzone 72.168.192.in-addr.arpa /var/lib/bind/db.192.168.72 Если ошибок не зафиксировано, то перезапускаем службу и проверяем ее работу:\n1systemctl restart named 2systemctl status named Теперь можно попробовать направить запрос, начнем с прямого:\n1nslookup pve7.interface31.lab 192.168.72.8 Затем проверим обратный\n1nslookup 192.168.72.7 192.168.72.8 Чтобы запрос был направлен именно нашему серверу мы явно указываем его адрес вторым параметром команды. Установка и настройка BIND 9 на вторичном сервере Точно также установим пакет на второй сервер:\n1apt install bind9 И сразу перейдем к /etc/bind/named.conf.options, настройки которого полностью аналогичны первичному серверу, за исключением строки:\n1listen-on port 53 { 127.0.0.1; 192.168.72.9; }; В которой следует указать IP-адрес второго сервера, у нас это 192.168.72.9.\nТеперь откроем /etc/bind/named.conf.local и пропишем зоны:\n1zone \u0026#34;interface31.lab\u0026#34; { 2 type slave; 3 file \u0026#34;db.interface31.lab\u0026#34;; 4 masters { 192.168.72.8; }; 5}; 6 7zone \u0026#34;72.168.192.in-addr.arpa\u0026#34; { 8 type slave; 9 file \u0026#34;db.192.168.72\u0026#34;; 10 masters { 192.168.72.8; }; 11}; Назначение параметров:\ntype - тип зоны, в нашем случае вторичная - slave file - имя файла зоны, указываем без путей, файлы вторичных зон хранятся в /var/cache/bind masters - адрес нашего первичного сервера с которого вторичный будет забирать изменения После чего проверяем правильность конфигурации:\n1named-checkconf И перезапускаем сервер:\n1systemctl restart named На этом настройка вторичного сервера закончена, можем проверить его работу аналогично тому, как мы это делали для первичного сервера.\n","id":"659eac49623db1b1e3ee58f931871cf4","link":"https://interface31.ru/post/nastraivaem-otkazoustoychivyy-dns-server-na-baze-bind-9/","section":"post","tags":["Bind 9","Debian","DNS","Failover","High availability","Linux","Ubuntu Server","Сетевые технологии"],"title":"Настраиваем отказоустойчивый DNS-сервер на базе BIND 9"},{"body":"Не так давно один из наших читателей попросил посоветовать ему отечественную ОС для учебного заведения. В целом там можно использовать любой Linux, но особый интерес вызывают специализированные дистрибутивы, изначально рассчитанные на участие в учебном процессе. Поэтому мы не могли пройти мимо Альт Образование - специальной сборки на отечественной платформе Альт для применения в учебных заведениях самого различного профиля, от дошкольных учреждений до высшего образования.\nПрежде чем читать данную статью, возможно вам будет интересно ознакомиться с другими нашими обзорами продуктов линейки Альт, тем более что мы будем делать отсылки и сравнивать выпуски между собой:\nРекомендуем к прочтению Обзор российских ОС. Альт Рабочая станция 10 Обзор российских ОС. Альт Рабочая станция К 10 Simply Linux 10 - ненавязчивый советский сервис В данном случае перед нами типичная операционная система Альт платформы 10, она построена на ядре 5.10 LTS и поддерживает архитектуры x86 (Intel 32/64 бит), ARM64 («Байкал-М», Huawei Kunpeng Desktop, Raspberry Pi 4 и другие), e2k («Эльбрус»). Дистрибутив входит в Реестр российских программ и может быть использован для импортозамещения.\nФизические лица могут использовать систему бесплатно, для учебных заведений и юридических лиц следует приобрести лицензию. Стоимость лицензии варьируется от типа пользователя: школы и дошкольные учреждения могут приобрести Альт Образование за 475 руб., организации среднего специального и профессионального образования за 3000 руб., для остальных цена не отличается от цены Рабочей станции и составляет 5280 руб. Дистрибутив можно свободно скачать с сайта производителя.\nУстановщик системы привычный, альтовский, с немного измененным визуальным оформлением. Не самый современный, но со своей задачей справляется, запутаться там решительно негде. Лицензионное соглашение, которое никто не читает, а зря. Самые важные пункты мы выделили. Интересен подход к выбору компонентов системы, кроме базового образовательного комплекта представлены наборы для разных уровней образования, при этом они оформлены в виде метапакетов task-edu-*, что делает удобным управление ими в дальнейшем. По умолчанию дистрибутив использует среду XFCE, но можно дополнительно установить KDE 5.\nСреди серверных служб доступны Mediawiki, Moodle и Nextcloud, которые не только будут установлены, но и предварительно сконфигурированы, что облегчает процесс развертывания специалистами, имеющими небольшой опыт работы с Linuх. Системы Альт традиционно \u0026quot;славятся\u0026quot; ужасным графическим дизайном из коробки, но Альт Образование нас приятно удивил, разработчики не поленились настроить XFCE, установив современную плоскую тему с красивыми значками. Но исключения только подтверждают правило. С визуальным оформлением у Альта беда, нет единого фирменного стиля, нет даже единства в оформлении одинаковых рабочих сред. Если по-хорошему, то такую картинку мы должны были увидеть в домашней Simply, которая является по сути лицом всей линейки, так как предлагается всем желающим бесплатно и без ограничений. А в специализированном Образовании страшный дизайн можно было бы как-то пережить. Но надеемся, что дело все-таки сдвинется с мертвой точки и дизайну будет уделено должное внимание.\nОфисный набор программ представлен традиционным LibreOffice, также присутствует программа для создания диаграмм Dia и софт для разработки ментальных карт. Раздел Графика представлен самым широким набором программ, здесь и различные САПР, и системы трехмерного моделирования, векторные и растровые графические редакторы, издательские системы. В общем все что может понадобиться в учебном процессе, можно чертить, можно готовить иллюстрации, создавать презентации или верстать брошюры. Отдельный интерес представила система оптического распознавания символов, в учебных заведениях это востребованная функция, в системе предустановлен gImageReader, который является оболочкой над tesseract-ocr. Мы решили дать ему вполне актуальную задачу - распознать фото, снятое на телефон. Но увы, результат не смог нас обрадовать. Ну ладно, это фото, тут и верх немного размыт и освещение неравномерное, давайте дадим задачу попроще, например, скриншот. Но снова полное фиаско! Мы уже хотели расстроиться, но решили поискать альтернативу и установили из Магазина другое приложение - OCRFeeder, который со все тем же движком tesseract-ocr показал совершенно иные результаты. И снова вопросы к разработчикам: зачем по умолчанию ставить в систему неработающий хлам? Тем более что это система для образовательных учреждений, где с поддержкой пользователей все плохо и уровень подготовки кадров также оставляет желать лучшего.\nВ части образовательных программ тоже достаточно много всего интересного, это и редакторы алгоритмов, и программирование роботов. Все это, конечно, интересно, но как родитель школьников я пока слабо представляю использование всех этих возможностей в учебном процессе. Для программирования все по классике: Бейсик и Паскаль, но также есть и более продвинутые инструменты для веб разработки, или C/C++. Если нам чего-то не хватает, то есть два пути установки нужных приложений. Есть специализированный установщик, который скачивает и устанавливает пакеты приложений с официальных сайтов и есть классический магазин. В общем проблем с установкой программ возникнуть не должно. Настройки также живут \u0026quot;на два дома\u0026quot;, часть из них находится в Альтераторе - родной утилите для настройки системы, а часть обеспечивается штатными средствами XFCE. Как мы уже говорили, второй, альтернативной графической оболочкой в Альт Образование является KDE 5, ее можно установить как сразу, так и после. Ниже показан рабочий стол при ее использовании. Но это еще не все, вместе с KDE были установлены дополнительные образовательные программы, в частности математические и достаточно полезные для учеников средней школы. Что касается производительности, то система неплохо оптимизирована, мы специально испытывали ее на виртуальной машине с довольно скромным выделением ресурсов: два ядра, два гига. В варианте с XFCE мы без особых проблем смотрели HD-видео и еще даже остался запас по оперативной памяти. При этом система достаточно активно использовала подкачку, но в целом каких-либо видимых проблем мы не обнаружили. Все плавно и отзывчиво. Если же использовать KDE, то ресурсов надо немного побольше, но тоже не критично, на той же самой конфигурации KDE 5 спокойно работала без каких-либо затруднений. Для полностью компьютеризированных классов Альт Образование предлагает систему централизованного управления Veyon, с ее помощью можно контролировать рабочие места и проводить электронные уроки. Для контроля полученных знаний можно использовать систему электронного тестирования iTest, сервер которой также можно развернуть на платформе Альт. В общем, возможностей достаточно, осталось только внедрить их в учебный процесс, а с этим у нас все далеко не так просто. Но эта тема выходит за рамки технической статьи, поэтому мы ограничимся сугубо техническими моментами.\nВыводы Если вам нужна отечественная ОС в образовательное учреждение, то альтернатив Альт Образованию нет. Даже если вам не нужны все эти обучающие программы и серверное ПО, а нужен просто Linux для ПК педагогов. Почему? Во-первых, цена, она очень привлекательна для уровня школ и среднего специального образования. Во-вторых, это полноценная система на платформе Альт с самым большим отечественным репозиторием Сизиф. Никаких ограничений на его использование нет, и вы можете устанавливать и использовать любое ПО. Т.е. по факту вы приобретаете ту же Рабочую станцию, но за 450 рублей (для школ).\nЕсли же вы используете ПК в образовательном процессе, то количество и набор предустановленных программ помогут вам в этом. Дистрибутив собран очень качественно, и подборка ПО по максимуму нацелена на помощь в обучении. Плюс предварительно настроенные серверные приложения, что в условиях скудной технической поддержки является еще одним весомым плюсом.\nДа, можно взять любой другой Linux и сделать все тоже самое, но зачем, если здесь все есть из коробки? Плюс наличие ОС в Реестре российских программ, что облегчает процесс закупки и внедрения с юридической точки зрения.\nВ общем, Альт Образование нам понравился, сразу виден опыт работы разработчиков в этой сфере. Да, современный образовательный процесс не всегда гладко ложится на электронные рельсы, но это отдельная проблема, далекая от технического плана. Тем более что Альт предоставляет богатый набор инструментов, которые реально могут помочь в нелегком деле обучения подрастающего поколения.\n","id":"b5b40a11678245d639ee39b5224e3c47","link":"https://interface31.ru/post/al-t-obrazovanie-10-ili-chemu-uchat-v-shkole/","section":"post","tags":["ALT","KDE","Linux","XFCE","Импортозамещение"],"title":"Альт Образование 10 или чему учат в школе"},{"body":"Последнее время российские пользователи лицензионных продуктов Microsoft могут испытывать сложности с их активацией, начиная от невозможности получить ключи продуктов в личном кабинете и заканчивая ошибками непосредственно в процессе активации. Непростые времена требуют непростых решений и многие, для поддержания стабильной работы инфраструктуры, вынуждены прибегать к альтернативным вариантам. Одним из них является создание собственного KMS сервера для активации. В этой статье мы рассмотрим, как это сделать с использованием открытого ПО.\nНачнем с главного вопроса - легальности. Проект vlmcsd свободно размещен на Github и позиционирует себя как открытую замену серверу KMS от Microsoft, при этом отдельно подчеркивается, что он не предназначен для нелегального использования продуктов компании. Т.е. сама по себе установка такого программного обеспечения не является нарушением, vlmcsd не содержит лицензионных ключей и не является инструментом для взлома.\nВ тоже время технически он позволяет активировать продукты Microsoft корпоративной линейки без наличия ключа продукта, при этом такой продукт не может считаться лицензионным и его использование в отсутствии легально приобретенных лицензий будет считаться нарушением. Использование vlmcsd при наличии законно купленных лицензий, скажем при невозможности скачать ключ, в целом достаточно легально, так как пользователь имеет право использовать продукт на законных основаниях.\nВнимание! Важно! Мы крайне негативно относимся к использованию нелицензионного ПО, данный материал ни в коем случае не призывает и не поощряет его использование. Приведенное решение полностью базируется на открытом ПО и не преследует цели нарушения норм действующего законодательства и правил лицензирования ПО.\nВ любом случае принимайте решение на свой страх и риск должным образом взвесив все плюсы и минусы.\nСборка пакета vlmcsd для систем на основе Debian Мы не рекомендуем производить сборку на рабочей системе, выделите для этого отдельный ПК или виртуальную машину с той же версией ОС и той же архитектурой. Это обязательное условие, в противном случае пакет может не установиться или установиться с ошибками. В нашем случае мы будем собирать в среде Ubuntu 22.04, но это не является принципиальным.\nПовысим свои права до суперпользователя. в Ubuntu для этого выполните:\n1sudo -s В Debian, если у вас не установлен sudo:\n1su - Затем установим необходимые для сборки пакеты:\n1apt install git build-essential debhelper Создадим директорию для проекта и перейдем в нее:\n1mkdir ~/vlmcsd-build 2cd ~/vlmcsd-build Теперь скачаем файлы с исходниками:\n1git clone https://github.com/Wind4/vlmcsd 2cd ~/vlmcsd-build/vlmcsd 3git submodule update --init debian Но не будем спешить собирать, разработчик, выполнявший дебианизацию проекта, отнесся к работе спустя рукава из-за чего собранный пакет будет работать не совсем корректно, это можно исправить после установки, но зачем нам лишние действия. Давайте сразу сделаем как надо.\nПерейдем в директорию vlmcsd-build/vlmcsd/debian и создадим там файл preinst:\n1cd ~/vlmcsd-build/vlmcsd/debian 2touch preinst И внесем в него следующее содержимое:\n1#!/bin/sh 2# preinst script for vlmcsd 3 4set -e 5 6case \u0026#34;$1\u0026#34; in 7 install|upgrade) 8 grep -q \u0026#34;^vlmcsd:\u0026#34; /etc/passwd || useradd -s /usr/sbin/nologin -r -M vlmcsd 9 ;; 10 abort-upgrade) 11 ;; 12 *) 13 echo \u0026#34;preinst called with unknown argument \\`$1\u0026#39;\u0026#34; \u0026gt;\u0026amp;2 14 exit 1 15 ;; 16esac 17 18#DEBHELPER# 19 20exit 0 С его помощью мы создадим нужного пользователя перед установкой пакета.\nТеперь откроем файл postinst в этой же директории и после блока:\n1if [ ! -d /etc/vlmcsd/ ]; then 2 mkdir -p /etc/vlmcsd/ 3fi Добавим\n1if [ ! -d /var/log/vlmcsd/ ]; then 2 mkdir -p /var/log/vlmcsd/ 3 chown -R vlmcsd:vlmcsd /var/log/vlmcsd 4fi Тем самым создадим директорию для логов и установим на нее нужные права.\nПосле чего научим пакет правильно убираться за собой, для этого в файл postrm после строки:\n1rm -r /etc/vlmcsd добавим:\n1rm -r /var/log/vlmcsd 2 userdel vlmcsd Обратите внимание, что удаляем пользователя и директорию логов мы только после действия purge, при обычной деинсталляции пакета объекты в системе останутся.\nЗатем открываем файл init и приводим к следующему виду строки:\n1: ${USER:=\u0026#34;vlmcsd\u0026#34;} 2: ${GROUP:=\u0026#34;vlmcsd\u0026#34;} Аналогично и в файле vlmcsd.service:\n1User=vlmcsd 2Group=vlmcsd Теперь перейдем в vlmcsd-build/vlmcsd/etc и в файле vlmcsd.ini исправим путь к файлу лога:\n1;LogFile = /var/log/vlmcsd/vlmcsd.log Если вы не хотите проделывать все эти процедуры самостоятельно, то можете скачать готовый архив с нашего сайта.\nСкачать vlmcsd-build.zip\nSHA1 86C6A882AB19B8F3A84813D8666FCF590CBD4270\nСнова вернемся в директорию проекта и выполним сборку:\n1cd ~/vlmcsd-build/vlmcsd 2dpkg-buildpackage -rfakeroot -D -us -uc После чего в директории vlmcsd-build у вас появится файл пакета vlmcsd_1113_amd64.deb, который готов к установке.\nУстановка и настройка vlmcsd Переносим собранный пакет на целевой ПК, так как системные требования невелики, то можно использовать контейнер с минимальным выделением памяти, и устанавливаем командой:\n1dpkg -i vlmcsd_1113_amd64.deb Проверим статус установленного пакета:\n1systemctl status vlmcsd Как видим служба KMS сервера запущена и добавлена в автозагрузку, никаких дополнительных действий делать не нужно. Настройки сервера хранятся в /etc/vlmcsd/vlmcsd.ini, но интересных нам там немного. В частности, можем использовать директиву Listen, чтобы явно указать интерфейс и протокол, на котором слушает сервер (по умолчанию соединения принимаются с любого интерфейса и работает как IPv4, так и IPv6).\n1Listen = 0.0.0.0:1688 Также сразу включим логирование, раскомментировав строку:\n1LogFile = /var/log/vlmcsd/vlmcsd.log Перезапустим сервер активации:\n1systemctl restart vlmcsd Наш KMS сервер установлен и готов принимать запросы на активацию.\nАктивация продуктов Microsoft Для активации нам понадобятся GVLK-ключи, которые можно найти в свободном доступе:\nРекомендуем к прочтению Windows Server and Windows GVLKs Office, Project, and Visio GVLKs После чего потребуется выполнить ряд несложных действий в консоли.\nДля Windows Server и Windows Для примера выполним активацию Windows Server 2019 Standard. Прежде всего установим GVLK-ключ:\n1slmgr.vbs -ipk N69G4-B89J2-4G8F4-WWYCC-J464C Затем укажем адрес нашего KMS-сервера (IP адрес указан для примера):\n1slmgr.vbs -skms 192.168.233.132 И выполним активацию:\n1slmgr.vbs -ato Если все прошло успешно, то вы получите сообщение о том. что ваша система активирована. Еще раз напоминаем, что активация при помощи GVLK-ключа не делает вашу систему легальной и для ее правомерного использования вы должны иметь законно приобретенную лицензию!\nАктивация Office, Project и Visio Для активации офиса вам потребуется перейти в папку с установленным продуктом с учетом его разрядности, например, C:\\Program Files\\Microsoft Office\\Office16. Затем укажем адрес сервера активации:\n1cscript ospp.vbs /sethst:192.168.233.132 Если вы используете нестандартный порт, то его потребуется указать отдельно:\n1cscript ospp.vbs /setprt:1689 Затем выполните активацию командой:\n1cscript ospp.vbs /act Обратите внимание, что активировать указанным выше образом можно только программы из пакета Office распространяемого в рамках корпоративного лицензирования.\n","id":"f28016bf324072d03e82f5e4ce604e09","link":"https://interface31.ru/post/ustanovka-kms-servera-aktivacii-microsoft-na-baze-vlmcsd-v-debian-ili-ubuntu/","section":"post","tags":["Debian","KMS","Linux","Microsoft","Ubuntu","Ubuntu Server","Лицензирование"],"title":"Установка KMS сервера активации Microsoft на базе vlmcsd в Debian или Ubuntu"},{"body":"Начиная с сентября 2022 года многие российские сервисы начинают переходить на TLS-сертификаты, выпущенные российским удостоверяющим центром. В связи с чем пользователи могут испытывать проблемы при доступе к таким сайтам. Чтобы этого избежать, нам потребуется установить в систему корневые сертификаты удостоверяющего центра, что позволит системе и браузерам доверять выпущенным им сертификатам. В данной статье мы расскажем, как это сделать в среде операционных систем Ubuntu или Debian, а также в любых основанных на них дистрибутивах.\nСразу развеем некоторые досужие домыслы, что мол установка такого сертификата дает возможность перехватывать и расшифровывать весь пользовательский трафик с ПК. Ничего подобного, корневой сертификат только лишь позволяет проверить подлинность выпушенных этим удостоверяющим центром сертификатов, чтобы расшифровать трафик нам потребуется закрытый ключ владельца сертификата, который хранится у него локально и никто, включая удостоверяющий центр, доступа к нему не имеет.\nКроме того, современные алгоритмы шифрования используют одноразовые сеансовые ключи, формируемые с использованием протокола Диффи - Хеллмана, что не позволяет расшифровать сессию даже имея на руках закрытый ключ. Поэтому беспокоиться не стоит, это просто один из множества корневых сертификатов, установленных в вашей системе. Просто большинство из них входит в состав ОС и при этом регулярно обновляется, просто этот процесс скрыт от глаз пользователя.\nУстановка сертификатов в системное хранилище Прежде всего скачаем сами сертификаты, для этого перейдем в домашнюю директорию:\n1cd ~ И выполним команды:\n1wget https://gu-st.ru/content/lending/russian_trusted_root_ca_pem.crt 2wget https://gu-st.ru/content/lending/russian_trusted_sub_ca_pem.crt Это официальные ссылки для скачивания сертификатов с портала Госуслуг.\nЗатем повысим права до суперпользователя:\n1sudo -s В Debian, если не установлен sudo, используйте:\n1su - Затем создадим директорию:\n1mkdir /usr/local/share/ca-certificates/russian_trusted И скопируем в нее сертификаты:\n1cp russian_trusted_root_ca_pem.crt russian_trusted_sub_ca_pem.crt /usr/local/share/ca-certificates/russian_trusted Затем установим их командой:\n1update-ca-certificates -v Ключ -v указывает вывести на экран подробности выполнения команды. В выводе можно увидеть, что нужные сертификаты были установлены. Теперь можем проверить, что система доверяет сертификатам выпущенным данным УЦ, для этого попробуем соединиться с сайтом Сбербанка, который одним из первых перешел на отечественные сертификаты:\n1wget -qS --spider --max-redirect=0 https://www.sberbank.ru Если вы увидите следующий вывод, то все в порядке: Часть строки HttpOnly; secure указывает на то, что мы успешно установили защищенное соединение с сайтом.\nУстановка сертификатов в Mozilla Firefox Браузер Mozilla Firefox не использует системное хранилище сертификатов, поэтому если мы хотим работать с такими сайтами с его помощью, то нам нужно добавить сертификат в хранилище браузера. Для этого перейдите Настройки - Приватность и защита - Сертификаты - Просмотр сертификатов и на закладке Центры сертификации выполните импорт скачанных сертификатов. Теперь проблем в этом браузере не возникнет, для проверки посетим тот же сайт Сбербанка. На приведенном скриншоте видно, что сайт действительно использует сертификат от Минцифры, также обратите внимание на аббревиатуру ECDHE ниже, которая обозначает, что используются несохраняемые одноразовые сеансовые ключи на основе протокола Диффи-Хеллмана на эллиптических кривых.\nУстановка сертификатов в Chromium и основанные на нем браузеры Также, как и Firefoх, Chromium и основанные на нем браузеры не используют системное хранилище и требуют отдельной установки сертификатов. Мы будем рассматривать установку на примере Chromium, в других браузерах путь к настройкам может отличаться. Переходим в Настройки - Конфиденциальность и безопасность - Безопасность - Настроить сертификаты. Затем на закладке Центры сертификации производим импорт сертификатов. Затем точно также можем посетить сайт Сбербанка и убедиться, что сертификаты установлены успешно. Как видим, установить российские корневые сертификаты в Linux достаточно несложно. При этом вам не обязательно устанавливать их во все хранилища, можно обойтись только необходимыми, исходя из рабочих потребностей.\n","id":"0bbb38d5aac26f3b2406947e947b1406","link":"https://interface31.ru/post/ustanovka-rossiyskih-kornevyh-sertifikatov-v-debian-i-ubuntu/","section":"post","tags":["Debian","Ubuntu","Безопасность","Криптография","Сетевые технологии"],"title":"Установка российских корневых сертификатов в Debian и Ubuntu"},{"body":"Ubuntu - один из самых популярных Linux дистрибутивов, широко применяющийся как в настольных системах, так и на серверах, а также в облаках и контейнерах. И, следует сказать, популярность эта вполне заслужена, долгое время Ubuntu шла в качестве более свежей и продвинутой версии Debian, но с некоторых пор идет своим путем, предлагая новые подходы и инструменты, но в тоже время сохраняя совместимость с родительским дистрибутивом. В данной статье мы пошагово рассмотрим установку и первоначальную настройку серверного дистрибутива Ubuntu 22.04 LTS.\nСразу отметим, никакого принципиального различия между серверной и настольной версиями Ubuntu давно уже нет, обе системы используют общую пакетную базу, но установщики у них разные. Настольная версия безальтернативно устанавливается в графическом режиме и ставит графическую оболочку, в то время как серверная имеет свой уникальный инсталлятор текстового режима Subiquity, который заменил использовавшийся ранее debian-installer.\nВпервые Subiquity был представлен в выпуске 18.04 LTS, но только в качестве альтернативы, так как еще не поддерживал многие возможности, например, нельзя было создать программный RAID. К выпуску 20.04 LTS основные детские болезни были исправлены и Subiquity стал единственным инсталлятором серверного выпуска.\nНачало установки Установщик выполнен в фирменной оранжевой цветовой гамме и приветствует нас на нескольких языках, включая русский. И первым шагом у нас будет именно выбор языка, но инсталлятор так и останется на английском, ваш выбор будет влиять на языковые и региональные стандарты уже установленной системы. Если присутствует сеть, то установщик проверит наличие обновления программы установки и предложит ее обновить, причем произойдет это раньше, чем вам будет предложено настроить сетевой адаптер. Мы советуем согласиться с предложением и обновиться. А вот раскладку клавиатуры по умолчанию мы советуем оставить английской, при этом русская будет добавлена автоматически и переключаться на нее вы сможете при помощи стандартного сочетания Alt + Shift. Следующим шагом нас спросят, а что именно мы хотим установить. Доступны два варианта: Ubuntu Server и Ubuntu Server (minimized), второй вариант предусматривает использование в контейнерах и виртуальных машинах, не подразумевающих интерактивный вход и ручное управление. Это значит, что в такой системе отсутствуют утилиты ручного управления и если вы все-таки захотите администрировать ее руками, то вам придется развернуть ее до уровня Ubuntu Server. Поэтому установка minimized-версии для интерактивной настройки является бессмысленной. Следующим шагом идет настройка сети, по умолчанию предлагается получить адрес автоматически при помощи DHCP, во многих случаях можно оставить эту настройку, зарезервировав адрес на DHCP-сервере, особенно если обращение к серверу подразумевается по FQDN. Если же нам нужен статический IP-адрес, то мы можем настроить его прямо сейчас, для этого переходим к нужному сетевому интерфейсу и выбираем в настройках Edit IPv4, при этом можно обратить внимание на достаточно широкие возможности настройки сети, тут и объединение адаптеров через Bonding и VLAN-теги, но это уже выходит за рамки данной статьи. Настройка сети также немного отличается от привычной, так как в первом поле мы должны указать подсеть (Subnet) в формате 192.168.233.0/24, где префикс /24 соответствует маске сети 255.255.255.0, остальные настройки не должны вызвать особых затруднений. При этом, как мы уже говорили выше, на самом деле, при наличии такой возможности, сеть с получением параметров по DHCP инициализируется задолго до появления этого экрана, в момент запуска инсталлятора, здесь же просто дают возможность пользователю подтвердить или изменить сетевые настройки.\nРазметка дискового пространства Без преувеличения, разметка диска - самый важный этап установки системы, потому как с принятыми на данном этапе решениями вам придется жить все оставшееся время и не все из них можно будет впоследствии исправить без переустановки. Сегодня основной является схема \u0026quot;все файлы в одном разделе\u0026quot; и если вы не знаете как именно разметить диск, то следуйте ей. Также Ubuntu не использует раздел подкачки, создавая для этого файл в корне файловой системы, никакой существенной разницы с разделом подкачки у такого подхода нет, но в целом это удобнее. Выбор файловой системы также сводится к одному простому правилу, если вы не знаете какая именно файловая система вам нужна и для чего - выбирайте стандартную ext4.\nАвтоматическая разметка Если у вас нет каких-то особых соображений, то использование автоматической разметки будет самым оптимальным вариантом, посмотрим, что предлагает нам Ubuntu в тех или иных сценариях. А вариантов не особо много: использовать весь диск и настроить диск как группу LVM, также можно отдельно включить шифрование LVM тома. В целом набор возможностей повторяют таковые в debian-installer, но выстроены более грамотно, в порядки иерархии применения. Пока что снимем флаг Set up this disk as an LVM group и посмотрим на самый простой вариант разметки. В этом случае будет автоматически размечен ESP раздел размером 953 МБ (для систем с UEFI) и ext4 на весь оставшийся размер диска. Никаких сюрпризов и неожиданностей здесь нет, все просто и ожидаемо.\nАвтоматическая разметка с LVM Вариант, предлагаемый по умолчанию и, казалось бы, никаких сложностей возникнуть не должно, но давайте внимательно изучим предлагаемую разметку. Прежде всего у нас кроме ESP раздела появился отдельный /boot размером 1,77 ГБ, так как загрузочный раздел должен располагаться за пределами LVM разметки. На оставшемся месте создана группа томов ubuntu-vg, внутри которой создается логический том ubutnu-lv, только вот его размер не соответствует размеру группы томов, в которой остается свободное место. Если не обратить на это внимание и оставить все как есть, то при эксплуатации вы можете столкнуться с неприятной ситуацией, когда место неожиданно закончится. Поэтом сразу исправим разметку, для этого перейдите к логическому тому и в меню выберите Edit. После чего укажите желаемый размер тома, максимальное значение указано рядом с полем Size, здесь же можно изменить тип файловой системы. Мы не знаем, является ли багом данное поведение, так как оно было зафиксировано еще в выпуске 20.04 и в обсуждении бага выражалось мнение, что мол так и задумано, так как LVM якобы не имеет смысла, если мы заполним группу томов полностью одним логическим томом. С некоторыми аргументами данной позиции можно согласиться, скажем с тем, что в таком случае нам будут недоступны моментальные снимки, но в целом такое поведение будет неожиданным, особенно для начинающего или невнимательного пользователя.\nТот, кому нужны снимки вряд-ли будет размечать диск автоматически, а тот, кто выбирает автомат рассчитывает на понятное поведение установщика. Если у нас указано использовать весь диск (Use an entire disk), то и размечать нужно все пространство полностью, а LVM впоследствии поможет нам более гибко управлять дисковым пространством. А текущий сценарий кроме недоумений и вопросов ничего предложить не может.\nНастройка программного RAID Настройка программного RAID в новом установщике Ubuntu достаточно серьезно отличается от настройки в debian-installer и может вызвать затруднения даже у опытного пользователя. Начнем с того, что пометим первый диск как загрузочный, для этого в меню диска следует выбрать Use As Boot Device. Для UEFI систем будет автоматически создан ESP-раздел, создать такой раздел руками в Subiquity невозможно, затем проделываем ту же операцию со вторым диском, выбрав в его меню Add As Another Boot Device. После чего там будет создан второй ESP-раздел. Также это обеспечит установку загрузчика сразу на оба диска. Затем переходим к свободному пространству (free space) на дисках и создаем там раздел (или разделы) нужного размера, важное условие - в поле Format обязательно ставим Leave unformatted. Если в поле Size ничего не указывать, то будет создан раздел максимального размера. Аналогичные действия выполняем и для другого диска. Помним, что одно md-устройство - это один раздел. После того как вы создали на обоих дисках одинаковые неформатированные разделы переходим в пункт Create software RAID (md), где указываем желаемый уровень RAID - в нашем случае зеркало - и выбираем используемые для него разделы. После этого среди доступных дисковых устройств у нас появится md-устройство программного RAID, на свободном месте которого создаем новый раздел, где указываем файловую систему и точку монтирования (для системного раздела - /). Для систем с UEFI данные действия только часть настройки, которую нужно продолжить после установки системы, более подробно об этом читайте в нашей статье:\nРекомендуем к прочтению Настраиваем программный RAID на UEFI-системах в Debian и Ubuntu В целом настройка RAID в новом установщике достаточно проста и логична, но отдельные моменты делаются вразрез с устоявшимся опытом, это не хорошо и не плохо, просто нужно освоить эту методику и знать, что в Ubuntu теперь нужно делать так.\nЗавершение установки Следующим шагом за разметкой дисков будет создание профиля, вас попросят указать ваше имя, имя компьютера, логин и пароль с подтверждением. Все просто, запутаться решительно негде. Следующим шагом будет предложено установить SSH-сервер, не будем отказываться от этого предложения, также здесь есть возможность импортировать свой открытый ключ из GitHub или Launchpad. После импорта ключа появится возможность отключить аутентификацию по паролю через SSH иначе эта опция неактивна. Затем можно будет выбрать предустановленное ПО, но так как мы делаем минимальную установку, то пропускаем этот этап. Хотя, если вы поднимаете целевой сервер, то можете сразу выбрать необходимые вам роли. За этим последует процесс установки, завершающей частью которого является скачивание и установка обновлений безопасности, при желании вы можете пропустить этот этап. На этом процесс установки завершен, вам останется только перезагрузить компьютер.\nВход в систему, повышение прав После перезагрузки вы можете войти в систему как интерактивно, так и через SSH. Второй способ удобнее, так как консоль будет открыта на вашем рабочем столе, и вы можете просто копировать в нее нужные команды или, наоборот, результат их работы.\nВ Ubuntu учетная запись суперпользователя root отключена и административные права получает пользователь, созданный на этапе установки. Отдельные команды, требующие повышения прав можно выполнять через sudo, для долговременного повышения прав используйте:\n1sudo -s Ключ -s открывает новую командную оболочку как бы при интерактивном входе суперпользователя в систему, при этом изменится домашний каталог и переменные окружения, которые будут соответствовать пользователю root.\nЕсли же вам по какой-либо причине требуется включить учетную запись суперпользователя, то это можно сделать, установив для нее пароль:\n1sudo passwd root Однако не следует этого делать без реальной на то необходимости, так как применяемая в Ubuntu модель является более безопасной.\nНастройка часового пояса Инсталлятор Subiquity не предусматривает настройку часового пояса и после установки ваш сервер будет жить по времени Гринвичского меридиана, чтобы убедиться в этом выполните команду:\n1timedatectl Поэтому правильная настройка времени входит в число первоочередных задач, это можно сделать разными способами, но наиболее удобной будет команда:\n1dpkg-reconfigure tzdata Затем в интерактивном режиме выберите свой часовой пояс. Все изменения будут применены сразу.\nНастройка сети В Ubuntu для настройки сети используется утилита высокого уровня абстракции netplan. Работа с ней сперва может показаться непривычной, но netplan содержит многие приятные возможности, которые выводят работу с сетью на новый уровень. Более подробно о работе с netplan вы можете прочитать в нашей статье:\nРекомендуем к прочтению Настройка сети в Linux при помощи Netplan Все сетевые настройки хранятся в файле /etc/netplan/00-installer-config.yaml, если вы выбрали динамическую настройку сети, то там будет примерно следующее содержимое:\n1network: 2 version: 2 3 ethernets: 4 ens33: 5 dhcp4: true Обратите внимание, что для файла настроек применяется формат YAML который использует для форматирования отступы в 2 или 4 пробела. Для установки статического IP-адреса внесите в файл приведенные ниже настройки:\n1network: 2 version: 2 3 ethernets: 4 ens33: 5 dhcp4: false 6 addresses: [192.168.233.148/24] 7 gateway4: 192.168.233.2 8 nameservers: 9 addresses: [192.168.233.2,192.168.233.3] Особых комментариев здесь не требуется, для записи IP-адреса используется запись вида адрес/префикс, что позволяет отдельно не указывать маску, а DNS сервера (nameservers) можно перечислить через запятую.\nА вот дальше становится интереснее, чтобы проверить конфигурацию выполните:\n1netplan try Если в течении двух минут вы не подтвердите сетевые настройки, то система откатится в первоначальное состояние. Это удобно, особенно если вы выполняете настройку сети удаленно, теперь в случае ошибки вам не придется собираться в дальнюю дорогу, достаточно просто подождать две минуты.\nЕсли же все нормально, то просто примените настройки командой:\n1netplan apply Одной только этой возможности уже достаточно, чтобы начать любить netplan, если вы не сделали этого ранее.\nНастройка брандмауэра iptables В отличие от Debian 11 в Ubuntu 22.04 LTS по-прежнему присутствует iptables, точнее nftables в режиме совместимости. И это во многом оправдано, новый межсетевой экран неплох, но на его внедрение нужно время, тогда как для iptables существует множество готовых инструкций и решений. Ниже мы набросаем минимальную конфигурацию брандмауэра и настроим ее автоматическое восстановление.\nВ консоли последовательно выполните команды:\n1iptables -A INPUT -i ens33 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT 2iptables -A INPUT -i ens33 -m conntrack --ctstate INVALID -j DROP 3iptables -A INPUT -i ens33 -p icmp -j ACCEPT 4iptables -A INPUT -i ens33 -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT 5iptables -A INPUT -i ens33 -j DROP Данный набор правил разрешает уже установленные и связанные соединения, входящий ICMP и соединения по SSH, остальное блокируется. Но правила iptables не сохраняются при перезагрузке, чтобы исправить это установим пакет:\n1apt install iptables-persistent В процессе установки нас спросят, хотим ли мы сохранить текущий набор правил, отвечаем утвердительно. В последствии правила удобнее править в файле /etc/iptables/rules.v4. При этом следует обязательно придерживаться следующих правил: первыми в цепочке идут два правила, выделенные желтым, последним обязательно должно быть правило, выделенное красным. Все остальные следует располагать между ними. Сохраняем файл и перечитываем правила:\n1iptables-restore \u0026lt; /etc/iptables/rules.v4 Мы советуем не пренебрегать настройкой брандмауэра даже если сервер полностью находится во внутреннем периметре.\nПодключаем Ubuntu Advantage Ubuntu Advantage (UA) - это сервисный пакет от компании Canonical для пользователей Ubuntu, включает коммерческую поддержку и ряд расширенных сервисов направленных на повышение управляемости и безопасности ваших систем. Для личного и некоммерческого использования предоставляется бесплатный пакет на 5 ПК.\nНаиболее интересными сервисами в пакете являются:\nExtended Security Maintenance (ESM) - предоставляет обновления безопасности для всех бинарных пакетов находящихся в основном репозитории Ubuntu в течении дополнительных 5 лет, таким образом продлевая общий срок поддержки систем до 10 лет. Livepatch - в буквальном переводе \u0026quot;живой патч\u0026quot; - еще один крайне полезный сервис, дает возможность устанавливать обновления безопасности ядра Linux без перезагрузки системы. И если ESM не факт, что нам понадобится, то вот Livepatch будет весьма ко двору. Мы не будем рассматривать все подробности подключения и использования данной программы, об этом можно прочитать в нашей статье:\nРекомендуем к прочтению Включаем расширенную поддержку ESM и Livepatch для Ubuntu Но будем считать, что вы уже зарегистрированы в ней и имеете токен подписки. Для подключения к программе выполните:\n1ua attach \u0026lt;subscription token\u0026gt; где - полученный в рамках программы токен подписки.\nВ результате выполнения команды вы увидите подробный отчет с указанием подключенных сервисов, среди которых будут ESM и Livepatch. Теперь вам не понадобится перезагружать свой сервер после каждого обновления ядра.\nЗаключение В данной статье мы постарались коротко, но емко изложить все основные действия, которые помогут вам освоить новый инсталлятор Subiquity и установить с его помощью серверный вариант Ubuntu 22.04 LTS, а также выполнить его первоначальную настройку. Также в статье присутствуют ссылки на иные наши материалы, позволяющие существенно расширить отдельные темы, рекомендуем обязательно ознакомиться с ними.\n","id":"967a39af20f07a48377d7dfaa1002615","link":"https://interface31.ru/post/linux-nachinayushhim-ustanovka-i-pervonachal-naya-nastroyka-ubuntu-2204-lts-dlya-servera/","section":"post","tags":["iptables","Linux","LVM","mdadm","Ubuntu Advantage","Ubuntu Server","UEFI"],"title":"Linux - начинающим. Установка и первоначальная настройка Ubuntu 22.04 LTS для сервера"},{"body":"Выбирая решения для организации VPN администратору приходится учитывать множество факторов, как технологических, так и эксплуатационных. Мало просто установить сервер удаленного доступа, нужно еще выполнить настройку клиентов, а затем управлять ими. Если вы ищите комплексное решение, то следует обратить внимание на Рутокен VPN - который построен на базе OpenVPN и кроме всех присущих этой технологии плюсов реализует поддержку аутентификации по токенам и простое и удобное управление пользователями.\nРутокен VPN предлагается в двух вариантах: коммерческий Enterprise Edition и бесплатный Community Edition. Последний не поддерживает алгоритмы шифрования ГОСТ (только RSA) и не имеет технической поддержки и обновлений от производителя. При этом обе редакции поддерживают работу с токенами Рутокен ЭЦП 3.0, ЭЦП 2.0 2100, ЭЦП 2.0 Flash, ЭЦП PKI, обратите внимание, что все это устройства с аппаратной поддержкой шифрования и неизвлекаемыми ключами. Использовать для работы с Рутокен VPN популярные и распространенные Рутокен Lite не получится.\nРекомендуемой платформой для установки продукта является Ubuntu 20.04 LTS на которой мы и выполнили развертывание. Разработчики не исключают варианты работы в среде других ОС, но в этом случае, возможно, вам придется выполнять адаптацию продукта собственными средствами.\nНесмотря на то, что вместе с продуктом идет инструкция по установке при развертывании был выявлен ряд моментов, которые способны вызвать серьезные затруднения, включая полную потерю доступа к серверу, поэтому мы добавили ряд дополнительных шагов исключающих такое развитие событий.\nВсе описанные ниже действия следует выполнять от имени суперпользователя, поэтому поднимем права командой:\n1sudo -s Начнем с создания служебного пользователя ubuntu, который необходим для установки и работы Рутокен VPN:\n1groupadd ubuntu 2useradd -m -N -G users,sudo,ubuntu -s /bin/bash ubuntu Продукт использует для управления сетью старую схему на основе ifupdown вместо netplan и отключает схему ifnames, но реализовано это крайне неудачно и если ничего не делать, то после установки сервера и автоматической перезагрузки вы полностью потеряете сетевой доступ к устройству!\nЕстественно, что такой вариант является нежелательным, поэтому предпримем некоторые меры. Прежде всего откроем файл /etc/netplan/00-installer-config.yaml и заменим в нем имя интерфейса на eth0. Перейдем в домашнюю папку и скачаем туда скрипт для установки Рутокен VPN с официального репозитория на Github. Чтобы узнать ссылку на скачивание файла в Github перейдите к нему и нажмите кнопку Raw вверху окна, после чего скопируйте прямой адрес из открывшейся вкладки. Затем добавим скрипту право на исполнение и запустим его. Все это делается следующей последовательностью команд:\n1cd 2wget https://raw.githubusercontent.com/AktivCo/Rutoken-VPN-Community-Edition-Server/3e95be0ac50d290beb3f91e165b3b7df7c23fa82/install.sh 3chmod +x install.sh 4./install.sh Начнется процесс установки, который может занять продолжительное время. После окончания установки система будет автоматически перезагружена.\nЧтобы получить доступ к панели управления Рутокен VPN наберите в браузере адрес http://IP_ADDRESS, где IP_ADDRESS - текущий IP-адрес сервера. В качестве логина и пароля используйте RutokenVpn. Сразу после первого входа в систему вам будет предложено настроить сеть, настройки применяются сразу и если вы изменили IP-адрес, то после применения настроек заново войдите в панель управления по новому адресу. Затем вам предложат создать собственный центр сертификации, для чего вам потребуется указать желаемое имя и выбрать тип ключа, в Community Edition это безальтернативно RSA. На последнем этапе настройки вас попросят указать внешний IP-адрес, на который будут подключаться клиенты, выбрать диапазон адресов для внутренней сети и указать, хотите ли вы отправлять в VPN-туннель весь трафик. В качестве диапазонов VPN-сети предлагаются три заранее заданных варианта, указать произвольный диапазон возможности нет. На этом настройка Рутокен VPN завершена. Но перед тем, как начинать эксплуатацию нужно выполнить ряд дополнительных действий, иначе при следующей перезагрузке сервер снова запустится со старым IP-адресом. Дело в том, что логика разработчиков была проста - поломать netplan, после чего будет работать ifupdown, но при этом будет потерян сетевой доступ при первой перезагрузке. Чтобы этого избежать, мы починили netplan, поэтому теперь следует его корректно отключить.\nОткроем /etc/default/grub и приведем указанный параметр к следующему виду:\n1GRUB_CMDLINE_LINUX=\u0026#34;net.ifnames=0 netcfg/do_not_use_netplan=true\u0026#34; Сохраним файл и обновим параметры загрузчика:\n1update-grub Затем удалим конфигурационный файл netplan:\n1rm /etc/netplan/00-installer-config.yaml После чего перезагружаем систему.\nВ дальнейшем, входя в панель управления мы будем сразу попадать в раздел Пользователи и сертификаты, где мы можем как создавать пользователей вручную, так и импортировать их из ActiveDirectory, что удобно если вы используете данную службу каталогов. Прямо из списка пользователей можно выпустить сертификаты и установить ограничения. Рутокен VPN предлагает два вида сертификатов:\nДля ключа - требует обязательного использования токена и установки Рутокен VPN клиент, который представляет собой модифицированный OpenVPN клиент для работы с аппаратным шифрованием. В Linuх для работыиспользуется обычный OpenVPN и поддерживаются только RSA-ключи. Для мобильных устройств - в этом случае генерируется конфигурация OpenVPN, объединенная в один файл с ключами и которую можно использовать на любом устройстве, а не только на мобильном. Для работы потребуется обычный OpenVPN клиент. Среди ограничений мы можем запретить пользователю:\nСамостоятельно генерировать сертификат для ключа Самостоятельно генерировать сертификат для мобильных устройств Входить в личный кабинет Подключаться к VPN В этом же разделе мы можем увидеть и скачать все сертификаты пользователей (а точнее готовые конфигурации OpenVPN) и просмотреть список активных подключений. Все сделано достаточно просто и удобно, интерфейс интуитивно понятен и не вызывает каких-либо затруднений.\nВ разделе Сеть и система находятся настройки сети, центра сертификации и самого VPN-сервера которые мы уже видели, настроек немного и делать там, в общем и целом, нечего. Здесь же можно перевыпустить сертификат сервера, который выдается по умолчанию на два года. Срок действия сертификата пользователя также 2 года. Последний раздел Управление устройством также не богат настройками, в нем можно изменить пароль администратора, логин при этом жестко зафиксирован как RutokenVpn, настроить синхронизацию времени, выключить или перезагрузить устройство и получить доступ к логам, по умолчанию ведение логов выключено.\nТеперь о том, что под капотом. Как уже было сказано для организации VPN использован OpenVPN, а веб-сервер реализован на NGINX, что дает возможность их тонкой настройки традиционным образом - через редактирование конфигурационных файлов. Сам Рутокен VPN располагается в /opt/Rutoken-VPN-Community-Edition-Server и так как это open-source продукт, то вы тоже можете вносить в него необходимые изменения.\nС административной частью продукта мы ознакомились, теперь перейдем к клиентской, каждый пользователь, если у него не стоит явный запрет, имеет доступ в личный кабинет, где ему доступны собственные конфигурации VPN, а также возможность создать их самостоятельно. Это очень полезная возможность, снижающая нагрузку на администраторов и повышающая удобство использования системы пользователями. При этом мы можем достаточно тонко настроить кабинет пользователя, например. если вы не используете токены, то можете отключить возможность создавать конфигурацию для ключа. Также прямо из кабинета можно загрузить клиентское приложение для наиболее распространенных систем. Из коробки для Windows и mac OS X загружается Рутокен VPN клиент, но это поведение несложно изменить, достаточно просто заменить ссылки на скачиваемые файлы в /opt/Rutoken-VPN-Community-Edition-Server/front/app/common/download-client/download-client.component.html, ниже представлен готовый файл с прописанными ссылками на OpenVPN Connect v3.\nСкачать download-client.component.zip SHA1 F9FA740C48965489258A89F84147C8C415CAB4A4\nПосле того, как вы внесли изменения в файл или заменили его скачанным нужно пересобрать проект:\n1npm run webpack:opensource После чего достаточно обновить страницу в личном кабинете и ссылки на скачивание будут вести к указанными вами файлам. В целом, при наличии начальных знаний HTML вы можете произвольно менять интерфейс панели администрирования и личного кабинета, но это уже выходит за рамки данной статьи.\nКак видим Рутокен VPN Community Edition - простой, но удобный продукт на базе OpenVPN, позволяющий быстро развернуть сервер удаленного доступа корпоративного уровня с возможностью интеграции в ActiveDirectory и самообслуживанием клиентов. Поэтому советуем в обязательном порядке с ним ознакомиться.\n","id":"9059217c29633f2ee46af06b8687c37f","link":"https://interface31.ru/post/ustanovka-i-nastroyka-rutoken-vpn-community-edition/","section":"post","tags":["Active Directory","OpenVPN","VPN","Безопасность","Рутокен","Сетевые технологии"],"title":"Установка и настройка Рутокен VPN Community Edition"},{"body":"Казалось бы, монтирование файловых систем в Linux задача простая и не требующая каких-либо доработок. Но очень часто именно в простоте таятся различные сложности и затруднения. Текущая система монтирования уходит корнями еще во времена UNIX и дошла до наших дней без серьезных изменений. Но мир с тех пор серьезно изменился, сегодня в широком ходу сетевые расположения и съемные устройства, работать с которыми классическим образом не слишком удобно. И вот тут нам на помощь снова приходит systemd, предлагая современные методы монтирования файловых систем.\nЮниты монтирования Юниты - это специальные файлы с описаниями служб, которые используются systemd для их активации. Существуют различные типы юнитов, для монтирования файловых систем предназначены юниты типа mount, их следует располагать в каталоге /etc/systemd/system. Существуют специальные правила именования таких файлов: они должны содержать путь к точке монтирования в которой все слеши, кроме начального, заменяются на дефис. Например, если точка монтирования у нас /home/user/video, то имя файла юнита должно быть home-user-video.mount.\nПроблема возникает если в пути точки монтирования используется дефис, в этом случае следует заменить недопустимые символы в пути, для чего используем команду:\n1systemd-escape -p \u0026#34;/home/naf-naf/video\u0026#34; Выводом команды будет:\n1home-naf\\x2dnaf-video Которое и следует использовать в качестве имени файла юнита. Сам юнит должен иметь обязательную секцию [Mount] с двумя обязательными параметрами, указывающими на устройство и точку монтирования. Ниже приведен минимальное содержимое такого файла:\n1[Unit] 2Description=Fresh series 3 4[Mount] 5What=/dev/disk/by-uuid/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX 6Where=/home/user/video 7 8[Install] 9WantedBy=multi-user.target Секция [Unit] содержит строку с описанием сервиса, в нашем случае точки монтирования. Можете написать туда все что угодно, главное, чтобы вам потом было понятно, что в эту точку монтируется и зачем. Секция [Install] задает уровень запуска сервиса, в нашем случае это multi-user.target - многопользовательский режим без графики. Но если вам при консольном входе не нужны свежие сериалы, то можете поставить туда graphical.target, тогда устройство будет монтироваться только при графическом входе в систему.\nТеперь перейдем к основной секции [Mount], опция What содержит абсолютный путь к монтируемому устройству, в простейшем случае это /dev/sda1, но мы категорически не рекомендуем монтировать устройства таким образом, особенно внешние. При удалении или добавлении новых дисковых устройств их имя может меняться, что может привести к различным нежелательным последствиям.\nПравильно монтировать блочные устройства по UUID, что гарантирует подключение именно того устройства, которое мы ожидаем увидеть в данной точке монтирования. Чтобы узнать UUID воспользуйтесь командой:\n1blkid или\n1lsblk -f Вторая команда более информативна, так как выводит не только UUID разделов, но и их иерархию, что во многих случаях может быть полезно. Опция Where указывает точку монтирования, символические ссылки не допускаются, если указанная директория не существует, то она будет создана.\nИз дополнительных опций следует выделить:\nType= тип файловой системы, например, ext4. Options= опции монтирования, перечисляются через запятую. DirectoryMode= Права на директорию при ее автоматическом создании, по умолчанию 0755. TimeoutSec= Таймаут монтирования устройства, если за указанное время выполнить монтирование не удалось, то устройство будет отключено. И уже здесь видны преимущества systemd: автоматическое создание директорий для точек монтирования, тайм-аут и отключение устройства при невозможности монтирования, в аналогичной ситуации с fstab вы просто не сможете загрузить систему в нормальном режиме.\nПосле того, как вы создали и сохранили файл юнита перечитаем конфигурацию systemd (это нужно делать после добавления каждого нового файла юнита):\n1systemctl daemon-reload И попробуем смонтировать наше устройство:\n1systemctl start home-user-video.mount Убедившись, что все работает нормально, добавим точку монтирования в автозагрузку:\n1systemctl enable home-user-video.mount Если вы уже набили руку и уверены в себе, то можно совместить оба действия:\n1systemctl enable --now home-user-video.mount Это автоматически выполнит монтирование и добавит юнит в автозагрузку.\nВнимание! Важно! Не включайте автозагрузку для сетевых и съемных носителей! Для их подключения воспользуйтесь функцией автомонтирования.\nКроме юнита монтирования в systemd есть еще один юнит для автоматического монтирования файловой системы в момент обращения к точке монтирования. Не следует путать его с автоматическим запуском юнита монтирования при загрузке системы. Данный юнит не содержит параметров монтирования и используется только в связке с mount-юнитом, его имя формируется по тем же правилам, но только с расширением .automount. Ниже типовой пример такого юнита:\n1[Unit] 2Description=Automount Fresh series 3 4[Automount] 5Where=/home/user/video 6TimeoutIdleSec=900 7 8[Install] 9WantedBy=multi-user.target Мы не будем разбирать дополнительные секции, так как уже сделали это выше, обратимся к основной - [Automount]. К обязательным опциям относится Where, которая указывает на точку монтирования, а опция TimeoutIdleSec задает время простоя в секундах, после которого файловая система будет отмонтирована.\nПосле создания юнита автомонтирования точно также перечитаем конфигурацию systemd и запустим его, одновременно добавив в автозагрузку:\n1systemctl enable --now home-user-video.automount Но автоматического монтирования устройства не произойдет до тех пор, пока вы не обратитесь к указанной в точке монтирования директории.\nНастройка зависимостей Еще одной важной возможностью systemd является простая работа с зависимостями. В самом простом варианте мы указываем уровень запуска:\n1[Install] 2WantedBy=multi-user.target Это предполагает, что уже запущена сеть и все основные службы. Но могут быть ситуации, когда нужная нам файловая система подключается через VPN или iSCSI и эти службы тоже стартуют на уровне multi-user.target. В этом случае нам потребуется указать зависимости, это можно сделать разными способами.\nСамый мягкий способ, это использование опции Wants, которая предполагает желательность наличия запущенного сервиса, но даже если он недоступен, юнит все равно попытается запуститься. Понятно, что в нашем случае это не подходит, если нет канала связи или не запущена служба iSCSI монтировать устройство нет никакого смысла.\nПоэтому переходим к следующей опции - Requires, которая требует обязательного наличия указанной службы, в противном случае юнит запущен не будет. Эту опцию следует обязательно сочетать с опцией After, в противном случае система может попытаться запустить обе службы одновременно.\nПоэтому секция [Unit] должна будет выглядеть так:\n1[Unit] 2Description=Fresh series 3Requires=openvpn@client.service 4After=openvpn@client.service Теперь монтирование файловой системы произойдет только после того, как будет поднят OpenVPN-туннель. Но есть один момент, опция Requires отвечает только за старт сервиса, не отслеживая его дальнейшее состояние и если VPN-соединение упадет, то файловая система останется смонтированной, если это критично, то следует заменить Requires на BindsTo, в этом случае при падении службы от которой зависит работа юнита, он также будет остановлен, т.е. при обрыве VPN файловая система будет размонтирована.\n1[Unit] 2Description=Fresh series 3BindsTo=openvpn@client.service 4After=openvpn@client.service Обратите внимание, что в данном случае мы продолжаем использовать опцию After, чтобы монтирование происходило строго после того, как поднимется VPN-соединение.\nМонтирование внутреннего диска После теории перейдем к практике, для монтирования внутреннего диска создайте юнит типа mount - home-user-video.mount - со следующим содержимым:\n1[Unit] 2Description=Fresh series 3 4[Mount] 5What=/dev/disk/by-uuid/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX 6Where=/home/user/video 7Type=ext4 8Options=default 9 10[Install] 11WantedBy=multi-user.target Затем выполните:\n1systemctl daemon-reload 2systemctl enable --now home-user-video.mount Таким образом вы одновременно смонтируете файловую систему и добавите ее в автозагрузку.\nМонтирование съемного диска Точно также сначала создадим юнит монтирования home-user-video.mount:\n1[Unit] 2Description=USB Fresh series 3 4[Mount] 5What=/dev/disk/by-uuid/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX 6Where=/home/user/video 7Type=ext4 8Options=default 9TimeoutSec=10 10 11[Install] 12WantedBy=multi-user.target А затем одноименный юнит автомонтирования home-user-video.automount:\n1[Unit] 2Description=Automount USB Fresh series 3 4[Automount] 5Where=/home/user/video 6TimeoutIdleSec=900 7 8[Install] 9WantedBy=multi-user.target После чего выполняем:\n1systemctl daemon-reload 2systemctl enable --now home-user-video.automount Теперь указанное устройство будет смонтировано при первом к нему обращении, в случае невозможности монтирования будет выдержан таймаут в 10 секунд, после чего устройство будет отключено. При неактивности в течении 900 сек (15 мин) устройство также будет размонтировано.\nМонтирование NFS Network File System (NFS) -- протокол сетевого доступа к файловым системам широко использующийся в UNIX и Linux, клиентская часть требует установки дополнительного пакета:\n1apt install nfs-common Для монтирования NFS-ресурса снова создадим два юнита, сначала юнит монтирования home-user-video.mount:\n1[Unit] 2Description=NFS Fresh series 3 4[Mount] 5What=192.168.111.151:/video 6Where=/home/user/video 7Type=nfs 8Options=_netdev,auto 9TimeoutSec=10 10 11[Install] 12WantedBy=multi-user.target А затем юнит автомонтирования home-user-video.automount:\n1[Unit] 2Description=Automount NFS Fresh series 3 4[Automount] 5Where=/home/user/video 6TimeoutIdleSec=900 7 8[Install] 9WantedBy=multi-user.target После чего добавим его в автозагрузку и запустим:\n1systemctl daemon-reload 2systemctl enable --now home-user-video.automount Монтирование SMB SMB (Server Message Block) - популярный протокол для общего доступа к файлам и принтерам в сетях Windows и прежде, чем монтировать SMB-ресурс нам следует установить необходимые пакеты и создать специальный файл с учетными данными для аутентификации.\nНачнем с установки:\n1apt install samba cifs-utils Затем создадим файл данных для аутентификации /etc/samba/smbcreds и внесем в него следующие данные, которые представляют собой логин и пароль от SMB-ресурса:\n1username=User 2password=Pa$$worD_1 Установим права, разрешающие доступ к файлу только суперпользователю:\n1chmod 600 /etc/samba/smbcreds Теперь перейдем к созданию юнита монтирования home-user-video.mount:\n1[Unit] 2Description=Automount SMB Fresh series 3 4[Mount] 5What=//FILESERVER/VIDEO 6Where=/home/user/video 7Type=cifs 8Options=_netdev,iocharset=utf8,rw,file_mode=0777,dir_mode=0777,vers=2.0,credentials=/etc/samba/smbcreds 9TimeoutSec=10 10 11[Install] 12WantedBy=multi-user.target Из опций монтирования обращаем внимание на кодировку iocharset и версию протокола vers, здесь же указываем путь к файлу с учетными данными.\nЮнит автомонтирования home-user-video.automount ничем не отличается от предыдущих вариантов:\n1[Unit] 2Description=Automount NFS Fresh series 3 4[Automount] 5Where=/home/user/video 6TimeoutIdleSec=900 7 8[Install] 9WantedBy=multi-user.target Для включения в автозагрузку и запуска выполните:\n1systemctl daemon-reload 2systemctl enable --now home-user-video.automount Как видим, монтирование файловых систем через systemd совсем несложно и гораздо более удобно, нежели классическим методом, особенно когда дело касается съемных носителей и сетевых расположений.\n","id":"023f6e034174bae52cdf1d210ea6cebd","link":"https://interface31.ru/post/montirovanie-faylovyh-sistem-pri-pomoshhi-systemd/","section":"post","tags":["Debian","Linux","systemd","Ubuntu","Ubuntu Server"],"title":"Монтирование файловых систем при помощи systemd"},{"body":"Продолжаем тему выбора лучшего браузера для работы в 2022 году. В прошлом материале мы рассмотрели ситуацию на платформе Windows, но сейчас достаточно велик интерес и к альтернативным ОС семейства Linux, где браузер также является основным рабочим инструментом во многих сценариях. Поэтому мы провели аналогичную серию тестов, чтобы понять какой расклад сил на платформе Linux, как обстоят дела с потреблением ресурсов и производительностью и каким браузерам в итоге следует отдать свое предпочтение.\nМы не будем повторяться об общей ситуации на рынке браузеров и характерных особенностях каждого из них, все это можно прочитать в первой части, а сосредоточимся в первую очередь на результатах тестов, а также рассмотрим некоторые характерные именно для платформы Linux особенности.\nРекомендуем к прочтению Выбираем браузер для работы в 2022 году. Платформа Windows В качестве платформы для тестирования мы использовали Ubuntu 22.04 LTS, самый последний выпуск с долгосрочной поддержкой популярного дистрибутива. Одной из особенностей этого выпуска является поставка основного браузера - Mozilla Firefox - в виде Snap-пакета. Мы знаем, что многие администраторы негативно относятся к Snap, но в данном случае можем только приветствовать эту инициативу. Почему?\nВеб-технологии изменяются гораздо более стремительно, чем многие другие отрасли IT, это неудивительно, они всегда на переднем крае и то, что еще вчера считалось надежным и безопасным сегодня может уже таковым не являться. Поэтому браузеры тоже не стоят на месте, а следуют за общими тенденциями отрасли. Но это очень скоро входит в противоречие с политикой LTS-дистрибутивов, делающих основной упор на консервативность и стабильность, обеспечивая неизменность основной пакетной базы на протяжении всего жизненного цикла, что очень часто приводит к тому, что пользователи вынуждены сидеть со старой версией браузера.\nSnap-пакеты снимают большую часть этих ограничений, теперь можно своевременно обновлять нужный софт без оглядки на долгосрочный статус поддержки, если Snap-пакету нужны какие-то более новые библиотеки - он принесет их с собой.\nНа что и как это повлияет? Попробуем разобраться, кроме Firefox в виде Snap-пакета также доступна Opera, кроме того, мы установили отдельный экземпляр этого браузера через официальный Deb-пакет с сайта разработчика, так что будет что сравнить. Список тестируемых браузеров остался прежним, за исключением Atom, который существует только под Windows, но его место заняла Opera в виде Snap-пакета.\nНачнем с WebXPRT 4 - универсального теста, использующего HTML5, JavaScript и WebAssembly и позволяющего получить общее представление о производительности браузера. Сразу следует отметить, что все браузеры на платформе Linux показали более высокий уровень производительности, если в Windows результаты этого теста находились в области 70-90%, то здесь это 89-99%. Абсолютный лидер - Google Chrome, на втором месте Firefoх и браузеры семейства Blink: Edge, Opera, Chromium. Чуть более низкие результаты у Яндекс.Браузера, Vivaldi и Opera (snap).\nВот здесь мы уже можем сделать первые выводы по поводу Snap vs DEB, ничего катастрофичного от упаковки приложения в Snap-пакет не произошло, разница в производительности составила около 5%, что вряд ли будет замечено невооруженным глазом. А в целом расклад повторяет аналогичный ему в Windows, только с более высокими абсолютными значениями и меньшим разбросом между лидерами и аутсайдерами.\nJetStream 2.1 - это более специализированный набор тестов JavaScript и WebAssembly, но он же один из наиболее важных, так как именно эти технологии лежат в основе современных веб-приложений. Результаты теста снова ярко показывают проблемы движка Quantum, как и в Windows, Firefox стабильно \u0026quot;пасет задних\u0026quot;. Также утратил свои ведущие позиции лидер предыдущего тестирование Edge, что как раз и не удивительно, в собственной системе разработчики всегда могли обеспечить своему браузеру режим наибольшего благоприятствования, а здесь играть приходится на общих основаниях.\nВ остальном результаты ничем не выделяются, в лидерах Chrome и браузеры на движке Blink, что касается Snap-версии Opera, то она также уступает, но незначительно, в данном случае на 7%, при этом она показывает производительность на уровне нативных Vivaldi или Яндекс.Браузер.\nНу и напоследок посмотрим, что у нас по ресурсам, мы открыли в каждом браузере тот же самый набор из десяти вкладок, дали некоторое время поработать и оценили используемый объем оперативной памяти. Безусловным лидером по прожорливости ожидаемо стал Firefox, тут хоть пой, хоть пляши, но недостатки движка видны невооруженным глазом, как и то, что ему становится все труднее конкурировать с Blink. Подтверждением тому постоянно снижающаяся доля рынка, если и дальше так пойдет, то Firefox имеет все шансы вылететь из второго эшелона и войти в разряд маргинальных браузеров.\nТройка лидеров также предсказуема: Chrome, Chromium и Edge. Opera (snap) вполне ожидаемо показала один из худших результатов, но это плата за упаковку и \u0026quot;все свое ношу с собой\u0026quot;, при этом нельзя назвать результат таким уж и плохим, всего на 10% больше, чем у обычной Opera. Яндекс.Браузер, как и в других тестах - крепкий середнячок.\nВыводы Большинство Linux дистрибутивов по умолчанию предлагают нам браузер Firefox, но это нельзя назвать хорошим выбором, с какой стороны не посмотри, движок Quantum явно не тянет и существенно уступает основному конкуренту - Blink. Если вы хотите получить оптимизированный и производительный браузер, то нужно смотреть в сторону Blink.\nВ первую очередь это Chrome или Chromium, выбирая последний - помните, что останетесь без синхронизации, которую отключил Google еще в 2021 году. Однако, если это не является критичным, тот же Chromium GOST будет отличным выбором, если вам нужен российский браузер и поддержка отечественной криптографии из коробки.\nОтдельного разговора стоит Edge, многие высказывают недоумение, мол зачем браузер от Microsoft в Linux? Но если у вас гетерогенная среда, то это будет неплохой выбор, учитывая доступную синхронизацию через аккаунт Microsoft.\nOpera точно также рассчитана более на персональное применение, Vivialdi - удел любителей, а вот Яндекс.Браузер по-прежнему выглядит привлекательно, по производительности и потреблению ресурсов он находится где-то в середине, но при этом у него богатый набор функции и это еще один отечественный браузер, что во многих случаях важно.\n","id":"a2fcafd2de34269d32e63809fabaeb49","link":"https://interface31.ru/post/vybiraem-brauzer-dlya-raboty-v-2022-godu-platforma-linux/","section":"post","tags":["Linux","Браузеры","Производительность","Рабочее место"],"title":"Выбираем браузер для работы в 2022 году. Платформа Linux"},{"body":"Публикация информационных баз 1С:Предприятие при помощи веб-сервера - один из популярных сценариев удаленного доступа, удобный тем. что можно работать из любого места и даже без установленного клиента 1С, через браузер. Но при этом остро встает вопрос обеспечения безопасности такого соединения. Для этих целей мы будем использовать SSL-шифрование с бесплатным сертификатом от Let's Encrypt, а для дополнительной защиты подключим аутентификацию средствами веб-сервера.\nВ рамках данной статьи мы будем считать, что у вас уже установлен и настроен веб-сервер Apache и на нем выполнена публикация необходимых вам информационных баз. Также будем предполагать, что никаких иных веб-ресурсов данный сервер не обслуживает.\nЕсли же вы только начинаете заниматься этим вопросом, то правильно настроить веб-сервер и опубликовать базы вам поможет наша статья:\nРекомендуем к прочтению Публикация баз данных 1С:Предприятие 8.3 на веб-сервере Apache в Debian или Ubuntu Также, для получения бесплатного сертификата вам понадобится доменное имя, получить сертификат на IP-адрес или несуществующий домен нельзя.\nПолучение бесплатного сертификата Let's Encrypt На сегодняшний день получение бесплатного сертификата Let's Encrypt является наиболее оптимальным способом для защиты ваших веб-служб. Некоторых пугает кажущаяся сложность данной операции и необходимость продления сертификата каждые 90 дней, но ничего страшного в этом нет. все прекрасно автоматизировано и работает по принципу один раз настроил и забыл.\nПрежде всего установим службу для управления сертификатами:\n1apt install certbot Затем создадим некоторую инфраструктуру для ее работы:\n1mkdir /var/www/letsencrypt 2chown -R www-data:www-data /var/www/letsencrypt Затем создадим файл конфигурации для веб-сервера Apache:\n1nano /etc/apache2/conf-available/le.conf И поместим в него следующий текст:\n1Alias /.well-known/acme-challenge/ /var/www/letsencrypt/.well-known/acme-challenge/ 2 3\u0026lt;Directory \u0026#34;/var/www/letsencrypt/.well-known/acme-challenge/\u0026#34;\u0026gt; 4 Options None 5 AllowOverride None 6 ForceType text/plain 7 Require all granted 8 RedirectMatch 404 \u0026#34;^(?!/\\.well-known/acme-challenge/[\\w-]{43}$)\u0026#34; 9\u0026lt;/Directory\u0026gt; Затем подключим созданную конфигурацию к Apache:\n1a2enconf le Проверим конфигурацию веб-сервера на ошибки и перезапустим его:\n1apachectl -t 2service apache2 restart Теперь попробуем пробное получение сертификата:\n1certbot certonly --dry-run --webroot -w /var/www/letsencrypt -d 1с.example.com где 1с.example.com - используемый нами домен, ключ --dry-run обозначает пробную попытку, без реального получения сертификата. Если все прошло без ошибок получим сертификат по-настоящему:\n1certbot certonly --webroot -w /var/www/letsencrypt -d 1с.example.com Важно! Если ваш сервер находится внутри периметра, то для нормальной работы certbot вы должны пробросить наружу как 443 порт (HTTPS), так и 80 порт (HTTP).\nПри установке certbot задания на автоматический запуск продления будут созданы автоматически, ничего делать не нужно. Но потребуется настроить перезапуск веб-сервера после обновления сертификата, для этого откройте конфигурационный файл /etc/letsencrypt/renewal/1с.example.com.conf и добавьте в секцию [renewalparams] строку:\n1[renewalparams] 2... 3renew_hook = systemctl reload apache2 Это обеспечит перезапуск Apaсhe после обновления сертификата, если обновления не было, то перезапускаться служба не будет.\nНастройка SSL-шифрования на веб-сервере Apache Сертификат получен, самое время перейти к настройке веб-сервера. Современные реалии диктуют единственный вариант работы: только HTTPS, все запросы по незащищенному протоколу HTTP должны автоматически перенаправляться на HTTPS-версию. При этом не следует делать недоступным HTTP-порт, во-первых, он нужен для работы certbot, во-вторых, это создаст неудобство пользователям, так как просто набрав в адресной строке 1с.example.com они никуда не попадут, пока явно не укажут протокол: https://1с.example.com.\nТак как наш веб-сервер, по условиям, обслуживает только публикации 1С, то мы не будем создавать новые виртуальные хосты, а отредактируем те, что по умолчанию. Откроем файл /etc/apache2/sites-available/000-default.conf и приведем его к следующему виду:\n1\u0026lt;VirtualHost *:80\u0026gt; 2 RewriteEngine On 3 RewriteCond %{REQUEST_URI} !^/\\.well\\-known/acme\\-challenge/ 4 RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [R=301,L] 5 ServerAdmin webmaster@example.com 6 DocumentRoot /var/www/html 7 ErrorLog ${APACHE_LOG_DIR}/error.log 8 CustomLog ${APACHE_LOG_DIR}/access.log combined 9\u0026lt;/VirtualHost\u0026gt; Конфигурация стандартная и особо в комментариях не нуждается, за исключением первых трех строк, которые осуществляют перенаправление на HTTPS всех HTTP запросов, кроме Let's Encrypt.\nТеперь откроем /etc/apache2/sites-available/default-ssl.conf - файл с настройками виртуального хоста с SSL-защитой и внесем в него следующие строки:\n1\u0026lt;VirtualHost *:443\u0026gt; 2 ServerAdmin webmaster@example.com 3 DocumentRoot /var/www/html 4 ErrorLog ${APACHE_LOG_DIR}/error_ssl.log 5 CustomLog ${APACHE_LOG_DIR}/access_ssl.log combined 6 7 SSLEngine on 8 SSLCertificateFile /etc/letsencrypt/live/1с.example.com/cert.pem 9 SSLCertificateChainFile /etc/letsencrypt/live/1с.example.com/fullchain.pem 10 SSLCertificateKeyFile /etc/letsencrypt/live/1с.example.com/privkey.pem 11 SSLCACertificateFile /etc/letsencrypt/live/1с.example.com/chain.pem 12 13 Protocols h2 http/1.1 14 Header always set Strict-Transport-Security \u0026#34;max-age=63072000\u0026#34; 15\u0026lt;/VirtualHost\u0026gt; Конфигурация, в целом, тоже стандартная. Набор SSL-опций включает шифрование и указывает пути к сертификатам. Последние две строки разрешают протокол HTTP/2, если поддерживается клиентом и включают HSTS, специальный заголовок, который предписывает клиенту, если он уже один раз успешно соединился с сайтом по HTTPS отвергать подключения по HTTP в течении указанного в параметре max-age времени. На время отладки эту опцию рекомендуется закомментировать.\nТеперь откроем главный файл конфигурации Apache /etc/apache2/apache2.conf и добавим туда глобальные опции, отвечающие за шифрование:\n1SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 2SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384 3SSLHonorCipherOrder off 4SSLSessionTickets off 5SSLUseStapling On 6SSLStaplingCache \u0026#34;shmcb:logs/ssl_stapling(32768)\u0026#34; Так как правильное их формирование вопрос сложный, то рекомендуем воспользоваться специальным генератором moz://a SSL Configuration Generator. В нашем случае взяты настройки среднего уровня (Intermediate) обеспечивающие необходимый баланс между безопасностью и совместимостью. Рекомендуем время от времени посещать указанный сайт и обновлять настройки шифрования собственного сервера.\nПодключим необходимые модули Apache и виртуальный хост для работы с SSL:\n1a2enmod headers 2a2enmod rewrite 3a2enmod ssl 4a2ensite default-ssl Проверяем конфигурацию и перезапускаем веб-сервер:\n1apachectl -t 2service apache2 restart Если все сделано правильно, то при обращении к веб-публикации 1С она будет открываться только через защищенное соединение.\nВключаем дополнительную аутентификацию по паролю У нас нет основания сомневаться во встроенном механизме аутентификации 1С:Предприятия, во всяком случае в онлайн-сервисах дополнительной аутентификации не предусмотрено, но есть слабое место - пользователи. Во многих базах могут использоваться простые пароли или не использоваться вообще, часть таких паролей могут использоваться скриптами и средствами автоматизации, поэтому взять и установить сразу всем сложные пароли будет не так-то просто.\nСитуация усугубляется, если администрирование 1С выполняют другие сотрудники, они вполне могут, пойдя на поводу пользователей снова установить им слабые пароли, что сильно снижает безопасность собственного механизма аутентификации. Поэтому мы пойдем другим путем и установим дополнительную аутентификацию на уровне веб-сервера, тут уже точно без нас никто пароль не изменит. Основная его цель - оградить собственный механизм аутентификации 1С от доступа всех желающих, которым достаточно будет просто узнать ссылку.\nСледует отметить, что 1С:Предприятите поддерживает только Basic-аутентификацию, которая считается небезопасной, так как передает учетные данные в открытом виде, однако в нашем случае это не имеет значения, так как канал защищен SSL-шифрованием.\nПрежде всего создадим файл паролей. Можно использовать один пароль для всех публикаций, либо разные, а также комбинировать этот подход. Например, установим пароль для пользователя user1c:\n1htpasswd -c /etc/apache2/.htpasswd user1c Ключ -с создает файл в случае его отсутствия и перезапишет его, если файл существует. Для создания последующих пользователей используйте команду:\n1htpasswd /etc/apache2/.htpasswd glbuch Затем в директории публикации базы, например, /var/www/infobase создадим файл .htaccess:\n1nano /var/www/infobase/.htaccess И добавим в него следующие строки:\n1AuthType Basic 2AuthName \u0026#34;Restricted Content\u0026#34; 3AuthUserFile /etc/apache2/.htpasswd 4Require valid-user Первая строка включает Basic-аутентификацию, вторая задает наименование области безопасности, можете вписать туда все что угодно. Затем указывается путь к файлу паролей и политика аутентификации, valid-user обозначает что доступ получит любой аутентифицированный пользователь. Если нужно указать конкретные учетные записи, то последнюю строку нужно изменить следующим образом:\n1Require user user1c glbuch Сохраняем файл, перезапуск веб-сервера не требуется, настройка начнет действовать сразу для всех новых подключений. Теперь, при попытке доступа к публикации вы увидите следующий запрос: И только после того, как вы пройдете аутентификацию средствами веб-сервера вам будет предложено войти под своим именем в программу 1С:Предприятие: Если вы используете для доступа к опубликованным на веб-сервере базам тонкий клиент, то увидите дополнительное окно аутентификации на веб-сервере, настроить запоминание пароля здесь нельзя и это может быть неудобно пользователям. Чтобы автоматизировать вход и избежать лишних запросов учетных данных можно указать в свойствах информационной базы дополнительные параметры запуска:\n1/WSN user1c /WSP Pa$$w0rd_1 Где ключ /WSN определяет пользователя веб-сервера, а ключ /WSP - пароль. Если публикаций несколько, то файл .htaccess следует создать в директории публикации каждой информационной базы, при этом вы можете комбинировать политики доступа, куда-то разрешать доступ всем пользователям, а куда-то только некоторым. При необходимости настройки можно изменять налету, перезапуск веб-сервера не требуется.\n","id":"aedf70cd1577cb142d114f733d611247","link":"https://interface31.ru/post/zashhishhaem-veb-publikaciyu-1spredpriyatie-pri-pomoshhi-ssl-i-autentifikacii-po-parolyu/","section":"post","tags":["1С Предприятие 8.х","Apache","Certbot","Debian","SSL","Ubuntu Server","Web-сервер","Безопасность"],"title":"Защищаем веб-публикацию 1С:Предприятие при помощи SSL и аутентификации по паролю"},{"body":"Текущая ситуация на рынке комплектующих, приведшая к уходу отдельных производителей и существенному удорожанию других заставляет поневоле заниматься \u0026quot;импортозамещением\u0026quot; привычных брендов. На освободившееся место потоком хлынул Китай через местные представительства или российские компании, продающие OEM под своей маркой. В общем и целом, ничего плохого в этом нет, китайская электроника давно имеет приемлемое качество и успела зарекомендовать себя неплохой рабочей лошадкой, но есть нюансы... Вот о них и поговорим.\nОбщие сведения, комплектация В нашей работе по автоматизации мы часто используем компактные ПК и моноблоки. Ранее это были устройства от АТОЛ или Lenovo ThinkCentre. Но у АТОЛ упор сделан на POS-терминалы и отсутствуют более производительные модели, а доступный ассортимент Lenovo оставляет желать лучшего. Вместе с этим на рынке стали широко предлагаться мини ПК серии HIPER M8 с весьма неплохими заявленными параметрами и по привлекательной цене.\nКомпанию HIPER также нельзя назвать неизвестной российскому покупателю, блоки питания этой марки давно представлены на рынке и имеют достаточно неплохое качество за свои деньги. Поэтому мы решили присмотреться к этой линейке. Информации об устройствах откровенно мало и заказ делать трудно. Практически везде представлена единственная картинка - вид устройства сзади. Никакой информации по внутреннему миру или подробных спецификаций вы не найдете и именно это побудило нас сесть писать данную статью. На первый взгляд все достаточно неплохо, компактный металлический корпус 200x200x50 мм, вес 1,7 кг, довольно широкий выбор возможной комплектации, от Celeron G5905 до Core i5-10500. Есть возможность приобрести как готовый ПК, так и платформу, без диска и ОЗУ. Наш взгляд пал именно на такой вариант с установленным процессором Intel Pentium Gold G6405 4,1 ГГц, это современная и достаточно производительная модель, а высокая частота должна обеспечить быструю работу конфигураций 1С:Предприятие, для чего данный мини ПК и приобретался.\nА вот дальше начались сложности. Какую память поставить и сколько? Какой накопитель? Изучив описания других ПК серии можно прийти к выводу, что поддерживаются модули DDR4 SO-DIMM, максимальный объем - 32 ГБ в двух слотах и накопители SATA. Отдельный момент остановим на разъеме D-Sub (VGA), на изображении он есть и описание продавцов также подтверждает его наличие. Тем более что в бюджетных мониторах это до сих пор основной и единственный разъем. Ну что, заказываем? Заказываем.\nВнешний вид, разборка Устройство поставляется в коробке из вторсырья, в комплекте само устройство, блок питания на 60 Вт и крепеж VESA 75/100. Корпус тяжелый, металлический, взять в руки приятно, выполнен хорошо, нигде не люфтит, не скрипит, поверхность качественно обработана. Но посмотрев на заднюю панель многие будут неприятно удивлены, набор разъемов расходится с картинкой и описанием продавца. Нет, все основные разъемы на месте, особенно заявленные 4 USB 3.0, но нет D-Sub, вместо него добавили DisplayPort. Как так? Ведь обещали же? С большим трудом нам удалось найти спецификации от производителя и там действительно нет D-Sub, хотя приведена картинка с наличием этого разъема. Это может сыграть очень злую шутку, особенно если вы приобрели партию таких устройств с расчетом подключить их к VGA мониторам. Дополнительный переходник обойдется вам в 800-900 руб. и ряд неприятных вопросов от руководства. Причем продавцы действительно не знают, что продают, на мою претензию по этому поводу сильно удивились и пообещали разобраться в этом вопросе.\nДля того, чтобы разобрать устройство достаточно снять нижнюю крышку, которая держится на четырех винтах М3 по углам корпуса. Внутри мы увидим стандартную mini-ITХ плату на чипсете H510 с установленным процессором G6405 (LGA 1200), собрано все достаточно качественно, кулер аналогичный боксовому, алюминиевый. Кроме этого, мы видим внутри два слота памяти SO-DIMM (как и ожидали), двa SATA-разъема и, неожиданно, M,2, судя по переключателям PCIE-SATA рядом с разъёмом и настройками BIOS плата поддерживает NVMe, однако свободного диска чтобы проверить это у нас не оказалось, диск SATA M.2 заработал без проблем. За беспроводную связь отвечает адаптер Intel Wireless-AC 7265, выполненный в формате M.2 2230 и поддерживающий связь в диапазонах 2,4 ГГц и 5 ГГц (802,11ac), а также Bluetooth 4.2. Если вам не нужны беспроводные интерфейсы, то включать устройство без антенн можно.\nА вот дальше начинается самое интересное, как вы думаете куда здесь устанавливается SATA накопитель? В общем покрутив железку в руках и так и этак мы решили почитать инструкцию. Но в комплекте идет только гарантийный талон, напечатанный на плотной глянцевой бумаге в котором приведены несколько QR-кодов для скачивания документации, а за драйверами предлагается пройти на сайт https://hiper-power.com. Очень скоро эмпирическим методом выяснили, что существует единственно возможное расположение 2,5\u0026quot; SATA диска при котором он не упрется в систему охлаждения, при этом он перекроет одно отверстие для VESA крепления: Дополнительные вопросы вызвал комплектный SATA кабель, который зачем-то оснащен угловым разъемом, подключить его к диску никакой возможности не имеется, а к материнской плате только сильно изогнув, хотя высота корпуса допускает использование с обоих сторон прямого разъема. Для питания дисков используется переходник от 4-пинового разъема материнской платы (бежевый, рядом с SATA), в комплекте переходник только один, что в целом разумно, второй диск крепить в этом корпусе решительно некуда. При этом решительное недоумение и возмущение вызвало то. что в нигде в спецификациях, даже на сайте производителя, не упоминается наличие разъема M.2, так как наличие таких данных сразу позволило бы укомплектовать устройство накопителем компактного формата и не решать головоломку с креплением 2,5 \u0026quot; диска.\nЭксплуатация На наш экземпляр устройства была установлена Windows 10 21H2, часть драйверов при этом осталась не установлена, но особой проблемы это не представляет, платформа H510 известна и найти для нее драйвера совсем несложно. А дальше мы обратили внимание на сильный шум штатного кулера и достаточно высокую температуру процессора.\nНа наш взгляд при компоновке устройства была допущена грубая ошибка: вентилятор берет холодный воздух через нижнюю крышку, вентиляционные отверстия по бокам так же расположены в нижней половине устройства, а высота штатных ножек всего 2 мм. В итоге притока холодного воздуха катастрофически не хватает, а горячий не может выйти естественным путем, так как верхняя часть корпуса глухая.\nПроисходит разогрев корпуса и всех комплектующих внутри него, что еще сильнее ухудшает температурный режим, что объективно показал стресс-тест: В состоянии отсутствия нагрузки корпус был комнатной температуры, процессор показывал 48-50 °C, накопитель около 40 °C. Чуть более чем за 10 минут тест сумел разогреть процессор до 95 °C, после чего мы, учитывая, что критической для данного процессора является 100 °C прекратили тест. Корпус на ощупь был очень горячим, еле рука терпит. Быстро остывать устройство тоже не спешило, массивный металлический корпус не так-то просто охладить.\nЛадно, это стресс тест, что с обычными нагрузками? Немного поработали и выяснили, что рабочие температуры в таком режиме будут находиться в диапазоне 60-80 °C при весьма высоких оборотах вентилятора, что делает работу с устройством некомфортной, да и температуры не обещают продолжительной и стабильной работы.\nЧто делать? Поставим устройство на бок, теперь нижняя крышка стала боковой, а сверху появился ряд вентиляционных отверстий. Снова проведем тест: В состоянии покоя температура процессора находилась в районе 35 °C, накопителя около 30 °C. В процессе стресс-теста температура выросла до 60-70 °C и стабилизировалась на этом уровне, диапазон температур при реальной нагрузке 40-55 °C, что для компактного устройства нормально. Нагрева корпуса не происходило, о чем косвенно свидетельствует температура накопителя, тест не оказывает на него влияния и его нагрев вызывается сугубо внешними факторами.\nВ таком режиме устройство можно смело эксплуатировать в безопасном диапазоне температур и с низким уровнем шума. А что мы сделали? Да просто поставили корпус на бок. Проведем еще один эксперимент, увеличим просвет внизу устройства, для этого мы подложили снизу два SSD толщиной 7 мм, т.е. увеличили штатный просвет на 5 мм. Это приводит к увеличению рабочих температур, но довольно несущественно, на 5-10 °C, в процессе стресс-теста температура стабилизировалась в диапазоне 70-80 °C, а рабочий диапазон составил 40 °C в простое и 45-60 °C при нагрузках. Корпус при этом грелся, но достаточно слабо и общий температурный режим внутри можно признать удовлетворительным.\nС учетом того, что крышка крепится обычными винтами M3 само собой напрашивается решение установить собственные ножки высотой 7-10 мм, которые можно взять от старых устройств, приобрести в магазине мебельной фурнитуры или вырезать из чего-нибудь самостоятельно. Также следует проверить температурный режим при креплении на заднюю стенку монитора, с учетом небольшого просвета и того, что монитор тоже греется от такой затеи, скорее всего следует отказаться. При этом креплению на стену при соблюдении хотя бы 1 см зазора для забора воздуха ничего мешать не должно.\nНу а как с производительностью? Intel Pentium Gold G6405 очень неплохой высокочастотный процессор, например, тест Гилева показал просто превосходный результат: В целом производительность данного процессора находится где-то на уровне i5 4-го - 6-го поколений или i3 8-го поколения (сам процессор относится к 10-му поколению). Два физических и четыре виртуальных ядра и это все на начальном уровне.\nВыводы В целом мини ПК HIPER M8 - неплохие и производительные устройства. Но имеют ряд существенных недостатков. Во-первых, грубая ошибка с охлаждением, которая в ряде случаев может привести к фатальным последствиям или серьезным сбоям в работе, благо исправить ее несложно, просто поставив устройство на бок.\nВо-вторых, абсолютно никакая поддержка, спецификации продавцов не соответствуют действительности, а то, чем и как комплектовать устройство приходится просто угадывать.\nВ-третьих, недостатки конструкции и комплектации. Ведь понимая, что SSD перекрывает одно из отверстий VESA крепления его можно было просто сместить, место позволяет. Также более внимательно следовало бы подойти к комплектации и использовать прямой SATA-кабель или с обратным угловым разъемом.\nВ остальном HIPER M8 сделан весьма добротно и имеет неплохие возможности, учитывая наличие M.2 разъема и современного беспроводного адаптера. Их можно приобретать и эксплуатировать, но обязательно приняв во внимание все указанные выше недостатки. В любом случае это не серый, или как сейчас говорят, параллельный импорт, а устройство от производителя, имеющего местное представительство и сервисные центры.\n","id":"623bc2dd550f4ba2b92e3e33d223c391","link":"https://interface31.ru/post/budni-importozameshheniya-mini-pk-hiper-m8---chestnyy-obzor-po-goryachim-sledam/","section":"post","tags":["CPU","Intel","Автоматизация","Импортозамещение","Рабочее место"],"title":"Будни импортозамещения. Мини ПК HIPER M8 - честный обзор по горячим следам"},{"body":"С тех пор, как интернет перестал быть роскошью и стал средством повседневной коммуникации браузеры постепенно превратились из дополнительного ПО в основной рабочий инструмент. Сегодня трудно представить рабочее место без браузера и поэтому к его выбору следует подойти осмотрительно. Раньше было проще: для работы был Internet Explorer, для побродить по сети - все остальное. Сегодня IE канул в историю, а от предложения на рынке разбегаются глаза, но в производственной среде зоопарк нежелателен, поэтому администратору придется сделать нелегкий выбор в пользу одного-двух вариантов.\nОбщее положение дел Для начала рассмотрим, как вообще обстоят дела на рынке браузеров и какие на нем намечаются тенденции. Для этого мы будем использовать статистику Яндекс.Радар для России за период сентябрь 2021 - сентябрь 2022: Прежде всего можно видеть безоговорочное лидерство Google Chrome, которому принадлежит чуть менее половины рынка, за ним идет Яндекс.Браузер с третьей частью, все остальные браузеры болтаются где-то внизу статистики. Но будет гораздо интереснее сравнить относительные значения, т.е. как изменилась доля рынка относительно собственных значений за прошедший период.\nА вот здесь вырисовывается гораздо более интересная картина: Успешный рост показывают Яндекс.Браузер (+17%) и Microsoft Edge (+8,3%), при этом объяснить такой рост только тем, что Edge начал поставляться по умолчанию вместе с Windows не получится, IE и старый Edge тоже шли в составе системы, но популярности не имели. Таким образом Яндекс.Браузер имеет все возможности выйти в лидеры рынка, а Microsoft Edge уверенно закрепиться во втором эшелоне.\nЧто касается второго эшелона, то там изменения тоже достаточно интересные, лидирующая в нем Опера и Mozilla Firefox продолжают терять популярность, причем популярность Firefox падает наиболее стремительно и в ближайшее время он может уступить свои позиции набирающему обороты Microsoft Edge. Следует отметить, что Mozilla Firefox - это единственный браузер на альтернативном движке Quantum, все остальные используют Blink, т.е. по сути представляют общее семейство на базе Chromium.\nЧто касается лидера - Google Chrome, то он тоже медленно уступает позиции, сохраняя при этом однозначное лидерство и эта ситуация вряд ли измениться в обозримом будущем. При этом нужно учитывать, что в данную статистику входит не только коммерческий Chrome, но и свободный Chromium, так как оба браузера идентифицируют себе одинаково.\nБыстродействие и потребление ресурсов Так как сегодня браузер - это рабочий инструмент, то вопрос быстродействия выходит на передний план. Да и большинство сайтов сейчас, это не простой набор HTML-страниц, а весьма сложные и продвинутые веб-приложения. Мы начнем тестирование с WebXPRT 4 - универсального теста, использующегоHTML5, JavaScript и WebAssembly и позволяющего получить общее представление о производительности того или иного браузера. При этом мы расширили список тестируемых браузеров, добавив туда Chromium GOST, Vivaldi и Atom - новый браузер от Mail.ru/VK, также на базе движка Blink.\nВсе результаты теста были нормированы, где за 100% был взят лучший результат, округленный в большую сторону, значения следует интерпретировать как больше - лучше: Однозначные лидеры теста: Edge, Firefox и Chrome/Chromium, а вот в аутсайдеры неожиданно записались отечественные Яндекс и Atom. Opera и Vivaldi где-то посередине, причем Opera ближе к лидерам теста, а Vivaldi к аутсайдерам. Данный тест хорошо показывает, что несмотря на общий движок, браузеры на основе Chromium могут быть разными и говорить, что они имеют только косметические различия явно не стоит.\nJetStream 2.1 - это более специализированный набор тестов JavaScript и WebAssembly, но так как без JavaScript сегодня никуда, то к результатам данного теста также следует отнестись серьезно. С производительностью JavaScript у браузеров на движке Blink дела обстоят неплохо, в абсолютные лидеры выбился Edge, в спину ему дышат Chrome и Chromium, у остальных браузеров результат ниже, но тоже вполне достойный. А вот у Firefox с Quantum тест с треском провалил, по-другому тут и не скажешь, разница в 20-40% выглядит просто чудовищно. Такой результат во многом перекликается с субъективными ощущениями от браузера, очень часто Firefox воспринимается \u0026quot;тяжелым\u0026quot; и \u0026quot;неповоротливым\u0026quot;.\nЕсли же не брать в расчет Firefox, то результаты, в общем и целом, коррелируют с результатами WebXPRT 4, наиболее производительными браузерами остаются Edge и Chrome/Chromium.\nИ в завершение нашего экспресс-тестирования изучим еще один важный фактор - потребление ресурсов, а именно оперативной памяти. Для этого мы подготовили набор из десяти вкладок и по очереди открывали их в каждом браузере, давали некоторое время поработать и оценивали количество используемой памяти. Результаты мы также привели к относительной форме, взяв за 100% наивысшее значение, но интерпретировать результаты этого теста следует, наоборот, меньше - лучше: Абсолютное лидерство по этому показателю у Chrome, что не удивительно, компания Google располагает достаточными ресурсами для оптимизации своего основного продукта. А вот занявший второе место Яндекс.Браузер нас удивил, будучи достаточно нагружен внешне, он также показал неплохую степень оптимизации. Третье место на пьедестале делят Edge и Chromium, результаты остальных браузеров значительно хуже.\nЯвный аутсайдер снова Firefox - его аппетиты к оперативной памяти в среднем на 25% выше, чем у Chromium-браузеров и самые высокие в абсолютных значениях. Все это однозначно сказывается на его позициях, как мы видели выше Firefox также является \u0026quot;лидером\u0026quot; по потере популярности за прошедший год.\nНиже мы рассмотрим браузеры отдельно и попробуем сделать индивидуальные выводы.\nGoogle Chrome На сегодня это один из самых оптимизированных и быстрых браузеров, а также, благодаря лидирующей роли вы вряд ли столкнетесь с неправильной работой сайтов в Google Chrome. Тесную интеграцию с экосистемой Google можно записать и в минусы, и в плюсы одновременно. Все зависит от того, как вы оцениваете сбор компанией ваших персональных данных и обезличенных сведений о работе в программе.\nСам браузер быстр, если, конечно, рассматривать свежую установку без плагинов и минималистичен. Интеграция с сервисами компании выполнена ненавязчиво, но в тоже время удобно, через меню в верхнем правом углу. В целом такой интерфейс можно принять за некоторый эталон, с которым в последствии можно будет сравнить другие браузеры. Для расширения возможностей браузера можно использовать собственный магазин расширений, но подходить к его использованию следует осмотрительно, так как при помощи расширений можно легко превратить быстрый и относительно легкий браузер в тяжелое, нестабильное и тормозящее нечто.\nКроме этого, Chrome самостоятельно работает с PDF форматом, хотя это умеют все современные браузеры и свободно интегрируется в Active Directory при помощи ADMX шаблонов групповых политик. На наш взгляд Google Chrome - один из лучших вариантов для рабочего браузера в 2022 году и его обязательно нужно рассмотреть.\nChromium GOST Если вы по какой-то причине не хотите связываться с компанией Google, то можно обратить внимание на его \u0026quot;родного брата\u0026quot; - Chromium. Мы использовали Chromium GOST - сборку, созданную энтузиастами при помощи компании Крипто-ПРО и включающую в себя поддержку всех российских стандартов криптографии. В остальном это тот же самый Chromium. Внешне его легко спутать со своим коммерческим братом, тот же минимальный дизайн, разве что нет встроенной интеграции с Google, но при этом доступен магазин от Chrome и при желании браузер можно легко сделать неотличимым от последнего. Также как и в Chrome поддерживается работа с PDF и интеграция в AD при помощи ADMX-шаблонов. В минусы браузеру можно записать отсутствие синхронизации, для которой использовалась учетная запись Google, но компания еще в 2021 году отключила для всех, кроме Chrome такую возможность.\nMicrosoft Edge Еще один лидер нашего тестирования, постепенно набирающий популярность, явным плюсом для него является поставка в составе Windows, но этот же факт заставляет многих настороженно к нему относиться, учитывая весьма неоднозначную репутацию собственного браузера под этим же названием. К счастью, Microfoft трезво оценили свои силы и перешли на движок Blink, что сделало Edge из некой \u0026quot;неведомой зверушки\u0026quot; одним из лучших браузеров на рынке.\nДизайн браузера также минималистичен, но выполнен в стиле дизайна Windows, формы более резкие, с преобладанием прямоугольных элементов, при этом подразумевается интеграция браузера в экосистему Microsoft и использование учетной записи Microsoft. Кроме работы с PDF и интеграции в AD, Edge из коробки предоставляет средства перевода, возможность голосового чтения и инструмент снятия скриншотов с автоматической прокруткой страницы. Присутствует собственный магазин расширений. Из минусов - нет синхронизации с Google и если вы переходите с Chrome, то единственным вариантом будут установить оба браузера и сделать импорт.\nДля работы со старыми и некоторыми специфическими сайтами доступен режим совместимости с Internet Explorer, в ряде случаев его наличие трудно переоценить.\nЕще одна интересная возможность - приложения, которые позволяют открывать сайт в отдельном окне как обычное приложение, а также закреплять его на начальном экране или в панели задач. Это очень удобно, особенно для корпоративных веб-приложений, так как позволяет реализовать более привычный для пользователя сценарий, где приложение - это ярлык в системе, а не закладка в браузере. Если вы строите свои системы на базе Windows, то использование Edge в качестве браузера представляется нам идеальным вариантом: это быстрый и достаточно оптимизированный обозреватель с рядом полезных дополнительных функций и тесной интеграцией в экосистему Microsoft и Windows. Для собственных решений в настоящее время мы рассматриваем как браузер по умолчанию именно его.\nMozilla Firefox Самый старый и известный браузер в нашем обзоре, на 6 лет старше Chrome и по возрасту с ним потягаться может разве только Internet Explorer, ныне почти почивший. В свое время Firefox находился на пике популярности, но сегодня дела у него идут так себе. Во многом это продиктовано объективными причинами - низкой производительностью и высоким потреблением ресурсов, при том, что противопоставить семейству Blink-бразуеров ему, по сути, и нечего.\nДизайн у Firefox все также минималистичный, интеграция с какими-либо экосистемами отсутствует. В рамках собственной экосистемы доступна синхронизация между устройствами, из других браузеров данные можно получить при помощи импорта. Сегодня Firefox делает упор на приватность и конфиденциальность, настройки по умолчанию уже предполагают блокирование ряда технологий обеспечивающий сбор ваших персональных данных, а в рекомендуемых по умолчанию расширениях на первой позиции стоит блокировщик рекламы. Также из встроенных функций хотелось бы отменить довольно продвинутый инструмент для снятия скриншотов. Еще больше расширить возможности браузера можно при использовании собственного магазина дополнений, например, пользователи отдельно отмечают родное дополнение Multi-Account Containers, позволяющее держать в отдельных вкладках несколько экземпляров сайта под разными учетными записями.\nЕще одной особенностью браузера, которую можно записать как в плюс, так и в минус - это использование собственных настроек прокси и собственного хранилища сертификатов, также Firefox часто имеет нестандартное сетевое поведение, например, при запросе WPAD он игнорирует получение параметров по DHCP. В корпоративной среде обычно все это создает только неудобства, особенно если Firefox не единственный браузер. Но при необходимости вы можете интегрировать его в AD при помощи ADMX-шаблонов.\nНо в целом рассматривать Firefox как основной браузер сегодня явно не стоит, технологически он проигрывает любому Blink-браузеру, имеет низкую производительность и высокое потребление ресурсов.\nOpera Браузер Opera всегда стоял немного особняком, позиционируя себя как персональный браузер, предоставляющий из коробки широкие возможности интеграции и персонализации. Во многом действительно это так и вы не увидите в нем минимализма присущего рассмотренным выше браузерам, наоборот, широкие возможности встроенной интеграции с различными онлайн-сервисами, включая популярные мессенджеры. Также присутствует встроенный блокировщик рекламы и трекеров (по умолчанию отключены).\nНачальный экран является адаптивным, вы можете закрепить там свои плитки, но вместе с тем браузер будет автоматически добавлять туда наиболее часто посещаемые сайты и предложения на основе ваших интересов. Работает алгоритм достаточно неплохо, во всяком случае не возникает ощущения грубого навязывания вам некоторых ресурсов. Еще одной интересной возможностью Opera являются Пространства, которые представляют собой наборы вкладок, между которыми можно быстро переключаться. Это удобно, так как можно создать несколько пространств, например, для работы, отдыха, хобби и быстро переключаться между ними. Мы активно используем пространства для работы над статьями, позволяя сосредотачивать весь материал в одном месте и на засорять им рабочие и личные наборы вкладок.\nТакже присутствуют инструменты для снятия скриншотов, не такой удобный как в Edge или Firefox, но с возможностью сохранять страницы полностью в PDF, а в сочетании с режимом для чтения это позволяет удобно создавать документы на основе страниц сайтов. Встроенный проигрыватель позволяет слушать музыку с онлайн-сервисов (зарубежных), обмениваться с мобильными устройствами при помощи My Flow, делиться закладками через Pinboards. Все это мало нужно для рабочего браузера, но удобно для персонального использования. Еще один аргумент в персональную пользу - отсутствие шаблонов ADMX для AD. Магазин расширений собственный, но при необходимости можно использовать расширения от Chrome.\nЕстественно, все эти возможности просто так не даются, по производительности и потреблению ресурсов Opera крепкий середнячок, не столь производительна и экономна как Edge или Chrome, но все еще быстра и оптимизирована, гораздо лучше, чем Firefoх. Мы бы не стали рассматривать Opera как рабочий браузер, а вот для персонального использования это очень неплохой вариант.\nVivaldi Говорят, что нынешняя Opera - ненастоящая, а настоящей была та самая, старая Opera на движке Presto и вот ее дух решили возродить в проекте Vivaldi. Нам трудно сказать, насколько это получилось, так как \u0026quot;той самой\u0026quot; Opera мы не пользовались, но браузер имеет ряд интересных моментов. По внешнему виду и компоновке он напоминает Opera. Но упор в Vivaldi сделан на совсем иные вещи, вы можете управлять окнами и закрытыми вкладками, создавать списки чтения, чтобы не держать интересные вкладки открытыми, сохранять страницы или их часть в заметке, управлять загрузкой картинок и анимацией. Имеется очень мощный инструмент для создания скриншотов и встроенный переводчик. Ну и достаточно уникальная возможность управлять рабочим пространством, которое можно делить по горизонтали, вертикали или по сетке, что может быть достаточно удобно для владельцев мониторов с большой диагональю. Собственного каталога расширений нет, можно использовать магазин от Google Chrome, интеграция с AD не поддерживается. По производительности и потреблению ресурсов, как и Opera, крепкий середнячок. Мы также не стали бы рассматривать Vivaldi как браузер для работы, а вот для персонального применения он может быть интересен, особенно если вам не требуются интеграции с онлайн сервисами, а больше требуется упорядочить собственные ссылки, вкладки, заметки.\nЯндекс.Браузер Отношение к этому продукту в среде IT-специалистов неоднозначное, возможно из-за способа распространения, когда его можно было получить \u0026quot;в нагрузку\u0026quot; вместе с остальным ПО от Яндекса при установке какой-нибудь условно бесплатной программы. Но тем не менее игнорировать ситуацию, при которой Яндексу удалось с большим отрывом занять треть рынка нельзя, кроме того, его доля продолжает расти, а это значит, что пользователям браузер нравится и с ним удобно работать.\nПриверженцев классического дизайна Яндекс.Браузер неприятно удивит, никаким минимализмом тут и не пахнет, наоборот, начальная страница может показаться визуально тяжелой. Возможно, это связано с темным фоном и установленными обоями, но на самом деле браузер неплохо оптимизирован, хотя и не может похвастаться высокой производительностью. Интеграция, как несложно догадаться, предполагается с экосистемой Яндекса и сделана она местами хитро, скажем значок Почты выполнен так, как будто у вас есть непрочитанные входящие сообщения.\nПри этом Яндекс.Браузер не замыкает вас в пределах собственных сервисов, вы легко можете подключить интеграцию с мессенджерами, Google, Mail.ru, ВКонтакте, Госуслугами и Сбером. В целом подход верный, не можешь победить - возглавь. точнее сделай так, чтобы для работы с сервисами конкурентов у пользователя не было желания покинуть браузер. Функционально браузер тоже довольно богат: интеграция с сервисами Яндекса, музыкальный плейер, инструмент для скриншотов, работа с планировщиком, заметками, закладками. Встроенный блокировщик рекламы, но блокировщик умный, который блокирует только мешающую просмотру контента и шокирующую рекламу. Ну странно было бы ожидать иного, учитывая, что Яндекс сам крупнейший поставщик рекламы в Рунете.\nДля организации рабочего пространства предназначены группы вкладок, которые аналогичны по принципу действия пространствам Opera, также имеется возможность закрепить отдельные вкладки, которые будут показываться слева в уменьшенном виде (только значок). Также можно запускать сайты как приложения, но без интеграции с меню Пуск, при этом их можно закреплять на Панели задач и добавлять в автозагрузку системы.\nПринимая во внимание все вышесказанное, становится понятна растущая популярность Яндекс.Браузера, по сути, получаем ту же Opera, но тесно интегрированную именно с отечественными сервисами и соцсетями. А что еще нужно рядовому пользователю? Да и не рядовому тоже. Кстати, своего магазина расширений нет, используется каталог от Opera.\nНо Яндекс.Браузер нацелен не только на персональное использование, для корпоративных пользователей доступна интеграция в AD через ADMX-шаблоны, поддерживается SSO и отечественная криптография. В целом выбор Яндекс.Браузера в качестве корпоративного обозревателя имеет смысл и такой вариант следует серьезно рассмотреть, особенно если вам в рабочей деятельности нужны интеграции с соцсетями. мессенджерами и отечественными сервисами.\nAtom Очередная попытка Mail.Ru, а ныне компании VK выйти на рынок браузеров. Хотя при сочетании слов браузер и Mail.Ru многие до сих пор вздрагивают, вспоминая недоброй памяти Амиго. Но вроде бы как компания переросла свои \u0026quot;детские шалости\u0026quot; и претендует на роль серьезного и ответственного поставщика решений. Возможно, что-то где-то и изменилось, но отмыться от прошлой репутации компании будет совсем непросто.\nAtom, единственный из представленных браузеров существует только в версии для Windows и имеет самую плохую оптимизацию, по потреблению памяти он опережает всех \u0026quot;коллег\u0026quot; из Chromium-семейства и вплотную подбирается к Firefoх, с производительностью, вопреки официальным заявлениям, тоже не все хорошо. В целом - похвастаться нечем.\nЕсли начальная страница Яндекс.Браузера только визуально выглядит тяжелой, то у Атома она информационно перегружена, причем представленный там контент очень и очень сомнительного содержания, в \u0026quot;старых и добрых\u0026quot; традициях Mail.Ru. В остальном виден сильный, практически принудительный упор на интеграцию с сервисами Mail.ru/VK и если Яндекс вполне позволяет использовать сторонние сервисы, то здесь такая роскошь недоступна. Хотя есть и интересные моменты, например, возможность использовать режим инкогнито в отдельно взятой вкладке или возможность блокировки всплывающих уведомлений. В остальном это достаточно средний браузер уровня обычного Chromium и с возможностью установки расширений из каталога Chrome. Никаких иных особенностей, кроме тесной интеграции с экосистемой Mail.ru/VK у него нет, как и преимуществ. В целом, определенную аудиторию этот браузер найдет, но вряд ли сможет занять рыночную долю хотя бы на уровне второго эшелона. Про корпоративное применение мы не говорим, тем более что никакой интеграции с AD нет.\nВыводы Если вы рассматриваете браузеры для работы, то выбор будет относительно невелик: Edge, Chrom/Chromium и, неожиданно для некоторых, Яндекс.Браузер. Для персонального использования есть смысл рассмотреть Opera и снова Яндекс.Браузер. Если же вы ищете что-то особое, то можно посмотреть в сторону Vivaldi. Ну и никто не отменял уже упомянутые нами Edge, Chrom/Chromium - это универсальные решения, которые можно довести до любой нужной (и не нужной) кондиции расширениями.\nЧто касается Firefox, то сегодня трудно найти аргументы к его использованию, движок Quantum явно технологически отстает от Blink и само будущее браузера туманно.\nНу и особняком стоит Atom, поставить его можно, пожалуй, только по недоразумению, ну или вы должны являться преданным фанатом компании. Тем не менее определенный прогресс есть и, если VK пересмотрит политику навязывания собственных сервисов, а также посмотрит в сторону оптимизации и кроссплатформенности - определенный толк может быть.\n","id":"70075c7f65e65e79ca920c146caf9ea7","link":"https://interface31.ru/post/vybiraem-brauzer-dlya-raboty-v-2022-godu-platforma-windows/","section":"post","tags":["Браузеры","Производительность","Рабочее место"],"title":"Выбираем браузер для работы в 2022 году. Платформа Windows"},{"body":"Многие базовые действия в дистрибутивах Linux не меняются множество лет и для многих стали уже привычкой. А привычки - вещь такая: привыкнуть легко, сложно переучиться. Поэтому изменения базовых вещей многими воспринимается в штыки и вызывает крайне негативные эмоции. Apt-key - утилита командной строки для управления ключами пакетного менеджера APT и когда ее объявили устаревшей, то многим это не понравилось. Однако на то были свои причины, а новая система управления ключами во многом даже проще и удобнее, нужно лишь разобраться и привыкнуть.\nКоротко о том, что такое ключ репозитория и для чего он нужен. Любой репозиторий содержит пакеты, которые передаются по открытым каналам и перед тем, как устанавливать их в систему нам следует убедиться в их подлинности. Для этого все пакеты в репозитории подписаны закрытым ключом репозитория, а чтобы проверить их подлинность нам потребуется открытый ключ или просто ключ.\nДля того, чтобы система могла использовать ключ его нужно установить в системное хранилище, которое располагается в /etc/apt/trusted.gpg, для чего использовалась команда:\n1apt-key add repo_signing.key Однако если вы выполните команду в последних версиях Debian, Ubuntu и других основанных на них дистрибутивах, то получите предупреждение:\n1Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8)). Ключ при этом добавится и, в принципе, вы можете продолжать пользоваться старым способом не обращая внимание на предупреждения.\nНо разработчики не просто так объявили apt-key устаревшим, на это есть серьезные причины. Дело в том, что APT безоговорочно доверяет любому ключу в trusted.gpg для любого репозитория, что дает возможность загрузить из стороннего репозитория пакеты, подписанные ключом другого репозитория и заменить таким образом любой пакет в системе.\nЧтобы устранить потенциальную брешь в безопасности была введена новая система, когда каждый репозиторий доверяет только собственному ключу, а сами ключи помещаются в специальное хранилище, к которому имеет доступ только суперпользователь. В настоящее время это директория /usr/share/keyrings, согласно документации там следует размещать ключи, дальнейшее управление которыми предполагается с помощью APT или DPKG. Для ключей управляемых локально предназначена директория /etc/apt/keyrings. В системах до Debian 12 и Ubuntu 22.04 ее следует создать самостоятельно с разрешением 755.\nКлюч должен быть в двоичной форме (без ASCII-Armor) и иметь имя:\n1repo-archive-keyring.gpg Где repo - короткая часть имени репозитория.\nДопускается также иметь рядом текстовую версию ключа (с ASCII-Armor) с именем:\n1repo-archive-keyring.asc Также в строке подключения репозитория можно явно указать связанный с ним ключ:\n1deb [signed-by=/usr/share/keyrings/repo-archive-keyring.gpg] ... На практике очень часто требование снять ASCII-Armor не соблюдается и в /usr/share/keyrings кладется текстовая версия ключа. Однако в документации Debian крайне не советуется так делать.\nДалее мы рассмотрим на практике приемы работы с ключами в современных операционных системах.\nОпределение типа ключа Выше мы говорили, что ключ может быть двух типов: бинарный и текстовый, т.е. с ASCII-Armor или без. Пусть вас не смущает новый непонятный термин, ASCII-Armor - это привычный всем текстовый формат ключей в кодировке Base64. Знакомо, не правда ли? Это и есть ключ с ASCII-Armor. Такие ключи наиболее распространены, так как текстовый формат более удобен при передаче в сетях связи. Убедиться, что перед вами ключ в ASCII формате можно просто прочитав файл, например, командой cat:\n1cat repo_signing.key Или при помощи команды:\n1file repo_signing.key В случае текстового формата вы увидите:\n1PGP public key block Public-Key (old) Если это бинарный ключ:\n1OpenPGP Public Key Version 4 Почему мы уделяем этому столько внимания? Потому что если делать все по правилам, то ключи должны быть в бинарном формате, а для этого нужно понимать в каком виде мы получили исходный ключ. В большинстве случаев это будет текстовый ключ с ASCII-Armor.\nУдаление старых ключей Перед тем, как устанавливать ключ в новое хранилище нам нужно удалить его из старого хранилища /etc/apt/trusted.gpg. Для этого сначала получим список ключей командой:\n1apt-key list В выводе будет полный список установленных в систему ключей. Находим и копируем идентификатор нужного ключа, затем удаляем его командой:\n1apt-key del \u0026#34;KEY-ID\u0026#34; Идентификатор можно взять как есть, с пробелами, только заключить его в двойные кавычки. Либо использовать два последних блока, так для указанного выше ключа можно ввести:\n1apt-key del D58C0CED Кстати, именно эти две команды являются на сегодняшний день допустимыми для использования с apt-key.\nПолучение и установка текстовых ключей OpenPGP (c ASCII-Armor) Адрес ключа репозитория обычно можно узнать в документации продукта, затем нам потребуется его скачать и установить в новое хранилище. Для скачивания можно использовать wget:\n1wget https://example.com/key/repo_signing.key Или curl:\n1curl -O https://example.com/key/repo_signing.key Затем его следует преобразовать в бинарный формат и поместить в хранилище, эту команду следует выполнять с правами суперпользователя:\n1gpg --dearmor \u0026lt; repo_signing.key \u0026gt; /usr/share/keyrings/repo-archive-keyring.gpg Можно ли упростить этот процесс, можно, для этого используем конвейер:\n1wget -O- https://example.com/key/repo_signing.key | gpg --dearmor \u0026gt; /usr/share/keyrings/repo-archive-keyring.gpg Или\n1curl https://example.com/key/repo_signing.key | gpg --dearmor \u0026gt; /usr/share/keyrings/repo-archive-keyring.gpg Возможно, многие обратили внимание на чередование ключей в командах. Так wget по умолчанию скачивает файл, а curl выдает содержимое запроса в стандартный вывод. Поэтому чтобы сохранить файл с исходным именем мы использовали ключ -O для curl, и наоборот, чтобы получить содержимое файла в stdout мы запустили wget с ключом**-O-**, который предполагает вывод в файл, но если вместо файла указан дефис, то идет вывод в стандартный поток. Это небольшая мелочь, которую надо всегда помнить при работе с этими утилитами.\nОбе команды должны быть запущены под root, если же вы предпочитаете sudo, то следует сделать так:\n1wget -O- https://example.com/key/repo_signing.key | gpg --dearmor | sudo tee /usr/share/keyrings/repo-archive-keyring.gpg \u0026gt;/dev/null Или\n1curl https://example.com/key/repo_signing.key | gpg --dearmor | sudo tee /usr/share/keyrings/repo-archive-keyring.gpg \u0026gt;/dev/null В чем разница? Основная часть работы выполняется с правами обычного пользователя, затем поток вывода передается утилитеtee, которая записывает его в файл и выводит на экран, чтобы избежать последнего мы перенаправил ее вывод в /dev/null. При этом только tee запускается с правами суперпользователя.\nПолучение и установка бинарных ключей OpenPGP (без ASCII-Armor) Мы бы хотели привести пример, но не можем припомнить чтобы в каком-то репозитории применялись бинарные ключи. Но случаи бывают разные. Для этого вам понадобятся права суперпользователя или sudo:\n1wget -O /usr/share/keyrings/repo-archive-keyring.gpg https://example.com/key/repo_signing.key Или\n1curl -o /usr/share/keyrings/repo-archive-keyring.gpg https://example.com/key/repo_signing.key Здесь все просто, мы сразу помещаем скачиваемый файл в хранилище под нужным именем.\nПолучение ключей OpenPGP с сервера ключей Использование серверов ключей достаточно редкий сценарий, но он тоже иногда используется, и вы должны уметь это делать. Для того, чтобы получить ключ надо знать его ID, точнее два его последних блока:\n1gpg --keyserver keyserver.ubuntu.com --recv \u0026#34;KEY-ID\u0026#34; Также вы можете использовать ID ключа целиком, если он содержит пробелы, то оберните его в двойные кавычки.\nПосле выполнения данной операции в домашней директории пользователя будет создано локальное хранилище в скрытой директории .gnupg/trustdb.gpg.\nТеперь нам нужно экспортировать оттуда ключ в хранилище, команда должна выполняться под тем же самым пользователем, который получил ключ в предыдущей команде, если это root:\n1gpg --export \u0026#34;KEY-ID\u0026#34; \u0026gt; /usr/share/keyrings/repo-archive-keyring.gpg А если нужно получить текстовый ключ:\n1gpg --export --armor \u0026#34;KEY-ID\u0026#34; \u0026gt; /usr/share/keyrings/repo-archive-keyring.asc Если ключ получал непривилегированный пользователь, то работаем через tee и sudo:\n1gpg --export \u0026#34;KEY-ID\u0026#34; | sudo tee /usr/share/keyrings/repo-archive-keyring.gpg \u0026gt;/dev/null Можно ли сразу получить и экспортировать ключ? Можно. Если вы внимательно разобрали команды выше, то следующая не покажется вам китайским заклинанием:\n1gpg --no-default-keyring --keyring /usr/share/keyrings/repo-archive-keyring.gpg --keyserver keyserver.ubuntu.com --recv \u0026#34;KEY-ID\u0026#34; Данную команду следует выполнять от имени суперпользователя, ключ --no-default-keyring предписывает не использовать локальное хранилище в домашней директории пользователя, оттуда не будет ничего считываться и не будет ничего записано.\nУдаление ключей из хранилища Для удаления ключа достаточно удалить соответствующий ему файл, для этого вам потребуются права root:\n1rm -f /usr/share/keyrings/repo-archive-keyring.gpg Как видим, управлять ключами в современных системах несложно. Надеемся, что данная статья будет вам полезна и поможет быстрее перейти к использованию новых и безопасных инструментов.\n","id":"76f2ff3db662e482e9c5629c6c9e80b1","link":"https://interface31.ru/post/apt-key-is-deprecated-ili-upravlenie-klyuchami-v-sovremennyh-vypuskah-debian-i-ubunt/","section":"post","tags":["APT","Debian","OpenPGP","Ubuntu","Ubuntu Server","Безопасность"],"title":"Аpt-key is deprecated или управление ключами в современных выпусках Debian и Ubuntu"},{"body":"OOM Killer, пожалуй, одна из немногих технологий в Linux, овеянная мифами и легендами. Часто из уст в уста передаются истории, претендующие на хороший триллер. На самом деле все гораздо проще и прозаичнее, а работа OOM Killer подчиняется строгим правилам. Cегодня мы попробуем разобраться в том, что такое OOM Killer и для чего он предназначен, а также разберемся как он работает и по каким критериям выбирает процессы для завершения. Поэтому, если OOM Killer для вас все еще мифический и непонятный черный ящик, то обязательно прочитайте эту статью.\nНачнем с начала, т.е. с выделения памяти в Linux. Любой запущенный процесс получает собственный выделенный участок памяти. Но этот участок не отображается на доступные физические адреса, а использует виртуальное адресное пространство, которое является дополнительным слоем абстракции между процессом и физической памятью. Для сопоставления адресов между виртуальной и физической памятью используются специальные структуры - таблицы страниц.\nЧто это дает? Во-первых, изоляцию процессов друг от друга, каждый из них работает в собственном виртуальном адресном пространстве и не имеет доступа к памяти других процессов. Во-вторых, позволяет системе гибко управлять физической памятью, например, для неактивного процесса часть страниц может быть перенесено из оперативной памяти в пространства подкачки, но это никак не повлияет на работу самого процесса, его адресное пространство не изменится, поменяется лишь трансляция в таблице страниц. И, наконец, это позволяет экономить физическую память, так если несколько процессов используют одни и те же данные, то система может транслировать адреса виртуальных пространств на один и тот же участок физической памяти.\nТаким образом размер виртуальной памяти в системе теоретически ничем не ограничен и общий ее объем может существенно превышать имеющуюся в наличии физическую память. И в этом нет ничего плохого, например, мы запустили несколько графических приложений, для работы которым требуются библиотеки Qt или GTK, но нужно ли каждый раз загружать их в память? Нет, достаточно сделать это один раз, а затем просто транслировать адреса виртуальной памяти процессов на одни и те же участки физической памяти. Но при этом каждый процесс будет думать, что у него загружена собственная копия библиотек.\nПоэтому современные Linux-системы выделяют память процессам с превышением имеющейся в наличии физической памяти (RAM + Swap), по умолчанию используя эвристические механизмы. Но случается, что процессы съедают всю доступную физическую память и вот тут системе надо выбрать что-то одно. А выбор, скажем честно, между плохим или очень плохим. Можно убить один из процессов и продолжить работать дальше, а можно вызвать Kernel panic. Понятно, что последнее - это совсем ни в какие ворота, поэтому на сцену выходит OOM Killer, это поведение используется в современных Linux системах по умолчанию.\nНо кого же убьет OOM Killer? Бытует ошибочное мнение, что самый \u0026quot;толстый\u0026quot; процесс, занимающий самое большое количество памяти, однако это не так. Хотя заблуждения живучи, и народная молва рисует OOM Killer в виде ковбоя, врывающегося в переполненный салун и открывающий беспорядочную стрельбу по посетителям, преимущественно по толстым. Почему? Да попасть, наверное, проще...\nНа самом деле OOM Killer использует достаточно сложный анализ и присваивает каждому процессу очки негодности (badness) и при исчерпании памяти будет убит не кто-попало, а самый негодный процесс. Очки негодности могут принимать значения от -1000 до 1000, чем выше значение, тем более высока вероятность что OOM Killer убьет процесс. Процесс с -1000 очков никогда не будет убит OOM Killer.\nКак вычисляются очки негодности? За основу берется процент физической памяти используемый процессом и умножается на 10, таким образом получаем базовое значение. Нетрудно заметить, что 1000 очков - это 100% использования памяти. Затем к данному значению начинают применяться различные модификаторы:\nПрибавляется половина очков всех дочерних процессов, имеющих собственную виртуальную память. Если приоритет процесса больше нуля очки умножаются на два. Приоритет может иметь значение от -20 (наивысший приоритет) до 20 (самый низкий). Очки делятся на коэффициент, связанный с процессорным временем, чем более активен процесс и чем больше процессорного времени он использует, тем больше будет этот коэффициент. Очки делятся на коэффициент, связанный с временем жизни процесса, чем больше времени прошло с момента запуска, тем выше будет это значение. Для процессов, запущенных от имени root, обслуживающих систему или процессов ввода-вывода очки делятся на 4. Для процесса, при выделении памяти которому произошла ошибка out of memory и процессам имеющим с ним общую память, очки делятся на 8. Очки умножаются на 2^oom_adj, где oom_adj - специальный коэффициент, имеющий значения от -17 до 15, при -17 процесс никогда не будет убить OOM Killer. Если внимательно изучить эти критерии, то становится ясно, что OOM Killer убьет самый \u0026quot;толстый\u0026quot; процесс, который наименее активен в системе и имеет самое короткое время жизни. Согласитесь, это не тоже самое, что убить процесс с самым большим потреблением памяти. Такой подход позволяет достаточно эффективно бороться с утечкой памяти в кривых приложениях, минимизируя их влияние на систему.\nНе так давно нам пришлось разбираться с ситуацией: в Linux Mint начал подвисать и падать браузер Chrome. Анализ ситуации выявил, что пользователь поставил стороннее расширение, которое приводило к утечке памяти и зависанию браузера, после чего на сцену выходил OOM Killer и убивал процесс. При этом параллельно были открыты процессы, которые потребляли больше памяти, чем утекало через Chrome, но OOM Killer их не трогал.\nВ системах виртуализации это будет неактивная виртуалка с наибольшим выделением памяти. Поэтому если у вас регулярно выключается одна из второстепенных машин - проверьте ситуацию с памятью, скорее всего это работа OOM Killer.\nКак узнать количество очков, присвоенных процессу? Довольно просто, выполните команду:\n1cat /proc/PID/oom_score Где PID - идентификатор процесса. При необходимости мы можем изменить количество очков используя коэффициент oom_adj:\n1echo -17 \u0026gt; /proc/PID/oom_adj В данном случае мы отправили процессу с указанным PID значение -17, т.е. обеспечили ему полную защиту от OOM Killer.\nВсе это имеет один большой недостаток: применить коэффициент oom_adj мы можем только к запущенному процессу и по факту это ручная работа. Не следует применять эти методы на практике, кроме, разве что диагностики и отладки.\nВ современных системах для управления службами используется systemd, который дает нам в руки простые и эффективные инструменты для управления очками негодности. Для этого в секцию [Service] юнита службы добавьте опцию:\n1[Service] 2 ... 3 OOMScoreAdjust=-500 4 ... Значение OOMScoreAdjust показывает насколько следует изменить количество очков процесса относительно рассчитанного количества, в нашем примере мы уменьшили его на 500. Таким образом мы можем защитить важные службы вашей системы от убийства со стороны OOM Killer, но не стоит злоупотреблять этой опцией, в критической ситуации будет лучше, если OOM Killer убьет даже важный процесс, но сохранит вам доступ к системе, нежели вы окажетесь в ситуации с полным исчерпанием физической памяти и недоступности или перезагрузки вашего сервера.\nВ любом случае, если вы столкнулись с работой OOM Killer, то следует тщательно проанализировать причины нехватки физической памяти и принять необходимые меры.\nНадеемся, что после прочтения данной статьи OOM Killer перестанет быть для вас мифическим персонажем и вы будете понимать, что именно он делает, зачем и исходя из каких соображений. После чего он перестанет быть непредсказуемым черным ящиком, а станет вашим другом, помогающим сохранить работоспособность системы в критической ситуации нехватки ресурсов.\n","id":"5c0996bbc36068fe3247d9a2abcc5950","link":"https://interface31.ru/post/linux---nachinayushhim-chto-takoe-oom-killer-i-kak-on-rabotaet/","section":"post","tags":["Debian","Linux","systemd","Ubuntu","Ubuntu Server","Диагностика","Производительность"],"title":"Linux - начинающим. Что такое OOM Killer и как он работает"},{"body":"Всем известно, что для защиты от сбоев электропитания нужно купить бесперебойник. Но сам по себе источник бесперебойного питания не решает проблему, а только отсрочивает негативные последствия. Действительно, если питание пропадет надолго, то после разрядки батарей ИБП ваши системы аварийно завершат работу. Избежать этого позволяют модели, имеющие обратную связь, но, чтобы использовать эти возможности нам потребуется система управления электропитанием и сегодня мы расскажем об открытом и бесплатном продукте - NUT (Network UPS Tools).\nПочему именно NUT? Ведь многие производители ИБП предлагают собственные утилиты, в т.ч. и под Linux, при этом они явно лучше знают свою продукцию. В теории это так, но практика вовсе не так радужна. Во-первых, качество \u0026quot;родного\u0026quot; ПО очень сильно отличается от вендора к вендору. Где-то это вполне неплохие решения, а где-то лютая мешанина скриптов, бинарников и устаревших технологий.\nКроме того, ИБП у вас может быть не один, причем разных производителей и устраивать зоопарк проприетарного ПО - не самый лучший вариант. Что касается второго аргумента, то существует UPS management protocol - RFC 9271, если бесперебойник его поддерживает, то все равно какое ПО мы будем использовать для работы с ним.\nNUT - это открытое программное обеспечение, поддерживающее большое количество источников бесперебойного питания и предоставляющее единый интерфейс работы с ними, кроме того оно работает в клиент-серверном режиме что позволяет организовать сетевое управление электропитанием, это удобно, когда к одному бесперебойнику подключено несколько компьютеров. С полным списком поддерживаемых устройств вы можете ознакомиться на официальном сайте: https://networkupstools.org/stable-hcl.html\nСтруктурно NUT состоит из трех основных частей:\nДрайвер - используется для связи с ИБП. Сервер (upsd) - при помощи драйвера связывается с ИБП и получает сообщения об его состоянии. Служба мониторинга (upsmon) - контролирует сервер и выполняет действия на основе полученной от сервера информации. Информация Важный момент! Сервер NUT никак не связывается с клиентами и не передает им никаких команд, все решения принимает клиент, который при помощи службы мониторинга получает с сервера состояние выбранного ИБП и сообщения от него, на основании которых затем предпринимаются некоторые действия.\nТаким образом один сервер NUT может контролировать сразу несколько физически подключенных к нему через интерфейс обратной связи ИБП и предоставлять информацию об их состоянии клиентам через локальную сеть. Это позволяет реализовывать достаточно сложные схемы управления электропитанием, наподобие приведенной ниже: Установка NUT и настройка драйвера ИБП Установка NUT проста, в Debian / Ubuntu существует одноименный метапакет, который устанавливает сразу и сервер, и клиент. В других системах обратитесь к документации по доступным пакетам.\n1apt install nut Теперь подключим к серверу ИБП и перезагрузим систему, после чего попробуем автоматически определить его настройки при помощи служебного пакета nut-scanner:\n1nut-scanner Утилита просканирует все доступные интерфейсы и выведет готовые параметры подключения для обнаруженных устройств, в нашем случае был найдет ИБП серии PowerCom Smart King Pro+ подключенный через USB. Фактически это готовые опции для настройки драйвера, советуем сохранить их для использования в дальнейшем. Теперь откроем файл /etc/nut/ups.conf и в самый конец добавим секцию, аналогичную указанной выше. В квадратных скобках указываем желаемое имя, ниже следуют опции подключения. В минимальной конфигурации будет достаточно первых двух: driver и port. Если предполагается использовать несколько ИБП, то мы можем уточнить производителя и модель: vendorid и productid, а вот опцию bus - лучше не использовать, при переключении ИБП в другой разъем она изменится. В случае использования нескольких ИБП одной модели лучше использовать другую опцию - serial с указанием серийного номера устройства.\nТакже мы советуем изучить документацию производителя, многие из них указывают рекомендуемые конфигурации драйвера для работы с NUT, например, для PowerCom у нас вышло следующее:\n1[powercom1] 2 driver = usbhid-ups 3 port = auto 4 vendorid = 0d9f 5 productid = 0004 6 serial = AAA-BBBB-CCC 7 pollonly Последняя опция как раз взята из рекомендаций производителя, без нее ИБП работал с NUT нестабильно, периодически отваливаясь, что требовало либо его переподключения, либо перезагрузки компьютера.\nТеперь проверим работу драйвера:\n1upsdrvctl start Если все сделано правильно, то вы увидите что-то подобное: Как видим, драйвер запустился нормально и увидел наш ИБП, теперь остановим его, чтобы избежать конфликтов при дальнейшей настройке.\n1upsdrvctl stop Если же драйвер запускается с ошибками попробуйте переключить ИБП в другой разъем или перезагрузить компьютер.\nНастройка сервера NUT Прежде всего откроем /etc/nut/nut.conf и установим режим работы:\n1MODE=netserver Для сервера доступны режимы:\nstandalone - сервер запущен локально и принимает соединения только на localhost, используется для управления локально подключенным ИБП, который не питает других ПК, netserver - сетевой режим, сервер принимает соединения по локальной сети, подходит для построения сетевой системы управления питанием. Мы сразу будем настраивать сетевой режим, большинство настроек при этом не будут отличаться от локальных, поэтому вы также можете настроить и локальный режим по этой инструкции.\nТеперь перейдем в /etc/nut/upsd.conf, в нем нам потребуется указать сетевые опции, а именно адрес и порт, на котором будет принимать подключения сервер:\n1LISTEN 127.0.0.1 3493 2LISTEN 192.168.99.120 3493 Обратите внимание на регистр написания, название опции должно быть обязательно в верхнем регистре, для локального режима достаточно будет только указания первой строки.\nСледующим шагом заведем пользователей в файле /etc/nut/upsd.users. Мы рекомендуем, как минимум, завести административного пользователя, который будет иметь права менять настройки UPS и пользователей для чтения данных состояния бесперебойника. Вы можете завести разные учетные данные для разных ПК или одну на всех - выбор остается за вами. В нашем случае содержимое файла выглядит так:\n1[upsadmin] 2 password = Pa$$word_1 3 actions = SET 4 instcmds = ALL 5 6[upsmon-m] 7 password = 123456789 8 upsmon master 9 10[upsmon-s] 11 password = 987654321 12 upsmon slave В нашем случае мы завели трех пользователей: административного, пользователя локального клиента (master) и удаленных клиентов (slave).\nСохраним все изменения и попробуем запустить службу сервера и сразу проконтролируем ее статус:\n1systemctl start nut-server 2systemctl status nut-server Теперь можем получить данные о состоянии ИБП командой:\n1upsc powercom1@localhost Где мы указываем имя нашего драйвера и имя или адрес узла, на котором запущена серверная часть NUT.\nВ выводе мы можем увидеть частоту и напряжение на входе и на выходе устройства, текущую нагрузку в процентах (ups.load) и статус бесперебойника, который может иметь следующие значения:\nOL - On Line - работа от сети OB - On Battery - работа от батареи LB - Low Battery - низкий заряд батареи Как мы уже говорили, сам сервер не предпринимает никаких действий, а только получает данные от ИБП и предоставляет их клиентам, но именно состояние LB служит триггером для службы мониторинга инициирующим выключение устройств.\nНастройка службы мониторинга в Linux Начнем с локального сервера, клиентская часть здесь уже установлена, поэтому просто откроем файл /etc/nut/upsmon.conf и добавим в него строку:\n1MONITOR powercom1@localhost 1 upsmon-m 123456789 master Разберем указанные опции: powercom1@localhost - указывают имя драйвера и сервер NUT, следующая за ними единица говорит о том, что питание устройства следует отключить, для отладки можно временно указать там ноль, в этом случае будут генерироваться все события и записи в логах, но отключение питания производиться не будет. Затем указываем имя пользователя и пароль, а также тип устройства - master, это говорит о том, что перед нами головное устройство и оно будет выключено только после того, как выключатся все подчиненные компьютеры.\nЗапустим службу мониторинга:\n1systemctl start nut-monitor Остальные параметры можно оставить по умолчанию. Но следует обратить внимание на опции NOTIFYFLAG, которые описывают реакцию службы на те или иные события. По умолчанию, когда опция закомментирована, применяются действия SYSLOG и WALL, т.е. пишется событие в системный лог и отправляется сообщение всем залогиненым пользователям.\nДополнительно можно включить выполнение скрипта действием EXEC, сам скрипт общий для всех событий и указывается в опции NOTIFYCMD, само событие и реакцию на него следует определять в самом скрипте, но это уже выходит за рамки данной статьи, поэтому рекомендуем обратиться к документации.\nНа удаленных устройствах нам нет необходимости устанавливать все пакеты, достаточно только клиентского:\n1apt install nut-client После чего откроем /etc/nut/nut.conf и укажем режим работы:\n1MODE=netclient Затем в /etc/nut/upsmon.conf внесем строку:\n1MONITOR powercom1@192.168.99.120 1 upsmon-s 987654321 slave Мы не будем подробно разбирать синтаксис, так как это сделали выше, отметим изменения. При указании драйвера и узла мы использовали IP-адрес сервера NUT (можно также его FQDN), а в конце строки указали slave, что обозначает подчиненный мониторинг, кроме состояния ИБП он отслеживает также команды от головного мониторинга (master). Понятно, что в качестве драйвера следует указывать именно тот ИБП, к которому физически подключен данный узел.\nПосле чего точно также запускаем службу:\n1systemctl start nut-monitor Для проверки получим сведения об ИБП:\n1upsc powercom1@192.168.99.120 Для просмотра подключенных клиентов выполните команду:\n1upsc -с powercom1@192.168.99.120 А теперь как это все работает, мы не будем углубляться в подробности, а представим максимально упрощенную схему, достаточную для понимания происходящих событий.\nБатареи ИБП разряжаются, и он переходит в состояние LB Мониторинг master-узла получает этот статус и выставляет флаг FSD (forced shutdown) Мониторинг slave-узлов видит этот флаг и инициирует выключение Master-узел ждет отключения подчиненных узлов и выставляет флаг POWERDOWNFLAG При необходимости master завершает свою работу и выключает ИБП Последний момент очень важен, потому что если после того, как slave-узлы будут выключены, подача питания возобновится, то ИБП не выключится и повторного запуска подключенных устройств не произойдет. Поэтому master узел в обязательном порядке выключает ИБП, чтобы при его последующем включении произошел запуск всех подключенных к нему устройств.\nНастройка службы мониторинга в Windows Сервер NUT может управлять и Windows-клиентами, для этого нужно установить один из клиентов NUT, мы используем WinNUT-Client, он поставляется в виде MSI-пакета и проблем с его установкой возникнуть не должно. Настройки его также просты: указываем адрес и порт сервера, имя драйвера, логин и пароль. Также советуем пробежаться по прочим вкладкам и настроить автозапуск приложения и выполнить, при желании, более тонкую подстройку. Кроме выполнения своей основной функции приложение также показывает основные параметры ИБП в виде графических индикаторов. Как видим, настроить NUT просто, но данная статья и близко не затронула всех возможностей этой системы. Пока что мы организовали базовую систему централизованного управления электропитанием, но при желании ее можно бесконечно улучшать и дополнять, благо проект прекрасно документирован.\n","id":"9c13b5cb32e5f96be266bd2bd10b1283","link":"https://interface31.ru/post/nastraivaem-centralizovannoe-upravlenie-elektropitaniem-v-seti-pri-pomoshhi-nut/","section":"post","tags":["Debian","NUT","Ubuntu Server","UPS"],"title":"Настраиваем централизованное управление электропитанием в сети при помощи NUT"},{"body":"Контроль свободного места на серверах и рабочих станциях под управлением Linux является достаточно актуальной задачей для администратора, особенно при использовании SSD, объемы которых все еще меньше, чем хотелось бы. При этом недостаточно только контролировать занятое пространство, нужно еще четко понимать, чем именно оно занято, то ли это рабочие данные и нужно действительно расширять дисковую подсистему, то ли скопившийся годами хлам, который можно безболезненно удалить.\nЛюбая работающая система со временем обрастает всякими нужными и не особо нужными файлами, которые могут быть щедро разбросаны по файловой системе. Это могут быть установочные пакеты, архивы, какие-то временные копии, которые оставили по принципу \u0026quot;пусть недельку полежат на всякий случай\u0026quot;, а также временные файлы, кеши и т.д. и т.п.\nИ когда встает вопрос: а собственно, чем это занято место на диске? Ответить на него бывает непросто, нужен анализ использования диска и сегодня мы рассмотрим, как это можно сделать.\nУтилиты df и du Начнем с самых основ, эти утилиты может и не радуют удобством, но они есть в любом Linux-дистрибутиве и просто делают свою работу. Начнем с df, эта утилита позволяет получить отчет о доступном и использованном пространстве на файловых системах. Использовать ее просто:\n1df -h Ключ -h (--human-readable) выводит данные в удобочитаемом формате, т.е. мегабайтах и гигабайтах, также можете использовать ключ -H, он делает тоже самое, но с использованием системы СИ, т.е. в расчетах используется 1000 вместо 1024. Выяснив нужную файловую систему и точку монтирования, перейдем к более глубокому анализу того, что занимает место на диске, для чего привлечем утилиту du, которая показывает место занимаемое файлами и папками, с ней также можно использовать ключи -h или -H, но если мы выполним следующую команду, то результат нас вряд-ли обрадует:\n1du -h / Ниже показана часть такого вывода: Дело в том, что утилита пройдет рекурсивно на всю глубину и выдаст размер каждой папки и файла в указанном расположении, чтобы изменить такое поведение используйте ключ -d для явного указания глубины анализа. Например, ограничимся только директориями верхнего уровня:\n1du -hd 1 / Ну вот, совсем уже другое дело. Как можем увидеть, больше всего места занимает директория /var: Теперь проанализируем персонально ее:\n1du -hd 1 /var Таким образом, шаг за шагом мы можем найти все интересующие нас расположения и изучить их содержимое, получив данные о том, чем именно занято дисковое пространство.\nУтилита ncdu Все это хорошо, но несколько долго и муторно, может быть есть способ проще? Есть, это утилита ncdu (NCurse Disk Usage), которая представляет удобный интерактивный инструмент с псевдографическим интерфейсом. Для установки в DEB-cистемах используйте команду:\n1apt install ncdu Если запустить утилиту без параметров, то она проанализирует текущее расположение, поэтому мы выполним:\n1ncdu / Сканирование может занять некоторое время, после чего вы увидите директории и файлы первого уровня, отсортированные по уменьшению размера. Фактически все уже сделали за нас, вывод ncdu гораздо более нагляден и информативен. Здесь же сразу вы можете получить дополнительную информацию, так значок @ слева обозначает что перед нами символическая ссылка, а буква e (empty) - указывает на пустую директорию. Как мы уже говорили, система интерактивна, для навигации следует использовать стрелки, а для перехода с уровня на уровень - Enter. Но это еще не все, вы можете сразу отсюда удалять файлы простым нажатием на d, но при этом вам придется явно подтвердить удаление, что исключает случайные срабатывания. Для быстрого знакомства со всеми возможностями утилиты всегда можно вызвать встроенную справку, нажав ?. Все это указано прямо в шапке утилиты. На наш взгляд, данная утилита заслуживает того, чтобы стать частью джентельменского набора любого администратора, на своих серверах мы устанавливаем ее по умолчанию. Кстати, если вы работаете с WSL (Windows Subsystem for Linux), то можете с помощью ncdu выполнять анализ файловых систем Windows.\nИнструменты графической оболочки При работе в графической оболочке вы, конечно, можете использовать привычные консольные инструменты, но обычным пользователям будут более удобны графические инструменты. Практически во всех дистрибутивах есть утилита Анализатор использования диска, она не требует для работы повышения прав, а также весьма проста и наглядна. Интерфейс программы стандартный для такого рода утилит: слева список файлов и директорий, отсортированный по размеру, а справа интерактивная диаграмма, которая может быть представлена как в круговой, так и в линейной форме. Прямо отсюда мы можем переходить в интересующие расположения, копировать ссылки на них или просто удалять файлы и директории. Но, как мы уже говорили, утилита работает без повышения прав, поэтому столь широкий набор действий доступен пользователю только в отношении тех объектов файловой системы, на которые у него есть права, как правило это Домашняя директория. При этом ему доступен анализ всей файловой системы, только вот там он будет ограничен только просмотром. Что именно использовать из предложенных вариантов - личное дело каждого. Linux тем и хорош, что предоставляет множество разных путей для решения одной и той же задачи и нельзя сказать, что какой-то из этих путей правильный, а остальные нет. Все они ведут к одной цели.\n","id":"667e508b2ff1e0dcd940799d4213d1e4","link":"https://interface31.ru/post/linux-nachinayuschim-kak-uznat--chem-zanyato-mesto-na-diske/","section":"post","tags":["Debian","Linux","ncdu","Ubuntu","Ubuntu Server"],"title":"Linux - начинающим. Как узнать чем занято место на диске?"},{"body":"Debian - один из самых старых и популярных Linux-дистрибутивов общего применения, одинаково подходящего для создания как сервера, так и рабочей станции. Но сегодня мы поговорим именно о серверном применении, где Debian ценится, в первую очередь, за высочайшую стабильность и консервативность. В данной статье мы пошагово расскажем, как установить и настроить Debian 11 в минимальной серверной конфигурации, которую потом можно будет использовать как основу для любых серверных решений на базе этой системы.\nДля установки мы будем использовать образ Netinstall, который сейчас предлагается к скачиванию по умолчанию и предполагает наличие доступа к интернет во время установки. Однако, вопреки распространенному мнению, вы можете выполнить с его помощью минимальную установку системы, даже не имея доступа к сети. Все образа Debian являются гибридными, они могут быть записаны как на оптический носитель, так и на USB-флеш накопители.\nНачало установки После того, как вы загрузились с установочного носителя, вас встречает меню, в котором вы можете выбрать варианты установщика: текстовый или графический. Мы будем использовать текстовый режим, поэтому выбираем второй пункт - Install. Затем следует выполнить ряд настроек будущей системы, которыми не следует пренебрегать. Начнем с выбора языка установки, в соответствие с которым будут сделаны языковые и региональные настройки системы. Укажите сочетание клавиш для переключения раскладки, по умолчанию предлагается стандартный Alt + Shift. В дальнейшем установщик попытается настроить сеть и если в вашей сети есть работающий DHCP-сервер, то сетевые настройки будут получены автоматически, иначе вы можете ввести их руками или продолжить установку без сети, в этом случае будет доступна только минимальная установка. Следующий важный шаг - настройка пользователей. Debian предлагает несколько вариантов: с активным пользователем root или через sudo, когда учетная запись суперпользователя отключена и административные права получает созданный при установке пользователь (как в Ubuntu). Если исходить из соображение безопасности, то второй вариант лучше, но вы можете настроить систему по собственному усмотрению.\nСделать это просто: если вы укажете пароль root, то суперпользователь будет включен, а созданная далее учетная запись получит обычные права, утилита sudo установлена не будет. Если оставить пароль root пустым, то учетная запись суперпользователя будет отключена, установлена утилита sudo и созданный на следующем шаге пользователь получит административные права.\nПри отсутствии сети доступен только первый вариант (с активной учетной записью root). После настройки учетной записи суперпользователя вам будет предложено создать обычную учетную запись, никаких проблем с этим возникнуть не должно, достаточно указать желаемое имя и пароль.\nНу и наконец выполните настройки часового пояса, предлагаемый список основан на сделанных в самом начале установки языковых и региональных настройках. Ни в коем случае не следует пренебрегать данным шагом, так как современные системы крайне чувствительны к правильной настройке времени. На этом начальный этап установки завершен.\nРазметка дискового пространства Пожалуй, разметка дисков - это самый важный этап процесса установки, с принятыми на этом этапе решениями вам потом придется жить все время существования системы, так как изменить многие из них без переустановки не удастся. Сразу начнем с того, что, если вы не знаете как именно разметить диск - размечайте его самым простым образом, в большинстве случаев отдельного раздела будет достаточно. Тоже самое касается и выбора файловой системы - ext4 успешно закрывает большинство сценариев, не следует использовать иные файловые системы если вы не имеете опыта работы с ними и не знаете зачем они вам нужны.\nАвтоматическая разметка Если вы поднимаете очередной сервер для рядовых задач с единственным диском, то автоматическая разметка является неплохим вариантом. На выбор предлагаются: простая разметка, разметка с LVM и LVM с шифрованием, и, хотя LVM весьма мощный инструмент, во многих случаях он будет избыточен и достаточно простой разметки. Для всех представленных вариантов предлагается три схемы разметки: все файлы в одном разделе, выделение /home и выделение /home, /var и /tmp. Для сервера подходит только первый вариант, тогда как второй предпочтителен для рабочих станций. Третий, кроме как недоразумением назвать нельзя. Автоматически бить диск на несколько разделов, не имея четкого понимания причин такого разделения - глупо. А имея понимание и представление проще настроить сразу как надо вручную. Поэтому безальтернативно выбираем Все файлы в одном разделе. В этом случае система выполнит классическую разбивку: корневой раздел в начале диска и раздел подкачки в его конце. Для UEFI-систем добавится ESP-раздел c EFI-загрузчиком в самом начале диска, затем корневой и подкачка. На этом этапе вы можете либо поправить схему разметки, либо оставить все как есть и перейти к следующему этапу нажав Сохранить разметку и записать изменения на диск.\nРучная разметка Автоматическая разметка - это хорошо, вы получите заведомо рабочий результат без лишних действий, но это будет не самый оптимальный вариант. Поэтому можно разметить диск вручную и сразу так, как нужно. Если вы используете SSD, то мы советуем отказаться от стандартной схемы разметки и перенести раздел подкачки в начало диска. Почему?\nИсторически раздел подкачки располагался в конце диска, потому что кривая скорости доступа жестких дисков представляла собой пологую дугу, наибольшая скорость была в начале и плавно снижалась к концу диска. Вполне логично, что систему размещали в наиболее быстрой области, а подкачку в более медленной. С твердотельными накопителями все иначе, да и понятие \u0026quot;начала\u0026quot; и \u0026quot;конца\u0026quot; диска там весьма условны, во всяком случае скорость доступа не зависит от физического места размещения данных. Поэтому при разметке мы можем исходить из иных соображений, например, удобства обслуживания.\nЕсли при классической схеме мы скопируем разметку на более емкий диск или увеличим диск виртуальной машины, то получим схему: корневой раздел - подкачка - свободное место. Конечно, если вы используете LVM, то такая схема не доставит затруднений, а вот в остальных случаях вам придется потратить дополнительное время на перемещение раздела подкачки в конец диска и расширения корневого раздела на свободное место.\nЕсли же поместить подкачку вначале диска, то вы получите: подкачка - корневой раздел - свободное место, после чего расширить основной раздел не составит труда.\nПри использовании EFI не забывайте, что первым должен идти ESP-раздел.\nПерейдем к практике, на первом экране разметки дисков выбираем метод Вручную, затем выберите из списка нужный диск и нажмите Enter: Будет предложено создать новую таблицу разделов, соглашаемся с этим. Мы рекомендуем создавать новую таблицу разделов каждый раз при новой установке. Теперь на нашем диске появится пункт Свободное пространство, переходим на него и снова нажимаем Enter, будет предложено создать новый раздел. Если у вас UEFI-система, то сначала создаем раздел размером не менее 500 МБ: Указываем его местоположение в начале диска: И выбираем тип Системный раздел EFI, метка \u0026quot;загрузочный\u0026quot; будет включена автоматически. Затем точно также создаете раздел подкачки нужного размера: И корневой, на все оставшееся место. По умолчанию предлагается файловая система ext4, советуем ее оставить, если нет действительных оснований использования другой файловой системы и понимания всех плюсов и минусов ее использования. В итоге вы должны получить следующий вариант разметки: В MBR-системах у вас будет просто раздел подкачки и корневой раздел.\nНастройка LVM Ручная настройка LVM - достаточно сложный процесс, требующий определенных знаний и выходящий за рамки данной статьи, поэтому мы будем рассматривать автоматическую настройку и сопутствующие этому особенности, для ручной настройки LVM следует обратиться к нашей статье:\nРекомендуем к прочтению LVM для начинающих. Часть 2. Основы управления томами Важной особенностью LVM-разметки является то, что загрузчик (раздел /boot) должен находиться за ее пределами, в UEFI-системах также за пределами LVM следует располагать и ESP-раздел. Таким образом выбрав автоматическую разметку LVM и схему Все файлы в одном разделе мы получим следующую схему: Как мы говорили выше, система автоматически создала ESP и /boot разделы размером по 500 МБ каждый, при этом ESP раздел должен располагаться первым. Запомните эту особенность на случай ручной настройки LVM в последующем. Также обращаем ваше внимание, что для современных ядер минимальный размер**/boot** раздела должен быть не менее 500 МБ, встречающиеся рекомендации в 256 МБ следует считать устаревшими.\nЧто касается самой LVM-разметки, то создана единственная группа томов (VG) - debian-vg, внутри которой расположены два логических тома (LV): root и swap_1. Расположение логических томов на диске роли не играет, так как LVM позволяет гибко управлять пространством томов, не оглядываясь на физическую конфигурацию дисковой подсистемы.\nНастройка программного RAID Программный RAID широко используется для обеспечения отказоустойчивости дисковой подсистемы и поэтому его настройку нельзя обойти стороной. Как и с LVM, при настройке программного RAID имеются некоторые особенности. В UEFI-системах ESP-разделы также следует располагать за пределами RIAD-массивов, однако на этом особенности настройки программного RAID не заканчиваются, и мы советуем обратиться к нашей статье:\nРекомендуем к прочтению Настраиваем программный RAID на UEFI-системах в Debian и Ubuntu Отдельного разговора также заслуживает раздел подкачки. Мы, конечно, можем объединить его в RAID, но вот толку от этого немного, своп не содержит никаких критических данных, которым требуется отказоустойчивость, поэтому более разумно оставить разделы подкачки на каждом диске, не создавая из них массив. Этим вы получите в два раза больший объем пространств подкачки и более высокое быстродействие, так как будет отсутствовать пенальти на запись и современные системы умеют работать с несколькими пространствами подкачки параллельно.\nЧто касается схемы разметки, то мы точно также советуем размещать раздел подкачки перед корневым, в UEFI-системах самым первым должен быть ESP-раздел.\nОсновной залог успешного создания программного RAID-массива - это одинаковая разметка для входящих в его состав томов. Поэтому план действий будет следующий. Создаем на обоих дисках новую таблицу разделов. Затем размечаем согласно принятой схемы, основное внимание уделяем одинаковым размерам разделов. В итоге мы должны получить на каждом диске два одинаковых раздела подкачки и два раздела для RAID, система предложит по умолчанию отформатировать в ext4 и смонтировать как корень и /home, на самом деле это не имеет никакого значения, главное - полная идентичность разметки. В UEFI-системах к ним еще добавится два ESP-раздела, которые должны располагаться самыми первыми. Теперь переходим в раздел Настройка программного RAID и выбираем пункт Создать MD-устройство. Затем выбираем тип RAID, в современных условиях практический смысл имеют RAID 1 и RAID 10, в нашем случае мы можем собрать из двух дисков только RAID 1 (зеркало). После чего указываем устройства, из которых мы будем собирать RAID-массив. Обратите внимание, что программный RAID строится по схеме один массив - один раздел. Поэтому если вы применяете разметку отличную от все файлы в одном разделе, то заранее создайте нужное количество разделов на каждом диске. Теперь созданные нами ранее разделы на каждом из дисков будут представлены как Linux RAID, а в списке дисков появится новое RAID-устройство. Создаем на нем раздел с нужной файловой системой и точкой монтирования в корень. А общая схема разметки будет выглядеть следующим образом: На этом завершим тему разметки дисков и двинемся дальше.\nЗавершение установки Если считать установкой системы именно копирование файлов на диск, то все это время мы занимались подготовкой и только по завершение разметки на диск была скопирована базовая система. После чего нам снова придется ответить на ряд вопросов. В первую очередь нам предложит выбрать зеркало репозиториев Debian, по соображениям быстродействия следует выбирать сервера расположенные как можно ближе к физическому размещению сервера. Скажем, если сервер в датацентре в условной Германии, то следует отдать предпочтение немецким серверам. Если не знаете, какое зеркало выбрать - оставьте значение по умолчанию. После выбора зеркала система скачает и обновит списки пакетов, а также ряд ключевых элементов системы, после чего вам будет предложено выбрать компоненты для установки. Оставляем только SSH-сервер и Стандартные системные утилиты. Теперь нажимаем на кнопку продолжить и ждем окончания процесса установки, так как пакеты скачиваются из сети общее время сильно зависит от скорости интернет-соединения. В завершение будет предложено установить загрузчик GRUB, соглашаемся с этим предложением. При этом можно заметить, что программа установки позволяет выбрать только один диск и если вы используете программный RAID, то на втором диске у вас загрузчика не будет. Это не то, чтобы плохо, установить загрузчик можно и позднее, но также просто об этом и забыть. Поэтому сначала установим загрузчик на первый диск. А в следующем окне вместо предложения перезагрузить систему нажмем кнопку Вернуться. Перед вами появится следующее меню, в котором выбираем пункт Установка системного загрузчика GRUB: После чего установите загрузчик на второй диск. На этом установка завершена, можете перезагружать систему.\nВход в систему, повышение прав Так как мы уже установили пакет OpenSSH-сервера, то можем войти в систему как локально, так и удаленно. Второй способ безусловно удобнее, даже если сервер стоит у вас под боком, потому как SSH-консоль можно держать открытой на рабочем месте вместе с другими приложениями, скажем, браузером и копировать в нее нужные команды.\nПервая особенность, с которой столкнется начинающий администратор - невозможность зайти под пользователем root через SSH, это связано с настройками безопасности, и мы не видим веских причин разрешать такой вход. Лучше всего сразу приучаться делать правильно. Поэтому войдите в систему под обычным пользователем.\nТеперь нужно повысить права. Если суперпользователь включен, то используйте команду:\n1su - После чего укажите пароль суперпользователя. Ключ - (-l, --login) вызывает оболочку регистрации входа пользователя, что эквивалентно непосредственному входу пользователя в систему. При этом будет изменен домашний каталог и применены все настройки рабочей среды суперпользователя (маска, переменные окружения и т.д.).\nЕсли root выключен, то выполните команду:\n1sudo -s И введите пароль пользователя, под которым вошли в систему. Ключ -s аналогичен ключу - команды su и позволяет открыть оболочку как будто бы при интерактивном входе суперпользователя в систему (со сменой домашнего каталога, переменных окружения и т.д.).\nНастройка сети На этапе установки мы уже получали сетевые настройки, но они были автоматические, теперь же настала пора присвоить нашему серверу статический IP-адрес. Прежде всего посмотрим, какие сетевые интерфейсы существуют и какие у них адреса, для этого выполните команду:\n1ip a Как видим, у нас есть интерфейс локальной петли и сетевой адаптер ens33, который получил динамический адрес 192.168.233.130, допустим мы хотим присвоить ему статический адрес 192.168.233.81. Для этого откроем на редактирование файл /etc/network/interfaces:\n1nano /etc/network/interfaces И приведем блок, относящийся к адаптеру ens33 к следующему виду:\n1allow-hotplug ens33 2 iface ens33 inet static 3 address 192.168.233.81 4 netmask 255.255.255.0 5 gateway 192.168.233.2 6 dns-nameservers 192.168.233.2 Набор опций понятен без дополнительных пояснений, мы указали адрес, маску сети, шлюз и DNS-сервера. Если их несколько, то указываем через пробел.\nСохраняем файл нажатием Ctrl + x.\nПерезагружаем компьютер:\n1reboot Теперь можем присоединиться к нему по новому адресу.\nНастройка репозиториев По умолчанию в Debian подключен только репозиторий main, содержащий только свободное ПО, соответствующее критериям FSF (Free Software Foundation, Фонд свободного ПО), но существуют еще два репозитория: non-free - бесплатно распространяемое ПО, не соответствующее критериям свободного ПО, contrib - программное обеспечение содержащее несвободные компоненты или требующие проприетарного ПО, например, Oracle Java.\nОпытные пользователи, зная какие именно пакеты им нужны, могут подключить только необходимые репозитории, но не будет беды, если мы подключим их все. Для этого выполните команду:\n1sed -i \u0026#34;s/main/main contrib non-free/g\u0026#34; /etc/apt/sources.list После чего не забудьте выполнить обновление списка пакетов:\n1apt update После чего можно выполнить обновление системы:\n1apt full-upgrade Или установить дополнительное ПО, обычно мы устанавливаем двухпанельный менеджер Midnight Commander и диспетчер задач Htop:\n1apt install mc htop Настройка брандмауэра iptables В Debian 11 в качестве брандмауэра установлен пакет nftables, это более мощное и продвинутое ПО, но требующее отдельного изучения. Если вы не готовы с ним работать, то можно вернуть привычный iptables и продолжать его использование. При этом на самом деле будет продолжать работать nftables, но в режиме совместимости с iptables.\nУстановим необходимые пакеты:\n1apt install iptables iptables-persistent Теперь в порядке перечисленном ниже выполним следующие команды:\n1iptables -A INPUT -i ens33 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT 2iptables -A INPUT -i ens33 -m conntrack --ctstate INVALID -j DROP 3iptables -A INPUT -i ens33 -p icmp -j ACCEPT 4iptables -A INPUT -i ens33 -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT 5iptables -A INPUT -i ens33 -j DROP Тем самым мы создадим минимальную конфигурацию брандмауэра. Первое правило разрешает уже установленные и связанные с ними соединения. Второе блокирует пакеты, не являющиеся первым пакетом соединения и не относящиеся к другим соединениям. Затем мы разрешаем соединения по протоколу ICMP (ping, PMTUD) и SSH-соединения (порт TCP 22). Затем полностью блокируем все остальные входящие соединения.\nПроверяем, что все работает и сервер остается доступным по сети, после чего сохраняем правила командой:\n1iptables-save \u0026gt; /etc/iptables/rules.v4 Благодаря пакету iptables-persistent сохранённые правила теперь будут автоматически восстанавливаться при загрузке системы. Для их изменения удобнее всего вносить правки в файл /etc/iptables/rules.v4. Редактируя файл следует придерживаться следующих правил: первыми всегда должны идти два правила, выделенные нами желтым, а последним - запрещающее. выделенное красным. Все остальные правила должны размещаться между ними, при этом учитывайте, что правила проверяются в порядке их перечисления в файле и после срабатывания правила прохождение пакета через брандмауэр прекращается. Поэтому размещайте более частные правила выше более общих, в противном случае они никогда не сработают.\nПосле сохранения изменений загрузите правила командой:\n1iptables-restore \u0026lt; /etc/iptables/rules.v4 Посмотреть действующие правила и их счетчики можно командой:\n1iptables -L -vn Не пренебрегайте настройкой брандмауэра даже если ваш сервер находится внутри периметра и не имеет непосредственного выхода во внешнюю сеть. Безопасности много не бывает!\nУстановка sudo и отключение учетной записи root Если вы первоначально включили учетную запись суперпользователя, а теперь хотите ее выключить и далее работать через sudo, то следует выполнить ряд простых действий. Во-первых, установим пакет sudo:\n1apt install sudo Затем добавим нужного пользователя в группу sudo:\n1usermod -a -G sudo andrey В нашем случае это пользователь andrey. Затем выйдите из системы и войдите в нее снова, или просто перезагрузитесь. Проверьте, что указанный пользователь может повышать свои права при помощи sudo и только затем отключите учетную запись суперпользователя.\n1passwd -l root Еще раз повторим, данная схема используется по умолчанию в Ubuntu и представляется нам более безопасной, нежели наличие активной учетной записи root.\nУстановка нового ядра В Debian 11 используется достаточно актуальное ядро с длительным сроком поддержки 5.10 LTS, выпущенное 13.12.2020 года. Однако бывают ситуации, когда для поддержки оборудования или каких-то дополнительных возможностей требуется более свежее ядро. В этом случае потребуется установка более свежей версии. Ничего страшного в этом нет, но мы не рекомендуем устанавливать новые версии ядер без насущной на то необходимости. Хотя это Linux и здесь каждый сам кузнец собственного счастья.\nЕсть много способов обновить ядро, но мы рассмотрим самый безопасный - с использованием репозитория Backports. Он предоставляет пакеты из testing (в основном) и unstable (в некоторых случаях, например, для обновления безопасности) версий Debian, адаптированных для работы в стабильном (stable) выпуске.\nПрежде всего подключим репозиторий:\n1echo \u0026#34;deb http://deb.debian.org/debian bullseye-backports main contrib non-free\u0026#34; \u0026gt; /etc/apt/sources.list.d/bullseye-backports.list И обновим список пакетов:\n1apt update Затем перейдем к собственно обновлению. В системе существует метапакет linux-image-amd64, указывающий на последнюю версию ядра. Выполним:\n1apt policy linux-image-amd64 Как можем увидеть, доступны ядра 5.10 и 5.18, но так как репозиторий Backports имеет более низкий приоритет (100 против 500), то автоматического обновления ядра не произойдет и для его установки нужно будет выполнить команду:\n1apt install linux-image-amd64 -t bullseye-backports Но ядро 5.18 не является ядром с длительным сроком поддержки и если вы сторонник разумной консервативности, то стоит сначала посмотреть полный набор доступных к установке ядер:\n1apt-cache search linux-image В выводе команды мы без труда найдем пакеты последней LTS-версии 5.15. Выбираем нужный нам пакет и устанавливаем его командой:\n1apt install linux-image-5.15.0-0.bpo.3-amd64 -t bullseye-backports Перезагружаемся и убеждаемся, что система работает с новой версией ядра. Заключение В данном материале мы постарались коротко изложить все основные аспекты установки современной системы Debian для серверного применения, позволяющие разумно подойти к этому вопросу и получить на выходе полностью работающую систему, удовлетворяющую предъявленным требованиям. Но это только начало большого пути, и мы рекомендуем для дальнейшей настройки использовать материалы нашего сайта, как наиболее проверенные и совместимые с полученной в результате начальной настройки конфигурацией.\n","id":"45d0049fb8eabd15a160cf6dec4dde15","link":"https://interface31.ru/post/linux-nachinayushhim-ustanovka-i-pervonachal-naya-nastroyka-debian-11-dlya-servera/","section":"post","tags":["Debian","iptables","Linux","LVM","mdadm","UEFI"],"title":"Linux - начинающим. Установка и первоначальная настройка Debian 11 для сервера"},{"body":"Публикация информационных баз 1С:Предприятие на веб-сервере приобретает все большую популярность, так как позволяет легко организовать доступ с использованием стандартных протоколов HTTP/HTTPS из любого места где есть интернет. При этом вы можете работать даже там, где доступ в интернет ограничен одним лишь серфингом, если работает браузер - будет работать и 1С. Сегодня мы подробно рассмотрим настройку веб-сервера для совместной работы с 1С:Предприятие 8.3 на платформах Debian или Ubuntu.\nОбычно во всех инструкциях по установке сервера 1С на платформе Linux вместе с ним устанавливают и веб-сервер Apache, что не совсем правильно с точки зрения безопасности и удобства администрирования. С учетом того, что веб-сервер обычно используется для работы с внешними пользователями, то крайне желательно использовать на нем актуальные версии ПО с последними обновлениями безопасности. Это не всегда возможно, если веб-сервер установлен на одном узле с сервером 1С, так как обновление критически важного для предприятия сервера - это весьма непростая задача.\nС выносом веб-сервера на отдельную машину многие задачи автоматически снимаются, мы всегда можем использовать самые последние и актуальные версии ПО, а в случае компрометации сервера злоумышленник не получит доступ к серверу 1С, тем более что отдельно стоящий веб-сервер всегда можно вынести в отдельную подсеть или демилитаризованную зону. Кроме того, появляются новые возможности.\nНапример, веб-сервер можно использовать как единую точку консолидации для нескольких серверов, единственное условие - одинаковые версии технологической платформы. Это удобно, не нужно запоминать какая база расположена на каком сервере, кроме того, пробросить один сервер на внешний интерфейс или в VPN-сеть легче, чем группу серверов, для которых придется использовать нестандартные порты, что в ряде случаев может составить проблему. Возможна также и иная схема, когда несколько веб-серверов работают с одним сервером 1С. Это оправдано, когда следует разделить набор доступных баз и обеспечить разный уровень безопасности, высокий для внешних пользователей и стандартный для внутренних, либо обеспечить балансировку нагрузки. Также возможны и любые иные комбинации, которые ограничены только вашими возможностями и потребностями. А с учетом относительной нетребовательности веб-сервера к ресурсам, для них можно использовать виртуальные машины или контейнеры. Например, мы имеем хороший опыт по использованию контейнеров в системе виртуализации Proxmox.\nНастройка сервера В первую очередь установим веб-сервер Apache, так как 1С:Предприятие, начиная с версии платформы 8.3.8 поддерживает актуальную версию Apache 2.4, то вся установка сводится к единственной команде:\n1apt install apache2 Компания 1С рекомендует использовать модуль мультипроцессной обработки worker, поэтому следует выяснить с каким модулем работает ваш сервер, для этого выполним:\n1apachectl -V | grep -i mpm Если это prefork или event, то их следует отключить:\n1a2dismod mpm_prefork или\n1a2dismod mpm_event После чего включим worker и перезапустим веб-сервер:\n1a2enmod mpm_worker 2systemctl restart apache2 Установка модуля расширения веб-сервера для платформы 8.3.19 и ниже Установим модуль расширения веб-сервера от 1С, для этого скачаем софициального сайта архив Cервер 1С:Предприятия (64-bit) для DEB-based Linux-систем. Сразу сделаем оговорку, мы не видим никаких причин использовать в 2019 году 32-битные версии веб-серверов для 1С, поэтому здесь и далее мы будем работать только с 64-битными системами.\nИз данного архива нам понадобятся три пакета: 1c-enterprise83-ws - сам модуль веб-расширения, 1c-enterprise83-common - требуется по зависимостям и 1c-enterprise83-server, которого нет в зависимостях, но без которого веб-сервер с 1С работать не будет. Если вы используете в 1С языки отличные от русского, то вам потребуется еще добавить одноименные пакеты nls\nСкопируем эти пакеты в отдельную директорию, скажем, 1С в домашнем каталоге, перейдем в него и установим пакеты:\n1cd ~/1C 2dpkg -i 1c*.deb После чего отключим автозагрузку сервера 1С, который для работы не нужен, в целях экономии ресурсов:\n1systemctl disable srv1cv83 Если все делать \u0026quot;по инструкции\u0026quot;, то следующими шагами должна быть установка прав на папки и файлы, но на практике этого не требуется, так как модуль веб-сервера работает только на чтение и имеет для этого все права с настройками по умолчанию.\nУстановка модуля расширения веб-сервера для платформы 8.3.20 и выше Начиная с платформы 8.3.20 компания 1С перешла на единый дистрибутив, который также следует скачать с официального сайта, он поставляется в виде архива с именем типа server64_8_3_20_1710.tar.gz, где 8_3_20_1710 - версия платформы.\nЕсли вы используете Debain 11, то нужно добавить репозиторий от предыдущего выпуска для установки библиотеки libenchant1c2a:\n1echo \u0026#34;deb http://ftp.ru.debian.org/debian buster main\u0026#34; \u0026gt; /etc/apt/sources.list.d/buster.list Не забудьте после этого обновить список пакетов:\n1apt update Теперь перейдем в директорию с единым дистрибутивом (в нашем случае это домашняя директория) и распакуем его:\n1cd ~ 2tar -xzf server64_8_3_20_1710.tar.gz Для установки расширения веб-сервера запустите инсталлятор с ключами:\n1./setup-full-8.3.20.1710-x86_64.run --mode unattended --enable-components ws Никаких действий больше предпринимать не нужно.\nПубликация клиент-серверных баз Перед тем как публиковать базу нужно выполнить некоторые условия. Обращаться к серверу 1С можно только по имени хоста, которое веб-сервер должен разрешать в IP-адрес, в доменных сетях это решается использованием доменных DNS, но в любом случае разрешение имен следует проверить.\nДля одноранговых сетей следует добавить запись в файл /etc/hosts:\n1192.168.16.130 SRV-1C Где SRV-1C имя вашего сервера 1С, перед которым указываем его IP-адрес.\nЗатем создадим директорию для публикации информационной базы, расположение может быть любым, но хорошим тоном для Linux-систем будет использование стандартных расположений, для веб-сервера это /var/www:\n1mkdir /var/www/infobase После чего можно перейти непосредственно к публикации, для этого будем использовать утилиту webinst, предварительно перейдя в каталог с ее расположением. Обратите внимание, что на платформах 8.3.17 и ниже использовался следующий путь:\n1cd /opt/1C/v8.3/x86_64 Начиная с платформы 8.3.18 стало возможным устанавливать сразу несколько версий и поэтому путь к расположению файлов платформы изменился и содержит номер ее версии:\n1cd /opt/1cv8/x86_64/8.3.20.1710 Для публикации баз используйте команду:\n1./webinst -publish -apache24 -wsdir InfoBase -dir /var/www/infobase -connstr \u0026#34;Srvr=SRV-1C;Ref=Infobase;\u0026#34; -confpath /etc/apache2/apache2.conf Коротко поясним используемые параметры:\npublish - указывает необходимое действие, в данном случае публикацию, может быть опущен, так как это действие по умолчанию apache24 - задает тип веб-сервера, для Apache 2.2 следует указывать apache22. wsdir - имя публикации, по которому к базе следует обращаться из браузера, обратите внимание, что оно регистрозависимое dir - путь публикации, ранее созданная нами директория connstr - строка соединения, состоит из нескольких частей: Srvr - имя сервера, Ref - имя базы на сервере, каждая часть должна заканчиваться служебным символом \u0026quot;;\u0026quot; confpath - путь к конфигурационному файлу веб-сервера После чего следует перезапустить веб-сервер:\n1systemctl restart apache2 Теперь можно подключаться к базе. Есть два варианта: использовать веб-клиент, работающий через браузер или тонкий клиент, установив нужную версию платформы. Мы не рекомендуем использовать веб-клиент, потому как его возможности не позволяют использовать весь функционал платформы, например, у нас он стабильно падал при попытке использовать Планировщик в 1С. Также веб-клиент не умеет использовать лицензии 1С текущего узла, а сначала пытается найти локальную лицензию на веб-сервере, а затем ищет их на сервере 1С, если их там нет, то вы не сможете запустить информационную базу даже при наличии на компьютере активной лицензии 1С. Поэтому мы рекомендуем использовать тонкий клиент везде, где это возможно. Для подключения следует использовать строку http://SRV-WEB-1C/InfoBase или http://192.168.16.136/InfoBase, для подключения можно использовать FQDN, плоское имя или IP-адрес, с условием, что имена разрешаются на клиенте в адрес сервера. Предпочтительно использовать FQDN, но работать будет любой вариант.\nПри настройке тонкого клиента просто укажите адрес в диалоге добавления новой информационной базы: Здесь мы еще раз напомним, что адрес регистрозависимый и если вы ранее указали в параметре wsdir имя InfoBase, то в дальнейшем его следует использовать в строке подключения, потому как http://SRV-WEB-1C/InfoBase - работать будет, а http://SRV-WEB-1C/infobase вызовет ошибку 404.\nПубликация файловых баз Возможно, вы удивитесь, но модуль расширения веб-сервера позволяет публиковать файловые базы на сервере без графического интерфейса и без установки клиента 1С, единственное условие - база физически должна располагаться на веб-сервере.\nТакже нам потребуется установить все необходимые для работы 1С библиотеки и шрифты. Для этого потребуется подключить несвободные репозитории, откройте файл /etc/apt/sources.list и в Debian добавьте в конце каждой строки:\n1contrib а в Ubuntu раскомментируйте строки содержащие в конце\n1multiverse В Debain 11 нужно также добавить репозиторий от предыдущего выпуска для установки библиотеки libenchant1c2a:\n1echo \u0026#34;deb http://ftp.ru.debian.org/debian buster main\u0026#34; \u0026gt; /etc/apt/sources.list.d/buster.list Затем выполните:\n1apt update 2apt install ttf-mscorefonts-installer 3apt install libfontconfig1 4apt install libgsf-1-114 5apt install libglib2.0-0 6apt install libodbc1 В зависимости от используемого вами дистрибутива часть библиотек может быть уже установлена, о чем вы получите сообщение, так в Debian 9/10 по умолчанию установлены libfontconfig1 и libglib2.0-0.\nЗатем установим библиотеки ImageMagick, в разных дистрибутивах они могут иметь разные версии, поэтому выполним:\n1apt search libmagickwand-6 В выводе найдем нужную версию с окончанием на q16-x и установим ее. В нашем случае это библиотека libmagickwand-6.q16-6:\n1apt install libmagickwand-6.q16-6 Теперь создадим директорию для расположения файловой базы, например:\n1mkdir /opt/1C_bases/InfoBase2 И поместим в нее любым доступным способом, скажем, через SFTP, файл базы данных 1Cv8.1CD, имейте ввиду, что клиента 1С на веб-сервере нет и загрузить на нем DT-файл мы не можем, поэтому его нужно развернуть в другом месте и передать на сервер именно 1CD.\nЗатем обязательно изменим владельца директории на пользователя веб-сервера:\n1chown -R www-data:www-data /opt/1C_bases Создадим каталог публикации:\n1mkdir /var/www/infobase2 Затем перейдем с каталог с установленной платформой, для версии 8.3.17 и ниже выполните:\n1cd /opt/1C/v8.3/x86_64 Для 8.3.18 и выше (учитывайте, что путь содержит номер платформы):\n1cd /opt/1cv8/x86_64/8.3.20.1710 Теперь можно публиковать базу:\n1./webinst -publish -apache24 -wsdir InfoBase2 -dir /var/www/infobase2 -connstr \u0026#34;File=/opt/1C_bases/InfoBase2;\u0026#34; -confpath /etc/apache2/apache2.conf Перезапустим веб-сервер и базой можно работать:\n1systemctl restart apache2 Но для работы следует использовать исключительно тонкий клиент, так как веб-клиент не сможет получить лицензию.\nДля корректной работы с файловыми базами следует ограничить Apache одним рабочим процессом, в противном случае вы можете столкнуться с ошибкой Объект заблокирован. Чтобы избежать этого, откроем /etc/apache2/mods-available/mpm_worker.conf и установим следующие значения:\n1StartServers 1 2MinSpareThreads 1 3MaxSpareThreads 1 Если вы используете иные модули мультипроцессной обработки, то нужно внести изменения в их конфигурационные файлы, для event это /etc/apache2/mods-available/mpm_event.conf, настройки выполняются аналогично модулю worker (приведены выше).\nВ случае использования prefork откройте /etc/apache2/mods-available/mpm_prefork.conf и установите следующие значение опциям:\n1StartServers 1 2MinSpareServers 1 3MaxSpareServers 1 После чего не забудьте перезапустить веб-сервер.\nДанная настройка может существенно снизить производительность и поэтому мы не рекомендуем совмещать на одном сервере публикацию файловых и клиент-серверных баз, особенно при большом количестве обслуживаемых клиентов.\nОсобенности обновления платформы 8.3.18 и выше Несмотря на то, что начиная с этой версии можно устанавливать сразу несколько платформ расширение веб-сервера может работать только с одной версией платформы, поэтому предыдущие версии при обновлении нужно удалить, автоматической замены версии пакета, как это было в 8.3.17 и ниже не произойдет.\nДля платформ 8.3.18 - 8.3.19 выполните:\n1apt remove 1c-ent* Для 8.3.20 и выше:\n1/opt/1cv8/x86_64/8.3.20.1549/uninstaller-full Затем установите новую версию платформы, как это сделать - смотрите в соответствующем разделе нашей статьи.\nПосле чего откройте файл /etc/apache2/apache2.conf и найдите в нем строку:\n1LoadModule _1cws_module \u0026#34;/opt/1cv8/x86_64/8.3.20.1549/wsap24.so\u0026#34; И исправьте в ней путь согласно установленной вами версии платформы, после чего перезапустите веб-сервер:\n1systemctl restart apache2 Как видим, никаких особых сложностей при обновлении платформы нет, но следует учитывать особенности и изменения в последних выпусках 1С.\n","id":"8aefd555b2d8108e3a26b435bb6cfd07","link":"https://interface31.ru/post/publikaciya-baz-dannyh-1spredpriyatie-83-na-veb-servere-apache-v-debian-ili-ubuntu/","section":"post","tags":["1С Предприятие 8.х","Apache","Debian","Ubuntu Server","Web-сервер"],"title":"Публикация баз данных 1С:Предприятие 8.3 на веб-сервере Apache в Debian или Ubuntu"},{"body":"Продолжая тему импортозамещения и знакомства с российскими операционными системами нельзя пройти мимо системы с говорящим названием - ОСнова. Но это не просто очередная система общего назначения, ОСнова имеет сертификацию ФСТЭК и предназначена в первую очередь для построения защищённых автоматизированных систем, обрабатывающих конфиденциальную информацию и персональные данные. Система коммерческая, бесплатной версии нет, дистрибутив также отсутствует в свободном доступе, но был любезно предоставлен нам разработчиками для обзора.\nВ основе ОСновы лежит Debian 10, но многие ключевые элементы системы, включая ядро, обновлены на более поздние версии, таким образом сочетая стабильность с современными возможностями. Для системы, которая будет использоваться на рабочих местах это важно, особенно свежее ядро, добавляющее поддержку нового оборудования.\nСам же выбор платформы Debian кажется нам наиболее предпочтительным для российских операционных систем, так как Debian контролируется сообществом и не зависит от корпораций, которые, даже не беря во внимание политические факторы, могут резко изменить правила игры в угоду собственным бизнес интересам. Хороший пример этого - ситуация с CentOS, когда компания IBM резко превратила свободный аналог RHEL, твердокаменный и стабильный, в нечто более близкое к Fedora.\nРекомендуем к прочтению CentOS умер... Да здравствует CentOS Stream?!? В этом месте привычно можно услышать, мол какая-такая российская ОС, очередной клон Debian c новыми \u0026quot;нескучными\u0026quot; обоями, что, конечно же, не так. Разработчики ОСновы - АО \u0026quot;НППКТ\u0026quot; имеют ряд собственных серьезных разработок, направленных в первую очередь на обеспечение безопасности, также по максимуму задействованы собственные возможности Linux.\nВ первую очередь хочется отметить фреймворк NESS (oSnova Enhanced Security (Sub)System), который не основан на SELinux и является собственной разработкой компании, с его помощью можно серьезно повысить безопасность системы и реализовать системы мандатного доступа. NESS сочетает в себе лучшие практики, требования отечественных регуляторов и более чем 20-летний опыт разработчиков в сфере безопасности.\nСледующая разработка - домен NDDS, он совместим с доменом Active Directory на уровне Windows 2008R2, поддерживает клиентов до Windows 10 включительно, также можно устанавливать доверительные отношения между доменами NDDS и AD. В свою очередь ОСнова может быть введена в домен ActiveDirectory.\nЭто не полный список возможностей ОСновы, но наиболее крупные, остальных мы будем касаться по мере обзора. Система поставляется в виде двух образов размером 7,75 и 1,46 ГБ, по современным меркам это много, тем более что многие давно привыкли к NetInstall, но здесь ситуация совершенно иная. Если мы говорим о безопасности, то самое время вспомнить про закрытый сетевой контур, который либо не имеет доступа во внешнюю сеть, либо такие возможности серьезно ограничены. Для этого случая и нужны два диска, таким же образом можно получать и устанавливать обновления. И нет, это не паранойя, а вполне нормальные требования безопасности.\nИнсталлятор предлагает нам текстовый или графический режим установки, а также возможность загрузиться в режиме LiveCD. Если вы когда-либо устанавливали Debian, то сразу узнаете установщик, он стандартный и ничего нового в нем нет. Поэтому лучше обратим внимание на особенности ОСновы, прежде всего это богатый выбор ядер: Следует отметить, что сборка системы в образе соответствует версии Onyx 2.0 от 01.12.2020 и ядро 5.4 LTS является последним на момент выхода сборки ядром с длительным сроком поддержки. Кроме \u0026quot;обычного\u0026quot;, доступны следующие варианты ядер:\nhardened - имеет повышенный уровень защищенности (может снижать производительность или совместимость с используемым программным обеспечением). mptcp - имеет поддержку Multipath TCP (Multipath Transmission Control Protocol, RFC 6824). pve - обеспечивает возможность установки в систему Proxmox Virtual Environment. rt - имеет пониженное время реакции на события, что может быть важно для разных конфигураций, требующих работу близкую к системам реального времени. По умолчанию предлагается рабочая среда KDE, офисные и мультимедийные пакеты, а также средства для работы в интернет. Дополнительно предлагается отключить очистку пространства подкачки при завершении работы (включена по умолчанию) и включить замкнутую программную среду. Начнем с очистки подкачки. С точки зрения безопасности это достаточно важное действие, так как на диске остаются страницы памяти и при наличии физического доступа к устройству имеется возможность считать из них информацию. Однако это может существенно замедлять выключение системы, особенно если вы до сих пор используете HDD.\nЗамкнутая программная среда основана на IMA и позволяет осуществлять контроль запускаемых приложений. Общий смысл сводится к тому, состояние системы фиксируется путем подписания всех существующих в ней бинарных файлов и библиотек, после чего администратор настраивает списки допустимых хешей. Никакие другие приложения не могут быть запущены, а библиотеки загружены. Таким образом достигается уверенность, что в системе может быть запущен только сертифицированный доверенный код.\nТакже вам не удастся установить систему без пароля на загрузчик GRUB, он не будет запрашиваться при нормальной загрузке системы, но потребуется при обращении к меню GRUB, это не позволит, например, не зная пароля загрузиться в режим восстановления и получить таким образом доступ к системе. Как видим, к вопросам безопасности разработчики ОСновы отнеслись серьезно.\nЭкран входа в систему строг и лаконичен: То же самое можно сказать и про оформление рабочего стола, в остальном же перед нами самая обычная KDE Plasma, очень не плохой вариант для современных систем и бывших пользователей Windows. Сразу обращает на себя внимание некоторая избыточность софта, браузеров, например, сразу три, причем Chromium установлен в версии ГОСТ. Такой подход, на наш взгляд, обусловлен возможным наличием закрытого сетевого контура, лишнее администратор всегда сможет удалить, а вот доступ к источнику установки, даже если это диск или образ у него может быть не всегда.\nИз образа нам доступна OSNova Onyx 2.0, никаких иных репозиториев, кроме установочного диска не подключено, в список также можно добавить второй диск из комплекта. Набор софта местами староват, но вполне актуален для Debian 10 и конца 2020 года, когда был собран использованный нами образ. Обновить систему можно разными путями, для закрытого контура это диски или образа, но если требования безопасности допускают, то мы можем подключить репозитории и обновляться гораздо более привычными путями. Репозиторий закрытый, для доступа к нему требуются логин и пароль.\nВ процессе обновления мы можем увидеть работу средств безопасности ОСнова, нас несколько раз уведомили о наличии уязвимостей в том или ином пакете и предложили тут же применить исправления. Это тоже собственная разработка АО \u0026quot;НППКТ\u0026quot;. Обновив систему, мы увидим, что теперь у нас Onyx 2.5.1, более свежий прикладной софт и актуальное LTS- ядро 5.15, что очень даже неплохо. Если мы продолжим знакомиться с системой, то ничего нового и интересного там не найдем, обычный Debian с KDE, где все знакомо и привычно. Но так и должно быть, основные усилия разработчиков ОСновы нацелены на безопасность, сама система подвергается минимальным изменениям. Нам не составило никакого труда установить Telegram и получить доступ ко всем необходимым ресурсам в сети интернет. Но не все же работать, надо же иногда и отдыхать, скажем, в законный обеденный перерыв посмотреть IPTV, в системе предустановлен плейер VLC, который отлично справляется с этой задачей: А как насчет поработать? Без проблем. Мы установили учебную версию 1С:Предприятие, Крипто-Про, плагины для доступа к Госпорталам, а также не испытали сложностей при подключении и использовании ключей Рутокен. Для управления системой доступна стандартная панель управления KDE: Никаких магазинов в системе нет, что вполне понятно, для управления пакетами следует использовать консоль или Synaptic: Сразу поясним, так как в некоторых других обзорах мы определяли отсутствие магазина как недостаток, но ОСнова не предусматривает использование обычными пользователями, а администратор должен уметь работать с пакетным менеджером.\nТакже есть простой, но достаточно удобный графический интерфейс брандмауэра. Это, безусловно, лучше, чем ничего, учитывая натянутые отношения многих c iptables. Кроме обычных логов в системе доступна консоль аудита, которая показывает события, связанные с доступом к объектам и их безопасностью: Все это время мы рассматривали работу в оболочке KDE, но можно отказаться от нее в пользу альтернативы, в качестве которой представлена LXQT. Выглядит оболочка вполне аккуратно и опрятно, при этом потребление ресурсов примерно вдвое ниже, чем при использовании KDE, для старых машин самое то: А вот третья оболочка вызывает ну очень много вопросов, потому как кроме ностальгией объяснить ее наличие не получается. Да, речь идет об современной реинкарнации CDE (Common Desktop Environment)- NSCDE, и хотя это не настоящая CDE, а надстройка над FVWM изначальную среду она повторяет довольно качественно. В общем - добро пожаловать в классический UNIX начала 90-х. Посмотреть - прикольно, работать - это смогут не только лишь все. Но впечатления могут быть самые яркие: современный LibreOffice в визуальном окружении времен Windows 3.11. Видимо среди разработчиков ОСновы есть настоящие фанаты старых интерфейсов.\nВыводы Прежде чем подвести итоги, сразу сделаем оговорку, рассматривать ОСнову нужно прежде всего как сертифицированную ОС для построения защищенных систем, иначе может возникнуть недоумение, мол зачем платить за Debian с кучей непонятных настроек и сложностей. Это не для дома, не для офиса и не предназначено впечатлять и удивлять.\nЭто про безопасность. Основные покупатели ОСновы - это госорганизации, банки и финансовые структуры, медицинские учреждения и т.д. и т.п., кому нужно обеспечивать безопасную обработку данных. При этом нужно сохранять простоту использования и обслуживания системы. С этим тоже все в порядке - под капотом обычный Debian и привычный набор свободного ПО.\nВ целом работать с ОСновой нам понравилось. Классическая Debian-система, понятная и привычная, но в тоже время предоставляющая широкие возможности для построения защищенных систем.\nЕще раз повторим, что нет смысла сравнивать эту ОС с системами общего применения, но на своем поле ОСнова готова стать хорошей основой защищенной инфраструктуры.\n","id":"c6eec1034c9fac667d6550bee18367d8","link":"https://interface31.ru/post/rossiyskaya-sistema-osnova---kak-osnova-zashhishhennoy-infrastruktury/","section":"post","tags":["Debian","Linux","Безопасность","Импортозамещение","ОСнова"],"title":"Российская система ОСнова - как основа защищенной инфраструктуры"},{"body":"Распределенная информационная база (РИБ) широко применяется в инфраструктуре 1С:Предприятия несмотря на наличие иных, более современных методов доступа. Одно из главных преимуществ РИБ - полная автономность подчиненной базы, а обмен информации с центральной базой происходит при помощи синхронизации. Но есть и минусы, как любая другая информационная база 1С РИБ имеет свойство расти и работать все медленнее и медленнее, особенно на слабых ПК. Поэтому рекомендуется регулярно проводить процедуру свертки, но данный процесс содержит столько подводных камней, что многие шарахаются от нее, как черт от ладана.\nКак всегда, начнем с постановки проблемы. В нашем случае будет рассматриваться РИБ по магазину 1С:Розница, как наиболее типичный случай, но механизм синхронизации в современных конфигурациях 1С стандартизован и все сказанное ниже с небольшими поправками можно применить к любой конфигурации.\nКлассическая конфигурация предполагает, что у нас есть центральная информационная база, чаще всего в клиент-серверном варианте, в которой консолидируется все информация торговой сети. С ней же работают менеджеры в центральном офисе. Для каждого из магазинов создается отдельная РИБ по магазину, которая работает в файловом варианте и располагается на POS-терминале магазина, в роли которого выступает достаточно маломощный компьютер, так популярные моноблоки АТОЛ содержат обычно Intel Celeron J1900.\nЭто хорошая, зарекомендовавшая себя платформа, но большие объемы данных - это не ее конек. Поэтому по мере работы и роста базы замедление работы становится все более ощутимо и заметно невооруженным глазом. Кассиры начинаются жаловаться на производительность и нужно что-то делать. Для уменьшения размера базы и количества документов в ней у 1С предусмотрен штатный механизм - свертка.\nУ многих сейчас задергается глаз и появится непреодолимое желание кого-нибудь стукнуть. Их эмоции вполне можно понять, потому что штатный механизм свертки имеет такое количество подводных камней, что, попробовав один раз можно получить негативного опыта на долгое время вперед. Почему? Давайте посмотрим.\nЧто предлагает нам 1С? С их стороны все просто, заходим в настройки синхронизации узла и меняем дату свертки, система сформирует документ ввода начальных остатков на эту дату, а более ранние документы будут впоследствии удалены из подчиненной информационной базы. На первый взгляд все выглядит неплохо: поменял дату и выполнил синхронизацию. Ошибка! Предупреждаем - никогда так не делайте! Потому что это верный способ остановить торговую точку на неопределенный период времени без возможности быстро исправить ситуацию. Ну и получить массу сопутствующих проблем в ближайшем будущем.\nПочему? Да потому что после свертки 1С зарегистрирует к обмену все документы за сворачиваемый период, в нашем случае их оказалось около 4,5 млн за 1,5 года. Одна только выгрузка такого объема займет более нескольких часов и вам очень повезет, если вы по техническим причинам выгрузить данные все-таки не сможете.\nИначе эта выгрузка попадет на POS-терминал, который начнет старательно ее обрабатывать и удалять из базы старые документы, растянуться этот процесс может очень и очень надолго: часы, десятки часов, сутки. База при этом будет работать, но плохо: с сильными тормозами и регулярными конфликтами блокировок. А дальше становится очень весело.\nТо, что касса висит, тормозит и в магазине очередь как в мавзолей - это самое малое зло, проблемы кроются глубже. Покупатель оплачивает картой, платеж проходит, но в далее система виснет и вовремя не получает от терминала статус оплаты. Покупатель уже ушел, а чек пробить невозможно, система не увидела оплату и требует ее повторно. Либо увидела оплату, но не смогла пробить чек, посчитала ситуацию аварийной и требует сделать сторно. А покупателя нет, давно ушел. Прибавим сюда крепкое спиртное, которое отдельно списывается через ЕГАИС, маркированную продукцию и т.д. и т.п.\nМы не хотим сгущать краски, но, когда вы поймете масштаб проблемы - на торговой точке воцарится хаос. Мало того, что ничего не работает, так и нарушено все, что можно нарушить и впоследствии всплывет куча проблем с алкоголем и маркированным товаром. И никакие бекапы вас здесь не спасут.\nПоэтому, один раз получив такой опыт многие шарахаются не только от сверки, но и от розницы и 1С вообще. И самое смешное, хотя смех тут сквозь слезы, что действовал специалист строго по инструкции к программе, но кого это будет волновать, если предприятие несет вполне ощутимые и измеряемые рублями убытки?\nВ общем и целом, проблему можно сформулировать так: современные объемы данных и мощности торгового оборудования не позволяют выполнить штатный механизм свертки за приемлемое для бизнеса время. Поэтому мы будем сворачивать базу другим методом, позволяющим не только значительно сократить время свертки и ее влияние на работу торговой точки, но и выполнить ее даже в том случае, если технологического окна все равно будет не хватать.\nПодготовка ИБ к свертке Сразу напомним одну вещь, которую технические специалисты часто забывают: перед нами учетная система и основным признаком успешности операции будет сохранение правильных значений учетных данных. Проще говоря, после выполнения операции остатки поплыть не должны! Поэтому, прежде чем приступать к любым операциям с базой снимите отчеты по текущим остаткам товаров и денежных средств (для Розницы) и обязательно сохраните их. Почему обязательно сохранить? Это поможет вам, если во время выполнения всех операций по свертке в базу будут внесены изменения задним числом, сохраненный отчет поможет понять, что остатки поплыли не по причине свертки и искать проблему нужно в другом месте. Чаще всего ничего страшного в этом нет и все изменения придут в свернутую базу с ближайшим обменом.\nТеперь перейдем к сугубо техническим вещам, для успешного завершения процесса свертки по нашему методу требуется чтобы был правильно заполнен справочник Идентификаторы объектов метаданных, в противном случае в самом конце процесса вы получите на свернутом узле вот такую ошибку: А это означает, что вся многочасовая работа пошла насмарку и нужно начинать заново. Поэтому заранее подстелем соломки. Откроем регистр сведений Версии подсистем и изменим версию подсистемы Розница, на какую - не важно, главное изменить. Сохраним сведения и перезапустим программу. При перезапуске заново отработают все обработчики, запускаемые при обновлении, что гарантирует правильное заполнение необходимых справочников.\nСвертка ИБ Следующим шагом убеждаемся, что все данные из подчиненного узла переданы в центральный и отсутствуют зарегистрированные объекты для обмена. После чего выключаем синхронизацию с центральной базой и принимаем все меры для того, чтобы в базу никто не внес никаких изменений. Лучше всего переименовать папку с базой, это даст гарантию того, что к базе не смогут подключиться не только пользователи, но и скрипты или внешние приложения.\nВозвращаемся в центральную базу, принимаем все сообщения от подчиненного узла и также выключаем автоматическую синхронизацию с этим узлом. Затем заходим в настройки синхронизации по магазину и сворачиваем базу на нужную дату штатным способом. В зависимости от периода свертки процесс может занять определенное время. Подождите, скажет внимательный читатель, вы же только что говорили, что так делать не надо? Действительно, штатный механизм свертки использовать не надо, да мы и не будем, но полностью отказываться от штатных механизмов не стоит. В процессе выполнения свертки будет сформирован документ начальных остатков на дату свертки и выполнена регистрация объектов для обмена. Первый нам пригодится, а вот с регистрацией поступим по-своему.\nОткроем обработку Регистрация изменений для обмена и отменим регистрацию всех объектов для подчиненного узла, заодно обратим внимание на то, какое количество их зарегистрировала штатная свертка. И, пока мы здесь, обнулим счетчики полученных и отправленных сообщений. Теперь вернемся в настройки синхронизации узла и выполним создание нового начального образа. Именно в этом и заключается основной смысл предлагаемого метода. Начальный образ формируется на дату свертки и происходит это гораздо быстрее, чем свертка подчиненной базы. Но приготовьтесь к тому, что образ будет формироваться продолжительное время, возможно несколько часов. Чтобы ускорить процесс можно пойти на небольшую хитрость. Каждый, кто работает с 1С знает, что на одном и том же оборудовании файловая базе будет работать быстрее. Поэтому выгружаем ИБ в файловый вариант и формируем начальный образ в нем. Можно даже перенести копию базы на более мощный ПК и выполнить операцию там.\nИнформация Важно! Убедитесь, что база загружена в режиме копии и все внешние обмены данными отключены, либо отключите их на всякий случай вручную!\nРезультатом создания нового начального образа будет папка с информационной базой подчиненного узла, которой нам потребуется заменить старую на магазине.\nНастройка новой свернутой ИБ в магазине При первом запуске свернутой ИБ вам потребуется заново настроить параметры синхронизации, этот процесс знаком каждому, кто разворачивал распределенные информационные базы. Однако на этапе Настройки правил отправки и получения данных вы можете получить сообщение о том, что в данной транзакции уже происходили ошибки. Ничего страшного, сразу переходите к документам ввода начальных остатков, где вы увидите что поле Узел созданного при свертке документа содержит надпись - Объект не найден. При помощи любой обработки для изменения реквизитов установите в поле Узел документа текущий узел РИБ. Мы, например, используем следующую обработку:\nСкачать Универсальные подбор и обработка объектов (управляемое и обычное приложение), 256 КБ\nПосле чего проведите документ ввода начальных остатков и завершите настройку синхронизации.\nТеперь сформируем отчеты по складским остаткам и денежным средствам в кассах с той же самой датой и временем, с которыми мы формировали отчеты перед началом свертки и убедимся, что все цифры совпадают, это означает что свертка проведена успешно. Убедившись в правильности свертки не забудьте выполнить первоначальную настройку новой подчиненной базы: подключите торговое оборудование, выполните настройки РМК, добавьте пользователей.\nЗакончив с настройками, выполните синхронизацию, сначала в подчинённой базе, затем в центральном узле и убедившись, что все нормально снова включите автоматическую синхронизацию.\nКак быть, если технологического окна не хватает? В процессе свертки и выгрузки нового начального образа может получиться так, что технологического окна все-таки не хватает для успешного завершения операции. Ничего страшного, базу свернуть все равно можно. Выполните все описанные выше действия вплоть до начала выгрузки нового начального образа.\nТеперь мы должны исключить любую возможность синхронизации между центральным и подчиненным узлами. Отключите с обоих сторон автоматическую синхронизацию и на всякий случай в настройках измените параметры подключения на обмен через локальную папку. Теперь мы можем продолжать работать с подчиненной базой, все созданные вновь и измененные документы будут регистрироваться для обмена, но сам обмен происходить не будет. Точно также в центральном узле будут продолжать накапливаться данные для выгрузки в базу магазина. После чего спокойно выгружаем начальный образ, предупредив всех, что обмена с узлом временно не будет.\nВыгрузив новую подчиненную базу, запустите ее и, сравнив остатки, убедитесь, что свертка выполнена правильно. Теперь нам нужно перенести из старой базы в новую все те данные, которые там успели наработать. Убедитесь, что кассовая смена в старой базе закрыта и откройте Регистрацию изменений для обмена и посмотрите какие именно документы и справочники зарегистрированы к обмену и за какой промежуток времени. Не стоит лениться, просмотрите все документы, может оказаться так, что некоторые из них были изменены задним числом. Изменения в регистрах нас не интересуют, так как все движения формируются документами и будут созданы автоматически после проведения их в новой базе. Теперь берем штатную обработку Выгрузка и загрузка данных XML и выгружаем указанные в регистрации изменений документы и справочники за указанный период. Не бойтесь зацепить лишнего, дублей в новой базе не появится, а уже существующие документы будут перезаписаны только в случае различия в содержимом, это как раз тот случай, когда существующий документ изменили задним числом. Затем этой же обработкой загрузите изменения в новую базу.\nСкачать Выгрузка и загрузка данных XML, 53 КБ\nТеперь сформируем отчеты по остаткам в старой и новой периферийных базах и сравним их. Остатки должны совпадать. Если это не так, то еще раз проанализируйте измененные документы и выполните выгрузку-загрузку еще раз, при этом можете расширить временные рамки выгрузки.\nПосле того, как вы выровняли остатки выполните обмен сначала в новой периферийной базе, затем в центральной и включите автоматический обмен. Теперь уберите старую базу и выполните первоначальную настройку новой.\n","id":"b5a9e5cf923f13b6dd37f4e941dca259","link":"https://interface31.ru/post/kak-vypolnit-svertku-rib-1spredpriyatie-bystro-i-bez-posledstviy/","section":"post","tags":["1С Предприятие 8.х","Автообмен","РИБ","Синхронизация"],"title":"Как выполнить свертку РИБ 1С:Предприятие быстро и без последствий"},{"body":"ZFS - продвинутая файловая система с огромным количеством возможностей, что, безусловно, привлекает к ней администраторов. Тем более, что в Proxmox VE использовать ZFS действительно просто и для этого вам не потребуются какие-то особые знания. С одной стороны это хорошо - нажал на кнопку и получил результат, с другой - может сыграть злую шутку. Основная проблема использования ZFS в Proxmox - высокое потребление оперативной памяти. Сегодня мы рассмотрим причины этого явления и дадим советы по оптимизации.\nДля начала коснемся некоторых распространенных заблуждений. Бытует мнение, что оперативная память сейчас неприлично дешева и доступна практически каждому. Да, это так, если смотреть на ее цену в прайс-листах, но на самом деле оперативная память - дорогой ресурс. Дело в том, что максимальное количество памяти для системы - конечное значение и бесконечно увеличивать его, в отличие от дискового пространства мы не можем.\nА в системах виртуализации память расходуется очень быстро, поэтому ZFS способна серьезно ухудшить ситуацию и даже стать причиной нестабильной работы гипервизора.\nЕще один распространенный миф - это использование ZFS с памятью без коррекции ошибок ECC. Согласно каноническому тексту это чревато полным разрушением структуры ZFS с потерей данных. На самом деле это не так, дадим слово одному из сооснователей ZFS и ее текущему разработчику Мэтью Аренсу:\nВ ZFS нет ничего особенного, что требует / поощряет использование ECC памяти больше, чем любая другая файловая система.\nПоэтому если вы хотите использовать ZFS вместе с обычным железом, без поддержки ECC - используйте. Все чем вы рискуете - это повреждением данных при записи из памяти на диск, но эти риски будут не выше, чем если бы вы использовали другую файловую систему.\nПерейдем теперь к сути проблемы. Добавив в Proxmox VE хранилище с использованием ZFS администратор сразу же столкнется с резким ростом потребления оперативной памяти. Это происходит потому, что ZFS использует для кеширования до 50% установленной оперативной памяти хоста, что серьезно снижает количество доступной памяти для виртуальных машин.\nДопустим у вас на хосте установлено 64 ГБ ОЗУ, задействовав ZFS у вас останется только 32 ГБ, вычтем отсюда собственное потребление гипервизора и у нас останется всего около 30 ГБ памяти для виртуальных машин. Чем это чревато? Если памяти для всех достаточно, то узел будет продолжать работать, только вот его емкость серьезно уменьшится, развернуть новые виртуальные машины вы уже не сможете.\nЕсли же памяти не хватает, то все может быть значительно хуже. Сначала система уйдет в своп, поэтому важно, чтобы раздел или файл подкачки располагался на быстром носителе - SSD или NVMe, но даже в этом случае просадка производительности неизбежна.\nОшибка! Важно! Не располагайте пространство подкачки на ZFS, это может привести к полной блокировке системы в условиях недостатка памяти.\nВ самом плохом варианте, при критическом дефиците памяти сработает OOM Killer и одна из ваших виртуальных машин будет принудительно остановлена.\nПри этом многие в оценке потребления памяти ориентируются на показания веб-интерфейса Proxmox VE, который не совсем верно отражает действительность. Например, глядя на такое можно подумать, что определенный запас по памяти есть. Реальное состояние дел с распределением памяти вы можете посмотреть командой:\n1free -h В общем, проблема понятна. Какие могут быть решения? Начнем с оптимизации использования памяти виртуальными машинами.\nНастройка KSM KSM (Kernel Same-page Merging) - специальная технология ядра Linux, позволяющая объединять страницы памяти разных процессов, тем самым добиваясь ее экономии, фактически данный процесс можно назвать дедупликацией оперативной памяти. При наличии большого количества однотипных виртуальных машин эффект от использования KSM может быть достаточно ощутимым.\nОбратите внимание! KSM работает только с виртуальными машинами KVM, для контейнеров LXC эта технология не применима.\nKSM сразу включен Proxmox VE, но его настройки могут быть недостаточно оптимальными. Поэтому откроем файл /etc/ksmtuned.conf и ознакомимся с его содержимым. Все опции в нем закомментированы и содержат значения по умолчанию, если мы хотим изменить значение, то строку надо раскомментировать.\nНачнем с двух опций:\n1KSM_THRES_COEF=20 2KSM_THRES_CONST=2048 KSM_THRES_COEF - основной параметр, указывающий при каком объеме оставшейся свободной памяти, начнет работать KSM. Несложно подсчитать, что для системы с 64 ГБ ОЗУ это произойдет после того, как будут заняты 51,2 ГБ памяти. Второй параметр KSM_THRES_CONST указывает аналогичное значение в МБ, вы можете использовать его для более точного задания порогов, при различных значениях параметров сработает самый низкий порог.\nМногим может показаться, что KSM начинает работать слишком поздно, но этому тоже есть своя причина - операция по сравнению и объединению страниц памяти довольно затратна по использованию процессора, поэтому указанные значения - это некоторый разумный компромисс. Если же у вас нет недостатка в процессорных ресурсах, но актуально рациональное использование памяти - можете попробовать изменить эти параметры.\nСледующие два параметра в целом отвечают за нагрузку на CPU:\n1KSM_MONITOR_INTERVAL=60 2KSM_SLEEP_MSEC=100 KSM_MONITOR_INTERVAL - задает промежуток между сканированиями в секундах. Сканирование происходит блоками по 16 ГБ, пауза между этими процессами задается опцией KSM_SLEEP_MSEC. Увеличение этих параметров снижают нагрузку на процессор, но уменьшают эффективность работы KSM.\nМинимальное и максимальное количество страниц, которые будут просканированы и объединены задается параметрами:\n1KSM_NPAGES_MIN=64 2KSM_NPAGES_MAX=1250 Без особой нужды и понимания того, что вы делаете, редактировать их не следует.\nАгрессивность работы KSM задается следующими параметрами:\n1KSM_NPAGES_BOOST=300 2KSM_NPAGES_DECAY=-50 KSM_NPAGES_BOOST определяет какое количество сканируемых страниц будет прибавлено к текущему значению при превышении порога оставшейся свободной памяти, KSM_NPAGES_DECAY, наоборот, уменьшает количество страниц, когда свободной памяти окажется больше, чем установлено в пороговых значениях. Таким образом достигается баланс между количеством сканируемых и объединяемых страниц и необходимым запасом свободной памяти.\nНо приведенные значения совсем не догма и если у вас большое количество однотипных виртуальных машин, то можете поэкспериментировать с настройками KSM, начав с изменения KSM_THRES_COEF.\nПосле внесения изменений не забудьте перезапустить службу командой:\n1systemctl restart ksmtuned При выборе значений будьте благоразумны, помните, что за уплотнение памяти вы платите повышенной нагрузкой на процессор.\nНастройка ARC ARC (Adaptive Replacement Cache, кэш адаптивной замены) - собственный эффективный механизм кеширования ZFS использующий достаточно сложные и эффективные алгоритмы. Основной смысл его работы - максимально исключить обращения к диску на чтение в пользу использования кешированных данных. И чем эффективнее работает ARC, чем больше попаданий в кеш, тем тяжелее становятся его элементы и тем труднее их из памяти вытеснить. В результате ZFS практически всегда будет занимать под ARC все доступное ей пространство. С одной стороны, это хорошо, но не будем забывать, что память - дорогой ресурс, а соверменные хранилища могут состоять из быстрых SSD или NVMe накопителей.\nВ большинстве случаев имеет смысл радикально ограничить ZFS в потреблении памяти, высвободив ее для виртуальных машин.\nКлассическая формула расчета предполагает:\n11 ГБ для хоста + 1 ГБ на 1 ТБ хранилища При этом не рекомендуется использовать значения кеша менее 3 ГБ.\nСовременные рекомендации предполагают большие размеры выделяемой памяти:\n11 ГБ + 4-5 ГБ на 1 ТБ хранилища А если вы используете дедупликацию, то:\n11 ГБ + 5-6 ГБ на 1 ТБ хранилища Исходя из этого и рекомендаций по минимальному размеру можно считать достаточно оптимальным значением для небольших хранилищ размер кеша 4 - 8 ГБ. Размер кеша ZFS задается в байтах и вычислить его можно по формуле:\n1N*1048576*1024 Где N - нужное значение в ГБ.\nЧтобы добавить собственные настройки лимитов ARC создайте, если вы не сделали этого ранее, файл**/etc/modprobe.d/zfs.conf** и откройте его для редактирования. Все это можно сделать одной командой:\n1nano /etc/modprobe.d/zfs.conf Если вы предпочитаете редактор mc, замените nano на mcedit. Если файл не существует, то он будет создан и открыт для редактирования, если существует - просто открыт для редактирования.\nТеперь внесем в него следующие строки, задающие минимальный и максимальный размер кеша:\n1options zfs zfs_arc_min=4294967296 2options zfs zfs_arc_max=8589934592 Затем обновим образ начальной файловой системы:\n1update-initramfs -u Если ваша система использует UEFI, то дополнительно выполните:\n1pve-efiboot-tool refresh После чего выполните перезагрузку.\nРезультат обычно виден сразу и, что называется, невооруженным глазом. Как видим, даже минимальное понимание происходящих процессов и грамотный подход к распределению оперативной памяти дает отличный результат, позволяя использовать все возможности ZFS, не жертвуя столь необходимой для виртуальных машин памятью.\n","id":"dc79c16c599d6a40172d1d05b375e581","link":"https://interface31.ru/post/nastraivaem-ispolzovanie-ram-pri-rabote-s-zfs-v-proxmox-ve/","section":"post","tags":["Proxmox","ZFS","Виртуализация","Производительность"],"title":"Настраиваем использование оперативной памяти при работе с ZFS в Proxmox VE"},{"body":"DHCP-сервер является одним из ключевых элементов сетевой инфраструктуры любого размера и его нормальное функционирование является залогом стабильной работы сети. Одним из способов это обеспечить является создание отказоустойчивой структуры из двух серверов, которые в нормальном режиме балансируют нагрузку, а в случае недоступности одного из серверов обслуживание всех его клиентов переходит к партнеру. В данной статье мы расскажем, как настроить такой сервер на базе ISC DHCP на платформе Linux.\nISC DHCP - один из самых популярных пакетов DHCP-сервера для Linux и Unix-like систем, при этом он прост в настройке и нетребователен к ресурсам. В данной статье мы будем выполнять все действия в среде Debian, и инструкция подойдет для любой современной системы основанной на Debian или Ubuntu, а с поправкой на работу пакетного менеджера - для любых иных Linux дистрибутивов.\nДля облегчения понимания настроек мы подготовили схему, на которой обозначили все ключевые элементы и используемую в примере адресацию. Получение OMAPI-ключа Для взаимодействия серверов между собой в составе отказоустойчивой структуры используется специальный интерфейс Object Management API (OMAPI), который позволяет получать доступ к объектам, расположенным в базе DHCP-сервера (данные об аренде, узлах, группах). в целях безопасности сервера производят взаимную аутентификацию и для этого нам понадобится специальный ключ.\nГенерация ключа производится при помощи утилиты tsig-keygen, которая входит в состав DNS-сервера bind, но не будем же мы его ставить ради единственной, по сути, одноразовой операции. Кстати, если у вас есть установленный bind, то вы можете выполнить генерацию ключа на нем. Но мы пойдем другим путем. Создадим в домашней директории суперпользователя временную папку и перейдем в нее:\n1mkdir /root/tmp 2cd /root/tmp Теперь скачаем и распакуем содержимое пакета bind9, чтобы не вводить полное имя пакета во второй команде воспользуйтесь автоматической подстановкой по клавише Tab:\n1apt download bind9 2dpkg-deb -xv bind9_1%3a9.16.27-1~deb11u1_amd64.deb /root/tmp Перейдем в каталог с нужными бинарниками:\n1cd usr/sbin И выполним генерацию ключа:\n1./tsig-keygen DHCP.OMAPI \u0026gt; /root/dhсp_omapi.key После чего временную папку со всем содержимым можно удалить, она нам больше не понадобится:\n1rm -rf /root/tmp Посмотреть содержимое ключа можно командой:\n1cat /root/dhсp_omapi.key В выводе вы должны увидеть следующее:\n1key \u0026#34;DHCP_OMAPI\u0026#34; { 2 algorithm hmac-sha256; 3 secret \u0026#34;3Vx8hd3OWNWudoJlq3bvvnnwv0H8n44ZdwCoTkFVPHo=\u0026#34;; 4}; Здесь нас интересуют две вещи: алгоритм хеширования - HMAC-SHA256 и собственно ключ, который находится в кавычках в строке secret. Следует отметить, что многие инструкции в сети интернет предлагают использовать для получения ключа утилиту dnssec-keygen и алгоритм HMAC-MD5, не будем говорить за все дистрибутивы, но в последних версиях Debian / Ubuntu данная утилита не поддерживает хеш-алгоритмы. Про HMAC-MD5 мы даже говорить не будем, по сегодняшним меркам это слабый криптоалгоритм, поэтому мы будем делать все правильно.\nНастройка первичного DHCP-сервера Отказоустойчивый DHCP-сервер строится по схеме первичного и вторичного узлов, которые могут работать как в режиме балансировки нагрузки (рекомендуется), так и в режиме горячего резерва. Отвечающие за это настройки мы рассмотрим ниже, а пока установим сам пакет ISC DHCP:\n1apt install isc-dhcp-server После чего перейдем к редактированию конфигурационного файла, он в основном содержит некоторые общие параметры и закомментированные примеры, поэтому мы оставим в нем только общие настройки, а все остальные вынесем во внешние файлы. Откроем /etc/dhcp/dhcpd.conf, найдем и раскомментируем в нем следующую опцию:\n1authoritative; Она включает \u0026quot;авторитетность\u0026quot; сервера, в этом случае получив запрос на адрес, не принадлежащий текущей сети, сервер ответит сообщением DHCPNAK, которое предлагает клиенту отказаться от адреса и запросить новый. Это позволяет быстрее получать адреса мобильным клиентам, которые до этого были подключены к другой сети.\nЗатем в самый конец файла добавляем:\n1omapi-port 7911; 2omapi-key omapi_key; 3key omapi_key { 4 algorithm hmac-sha256; 5 secret 3Vx8hd3OWNWudoJlq3bvvnnwv0H8n44ZdwCoTkFVPHo=; 6} Вот здесь нам и понадобятся данные, полученные на предыдущем шаге, правильно указываем хеш-алгоритм и прописываем полученный ключ.\nТакже подключим внешние файлы конфигурации, мы разделили их на три части: конфигурация отказоустойчивости, настройки зоны и записи о резервировании. Хранить мы их будем в отдельной директории. Добавляем в конец файла еще три строки:\n1include \u0026#34;/etc/dhcp/dhcpd.d/failover.conf\u0026#34;; 2include \u0026#34;/etc/dhcp/dhcpd.d/subnet.conf\u0026#34;; 3include \u0026#34;/etc/dhcp/dhcpd.d/static.conf\u0026#34;; Сохраняем файл и перейдем к созданию внешних файлов и директорий:\n1mkdir /etc/dhcp/dhcpd.d 2cd /etc/dhcp/dhcpd.d 3touch failover.conf subnet.conf static.conf Начнем с /etc/dhcp/dhcpd.d/failover.conf, в котором мы будем хранить конфигурацию отказоустойчивой группы, внесем в него следующий текст:\n1failover peer \u0026#34;failover-dhcp\u0026#34; { 2 primary; 3 address 192.168.72.11; 4 port 647; 5 peer address 192.168.72.12; 6 peer port 647; 7 max-response-delay 60; 8 max-unacked-updates 10; 9 mclt 3600; 10 split 128; 11 load balance max seconds 3; 12} Самой первой строкой мы указываем тип сервера - primary - первичный. Затем следует адрес и порт сервера, адрес и порт партнера. Для работы используется порт 647, который специально используется для DHCP-FAILOVER. опция max-response-delay указывает на максимально допустимое расхождение времени между двумя узлами.\nДва следующих параметра должны быть указаны только на первичном сервере.\nmclt (максимальное время обслуживания клиента) - он показывает в течении какого времени сервер, находящийся в состоянии обработки отказа, будет ждать восстановления связи с партнером, по его истечении контроль за распределением IP-адресов полностью переходит под управление оставшегося сервера. split - задает параметры разделения пула адресов между серверами. Может иметь значения от 0 до 256, при значении в 128 пул будет разделен 50/50, и нагрузка будет равномерно балансироваться между серверами. Если указать 256, то весь пул будет управляться первичным сервером, а вторичный сервер перейдет в режим горячей замены. Следующий конфигурационный файл /etc/dhcp/dhcpd.d/subnet.conf хранит в себе параметры области:\n1subnet 192.168.72.0 netmask 255.255.255.0 { 2 option subnet-mask 255.255.255.0; 3 option routers 192.168.72.1; 4 option domain-name-servers 192.168.72.1; 5 default-lease-time 28800; 6 max-lease-time 86400; 7 pool { 8 failover peer \u0026#34;failover-dhcp\u0026#34;; 9 range 192.168.72.100 192.168.72.199; 10 } 11} Настройки области предельно просты, мы предлагаем клиентам самый базовый набор опций: маску сети, адрес маршрутизатора и адрес(а) DNS-серверов. С полным перечнем и синтаксисом всех доступных опций вы можете ознакомиться в данном разделе документации.\nОтдельно обратим внимание на опции default-lease-time - время аренды, выдаваемое по умолчанию и max-lease-time - максимальное время аренды, которое может быть выдано по запросу клиента. Если клиент не запрашивает конкретное время аренды ему будет выдан адрес на время, указанное в параметре по умолчанию, иначе - желаемое время, но не превышающее максимальное. В нашем случае это 8 часов и сутки.\nВ секции pool указываем диапазон адресов к выдаче и ссылку на отказоустойчивую группу. Если пулов несколько - то указываем отказоустойчивые группы для каждого из них, при этом разные пулы могут обслуживать разные пары серверов.\nИ, наконец, последний файл /etc/dhcp/dhcpd.d/static.conf, здесь мы будем хранить резервирование IP-адресов, по мере надобности добавляем в него секции:\n1host myhost { 2 hardware ethernet 08:45:32:00:00:23; 3 fixed-address 192.168.72.121; 4} В данном случае мы зарезервировали за устройством с MAC-адресом 08:45:32:00:00:23 IP-адрес 192.168.72.121.\nПроверим правильность конфигурации:\n1dhcpd -t -cf /etc/dhcp/dhcpd.conf И при отсутствии ошибок обязательно перезагрузим сервер.\nДля управления службой используйте\n1systemctl start|stop|restart|status isc-dhcp-server Убедившись, что служба запущена и работает без ошибок, перейдем к настройке второго сервера.\nНастройка вторичного DHCP-сервера Настройки обоих серверов должны быть полностью идентичны, за исключением настроек отказоустойчивой группы, поэтому можете выполнить все настройки аналогично предыдущей части статьи или просто скопировать конфигурационные файлы с первичного сервера на вторичный. Все изменения также должны вноситься синхронно. Поэтому мы и разделили конфигурацию на несколько внешних файлов: если вы внесли изменения в настройки области или добавили новые резервирования - просто скопируйте соответствующий файл с первичного сервера на вторичный.\nВнести изменения нам потребуется только в файл /etc/dhcp/dhcpd.d/failover.conf, он должен иметь следующее содержимое:\n1failover peer \u0026#34;failover-dhcp\u0026#34; { 2 secondary; 3 address 192.168.72.12; 4 port 647; 5 peer address 192.168.72.11; 6 peer port 647; 7 max-response-delay 60; 8 max-unacked-updates 10; 9 load balance max seconds 3; 10} Первая строка указывает что это вторичный сервер - secondary, затем следуют адрес и порт сервера и его партнера, за ними остальные опции, которые остаются без изменений.\nСохраняем настройки, проверяем их и перезагружаем сервер. Теперь нашу область будут обслуживать сразу оба сервера, балансируя нагрузку между собой. Для проверки по очереди выключаем сервера и убеждаемся, что оставшийся сервер берет на себя обслуживание клиентов.\nНастройка брандмауэра Если на ваших узлах включен брандмауэр iptables, то вам потребуется добавить в него два разрешающих правила:\n1iptables -A INPUT -p udp -m state --state NEW -m udp --dport 67 -j ACCEPT 2iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 647 -j ACCEPT Второе правило можно немного изменить, разрешив серверам принимать соединения только друг от друга:\n1iptables -A INPUT -s 192.168.72.12 -p tcp -m state --state NEW -m tcp --dport 647 -j ACCEPT Где -s 192.168.72.12 - адрес сервера-партнера. Данные правила должны располагаться выше правила, запрещающего все входящие соединения.\nДополнительно В завершение заглянем в /etc/default/isc-dhcp-server, здесь нас будут интересовать две последние опции в файле:\n1INTERFACESv4=\u0026#34;eth0\u0026#34; 2#INTERFACESv6=\u0026#34;\u0026#34; В первой из них желательно задать интерфейс (можно несколько) на которых ваш DHCP-сервер будет принимать запросы, это важно, если интерфейсов более одного. Вторая опция отвечает за работу c IPv6, если вы не работаете с этим протоколом и не настраивали обработку IPv6 запросов, то просто отключите шестую версию закомментировав эту строку.\n","id":"dbad7204eecb6ede72b78b481ffdf4ab","link":"https://interface31.ru/post/nastraivaem-otkazoustoychivyy-dhcp-server-na-baze-isc-dhcp/","section":"post","tags":["Debian","DHCP","Failover","High availability","Linux","Ubuntu Server","Сетевые технологии"],"title":"Настраиваем отказоустойчивый DHCP-сервер на базе ISC DHCP"},{"body":"Как получить информацию об оборудовании, установленном в вашем ПК или сервере? Можно просто открыть крышку корпуса и посмотреть. Но это не всегда возможно, да и не нужно, ведь есть столько разных утилит, которые быстро выдадут вам всю необходимую информацию с нужной степенью детализации. Но все меняется если перед нами Linux и из интерфейсов доступна только командная строка, есть от чего растеряться. Но не стоит впадать в уныние, нужная информация всего лишь в нескольких командах от вас и сегодня мы о них расскажем.\nСразу уточним постановку задачи - нас не интересуют напряжения, температуры и прочие режимы работы оборудования, сегодня нам нужно максимально подробно узнать какое именно оборудование установлено в компьютере, например, модель материнской платы, процессора, планок памяти. Это часто бывает нужно при апгрейдах, покупке запасных частей, инвентаризациях оборудования.\ndmidecode Существует специальный программный интерфейс (API), позволяющий получать информацию об аппаратном устройстве компьютера - DMI (Desktop Management Interface). Для работы с ним в Linux предназначена специальная утилита dmidecode, которая представлена во многих дистрибутивах по умолчанию. Работать с ней очень просто, запускаем и внимательно изучаем вывод:\n1dmidecode Предупреждаем сразу, информации будет много, но вся она полезная, допустим мы хотели узнать модель материнской платы, вот она, даже серийный номер присутствует: Однако можно упростить себе жизнь и получить информацию только об интересующем типе оборудования, для этого запустите команду с ключом -t и она покажет вам доступные опции:\n1dmidecode -t Например, получим информацию о памяти:\n1dmidecode -t memory Утилита покажет нам сначала общую информацию о конфигурации ОЗУ компьютера: количество слотов, максимальный объем памяти, а затем подробности по каждой установленной планке памяти, включая ее модель и серийный номер, а также номер слота, в которую она установлена, паспортную скорость и текущий скоростной режим. Также с ее помощью удобно смотреть информацию по слотам материнской плате. Вы получите их список в порядке расположения на плате, типы слотов, режимы, например, для PCIe - количество подведенных линий, а также состояние слота - занят или свободен. Это удобно, если вы хотите докупить какое-то устройство или контроллер, но не помните есть ли у вас свободный слот с нужным количеством линий. В большинстве случаев возможностей dmidecode с лихвой хватает чтобы выяснить что находится под крышкой вашего компьютера и что еще туда можно поставить.\nlshw Если же вы хотите знать больше - на помощь придет утилита lshw (Linux Hardware Lister), которая выдает большое количество подробной информации об аппаратном обеспечении.\nДля установки утилиты воспользуйтесь командой:\n1apt install lshw Первый запуск лучше выполнить с ключом -short для получения краткой информации обо всех устройствах компьютера:\n1lshw -short В отличии от dmidecode здесь мы видим больше технической информации об установленных в систему контроллерах и подключенных к ним устройствах, например мы видим, что есть 6-портовый SATA-контроллер от Intel куда подключен SSD от Samsung.\nБез ключа утилита покажет вам большое количество самой подробной информации о перечисленных устройствах. Например, о памяти: Утилита точно также позволяет вывести только часть информации, для этого используйте ключ -class с указанием класса, его можно посмотреть в соответствующей колонке короткого вывода, скажем для памяти:\n1lshw -class memory Еще одной интересной возможностью является ключ -sanitize, который позволяет убрать из вывода всю персональную информацию - серийные номера и т.п.\n1lshw -class memory -sanitize Также нельзя переоценить возможность выводить данные в форматах HTML или XML, что удобно, если вам нужно их кому-то предать или обрабатывать в стороннем ПО. Для вывода в HTML-файл используйте:\n1lshw -html \u0026gt; ~/lshw_info.html Полученный файл вполне удобочитаем и иерархически структурирован: Для вывода в XML просто измените ключ, также можете комбинировать любые иные доступные ключи, например:\n1lshw -xml -sanitize \u0026gt; ~/lshw_info.xml Если вы забыли синтаксис, наберите:\n1lshw -info Конечно же, набор утилит для получения информации об установленном оборудовании не исчерпывается, но данные утилиты, на наш взгляд, наиболее простые и удобные, а также позволяют полностью решить поставленную задачу.\n","id":"3ddce7fd54b281c35a755462d7502779","link":"https://interface31.ru/post/linux-nachinayushhim-kak-poluchit-informaciyu-ob-oborudovanii-pk/","section":"post","tags":["Debian","Linux","Ubuntu","Ubuntu Server","Рабочее место"],"title":"Linux - начинающим. Как получить информацию об оборудовании ПК"},{"body":"Современные системы выдвигают совершенно иные требования к точному времени, чем могут обеспечить аппаратные часы компьютера. На время завязаны службы криптографии и аутентификации, системы контроля доступа и видеонаблюдения, финансовые системы и кассовые узлы. Поэтому важно, чтобы время на всех узлах инфраструктуры было не только точным, но и одинаковым. А при работе распределенных структур также требуется правильно настроить часовые пояса. В Linux это можно сделать разными способами, но зачем, если есть штатное решение на базе systemd-timesyncd.\nУ многих администраторов существует предвзятое отношение к systemd, хотя следует признать, что именно systemd сделал работу с системой проще и доступнее. И, тем более, бессмысленно отрицать то, что сегодня systemd - это фактически отраслевой стандарт, применяемый всеми ведущими дистрибутивами.\nЕще более глупо игнорировать стандартные инструменты systemd, предназначенные для решения прикладных задач, одной из которых является синхронизация времени. Но, как показывает практика, не все администраторы знают о такой возможности и часто пытаются решить эту задачу при помощи стороннего ПО.\nВо многих современных дистрибутивах systemd-timesyncd обычно уже работает из коробки и настроен на синхронизацию с собственными серверами времени. Выяснить это несложно, сначала узнаем статус службы:\n1systemctl status systemd-timesyncd А затем можем уточнить текущее состояние синхронизации часов:\n1timedatectl status Как можно увидеть из вывода первой команды служба синхронизации работает и включена ее автозагрузка, ниже, в строках лога видно, что выполнена синхронизация с одним из серверов debian.pool,ntp.org. Вторая команда показывает текущее время, часовой пояс, а также то, что синхронизация с помощью systemd-timesyncd включена.\nВажный момент, если у вас в системе установлено стороннее ПО, такое как ntpd, openntp, chrony, то systemd-timesyncd будет автоматически отключен, для его использования вам потребуется удалить сторонние пакеты для синхронизации времени.\nЧтобы включить использование systemd-timesyncd для синхронизации времени следует выполнить команду:\n1timedatectl set-ntp true А для добавления службы в автозагрузку, вместе с одновременным запуском, выполните:\n1systemctl enable --now systemd-timesyncd А теперь перейдем к тонкой настройке службы, для этого откроем ее конфигурационный файл /etc/systemd/timesyncd.conf, он очень прост, нам следует раскомментировать и заполнить следующие две опции:\n1NTP = 192.168.111.101 192.168.111.102 2FallbackNTP = 0.ru.pool.ntp.org 1.ru.pool.ntp.org Опция NTP содержит список серверов (IP или FQDN) с которыми следует выполнять синхронизацию, в нашем случае мы указали некие локальные сервера времени, если указанные узлы недоступны, то служба попытается выполнить синхронизацию с серверами, перечисленными в опции FallbackNTP.\nНо есть еще один тонкий момент. Если компьютер получает адрес NTP-сервера через DHCP, то он будет иметь наивысший приоритет и использоваться для синхронизации в первую очередь, в случае его недоступности будет выполняться синхронизация с серверами, указанными в директиве NTP, а если недоступны и они, тогда в действие вступят сервера из FallbackNTP.\nТаким образом можно построить многоуровневую систему синхронизации времени и быть уверенным, что узел откуда-нибудь, но подведет свои часы.\nПосле внесения изменений в конфигурационный файл не забудьте перезапустить службу:\n1systemctl restart systemd-timesyncd Также systemd-timesyncd позволяет легко работать с датой/временем и часовым поясом. Допустим нам по какой-то причине потребовалось изменить системное время на произвольное. Все очень просто. Прежде всего выключим синхронизацию:\n1timedatectl set-ntp false Затем установим нужную дату и время командой:\n1timedatectl set-time \u0026#34;2022-07-06 23:00:00\u0026#34; Для того, чтобы вернуться к синхронизированному времени еще раз выполните:\n1timedatectl set-ntp true Нужно изменить часовой пояс? Тоже нет никаких проблем, сначала получим список всех поясов:\n1timedatectl list-timezones Для пролистывания списка используйте пробел. После того, как вы нашли название нужного вам часового пояса выполните:\n1timedatectl set-timezone Asia/Yekaterinburg И тут же проверим, что часы перевелись:\n1timedatectl status Как видим, systemd-timesyncd предоставляет простые, но эффективные инструменты для синхронизации времени и каждый системный администратор должен уметь с ними работать вне зависимости от своего личного отношения к systemd.\n","id":"c9ddfe69d297f20f2d0410a760fd90aa","link":"https://interface31.ru/post/sinhronizaciya-vremeni-s-vneshnim-istochnikom-pri-pomoshhi-systemd-timesyncd/","section":"post","tags":["Debian","NTP","systemd","Ubuntu","Ubuntu Server"],"title":"Синхронизация времени с внешним источником при помощи systemd-timesyncd"},{"body":"Виртуальные машины прочно вошли в нашу жизнь и принесли с собой новые подходы к управлению ресурсами, а также новые потенциальные проблемы. Это не хорошо и не плохо, так и должно быть, сильные и слабые стороны есть у любого решения, и задача хорошего специалиста знать о них и играть от сильных сторон. Но тем не менее не все обладают нужным набором знаний и даже не представляют куда смотреть, если ресурсы, выделенные виртуальной машине, ведут себя непредсказуемо, в первую очередь это касается оперативной памяти.\nКуда пропала моя память? Разберем один недавний случай, с которым к нам обратился один коллега. После перевода всей инфраструктуры на виртуальные машины он задумался отказаться от стационарного рабочего места в пользу нескольких виртуальных машин, каждая из которых предполагалась к управлению своей частью инфраструктуры.\nИ вроде бы все шло хорошо, пока он не начал выполнять на этой виртуалке некоторые тяжелые задачи, после чего был выявлен недостаток свободной оперативной памяти. И это при том, что на машине стоял практически чистый Windows с набором инструментов администрирования, а в автозагрузку добавился только Яндекс.Диск. Так куда же делась оперативная память? Обычно в таких случаях начинают искать процессы с непомерным потреблением, но в нашем случае и диспетчер задач и монитор ресурсов никакой аномалии не видели, только вот согласно их данным оперативной памяти должно быть занято значительно меньше, всего-то около 1,5 ГБ. Ладно, перейдем к тяжелой артиллерии, следующая команда PowerShell покажет число запущенных в системе процессов и общий объем занимаемой ими памяти:\n1Get-Process | measure PM -sum Если вы не хотите пересчитывать память из байтов в мега и гигабайты, то можно воспользоваться следующим \u0026quot;заклинанием\u0026quot;, которое просто покажет объем занятой всеми процессами памяти в МБ:\n1$mem = 0; Get-Process | %{$mem += $_.pm}; \u0026#34;{0:N2}MB \u0026#34; -f ($mem/1mb) Но и тут мы ничего нового не узнали, запущенные процессы занимают всего около 1,5 ГБ: А где же тогда остальная память? Самое время поверить в мистику и всякие теории заговора о скрытой жизни под капотом Windows, но не будем спешить с выводами, а возьмем в руки утилиту RAMMap от Sysinternals. После чего начинает приходить первое понимание: Обратить внимание следует на строку Driver Locked - это память заблокированная под собственные нужны драйвером операционной системы, в нашем случае это как раз и есть те \u0026quot;пропавшие\u0026quot; 2 ГБ. Почему так происходит? Давайте разбираться.\nДинамическая память Практически все современные гипервизоры предоставляют возможность динамического выделения памяти виртуальным машинам, это Memory Ballooning в KVM (Proxmox и VMWare) или Dynamic Memory в Hyper-V. Но не все имеют четкое понимание того, как работает эта технология. На первый взгляд все просто, мы запустили виртуалку с некоторым минимальным объемом памяти, но если ей в процессе работы понадобится больше - то гипервизор выделит ей в пределах указанных лимитов.\nДа, все это так, но в условиях конечного количества ресурса - оперативной памяти, чтобы кому-то что-то выделить, надо сначала это у кого-то забрать. А у кого? У того, кому сейчас это не нужно. Но если мы можем на лету увеличить количество оперативной памяти в виртуальной машине, то уменьшить ее без перезагрузки мы не можем и тут вступает в действие механизм принудительного захвата памяти.\nСпециальный драйвер, отвечающий за динамическую память как бы надувает в оперативке фиктивный шар (baloon), который будет считаться занятым и, следовательно, недоступным системе. Отсюда и пошло название этого механизма - Ballooning. А так как системе этот объем памяти недоступен, то гипервизор может отдать его другой виртуальной машине, либо использовать на собственные нужды.\nПри этом работа этого механизма довольно неочевидна, и система динамической памяти может заблокировать некоторый объем даже при наличии достаточно количества памяти на гипервизоре, просто потому что она не используется виртуалкой, и чтобы иметь необходимый резерв.\nПоэтому, если у вас включена динамическая память и какое-то ее количество оказывается в состоянии Driver Locked - это нормально, однако при необходимости и при наличии на хосте свободной оперативной памяти она должна выделяться для текущей виртуальной машины.\nГостевые устройства Однако в нашем случае память не выделялась и вообще Ballooning был выключен. Поэтому будем искать дальше. Следующие на очереди - гостевые устройства, которые эмулируются гипервизором и используются виртуальном машиной вместо реального оборудования. Обычно для их работы следует установить специальные гостевые драйвера, но некоторые виртуальные устройства могут работать и со стандартными драйверами. Мы сначала хотели написать - нормально работать, но отказались от такой формулировки, потому что данная проблема лежала именно в таком \u0026quot;нормально\u0026quot; работающем устройстве со стандартным драйвером.\nВиновником всего происходящего оказался Базовый видеоадаптер Microsoft, выяснено это было эмпирическим путем, так как на все остальное, кроме него, гостевые драйвера стояли. Поэтому мы вручную установили для видеоадаптера драйвер из состава VirtIO (гипервизор Proxmox). Перезагружаемся и видим вполне реальную картину потребления памяти: И никакой мистики, тайн, интриг и срывов покровов - просто один неправильно работающий драйвер.\nВыводы Работая с виртуальными машинами, следует понимать, что многие подходы, привычные по обычному железу, здесь не работают, хотя и на обычном железе стандартный драйвер способен принести ряд проблем. В любом случае обязательно устанавливайте и обновляйте гостевые драйвера, если даже особой необходимости в этом не видно. Как показывает практика - гостевые драйвера не просто так придуманы.\nВторой момент - это сугубо виртуальные технологии, такие как динамическая память, применяя их вы должны понимать для чего вы это делаете и иметь представление, хотя бы в общих чертах, о механизмах их работы. В подавляющем большинстве случаев, при использовании данных механизмов, инструменты ОС будут показывать \u0026quot;неверное\u0026quot; количество свободной памяти.\nТакже следует понимать применимость данных технологий, динамическая память хорошо помогает в кратковременных ситуациях, требующих повышенного расхода оперативной памяти, если же памяти для всех виртуальных машин действительно недостаточно, то никакая динамическая память вам не поможет, сколько не говори халва - слаще во рту не станет.\nПоэтому применяйте технологии виртуализации благоразумно и постарайтесь хотя бы в общих чертах понимать механизмы их действия, чтобы правильно интерпретировать поведение системы и отличать нормальные ситуации, от действительных проблем.\n","id":"9bbf49c8f944478451b8b856b25b354c","link":"https://interface31.ru/post/nekotorye-osobennosti-ispol-zovaniya-operativnoy-pamyati-v-virtual-nyh-mashinah-windows/","section":"post","tags":["Hyper-V","Proxmox","Windows","Windows Server","Виртуализация","Производительность"],"title":"Некоторые особенности использования оперативной памяти в виртуальных машинах Windows"},{"body":"Защита от вредоносного ПО - задача номер один для многих системных администраторов и компьютеры под управлением Linux не исключение. Будучи сами не подвержены заражению многими видами вредоносов они могут стать в смешанных средах их рассадником, особенно это касается файловых серверов. Популярным антивирусным ПО в Linux является ClamAV и начиная с версии 0.99 он умеет работать в режиме монитора, проверяя файлы в момент доступа к ним. Таким образом можно организовать сканирование в реальном времени без привлечения сторонних средств и сегодня мы расскажем как.\nАльтернативой On Access Scanning долгое время являлось использование специальной файловой системы ClamFS, работающей через FUSE. Так как FUSE работает в пользовательском пространстве и вносит дополнительные уровни абстракции это может вызвать снижение производительности, кроме того, у вас могут возникнуть затруднения при использовании виртуализации, в частности контейнеров.\nOn Access Scanning реализуется полностью средствами ClamAV и не требует дополнительных прослоек, требования: ядро начиная с версии 3.8 и ClamAV версии 0.99 и выше. Как видим, все современные системы этому соответствуют, и мы не видим смысла отказываться от столь удобного инструмента. В нашем примере мы настроим сканирование в реальном времени для общей папки на файловом сервере под управлением Debian 11, но инструкция будет справедлива для любых других дистрибутивов на основе Debian или Ubuntu и работающих под управлением systemd.\nУстановим необходимые пакеты:\n1apt install clamav-daemon В настоящее время официальные зеркала с обновлениями ClamAV заблокированы для пользователей из РФ, поэтому заменим зеркала на приватные или общедоступные с открытым доступом, мы используем зеркало, рекомендованное разработчиками РЕД ОС, для этого откройте файл /etc/clamav/freshclam.conf и добавьте туда строку:\n1DatabaseMirror https://pivotal-clamav-mirror.s3.amazonaws.com Все остальные строки с зеркалами нужно закомментировать. После чего следует удалить файл freshclam.dat и перезапустить службу:\n1rm -f /var/lib/clamav/freshclam.dat 2systemctl restart clamav-freshclam Теперь приступим к настройке On Access Scanning, для этого откроем файл /etc/clamav/clamd.conf и спустимся в самый его конец, там уже есть опция:\n1OnAccessMaxFileSize 5M Которая ограничивает максимальный размер файла для проверки на лету, отредактируйте под свои потребности.\nСледующие опции мы будем добавлять в конец файла, для начала укажем что мы будем проверять, это может быть точка монтирования, тогда проверяться будет вся смонтированная файловая система, однако этот вариант накладывает существенные ограничения, о которых поговорим ниже:\n1OnAccessMountPath /samba Либо директория:\n1OnAccessIncludePath /samba/public Таких опций может быть несколько, если директория входит в точку монтирования, то опция будет проигнорирована. Путь должен указывать на существующую точку монтирования или папку, символические ссылки работать не будут.\nДля исключения директории используйте опцию:\n1OnAccessExcludePath /samba/public/scan Также можно исключить проверку файла при обращении к нему указанного пользователя:\n1OnAccessExcludeUID 0 В данном случае если с файлами работает суперпользователь (UID 0), то они проверяться не будут. Это может быть полезно, чтобы исключить проверку файлов, с которыми работает сервер 1С, для этого нужно выяснить UID пользователя под которым он запущен и указать его в данной опции.\nВместо UID можно использовать имя пользователя, обязательно добавьте в исключение пользователя clamav, чтобы он мог работать с зараженными файлами:\n1OnAccessExcludeUname clamav Также ClamAV умеет блокировать файл и все инициированные им процессы до окончания проверки, это позволяет эффективно проверять и блокировать при необходимость активность файла при попытке его запуска.\n1OnAccessPrevention yes Следующая настройка позволяет более эффективно проверять файлы при их создании, перемещении или переименовании:\n1OnAccessExtraScanning yes Внимание! Важно! Обратите внимание что опции OnAccessPrevention и OnAccessExtraScanning не работают совместно с использованием OnAccessMountPath!\nТаким образом, если вы хотите использовать максимум возможностей ClamAV следует отказаться от подключения точек монтирования и использовать только директории.\nПример минимальной конфигурации:\n1OnAccessMaxFileSize 5M 2OnAccessIncludePath /samba/public 3OnAccessExcludeUname clamav 4OnAccessPrevention yes 5OnAccessExtraScanning yes Сохраняем файл конфигурации и выходим из него.\nДля работы антивирусного монитора как службы создадим для него юнит systemd:\n1nano /etc/systemd/system/clamav-onaccess.service И внесем в него следующий текст:\n1[Unit] 2Description=ClamAV On Access Scanner 3Requires=clamav-daemon.service 4After=clamav-daemon.service syslog.target network.target 5 6[Service] 7Type=simple 8User=root 9ExecStart=/usr/sbin/clamonacc -F --fdpass --log=/var/log/clamav/clamav-onaccess.log --move=/samba/quarantine 10Restart=on-failure 11RestartSec=7s 12 13[Install] 14WantedBy=multi-user.target В настройках юнита мы указали файл лога и директорию для карантина, их следует предварительно создать. При этом карантин должен располагаться в пределах одного раздела с проверяемыми данными иначе вы будете получать в логах ошибку:\n1Error:Invalid cross-device link Для создания объектов используйте команды:\n1touch /var/log/clamav/clamav-onaccess.log 2mkdir /samba/quarantine Перечитаем список юнитов systemd:\n1systemctl daemon-reload И запустим нашу службу:\n1systemctl start clamav-onaccess И убедимся, что она запущена и работает без ошибок:\n1systemctl status clamav-onaccess Теперь можно проверить работу самого антивируса, для этого будем использовать тестовый вирус EICAR, Это абсолютно безопасный файл содержащий специальную сигнатуру, на которую должен срабатывать любой антивирус. Вы можете скачать любой вариант и попробовать разместить его на файловом сервере, если монитор работает, то файлы будут немедленно обнаружены и удалены.\nТеперь проверим работу опции OnAccessExtraScanning, создадим на общем ресурсе новый текстовый документ и внесем в него сигнатуру EICAR, после сохранения файл должен сразу отправится в карантин. Если заглянуть в файл лога, то увидим там полный отчет по нашим действиям c тестовой сигнатурой: Убедившись, что все работает как надо, добавим нашу службу в автозагрузку:\n1systemctl enable clamav-onaccess Теперь наш сервер стал еще немного безопаснее, даже несмотря на спорную эффективность ClamAV, потому что даже простой антивирус это всегда лучше полного его отсутствия.\n","id":"f6b943472ec743a4571ac4c0b682a914","link":"https://interface31.ru/post/nastraivaem-antivirusnuyu-zashhitu-v-real-nom-vremeni-na-osnove/","section":"post","tags":["ClamAV","Debian","Samba","systemd","Ubuntu","Ubuntu Server","Антивирус","Безопасность"],"title":"Настраиваем антивирусную защиту в реальном времени на основе ClamAV On Access Scanning"},{"body":"Внедрение маркировки набирает обороры, что вносит новые требования как к программному обеспечению, так и используемому для автоматизации оборудованию. Одним из важных элементов в этом сегменте является сканер штрих-кодов. Из всего многообразия продуктов на рынке мы отдельно выделям продукцию марки Mindeo, которая отличается доступной ценой и высокими характеристиками. Кроме того, производители постоянно совершенствуют внутреннее ПО сканера, регулярно выпуская новые прошивки, делая упор именно на улучшение считывания кодов маркировки и сегодня мы разберемся как прошивку сканера обновить.\nВпервые с оборудованием Mindeo мы столкнулись в 2020 году, когда на волне ажиотажа возник дефицит 2D сканеров штрих-кода и наш поставщик посоветовал взять именно их. Сканеры оказались приятным открытием и кроме достаточно низкой цены порадовали уверенным считыванием различных видов штрих-кодов даже поврежденных или в условиях, затрудняющих считывание (бликующий, мятый, запотевший, выцветший). Ознакомиться с материалами нашего тестирования можно в статье:\nРекомендуем к прочтению Сравнительное тестирование сканеров штрих-кода Datalogic QW2420, Youjie YJ4600 и Mindeo MD6600-HD В последующие годы сканеры Mindeo прочно заняли у нас позицию сканера по умолчанию и этому во многом способствовала позиция производителя и их региональных представителей. Модели семейства MD6ххх изначально нацелены на отечественный рынок и маркировку, что позволяет просто использовать эти сканеры из коробки, без дополнительных настроек.\nПри возникновении затруднений со считыванием вы можете обратиться в поддержку, предоставив им образцы штрих-кодов и с высокой долей вероятности в следующей прошивке сканер будет читать их гораздо более уверенно. В этом основное отличие Mindeo от западных брендов, этот производитель держит руку на пульсе отечественного рынка и постоянно дорабатывает продукцию.\nПоэтому очень важно держать прошивку вашего сканера в актуальном состоянии, особенно если вы работаете с маркировкой. Обновление прошивки - процесс достаточно несложный, но есть отдельные тонкости, на которых мы и остановимся в нашей статье.\nВсе прошивки и утилита для обновления представлены на официальном русскоязычном сайте в разделе загрузок. Обратите внимание, что линейка MD6xxx представлена сериями Mindeo MD6600 и Mindeo MD6600S. Просто так отличить одну серию от другой у вас не получится, информация на шильдике никак не добавляет ясности. Поэтому воспользуемся специальным служебным штрих-кодом, который покажет нам номер текущей прошивки, для этого просто считайте его в Блокнот или любой иной текстовый редактор. 1MD6600_APP_V2.1.7_Release/S1.5.1383.0/A2.6.297.2 Если вы получили версию V1.X.X - то у вас серия MD6600, если же V2.X.X - то MD6600S. Производитель предупреждает:\nСканер может быть поврежден в случае использования некорректного файла, гарантийный ремонт в этом случае не осуществляется.\nНа практике все не так печально, скажем прошив в MD6600S прошивку от MD6600 вы получите постоянный зеленый луч, но сканер можно будет без проблем прошить обратно, но все равно лучше не рисковать.\nКачаем нужную версию прошивки и утилиту для ее обновления, затем следует перевести сканер в режим обновления, для этого отключите его от ПК, зажмите клавишу сканирования и подключите снова. После того как сканер издаст звуковой сигнал и загорится везде зеленым клавишу можно отпустить. Признаком нахождения сканера в режиме прошивки является яркое зеленое свечение индикаторов. Затем запускаем утилиту обновления и указываем в ней: Firmware - APP, Interface - USB и путь к скачанному файлу прошивки, после чего нажмите клавишу Upgrade, во время обновления не отключайте сканер от ПК. Обратите внимание, даже если вы используете сканер в режиме эмуляции виртуального COM-порта, то после перехода в режим прошивки он будет определяться по физическому интерфейсу, т.е. USB.\nПосле окончания прошивки снова отключите и подключите сканер, он перейдет в рабочий режим, признак этого тусклое синее свечение индикаторов. После прошивки рекомендуется выполнить сброс сканера к заводским установкам, для это считайте служебный штрих-код: Для работы с маркировкой рекомендуется выполнить дополнительные настройки, последовательно считав следующие управляющие коды: Первый код в приведенной последовательности также сбрасывает настройки сканера к заводским установкам, поэтому предыдущий шаг вы можете пропустить.\n","id":"d6f0c9c100aebd4f4ca9638af270aebc","link":"https://interface31.ru/post/obnovlenie-proshivki-skanerov-shtrih-koda-mindeo-md6hhh/","section":"post","tags":["Автоматизация","Маркировка","Торговое оборудование","Штрих-код"],"title":"Обновление прошивки сканеров штрих-кода Mindeo MD6ххх"},{"body":"Active Directory, как и любая серьезная система с долгой историей успела приобрести свой фольклор, неотъемлемой частью которого являются мифы и легенды. А одной из самых мифологизированных тем являются хозяева операций, они же роли FSMO, большее количество фантазий и суеверий существует разве что на тему равноправия контроллеров домена, но о них мы поговорим в другой раз. Сегодня же попытаемся понять, что делают и чего не делают хозяева операций, для чего они вообще нужны и можно ли жить без них.\nДанная статья не ставит цель дать полную и исчерпывающую информацию о ролях FSMO и их хозяевах. Мы коротко рассмотрим основные задачи каждой роли, ее влияние на работоспособность инфраструктуры Active Directory, последствия отказа и дадим основные рекомендации по применению. Ну и попутно разберем некоторые мифы, а также распространенные заблуждения.\nНапомним, что существуют пять ролей FSMO: две - уровня леса (уникальны в пределах леса) и три - уровня домена (уникальны для каждого домена). Для лучшей наглядности мы подготовили следующую инфографику, где указали как русские, так и английские названия хозяев: В одном лесу могут существовать множество доменов и каждый домен будет иметь свой набор хозяев, хозяева леса существуют в единственном экземпляре на весь лес, вот с них мы и начнем.\nХозяин именования доменов (Domain naming master) Хозяин именования доменов, как следует из его названия, контролирует уникальность доменных имен в пределах леса. На самом деле его обязанности несколько шире и правильно будет говорить о том, что в зону ответственности этого хозяина входит контроль уникальности контекста имен, куда кроме собственно имен доменов входят имена разделов каталогов приложений, которые также хранят свои данные в базе AD.\nБазовые задачи Задач у этого хозяина немного, но несмотря на то, что все они важные, это разовые и штучные операции. Прежде всего это создание, удаление и переименования доменов, и да, для удаления домена вам тоже нужно получить одобрение от этого хозяина. Следующая задача - это создание и удаление разделов, но это тоже происходит далеко не каждый день. И, наконец, создание и удаление перекрестных ссылок, которые служат для поиска по каталогу, если сервер, к которому мы подключаемся не содержит нужной копии каталога, такие ссылки могут вести за пределы домена и даже за пределы леса.\nНикакой уникальной и критичной информации хозяин именования доменов не хранит, в повседневной жизни каталога участия не принимает.\nПоследствия недоступности Как следует из основных задач этого хозяина, его наличие или отсутствие для нормальной работы Active Directory некритично, скажем больше - без него можно спокойно жить годами. Фактически он нужен для выполнения очень редких и единичных операций, все что он делает - это выдает разрешения на создание, изменение или удаление объектов контекста имен. А теперь давайте вспомним, как часто вы создаете новые домены и разделы? Во многих случаях только один раз, при создании Active Directory, а про перекрестные ссылки многие и не слышали.\nРекомендации по размещению Официально Microsoft рекомендует совмещать роль этого хозяина с ролью хозяина схемы и размещать их на отдельном контроллере в центре топологии сети, который при этом не будет загружен обработкой логинов и групповых политик. Но с учетом крайне редкой необходимости данного хозяина и некритичности его задач к быстродействию роль можно располагать где угодно, это ни на что не повлияет. На практике хозяином именования доменов становится первый контроллер в структуре AD.\nХозяин схемы Active Directory (Schema Master) Чтобы понять значение этого хозяина вспомним, что такое схема Active Directory - это перечень всех возможных объектов каталога, их полей и атрибутов. Если мы хотим добавить в Active Directory новые объекты или расширить набор реквизитов у существующих - мы изменяем схему. На самом деле изменения схемы происходят достаточно редко: при вводе в домен нового контроллера на более свежей версии ОС и установке ПО, добавляющего в схему свои объекты, например, Exchange.\nСхема Active Directory существует в единственном экземпляре, хотя ее копия хранится на каждом контроллере домена и очень важно обеспечить единообразность и предсказуемость этой информации. Если вдруг два контроллера одновременно начнут вносить изменения в схему, то о единообразности можно забыть и пойди еще разберись какие именно изменения правильные. Чтобы этого избежать было решено сделать ответственным за изменение схемы единственный контроллер, с ролью хозяина схемы.\nБазовые задачи Задача у хозяина схемы одна - внесение изменений в схему и ее репликацию на другие контроллеры. С внесением изменений понятно, хозяин схемы единственный кто может вносить в нее изменения, а вот репликация заслуживает отдельного пояснения. При изменении схемы каталог переходит в состояние потери конвергенции, т.е. обнаружив расхождение в схеме с партнером по репликации контроллер ее временно приостанавливает и чтобы ее возобновить нужно обновить схему на всех контроллерах, именно этим и занимается данный хозяин, а для ускорения процесса для этого вида репликации применяется нулевая задержка.\nТакже до сих пор бытует мнение, что изменение схемы можно производить только на хозяине схемы, действительно, когда-то такие требования были, но сейчас это давно не так. Вы можете запустить процесс на любом контроллере или рабочей станции с установленными инструментами администрирования. Утилита сама установит связь с хозяином, и он внесет в схему необходимые изменения.\nВторой популярный ужастик - это сложность и высокий риск при обновлении схемы. Общий смысл сводится к тому, что если схему обновили неправильно, не до конца или не на ту версию - то всё, дальше только переустановка Active Directory. На самом деле это не так, завалить каталог при обновлении схемы было возможно в Windows 2000, в более поздних версиях такую возможность исключили.\nСледует помнить, что обновление схемы касается только того ПО, для которого мы это обновление делаем, все остальные как работали, так и будут работать, они ничего не знают про новые атрибуты с объектами и знать не хотят. Поэтому, если криво обновили схему - ничего страшного, обновим еще раз.\nПоследствия недоступности Исходя из выполняемых задач можем видеть, что хозяин схемы нужен нам только для ее обновления и репликации обновленной схемы на контроллеры, при восстановлении конвергенции в каталоге хозяин перестает быть нужен и никак не влияет на его повседневную работу. Никаких уникальных данных он не хранит. Как часто вы вносите изменения в схему? Вряд ли чаще одного раза в несколько лет, вот именно тогда вы в очередной раз вспомните об этом хозяине, в остальных случаях его наличия в каталоге не требуется.\nРекомендации по размещению Как мы уже писали выше, Microsoft рекомендует размещать хозяина схемы вместе с хозяином именования доменов на выделенном контроллере без высокой нагрузки в центре топологии. Фактически его размещение особой роли не играет, на практике хозяином схемы становится первый контроллер в каталоге.\nХозяин инфраструктуры (Infrastructure Master) От ролей уровня леса плавно переходим к ролям уровня домена. Хозяин инфраструктуры, пожалуй, самая непонятная роль, вокруг которой хватает домыслов и фантазий, но далеко не все могут четко сказать зачем она нужна и что делает. На самом деле все довольно просто, структура Active Directory предусматривает наличие в одном лесу множества доменов, которые могу образовывать сложные подчиненные структуры и у каждого домена будут свои администраторы и своя зона ответственности. Тем не менее мы можем добавлять в каталог своего домена объекты из других доменов леса - \u0026quot;иностранцев\u0026quot;, но так как мы не можем управлять данным объектом для него создается специальная ссылка - фантом.\nЧто может быть дальше? Да все что угодно, \u0026quot;иностранный\u0026quot; объект могут изменить, переместить, удалить и за этим всем надо как-то следить, именно эту задачу и выполняет хозяин инфраструктуры.\nБазовые задачи Хозяин инфраструктуры периодически (один раз в двое суток) соединяется с ближайшим глобальным каталогом и обновляет информацию о фантомных объектах. Что такое глобальный каталог? Это один из контроллеров в текущем домене, который содержит информацию о всех объектах леса.\nВот здесь существуют некоторые тонкости, если хозяин инфраструктуры расположен на глобальном каталоге, то он работать не будет. Таким образом роль вроде бы есть, но на самом деле ее нет.\nНо это только цветочки, в ряде ситуаций роль данного хозяина становится чисто номинальной, перечислим их:\nУ вас только один домен или нет ссылок на объекты других доменов На уровне леса включена корзина Active Directory, в этом случае задачи хозяина инфраструктуры будут выполнять все контроллеры домена Каждый из контроллеров домена является глобальным каталогом (именно так сейчас рекомендует делать Microsoft) В общем, получился у нас какой-то хозяин, который и сам себе не хозяин, поэтому надо четко представлять ситуацию и понимать нужна вам эта роль или нет.\nПоследствия недоступности Как мы уже выяснили, во многих сценариях роль хозяина инфраструктуры будет сугубо номинальной и нам будет ни горячо, ни холодно от его наличия или отсутствия. Если же данный хозяин действительно нужен, но оказался недоступным, то через некоторое время ваш каталог будет содержать недостоверную информацию об \u0026quot;иностранцах\u0026quot;, например, в адресной книге будет продолжать присутствовать удаленный аккаунт. Ничего особо страшного в этом нет, но и приятного мало. А так-как никакой уникальной информации данный хозяин не хранит, то мы всегда можем захватить эту роль любым другим контроллером.\nРекомендации по размещению Прежде всего нужно действительно убедиться, что вам нужна данная роль. При положительном ответе на данный вопрос рекомендуется размещать ее на отдельном контроллере, который не является глобальным каталогом и иметь не менее двух глобальных каталогов в составе домена, для того, если один из них окажется недоступен, хозяин смог бы подключиться к второму из них.\nХозяин относительных идентификаторов (RID master) Любой объект в пределах леса отличается своим уникальным идентификатором - GUID, который позволяет однозначно определить объект даже если мы его переименуем или перенесем в другое расположение. Для объектов, которые могут производить действия над другими объектами используется дополнительный идентификатор безопасности - SID, а сами объекты называются субъектами безопасности (security principal).\nКлассический SID имеет вид:\n1S-1-5-21-1004336348-1177238915-682003330-500 Который состоит из:\nНомера редакции, на данный момент существует только одна редакция (1) Идентификатора центра выдачи (5, NT Authority) Идентификатора домена, уникален для каждого домена в пределах леса (21-1004336348-1177238915-682003330) Относительного идентификатора (500, встроенная учетная запись администратора домена) Как можно заметить, все субъекты в пределах домена будут различаться только номером относительного идентификатора - RID. Существуют зарезервированные диапазоны RID: от 0 до 499 - системные RID, 500-1000 - встроенные субъекты безопасности (например, встроенные группы и учетные записи), начиная с 1001 - свободные RID для создания новых субъектов безопасности.\nКто может создавать новые субъекты безопасности в домене? Любой контроллер и поэтому начинает стоять вопрос обеспечения уникальности выдаваемых RID. Разработчики решили этот вопрос просто и изящно - каждый контроллер получает свой пакет RID и занимается их выдачей самостоятельно. Эти пакеты - пулы выдает специально уполномоченный контроллер - хозяин относительных идентификаторов.\nБазовые задачи Основная задача хозяина относительных идентификаторов - это выдача контроллерам домена пулов RID. Каждому обратившемуся контроллеру хозяин выдает пул из 500 RID, когда он заканчивается (остается менее 100), контроллер обращается к хозяину повторно и получает новый пул. Выданный пул сразу считается израсходованным и если получивший его контроллер выйдет из строя, то повторно использовать этот диапазон нельзя.\nДополнительная задача - контроль уникальности RID при переносе субъекта безопасности в другой домен. Хотя GUID объекта не меняется, его SID должен быть изменен и хотя это может сделать любой контроллер домена мы должны убедиться в уникальности присеваемого SID, а что если перенос объекта одновременно начнут два контроллера? Поэтому для данной операции привлекается хозяин RID того домена, в который осуществляется перенос для контроля уникальности SID.\nПоследствия недоступности Так как с хозяином RID общаются только контроллеры домена, то никакого влияния на повседневную работу каталога его отсутствие не окажет. Проблемы начнутся тогда, когда контроллеры израсходуют пул RID, а это может случиться очень нескоро, с учетом того, что количество объектов во многих каталогах гораздо меньше пятисот.\nНикакой уникальной информации хозяин RID не хранит и для восстановления работоспособности можно просто захватить эту роль другим контроллером.\nРекомендации по размещению Никаких особых рекомендаций по размещению хозяина RID нет, с точки зрения быстродействия его следует размещать в центре топологии, также желательно чтобы хозяин не был единственным контроллером в сайте Active Directory. По возможности стоит совмещать эту роль вместе с PDC Emulator.\nЭмулятор первичного контроллера домена (PDC Emulator) Самая нагруженная обязанностями роль FSMO. Первоначально была создана для обеспечения совместимости с доменом NT, но в наши времена домен NT - это что-то из разряда древних легенд и эмулятор первичного контроллера домена занимается совсем другими задачами. И, в отличие от других хозяев, прохлаждаться ему не приходится.\nБазовые задачи Эмулятор PDC является эталоном времени для собственного домена, а эмулятор PDC корневого домена также является эталоном для эмуляторов PDC дочерних доменов. Остальные контроллеры домена синхронизируют время с эмулятором PDC, прочие участники домена синхронизируют время с ближайшим контроллером.\nВторая важная задача - это приоритетная репликация паролей, после изменения пароля любой контроллер в приоритетном порядке уведомляет об этом эмулятор PDC. Если аутентификация на контроллере не была успешной по причине неверного пароля следующий запрос будет направлен эмулятору, так как он точно знает правильный пароль. При последующей успешной аутентификации об этом снова уведомляется эмулятор PDC, который сбрасывает на ноль количество неудачных попыток входа.\nИзменения в пространство имен Distributed File System (DFS) и групповые политики (GPO) также вносятся на эмуляторе первичного контроллера домена.\nТакже эмулятор PDC следит за встроенными субъектами безопасности и восстанавливает их при необходимости, скажем, если вы вдруг решите исключить встроенную учетную запись Администратор из группы Администраторы - эмулятор PDC быстро вернет все на место.\nПоследствия недоступности Пожалуй, это единственный из хозяев, отсутствие которого можно заметить достаточно быстро. Во-первых прекратится синхронизация времени в домене, каждый контроллер начнет ориентироваться на свои часы и после того, как время разбежится более чем на 5 минут начнутся проблемы со входом в систему.\nЕсли вы используете DFS, то через некоторое время столкнетесь с его неверной работой. А вот изменения в групповые политики внести будет можно, но при этом оснастка попросит вас явно указать контроллер, на котором вы хотите выполнить данную процедуру.\nЧто касается изменения паролей, то без эмулятора PDC мы можем испытывать проблемы со входом в систему вплоть до блокировки учетной записи до тех пор, пока информация об измененном пароле не будет реплицирована на все контроллеры домена.\nА также мы можем творить всякую дичь со встроенными субъектами безопасности и исправить это будет некому.\nДля устранения этой ситуации достаточно захватить роль любым другим контроллером.\nРекомендации по размещению Для эмулятора первичного контроллера домена рекомендуется настроить синхронизацию времени с внешним источником, если он располагается в виртуальной машине, то обязательно следует отключить синхронизацию часов виртуальной машины через гипервизор. В случае переноса или захвата роли эмулятора следует повторно настроить синхронизацию времени с внешним источником.\nКак и другие хозяева размещать эмулятор первичного контроллера домена лучше всего в центре топологии, также рекомендуется совмещать эту роль с хозяином RID.\n","id":"1afa3dbc15bbffc3bcde36e959a39fa5","link":"https://interface31.ru/post/mify-i-legendy-active-directory-hozyaeva-roley-fsmo/","section":"post","tags":["Active Directory","FSMO"],"title":"Мифы и легенды Active Directory. Хозяева ролей FSMO"},{"body":"Одной из замечательных особенностей открытого ПО является отсутствие монополии и запретов, если вам нравится какая-то программа или технология, но не нравится ее реализация, то вы вольны взять и переделать ее так, как вам будет угодно. Либо найти проект, в котором все уже сделали за вас. Многим нравится внешнее оформление китайского дистрибутива Deepin, которое представлено собственной графической средой DDE, но не все хотят ставить, по многим причинам, сам Deepin. К счастью, есть неплохая альтернатива - UbuntuDDE, которая предлагает внешний вид Deepin и классическую Ubuntu под капотом.\nВ настоящее время Deepin можно смело назвать полностью самостоятельным дистрибутивом несмотря на то, что он построен на пакетной базе Debian, степень изменений и количества собственных разработок в нем впечатляют, но есть один специфический момент. Deepin - китайская система и созданная в первую очередь для китайцев, это проявляется и в локализации, и во внедрении в систему облачных сервисов, доступных только в материковом Китае. Это отпугивает достаточно большое количество потенциальных пользователей, хотя, если разобраться, большинство из них хочет не сам Deepin, а его графическую среду DDE.\nДальше произошло то, что и должно было произойти. DDE перестал быть прерогативой Deepin и начал появляться в других дистрибутивах, один из них, самый проработанный и удобный - это UbuntuDDE, последний выпуск которого мы и рассмотрим. Прежде чем продолжить чтение мы советуем вам ознакомиться с нашим обзором оригинальной системы Deepin:\nРекомендуем к прочтению Deepin 20.5 или импортозамещение по-китайски Ну что же, приступим. В отличии от Deepin перед нами самая обычная и привычная Ubuntu. Мы сразу загружаемся с LiveCD и можем оценить работу системы на своем железе, если все хорошо - запускаем программу установки, ничего нового тут нет, все знакомо и привычно. И если оригинальный Deepin безальтернативно предполагал довольно сложную разметку диска с двумя корневыми разделами и разделом восстановления, то здесь все проще, по умолчанию будет создан единственный корневой раздел с файлом подкачки, хотя вы можете выбрать любой собственный вариант разметки. Процесс установки не сложный, классический, ставится система достаточно быстро, в это время вы можете посмотреть набор специально подготовленных слайдов. После установки нас встречает графическая оболочка DDE и фирменные обои с довольно-таки психоделическим лемуром. И что-то в нем такое есть: На момент написания статьи последней доступной версией является 21.10 - промежуточный выпуск со сроком поддержки в 9 месяцев, который заканчивается как раз 14 июля 2022 года. Но несколько дней назад в телеграм-канале разработчиков появилась новость, что выпуск на основе 22.04 LTS уже близко. Хотя для тех, кто ценит стабильность доступен вариант на основе 20.04 LTS.\nНас же более интересует DDE и ее соответствие оригинальному Deepin, поэтому мы взяли именно последнюю версию. Уже беглого взгляда на систему хватает, чтобы выявить некоторые отличия: прозрачность панели, скругленные углы окон, но в целом стиль и атмосфера оригинального DDE передана неплохо, ну и кастомизацию никто не отменял. Стартовое меню несколько более блеклое и невыразительное, но точно также легко разворачивается в полноэкранный режим и сворачивается обратно. Набор софта представлен стандартными программами и утилитами DDE вместе с классическим для Ubuntu набором ПО. В качестве браузера представлен Firefox, в то время как в Deepin собственный браузер на базе Chromium. Для настройки системы применяется Центр управления, простое и удобное приложение из состава DDE, но в данном случае в нем отсутствуют китайские облачные сервисы, что и понятно, а также обновления. Что интересно, набор VPN-протоколов полностью повторяет оригинальный Deepin, видимо все зависит от наличия плагинов. Для доступа к приложениям используется магазин DDE Store, но сами приложения из репозиториев Ubuntu, китайцами тут и не пахнет. Для многих это важный момент. Для обновления используется стандартная утилита из оригинальной Ubuntu. С поддержкой мультимедиа никаких проблем нет, по умолчанию за это отвечают стандартные программы среды DDE, и они довольно неплохи. Что касается ресурсов, то следует понимать, что DDE никогда не позиционировалась в качестве легковесной оболочки, наоборот, упор был сделан на качество графики и современные эффекты. Это накладывает определенные требования, хотя по сегодняшним меркам их трудно назвать высокими. Выводы UbuntuDDE - это отличный вариант, позволяющий реализовать классическое \u0026quot;и волки сыты, и овцы целы\u0026quot;. Deepin - отличный дистрибутив, но фокусировка на китайский рынок многих отпугивает, кто-то боится сбора и передачи данных китайцам, но DDE нравится всем. Это одна из самых проработанных и визуально привлекательных графических оболочек, при этом богатая функционально.\nЕсли вы не в восторге от современного GNOME и вас не радует альтернатива в виде KDE, то DDE - это безусловно хороший выбор. Вы получаете графическую среду ничем не уступающую оболочкам первого эшелона и вам не нужно идти на компромиссы ни в части возможностей, ни в части оформления.\nПри этом UbuntuDDE - это в первую очередь Ubuntu, один из самых популярных дистрибутивов с хорошей поддержкой, сообществом и гарантированным наличием всего популярного софта, в т.ч. закрытого. И даже если вдруг вам разонравится DDE вы можете просто установить любую другую среду рабочего стола и продолжить работу в настроенной и обжитой системе.\nПодводя итоги можем сказать, что если вам нравится DDE, но вы не готовы ставить и использовать китайский дистрибутив, то UbuntuDDE может служить отличной альтернативой. Графическая оболочка перенесена качественно и работает стабильно, проект живой и развивается, набирая популярность. Пока это не так быстро, как хотелось бы. Но и DDE не стоит на месте, поэтому мы считаем, что UbuntuDDE уже сейчас заслуживает внимания, а в будущем у него есть неплохие перспективы выйти в один ряд с основными официальными дистрибутивами.\n","id":"52f15ba263578569869dad8c0e170b47","link":"https://interface31.ru/post/ubuntudde-remix-2110-esli-vam-nravitsya-deepin/","section":"post","tags":["Linux","Ubuntu"],"title":"UbuntuDDE Remix 21.10 - если вам нравится Deepin"},{"body":"Пришло лето, а вместе с ним и жаркие деньки, но в это время администраторы думают вовсе не о пляже, а о температурном режиме обслуживаемого оборудования. Перегрев может негативно сказываться как на производительности, так и на сроке службы устройств. Как понять, требуется ли дополнительное охлаждение основным компонентам вашего компьютера или сервера если вы работаете под управлением Linux? Очень просто и сегодня мы расскажем о простых и надежных утилитах, позволяющих получить информацию о состоянии оборудования даже если вам доступна только командная строка.\nLm-sensors - получаем информацию с датчиков компьютера Информацию о температуре, напряжении, оборотах вентилятора и не только можно получить от датчиков компьютера, набор данных, которые можно получить таким образом может достаточно широко варьироваться, в зависимости от наличия самих датчиков и их поддержки со стороны Linux, а поможет нам в этом пакет lm-sensors, для его установки выполните:\n1apt install lm-sensors Теперь можно получить данные с доступных датчиков:\n1sensors Как мы уже говорили, объем получаемых данных может быть сильно разный, например, такой: Или такой: Последний вариант, конечно, довольно тоскливый и не сообщает нам ничего лишнего, кроме температуры процессора. Но не будем раньше времени впадать в уныние. Lm-sensors в состоянии \u0026quot;из коробки\u0026quot; поддерживает ограниченный набор датчиков, но знает он гораздо больше. Поэтому выполним поиск доступных датчиков командой:\n1sensors-detect Последовательно отвечаем на вопросы и смотрим какие еще датчики обнаружила программа, в нашем случае нашелся Nuvoton NCT6795D: По завершению поиска будет подведен краткий итог: будут перечислены найденный датчики и указаны имена нужных драйверов, которые будет предложено добавить в /etc/modules для автоматической загрузки при старте системы, с этим следует согласиться. Но перезагрузить систему не всегда представляется возможным, поэтому просто загрузим нужные модули руками, все что нам нужно - точное имя драйвера, на скриншоте мы выделили его желтым, после чего выполним команду:\n1modprobe nct6775 Если обнаружено несколько датчиков, то загрузите модули для каждого из них. Проверить что модуль успешно загружен можно командой\n1lsmod | grep nct6775 Или еще раз выполните команду\n1sensors и убедитесь, что набор информации изменился и стал гораздо богаче. Но не все датчики одинаково полезны, некоторые вместо реальных значений могут показывать температуру на Марсе. Почему так? Потому что единый стандарт на это отсутствует и все зависит от конкретного производителя и модели оборудования, в некоторых случаях для получения реальных значений к полученной информации нужно применять поправки, в других - просто игнорировать.\nТемпература накопителей через Smartmontools и Hddtemp Если исходить из применяемых технологий записи и хранения данных накопители можно подразделить на два типа: устройства магнитной записи и твердотельные. Жесткие диски крайне чувствительны к рабочим температурам, высокая температура приводит к повышенному износу механики и ускоренной деградации магнитного покрытия и головок. Большинство производителей не рекомендуют работу при температурах выше 50 градусов, а температуру в 65 градусов считают критической.\nТвердотельные накопители - это полупроводники и диапазон рабочих температур у них гораздо шире, диапазон рабочих температур может доходить до 70-80 градусов, а критические температуры начинаются уже после сотни. Это обязательно следует учитывать при интерпретации результатов. иначе можно начать бить тревогу на ровном месте.\nКлассические диски с интерфейсом SATA не умеют непосредственно передавать показания датчиков, для доступа к информации о состоянии диска используется специальная технология S.M.A.R.T., как правило утилита для работы со S.M.A.R.T. бывает установлена, если же нет, то самое время это сделать:\n1apt install smartmontools Для получения информации о температуре запросим список атрибутов накопителя и перейдем к атрибуту с номером 194:\n1smartctl -A /dev/sda К сожалению, здесь тоже нет единого стандарта и разные диски по-разному отдают информацию о температуре, smartmontools умеет правильно интерпретировать возможные варианты и показывает реальное значение температуры в градусах Цельсия в колонке RAW_VALUE. Если же вы используете иные инструменты для доступа к S.M.A.R.T., то вам придется обратиться к документации на вашу модель диска для правильной расшифровки результата.\nТакже может быть различен набор отдаваемой информации, например, Toshiba сообщает не только текущую информацию, но и минимальную и максимальную зафиксированные для этого накопителя (пример на скриншоте выше), другие модели отдают только актуальную температуру. Ряд недорогих китайских SSD может не иметь термодатчика вообще, отдавая в S.M.A.R.T. либо заранее зашитое значение (обычно 40 градусов), либо полную ерунду.\nЕще одним ограничением S.M.A.R.T. является округление температуры до целых значений.\nЕсли же вас интересует только температура, то можете поставить специализированную утилиту hddtemp, она не делает ничего нового, точно также читает S.M.A.R.T., но выдает из него единственное значение - температуру диска. Она также есть в репозиториях и для ее установки выполните:\n1apt install hddtemp Синтаксис также схожий:\n1hddtemp /dev/sda В выводе вы увидите модель диска и его температуру. Чем именно пользоваться? Решайте сами, это Linux, здесь к одной цели может вести множество путей и все из них будут правильными.\nОсобенности NVMe накопителей На сегодняшний день SATA интерфейс устарел и применяется только в целях обратной совместимости в бюджетных моделях SSD дисков. Все современные накопители выпускаются с поддержкой NVMe, следует помнить, что NVMе - это протокол, для подключения к ПК такие диски используют шину PCIe, а одним из возможных форм-факторов является разъем M.2.\nПодключение через PCIе дает возможность прямого доступа к датчикам таких накопителей и получить значения температуры можно через lm-sensors, при этом все NVMe диски поддерживают технологию S.M.A.R.T. и получать данным с них можно двумя альтернативными путями. Как видим, датчик точнее - он выдает температуру с точностью до десятых градуса и быстрее реагирует на ее изменения, в то время как S.M.A.R.T. показывает ее усредненное и округленное значение. Поэтому если есть возможность использовать датчик, то следует опираться на его показания.\nПочему мы сделали оговорку \u0026quot;есть возможность\u0026quot;? Потому что доступ к датчику не является чем-то обязательным, все зависит от модели диска и материнской платы, но такая возможность у NVMe накопителей есть и ее следует иметь ввиду.\nКак видим, контролировать значения температуры и не только ее в Linux совсем несложно и консоль не должна вас пугать, в умелых руках это удобный и мощный инструмент, владеть которым должен каждый администратор.\n","id":"7143b5bf58b40f1a562e3456f26d4997","link":"https://interface31.ru/post/linux-nachinayushhim-kak-uznat-temperaturu-processora-i-diska/","section":"post","tags":["Debian","Linux","PC Health","Ubuntu","SMART"],"title":"Linux - начинающим. Как узнать температуру процессора и накопителей"},{"body":"Продолжаем тему обновления специализированных продуктов на базе Debian, сегодня речь пойдет о системе для защиты почты Proxmox Mail Gateway. Это достаточно простой, но эффективный шлюз, позволяющий отсекать основные потоки спама и вредоносных вложений в сообщениях электронной почты. В целом обновление на новую версию не несет каких-либо сложностей и на сайте разработчиков есть официальная инструкция, но тем не менее читатели продолжают задавать вопросы по поводу обновления. Поэтому и появилась эта статья.\nДанный материал создан на основе официальной инструкции и во многом повторяет ее, однако мы добавили в нее ряд возможно неочевидных, но достаточно важных действий.\nНачнем с того, что обновление ОС - потенциально опасная операция, потеря контроля над ходом которой чревата самыми неприятными последствиями. Поэтому желательно производить ее непосредственно подключившись к консоли сервера, либо имея к нему физический доступ, если же это невозможно, то следует подстраховать себя от случайного обрыва связи используя такие утилиты как screen.\nОб этом редко пишут в инструкциях, но если вы используете Proxmox Mail Gateway установленный на железо, то начните подготовку к обновлению с проверки состояния файловой системы. Очень часто бывает, что проблемы с накопителем незаметные при текущей эксплуатации могут проявиться при обновлении и привести к полному краху системы.\n1fsck -n -f Если вы используете систему в контейнере Proxmox Virtual Environment, то включите в его свойствах вложенную виртуализацию Параметры - Features - Nesting : Теперь обновим систему до последнего выпуска в рамках текущей версии, для успешного обновления вы должны иметь версию PMG не ниже 6.4-4, это можно сделать как в графическом интерфейсе, так и из консоли, мы будем использовать здесь и далее только последний вариант:\n1apt update -y \u0026amp;\u0026amp; apt full-upgrade -y \u0026amp;\u0026amp; apt autoremove -y Данный набор команд поочередно выполнит обновление списка пакетов, скачает и установит обновления и выполнит очистку. После чего систему следует перезагрузить.\nПеред тем, как идти дальше создадим резервную копию текущей конфигурации Proxmox Mail Gateway:\n1pmgbackup backup Копия создается в каталоге /var/lib/pmg/backup, советуем скопировать ее на надежный носитель за пределы сервера.\nТеперь заменим репозитории системы с Debian 10 на Debian 11:\n1sed -i \u0026#39;s/buster\\/updates/bullseye-security/g;s/buster/bullseye/g\u0026#39; /etc/apt/sources.list И репозитории самого Proxmox Mail Gateway, в нашем случае это некоммерческий репозиторий и возможно вам потребуется уточнить имя файла:\n1sed -i \u0026#39;s/buster/bullseye/g\u0026#39; /etc/apt/sources.list.d/pmg-no-subscription.list Если у вас подключены сторонние репозитории, то на время обновления их следует отключить.\nОстановим службы PMG:\n1systemctl stop postfix pmg-smtp-filter pmgpolicy pmgdaemon pmgproxy pmgmirror pmgtunnel И замаскируем их:\n1systemctl mask postfix pmg-smtp-filter pmgpolicy pmgdaemon pmgproxy pmgmirror pmgtunnel Маскировка отличается от выключения службы тем, то отключенную службу можно запустить вручную, с замаскированной это не удастся. В выводе команды отлично видно, как для юнитов создаются симлинки на /dev/null. Теперь обновим список пакетов в репозитории:\n1apt update И выполним полное обновление системы:\n1apt full-upgrade Как показывает практика, не все знают как правильно выйти из подобного окна, достаточно просто нажать q, если не нажимается - проверить раскладку клавиатуры. На вопросы перезаписи измененных файлов конфигурации отвечаем нет (N) - это действие по умолчанию, достаточно просто нажать Enter. 1apt autoremove Теперь систему следует перезагрузить.\nСледующим шагом после перезагрузки будет апгрейд базы данных PostgreSQL, прежде всего удалим автоматически созданный кластер PostgreSQL 13:\n1pg_dropcluster --stop 13 main И выполним преобразование существующего кластера:\n1pg_upgradecluster -v 13 11 main В результате старый кластер версии 11 будет остановлен, а новый, версии 13 запущен, при этом сохраняется возможность запуска предыдущей версии на порту 5433: Снимем маскировку с ряда служб PMG:\n1systemctl unmask postfix pmg-smtp-filter pmgpolicy pmgdaemon pmgproxy И перезагрузим сервер.\nЗатем снимаем маскировку еще с двух служб и запускаем их:\n1systemctl unmask pmgmirror pmgtunnel 2systemctl start pmgmirror pmgtunnel Теперь можем войти в веб-интерфейс и проверить работоспособность обновленного продукта: Если все хорошо - можем удалить старый кластер PostgreSQL:\n1apt purge postgresql-11 postgresql-client-11 На этом обновление Proxmox Mail Gateway до версии 7.x можно считать законченным.\n","id":"314fd61d32fb01296a7ba35ccd854b01","link":"https://interface31.ru/post/obnovlyaem-proxmox-mail-gateway-s-versii-6x-do-7x/","section":"post","tags":["E-mail","Proxmox","Безопасность","Сетевые технологии"],"title":"Обновляем Proxmox Mail Gateway с версии 6.x до 7.x"},{"body":"Linux, как и любая современная система, постоянно развивается, получает новые функции и возможности. Одной из таких возможностей стала появившаяся в ядре 5.10 опция fast_commit для файловой системы ext4, которая обещала, в некоторых случаях, до двукратного прироста производительности операций записи. Звучит многообещающе, только вот никто из разработчиков дистрибутивов первого эшелона пока не спешит радовать своих пользователей новинкой. Почему? Давайте разбираться.\nНемного теории Начнем с того, что многие современные интернет ресурсы, включая околотехнические, работают по принципу \u0026quot;слышал звон, но не знаю где он\u0026quot;. Они просто рассказывают как включить fast_commit, вновь и вновь приводя краткое описание, из чего может сложиться впечатление что это некая \u0026quot;киллер-фича\u0026quot; которая нужна всем и каждому. Но так ли это на самом деле?\nЧтобы ответить на этот вопрос, вспомним как работают журналируемые файловые системы. Учитывая, что современные файловые системы достаточно сложны в своем устройстве, мы намеренно упростили подачу материала до уровня достаточного для понимания происходящих процессов.\nНачнем с базового устройства. Файловая система представляет собой особым образом организованное дисковое пространство, разделенное на логические единицы хранения данных (кластеры, блоки и т.д.). Однако недостаточно просто поместить данные файла в блоки, тем более, что файл не обязательно будет занимать непрерывную последовательность блоков, он может быть раскидан по всему диску вперемешку с данными иных файлов. Кроме того, в файловой системе могут существовать и более высокоуровневые объекты, например, жесткие ссылки, и тогда содержимое блока может принадлежать сразу нескольким файлам. Также следует каким-то образом учитывать дополнительные атрибуты: владельца, права доступа и т.д. и т.п.\nЧтобы решить этот вопрос файловые системы содержат не только пользовательские данные, но и метаданные, это специальный набор служебных данных, который используется для получения информации о фактическом расположении данных файла и его атрибутов. Таким образом, записав на диск новые данные или изменив существующие мы также должны внести изменения в метаданные, чтобы файловая система могла найти данные по месту их фактического расположения. Это чем-то напоминает библиотечный каталог, если мы перенесли книгу со стеллажа А на стеллаж Б, то мы должны отразить это изменение в каталоге, иначе книгу никто не найдет.\nА еще не забываем про такую вещь, как директории, директория - это особый тип файла, который содержит список входящих в него файлов и вложенных директорий. Если мы переместили файл между директориями, то нам также следует внести изменения в файлы директорий, иначе данные снова окажутся недоступны.\nКак-то все уже не очень просто, а ведь мы еще не углублялись в подробности. А что будет если в самый разгар дисковых операций произойдет сбой? Скажем, пропадет электропитание?\nДавайте проведем другую аналогию, допустим у нас есть большой склад, складские работники берут накладные заказчиков и выдают им купленные товары. И вот в самый разгар работы погас свет. В темноте что-то уронили, что-то подняли, что-то не там взяли, не туда положили. Когда снова включат свет у нас будет на складе полный хаос с кучей разбросанного по полу товара. В итоге неизбежно кому-то чего-то не додадут, кому-то выдадут лишнее, а кто-то получит совсем не то, что заказывал. Ну и в ближайшую инвентаризацию будет весело.\nСтарожилы могут помнить, в давние времена, когда основной системой была FAT или ext2, аварийное отключение в разгар операций записи могло не только повредить данные, но и вывести из строя саму файловую систему, не говоря уже о потерянных файлах, пустых файловых указателях и прочих \u0026quot;радостях жизни\u0026quot;.\nМожно ли как-то избежать подобной ситуации? Можно. Если мы вернемся на наш склад, то добавим в накладные два поля: товар получил и товар выдал. Взяв с полки товар, кладовщик отмечает, что он его получил, а отдав заказчику ставит вторую пометку - выдал. И только после того, как будут установлены обе пометки, операция считается завершенной. Здесь мы вплотную подходим к понятию транзакции - операции или набора операций, которые могут быть либо полностью выполнены, либо полностью откачены, промежуточного состояния транзакции быть не может.\nПоэтому после любого сбоя на нашем складе мы просто берем и сверяемся с накладными, там, где товар получен и выдан - это закрытые транзакции, они нас не интересуют, а вот там где товар получен, но не выдан - это незавершенные транзакции и мы их откатываем. Т.е. собираем весь разбросанный по полу товар и возвращаем на полки, а дальше начинаем работать в обычном режиме.\nВ файловых системах для этой же цели предназначен журнал. Любая операция записи является транзакцией, транзакция в журнале будет закрыта (зафиксирована) только после того, как будут выполнены все необходимые изменения на диске: записаны данные, метаданные, изменены файлы директорий и т.д.\nВ случае аварийного сбоя система прежде всего будет анализировать журнал. Все незавершенные транзакции будут откачены, и файловая система вернется в целостное состояние на момент предшествовавший сбою. Таким образом у нас могут пропасть некоторые новые данные, которые мы не успели записать на диск, либо успели записать, но не успели изменить метаданные, но сама файловая система останется в рабочем состоянии, а данные в целости. Ситуации, когда мы необратимо повредим файл просто внося изменения в него в журналируемой файловой системе быть не может.\nНо операции с журналом требуют дополнительных ресурсов и дополнительных операций записи, чем снижают производительность файловой системы. Чтобы этого избежать применяется кеширование операций записи, система помещает данные, предназначенные для записи в кеш, и сообщает программе, что данные успешно записаны, а сама производит запись несколько позже, когда появятся свободные ресурсы. Да, это снижает надежность, но увеличивает быстродействие и во многих случаях оправдано. При этом следует помнить, что журнал защищает именно файловую систему, а не вводимые пользователем данные.\nНо как быть, если данные важны, и мы должны убедиться в том, что они действительно записаны на диск? В POSIX-системах для этого существует специальный системный вызов fsync, который предписывает принудительно сбросить все данные файла из кеша и буферов на диск и зафиксировать транзакцию. Использование fsync значительно повышает надежность, но весьма негативно сказывается на производительности.\nВот здесь мы и подошли к fast_commit - это новый, оптимизированный механизм фиксации транзакций в файловой системе, он не заменяет, а дополняет существующие механизмы и в ряде случаев способен дать существенный прирост производительности операций записи. Т.е. мы более быстро фиксируем транзакции и позволяем повысить производительность в том случае, если она упирается в журнал. Никаких чудес от данной функции ожидать не стоит, ваш медленный ноутбучный диск на 5400 rpm от нее летать не начнет.\nЧто показывают тесты? Согласно тестам fast_commit весьма и весьма эффективен, но мы не будем принимать все на веру и организуем собственное тестирование, для этого будем использовать диск Samsung 860 EVO 250 ГБ SSD M.2 и операционную систему Ubuntu 22.04 LTS с ядром 5.15.0-37. В качестве тестов мы будем использовать приложения Fsmark и Dbench из штатного репозитория ОС.\nBenchmark Config fast_commit off fast_commit on Fsmark Local, 8 threads 1562 Files/sec 7006 Files/sec Dbench Local, 2 procs 27.8 MB/sec 264.64 MB/sec Dbench Local, 10 procs 97.58 MB/sec 493.34 MB/sec Результаты действительно отличные. Здесь даже не двукратный прирост, а увеличение производительности в разы, а то и на порядок. Скажем. в тесте Dbench Local, 10 procs мы просто уперлись в производительность диска. Но почему тогда в дистрибутивах fast_commit не включен и новые файловые системы создаются без этой опции?\nА давайте спустимся с высот специализированных тестов к повседневной рутине и возьмем в руки что-нибудь попроще, скажем KDiskMark - аналог известной утилиты позволяющей быстро оценить производительность диска. И что мы видим? Да ничего, никакого эффекта от включения fast_commit для повседневных задач и нагрузок нет. Почему так? Как раз об этом мы много говорили выше, fast_commit эффективен в тех случаях, когда производительность записи упирается в журнал, повседневные задачи не испытывают необходимости в гарантированной записи на диск, их вполне устраивает кеширование и буферизация записи, поэтому вызывать fsync нет необходимости и fast_commit оказывается бесполезен.\nСобственно, поэтому разработчики и не спешат включать fast_commit по умолчанию, это эффективный инструмент, но только для вполне определенного узкого круга задач, в остальных случаях он не нужен. А каждая дополнительная функция файловой системы - это потенциальный источник сбоев или уязвимостей. Так что здесь тоже все логично. Те, кто знает и понимает зачем им нужен fast_commit - включат его, остальным это не нужно.\nОт теории к практике Но довольно теории, давайте перейдем к практике, каким образом можно включить fast_commit для файловой системы ext4? В первую очередь в момент ее создания, при форматировании раздела используйте команду:\n1mkfs.ext4 -O fast_commit /dev/sdb1 В нашем случае мы отформатировали раздел /dev/sdb1.\nПроверить включен ли fast_commit можно командой:\n1tune2fs -l /dev/sdb1 | grep fast_commit Пустой вывод означает, что функция не подключена, иначе вы должны увидеть что-то похожее: А как быть, если файловая система уже создана? Обращаем внимание, что fast_commit - это не опция монтирования, это функция операционной системы. Добавить ее в существующую ФС можно, внеся изменения в суперблок, но для этого файловая система должна быть отмонирована. В противном случае вы рискуете полной потерей данных.\nДля отмонтирования используйте команду:\n1umount /dev/sdb1 Затем добавьте нужную опцию:\n1tune2fs -O fast_commit /dev/sdb1 Теперь можно снова монтировать файловую систему на постоянное место. Если ваша файловая система прописана в fstab то достаточно простой команды:\n1mount -a Если вы хотите включить fast_commit для корневой файловой системы, то вам потребуется загрузиться с Live-CD и внести изменения в суперблок с него.\nНу и еще один насущный вопрос: а как обстоят дела с совместимостью? Что будет если мы включим fast_commit, а потом подключим этот диск к системе с ядром ниже, чем 5.10? Ничего страшного, в файловых системах ext строго соблюдается принцип обратной совместимости, мы можем даже смонтировать ext4, как ext2 и прочитать оттуда все данные. Поэтому никаких проблем совместимости от включения fast_commit у вас не возникнет.\n","id":"4d406e207de1543a14f6ab4ab3c0ddfc","link":"https://interface31.ru/post/naskolko-effektiven-fast-commit-dlya-ext4-i-pochemu-on-ne-vklyuchen-po-umolchaniyu/","section":"post","tags":["Debian","ext4","Linux","Ubuntu"],"title":"Насколько эффективен fast_commit для ext4 и почему он не включен по умолчанию"},{"body":"Продолжаем наш обзор современных российских ОС. Ведущую позицию на этом рынке занимает компания Базальт СПО с семейством операционных систем Альт, это один из старейших из отечественных дистрибутивов и располагающий самым крупным российским репозиторием \u0026quot;Сизиф\u0026quot;. Но вот с наименованием выпусков в линейке у них беда, глядя на название Альт Рабочая станция К можно подумать, что это обычная Рабочая станция, только с графической средой KDE, однако это не совсем так и перед нами вполне самостоятельная система, со своими плюсами и минусами.\nПервое и самое заметное отличие - это использование в качестве графического окружения KDE Plasma, что сразу обещает достойный внешний вид и увеличение системных требований. Но это только видимая часть айсберга, в основе системы лежит актуальное ядро 5.15 LTS, вместо более консервативного 5.10 LTS в Рабочей станции. Новое ядро содержит множество улучшений и поддерживает самое современное оборудование, включая процессоры Intel 12-го поколения. Также улучшена поддержка видеокарт NVIDIA с автоматическим выбором необходимого драйвера.\nУже этого достаточно, чтобы понять, что несмотря на схожее название и использование 10-й платформы, Рабочая станция К гораздо более новая и современная система и это мы еще увидим в дальнейшем.\nТакже, если вас интересует тема Aльт Линукс, то мы рекомендуем ознакомиться с нашими прошлыми обзорами систем на базе 10-й платформы:\nРекомендуем к прочтению Обзор российских ОС. Альт Рабочая станция 10 Simply Linux 10 - ненавязчивый советский сервис Начнем, как всегда, с установки. Установщик классический, альтовский, только перекрашен в оттенки синего, которые традиционно ассоциируются с KDE. Лицензионный договор, который никто не читает, разрешает бесплатное использование дистрибутива физическими лицами и требует приобретения лицензии для юридических лиц. Рабочая станция К также входит в Единый реестр российских программ и может быть использована для импортозамещения. В целом особых отличий от установки Рабочей станции нет, но есть ряд моментов. Так для разметки диска по умолчанию предлагается LVM, при выборе варианта без LVM мы снова получим вариант разметки со SWAP-разделом в самом начале диска. На наш взгляд, в современных условиях это правильно, однако при установке на HDD, особенно медленные, это может негативно сказаться на производительности. Также отличается и состав предустанавливаемого ПО: упор делается на эмуляторы, игры, обработку мультимедиа, установка поддержки стороннего отечественного ПО не предлагается. Слайды все те же, разнообразием не отличаются, но особо заскучать вы не успеете, система устанавливается быстро. Процесс установки особых сложностей не вызывает, запутаться там негде.\nЗагрузочный экран строг и лаконичен: А дальше перед нами предстает привычная Plasma без особого тюнинга, но она и так весьма хороша в визуальном плане. Единственное, что нам не понравилось - это организация стартового меню, но для пользователей переходящих с Windows такой вариант будет более привычен. В любом случае это Linux, и никто не мешает вам настроить все по собственному вкусу. Но за все нужно платить, в том числе и за красоту, потребление ресурсов у системы ожидаемо выше, если у Рабочей станции аппетиты в отношение оперативной памяти начинались от 1,2 ГБ, то здесь вам понадобится уже не менее 2 ГБ. Хотя, по современным меркам это немного, а ставить KDE на старое железо идея сама по себе не очень здравая. Еще один момент, который неприятно удивил - это различный набор базового софта в двух Рабочих станциях, хотелось бы видеть здесь больше стандартизации и единообразия. Понятно, что часть программ идет в нагрузку с графической оболочкой, здесь вопросов нет, но в качестве браузера Рабочая станция К имеет Chromium GOST, а не Firefoх как просто Рабочая станция. Для отечественной ОС, которая будет работать с отечественными сервисами именно Chromium GOST представляется нам наилучшим выбором, поддерживая нужные алгоритмы криптографии уже из коробки. Да и со всякими плагинами для Chromium будет веселее, взять хотя бы онлайн-банкинг ВТБ24. В качестве мультимедийного плеера используется Haruna вместо VLC, это продукт из состава KDE, в целом достаточно неплохой, но на полноценную замену VLC он не тянет. И тут либо мы используем стандартные приложения из окружения, либо все-таки поддерживаем однообразие. Потому как получается, что в Рабочую станцию VLC завезли, а в Рабочую станцию К забыли. Ну, либо, давайте не будем называть это Рабочей станцией. Мультимедиа вообще уделяется непривычно много внимания, оцените только набор аудио и видеоредакторов по умолчанию. Для рабочей станции в офис это, скажем, достаточно непривычно, но если рассматривать Рабочую станцию К как систему для дома и работы, то все становится на свои места. Набор софта из коробки тоже рассчитан на смешанное применение, типично офисной направленности здесь нет. Версии ПО достаточно свежие, но с долей здорового консерватизма, что хорошо и правильно, кто хочет бежать впереди прогресса - может поставить себе Arch. Следующий сюрприз ожидает нас в магазине приложений, он очень тесно интегрирован с Flatpack (также в системе есть поддержка Snap), со стороны типичного офисного админа это вызовет тяжелый вздох недоумения и его прекрасно можно понять, в классическом офисе такие технологии только затрудняют администрирование и вообще не особо уместны. А вот для дома и SOHO - это оптимальный вариант, во всяком случае шанс сломать систему таким образом гораздо ниже, чем попыткой установить \u0026quot;ну очень нужную программу\u0026quot; через пакетный менеджер. Настройки системы традиционно находятся в двух местах: в собственной разработке Alterator и в стандартной панели управления KDE. Дискомфорта это не доставляет, так как в Alterator сосредоточены преимущественно системные настройки, а в Параметрах KDE настройки рабочей среды. Настроек традиционно для KDE много, настроить можно все. Если вы решите подключиться к VPN, то вас приятно удивит обилие поддерживаемых протоколов. Обновление системы реализовано по безопасной схеме с перезагрузкой. Она предусматривает скачивание пакетов в пользовательском режиме и их установку при перезагрузке системы, в случае нештатной ситуации все изменения могут быть автоматически откачены. Опять-таки, с точки зрения офисного применения здесь много лишнего и затрудняющего администрирование, но для обычного пользователя это только плюс, шансы убить систему при обновлении стремятся к бесконечно малым величинам. Да и сама подобная модель более привычна для неспециалиста. Ну а если все-таки поработать? Нет проблем, 1С:Предприятие установилось без затруднений, в несколько кликов мышкой. Но без ложки дегтя не обошлось, сразу бросается в глаза отсутствие шрифтов, хотя те, кто ставит 1С должны это знать, а сама 1С не требует их по зависимостям. Проблема решается просто, установкой пакета 1c-preinstall-full, который установит корректное окружение для 1С:Предприятие. В Рабочей станции его можно было выбрать на этапе установки, хотя, по нашему мнению это следует включить в систему по умолчанию, как и остальные аналогичные пакеты. С поддержкой Samba, сетевой печати, работы с офисными форматами также никаких сложностей не возникло. А для любителей разнообразить оформление в состав системы включен набор крайне неплохих фотографий с видами природы различных уголков России. Выводы Можно смело сказать: Альт рабочая станция К - это наиболее современная, технологически продвинутая и дружелюбная к простому пользователю система на платформе Альт. Она бесплатна для домашнего использования, но при этом входит в Единый реестр российских программ, т.е. может быть использована для импортозамещения.\nВ отличие от просто Рабочей станции, которая явно позиционируется для офисной работы, Рабочая станция К более подходит для дома и домашнего офиса, а также небольших фирм, где нет штатного администратора и все делается либо своими руками, либо приходящим специалистом. Также соблюден важный баланс между рабочим и развлекательным ПО. Система достаточно универсальна сразу после установки: можно садиться как за отчеты в Calc, так и за монтаж домашнего видео.\nПоэтому если вам нравится KDE, и вы хотите современный отечественный Linux с поддержкой последнего оборудования - Рабочая станция К будет отличным выбором.\nА теперь снова о грустном. При всех своих плюсах и достоинствах системы линейки Альт имеют тот или иной недостаток, отпугивающий пользователей. В Рабочей станции и Simply - это ужасный дизайн из коробки. Если же брать Рабочую станцию К - это название. От самого словосочетания \u0026quot;рабочая станция\u0026quot; веет официозом и офисной скукой. А выбирая систему для дома многие просто пройдут мимо.\nИз всех российских систем именно у Альта есть все шансы выйти на роль национального лидера и это не пустые слова. Но для этого надо стать немного ближе к пользователю, подтянуть графическое оформление и, возможно, сделать ребрендинг. Мы не претендуем на оригинальность, но считаем, что гораздо удачнее было было бы построить линейку так: Alt 10 Classic, Alt 10 Modern и Alt 10 Simply.\nКлассическая версия - это обычная Рабочая станция, рабочая лошадка в офис. Модерн - это версия К с поддержкой современного железа и самыми современными плюшками. Ну а Simply - это система начального уровня, зато бесплатно для любого вида использования. Иначе возникает много путаницы и вопросов, особенно если сравнивать вроде бы домашнюю Simply и Рабочую станцию К, которая, несмотря на название, оказывается гораздо более домашней.\nА так появляется четкое позиционирование, вполне привычное пользователю. Достаточно вспомнить версию Home Basic, где было максимально порезано все, даже оформление, зато Ultimate, наоборот, предлагала все и сразу, как в дом, так и в офис, но уже совсем за другие деньги.\n","id":"1a3bb00db2c6351a7733cd69e047c294","link":"https://interface31.ru/post/obzor-rossiyskih-os-alt-rabochaya-stanciya-k-10/","section":"post","tags":["ALT","KDE","Linux","Импортозамещение"],"title":"Обзор российских ОС. Альт Рабочая станция К 10"},{"body":"Вопрос управления процессом обновления клиентских версий Windows достаточно остро стоит перед системными администраторами и одной из проблем является автоматическое обновление системы на следующую версию, что может быть не всегда желательно. Ранее этот вопрос можно было решить отложив обновления, но теперь такая возможность недоступна. Как быть? Ответ прост - настроить целевую версию операционной системы, новую возможность тонкой настройки службы обновлений, а как это сделать мы расскажем в нашей статье.\nГлядя на текущую ситуацию с обновлениями современных клиентских систем Windows, можно сказать, что мы это полностью заслужили. Редко какое \u0026quot;руководство\u0026quot; по установке ОС прошлых лет не содержало \u0026quot;рекомендации\u0026quot; сразу выключить службу обновления, а различные сборки даже выносили этот факт в достоинства. Последствия, в виде глобальных эпидемий, поражавших не обновлённые ПК не заставили себя долго ждать, при том, что многие из используемых уязвимостей были закрыты уже довольно давно.\nА если пользователь глух к голосу разума, то разработчикам пришлось пойти на непопулярные и принудительные меры. Теперь автоматические обновления действительно стали автоматическими и отключить их не представляется возможным. Но любая крайность тоже плоха, особенно если речь идет о корпоративном секторе, где принудительное обновление может создать массу проблем. Поэтому Microsoft постоянно совершенствует систему обновления и добавляет новые политики, позволяющие гибко настроить процесс.\nОдной из серьезных проблем может оказаться автоматический переход на новую версию, сейчас это особенно актуально в свете потенциальной возможности нежелательного апгрейда до Windows 11. Для того, чтобы этого избежать Microsoft ввела новый параметр - целевую версию, которая позволяет получать обновления в рамках указанного выпуска, даже если доступна более новая версия ОС, до окончания срока его поддержки. После того как поддержка целевой версии будет завершена вам потребуется либо обновить этот параметр, либо по истечении 60 дней ваша система будет автоматически обновлена на последнюю версию ОС.\nВыполнить настройку целевого выпуска можно несколькими путями, рассмотрим каждый из них.\nГрупповые политики Откроем редактор групповой политики и перейдем в раздел Конфигурация компьютера - Административные шаблоны - Компоненты Windows - Центр обновления Windows - Центр обновления Windows для бизнеса и найдем там политику Выбор версии для обновления целевого компонента. Затем нам потребуется указать продукт, для которого мы указываем целевую версию, например, Windows 10 и саму версию продукта, на которой мы хотим остановиться, скажем, 21H2. В более ранних выпуска Windows поля с продуктом может не быть и вам потребуется указать только целевую версию. Все поддерживаемые на текущий момент версии продуктов вы можете узнать на странице Supported versions of Windows client.\nТеперь важные замечания. В качестве целевой версии вы можете указать текущую версию продукта или более новую, в этом случае система будет обновлена до указанной версии и продолжит получать обновления для нее, не делая попыток обновления на более новые выпуски. После окончания срока поддержки целевой версии у вас будет 60 дней для того, чтобы обновить политику и указать новую целевую версию.\nЕсли целевая версия не поддерживается, либо ниже текущей версии, то значение политики будет проигнорировано.\nДанная политика введена начиная с версии 2004 и была добавлена в предыдущие версии до 1803 включительно, но для этого они должны иметь кумулятивное обновление за июнь 2020 года. Поддерживаются редакции Pro, Enterprise и Education.\nРедактирование реестра Альтернативой политикам может служить внесение изменений в реестр, также это единственно доступный вариант для домашних редакций Windows, не поддерживающих работу с политиками.\nОткроем ветвь реестра:\n1HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\WindowsUpdate И добавим в нее Параметр DWORD (32 бита) c именем TargetReleaseVersion и значением 1 в шестнадцатеричной системе счисления. Затем добавим строковые параметры ProductVersion с именем продукта - Windows 10 и TargetReleaseVersionInfo с указанием целевой версии - в нашем случае 21H2. Для быстрого внесения изменений в реестр можете воспользоваться REG-файлом со следующим содержимым:\n1Windows Registry Editor Version 5.00 2 3[HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\WindowsUpdate] 4\u0026#34;TargetReleaseVersion\u0026#34;=dword:00000001 5\u0026#34;ProductVersion\u0026#34;=\u0026#34;Windows 10\u0026#34; 6\u0026#34;TargetReleaseVersionInfo\u0026#34;=\u0026#34;21H2\u0026#34; Не забудьте только откорректировать параметры целевой версии на необходимые вам. Готовый файл вы можете скачать ниже.\nСкачать TargetReleaseVersion.reg\nMD5: 2B6E88424361CD2D799D91F523ADC551\n","id":"e9b1e0cb2e14304ffb27d81fd1558974","link":"https://interface31.ru/post/otklyuchaem-obnovlenie-windows-na-sleduyushhuyu-versiyu-pri-pomoshhi-ustanovki-celevogo-vypuska/","section":"post","tags":["GPO","Windows 10","Windows Update"],"title":"Отключаем обновление Windows на следующую версию при помощи установки целевого выпуска"},{"body":"ALT Linux - один из самых старых, известных и самобытных, в хорошем смысле этого слова, отечественных дистрибутивов. А еще он самый российский из всех, так как весь цикл разработки ПО происходит в собственной экосистеме и отсутствует зависимость от других дистрибутивов. Также Альт - это еще и самый большой отечественный репозиторий - Sisyphus. Альт Рабочая станция - один из основных продуктов в линейке операционных систем Альт, предназначенный для автоматизации рабочих мест и работы с широким спектром программного обеспечения.\nАльт Рабочая станция - операционная система общего применения, в первую очередь для работы, она внесена в Единый реестр российских программ и поддерживает большое количество архитектур: x86 (Intel 32- и 64-битных), ARM64 (Huawei Kunpeng Desktop, NVIDIA Jetson Nano, Raspberry Pi 3 и Pi 4, «Байкал-М»), e2kv3/e2kv4/e2kv5 («Эльбрус»), mipsel («Таволга Терминал»), armh. Система бесплатна для использования физическими лицами, организации обязаны приобрести лицензию, стоимость лицензии на момент написания статьи составляла 5280 руб.\nМы уже рассматривали операционные системы семейства Альт, поэтому рекомендуем ознакомиться, если вы не сделали этого раньше, с нашими обзорами:\nРекомендуем к прочтению Обзор российских ОС Альт Рабочая станция 9 и Simply Linux Simply Linux 10 - ненавязчивый советский сервис Дистрибутивы, кроме архитектуры Эльбрус, которая предоставляется по запросу, можно свободно скачать с сайта разработчика. Далее мы будем тестировать 64-разрядную систему архитектуры x86 (X86-64), так как не видим в настоящее время практического смысла в использовании 32-разрядных систем.\nТакже как театр начинается с вешалки, дистрибутив начинается с инсталлятора. Здесь ничего нового, если вы уже работали с системами от Альт, то все будет привычно, только в новой цветовой гамме. Установка состоит из 12 шагов и начинается с выбора языка. Выбор невелик и довольно интересен своим составом. Здесь же сразу можно выбрать способ переключения раскладки клавиатуры. Лицензионное соглашение обычно никто не читает, хотя это бывает полезно, тем более оно небольшое, самое важное мы выделили. Почему мы обращаем на это внимание? Да потому что вокруг возможности бесплатного использования систем Альт постоянно возникают споры и кривотолки, хотя на самом деле все просто. Очень неплохо сделан выбор предустанавливаемого ПО, все по делу и можно сразу облегчить себе дальнейшую жизнь, например, включив поддержку стороннего ПО, которая установит необходимые зависимости и рекомендуемые пакеты для 1С:Предприятие или Крипто-ПРО. Мы бы вообще сделали данный пункт включенным по умолчанию, так как что-нибудь из указанного в списке ПО обязательно да понадобится. Кроме того, мы бы рекомендовали сразу установить поддержку Wine. Сам процесс установки довольно скучен, но система ставится быстро и вам должно не успеть надоесть рассматривать однотипные слайды. Затем настройка сети, создание пользователей, установка загрузчика. В общем все, как всегда, запутаться или ошибиться там принципиально негде и очень скоро вы должны успешно завершить процесс установки.\nПосле перезагрузки нас встречает экран входа в систему, и мы с тяжелым вздохом понимаем, что в Альте может измениться многое, но одно остается неизменно - графическое оформление. В качестве среды рабочего стола используется MATE - легкий вариант окружения, дальнейшее развитие Gnome2, для рабочей станции выбор неплохой. Но реализация не выдерживает никакой критики. Один только взгляд на рабочий стол и стартовое меню заставляет пугливо искать календарь, создается впечатление что мы перенеслись лет на двадцать назад. При этом меню откровенно запутанное и неудобное. Вообще, интерфейсные решения трудно назвать сильной стороной Альта и сильнее всего удивляет то, что имея средства и ресурсы разработчики не пытаются что-либо менять. Возьмем вот APT Indicator - апплет для проверки обновлений, его значок напоминает все что угодно, но никоим образом не ассоциируется с процессом обновления. При нажатии на него появляется окно с текстом, практически полностью повторяющим вывод консольного apt, для пользователя это прост \u0026quot;китайская грамота\u0026quot;, а опытный администратор быстрее обновит систему через консоль. Сам процесс обновления сопровождается появлением многочисленных дополнительных окон, которые только запутывают пользователя и не добавляют ясности. Тот же Вывод менеджера пакетов точно так же выводит сырой лог apt никак не поясняя что это и зачем, хорошо это или плохо. Для кого предназначен этот интерфейс? Для пользователя он сложен и неудобен, для администратора излишен. И таких сомнительных пользовательских интерфейсов в Альте хватает. Но за окном 2022 год и хотелось бы видеть более современные интерфейсы и стили оформления системы, потому как в текущем виде Альт выглядит откровенно устаревшим. Но по одежке только встречают и оценивать систему только по одному внешнему виду глупо. Поэтому давайте смотреть что у нас внутри. Рабочая станция 10 основана на ядре 5.10 LTS, выпущенном в декабре 2020 года, кстати это же ядро использует Debian 11. Для рабочей системы, которая будет составлять основу корпоративной линейки это хороший выбор, а здоровый консерватизм можно только приветствовать.\nСофт тоже достаточно свежий, но не самых последних версий и это также оправдано соображениями стабильности. Это дает свои плоды, Альт Рабочая станция - стабильный и надежный дистрибутив для повседневной работы. Да, можно критиковать его внешний вид, но он просто работает, каждый день, неделю за неделей. При этом Альт, в отличии от многих других отечественных дистрибутивов, предоставляет пользователям магазин приложений, который называется просто и незамысловато - Менеджер пакетов. Но его наличие трудно переоценить, так как любая современная система должна быть рассчитана в первую очередь на пользователя, который хочет включить компьютер и работать с ним, а не становиться специалистом в области операционных систем. Мы воспользовались магазином и без особого труда установили графический редактор GIMP, который, к приятному удивлению, оказался вообще последней версии, хотя тот же LibreOffice представлен более старым выпуском, но тоже актуальной сборкой. Подобный подход только радует, так как помогает соблюдать важный баланс между свежестью софта и стабильностью системы. На наш взгляд, разработчики нашли оптимальное сочетание, и мы можем только одобрить такое решение. А что у нас с потреблением ресурсов? Оно вполне умеренно и переход на 10 платформу не потребует от вас бежать в магазин за новым железом. Разметка диска также может немного удивить, раздел подкачки здесь расположен в самом начале диска, а не в конце, что может идти вразрез с некоторыми общепринятыми представлениями.\nСегодня даже бюджетный ПК предполагает SSD, возможно небольшой. И если производительность HDD зависела от расстояния от начала диска и самый быстрый доступ был в его начале, то для SSD это не имеет никакого значения, тем более что вы даже не знаете где у вас фактически расположено \u0026quot;начало диска\u0026quot;, так как технологии выравнивания износа стараются обеспечить равномерную загрузку ячеек.\nНо в случае замены диска на более емкий или расширения виртуального диска, а виртуализация сегодня плотно вошла в нашу жизнь, мы получим очень простую схему Подкачка - Раздел - Свободное пространство, вместо Раздел - Подкачка - Свободное пространство. Мы можем просто раздвинуть раздел без привлечения сторонних инструментов и сложных манипуляций, которые чреваты потенциальной возможностью потери данных. Что дальше? Wine, который мы поставили в процессе установки, так как нет-нет да приходится запускать в Linux что-то такое, что есть только под Windows. По умолчанию исполняемые файлы Windows не ассоциированы с Wine, но это легко исправить при первом же запуске. Wine тоже самый обычный, без тюнинга, поэтому смотрятся приложения ожидаемо не очень. Зато поддерживаются не только EXE, но и MSI-пакеты, мы без особых проблем установили и запустили широко известный в узких кругах Налогоплательщик ЮЛ. Ну и как же без 1С:Предприятие, мы скачали единый дистрибутив и выполнили установку платформы 8.3.21, все прошло в штатном режиме без каких-либо затруднений. Мы не даром выбрали поддержку сторонних приложений при установке, никаких дополнительных действий во время и после установки 1С не пришлось делать вообще. Все просто работает и работает как надо. Что у нас с сетевыми возможностями? Тоже все отлично. Широкий выбор VPN и туннелей, при этом популярный WireGuard тоже присутствует, но искать его надо в разделе виртуальных интерфейсов, там же где и IP-туннель, что правильно и логично, но не все додумаются туда посмотреть. Полностью поддерживается Samba, как для работы с Windows, так и между Альт-системами. Не возникло сложностей и с подключением сетевых принтеров, достаточно было просто указать адрес, далее система правильно определила модель и установила необходимый драйвер. Альт Рабочая станция 10 будет прекрасно чувствовать себя как в собственной среде, так в гетерогенном окружении, включая Active Directory. Пожалуй, это один из лучших вариантов для планомерной миграции на Linux. Также нет никаких проблем с удаленным доступом, при необходимости можно организовать терминальный доступ к критическим Windows-only приложениям. Настройки традиционно можно делать в двух местах: стандартной панели управления MATE и собственной разработке Альт - Alterator. Последний инструмент достаточно удобен, но, к сожалению, не охватывает 100% настроек системы. Но вместе две панели управления отлично дополняют друг друга и закрывают большинство повседневных задач. Ну не все же нам работать, надо иногда и отдыхать, система без проблем поддерживает воспроизведение HD-видео в браузере без существенной нагрузки на процессор, поддерживаются все современные технологии. Если хочется чего-то большего, то к нашим услугам VLC-плеер, способный воспроизводить все что угодно, включая IPTV в высоком качестве при достаточно скромном потреблении системных ресурсов. Выводы Альт Рабочая станция 10 - это крепкая, стабильная рабочая система, которая должна просто работать и привлекать к себе минимум внимания. И это все у нее есть. Технически к десятой платформе Альт вопросов нет, все сделано крайне грамотно и на очень высоком уровне. При этом присутствует совместимость с отечественным ПО и его поддержку можно активировать еще на стадии установки.\nТакже соблюден разумный баланс между стабильностью и свежестью софта, менее ответственные приложения имеют более свежие версии, более значимые придерживаются здорового консервативного подхода. В целом, если брать системы общего назначения для импортозамещения, то именно Альт предоставляет наиболее широкие возможности.\nЭто стабильная отечественная платформа с собственной средой разработки и долгой историей. Альт не зависит ни от одного дистрибутива и предоставляет самый обширный отечественный репозиторий \u0026quot;Сизиф\u0026quot;. Альт развивается, имеет активное сообщество и вполне может претендовать на звание Русский Linux №1.\nНо без ложки дегтя здесь не обошлось и тут даже не ложка, а целый половник. Это дизайн. Нет, мы не можем сказать, что с оформлением Рабочей станции все плохо, работать можно. Но глядя на систему не отпускает ощущение, что ты провалился лет на 15-20 в прошлое. И ведь никто не просит каких-то там эффектов или выдающейся графики. Просто достаточно привести внешний вид к современным нормам.\nТакже следует переработать и упростить ряд пользовательских интерфейсов, особенно тех, что касаются обновления системы. Философия UNIX предполагает, что программам следует молчать об очевидном. Поэтому чем меньше пользователь видит подробностей - тем лучше, к этом пришли все современные системы, даже Debian.\nВ остальном Альт берет и задает другим дистрибутивам достаточно высокую планку, оставаясь одним из лидеров отечественного рынка. Поэтому наша критика никак не умаляет его достоинств, а направлена на выявление и устранение имеющихся недостатков, что пойдет дистрибутиву только на пользу.\n","id":"95341a49928ad07f7bdd721b1fef1fc7","link":"https://interface31.ru/post/obzor-rossiyskih-os-alt-rabochaya-stanciya-10/","section":"post","tags":["ALT","Linux","Импортозамещение"],"title":"Обзор российских ОС. Альт Рабочая станция 10"},{"body":"С приходом твердотельных накопителей (SSD) в системе хранения данных многое изменилось. Появились новые возможности, а с ними и новые проблемы, а то, что было на протяжении многих лет незыблемым правилом в одночасье стало неактуальным. Один из животрепещущих вопросов - восстановление данных с таких накопителей. Здесь тоже нет единства мнений и хватает различных заблуждений, поэтому мы решили провести небольшой эксперимент, чтобы проверить возможность восстановления данных с SSD на практике.\nСамое распространённое мнение - данные с SSD восстановить нельзя и точка! Но тут же можно услышать возражение, мол мы восстанавливали и у нас получилось. Кто из них прав или истина, как всегда, посередине? Давайте разбираться. Мы взяли Samsung 860 EVO SATA M.2 - одну из наиболее популярных и производительных SATA-моделей с отлично работающим механизмом сборки мусора. В качестве программы для восстановления использовалась R-Studio 8.10.\nДля проверки мы собрали некоторый набор данных, состоящий из изображений, видео, офисных документов различных форматов, разместив их в иерархической структуре, при этом использовались как кириллические, так и латинские наименования.\nНиже мы рассмотрим самые популярные сценарии утраты данных и оценим возможности восстановления в той или иной ситуации.\nУдаление данных без использования корзины Практически любому пользователю с детства знакома комбинация Shift + Del, которая удаляет файл сразу, без использования корзины. Она же наиболее частый источник проблем со случайно удаленными файлами. Вот с этого сценария и начнем. Скопируем на накопитель наш набор данных и удалим их с использованием данной комбинации.\nСразу же, не мешкая, начнем сканирование диска. При этом мы не будем сканировать весь объем, потому как знаем, что других данных у нас на диске нет. И вроде бы даже еще не все так плохо, где-то половина файлов имеет хорошие шансы на восстановление. Но после восстановления ни один из файлов не смог быть прочитан. Но почему так получилось? Ведь имена, расположения и даже размер файлов соответствует исходным. Все просто, после того как мы удалили файлы файловая система послала диску команду TRIM и в дело вступил сборщик мусора и пока мы сканировали он продолжал свою работу. Программа по восстановлению установила расположение файлов и даже убедилась, что он не поврежден, но буквально в следующий момент после этого ячейки могли быть очищены и при восстановлении мы считали из них нули вместо данных, хотя внешне это и выглядит почти как исходный файл.\nЕсли же мы снова выполним сканирование, то уже не обнаружим никаких следов удаленных данных, сборщик мусора поработал на отлично. Таким образом вероятность восстановления удаленных с SSD файлов крайне мала и зависит от эффективности работы сборщика мусора, чем эффективнее он работает, тем меньше шансов на благополучный исход. Тем более что в реальном сценарии вы не знаете где именно размещался удаленный файл, а следовательно, вам придется просканировать весь диск, а за это время успеет убраться даже самый недорогой и нерасторопный контроллер.\nБыстрое форматирование Опыт жестких дисков приучил нас, что быстрое форматирование не несет никаких необратимых последствий, мы просто очищаем таблицу файлов, а сами данные как лежали на диске, так и лежат. Если вы не успели ничего записать поверх, то шансы на восстановление близки к 100%. Но с SSD все не так и дело снова в команде TRIM и уборщике мусора. Но в этот раз все происходит гораздо быстрее.\nМы точно также скопировали на диск набор данных, выдержали некоторую паузу и отформатировали диск, сразу после этого начав сканирование. Но тщетно: Возможно, на старом и медленном контроллере программа смогла бы \u0026quot;увидеть\u0026quot; кое какие данные, но по факту ко времени восстановления диск все равно должен успеть выполнить уборку, и попытка не увенчается успехом. Поэтому можно говорить, что быстрое форматирование SSD - это 100% гарантия полной потери данных.\nУдаление раздела А что будет если просто удалить раздел? Давайте посмотрим.\nК возможному удивлению некоторых сканирование нашло полный набор данных пригодных к восстановлению. Кстати, обратите внимание на то, как он выглядит при сканировании и сравните с первым скриншотом, когда мы сканировали после удаления. Все файлы оказались пригодны к восстановлению и были успешно восстановлены: Почему так? Ведь мы, как и прошлый раз, не трогали саму структуру данных, а просто изменили (очистили) некоторые заголовки или метаданные, но результат принципиально разный. Все дело в наличии файловой системы. При форматировании мы ясно дали понять, что здесь ничего нет, поэтому файловая система незамедлительно отправила TRIM, со всеми вытекающими. При удалении раздела ФС перестала существовать, непосредственно работать с неразмеченным пространством ОС не может, а следовательно, и отправлять TRIM некому и незачем.\nТаким образом, в отличие от быстрого форматирования, удаление раздела не несет угрозы данным на SSD и их спокойно можно восстановить.\nПовреждение файловой системы Характерным признаком повреждения файловой системы является определения поврежденного раздела как RAW. Причин этому может быть множество: от аппаратных сбоев, до неудачной переразметки. Но нас сейчас интересует иное, мы взяли в руки двоичный редактор и сознательно испортили метку файловой системы. Тем не менее сканирование отлично нашло данные, и мы полностью их восстановили. Однако следует понимать, что в реальном сценарии возможность восстановления данных будет зависеть от причин и характера повреждений файловой системы и говорить о каких-то гарантиях здесь нельзя. Но никакого дополнительного влияния на ситуацию SSD не оказывает и восстановлению данных не препятствует.\nЕсли файловая система перешла в состояние RAW, то это обозначает, что ОС не смогла определить ее тип, следовательно, никакие действия с такой системой предприниматься не будут, TRIM никто не отправит и за данные можно не беспокоиться.\nПовреждение или удаление разметки Пойдем дальше, с помощью того же двоичного редактора затрем начальные сектора диска, после чего мы видим следующую картину: Тем не менее данные на таком диске отлично находятся и восстанавливаются. Причина - та же самая, нет файловой системы - некому отправлять TRIM (или писать в занятые ячейки), сборщику мусора нечего убирать. В реальной ситуации возможность восстановления данных будет зависеть от причин и характера повреждений, но это снова никак не связанные с технологией твердотельных накопителей вещи. все сказанное справедливо и для жестких дисков.\nВыводы Как можно было заметить, основную опасность для данных несут те сценарии, где мы явно сообщаем системе, что определенная область данных теперь не используется и может быть очищена. После чего накопителю будет послана команда TRIM и за дело возьмётся сборщик мусора. Именно это и происходит при удалении файлов или форматировании. Вероятность восстановления в данном случае близка к нулю.\nВ случае удаления раздела, повреждении файловой системы или разметки нормальная работа с таким томом прекращается, занятые ячейки по-прежнему остаются занятыми и мы можем спокойно заниматься попытками восстановления данных, успешность которых будет зависеть от характера, причин и масштабов повреждений.\nПоэтому обе приведенные в начале статьи точки зрения неверны. Данные с твердотельных накопителей восстанавливать можно, но только в определенных сценариях, в то время как ряд иных случаев, не представляющих угрозы для HDD, на SSD означает полную потерю данных.\n","id":"37dbd2bcbffa773f4c223c32a954a2e6","link":"https://interface31.ru/post/mozhno-li-vosstanovit-dannye-s-tverdotel-nogo-nakopitelya-ssd/","section":"post","tags":["SSD","TRIM","Восстановление данных"],"title":"Можно ли восстановить данные с твердотельного накопителя SSD"},{"body":"Несколько лет назад мы делали большой обзор по настольным системам на базе FreeBSD и пришли к довольно неутешительным выводам и в целом закрыли для себя эту тему. Но снова столкнуться с BSD пришлось там, где не ждали - в реестре российского ПО, который содержит настольную операционную систему Ульяновск.BSD от отечественного разработчика. Система коммерческая, хотя и стоит недорого, но разработчик любезно предоставил нам самый свежий дистрибутив для обзора, чем мы сегодня и займемся.\nСразу скажем, мы всегда благосклонно относимся к любым отечественным разработкам, даже содержащим разного рода недостатки. Не ошибается только тот, кто ничего не делает. В тоже время все наши обзоры мы строим с позиции обычного пользователя, который не является техническим специалистом и просто хочет включить компьютер и работать с ним.\nМы уже не раз получали упреки от причастных к той или иной системе людей, мол автор сам не знает о чем пишет, на самом деле все не так, мы то знаем. Знать мало, нужно делать и показывать результат своего труда окружающим, чтобы оно перестало быть неким тайным знанием, а приносило пользователю положительные эмоции от использования системы. Будем отталкиваться от того, что для начала работы с Windows или macOS никаких инструкций читать не нужно.\nИтак, Ульяновск.BSD (UL.BSD) - настольная операционная система общего назначения, основана на текущей версии FreeBSD 12.3 с доработками от отечественного разработчика. Основной разработчик Волков Сергей Вячеславович - технический специалист и предприниматель, поклонник FreeBSD. Следует отметить очень неплохой и информативный официальный сайт, что для проектов такого уровня редкость. Видно, что человек подходит с душой к своему делу и действительно стремится к продвижению и популяризации BSD-систем.\nНо любые, даже самый лучшие побуждения, сталкиваются с объективной реальностью, которая вносит свои коррективы и уже исходя из которых мы будем делать свои выводы. Любая технология и операционная система не исключение, должны помогать пользователю решать его насущные задачи. Фанатизм тут неуместен. Скажем, я могу быть фанатом велосипеда, но если на улице намело сугробы глубиной по пояс, то лучше, наверное, взять лыжи.\nКлассика BSD-систем - это псевдографика на начальном экране, в UL.BSD традиции сохраняются, нас встречает серп и молот. Инсталлятор на базе стандартного BSD-инсталлятора, но подход принципиально иной, никаких особых настроек там нет, система разворачивается из образа на указанный диск, затирая все содержимое. Все, что вы можете выбрать - это тип файловой системы: И пароль суперпользователя root: Еще зачем-то спрашивают лицензионный ключ, вводить его при установке - еще то издевательство, тем более что этот шаг можно свободно пропустить, мы не вводили никакого ключа и не испытали проблем при эксплуатации системы. Сама установка ничем не примечательна, на экран выводится лог копирования файлов образа на диск, за это время вы успеете выпить кофе или сбегать в магазин за чем покрепче, в данном случае это не будет лишним. В целом такой подход, если мы говорим о классическом установщике BSD, имеет право на существование, потому как справиться с оригиналом неподготовленному человеку довольно сложно и мест, где можно фатально ошибиться, хватает.\nНикаких пользователей, кроме root, в процессе установки не создается, и он же будет предложен ко входу в систему после перезагрузки. На наш взгляд - это порочная практика, очень многие просто продолжат работу под этой учетной записью, не заморачиваясь над самоограничениями. Это хорошо показала практика Windows, где от наличия административных прав у просто пользователя старательно избавлялись начиная с NT 6 (Vista). Внутри нас встречает KDE Plasma и на первый взгляд все вполне прилично и аккуратно. Графика, шрифты. значки, сглаживание - все на уровне, глаз ни за что не цепляется. На панели задач представлены файловый менеджер, настройки и браузер. В качестве последнего используется Firefox ESR достаточно свежей версии, никаких проблем с ним не возникло, сайты отображаются нормально, с воспроизведением мультимедийного содержимого, включая FullHD 1080p тоже все хорошо. Офисный пакет представлен LibreOffice, что-либо новое про него сказать трудно, кроме того, что пакеты свежие. При этом везде следует отметить внимательный подход к графическому оформлению системы. Да, применяются свободные шрифты и открытые наборы значков, но главное - нет никакой вырвиглазности, чем грешат многие основанные на BSD-системы. Единственное, что выбивается из общего ряда - это терминал. Может быть это так и задумано - зеленое на черном, некая такая отсылка к хакерам из 90-х, но реально работать в таком оформлении тяжело. Мы бы предпочли видеть терминал в более спокойных тонах, тем более что сделать это несложно, а кому надо - пусть раскрашивает сам. Пока что, пока мы работали с предустановленным софтом - все проходит гладко. Никаких серьезных замечаний к системе нет, все сделано хорошо и добротно. Давайте же посмотрим, как обстоит дело с настройками. Для этого предназначено приложение Параметры системы, закрепленное на панели задач. Настроек немного, но большую часть необходимого пользователю они закрывают. А вот дальше начинаются интересные вещи, одноименные пункты Параметров системы и раздела Настройка стартового меню имеют одинаковые значки, но вызывают совершенно разные приложения. При этом часть настроек совершенно бестолковая и ненужная ни обычному пользователю, ни администратору средней руки. Когда кто-то из вас настраивал задержку чтения из сокета? Диспетчер служб в текущем виде абсолютно бесполезен, без описания, хотя бы краткого, назначения каждой службы это равносильно китайской грамоте: очень интересно, но ничего не понятно. Ладно, давайте все-таки заведем обычного пользователя. Открываем нужный раздел в параметрах системы и... А вот тут подвезли и первые проблемы. Если заполнить предложенные на первом экране поля. то пользователя завести невозможно, как и невозможно задать ему пароль, кнопки просто не работают. Зато пользователь прекрасно заводится через кнопку Добавить пользователя слева внизу. Как потом выяснилось, на начальном экране можно только редактировать существующих пользователей. Теперь выходим из системы и пробуем войти под обычной учетной записью. Не получается... Перезагружаемся. Снова не получается... Возможно, это решается быстро и просто, возможно я где-то что-то не прочитал. Но, за окном у нас 2022 год и такие простые и утилитарные задачи, как заведение нового пользователя не должны в принципе требовать каких-либо дополнительных усилий. Так что тут первый серьезный провал.\nИдем дальше, никаких графических средств управления пакетами и ПО в системе нет. Вообще. Никаких. Здесь можно много говорить о том, что софт устанавливается специалистами, которым удобнее консоль и вообще это централизованный процесс и т.д. и т.п. Но, существует очень много мест, где сисадмин или приходящий, или на полставки (в бюджете) и ждать его можно долго. Да и самому администратору мало радости бегать, чтобы поставить кому-то очередной Скайп.\nВ общем, если вы умеете работать с пакетным менеджером BSD - хорошо, нет - учитесь. Ну а пока же мы попробуем поставить GIMP. При этом очень не радует скорость доступа к репозиториям, в нашем случае она редко превышала 1 МБ/с, что делало процессы установки и обновления достаточно долгими и утомительными. Но вот GIMP установлен, запущен, работает. Может быть и не все так плохо? Ну подумаешь - консоль, где наша не пропадала... Но тут встает в полный рост проблема наличия под FreeBSD популярного софта. Возьмем те же мессенджеры. В репозиториях есть только Телеграм, для WhatsApp можно использовать веб-версию, а вот пользователи Viber в пролете. Можно сколь угодно долго злословить на эту тему, но сейчас всем, кто активно работает в сети нужно держать полный набор мессенджеров. Где-то партнеры, где-то заказчики, где-то поставщики и вряд-ли ради вас кто-то будет переходит в другое приложение. Если же брать более специфическое рабочее ПО, такое как 1С:Предприятие, отечественная криптография или офисные пакеты из реестра отечественного ПО, то все становится очень печально. Знает ли об этом разработчик? Знает и даже сам пишет в инструкциях:\nСистема программ 1С:Предприятие 8 существует только для операционных систем Windows, Mac OS и Linux. Поэтому напрямую запустить, например, клиентскую часть системы программ 1С:Предприятие 8 в Ульяновск.BSD невозможно (запуск в трансляторе wine рассматривать не будем). Однако, есть несколько вариантов решения этой проблемы.\nА далее предлагаются варианты с терминальным сервером или виртуалкой с Linux на борту. Но не везде есть ресурсы для выполнения указанных требований. Хотя с терминальным доступом проблем нет, KRDC нормально работает. Также можно использовать веб-клиент 1С:Предприятие, он хотя и предупреждает о неподдерживаемой ОС, но все-таки работает. Для многого иного софта разработчик советует установить linuxulator на базе Ubuntu:\nНачиная с версии базовой системы FreeBSD 12.2 появилась возможность использовать linuxulator для запуска Linux-приложений не только в стандартном пользовательском окружении на базе CentOS, но и в пользовательском окружении на базе Ubuntu. Поэтому в Ульяновск.BSD теперь можно установить некоторые приложения, версий которых для FreeBSD нет.\nИ ниже обширное полотно команд и конфигурационных файлов. На наш взгляд, если с собственным софтом в BSD все очень нерадостно, то это должно быть включено в дистрибутив по умолчанию, потому как прилагаемая инструкция отпугнет не только пользователей, но и часть администраторов, особенно если систем не одна-две, а больше.\nПро офисные пакеты:\nВ настоящее время не существует нативной версии Р7-Офис для операционных систем семейства BSD. Однако, это не значит, что запустить Р7-Офис в операционной системе Ульяновск.BSD невозможно. Есть несколько вариантов:\nИли:\nВ настоящее время не существует нативной версии МойОфис для операционных систем семейства BSD. Однако, это не значит, что запустить МойОфис в операционной системе Ульяновск.BSD невозможно. Есть несколько вариантов\nВсе перечисленные варианты сводятся или к работе по сети, или установке продукта в виртуалку с Linux, или Windows-версии через Wine.\nУстановка Крипто-Про через linuxulator тоже таит свои подводные камни:\nВнимание! К сожалению, при работе в пользовательском Linux-окружении в настоящее время возможно использование сертификатов цифровых подписей только из контейнеров, находящихся на HDIMAGE.\nЭто, к сожалению, сразу отсекает возможность работы с новыми, неизвлекаемыми ключами (не путать с неэкспортируемыми) выдаваемыми с 2022 года и целым рядом госпорталов, которые в системах отличных от Windows поддерживают вход только по токену, например, Госуслуги.\nИ вот здесь возникает закономерный вопрос: а зачем все это нужно? Ради чего превозмогать все эти сложности? Может просто поставить Linux и спокойно работать? Какие-такие преимущества несет в себе BSD, ради которых можно мириться с представленными выше сложностями? У нас ответа нет.\nЧто еще? Создать VPN-подключение? И снова добро пожаловать в консоль, хотя в любом Linux это делается элементарно. В общем все, что сложнее смены обоев рабочего стола потребует от вас вдумчивого чтения мануалов и последующей работы в консоли. Так может это полезный опыт? И снова нет, вряд ли что-то из этого пригодится вам в Linux, снова придется переучиваться. Выводы В целом Ульяновск.BSD вызвала у нас неоднозначные впечатления. С одной стороны, это очень хорошо сделанная настольная BSD-система, пожалуй, одна из лучших, работа с которой не вызывает дискомфорта и отторжения. Выглядит она тоже современно и привлекательно. Но на этом все плюсы кончаются.\nНастройки? Ну есть немного, на уровне настроить экран, раскладку клавиатуры и сменить обои, за остальным добро пожаловать в консоль с Handbook под мышкой. Хотя в Linux практически все делается на уровне графического окружения.\nПро софт мы лучше промолчим. Нужного для работы прикладного ПО для FreeBSD не было, нет и не будет. Поэтому придется превозмогать, используя виртуалки, терминальные сервера и режим эмуляции Linux. Но зачем? Ведь можно просто использовать Linux, где этих проблем нет. Какие плюсы может предложить BSD, чтобы перекрыть описанные минусы?\nИ, наконец, перспективы. А они у BSD весьма туманны. В мейнстриме сейчас Linux, для него выпускается все закрытое и коммерческое ПО, имеется наработанный опыт, оказывается поддержка. BSD сегодня - это экзотика, не такая как Haiku, но движущаяся куда-то туда. И строить свою инфраструктуру на подобных ОС - это надо быть или действительно фанатом и энтузиастом BSD, или сказочно смелым человеком.\nПодытожим. Если рассматривать Ульяновск.BSD как настольный вариант BSD, то все очень хорошо. Система добротно и качественно сделана, отлично и современно выглядит. Если говорить о работе, применительно к российским реалиям, то плохо абсолютно все: нативного софта нет и не будет, а чтобы работать с тем, что есть - нужно прилагать постоянные усилия, постоянно что-то превозмогать.\nНо надо ли? Особенно если есть отличные альтернативы в стане Linux, где все тоже самое просто работает.\n","id":"c303b04634d9c582d2fcca9695f2242d","link":"https://interface31.ru/post/ul-yanovskbsd-nash-surovyy-otvet-pingvinam/","section":"post","tags":["FreeBSD","Linux","Импортозамещение"],"title":"Ульяновск.BSD - наш суровый ответ пингвинам!"},{"body":"Электронно-цифровая подпись (ЭЦП) и токены, как средство ее хранения, плотно вошли в нашу жизнь, трудно представить себе предприятие, где нет хотя бы одной подписи. Другая распространенная технология - это удаленный рабочий стол (RDP), это может быть как сервер терминалов, так и просто доступ к рабочему месту сотрудника. Вполне ожидаемы попытки использовать обе эти технологии совместно, где и начинаются проблемы. В большинстве своем они проистекают от непонимания того, что такое токен, для чего он нужен и как с ним правильно работать.\nЕсли мы говорим о токенах применительно к ЭЦП, то их основная задача - безопасное хранение закрытого ключа. Компрометация закрытого ключа равносильна полной утере подписи, так как с его помощью любой желающий может совершать от вашего имени юридически значимые действия. Использование усиленной квалифицированной электронной подписи (УКЭП) равносильно нотариально заверенной собственноручной подписи владельца. Начиная с 2022 года УКЭП выдается ФНС в единственном экземпляре, тем самым завершив эпоху зоопарка подписей, когда одно и тоже лицо (юридическое или физическое) могло иметь кучу подписей от разных УЦ, каждая из которых использовалась для собственного сервиса.\nМы немного отклонились от темы. Но, благодаря этому отступлению можно понять, что ЭЦП - это очень важно и к ее безопасности следует относиться серьезно. Токены решают одну простую задачу - не допустить выход закрытого ключа за свои пределы. При любых криптографических операциях закрытый ключ не покидает пределов токена и не может быть просто так оттуда скопирован. В этом его основное отличие от таких хранилищ ЭЦП как флеш-карта или реестр, откуда ключи можно легко извлечь при наличии доступа.\nУчитывая важность ЭЦП сложилась следующая парадигма - токен это индивидуальное аппаратное средство подписи и аутентификации, а сама идея удаленного доступа к нему идет вразрез со всеми представлениями о безопасности.\nВнимание! Начиная с Windows Vista при подключении к компьютеру при помощи RDP работа со смарт-картами и токенами, подключенными к удаленной машине невозможна.\nЧтобы лучше разобраться в этом вопросе давайте проведем некоторые практические эксперименты. Мы будем использовать в них токены JaCarta, но это не имеет никакого значения, аналогично будут вести себя любые токены от любого производителя.\nПодключим токен непосредственно к серверу терминалов и подключимся к нему интерактивно, т.е. через локальную консоль. В системе токен определяется как смарт-карта и устройство чтения смарт-карт. Родное ПО также видит токен и сертификаты на нем: А теперь подключимся к этому же серверу по RDP, нас ожидает совершенно иная картина, хотя Диспетчер устройств будет продолжать нам показывать присутствие токена в системе: Как мы уже писали выше, из RDP-сессии доступ к токенам и смарт-картам, подключенным к удаленному устройству невозможен!\nЕсли же мы подключим токен к локальному компьютеру и снова подключимся к удаленному серверу, то увидим, что ПО на сервере видит токен и может полноценно с ним работать. При этом на локальном компьютере не нужно устанавливать ПО для токена, если вы будете работать с ним только удаленно. Обратите внимание, что Диспетчер устройств не показывает подключенного к серверу устройства. У многих здесь может возникнуть вопрос: а безопасно ли это? Пробрасывать токен на сервер? Да, безопасно, потому что пробрасывается стандартное устройство смарт-карта и все последующее взаимодействие идет именно с этим устройством, а критически важная информация, такая как закрытый ключ, ни при каких обстоятельствах не покидает пределы токена.\nА если пользователей несколько и у каждого свой токен со своей ЭЦП? Ничего страшного, система предоставляет эффективную изоляцию токена в пределах сеанса. Берем еще один токен, подключаем ко второму компьютеру и соединяемся с сервером, как мы и ожидали, в текущей сессии пользователь видит только свой ключ. Поэтому единственный правильный вариант сочетания ЭЦП расположенной на токенах и удаленного рабочего стола (RDP) - это расположение токена на клиенте с последующим пробросом устройства смарт-карты на терминальный сервер. С настройками по умолчанию это происходит автоматически, в противном случае проверьте, что у вас разрешен проброс смарт-карт как на клиенте, так и на сервере. Но иногда все-таки бывают задачи, которые требуют использовать токен удаленно, в этих случаях следует использовать иные средства удаленного доступа, предполагающие подключение к текущему консольному сеансу. Последнее условие важно, сеанс к которому вы будете подключаться должен быть создан на сервере локально, а не через удаленный доступ.\nПотому что даже если мы запустим TeamViewer или аналогичное ПО в RDP-сеансе, то мы не увидим токена, а попытавшись закрыть удаленный сеанс потеряем с ним связь. Если же мы выполним локальный вход на сервер и запустим в рамках этого сеанса средство удаленного доступа, то токен снова будет доступен. Как видим, если понимать основные принципы работы токенов при RDP-подключении, то никаких сложностей по работе с ними нет. Если необходим удаленный доступ, то вместо RDP используем иные средства, позволяющие непосредственно подключаться к локальному сеансу. Ну и не забываем, что ЭЦП - это большая ответственность и вопросы безопасности должны стоять на первом месте.\n","id":"e344bc0efaf4b7572e027789aa587efa","link":"https://interface31.ru/post/tokeny-i-udalennyy-rabochiy-stol-rdp-podklyuchenie/","section":"post","tags":["RDP","Windows","Windows Server","Криптография","Сервер терминалов","ЭЦП"],"title":"Токены и удаленный рабочий стол (RDP подключение)"},{"body":"Жесткие и символические ссылки давно знакомы и активно используются Linux-администраторами, в то время как их Windows коллеги используют их гораздо реже, а некоторые вообще не знают о такой возможности. Тем не менее такая возможность в Windows существует и позволяет значительно упростить некоторые сценарии работы с папками и файлами. В данной статье мы рассмотрим все виды ссылок, доступные в среде ОС Windows, а также разные способы работы с ними, начиная от командной строки и заканчивая PowerShell.\nЖесткие ссылки (HardLink) Жесткие ссылки представляют собой дополнительную запись в файловой таблице раздела для существующего файла. Таким образом жесткая ссылка ничем не отличается от исходного файла, но файл при этом не копируется физически и остается на диске в единственном экземпляре. При изменении файла по любой из жестких ссылок, остальные обновляются автоматически (что логично, так как файл один).\nМы можем переименовывать, копировать, перемещать (в пределах логического тома) ссылки - размер занимаемого места при этом не изменится. При удалении ссылок файл продолжает существовать до тех пор, пока не будет удалена последняя жесткая ссылка на него. Фактически отличить, где находится оригинальный файл, а где жесткая ссылка невозможно, по сути, файл на разделе это и есть жесткая ссылка.\nЖесткая ссылка может существовать только в пределах логического тома, поддерживается файловыми системами NTFS и ReFS начиная со сборки 19536.\nДля создания жесткой ссылки можно воспользоваться утилитой mklink:\n1mklink /H C:\\Folder1\\LinkFileName C:\\Folder\\FileName Где ключ /H предписывает создать именно жесткую ссылку, далее следует путь к новому файлу и целевому файлу, на который мы делаем ссылку. Путь можно указывать как абсолютные, так и относительные, в имени создаваемого файла не забывайте указывать расширение. Ссылки можно создавать и при помощи PowerShell, для этого воспользуйтесь командой:\n1New-Item -ItemType HardLink -Path C:\\Folder1\\LinkFileName -Target C:\\Folder\\FileName Команда другая, но принцип тот же самый: -ItemType - тип создаваемой ссылки, в нашем случае жесткая ссылка, -Path - путь к создаваемому файлу ссылки, -Target - файл на который мы делаем ссылку. Можно ли сделать жесткую ссылку на директорию? Нет, только на файлы.\nВроде бы все понятно, но если внимательный читатель заглянет в свойства папки с жесткой ссылкой, то он увидит, что ее размер равен исходному файлу, если сделаем в ней еще одну жесткую ссылку - двум исходным файлам. Как так? Не стоит переживать, все нормально. Для операционной системы жесткая ссылка ничем не отличается от обычного файла и при подсчете свободного места учитывается размер каждой ссылки, но на самом деле на диске хранится единственная копия. В этом можно убедиться, если одновременно с созданием жестких ссылок контролировать свободное место на диске.\nПри желании мы можем провернуть даже такой фокус: Какой вывод можно сделать из того, что мы увидели и где нам могут пригодиться жесткие ссылки? Прежде всего для предоставления пользователям доступа к объемным архивам, образам или инсталляционным пакетам. Скажем у вас есть файловый сервер и несколько отделов, каждому из которых нужно предоставить доступ к одному и тому же большому файлу. При этом вы можете не бояться, что кто-то удалит файл, он удалит его только у себя в директории, для остальных пользователей он останется доступен.\nНо при этом надо очень внимательно относиться к вопросу одновременного редактирования файла, так как он существует в единственном экземпляре, но доступен по множеству ссылок в этом сценарии могут возникнуть самые разные коллизии.\nТочки соединения (Junction) Очень старая технология, поддерживаемая еще начиная с Windows 2000, позволяет сделать один из каталогов псевдонимом другого каталога. Чем-то напоминает символические ссылки, но в крайне упрощенном варианте. В качестве цели можно использовать только локальные папки, но при этом нет ограничения по размещению их на одном томе. Т.е. целевая папка может находиться на диске C:, а точка соединения для нее на диске D: и все будет работать. Точки соединения поддерживаются файловыми системами NTFS и ReFS.\nДля создания точки соединения можно использовать mklink:\n1mklink /J D:\\LinkFolder C:\\Folder Ключ /J указывает на создание точки соединения, далее следует папка каталога-псевдонима и папка целевого каталога. При любом изменении целевого каталога (перемещение, переименование, удаление) точка соединения перестает работать.\nОбратите внимание, что данная папка в проводнике отображается как ярлык, а выводе команды dir как точка соединения. Это же действие в PowerShell:\n1New-Item -ItemType Junction -Path D:\\LinkFolder -Target C:\\Folder Комментировать здесь особо нечего, краткость не входит в число добродетелей PowerShell, но не оставляет места догадкам, все просто и понятно.\nЗачем сейчас нужны точки соединения? После появления в NT 6.0 настоящих символических ссылок не нужны, но вы можете встретиться с ними как в устаревших системах, так и в современных, где они могут присутствовать в виде наследия. Поэтому знать о них и уметь с ними работать современному администратору надо.\nСимволические ссылки (SymbolicLink) Пожалуй, самый популярный вид связи, позволяет создавать множество псевдонимов для файлов или каталогов размещая их на любых поддерживаемых локальных файловых системах. В качестве цели могут быть использованы как локальные, так и сетевые объекты. При создании символической ссылки можно использовать как абсолютные, так и относительные пути. Но в последнем случае вы не можете перемещать ссылку - она перестанет работать. Символические ссылки поддерживаются начиная с NT 6.0 (Vista и Server 2008) и работают с файловыми системами NTFS и ReFS.\nДля создания символических ссылок можно использовать mklink, без параметров она создает симлинк для файла:\n1mklink C:\\Folder1\\LinkFileName C:\\Folder\\FileName При создании ссылки не забываем указать расширения для файла. Как и в случае с точкой соединения символическая ссылка отображается в виде ярлыка и обозначается в выводе команды dir: Для создания символической ссылки на директорию добавьте ключ /D:\n1mklink /D D:\\LinkFolder C:\\Folder В PowerShell все проще, тип объекта будет определен автоматически:\n1New-Item -ItemType SymbolicLink -Path C:\\Folder1\\LinkFileName -Target C:\\Folder\\FileName Если в качестве цели указан файл - будет создана ссылка на файл, каталог - ссылка на каталог.\nПри переименовании, перемещении или удалении исходного файла или каталога все символические ссылки работать перестанут: При копировании символической ссылки за пределы локального тома будет скопирован исходный файл, даже если целевой том поддерживает работу со ссылками, но это не мешает создать новую ссылку на другом томе.\n","id":"2890971362148eb499fb2329fa065170","link":"https://interface31.ru/post/rabotaem-s-zhestkimi-i-simvolicheskimi-ssylkami-v-windows/","section":"post","tags":["Microsoft","PowerShell","Windows 10","Windows 11","Windows 7","Windows 8","Windows Server","Файловый сервер"],"title":"Работаем с жесткими и символическими ссылками в Windows"},{"body":"Говоря о защите сетевых служб, многие администраторы сразу вспоминают о VPN, нередко забывая об иных, не менее эффективных способах. Да, VPN позволяет эффективно решить эту задачу, но не всегда бывает удобен и очень часто избыточен. Особенно если нужно защитить одну - две сетевые службы. Поэтому давайте посмотрим на доступные альтернативы, одна из них - это stunnel, SSL-прокси с широкими возможностями, одна из них - создание защищенного соединения между двумя узлами. Подробности в нашей статье.\nЧтобы понять для каких случаев предпочтительнее stunnel снова вернемся к VPN, при всех ее достоинствах некоторые из них могут обернуться недостатками. С помощью VPN легко предоставить доступ ко всем ресурсам внутренней сети, но если с той стороны находится неконтролируемый или внештатный сотрудник (скажем бухгалтер на аутсорсинге), то этот плюс моментально превращается в минус. И нам уже надо думать не о том, как доступ к сети предоставить, а о том, как бы его закрыть.\nВ то же время stunnel предусматривает совершенно иной принцип работы, он работает на уровне TCP-соединений и позволяет просто и эффективно защитить его при помощи современного шифрования. С его помощью клиент будет иметь доступ к одному единственному порту сетевой службы и никуда более. При необходимости можно настроить несколько таких соединений.\nДля примера мы рассмотрим организацию доступа к веб-серверу с опубликованной на нем базой 1С:Предприятия, доступ к которой должен иметь удаленный сотрудник. Будем считать, что веб-сервер с модулем расширения 1С установлен на машине с Linux (Debian или Ubuntu) расположенной в локальной сети предприятия, веб-сервер принимает подключения по протоколу HTTP без шифрования. Задача - обеспечить доступ к 1С с рабочего места бухгалтера.\nВсе команды в ОС Linux следует выполнять от имени суперпользователя (root), если не указано иного.\nСоздание ключей и сертификатов Каждый раз, когда мы говорим об SSL, начинать следует с ключей и сертификатов. Варианты тут могут быть самые разные, все зависит от решаемых задач. В нашем случае требуется связать между собой несколько хостов, которые будет настраивать один и тот же человек, поэтому вполне достаточно будет самоподписанных сертификатов.\nИзменим маску системы, чтобы на создаваемые файлы сразу выдавались нужные права:\n1umask 077 Перейдем в корневую папку и создадим там директорию для хранения ключей и сертификатов:\n1cd ~ 2mkdir pki Перейдем в нее и сразу создадим ключевую пару сервера:\n1cd pki 2openssl req -new -x509 -days 3650 -newkey rsa:3072 -nodes -keyout server.key -out server.crt -subj \u0026#34;/O=Interface LLC/CN=stunnel\u0026#34; Эта команда создает сертификат с длинной ключа 3072 бит и сроком на 10 лет, также мы указали дополнительный параметр subj, в котором по минимуму заполнили поля сертификата, чтобы в будущем можно было хотя бы понять, что это за сертификат и для чего он нужен.\nАналогичным образом создаем сертификат для клиента. Хотя если действовать правильно, то его следует формировать на ПК клиента и на сервер передавать только открытый ключ или сертфикат CA, но мы сами себе доверяем и поэтому будем формировать и хранить все в одном месте.\n1openssl req -new -x509 -days 365 -newkey rsa:3072 -nodes -keyout client1.key -out client1.crt -subj \u0026#34;/O=Interface LLC/CN=client1\u0026#34; Единственный момент - срок действия сертификата, мы не рекомендуем выпускать клиентские сертификаты на большой срок, особенно если вы не контролируете устройство клиента. Лучше раз в год перевыпустить сертификат, чем где-то будет кочевать полностью неконтролируемое устройство с валидным сертификатом на 10 лет.\nТеперь объединим сертификаты и ключи клиентов и сервера в один файл:\n1 cat server.key server.crt \u0026gt; server.pem 2 cat client1.key client1.crt \u0026gt; client1.pem Вернем маску к исходным значениям:\n1umask 022 Ключи клиентов нам нужно будет передать на целевые ПК, поэтому скопируем их в каталог обычного пользователя (в нашем случае это andrey) и сделаем его их владельцем:\n1cp client1.pem ~andrey 2chown andrey:andrey ~andrey/client1.pem Обратите внимание, что файлы содержат закрытый ключ и после того, как вы передадите их на клиента из каталога обычного пользователя, их следует удалить.\nНастройка сервера stunnel Обновим список пакетов в системе и установим stunnel:\n1apt update 2apt install stunnel4 Конфигурационные файлы программы располагаются в /etc/stunnel, но сейчас там пусто, поэтому начнем с создания общего конфигурационного файла:\n1nano /etc/stunnel/stunnel.conf В данном случае мы используем редактор nano, если вам больше по душе редактор от mc, то замените в команде nano на mcedit.\nЗатем внесем в него следующие строки:\n1pid = /var/run/stunnel4/stunnel.pid 2 3debug = info 4output = /var/log/stunnel.log 5syslog = no Затем плавно переходим к настройкам шифрования, так как у нас \u0026quot;театр одного актера\u0026quot;, то нет необходимости поддерживать совместимость с различными типами клиентов, можно сразу задать требуемые настройки шифрования. Мы будем безальтернативно использовать последнюю версию протокола TLS 1.3:\n1sslVersion = TLSv1.3 В качестве эллиптической кривой для алгоритма Диффи-Хеллмана будем использовать быструю и эффективную Curve25519:\n1curves = X25519 Теперь зададим шифр. Здесь есть над чем подумать, так как большинство современных процессоров поддерживает аппаратное ускорение AES, то предпочтительно выбирать шифры на его основе, можно начать со 128 битного:\n1ciphersuites = TLS_AES_128_GCM_SHA256 Либо использовать более надежный, но и более тяжелый 256 битный шифр:\n1ciphersuites = TLS_AES_256_GCM_SHA384 Для систем без аппаратного ускорения AES предпочтительно использовать шифр ChaCha20, который применяется в WireGuard:\n1ciphersuites = TLS_CHACHA20_POLY1305_SHA256 Ниже добавим секцию для нашего сервиса, таких секций может быть множество.\n1[1C] 2accept = 192.168.72.197:443 3connect = 127.0.0.1:80 4verifyPeer = yes 5cert = /etc/stunnel/server.pem 6CAfile = /etc/stunnel/clients.pem Давайте разберем указанные опции:\naccept - адрес и порт, где сервер будет принимать подключения, указываем адрес в локальной сети и порт 443 (либо любой другой). connect - адрес и порт куда будем перенаправлять подключения, мы подключаемся к apache локально, можем вообще ограничить его только localhost. verifyPeer - необходимо ли проверять сертификат клиента, в нашем случае необходимо, так как сервис закрытый. cert - путь к ключевой паре сервера CAfile - путь к файлу для проверки сертификатов клиента, он должен содержать сертификаты CA, которым мы доверяем, а в случае с самоподписанными сертификатами - их самих. Сохраним конфигурационный файл и снова вернемся в директорию с ключами и сертификатами, скопируем нужные файлы:\n1cd ~/pki 2cp server.pem /etc/stunnel Теперь создадим и заполним файл доверенных сертификатов, допустим у нас есть сертификаты двух клиентов:\n1cat client1.crt client2.crt \u0026gt;\u0026gt; /etc/stunnel/clients.pem Если у нас появляется еще один клиент, то добавить его сертификат в файл можно командой:\n1cat client3.crt \u0026gt;\u0026gt; /etc/stunnel/clients.pem Теперь можно перезапустить сервис:\n1systemctl restart stunnel4 И проверить его состояние:\n1systemctl status stunnel4 Также не забудем добавить сервис в автозагрузку:\n1systemctl enable stunnel4 Перезагрузим компьютер и убедимся, что все работает и служба stunnel запускается без ошибок.\nНастройка клиента stunnel Скорее всего в качестве клиента будет выступать ПК с операционной системой Windows, поэтому дальнейшие действия мы будем рассматривать в ней, хотя файлы конфигурации, с поправкой на пути, остаются едиными для всех поддерживаемых ОС.\nВ первую очередь скачаем stunnel c официального сайта. Установка стандартная, единственный момент - измените расположение по умолчанию так, чтобы в пути не было пробелов, например C:\\stunnel: При установке будет создан конфигурационный файл C:\\stunnel\\config\\stunnel.conf, он содержит большое количество комментариев и примеры подключения к стандартным сервисам, вроде почтовых служб, поэтому смело удаляем его содержимое и вносим следующий текст:\n1[1C] 2client = yes 3accept = localhost:80 4connect = 192.168.3.116:443 5cert = client1.pem Где:\nclient - флаг указывающий работать в режиме клиента. accept - адрес и порт, на котором будет доступен сервис, так как светить им наружу не нужно, то используем localhost. connect - адрес и порт сервера. cert -путь к файлу с ключевой парой. Сохраняем конфигурацию и копируем в C:\\stunnel\\config файл сертификата клиента client1.pem. Перезапускаем сервис и пытаемся соединиться веб-клиентом 1С с localhost, если все сделано правильно, то подключение будет успешным. Убедившись, что все работает как надо, полностью выходим из GUI-приложения. Для установки stunnel как службы откроем Командную строку от имени Администратора и выполним в ней команду:\n1C:\\stunnel\\bin\\stunnel.exe -install Для запуска службы выполните:\n1C:\\stunnel\\bin\\stunnel.exe -start Как видим, настроить stunnel совсем несложно, поэтому надеемся, что данная статья будет вам полезна и вы возьмете на вооружение еще один способ безопасного использования сетевых служб.\n","id":"9df27dfdfa6b38dd0fe04fdd776a7727","link":"https://interface31.ru/post/zashhishhaem-setevye-sluzhby-pri-pomoshhi-stunnel/","section":"post","tags":["Debian","SSL","stunnel","Ubuntu Server","Windows 10","Windows Server","Безопасность"],"title":"Защищаем сетевые службы при помощи stunnel"},{"body":"Мы постоянно следим за развитием отечественных операционных систем, лично пробуем их в использовании и делимся своими впечатлениями с читателями, и не всегда они были только положительными. Обычно говорят: критикуешь - предлагай. Сегодня как раз такой случай. Мы уже не первый раз пишем про Deepin - дистрибутив на базе Debian от китайских товарищей, причем это не просто еще один Linux, мало кто может похвастаться собственным рабочим окружением с собственным набором базовых программ. В общем - есть чему поучиться.\nТема российского Linux сегодня на пике популярности, во многом \u0026quot;благодаря\u0026quot; импортозамещению. Нет, на самом деле это не плохо и к этому идут как на Востоке, так и на Западе и мы не один раз писали об этом. Но у многих из них есть те или иные недостатки. Если говорить о самом-самом отечественном из всех представленных на рынке - это ALT Linux и его бесплатная версия Simply, и это хорошая, стабильная система, с обширным набором ПО, сообществом, поддержкой. Но если взять визуальную часть - то это полный провал, система застыла где-то в далеких и светлых нулевых в плане оформления и дизайна.\nЛадно рабочие системы, тут еще можно понять и простить, но домашний Simply, который должен быть простым, ярким, привлекательным, абсолютно не та система, которой хочется пользоваться. Да, это Linux, а любой Linux можно настроить, но нужно ли? Пользователь хочет включить компьютер в розетку и работать, а самой сложной настройкой для него должна стать смена обоев.\nПоэтому нам есть чему поучиться у китайцев, так как Deepin это именно тот дистрибутив, которым хочется пользоваться, причем сразу, с первого взгляда. При этом Deepin полностью китайский проект, хотя и с прицелом на международный рынок. Вполне себе в духе нашего импортозамещения. В качестве пакетной базы используется Debian, а рабочим окружением является собственная разработка - DDE (Deepin Desktop Environment). Прежде чем читать дальше, мы рекомендуем ознакомиться с нашими прошлыми публикациями об этом дистрибутиве:\nРекомендуем к прочтению OS-обзор. Zorin OS 9/11 и Deepin 15.2 Deepin - не просто еще один дистрибутив С нашего последнего обзора этой системы прошло примерно шесть лет и за это время Deepin прошел большой путь, перейдя с линейки 15.x на 20.х и на момент написания статьи актуальной была версия 20.5, увидевшая свет буквально месяц назад. Давайте посмотрим, что предлагают пользователям наши китайские друзья.\nПрежде всего нас встречает новый инсталлятор, он предельно упрощен и предлагает пройти весь путь за четыре простых шага. Обращает внимание разметка диска, она далеко не проста и разбить диск по собственному пожеланию здесь не получится. У бывалых, опытных линуксоидов это может вызвать волну возмущения, но не забываем, простой пользователь не будет лазить под капот, ему нужно чтобы включил и работает. Если внимательно присмотреться к разметке, то мы увидим два корневых раздела и раздел восстановления. Все сделано для того, чтобы помешать пользователю сломать систему, даже если что-то пойдет не так и вы все-таки приведете систему в неисправное состояние, то всегда можно загрузиться со второго корневого раздела и восстановить ее из резервной копии. Дальше ничего интересного, смотрим как заполняется шкала под набор нескучных слайдов, ну или можно посмотреть в лог, но он не особо информативный. Четвертый этап - перезагрузка. И вот здесь есть достаточно серьезная ошибка, мы попадаем снова в инсталлятор и снова на этап выбора языка. Первый раз я подумал, что снова произошла загрузка с диска и перезагрузил виртуалку, а только уже потом начал присматриваться и понимать. В общем старое доброе развлечение - найди десять отличий. А они тут в составе и количестве шагов слева. По-хорошему следовало добавить бы какой-нибудь предшествующий экран с текстом вроде \u0026quot;Вас приветствует Deepin! Для окончания установки выполните ряд несложных шагов\u0026quot;. Как и во многих других дистрибутивах, добавить несколько раскладок в процессе установки нельзя, поэтому лучше выбрать заранее английскую раскладку, а русскую добавить потом, в системе. В целом весь процесс не должен вызвать никаких затруднений, все предельно просто и понятно.\nИ вот установка завершена и нас встречает окно входа в систему, здесь пока еще все как у всех. А вот дальше уже становится интересно, какой системой вдохновлялись разработчики - понятно сразу, но выглядит все очень привлекательно и этой системой сразу хочется пользоваться. Все очень неплохо продумано и выглядит очень привлекательно. Сразу заметен фокус на простого пользователя, который ничего не знает про точки монтирования, но ему нужны Мои документы и папочка куда он только что скачал новый сезон любимого сериала. Следует отметить, что Deepin и DDE - это не только приятная глазу графика, но и полностью свой набор приложений, к этому разработчики шли давно и наконец достигли своей цели. Практически все стандартные приложения представлены собственными разработками. Это придает системе единый стиль и делает ее удобной и привлекательной для пользователя, предоставляя единообразие интерфейсов взаимодействия с системой. Стартовое меню показывает список последних использованных приложений, а после установки там сосредоточен список наиболее востребованного, по мнению разработчиков, ПО. Для доступа к списку программ следует перейти в раздел Все категории, а оттуда по категориям программ. Навигация не очень удобная, но поработав некоторое время вы будете видеть все необходимые приложения на первом экране, а что-то иное быстрее и эффективнее находить поиском.\nПри желании стартовое меню можно быстро переключить в полноэкранный режим. В общем на любой вкус. Тоже самое касается и дока, разработчики не стали мудрить и предложили два режима: Стильный, который вы видели на скриншотах выше и Эффективный, где док превращается в панель задач в стиле Windows. И раз уж мы затронули настройки, то давайте посмотрим, что еще нам там предлагают. Запущенное приложение называется Центр управления и является единой точкой настройки и обслуживания системы пользователем. Как нынче заведено, предлагается вход по Deepin ID и доступ к облачным сервисам, пока только для жителей материкового Китая. Это достаточно сильный ход, облака, как к ним не относись, предоставляют многие сервисные функции, ставшие для многих удобными и привычными, например, синхронизацию между устройствами. Сам подход к настройкам также нацелен на упрощение использования системы, это не KDE, где от обилия опций растеряется даже подготовленный пользователь, здесь все по минимуму, но по теме. Хотите настроить VPN? Нет ничего сложного, выбираем протокол и заполняем поля ниже. Набор протоколов из коробки невелик, но закрывает все основные варианты. Разве что WireGuard нет, но на то могут быть и чисто внутренние китайские причины. Если внимательно приглядеться к всплывающим сообщениям вверху экрана, то можно заметить, что с русификацией не все хорошо, но с англофикацией тоже, все это еще раз показывает, что Deepin прежде всего китайский продукт. Ниже показана страница обновлений в Магазине Deepin. Приложения - это еще один очень важный момент, ведь кроме стандартного набора пользователю всегда понадобится что-то еще и за этим самым еще он пойдет в магазин. Если вы читали наши ранние обзоры, то могли заметит, что в Магазине Deepin царил полный хаос, там было все и ко многому были вполне обоснованные вопросы лицензионной чистоты. Теперь все гораздо приличнее, явного контрафакта нет, только свободное и свободно распространяемое ПО.\nСам магазин организован отлично. Если вы не знаете, с чего начать, то загляните в рубрику Hot Apps или Must-Haves. Пользователя не бросают наедине с новой для него системой, а активно помогают найти и установить нужный софт. Теперь о софте, базовый набор представлен средствами собственной разработки, здесь свой даже браузер, построенный на базе Chromium, а также средство для скачивания всего, чего угодно, но в основном торрентов с нехитрым названием Downloader. Для просмотра мультимедийного контента также присутствуют собственные приложения, простые и удобные, но в тоже время располагающие всеми необходимыми функциями. Здесь поневоле задумываешься, а точно ли это Linux и точно ли это бесплатно? Инструменты администрирования тоже просты и понятны, да, опытный администратор просто пойдет в консоль, но, а как быть с теми, кто видит Linux в первый раз? А вот так: графический инструмент для просмотра логов, удобный диспетчер задач, который позволяет показать только приложения, приложения и процессы пользователя или все процессы в системе. Если разобраться, то очень многие системные настройки от пользователя скрыли, зато добавили широкие возможности по кастомизации, многие идеи позаимствовали из других систем, но органично вписали это в Deepin, например, возможность ставить цветовые метки папкам и файлам, а потом осуществлять по ним быстрый отбор. Выбор обоев показывает вам картинки во весь экран, после чего ее можно поставить на рабочий стол, можно на экран входа в систему или в оба места одновременно. Можно даже поставить свое изображение на меню GRUB и сделать это абсолютно не сложно, достаточно просто перетащить картинку. Перезагружаемся и что мы видим? Вроде бы мелочь, а пользователю приятно. Кстати, обратите внимание на пункты в меню GRUB, есть откат к предыдущей версии, это как раз вариант загрузки со второго корневого раздела, а есть пункт Restore, который позволяет восстановить систему с ранее созданной резервной копии.\nВыводы Deepin показывает то, как нужно подходить к вопросу разработки собственных дистрибутивов. Это китаец, но полностью самостоятельный китаец, но мало того, что самостоятельный, так еще и очень привлекательный. Рабочая среда DDE выглядит просто отлично.\nА вот здесь так и просится камень в огород отечественных разработчиков. С графическим оформлением и нормальными магазинами у нас просто беда. Почему? Трудно сказать, тем более что все ресурсы для этого есть.\nЕсли поставить рядом Deepin и Simply, то разница будет как между Запорожцем и иномаркой, хотя под капотом там один и тот же Linux. Но почему-то китайцы могут сделать привлекательный продукт, а мы живем по принципу советской столовой: не нравится - не жрите.\n","id":"4a11d2c7f17c6bc266f229349e19a0ac","link":"https://interface31.ru/post/deepin-205-ili-importozameshhenie-po-kitayski/","section":"post","tags":["Debian","Linux","Импортозамещение","Персонализация"],"title":"Deepin 20.5 или импортозамещение по-китайски"},{"body":"Особая разновидность VPN - это SSL VPN, протоколы, работающие с использованием SSL/TLS шифрования и неотличимые от обычного HTTPS-трафика. К ним относятся Microsoft SSTP и CISCO AnyConnect, оба протокола проприетартные, но у последнего есть открытый совместимый аналог - OpenConnect. SSL VPN в первую очередь рассматриваются как средство удаленного доступа, позволяя сотрудникам безопасно работать из любого места, где просто есть доступ в интернет, легко проходя через NAT, прокси и брандмауэры.\nВ нашем примере будет рассматриваться установка OpenConnect в среде Debian 11, однако инструкция будет актуальной для любых современных версий Debian или Ubuntu, а также систем на них основанных. Все действия, если не сказано иного, выполняются от имени суперпользователя root или через sudo.\nПодготовка сервера и установка OpenConnect Прежде всего включим маршрутизацию пакетов в системе, чтобы сервер мог передавать их между интерфейсами, для этого в /etc/sysctl.conf найдем и раскомментируем (либо добавим) строку:\n1net.ipv4.ip_forward = 1 Затем перечитаем настройки командой:\n1sysctl -p SSL чувствительна к еще одному важному параметру - совпадении времени между клиентом и сервером, поэтому сразу настроим его синхронизацию с вышестоящими NTP-серверами. Для этого мы будем использовать стандартную службу systemd-timesyncd, откроем конфигурационный файл /etc/systemd/timesyncd.conf, раскомментируем параметр NTP и укажем в нем через пробел сервера времени:\n1NTP=0.pool.ntp.org 1.pool.ntp.org 2.pool.ntp.org 3.pool.ntp.org Перезапустим службу:\n1systemctl restart systemd-timesyncd И проверим ее статус:\n1systemctl status systemd-timesyncd Состояние синхронизации можно проверить командой:\n1timedatectl Из вывода первой команды мы можем видеть, что система инициировала синхронизацию с сервером 0.pool.ntp.org, а вторая сообщает, что системные часы синхронизированы, служба NTP активна.\nТеперь можно установить сам сервер OpenConnect:\n1apt update 2apt install ocserv После установки проверяем статус службы:\n1systemctl status ocserv В выводе команды нас интересует параметр в строке Loaded следующий после пути к файлу юнита, если там стоит enabled, то автозагрузка службы включена и ничего делать не нужно, в противном случае добавим ее в автозагрузку командой:\n1systemctl enable ocserv Дальнейшие действия зависят от того, какой тип сертификата вы решите использовать, мы рекомендуем использовать сертификаты от Let's Encrypt.\nПолучение сертификатов от Let's Encrypt Для работы с Let's Encrypt нам понадобится доменное имя. Большинство современных компаний имеют свой сайт, а значит и домен, поэтому создать еще один поддомен для VPN-сервера не составит никакого труда, либо доменное имя можно купить, это недорого, от 199 руб. в зоне RU, при том, что домен всегда пригодиться.\nМы, для примера, будем использовать вымышленное доменное имя ocserv.horns-and-hooves.lab одной небезызвестной вымышленной компании.\nСначала поставим certbot:\n1apt install certbot Затем получим бесплатный сертификат для нашего домена:\n1certbot certonly -d ocserv.horns-and-hooves.lab --standalone При первом запуске вам потребуется ввести рабочий адрес электронной почты и принять условия использования сервиса. Для успешной работы certbot у вас должен быть открыт порт 80 TCP. Все сертификаты Let's Encrypt выдаются сроком на 90 дней и certbot будет их автоматически продлять, единственное что нам остается сделать, это настроить перезапуск сервера OpenConnect после получения нового сертификата.\nДля этого откроем etc/letsencrypt/renewal/ocserv.horns-and-hooves.lab.conf и добавим в секцию [renewalparams] следующую строку:\n1post_hook = systemctl restart ocserv Современное SSL/TLS шифрование немыслимо без совершенной прямой секретности - PFS, поэтому создадим файл с параметрами Диффи-Хеллмана:\n1openssl dhparam -out /etc/ocserv/dh.pem 3072 На этом настройка работы с Let's Encrypt закончена, можно переходить к настройке OpenConnect.\nСоздание самоподписанного сертификата Если вы по каким-либо причинам не хотите использовать Let's Encrypt, то можете выпустить самоподписанный сертификат. Вопреки распространенному мнению, самоподписанные сертификаты ни в чем не уступают \u0026quot;настоящим\u0026quot; и за безопасность соедниения можете не беспокоиться. Но для них становится актуальным вопрос доверия, чтобы системы доверяли вашему сертификату вам придется установить на них сертификат вашего CA как доверенный корневой сертификат.\nУстановим пакет инструментов certtool:\n1apt install gnutls-bin Наличие своего CA диктует особые требования по безопасности, закрытый ключ центра сертификации не должен быть доступен третьим лицам, так как при его компрометации компрометируются все выпущенные сертификаты. Поэтому хранить его мы будем в домашней директории root и никто, кроме суперпользователя не будет иметь туда доступ.\nПрежде всего изменим маску системы, что автоматически обеспечит нужные права на создаваемые объекты:\n1umask 077 Затем создадим директорию для хранения файлов СА и перейдем в нее:\n1mkdir /root/pki 2cd /root/pki Создадим шаблон для корневого сертификата CA:\n1nano ca.tmpl И внесем в него следующий текст:\n1cn = \u0026#34;H\u0026amp;H CA\u0026#34; 2organization = \u0026#34;Horns \u0026amp; Hooves Inc\u0026#34; 3serial = 1 4expiration_days = 3650 5ca 6signing_key 7cert_signing_key 8crl_signing_key В поле cn вводим имя нашего удостоверяющего центра, в поле organization - название организации, expiration_days - срок действия сертификата, в нашем случае 10 лет.\nЗатем создадим шаблон сертификата сервера:\n1nano server.tmpl И внесем в него текст:\n1cn = \u0026#34;ocserv.horns-and-hooves.lab\u0026#34; 2organization = \u0026#34;Horns \u0026amp; Hooves Inc\u0026#34; 3serial = 2 4expiration_days = 3650 5signing_key 6encryption_key 7tls_www_server 8dns_name = \u0026#34;ocserv.horns-and-hooves.lab\u0026#34; Где cn - имя сервера, указываем доменное имя, organization - название организации, expiration_days - срок действия сертификата, снова 10 лет, dns_name - FQDN сервера и если в cn можно в принципе вписать все что угодно, то в этой опции должно быть именно полное доменное имя сервера, по которому вы будете к нему подключаться.\nЕсли вместо домена вы используете IP-адрес, то замените эту опцию на:\n1ip_address = \u0026#34;x.x.x.x\u0026#34; Также можете сочетать обе опции. Хотя использовать IP-адреса в SSL-шифровании считается дурным тоном.\nТеперь создадим ключевую пару CA:\n1certtool --generate-privkey --outfile ca.key 2certtool --generate-self-signed --load-privkey ca.key --template ca.tmpl --outfile ca.pem Закрытый ключ ca.key является секретным и никогда не должен покидать пределы этого расположения.\nТеперь создадим ключевую пару сервера:\n1certtool --generate-privkey --outfile server.key 2certtool --generate-certificate --load-privkey server.key --load-ca-certificate ca.pem --load-ca-privkey ca.key --template server.tmpl --outfile server.pem А также файл параметров Диффи-Хеллмана:\n1certtool --generate-dh-params --outfile dh.pem Затем скопируем нужные ключи и сертификаты в конфигурационную директорию OpenConnect:\n1cp ca.pem server.key server.pem dh.pem /etc/ocserv/ Также скопируем корневой сертификат CA в директорию обычного пользователя (в нашем случае это andrey) и сделаем его владельцем файла:\n1cp ca.pem ~andrey/ca.crt 2chown andrey:andrey ~andrey/ca.crt Затем вернем маску к нормальному состоянию:\n1umask 022 Самоподписанный сертификат создан, можно переходить к настройке сервера.\nНастройка OpenConnect VPN-сервера OpenConnect предлагает достаточно широкие возможности, но всему свое время, ниже мы рассмотрим самую простую конфигурацию, которую можно использовать для удаленного доступа или выхода в интернет с аутентификацией по логину и паролю. Все настройки сосредоточены в файле /etc/ocserv/ocserv.conf, все опции будут приведены в порядке следования в файле.\nПрежде всего закомментируем опцию:\n1#auth = \u0026#34;pam\u0026#34; И приведем к следующему виду опцию:\n1auth = \u0026#34;plain[passwd=/etc/ocserv/ocserv.passwd]\u0026#34; Этим мы включаем аутентификацию по логину и паролю для пользователей перечисленных в файле ocserv.passwd, вас не должна смущать опция plain, аутентификация производится после установления защищенного SSL-соединения и безопасности данных ничего не угрожает.\nСледующие опции задают порты, на которых принимает соединения OpenConnect, можете изменить их, но практического смысла в этом нет, так как SSL VPN должен быть максимально похож на обычный HTTPS, в этих целях можно отключить UDP, но лучше это делать на клиенте.\n1tcp-port = 443 2udp-port = 443 Ниже указываем пути к ключевой паре сервера:\n1server-cert = /etc/ocserv/server.pem 2server-key = /etc/ocserv/server.key Затем к файлу параметров Диффи-Хеллмана:\n1dh-params = /etc/ocserv/dh.pem И к корневому сертификату CA:\n1ca-cert = /etc/ocserv/ca.pem Если вы получили сертификат от Let's Encrypt, то измените значение опций на следующие:\n1server-cert = /etc/letsencrypt/live/ocserv.horns-and-hooves.lab/fullchain.pem 2server-key = /etc/letsencrypt/live/ocserv.horns-and-hooves.lab/privkey.pem Опцию ca-cert следует закомментировать:\n1#ca-cert Следующие параметры задают максимальное количество подключений к серверу и количество одновременных подключений с одними и теми же учетными данными, установите их исходя из собственных потребностей:\n1max-clients = 16 2max-same-clients = 2 Затем раскомментируйте опции отвечающие за сжатие трафика:\n1compression = true 2no-compress-limit = 256 А теперь одна из самых интересных опций, отвечающая за предлагаемый клиентам набор шифров, в Debian 11 он выглядит следующим образом:\n1tls-priorities = \u0026#34;NORMAL:%SERVER_PRECEDENCE:%COMPAT:-RSA:-VERS-SSL3.0:-ARCFOUR-128\u0026#34; В целом настройка нормальная, отключены слабые SSL 3.0 и RC4, включена прямая совершенная секретность (по согласованию), но лучше выставить более современные настройки, отключив все версии SSL и TLS ниже TLS 1.2:\n1tls-priorities = \u0026#34;NORMAL:%SERVER_PRECEDENCE:%COMPAT:-RSA:-VERS-ALL:+VERS-TLS1.2:-ARCFOUR-128\u0026#34; Теперь о безопасности, OpenConnect умеет отслеживать попытки подбора паролей и успешно блокировать их, за это отвечают следующие опции:\n1max-ban-score = 80 2ban-reset-time = 300 3ban-points-wrong-password = 10 4ban-points-connection = 1 Система построена на принципе подсчета очков, за каждый неправильный ввод пароля начисляется сразу 10 очков, это задано опцией ban-points-wrong-password, а при каждом успешном коннекте убирается только одно очко, это задано в опции ban-points-connection, порог, при котором происходит бан и его время задается в max-ban-score и ban-reset-time.\nПо умолчанию порог в 80 очков, может показаться что это много. Но давайте посмотрим, как работает система: после 8 неудачных попыток входа пользователь будет заблокирован на 5 минут (300 сек), при каждой последующей попытке бан будет снова и снова продлеваться. Чтобы получить шанс на еще один неправильный ввод пароля, после 8 неудачных попыток, потребуется 10 раз успешно аутентифицироваться на сервере.\nПосле этого перейдем к сетевым настройкам, прежде всего зададим диапазон адресов для выдачи клиентам:\n1ipv4-network = 10.30.1.0/24 Если мы хотим завернуть в туннель все DNS-запросы, то следует указать опции:\n1tunnel-all-dns = true 2dns = 8.8.8.8 3dns = 8.8.4.4 Смысл настройки понятен, все запросы будут направлены на серверы, указанные в параметре dns.\nНо чаще встречается иная ситуация, когда нужно направить запросы к отдельным DNS-зонам на собственные DNS-сервера, причем зона может быть в несуществующей зоне типа local или office. Тогда конфигурируем DNS иным образом:\n1dns = 192.168.72.100 2dns = 192.168.72.101 3split-dns = office.local Здесь в опции dns мы указываем локальные сервера в сети офиса, а в split-dns - зоны, запросы к которым следует направлять указанным серверам. Каждый параметр можно указывать несколько раз.\nТеперь о маршрутизации, OpenConnect умеет передавать на клиента маршрутную информацию. Если мы хотим завернуть весь трафик в туннель укажите:\n1route = default Эта опция автоматически активирует:\n1tunnel-all-dns = true Вне зависимости от того, что указано в конфиге.\nЕсли же нам нужно обеспечить доступ в сеть за VPN-сервером, то укажем эту сеть в опции:\n1route = 192.168.72.0/24 Таких опций можно указать несколько, по количеству сетей.\nТакже интересна опция no-route, она позволяет создать исключение в правилах маршрутизации, скажем вы можете завернуть в туннель все сети 192.168.0.0/16 и исключить оттуда подсеть:\n1no-route = 192.168.100.0/24 Остальные опции можно оставить без изменения, сохраняем файл конфигурации и перезапускаем службу.\n1systemctl restart ocserv Сервер успешно установлен и настроен, можно переходить к созданию пользователей и настройке клиентов. Обратите внимание, что для работы сервера нужно открыть порты 443 TCP и 443 UDP.\nСоздание пользователей OpenConnect Для создания клиентов воспользуемся утилитой ocpasswd:\n1ocpasswd -c /etc/ocserv/ocserv.passwd ivanov Если файл не существует, то при первом выполнении команды он будет создан.\nДля блокировки пользователя используйте:\n1ocpasswd -c /etc/ocserv/ocserv.passwd -l ivanov Для разблокировки:\n1ocpasswd -c /etc/ocserv/ocserv.passwd -u ivanov Для удаления пользователя выполните команду:\n1ocpasswd -c /etc/ocserv/ocserv.passwd -d ivanov Файл с паролями читается динамически, перезапуск сервера после операций с пользователями не нужен.\nНастройка клиента OpenConnect в Windows Если вы используете самоподписанный сертификат, то прежде всего следует скачать с сервера корневой сертификат CA - ca.crt и щелкнув на него два раза установить в хранилище Локальный компьютер - Доверенные корневые центры сертификации. Затем следует скачать и установить официальный клиент OpenConnect, это не должно вызвать каких-либо затруднений. Запускаем приложение и выпадающем меню напротив поля Server выбираем New Profile. В поле Gateway прописываем адрес нашего сервера с явным указанием протокола: https://ocserv.horns-and-hooves.lab Больше никаких настроек не требуется, при подключении потребуется указать только логин и пароль. Просто? Да, при необходимости с подключением справится средней руки пользователь, особенно если снабдить его подробной инструкцией. При желании можете открыть свойства подключения и установить там дополнительные опции: Например, вы можете отключить протокол UDP, чтобы совсем никак не отличаться от HTTPS-трафика, либо настроить работу через прокси, при это используются системные настройки прокси-сервера.\nНастройка клиента Cisco AnyConnect в Windows Для самоподписанного сертификата также установите корневой сертификат CA, как это сделать - написано в предыдущем разделе. Затем следует получить и установить клиент Cisco AnyConnect, проще всего это сделать через магазин Windows. После установки можно открыть одноименное приложение, но особого смысла делать этого нет, при нажатии на кнопку Manage VPN вы попадете в стандартную системную оснастку для управления VPN-подключениями. Можно сразу пойти туда и создать новое подключение, все что вам необходимо - это выбрать поставщика услуг VPN AnyConnect и указать адрес сервера через https://. Управление подключением также происходит стандартными инструментами. Это может быть удобнее для пользователей, так как не нужно запускать сторонний клиент. Единственное, что можно посмотреть в родном приложении - это параметры установленного подключения. При этом никаких дополнительных действий при использовании обоих клиентов делать не нужно, они сами выполняют настройку сетевых параметров клиента, например, прописывают маршруты до указанных сетей. Пользователь может быстро и просто настроить подключение и сразу же начать работу с ресурсами удаленной сети.\nНастройка клиента OpenConnect в Linux И снова начнем с самоподписанного сертификата, будем считать, что он скачан и находится в домашней директории пользователя. Обратите внимание - расширение сертификата обязательно должно быть .crt.\nОткроем консоль и повысим права пользователя до root, в Ubuntu это можно сделать командой:\n1sudo -s В Debian, если не установлен sudo:\n1su - Затем создадим директорию для корневых сертификатов нашего предприятия, название может быть произвольным:\n1mkdir /usr/share/ca-certificates/H\u0026amp;H И скопируем в нее сертификат:\n1cp ~andrey/ca.crt /usr/share/ca-certificates/H\u0026amp;H/ca-ocserv.crt Где ~andrey означает домашнюю директорию пользователя andrey, также мы переименовали сертификат при копировании, дав ему более понятное имя.\nТеперь установим его в хранилище корневых сертификатов:\n1dpkg-reconfigure ca-certificates В первом окне укажите что вы доверяете новым сертификатам: Во втором не забудьте выбрать добавленный нами сертификат: Если вы используете Let's Encrypt, то производить описанные выше действия не нужно.\nЗатем установим клиент OpenConnect и плагин для NetworkManager:\n1apt install network-manager-openconnect-gnome Точнее мы устанавливаем только плагин, все остальные пакеты, включая клиент, будут установлены по зависимостям.\nТеперь можно создать новое подключение средствами NetworkManager. Все, что вам понадобится указать в настройках - это адрес сервера в поле Шлюз. Затем вам останется только ввести логин и пароль при подключении, а также, по желанию, установить флаг Save passwords. На красный восклицательный знак и 404 ошибку можете не обращать внимания. И хотя мы рассматривали в качестве примера Ubuntu, процесс настройки в иных дистрибутивах будет аналогичный, если там используется NetworkManager. Более того, во многих системах, например, Kubuntu, ROSA или Simply Linux плагин для поддержки OpenConnect уже установлен.\n","id":"8d676012f45b8fc776facca872b0f6ad","link":"https://interface31.ru/post/nastraivaem-openconnect-sovmestimyy-s-cisco-anyconnect-vpn-server-na-platforme-linux/","section":"post","tags":["Debian","OpenConnect","SSL","Ubuntu Server","VPN","Безопасность","Сетевые технологии","Шифрование"],"title":"Настраиваем OpenConnect - совместимый с Cisco AnyConnect VPN сервер на платформе Linux"},{"body":"Рассматривая настройку WireGuard в наших предыдущих материалах, мы намеренно не касались Mikrotik, запланировав для этого отдельную статью. И для этого есть свои причины. RouterOS, под управлением которой работают данные устройства, имеет свои особенности и подходы к настройке, малоинтересные другим читателям. А для пользователей Mikrotik будет лучше, если все нужное будет в одной статье. При этом мы подразумеваем, что администратор, работающий с ROS, имеет более высокий уровень подготовки и владеет основами сетей, поэтому не будем пояснять простые настройки, а сосредоточимся именно на WireGuard.\nЕсли вас интересует тема WireGuard в более широком ключе, безотносительно оборудования Mikrotik, то рекомендуем прочесть наши материалы:\nИнформация Организация каналов между офисами через WireGuard VPN на платформе Linux Настройка WireGuard VPN для доступа в интернет Следующий очень важный момент: Wireguard доступен только в версии RouterOS 7, которая не смотря на статус stable все еще имеет достаточно \u0026quot;детских болезней\u0026quot; и прочих проблем, поэтому не стоит переходить на новую версию без вдумчивого анализа всех плюсов и минусов, а также предварительного тестирования.\nВ нашем случае будет использоваться CHR с RouterOS 7.2.1 запущенная в виртуальной машине нашей тестовой лаборатории.\nКак мы уже говорили, WireGuard - это простой туннель без сохранения состояния, к нему не применимы понятия клиент и сервер, каждый узел WireGuard способен подключаться к другим узлам и сам принимать соединения. Более правильно называть узлы сети - пиры (peer) - инициатором и респондером. Первый инициирует соединение, второй его принимает. Хотя даже в среде профессионалов к узлам WireGuard продолжают применяться термины клиент и сервер, первый подключается, второй принимает подключения. Большой беды в этом нет, но вы должны понимать, что любой узел WireGuard способен выполнять обе роли одновременно.\nMikrotik как респондер (сервер) В RouterOS 7 появился новый пункт меню - WireGuard, переходим в него на одноименную закладку и создаем новый интерфейс. Заполняем поля Name и Listen Port, их назначения понятны, советуем использовать осмысленные названия интерфейсов, чтобы вы могли понимать, для чего тот или иной предназначен. Ключи будут созданы автоматически. 1/interface wireguard 2add listen-port=34567 mtu=1420 name=wireguard-sts Затем присвоим созданному интерфейсу IP-адрес, для чего перейдем в IP - Addresses и просто добавим нужный адрес. 1/ip address 2add address=10.10.0.1/24 interface=wireguard-sts network=10.10.0.0 Также не забудьте разрешить входящие соединения на указанный при создании интерфейса порт, в нашем случае 34567. Это можно сделать в IP - Firewall - Filter Rules добавив правило: Chain - input, Protocol - udp, Dst. Port - 34567, In. Interface - ether1 - в его качестве следует указать внешний интерфейс роутера. Действие можно не выбирать, так как по умолчанию - accept. Это же можно сделать командой:\n1/ip firewall filter 2add action=accept chain=input dst-port=34567 in-interface=ether1 protocol=udp Данное правило следует расположить перед запрещающим принимать входящие подключения на внешний интерфейс.\nЧтобы к нашему роутеру могла подключаться другие узлы нужно создать для каждого из них пир, для этого возвращаемся в WireGuard - Peers и создаем новую запись. Здесь нам потребуется открытый ключ пира, который следует внести в поле Public Key и указать разрешенные сети в Allowed Address. В нашем случае мы реализуем сценарий удаленного доступа или объединения сетей, поэтому укажем там внутренний адрес в WireGuard сети, который мы выделили пиру и сеть за ним. 1/interface wireguard peers 2add allowed-address=10.10.0.2/32,192.168.233.0/24 interface=wireguard-sts public-key=\u0026#34;9pVP67ehKtQEr6BV46X9SuQrdvys+1QeVT0oeUg71wo=\u0026#34; Еще раз напомним, что вся адресация внутри WireGuard сети назначается администратором вручную и явно прописывается для каждого пира с обоих сторон. Это один из недостатков WireGuard, который следует из его простоты.\nС другой стороны, у нас, допустим, будет Windows. Быстро настраиваем там новый туннель, в разделе Interface добавляем выделенный узлу адрес, а в разделе Peer указываем публичный ключ Mikrotik, его адрес и порт, а в разделе разрешенных адресов добавим адрес WireGuard интерфейса и сети за роутером. Если вы нигде не ошиблись, то подключение будет установлено, и вы сможете получить доступ к сети за роутером. В случае нахождения пира за NAT не забывайте добавить опцию PersistentKeepalive. Как видим, ничего сложного нет, но при большом количестве пиров прибавляется ручной работы: вы должны сами распределить адреса и прописать настройки с обоих сторон. Никаких средств автоматизации для этого не предусмотрено.\nMikrotik как инициатор (клиент) В данном разделе мы рассмотрим иной сценарий - использование WireGuard для доступа в интернет, но принципиальной разницы нет, если вы соединяете сети, то можно точно также настроить роутер и все будет работать. Просто мы дополнительно рассмотрим некоторые вопросы касающиеся маршрутизации.\nСнова переходим в раздел WireGuard и создаем новый интерфейс. В данном случае достаточно только указать имя, порт нас не интересует, так как мы не собираемся принимать соединения, но его все-таки требуется указать, выбираем любой. Или вводим команду:\n1/interface wireguard 2add listen-port=13231 mtu=1420 name=wireguard-inet Затем назначаем интерфейсу адрес, если все узлы ваши - то назначаете сами, если подключаетесь к чужому респондеру, то вводите адрес, выданный его администратором. Это действие производится в IP - Addresses. Это же действие в терминале:\n1/ip address 2add address=10.20.0.105/24 interface=wireguard-inet network=10.20.0.0 Чтобы наш роутер смог куда-то подключиться мы снова должны создать пир. В WireGuard пир - это просто вторая сторона туннеля и не важно мы подключаемся к ней, или она к нам. В любом случае у нас должен быть интерфейс - наша сторона, и пир - противоположная сторона.\nПереходим в WireGuard - Peers и создаем новый пир, настроек тут будет побольше, указываем: Interface - созданный нами интерфейс, Public Key - публичный ключ респондера, получаем с той стороны, Endpoint и Endpoint Port - адрес респондера и его порт, Allowed Address - 0.0.0.0/0 - т.е. разрешаем любой трафик в туннеле. Если вы находитесь за NAT, то обязательно добавьте опцию Persistent Keepalive, рекомендуемое значение - 25 секунд. В терминале тоже достаточно длинная команда:\n1/interface wireguard peers 2add allowed-address=0.0.0.0/0 endpoint-address=x.x.x.x endpoint-port=34567 interface=wireguard-inet persistent-keepalive=25s public-key=\u0026#34;kKxQ4wF+kUrpsTGwjMvlSwX45WV4nixG76/+sKlzEQA=\u0026#34; Также не забудьте включить маскарадинг для созданного интерфейса, переходим в IP - Firewall - NAT и создаем новое правило, на закладке General: Chain - srcnat, Src. Address диапазон локальной сети, например, 192.168.72.0/24, Out. Interface - интерфейс WireGuard, в нашем случае wireguard-inet, на закладке Action выбираем действие masquerade.\nЛибо в терминале:\n1/ip firewall nat 2add action=masquerade chain=srcnat out-interface=wireguard-inet src-address=192.168.72.0/24 Затем, с другой стороны, также потребуется создать пир для нашего роутера, вам понадобится публичный ключ и назначенный адрес. Перезапускаем службу и соединение будет установлено. Но трафик как шел через основного провайдера - так и идет. Почему так? Заглянем в таблицу маршрутизации, которая находится в IP - Routes, как видим нулевой маршрут как был через основного провайдера - так и остался. В отличие от официальных пакетов WireGuard, которые управляют маршрутами на хосте, в Mikrotik все отдано в руки администратора. А дальше все зависит от того, что именно мы хотим получить. Если нам нужен доступ через туннель к отдельным узлам, то просто достаточно создать для них отдельные маршруты. Создаем новое правило, в котором указываем нужный адрес и шлюз, в качестве которого будет выступать противоположный конец WireGuard туннеля. Теперь снова проверяем (мы добавили маршрут к сервису проверки IP) - все хорошо, мы обращаемся к данному узлу через VPN-сервер. Добавить маршрут из командной строки можно следующим образом:\n1/ip route 2add disabled=yes distance=1 dst-address=172.67.74.128/32 gateway=10.20.0.1 pref-src=0.0.0.0 routing-table=main scope=30 suppress-hw-offload=no target-scope=10 Если же мы хотим направить весь интернет трафик в туннель, то нам нужно изменить нулевой маршрут, казалось бы, все просто, но не будем спешить. Обратим внимание на флаги текущего маршрута: DAd - динамический, активный, получен по DHCP, можно, конечно отключить получение маршрутов в DHCP-клиенте, но мы пойдем другим путем.\nВспомним, что если к одной цели ведут несколько маршрутов, то будет выбран тот, у которого самая узкая маска. Поэтому вместо одного нулевого маршрута добавим два, к сетям 0.0.0.0/1 и 128.0.0.0/1. В терминале выполните две команды:\n1/ip route 2add disabled=no distance=1 dst-address=0.0.0.0/1 gateway=10.20.0.1 pref-src=\u0026#34;\u0026#34; routing-table=main scope=30 suppress-hw-offload=no target-scope=10 3add disabled=no distance=1 dst-address=128.0.0.0/1 gateway=10.20.0.1 pref-src=\u0026#34;\u0026#34; routing-table=main scope=30 suppress-hw-offload=no target-scope=10 Вроде бы все сделано правильно, но интернет вообще перестал работать. Что случилось? Мы только что завернули в туннель весь исходящий трафик, в том числе и к нашему VPN-серверу, естественно, что соединение будет невозможно.\nПоэтому добавим еще один маршрут к респондеру через основного провайдера. Или:\n1/ip route 2add disabled=no dst-address=x.x.x.x/32 gateway=192.168.3.1 routing-table=main suppress-hw-offload=no Где 192.168.3.1 - шлюз основного провайдера.\nПосле чего все снова заработает. При этом уже только по одному внешнему виду сайтов несложно понять, что мы работаем через VPN с точкой выхода в Германии. Более подробные настройки для того или иного конкретного сценария выходят за рамки данной статьи и, как таковые, уже не относятся к настройкам WireGuard. Сам же WireGuard в RouterOS 7 есть и работает, при этом достаточно несложен в настройке, в чем мы только что убедились.\n","id":"4f73d25761558d864f01e1f9dd8ebb3a","link":"https://interface31.ru/post/nastroyka-wireguard-vpn-na-routerah-mikrotik/","section":"post","tags":["MikroTik","VPN","Wireguard","Безопасность","Сетевые технологии"],"title":"Настройка WireGuard VPN на роутерах Mikrotik"},{"body":"Любой начинающий Linux-администратор начинает знакомство системы с интерфейса командной строки и эмулятора терминала. В качестве последнего могут использоваться самые различные приложения, но достаточно быстро приходит понимание, что никакие возможности терминала не могут заменить возможностей самой системы. Одной из утилит, помогающей управлять терминалами Linux является screen, это достаточно простая, но в тоже время функциональная утилита, владение которой входит в разряд обязательных знаний и умений любого специалиста.\nПрежде всего вспомним, что такое терминал, более подробно этот вопрос мы обсуждали в нашей статье: Linux - начинающим. Часть 7. Потоки, перенаправление потоков, конвейер. Терминал - это оконечное устройство, при помощи которого осуществляется взаимодействие пользователя с компьютером, в современных системах это специальное приложение - эмулятор терминала. К одному компьютеру может быть присоединено сколько угодно терминалов, взаимодействие с терминалом осуществляется через консоль - инструменты ввода-вывода (клавиатура и монитор), к одной консоли также можно подключить несколько терминалов.\nПосле того, как мы подключились через эмулятор терминала к компьютеру, не важно, локальному или удаленному, в нем запускается специальная программа - командный интерпретатор, который обеспечивает базовое взаимодействие пользователя и ОС, в современных Linux чаще всего это bash. Все последующая работа производится в рамках сессии командного интерпретатора запущенного в эмуляторе терминала.\nИз этого вытекает две сложности: командный интерпретатор - однозадачное приложение и если вы запустили длительную операцию, вам придется сидеть и ожидать ее окончания. Но этот вопрос достаточно просто решается запуском дополнительных терминалов, а вот второй гораздо серьезнее. При обрыве связи или случайном закрытии терминала все запущенные в нем процессы будут аварийно завершены, а это может привести к самым тяжелым последствиям, особенно если вы выполняли потенциально опасную операцию.\nИ чем нам здесь поможет screen? Для этого в первую очередь следует разобраться с терминологией, потому что очень много материалов содержат самые разные варианты терминов, что только запутывает ситуацию. При запуске screen создает отдельный процесс в системе, который создает отдельный консольный сеанс и запускает в нем эмулятор терминала. В различных инструкциях можно встретить наименования скрин, экран, но наиболее правильно называть его именно сеансом. Терминал запущенный в сеансе screen обычно принято называть окном, мы можем создавать неограниченное количество окон в одном сеансе и переключаться между ними, точно также как можем создать несколько tty-терминалов в обычной консольной сессии.\nСеанс screen существует до тех пор, пока в нем существует хотя бы одно окно (терминал), как только мы закроем последнее окно - сеанс screen также будет закрыт.\nДля установки screen воспользуйтесь командой:\n1apt install screen Если вы используете дистрибутивы основанные не на Debian или Ubuntu, то обратитесь к справке по используемому пакетному менеджеру.\nЧтобы создать новый сеанс screen просто можете запустить:\n1screen Перед вами откроется подобное окно, чтобы закрыть его используйте Пробел или Enter. После чего перед нами снова откроется окно терминала, только абсолютно чистое. Можем запускать здесь любые команды, процессы, в общем работать самым привычным образом, но не забывать, что мы находимся внутри сессии screen. Также сразу запомним очень простое сочетание Ctrl + a, которое переводит screen в командный режим.\nЕсли нам нужно новое окно, то нажмите Ctrl + a c, у вас снова появится чистое окно терминала, готовое к работе. Чтобы просмотреть количество запущенных окон нажмите Ctrl + a w и внизу экрана вы увидите их список, около активного окна будет стоять звездочка. Переключаться между окнами можно сочетанием клавиш Ctrl + a N, где N - номер нужного окна. Для закрытия ненужного окна используйте Ctrl + a k. Помните, что закрытие последнего окна приведет к завершению сеанса screen.\nСеансы screen могут находиться в двух состояниях - активном (Аttached), когда он запущен в открытом терминале и неактивном (Deattached), когда сеанс продолжает работу в свернутом виде и активных соединений с ним нет. Если сеанс screen активен в одно терминале, то подключиться к нему с другого вы не сможете.\nДля того чтобы выйти из сеанса screen и перевести его в неактивный режим применяется сочетание клавиш Ctrl + a d.\nСвернув сеанс screen мы окажемся в активном эмуляторе терминала, который запущен на вашем устройстве, если закрыть его с активной сессией screen, то она также останется работать, только перейдет в неактивное состояние. То же самое будет и при обрыве связи.\nМожем ли мы создать еще одну сессию screen? Да сколько угодно. Но для удобства управления ими мы советуем задавать осмысленные имена. Например, команда:\n1screen -S i31_htop запустит сессию screen с именем i31_htop.\nТакже мы можем сразу запустить сеанс в свернутом виде:\n1screen -dmS i31_MyScript ~/my_script.sh Ключ d указывает на то, что сеанс должен быть свернут, ключ m - что его нужно создать, ключ S задает понятное имя i31_MyScript, далее передается команда, которую надо выполнить.\nЗдесь возникает еще один интересный вопрос: а что лучше создавать, новые окна в одном сеансе screen для разных задач или отдельные сеансы? Однозначного ответа здесь быть не может, все зависит от того, как вам удобнее работать. Но помните, что если кто-то подключился к сеансу screen и он перешел в статус активен, то вы не сможете подключиться к нему другим пользователем или с другого рабочего места.\nПоэтому разные задачи все-таки лучше размещать в отдельных сеансах, а все связанные - в отдельных окнах одного сеанса.\nДопустим мы закончили работу в офисе и ушли домой, после того как мы снова подключились к нужному узлу выполним:\n1screen -ls Это покажет все существующие сеансы screen и их статус. Для восстановления сеанса нужно указать его PID или имя, например:\n1screen -r 11411 или\n1screen -r i31_htop Поэтому, если вы открываете много сеансов screen, то задавайте им осмысленные имена, чтобы было проще понять, что где запущено и для какой цели.\nПосле выполнения данных команд у вас будет восстановлен сеанс screen c активным на момент деактивации окном. Можем продолжать работать.\nНо на этом возможности screen не исчерпываются, хотите сразу выполнять команды и наблюдать результат их действий? Нет ничего проще, screen позволяет разделить экран на несколько областей и в каждой из них отобразить свое окно. Для того, чтобы разделить текущее окно по вертикали введите Ctrl + a S, обратите внимание на регистр, это важно. Чтобы разделить окно по горизонтали используйте другое сочетание Ctrl + a |.\nНо эти комбинации только делят на части экранное пространство на несколько зон, переключаться между ними можно при помощи Ctrl + a Tab. Перейдя в нужную зону мы можем открыть там новое окно комбинацией Ctrl + a c или показать уже существующее при помощи Ctrl + a N с указанием номера нужного окна, при этом внизу области экрана будут указаны ее номер и имя. По умолчанию все окна имеют имя bash, это неудобно, так как не позволяет сразу понять для чего используется то или иное окно. Переименовать активное окно можно комбинацией клавиш Ctrl + a A, здесь снова важен регистр. Далее просто вводим желаемое имя, обратите внимание как выглядит нижняя область, окно которой мы ранее переименовали. А что будет, если мы в окне screen восстановим другой сеанс screen? Мы увидим только активное на момент деактивации окно, без возможности переключаться между окнами, также даже при деактивации текущего сеанса screen открытый в нем сеанс останется активным, это тоже нужно учитывать.\nЧтобы закрыть область экрана используйте Ctrl + a X, и снова обращаем внимание на регистр, чтобы закрыть все области, кроме активной, введите Ctrl + a Q.\nМы не будем здесь пересказывать полное руководство по команде screen, если вы что-то забыли, всегда можно вызвать быструю справку по командному режиму сочетанием клавиш Ctrl + a ? На этом мы закончим нашу статью, но в заключение обратим внимание на две важных особенности screen: сеанс не зависит от связи вашего терминала с узлом, вы можете отключаться, находиться в местах с нестабильной связью, закрывать терминал, но работа в сеансе будет продолжаться, и вы всегда сможете заново к нему подключиться.\nТакже screen позволяет легко оптимизировать рабочее пространство, разделив его на несколько частей и позволяя легко перемещаться между ними. В наш век мониторов с высоким разрешением это как никогда актуально.\n","id":"4a48a0a753c7854740edbca1dc8d862c","link":"https://interface31.ru/post/linux---nachinayushhim-screen---mnogozadachnost-v-terminale-i-ni-edinogo-razryva/","section":"post","tags":["Debian","Linux","Ubuntu","Ubuntu Server","Рабочее место"],"title":"Linux - начинающим. Screen - многозадачность в терминале и ни единого разрыва!"},{"body":"Админы со стажем должны помнить старую рекомендацию - не ставить новую систему до первого сервис-пака. Она остается актуальной и сегодня, седьмая версия Proxmox Virtual Environment вышла еще летом 2021 года, но ее выход сопровождался большим количеством проблем и сложностей у тех, кто поспешил обновиться. Со временем ошибки были исправлены, проблемные ситуации документированы и теперь самое время подумать о переходе на новую версию. Процесс не сложный, но требующий определенной подготовки и правильности действий.\nДанный материал основан на официальной документации, но содержит дополнения и рекомендации полученные из нашего собственного опыта.\nВнимание! Важно! Перед тем как приступать к указанным действиям выполните резервное копирование всех виртуальных машин, копии должны располагаться во внешнем хранилище.\nТакже убедитесь, что у вас есть надежная связь с гипервизором и возможность физического доступа (или IP-KVM) к нему, во избежание проблем при кратковременном обрыве связи или непреднамеренном закрытии терминала используйте утилиту screen или аналоги. Все команды следует выполнять от имени суперпользователя root.\nНачнем с обновления исходной системы до последней версии, для этого используйте следующее \u0026quot;заклинание\u0026quot;:\n1apt update -y \u0026amp;\u0026amp; apt full-upgrade -y \u0026amp;\u0026amp; apt autoremove -y На самом деле ничего сложного здесь нет, мы просто объединили три команды, каждая из которых будет запущена только тогда, если предыдущая завершилась успехом, а ключ -y предписывает во всех диалогах выбирать действие по умолчанию. Если были получены обновления ядра - следует перезагрузить систему.\nДалее мы предполагаем, что вы обновляете одиночный гипервизор, администраторам кластера следует обратиться к официальной документации.\nНе будет лишним проверить файловую систему: о том, что с диском или SSD все не совсем хорошо или совсем нехорошо вы можете узнать в самый разгар обновления и последствия могут быть самыми различными:\n1fsck -n -f Затем проверьте сетевые настройки, DNS и убедитесь, что вы не используете ресурсы (прокси, DNS) расположенные в собственных виртуальных машинах. При необходимости измените их и убедитесь в работоспособности. Затем откройте файл /etc/hosts и убедитесь, что для узла указана только одна v4 и одна v6 запись (если используете). Остальные записи следует временно убрать или закомментировать. Теперь можно запустить официальную утилиту для проверки готовности к переходу и ознакомиться с результатами, в случае выявления ошибок их следует устранить, обычно рядом с ошибкой или предупреждением имеется краткое пояснения по ее устранению.\n1pve6to7 В нашем случае предупреждение только одно - 6 запущенных виртуальных машин. Однако могут возникнуть и более сложные проблемы, одна из них связана с полным переходом на CGroupv2, в связи с чем вы не сможете более запускать контейнеры на CentOS 7 и Ubuntu 16.10, также могут возникнуть проблемы с опциями конфигурации:\n1lxc.cgroup.xxx При использовании CGroupv2 они будут игнорироваться, в большинстве случаев поможет простая замена на:\n1lxc.cgroup2.xxx Но если это важный сервис, то обратитесь к документации или проверьте его работоспособность в тестовой среде.\nИ только после того, как вы устраните все ошибки и предупреждения можно будет двигаться дальше.\nСначала остановим все виртуальные машины, именно остановим, а не поставим на паузу. Это можно сделать при помощи Массовых операций (Bulk Actions). Заменим репозитории основной системы с Debian 10 на Debian 11:\n1sed -i \u0026#39;s/buster\\/updates/bullseye-security/g;s/buster/bullseye/g\u0026#39; /etc/apt/sources.list Затем сделаем тоже самое со списком репозиториев Proxmox, в нашем случае это некоммерческие репозитории и возможно вам потребуется уточнить имя файла, в котором они находятся:\n1sed -i -e \u0026#39;s/buster/bullseye/g\u0026#39; /etc/apt/sources.list.d/pve-no-subscription.list Теперь обновим источники пакетов:\n1apt update И перейдем к обновлению:\n1apt full-upgrade После скачивания пакетов вы получите последнее предупреждение, здесь еще можно остановиться и отмотать все назад. Если вы твердо уверены что хотите продолжить - нажмите Enter. Оказывается, что не все знают, как закрывать подобные сообщения, достаточно просто нажать q, если не нажимается - проверить раскладку клавиатуры. На все вопросы об измененных файлах конфигурации отвечаем по умолчанию - нет (N), для этого достаточно просто нажать на Enter. А вот запрос на автоматический перезапуск служб, наоборот, подтверждаем. В остальном процесс обновления не представляет особой сложности вы можете, как когда-то рекомендовалось, откинуться на спинку стула в ожидании его завершения.\nПосле того, как все закончится, не спешите перезагружаться, а еще раз выполните:\n1apt autoremove Это позволит избежать ряда неприятных ситуаций, вроде небольшого размера раздела /boot, которые могут привести к невозможности загрузки.\nА вот теперь можно смело отдать команду:\n1reboot После чего вы будете работать уже с новой версией системы виртуализации. Как видим, обновить версию Proxmox Virtual Environment несложно, в большинстве случаев достаточно и официальной инструкции, но дополнительные проверки лишними не будут и помогут вам избежать проблем в процессе обновления и после него.\n","id":"9d7cb3e3bf49dd4b0f86d1239d1fe4f8","link":"https://interface31.ru/post/obnovlyaem-proxmox-virtual-environment-s-versii-6-do-7/","section":"post","tags":["Debian","Linux","Proxmox","Виртуализация"],"title":"Обновляем Proxmox Virtual Environment с версии 6 до 7"},{"body":"Подкачка, она же swap или своп - понятие знакомое каждому, вне зависимости от того с каким семейством ОС приходится работать. Да и представление о процессе вроде бы имеется... Именно, что \u0026quot;вроде бы\u0026quot;, если спросить, как работает пространство подкачки, то услышим стандартные фразы про недостаток памяти и сброс второстепенных страниц на диск. А можно и вообще услышать, что памяти сегодня много и подкачка не нужна. Так ли это на самом деле или происходящие процессы гораздо более глубоки? Давайте разбираться.\nНачнем с того, что процессор может исполнять код и обрабатывать данные только после их помещения в оперативную память (далее просто память), которая организована в виде набора адресуемых сегментов - страниц. Минимальный размер страницы для 32-битного процессора x86 - 4 КБ, современные системы могут работать со страницами большего размера.\nНа заре развития вычислительной техники памяти было немного и остро стоял вопрос ее эффективного использования, тогда же возникло предложение использовать для хранения страниц не только оперативную память, но и специально размеченное место на дисковых накопителях. Это позволяло при недостатке памяти вытеснить на диск редко используемые страницы и освободить память для работающих приложений. Данный процесс и получил название подкачки. Общий объем физической памяти и пространств подкачки называется виртуальной памятью.\nСобственно, для системы нет никакой разницы, где находится требуемая страница: в памяти - хорошо, в пространстве подкачки - придется предварительно считать ее оттуда в память. Чтение с дисков - операция медленная (по сравнению с доступом к памяти) и поэтому вы можете заметить, что, развернув свернутое приложение приходится некоторое время подождать пока оно начнет нормально работать и при этом идет интенсивный обмен с диском.\nКонечно, тормоза многих раздражают, но лучше пусть система время от времени тормозит, нежели глухо виснет только потому, что вы случайно исчерпали всю доступную память. Это самые общие черты, которые знает практически каждый, а вот дальше уже идут тонкости.\nОсобенности использования памяти в Linux Управление памятью - сложная тема, поэтому мы будем использовать максимально упрощенную модель, достаточную для понимания происходящих процессов. Начнем с памяти приложений, это просто и понятно - при запуске приложение загружает в память собственный код, код связанных библиотек, обрабатываемые данные. Именно этот объем памяти мы видим, как занятый в простых утилитах, таких как Системный монитор. Чем больше мы запускаем приложений и чем больше данных они обрабатывают - тем выше будет объем занимаемой ими оперативной памяти, остальную память принято считать свободной, но это не так.\nПочему? Обратимся к устройству файловой системы Linux, которая реализована в виде отдельного уровня абстракции - виртуальной файловой системы (VFS), которая позволяет работать с самыми различными носителями и физическими файловыми системами абсолютно прозрачно для ОС и приложений. Когда программа хочет что то прочитать или записать на диск, то ей абсолютно все равно что это такое: быстрый SSD с ext4 или флешка с FAT32, она обращается к VFS, а именно та уже через драйвер файловой системы осуществляет запись или чтение с нее.\nВсе ресурсы VFS хранятся в оперативной памяти, а так как дисковые операции достаточно дороги, то VFS активно кеширует данные в той же оперативной памяти, это очень важный момент, так как кеш VFS очень серьезно влияет на производительность системы. Вспомните, как долго осуществляется отображение содержимого папки с большим количеством файлов при первом входе в нее и как быстро происходит повторное открытие.\nФактически за использование оперативной памяти в Linux постоянно конкурируют между собой приложения и кеш VFS, при этом однозначно отдать кому-то предпочтения нельзя, любая крайность будет негативно влиять на производительность.\nЕсли мы возьмем более профессиональные инструменты, то сможем увидеть, что значительный объем \u0026quot;свободной\u0026quot; памяти используется под кеш. А что будет, если оперативной памяти станет не хватать? Самый простой вариант - сбросить кеш, это можно сделать быстро и без особых затрат. Но это не всегда хороший вариант, да и как быть, если памяти не хватает VFS-кешу? Выгрузить какое-то приложение нельзя, для этого потребуется завершить процесс, что делать? И тут на помощь приходят пространства подкачки, зачем закрывать приложение, если можно выгрузить его страницы на диск, особенно если это приложение в данный момент не активно. Таким образом мы можем выделить нужное количество памяти под VFS-кеш без ущерба для производительности.\nИменно этим объясняется использование пространств подкачки при наличии \u0026quot;свободной\u0026quot; оперативной памяти, этот момент приводит в недоумение многих начинающих администраторов. Но если же мы заглянем немного глубже, то увидим, что на самом деле \u0026quot;свободная\u0026quot; память далеко не свободна.\nПроведем небольшой эксперимент. На его начало у нас было открыто и свернуто несколько приложений, включая браузер и графический редактор GIMP с загруженным в него 4К изображением. Посмотрим расклад по памяти: Итак: занято 2,36 ГБ, используется кешем 1,3 ГБ и в подкачке 578 МБ. Теперь распакуем какой-нибудь достаточно большой архив, в нашем случае около 1 ГБ включающий около сотни файлов различных типов и размеров. И снова посмотрим на статистику: А здесь мы увидим достаточно неожиданную картину: объем занимаемой памяти уменьшился, зато объем выделенный под кеш вырос, так же часть страниц была сброшена в своп. Если взять калькулятор и выполнить грубые прикидки, то увидим, что размер кеша вырос примерно на 400 МБ, часть этой памяти была взята из небольшого количества свободной, а другая часть была освобождена путем вытеснения части страниц в подкачку.\nБлагодаря этому система быстро выполнила требуемую дисковую операцию, но потом мы испытали некоторую задержку разворачивая GIMP. Но это вполне разумная плата за сохранение общей производительности системы.\nЗдесь стоит обсудить еще один вопрос: реальную и воспринимаемую производительность. Если нам требуется вытащить приложение, на которое мы переключаемся из подкачки, то это займет некоторое время, что ухудшит воспринимаемую производительность, но на реальную никак не повлияет, будучи загружено обратно в память приложение будет работать также быстро.\nВ настольных системах между реальной и воспринимаемой производительностью нужно найти оптимальный баланс. Мало кому понравится тормозящий интерфейс, но еще меньше понравится реальное замедление работы приложений, хотя они будут очень отзывчивы, из-за того, что ради этого пришлось сбросить VFS-кеш.\nSwappiness Это параметр sysctl, задающийся в файле /etc/sysctl.conf и позволяющий установить приоритеты доступа к оперативной памяти. Он может принимать значения от 0 до 200, значение по умолчанию равно 60. Что это означает? При значении равным 100 считается что стоимость подкачки и стоимость дискового ввода-вывода равны и поэтому подкачка будет использоваться всегда, если кешу VFS требуется место в памяти, но точно также кеш будет сбрасываться, если память понадобилась приложениям.\nПри значениях менее 100 память приложений имеет приоритет, так при значении в 60 получается, что стоимость подкачки на 40% дороже, чем дисковый ввод-вывод и система будет стараться не свопить до определенного предела. Очень грубо этот параметр в диапазоне от 0 до 100 можно рассматривать как минимальный процент свободной оперативки при котором начнет работать подкачка.\n1vm.swappiness=60 При значении в 60 система начнет вытеснять страницы приложений в подкачку после того, как останется свободной менее 60% памяти, при 100 - подкачка будет работать всегда. Если выставить значение в ноль, то это не отключит подкачку, но она не будет использоваться до последнего, в критической ситуации система все-таки начнет сбрасывать страницы на диск, чтобы сохранить приемлемый уровень производительности.\nЗначения свыше 100 куда более интересны, хотя на первый взгляд практического смысла в них нет. Однако это не так, допустим у вас есть система, которая грузится с быстрого NVMe диска, но основная работа происходит с данными на HDD. Скорость современных жестких дисков доходит до 200 МБ/с, а даже самый простой NVMe свободно дает от 1500 МБ/с. Так может лучше скинуть своп на NVMe, чем вытеснять VFS-кеш?\nИменно так, поэтому берем в руки калькулятор и считаем. По грубым прикидкам NVME в 8 раз быстрее. Поэтому:\n1x + 8x = 200 Вычислить x несложно, его значение будет 22,22, теперь можем узнать 8x - это будет 177, именно это значение мы должны задать в опции swappiness если хотим агрессивно сбрасывать страницы приложений в быстрый своп ради сохранения высокой реальной производительности.\nНапример, вы работаете с виртуальными машинами VirtualBox расположенными на HDD, поэтому вам более интересно вытеснить в пространство подкачки данные приложений, скажем браузера, чем потерять кеш VFS, который вызовет тормоза в виртуальной машине. При этом NVMe обеспечит быструю скорость извлечения данных, и вы не почувствуете дискомфорта переключившись на браузер.\nVFS cache pressure Это еще одно значение sysctl, оно означает приоритет кеша VFS перед страницами приложений. Значение в 100% обозначает паритет, дисковый кеш и приложения имеют равный вес и вытесняются в зависимости от иных настроек.\nНо если мы хотим это изменить, то нужно в**/etc/sysctl.conf** задать опцию\n1vm.vfs_cache_pressure=100 При увеличении этого числа мы получим более агрессивную политику ядра по отношению освобождения памяти занятой под дисковый кеш. Если мы хотим в 10 раз активнее освобождать кеш VFS, то следует задать значение опции равным 1000, в 100 раз - 10 000. При уменьшении значения ядро, наоборот будет избегать освобождения памяти занятой под кеш. И если установить данную опцию в ноль, то кеш VFS никогда не будет освобождаться, что может спровоцировать опасную ситуацию, когда память в системе действительно закончится.\nМы не рекомендуем изменять данный параметр без четкого понимания что именно вы делаете и зачем.\nСоздание и использование пространств подкачки Классическим для Linux является использование раздела подкачки, который выделяется, обычно, в конце диска и особым образом размечается. Для этого используется особый тип файловой системы 82 (область подкачки Linux). Если вы создали раздел подкачки при установке системы, то больше ничего делать не нужно. Если же вы хотите добавить в подкачку еще один раздел, скажем sde5, то выполните одну простую команду:\n1mkswap /dev/sde5 Затем включите подкачку на этом разделе, перезагрузка системы не потребуется:\n1swapon /dev/sde5 Чтобы автоматически подключать раздел подкачки при монтировании добавьте в**/etc/fstab** строку:\n1/dev/sde5 swap swap defaults 0 0 Однако современные системы не приветствуют монтирование устройств по их наименованию, потому что в случае изменения конфигурации наименования дисков и разделов на них могут измениться, поэтому более правильным будет использовать для монтирования UUID, прежде всего узнаем его:\n1lsblk -no UUID /dev/sde5 Затем изменим запись монтирования в fstab следующим образом:\n1UUID=\u0026lt;UUID\u0026gt; swap swap defaults 0 0 Где вместо подставьте полученный на предыдущем шаге идентификатор.\nСовременные системы все чаще отказываются от отдельного раздела подкачки отдавая предпочтению файлу. Это имеет ряд преимуществ в простоте и гибкости использования - изменить размер файла гораздо легче чем раздела. В остальном никакой разницы между ними нет, файл и раздел подкачки работают одинаково.\nДля создания файла можно воспользоваться командой:\n1fallocate -l 4G /swapfile Или старым добрым dd:\n1dd if=/dev/zero of=/swapfile bs=1M count=4096 В обоих случаях мы создадим файл размером 4 ГБ, сразу ограничим права на него:\n1chmod 600 /swapfile А дальше точно также:\n1mkswap /swapfile 2swapon /swapfile Для его постоянного монтирования добавьте в /etc/fstab запись:\n1/swapfile swap swap defaults 0 0 Кстати, при помощи файла можно временно увеличить пространство подкачки, например, для выполнения какой-то ресурсоемкой разовой работы. Просто создайте и подключите еще один файл, а закончив - отключите его:\n1swapoff /swapfile Если в системе создано несколько пространств подкачки, вне зависимости от того разделы это или файлы, то обращение к ним происходит по принципу чередования, что позволяет увеличить общую производительность подкачки, но бывают случаи, когда использование пространств нужно указать явно. Допустим у нас есть раздел подкачки на старом HDD и файл на новом быстром NVMe, нам, конечно же, хотелось бы сначала использовать своп на быстром диске, а только по его заполнению переходит на медленный жесткий.\nДля этого добавим в опции монтирования еще один параметр - приоритет: минимальный приоритет 0, максимальный 32767. Чем выше приоритет, тем предпочтительнее использование данного пространства, для нескольких пространств с одинаковым приоритетом будет использоваться чередование.\n1UUID=\u0026lt;UUID\u0026gt; swap swap defaults,pri=0 0 0 2/swapfile swap swap defaults,pri=10 0 0 Таким образом вы можете создать пространство подкачки из множества частей и достаточно тонко настроить их использование. Скажем, небольшой файл на NVMе с максимальным приоритетом, файл побольше на обычном SSD и большой файл на HDD, приоритет которого установлен на минимум.\nПространства подкачки и SSD В настоящий момент SSD не роскошь, а основной тип накопителя для ПК, рабочих станций и серверов и поэтому нужно использовать их возможности на полную. Советы убирать с SSD подкачку, временные файлы и т.д. и т.п. кроме как вредными назвать нельзя. Поэтому размещать подкачку на SSD не только можно, но и нужно. Единственный момент, для разделов подкачки следует включить использование TRIM, для этого в опции монтирования добавьте discard:\n1UUID=\u0026lt;UUID\u0026gt; swap swap defaults,discard,pri=0 0 0 Обратите внимание, что данная опция нужна только для разделов подкачки, для файлов она не имеет никакого смысла.\nСпящий режим и пространства подкачки Спящий режим (гибернация) - особый режим завершения работы системы, когда все содержимое оперативной памяти сохраняется на жесткий диск и может быть восстановлено при включении компьютера. В Linux для этих целей используются пространства подкачки, в них вытесняются занятые страницы памяти, сохраняются настройки устройств и только после этого компьютер выключается.\nПри включении, если система обнаруживает в подкачке сохраненный образ памяти, то вместо нормальной загрузки начинается его восстановление. Таким образом вы получите полностью рабочее состояние компьютера со всеми открытыми программами и документами.\nИспользование спящего режима предъявляет особые требования к размеру пространств подкачки, они должны быть способны вместить полный объем оперативной памяти, настройки устройств и собственное содержимое подкачки, если оно используется системой (а как мы видели - оно используется).\nКроме того, при большом объеме оперативной памяти сброс ее на диск при выключении и восстановление при включении может занимать продолжительное время и может оказаться, что быстрее закрыть приложения и нормально выключить компьютер, а по включении просто заново все открыть.\nКакой размер файла подкачки выбрать? Единого мнения на этот счет не существует, но есть определенные наработанные практики, которые позволяют дать рекомендации. Наиболее подробно они приведены в документации Fedora и мы приведем именно их:\nОбъем ОЗУ в системе Рекомендуемый размер подкачки При использовании спящего режима Менее 2 ГБ 2 х ОЗУ 3 х ОЗУ 2 ГБ - 8 ГБ ОЗУ 2 х ОЗУ 8 ГБ - 64 ГБ 0,5 х ОЗУ 1,5 х ОЗУ Более 64 ГБ зависит от нагрузки спящий режим не рекомендуется Но приведенные значения не догма и могут быть пересмотрены исходя из реальных нагрузок. Так если использовать 4 ГБ подкачки для системы с объемом ОЗУ 2 ГБ выглядит нормально, то выделять 32 ГБ для системы с 64 ГБ ОЗУ выглядит излишеством, поэтому изучите реальный режим работы системы и скорректируйте размер пространства подкачки исходя из реальных запросов. Именно в этой ситуации и становятся удобны файлы подкачки - их размер очень легко менять.\nЗаключение Конечно же это не все возможности, которые предоставляют пространства подкачки в Linux, многое оставлено за кадром просто потому, что объем статьи не позволяет все это вместить. Но приведенные данные являются необходимым минимумом для каждого системного администратора, который выбрал Linux как одну из используемых операционных систем.\n","id":"75518751c812d9913befbfa6a9cdb6b8","link":"https://interface31.ru/post/linux-nachinayushhim-chto-takoe-prostranstva-podkachki-i-kak-oni-rabotayut/","section":"post","tags":["Debian","Linux","swap","Ubuntu","Производительность"],"title":"Linux - начинающим. Что такое пространства подкачки и как они работают"},{"body":"Компактные платы с уже установленными процессорами формата SoC давно привлекают наше внимание. Прежде всего они интересны для построения систем автоматизации, в т.ч. необслуживаемых, различных мини-серверов, встраиваемых устройств. Там, где не требуется высокой производительности, но требуется компактность, низкое энергопотребление и неприхотливость в обслуживании. Сегодня, в непростой экономической ситуации, мы решили проверить на что способен AMD E1-6010 - один из самых доступных SoC в этом сегменте.\nДолгое время \u0026quot;золотой серединой\u0026quot; среди miniITX систем и встраиваемых устройств на SoC был Intel Celeron J1900 и его последователи линеек J3xxx - J5xxx. Обладая небольшим энергопотреблением и тепловыделением, они обычно комплектуются пассивным охлаждением и могут успешно работать в самых различных условиях, в т.ч. и неблагоприятных. Производительности таких систем как правило вполне достаточно, чтобы выступать простой рабочей станцией, POS-системой или мини-сервером.\nСейчас доступность и цена систем на основе этой линейки совсем не радует, поэтому требуется искать альтернативу. Поэтому взгляд закономерно падает на AMD E1-6010, который как был, так и остается самым дешевым и доступным SoC. Давайте посмотрим на его основные характеристики:\nКол-во ядер CPU: 2 Кол-во потоков: 2 Базовая частота: 1.35GHz Объем кэш-памяти: L2 1MB TDP номинальный/TDP: 10W Модель GPU: AMD Radeon R2 Graphics Сразу обращает на себя внимание базовая, она же и максимальная частота - 1,35 ГГц, какие-либо технологии автоматического разгона не предусмотрены. По современным меркам это достаточно немного и ожидать высокой производительности от платформы не приходится. Тем не менее конкретная реализация в виде платы GIGABYTE GA-E6010N достаточно интересна. Центральную часть платы занимает SoC с радиатором, в отличие от Intel здесь присутствует вентилятор, хотя тепловой пакет чипа такой же - 10 Вт. Это единственный момент, который нам категорически не нравится, хотя размеры радиатора здесь заметно меньше, чем у Intel. Два слота памяти с поддержкой до 32 ГБ DDR3 - это уже хорошо, в типичных применениях этих систем скорость памяти зачастую не так важна, как важен ее объем. В младших моделях SoC от Intel максимальный объем памяти часто был ограничен на уровне 16 ГБ. Обычный формат модулей памяти в данном случае плюс, а не минус, так как найти две планки 16 ГБ DDR3 проще, чем две таких же планки SO-DIMM.\nСпорным остается наличие слота PCI, а не PCI-е, хотя это с какой стороны посмотреть, в профессиональном применений все еще достаточно самых разных плат, адаптеров, контроллеров и прочего железа с данным интерфейсом. Хотя чаще всего слот расширения в компактных системах остается невостребованным, чаще всего потому, что объем устройства не позволяет установить туда не то что полноразмерную, а даже низкопрофильную плату.\nНабор разъемов на задней панели вполне соответствует современным требованиям. Прежде всего это шесть разъёмов USB, два из которых - высокоскоростные USB 3.1, при этом наличие универсального PS/2 позволяет сэкономить один USB-разъем подключив к нему клавиатуру или мышь. Также на материнской плате разведены еще четыре USB-порта, которые можно вывести на планку или переднюю панель. Общее количество возможных USB-разъемов таким образом может достигать десяти и это действительно хорошо, так как сегодня практически все оборудование подключается при помощи этой шины и количество доступных разъемов далеко не праздный вопрос.\nВ наличии также два COM-порта, один на задней панели, один на плате. И хотя устройства с таким типом подключения практически вытеснены USB-устройствами, но COM-порт нет нет, да нужен, как минимум прошить что-нибудь или освободить недостающий USB-разъем, если устройство поддерживает оба вида подключения.\nДля начала попробуем установить на устройство Windows 10 и посмотреть на его основные показатели. Мы тестировали данную плату с двумя планками AMD Radeon R3 Value Series [R338G1339U2S-U] 8 ГБ и SSD AMD Radeon R5 Series [R5SL256G].\nПервое, что бросается в глаза - это ощутимая \u0026quot;невооруженным глазом\u0026quot; задумчивость. Не сказать, что все плохо, но недостаток процессорных ресурсов нет нет, да ощущается. Особенно это заметно во время установки ПО: Или установки обновлений: Хотя сказать, что E1-6010 тормозит - нельзя. В обычных задачах он шевелится достаточно быстро, но вот запаса по частоте для тяжелых задач у него нет. Там, где Intel J-серии включает разгон и успешно обрабатывает нагрузку, данный процессор от AMD нечего предложить не может, утыкаясь в свой потолок.\nДля тестов мы использовали пакет PCMark 8, для которого у нас есть результаты тестирования процессоров J-серии. Основным конкурентом будем рассматривать J1900, но также сравним его и с более новыми процессорами линейки, для которых у нас есть результаты тестирования. Почему именно J1900, да потому что они ровесники, обе платформы вышли на рынок в 2014 году, но до сих пор активно продаются.\nПервый тест - Home accelerated, типичные неигровые домашние задачи, в нем E1-6010 ожидаемо уступает J1900, но не сильно, особенно учитывая, что последний четырехядерник с рабочими частотами 2,0 / 2,42 ГГц: Ниже результаты J3160 4 ядра 1,6 / 2,24 ГГц и J3455 4 ядра 1,5 / 2,3 ГГц Это более новые процессоры и результаты их гораздо выше, даже не смотря на более низкие частоты. При этом \u0026quot;более младший\u0026quot;, если судить по нумерации J3160 обходит как-бы \u0026quot;более старший\u0026quot; J3455. Но что обращает на себя внимание, так это достойное видеоядро E1-6010, которое идет на равных или опережает более мощных соперников.\nВторой тест - Work accelerated, типичная рабочая нагрузка. E1-6010 здесь внезапно вырвался вперед, хотя если смотреть в расшифровку теста, то видно, что он везде уступает J1900, кроме работы с таблицами. Возможно, это особенность теста, но аномально низкие значения в табличном тесте мы получали для всех систем на J1800 / J1900. Здесь же представлен и J3455, результаты теста для J3160 у нас не сохранились. Герой этого обзора ожидаемо \u0026quot;пасет задних\u0026quot;, но опять-таки не сильно чтобы совсем. Сравнивая результаты J1900 и J3455, которые не сильно отличаются, можно предположить реальный рейтинг J1900 на уровне 2500, что становится гораздо ближе к реальному раскладу сил. Налицо отставание на 15-30%, что не так уж и плохо с учетом более существенного отставания по частоте.\nТест производительности 7-Zip, типичная числодробилка с использованием алгоритма сжатия LZMA, который хорошо распараллеливается и показывает, что именно можно выжать из всех ядер процессора. Потому как остальные участники теста четырехядерники, то мы включили в него младшего брата J1900 - двухъядерный J1800 c рабочими частотами 2,41 / 2,58 ГГц. Конечно же четыре ядра однозначно опережают два, но в своем классе отставание все же не такое фатальное, как можно было бы предположить, с учетом разницы в частотах с J1800 более чем на 1 ГГц. Если выполнить простые расчеты, то окажется, что производительность на 1 МГц у ядра E1-6010 даже выше, только вот этих самых мегагерц сильно не хватает.\nПо производительности ядра E1-6010 не уступает одноклассникам от Intel, но сильно проигрывает по энергоэффективности, именно этим обусловлены низкие частоты и наличие активного охлаждения. Иначе удержать процессор в тепловом пакете в 10 Вт не представлялось бы возможным.\nНу и наконец Тест Гилева, де факто стандарт для 1С. Здесь ожидаемо все плохо, 12,85 баллов - ну это совсем никуда, по самой нижней планке понятия о комфортной работе. В принципе, жестко затюнив все что можно в плане энергосбережения и достижения максимальной производительности процессора можно подтянуть Гилева на уровень 15 баллов, которые характерны для младших моноблоков АТОЛа, но ставить такие POS-терминалы на точки с высокой проходимостью явно не стоит. А вот там, где количество чеков небольшое, тот же магазин одежды, в общем и целом, E1-6010 будет вполне уместен, но без каких-либо иллюзий в его отношении.\nВыводы Скажем прямо - данный SoC слабый, он уступает всем в своем классе и обеспечивает производительность по самой нижней планке. Но это сейчас самый дешевый SoC на рынке и цена его вполне привлекательна и доступна. Поэтому не стоит сбрасывать его со счетов.\nПеред нами достаточно экономичная и энергоэффективная платформа с малым уровнем потребления и шума. При этом процессор поддерживает все современные технологии, включая виртуализацию.\nКуда его можно применить? Рабочая станция - однозначно нет. POS-терминал - да, но с определенными оговорками, если вы используете 1С, то только в небольшие точки со слабой проходимостью, а если в качестве фронта у вас тот же Frontol или его аналоги, то производительности будет достаточно, а большое число разъемов позволит без проблем подключить все оборудование.\nНебольшой сервер виртуализации для запуска десятка контейнеров - почему бы и нет, с учетом поддержки до 32 ГБ оперативной памяти.\nДомашний NAS или медиасервер? Тоже потянет, с воспроизведением и перекодировкой HD-видео у него проблем нет, единственное ограничение - всего два SATA-разъема.\nВ общем по соотношению цена / производительность платформа E1-6010 достаточно неплоха, она не обещает высоких показателей, но готова спокойно тянуть повседневную нагрузку отрабатывая каждый вложенный в нее рубль. Как говорится в старой поговорке: поспешай медленно. Ведь очень часто высокая производительность просто не нужна. А нужен простой, надежный и экономичный ПК для выполнения каких-либо утилитарных задач. Однозначно рекомендовать E1-6010 мы не можем, но в ряде случаев он вполне придется к месту как недорогое антикризисное решение.\n","id":"66da3b279df52b5f032272ab69129037","link":"https://interface31.ru/post/-amd-e1-6010-kogda-nuzhno-pospeshat-medlenno/","section":"post","tags":["AMD","CPU"],"title":"AMD E1-6010 - когда нужно поспешать медленно"},{"body":"Двухпанельные файловые менеджеры - совершенно особый тип ПО, появившись в начале 80-х годов, когда возможности ПК были весьма ограничены, их концепция оказалась настолько удачной, что успешно дожила до наших дней и продолжает развиваться. Сегодня двухпанельные менеджеры существуют как консольные приложения, и приложения графического режима. Последние постепенно обросли множеством функций и представляют собой достаточно мощные и функциональные комбайны.\nMidnight Commander Этот менеджер знаком каждому, кто работал с Linux в режиме командной строки и в представлении не нуждается. Вот он, такой привычный, надежный, синий: Он есть во всех дистрибутивах Linuх и по факту является файловым менеджером по умолчанию. Для его установки в системах на базе Debian или Ubuntu используйте знакомую с детства команду:\n1apt install mc В графической среде mc также остается актуален и запускается внутри эмулятора терминала. Для многих администраторов, уверенно чувствующих себя в командной строке вопрос выбора двухпанельного менеджера для графической среды даже не стоит, конечно же привычный Midnight Commander. Рекомендуем к прочтению Для тех, кто хочет более подробно ознакомиться с возможностями Midnight Commander и освоить приемы эффективной работы с ним рекомендуем прочитать нашу статью: Осваиваем эффективную работу в Midnight Commander. Linux port of FAR v2 Рассказывать, что такое Far Manager, нам кажется, тоже не нужно. Это современный консольный файловый менеджер, долгое время работавший только в Windows, но после того, как в 2007 году был открыт исходный код появился форк актуальной тогда версии Far Manager v2 для Linux. К сожалению, из-за сильных архитектурных различий систем Far Manager для Windows и для Linux - это разные проекты, объединенные общими концепциями, заложенными в этот файловый менеджер.\nВ Ubuntu для его установки можно использовать PPA:\n1add-apt-repository ppa:far2l-team/ppa 2apt update 3apt install far2l Для других DEB-based систем можно скачать пакеты из PPA-репозитория и установить их вручную. FAR для Linux работает в консольном режиме и может использоваться как альтернатива mc, на первый взгляд они даже похожи, но опытный пользователь, по множеству характерных деталей сразу определит, что перед ним именно FAR.\nВ графической оболочке far2l также работает, при этом, в отличие от mc, запускаясь не в эмуляторе терминала, а как отдельное полноценное GUI-приложение. В этом есть и плюсы, и минусы, хотя, если вам нужен консольный FAR, то никто не мешает запустить терминал, а в нем открыть FAR. На наш взгляд,Linux port of FAR v2 придется ко двору Windows-администраторам, которые только осваивают Linux, это даст им возможность использовать привычный инструмент на новой платформе, как в консоли, так и в графическом интерфейсе.\nDouble Commander Но насколько хорошими и мощными инструментами не были бы Midnight Commander и Far Manager - это больше инструменты администратора, привыкшего к консоли и чувствующего в ней себя, как рыба в воде. Для большинства пользователей консоль выглядит непривычно и пугающе, а консольные приложения кажутся пережитками старины.\nВ тоже время спрос на двухпанельные менеджеры есть и в пользовательской среде и отличный пример тому Total Commander, если вам нравится этот продукт, то вы можете найти ему практически полноценную замену - Double Commander. Это приложение графического режима практически полностью повторяющее устройство и возможности своего Windows-аналога. Приложение можно установить через магазин или APT, при этом доступны две версии: для GTK2 и Qt, выбор между которыми нужно производить в зависимости от используемой графической оболочки:\n1apt install doublecmd-gtk или\n1apt install doublecmd-qt Также Double Commander поддерживает плагины и совместим по API с плагинами Total Commander, что открывает широкие возможности по наращиванию возможностей программы и тонкой настройки ее под свои задачи.\nКакое-то время проект практически не развивался, но сегодня в нем снова есть активность и новые версии пекутся как горячие пирожки. Если вы хотите получать самые свежие версии Double Commander, то вам потребуется подключить сторонний репозиторий doublecmd-qt from home:Alexx2000 и установить приложение по приведенным там инструкциям.\nТолько обратите внимание, что там присутствует только Qt версия, поэтому если у вас используется сборка для GTK - ее следует предварительно удалить. На наш взгляд, Double Commander - наиболее продвинутый и многофункциональный двухпанельный менеджер графического режима, если вы привыкли пользоваться Total Commander, то в его лице вы найдете не менее функциональный аналог в новой ОС. Также рекомендуем его всем любителям двухпанельных менеджеров, который ищут подобный инструмент в Linux.\nKrusader Еще один мощный и функциональный двухпанельник для KDE, об этом сразу становится понятно из названия, по характерной для KDE замене первой буквы на K (англ. crusader - крестоносец). Был основан в мае 2000 также как Linux-аналог Total Commander и сейчас представляет весьма развитый продукт. Установка его весьма проста, можно сделать это как через магазин, так и простой командой:\n1apt install krusader Менеджер имеет очень хорошую интеграцию в KDE, включая поддержкуdrag'n'drop и если вы предпочитаете именно эту графическую оболочку, то советуем внимательно присмотреться к нему.\nKrusader можно установить и для GTK-систем, пакеты в репозиториях есть, но имеется также масса досадных мелочей, которые отравляют работу с приложением. Это Ubuntu, пакет из репозитория. Обратите внимание на то, что пять значков из девяти отсутствуют. Поэтому Krusader будет хорошим выбором, если ваша родная среда - KDE, в остальных случаях, возможно, следует все-таки обратить внимание на Double Commander.\nDolphin Раз уж мы заговорили о KDE, нельзя не обратить внимание на штатный файловый менеджер Dolphin (дельфин), он тоже умеет в две панели: Хотя назвать его настоящим двухпанельником нельзя, многих привычных функций вы не найдете. Но во многих простых ситуациях, когда надо просто визуально сравнить содержимое папок и перекинуть файлы справа - налево или слева - направо этого будет вполне достаточно. В общем - мелочь, но приятно.\n4pane Две панели хорошо - а четыре еще лучше! Видимо так считают разработчики этого файлового менеджера. Проект явно на любителя, но тем не менее развивается и выпускает новые версии.\nУстановить легко: из магазина или через консоль:\n1apt install 4pane Дизайн - явно несильная сторона приложения, а вот возможностей хватает. Здесь и поддержка вкладок, и встроенный терминал и возможность быстро открыть файл редактором, браузером, офисным пакетом просто перетащив его на иконку справа вверху. В целом менеджер довольно интересен, но это явно нишевой продукт, в плюсы можно добавить широкие возможности и стабильность работы. Существенный минус - допотопный дизайн.\nXfe X File Explorer (Xfe) - альтернативный файловый менеджер, разрабатываемый энтузиастом из Франции Роландом Боденом. В магазине его нет, но можно установить через APT:\n1apt install xfe Первый запуск сразу приводит в недоумение и понимание того, почему в магазине его нет. Первая реакция - посмотреть на календарь и убедиться, что за окном действительно 2022 год. Менеджер поддерживает двухпанельный режим и достаточно функционален, но в нем нет ничего такого, что позволило бы выделиться ему на фоне конкурентов, которые не только умеют все тоже самое, но и более красиво выглядят. Трудно сказать, что именно должно подвигнуть на использование Xfe, в данный обзор он попал только благодаря тому, что есть в репозиториях и несмотря ни на что продолжает развиваться. А там - время покажет.\nSunflower Достаточно молодой проект двухпанельника, но с учетом всех современных решений и потребностей. Здесь вам и вкладки, и достаточно обширный инструментарий, в общем - современное прочтение классики. Этого приложения нет в репозиториях, но можно скачать пакеты для большинства систем на официальном сайте. Sunflower - действительно представитель нового поколения файловых менеджеров, он прекрасно вписывается в дизайн операционной системы, не перегружен органами управления, с одной стороны, но имеет достаточно богатый набор функций.\nВ целом все как-бы очень и не плохо, но время от времени нам приходилось сталкиваться со сбоями в программе или ее неадекватным поведением, т.е. назвать полностью стабильной мы ее не можем, хотя ошибки встречаются довольно редко. Однозначно порекомендовать Sunflower как файловый менеджер мы не можем, так как определенные огрехи у проекта есть, но он развивается и присмотреться к нему лишним не будет. Это действительно интересный и перспективный современный двухпанельник. Установите, попробуйте, возможно вам тоже понравится.\nPolo File Manager Это не классический двухпанельник, а современный файловый менеджер, поддерживающий в том числе и двухпанельный режим. Возможностей заявлено очень много: работа с архивами, ISO-образами, KVM, загрузка видео с хостингов. В общем все, о чем только можно мечтать. Установить Polo в Ubuntu можно через PPА:\n1apt-add-repository -y ppa:teejee2008/ppa 2apt update 3apt install polo-file-manager Для остальных систем можно скачать DEB или RUN файлы со страницы проекта. Менеджер действительно функционален и интересен, но крайне нестабилен. Если в Sunflower за багами надо охотится, то в Polo они придут к вам сами, приложение падает на очень и очень многих операциях.\nНо не ошибается только тот, кто ничего не делает. Для молодого программного продукта - это нормально, главное - не опускать руки и продолжать развитие. По нашему мнению, сложившемуся в результате тестирования данного менеджера - проект находится на уровне бета-версии, для повседневного использования рекомендовать нельзя, но если вы готовы испытывать все новое, отправлять баги разработчикам, то к Polo следует присмотреться.\nВыводы Есть админская классика: это mc или FAR, кому что нравится. Тут даже обсуждать нечего, классические консольные двухпанельники, восходящие к Norton Commander. Но то, что хорошо для админа не всегда подходит простому пользователю.\nЕсли вы не готовы к суровым и аскетичным консольным менеджерам, то присмотритесь к Double Commander или Krusader, последний актуален если вы предпочитаете KDE.\nВсе остальное очень и очень на любителя или энтузиаста. Но если старые проекты типа 4pane или Xfe действительно удел немногих, то к современным решениям стоит действительно присмотреться. Тот же Sunflower или Polo - это не классические двухпанельники или подражание Total Commander, в них реализован новый подход, с учетом лучшего наработанного опыта и адаптированного именно для Linux-систем. Может быть сегодня они недостаточно стабильны, но это вопрос времени.\nА вообще, это же Linux, в котором каждый сам себе кузнец собственного счастья. Пробуйте, тестируйте, находите именно ваш продукт, помогайте его разрабатывать и развивать. Именно это и подразумевает свободное ПО, когда пользователь не только качает и использует продукт, но и предоставляет разработчикам обратную связь, по мере собственных возможностей.\n","id":"bdddd8986f8955fc76a4a2f90d2df772","link":"https://interface31.ru/post/dvuhpanelnye-faylovye-menedzhery-dlya-linux/","section":"post","tags":["Debian","Linux","Midnight Commander","Ubuntu","Рабочее место"],"title":"Двухпанельные файловые менеджеры для Linux"},{"body":"Всем нам знакомы и привычны аппаратные NAS, они используются дома и на работе для хранения самых различных данных. Но любое оборудование может выходить из строя, обычно неожиданно и перед администратором может встать задача копирования данных с дисков NAS. На первый взгляд в ней нет ничего сложного: в основе прошивки Linux, а значит берем любую Linux систему, подключаем, монтируем, сливаем... Однако не все так просто и для выполнения этой задачи могут потребоваться достаточно глубокие знания систем хранения Linux и навыков работы с ними.\nРазбирать подобные ситуации лучше на примерах, тем более в нашем случае он как будто специально, достаточно показательный. На днях к нам обратился коллега с просьбой помочь достать информацию с диска, вышедшего из строя NAS Synology DS216. На наш вопрос в чем там проблема он уклончиво ответил, что как-то все сложно и он боится сделать что-нибудь не так и испортить данные.\nНу что же, давайте разбираться. Итак, перед нами следующие вводные: есть диск из двухдискового NAS, работавшего с зеркальным RAID-массивом, в качестве файловой системы использовалась ext4. Подключаем данный диск к нашей Linux-системе, в ее качестве мы использовали Ubuntu, но это не имеет особого значения, принципы работы с дисками везде одинаковы, и проверяем его наличие в системе командой:\n1lsblk Из ее вывода нам удалось выяснить, что диск определяется в системе как sdb, а раздел с данными, судя по размеру, это sdb5. А давайте попробуем его примонтировать? Но данная попытка не увенчается успехом. Почему? Ответ написан на экране: неизвестный тип файловой системы 'linux_raid_member'. Несмотря на то, что NAS аппаратный, RAID-массивы он использовал программные и перед нами классический раздел типа FD (Linux RAID autodetect). Для работы с ним потребуется установить mdadm:\n1apt install mdadm На всякий случай, чтобы не напороть сгоряча, проверим что именно находится на данном разделе:\n1mdadm --examine /dev/sdb5 Да, перед нами действительно один из дисков зеркального (RAID-1) массива. Теперь можем попробовать собрать массив командой:\n1mdadm --assemble --run /dev/md2 /dev/sdb5 Имя создаваемого массива можете выбрать на собственное усмотрение, в нашем случае md2. Массив собрался, утираем трудовой пот и пытаемся его смонтировать, но снова что-то пошло не так... Причины снова написаны белым по баклажановому: неизвестный тип файловой системы 'LVM2_member'. Это значит, что поверх программного RAID-массива развернут LVM. И вот здесь многие уже выбрасывают белый флаг. Дело в том, что mdadm - \u0026quot;зло\u0026quot; привычное, с ним так или иначе сталкивается любой Linux-администратор, а вот с LVM умеют работать далеко не все. Даже в комментариях вводных статей по LVM некоторые читатели высказывали мнение, что это только дополнительные заботы себе на пятую точку. Но жизнь ставит все на свои места.\nНаше мнение: знать основы LVM и уметь работать с ним на базовом уровне должен любой уважающий себя администратор.\nПрежде всего установим необходимые пакеты:\n1apt install lvm2 А теперь посмотрим, что же попало к нам в руки. Выполним команду:\n1pvscan Ее вывод ясно показывает, что у нас имеется физический том (PV), который содержит группу томов (VG) vg1000. И вот здесь нас поджидают первые сложности, которые вовсе и не сложности для тех. кто знает и умеет в LVM. Так как группа томов не была надлежащим образом экспортирована, то просто так подключить ее не получится. Перед этим надо обновить метаданные командой:\n1vgck --updatemetadata vg1000 После чего можно импортировать группу томов:\n1vgimport vg1000 И активировать их:\n1vgchange -a y vg1000 Теперь узнаем, какие логические тома (LV) содержит активированная группа томов (VG):\n1lvscan В нашем случае логический том один - lv, смонтируем его:\n1mount /dev/vg1000/lv /mnt В качестве точки монтирования мы выбрали стандартную директорию /mnt, но вы можете выбрать для этого любое место, главное условие - оно должно существовать на момент монтирования. Если мы теперь перейдем в точку монтирования, то увидим в ней все содержимое нашего NAS и можем спокойно копировать данные. Сложно? Если обладать базовым набором знаний - нет, в противном случае это близко к какой-то магии, где путем ввода непонятных \u0026quot;заклинаний\u0026quot; мы получаем нужный результат. После того, как вы скопировали нужные данные диск следует отключить, прежде всего отмонтируем логический том:\n1umount /mnt Деактивируем группу томов:\n1vgchange -a n vg1000 И экспортируем ее:\n1vgexport vg1000 Затем отключим программный RAID:\n1mdadm -S /dev/md2 Теперь можно смело извлекать диск, особенно если он был подключен через USB, мы корректно выполнили отключение и это не принесет вреда ни диску, ни системе.\nКак видим, никаких особых сложностей в подключении дисков из NAS нет, но для этого вы должны обладать базовыми знаниями и навыками по работе с mdamd и LVM.\n","id":"5523c9243b2ad820e70c5d8a993dea33","link":"https://interface31.ru/post/podklyuchaem-disk-iz-nas-v-linux-ili-montirovanie-raid-i-lvm-razdelov/","section":"post","tags":["Debian","Linux","LVM","mdadm","NAS","RAID","Ubuntu Server"],"title":"Подключаем диск из NAS в Linux, или монтирование RAID и LVM разделов"},{"body":"Новые технологии - это не только новые возможности, но и новые проблемы. Расширения в 1С:Предприятие открыли новые возможности по доработке конфигураций и их последующему сопровождению, но они же принесли новые проблемы, в частности касающиеся синхронизации в распределенной информационной базе (РИБ). Но есть проблемы - значит будут и решения, которые, по мере накопления опыта преобразуются в практические рекомендации. Сегодня мы рассмотрим, что может помешать синхронизации после установки расширений (патчей) и как это исправить.\nМы не будем подробно останавливаться на том, что такое расширения, об этом можно прочитать в официальной документации. Если коротко - то это специальные внешние модули, которые можно подключить к конфигурации и переопределить некоторые действия или добавить собственные. Они используются для исправления ошибок, адаптации или дополнения готовых прикладных решений, не внося изменений в код основной конфигурации. Это значительно облегчает дальнейшую доработку и поддержку доработанных решений, делает ее проще и дешевле.\nСуществует особый тип расширений - патчи, они официально выпускаются фирмой 1С и оперативно закрывают выявленные проблемы, это позволяет быстро устранить ошибки, не дожидаясь выпуска очередного релиза и не внося изменения в основную конфигурацию. На первый взгляд - дело хорошее, но все кроется в мелочах.\nРаспределенная информационная база (РИБ) продолжает активно использоваться несмотря на обилие облачных и прочих веб-решений. Причина проста, только эта технология обеспечивает автономность узлов распределенной сети, позволяя полноценно работать даже при отсутствии связи с центральной базой. Наиболее востребовано это в торговле - магазин должен продолжать работать, даже без связи с внешним миром.\nВ основе РИБ лежит иерархическая структура, в которой распределенные информационные базы, обладая полной автономностью, периодически обмениваются с центральным узлом, передавая и принимая данные. Обмен построен таким образом, что каждый узел должен подтвердить успешный прием данных, в противном случае они будут передаваться в каждом следующем сеансе обмена.\nНеобходимым требованием для успешной синхронизации является идентичность конфигурации центральной базы и распределенных узлов. Если вы внесли изменения в конфигурацию центрального узла, то эти изменения следует распространить по РИБ, принять и установить, только после этого синхронизация будет продолжена.\nДля расширений можно указать область применения: только центральная база или вся распределенная сеть. Вот здесь и начинается самое интересное.\nРасширения бывают двух типов: которые вносят изменения в структуру данных ИБ и которые не вносят, изменяя только интерфейс или обработчики команд. Последние не представляют особых проблем в РИБ, они минимально влияют на синхронизацию и для устранения проблем достаточно просто перезапустить программу. Но даже если этого не сделано, то синхронизация сохраняется, как правило в одну сторону: обновления из центрального узла не загружаются, так как не применены прошлые изменения, но в центральный узел данные передаются исправно.\nА вот если расширение вносит изменения в состав данных, то после синхронизации, как и при обновлении основной конфигурации, потребуется выполнить установку обновлений с обновлением конфигурации базы данных. И вот здесь обычно возникают проблемы.\nВ том, что касается РИБ, расширения не принесли никакого упрощения поддержки, а только добавили новых проблем. На первых порах ситуация была вообще плачевной, неудачным расширением можно было положить всю сеть РИБ всерьез и надолго. Сейчас ситуация выправилась, но ее можно охарактеризовать как \u0026quot;вооруженный нейтралитет, эпизодически выливающийся в локальные столкновения\u0026quot;.\nВ любом случае, применяя расширения вносящее изменения в структуру данных, администратор должен принять его в распределенных узлах и установить, точно также, как и изменения основной конфигурации. Если все это нормально организовано, то особых проблем там быть не должно, современная платформа предоставляет достаточно возможностей для комфортной работы с принятием изменений.\nНо в случае с патчами все меняется, отдельные, сказочно смелые люди, даже включают автоматическую установку исправлений, фактически закладывая мину замедленного действия под инфраструктуру РИБ. И последствия не заставят себя долго ждать, особенно если распределенные узлы находятся где-нибудь в сельской местности и со связью там не все хорошо.\nОбычно все начинается совсем не добрым утром, когда рядовые пользователи получают сообщение о невозможности запуска программы и начинают обрывать телефоны поддержки (часто в лице единственного человека). При входе с полными правами предлагается выполнить повторную синхронизацию с центральным узлом, но она завершается неудачей. В этом случае нажимаем Продолжить и входим в обычный режим работы 1С. Дальнейшие действия могут несколько различаться, в зависимости от конфигурации, а нашем примере это будет 1С:Розница 2.3. Переходим в Администрирование - Синхронизация данных - Настройки синхронизации данных и выбрав узел обмена (а он там будет один - центральный), нажимаем ссылку Синхронизация по расписанию. Затем выберите сценарий синхронизации и в меню правой кнопки мыши выберите Выполнить сценарий, обычно это не займет много времени. Затем можно вернуться в Настройки синхронизации и Установить обновление, во многих случаев этого окажется достаточно для восстановления нормальной работы автообмена, реже - потребуется повторить процедуру, при этом не забывайте после каждого сеанса синхронизации в РИБ запускать синхронизацию в центральном узле. Но бывает все гораздо хуже, после установки обновлений база снова просит повторную синхронизацию и все продолжается по кругу. В этом случае нам ничего не остается, как изучить Журнал регистрации, находим там ближайшую ошибку обмена и внимательно ее изучаем. Как правило там будет явно фигурировать проблемное расширение. А теперь немного отвлечемся, на портале обновлений 1С можно найти описание всех патчей и внимательно изучить их. А потом крепко подумать и сделать выводы. Большинство исправлений устраняют ошибки, с которыми вы вряд ли бы столкнулись, поэтому необходимость их автоматической установки исчезающе мала. Правильным действием будет ручная установка патчей, по мере выявления проблем. Далее переходим в центральную базу и загружаем ее в режиме Конфигуратора, переходим в Конфигурация - Расширения конфигурации и получаем полный список всех установленных расширений и патчей. После чего находим проблемное расширение и думаем. В некоторых случаях оно может устранять ошибку, которая существенна для центрального узла, но совершенно не влияет на периферию. В таком случае снимаем флаг Используется в РИБ, в остальных случаях просто удаляем расширение и выполняем синхронизацию с нужным узлом. Затем заново выполните синхронизацию в периферийном узле, но не спешите устанавливать обновление, снова выполните сценарий, как мы делали в начале этой статьи. Не забывайте, что после каждого сеанса синхронизации в узле РИБ нужно выполнять синхронизацию в центральной базе.\nТаких расширений может оказаться не одно, поэтому повторяем описанные действия до достижения успеха. После чего повторите обмен несколько раз и убедитесь, что проблемы с синхронизацией отсутствуют. Ну наконец-то! Можно идти пить кофе и отправлять пользователей работать. Но тут нас может ждать еще один сюрприз - пользователи снова не могут зайти, только текст ошибки немного иной. В чем здесь нельзя сомневаться, так в том, что за подробностями они все обратятся и администратору вряд-ли это понравится. В чем же дело? А в том, что современная 1С - сложная система и восстановив синхронизацию мы все еще не завершили процессы обновления информационной базы. Поэтому снова запускаем базу с полными правами и выполняем повторную синхронизацию. После чего нормальная работа базы данных будет восстановлена.\nКак видим, проблемы с синхронизацией и расширениями довольно-таки просто решаются, но требуют времени, иногда довольно продолжительного. Поэтому мы категорически не советуем включать автоматическую установку патчей, а ставить их только вручную и только при наличии реальной необходимости. А также не забывать об области применения, многие из патчей нужны только в центральном узле и нет смысла распространять их через РИБ.\n","id":"04bde04cd9041edd3287b4e5a8d9ef97","link":"https://interface31.ru/post/vosstanavlivaem-sinhronizaciyu-v-1spredpriyatie-pri-problemah-s-rasshireniyami-patchami/","section":"post","tags":["1С Предприятие 8.х","Автообмен","Диагностика","Расширения"],"title":"Восстанавливаем синхронизацию в 1С:Предприятие при проблемах с расширениями (патчами)"},{"body":"Simply Linux - отечественный дистрибутив на основе платформы ALT для домашних пользователей, выпускается одновременно с коммерческими дистрибутивами компании и использует общую с ними пакетную базу. А еще это, пожалуй, самый российский из всех российских Linux, платформа ALT в лице репозитория Sisyphus наиболее самостоятельна и самобытна и не зависит от иных дистрибутивов. Но не все так гладко, как хотелось бы, и говорить об отечественном аналоге Ubuntu или Mint, к сожалению, не приходится. Почему - давайте разбираться.\nSimply Linux сейчас на слуху, а все началось с одной достаточно неоднозначной новости от компании разработчика:\nВсе организации и частные лица, которые пострадали от санкций Microsoft, могут совершенно бесплатно скачать с сайта «Базальт СПО» и использовать операционную систему Simply Linux. Устанавливайте ОС на неограниченное число компьютеров и используйте для работы и досуга, не потратив ни рубля на замену ПО!\nВ общем ничего такого в этой новости нет, Базальт СПО просто напомнил о том, что у него есть бесплатная система и ее можно скачать и использовать. При этом к тексту новости явно приложили руку неплохие маркетологи. К Базальту вопросов нет, свои продукты надо продвигать, а переход с бесплатной Simply на коммерческий ALT - это во многом вопрос времени.\nДалее эту новость растащили желтые и не очень журналисты и в их интерпретации она заиграла новыми красками, перевернув все с ног на голову. Неискушенный читатель вполне мог подумать, что Базальт сделал бесплатной до этого платную ОС или разрешил ее коммерческое использование. Но это не так, Simply Linux всегда была бесплатной и не содержала никаких ограничений по использованию.\nНо перейдем от слов к делу, последуем призыву разработчика и установим новую версию Simply Linux, а пока она ставится, рекомендуем прочитать обзор предыдущей версии системы.\nРекомендуем к прочтению Обзор российских ОС Альт Рабочая станция 9 и Simply Linux Как и полагается домашней системе установщик встречает нас яркими красками, как бы намекая, что работа с Simply Linux оставит только положительные впечатления. Лицензионное соглашение, которое никто не читает, но в этот раз его все-таки стоит прочитать, хотя бы для того, чтобы в дальнейшем не было вопросов об ограничениях в применении Simply Linux. Сам инсталлятор прост и понятен, каких-либо проблем с установкой даже у неопытного пользователя возникнуть не должно, опытные пользователи могут взять процесс в свои руки, например, самостоятельно разметить диск. Пока копируются пакеты мы можем ознакомиться с преимуществами системы. Все сделано очень неплохо, ярко, свежо, интересно. Уже сейчас настраиваешься на позитивные впечатления от системы. Но установка рано или поздно заканчивается и уже на этапе входа в систему нас начинают терзать смутные сомнения. При входе в систему они только усиливаются, хотя отличные, яркие обои несколько скрашивают ситуацию. Но малейший шаг вправо, шаг влево полностью разбивают все ожидания. Ребята, ну так нельзя, на дворе третье десятилетие 21-го века... Это провал... Еще рассматривая предыдущий выпуск системы, мы отмечали крайне слабый графический дизайн, с тех пор ничего не изменилось. Simply Linux использует графическую среду XFCE, это неплохой выбор, представляющий разумный компромисс между внешним видом и быстродействием. Но внешний вид здесь не выдерживает никакой критики, дизайн системы катастрофически отстал лет на пятнадцать. Особенно дико это смотрится в контрасте с неплохо проработанным графически установщиком или реально классными авторскими обоями в составе релиза. Позволим себе немного перефразировать известную фразу из популярного фильма: Simply Linux - система контрастов. С одной стороны есть сильные дизайнерские ходы, показывающие желание работать над графическим оформлением системы, с другой - дубовый XFCE из коробки с иконками допотопной давности.\nОстается непонятным, почему имея возможность привлекать хороших художников к оформлению системы нельзя с их же помощью разработать фирменный стиль оформления и современный набор значков? То, что мы видим сейчас - это просто убого и ни капельки не смешно.\nМожно ли с этим что-то сделать? Можно и даже не придется два раза вставать, просто установите из штатного репозитория тему оформления и значки от Zorin, эти нехитрые действия коренным образом преображают систему. После чего возникают вполне резонные вопросы, особенно учитывая объем ресурсов доступных Базальт СПО и разработчикам Zorin. На этом месте разработчикам Simply должно быть стыдно. Хотя бы за то, что пользователю самому приходится приводить систему в нормальный вид с привлечением средств сторонних разработчиков.\nНет, привести XFCE к приличному виду не сложно, но только потом не удивляйтесь, что пользователи выбирают Ubuntu, Mint и т.д., а не Simply, там вопросами внешнего вида озаботились заранее, прекрасно понимая, что встречают по одежке.\nЛадно, оставим тему с дизайном и посмотрим, что у нас есть в наличии. А тут все весьма и весьма неплохо. Simply Linux исходит из постулата одна задача - одна программа, поэтому приложений немного, но они закрывают весь спектр задач для дома или малого офиса. Версии приложений тоже не вызывают вопросов, не самый последний писк моды, но вполне актуально. На наш взгляд - это оптимальный вариант между актуальностью ПО и стабильностью системы. В конце концов, кто хочет быть на переднем крае прогресса может поставить себе Arch.\nДля настройки системы можно использовать как штатные настройки XFCE, так и фирменный Alterator, при этом многие настройки в них не пересекаются и вам придется использовать оба инструмента. Для установки ПО есть магазин, что можно записать системе как большой плюс, у многих до сих пор есть с этим проблемы, хотя бы у той же ROSA. Помимо этого, есть отдельная утилита, позволяющая установить стороннее ПО, такое как Telegram, Viber, TeamViewer или AnyDesk. Такого ПО нет в репозиториях, но оно востребовано пользователями, так что ставим Simply еще один плюс. Что касается быстродействия, то система действительно очень быстрая и отзывчивая, Full-HD видео с Youtube воспроизводится без существенной нагрузки, вполне можно запустить музыку и слушать по фону. Также нет никаких проблем с просмотром IPTV в высоком качестве, для этого в системе предустановлен VLC. Здесь мы полностью согласимся с описанием разработчиков, Simply Linux действительно простая, легкая и надежная в работе система. Но, как всегда, в бочке меда находится ложка дегтя.\nВыводы Начнем с хорошего: Simply Linux 10 - простая, стабильная и современная система, способная закрыть большинство задач характерных для дома и малого офиса. С ее помощью можно работать с офисными документами, сетью интернет, современными сетевыми приложениями, редактировать изображения, аудио и видео и общаться в мессенджерах.\nТребования к ресурсам у Simply Linux достаточно скромные, система будет хорошо работать даже на устаревших ПК, с определенными поправками, конечно. Так если ваша система не поддерживает аппаратное декодирование HD-видео, то вы получите тормоза и сильную нагрузку на процессор. Но в целом на адекватном железе можно рассчитывать на нормальный уровень производительности, без апгрейдов, добавления памяти и обязательной покупки SSD.\nЕсли коротко - то по технической части Simply Linux не вызывает никаких нареканий. Это легкая, быстрая и стабильная современная система.\nА вот дальше поговорим о проблемах. Современный пользователь избалован выбором и выбор его во многом зиждется на на технических характеристиках, а на пользовательском опыте и собственных ощущениях и ожиданиях. Ресурсы современных ПК давно позволяют показывать качественную картинку и поэтому ожидания от внешнего вида системы становятся весьма высоки.\nКонечно, если система тормозит, падает и вообще ведет себя невменяемо - никакой супердизайн ей не поможет. Но если наоборот, то внешний вид имеет очень большое значение, не даром пользовательские дистрибутивы первого эшелона уделяют этому повышенное внимание. Вы можете создать сколь угодно совершенную технически систему, но если она выглядит как доисторические экскременты мамонта, то не стоит удивляться, что вместо нее пользователи будут выбирать ту же Ubuntu или Mint.\nПочему? Да потому что там есть все тоже самое, только еще и красиво.\nСкажем честно, мы долго не могли подобрать заголовок к данной статье, но потом аналогия пришла внезапно и оказалась достаточно точной. Молодое поколение может и не знать, но ненавязчивый советский сервис - это целая антикультура, яркий показатель того, как делать не надо.\nВот вы приходите в столовую, может быть там отличная, вкусная еда. Но плохо вымытые тарелки, гнутые алюминиевые ложки и вилки, заросшие жиром столы. А на любые вопросы следует только один ответ: не нравится - не жрите. Именно так, а не более культурно.\nНо почему? Да потому, что альтернативы у советского человека не было, либо топаешь в эту столовую, либо ходишь голодным. Но это было тогда, а сейчас альтернатив полно.\nТакже и с дистрибутивами Linux, выбор обширен. И в этой ситуации Simply Linux производит впечатление того самого ненавязчивого советского сервиса. Вроде и готовят хорошо, но тарелки немытые и в зале прибраться бы не мешало.\nВсе это о графическом оформлении, которое даже с самой большой натяжкой нельзя признать современным. Причем пренебрежение этим аспектом становится тем более непонятным на фоне неплохо оформленного установщика и авторских обоев в системе.\nНадеемся, что разработчики все-таки пересмотрят отношение к дизайну системы и займутся данной проблемой всерьез. Тем более что перспективы у Simply Linux вполне неплохие.\n","id":"104043f51eee3be0f73845dba09ed7ef","link":"https://interface31.ru/post/simply-linux-10-nenavyazchivyy-sovetskiy-servis/","section":"post","tags":[],"title":"Simply Linux 10 - ненавязчивый советский сервис"},{"body":"Для многих обычных пользователей слово VPN сразу ассоциируется со средством доступа в сеть интернет. Действительно, это один из самых популярных сценариев использования данной технологии. Но если для большинства это всего лишь способ обхода ограничений, то специалисты чаще рассматривают VPN как защищенный канал в сетях с низким уровнем доверия: публичный Wi-Fi, сети баров, гостиниц, аэропортов. А если вы работаете с чувствительной информацией, то для таких целей лучше использовать собственный сервер, например, создав его на базе WireGuard.\nWireGuard в последнее время стремительно набирает популярность благодаря своей простоте и скорости работы. Конечно, есть и обратная сторона медали, но в данном сценарии раскрываются в основном только плюсы.\nНапомним, WireGuard - это туннель без сохранения состояния, а следовательно применять к нему термины \u0026quot;клиент\u0026quot; и \u0026quot;сервер\u0026quot; некорректно, каждый узел WireGuard может как подключаться к другим узлам, так и принимать соединения. Но если мы говорим об организации выхода в интернет посредством VPN, то здесь данные термины уместны. В данном случае VPN-сервер - это узел предоставляющий возможность выхода в интернет, а VPN-клиенты - узлы, которые данную возможность используют, при этом технология реализации самого VPN-канала роли не играет.\nНастройка VPN-сервера Для обеспечения доступа в интернет VPN-сервер должен находиться на узле, обладающем достаточной пропускной способностью и точкой выхода в определенном географическом положении, которое зависит от того, к каким именно ресурсам вам нужно получать доступ. В большинстве случаев отлично подойдет VPS (виртуальный выделенный сервер) с минимальным тарифом в нужном расположении и ОС семейства Linux. Если говорить о семействе Debian / Ubuntu, то WireGuard поддерживается начиная с Debian 10 и Ubuntu 18.04 LTS. Все описанные ниже действия следует выполнять с правами суперпользователя root или через sudo.\nЕсли вы используете Debian 10, то вам потребуется подключить backports-репозиторий:\n1echo deb http://deb.debian.org/debian buster-backports main \u0026gt; /etc/apt/sources.list.d/buster-backports.list Обновим источники пакетов и установим WireGuard:\n1apt update 2apt install wireguard Следующим шагом выполним генерацию ключей, для этого перейдем в директорию /etc/wireguard:\n1cd /etc/wireguard Временно изменим маску для обеспечения нужного набора прав на создаваемые файлы:\n1umask 077 Выполним генерацию ключевой пары:\n1wg genkey \u0026gt; privatekey 2wg pubkey \u0026lt; privatekey \u0026gt; publickey И вернем маску к стандартным значениям:\n1umask 022 Получим содержимое закрытого ключа, для этого воспользуемся командой:\n1cat /etc/wireguard/privatekey Скопируем его содержимое, оно понадобится нам на следующем шаге, помним, что приватный ключ является секретным!\nСоздадим и откроем на редактирование конфигурационный файл WireGuard:\n1nano /etc/wireguard/wg0.conf В данном случае мы используем nano, если вам больше по душе редактор mс, то просто замените nanо на mcedit.\nПрежде всего настроим сетевой интерфейс WireGuard, для этого добавим в файл следующую секцию:\n1[Interface] 2Address = 10.20.0.1/24 3ListenPort = 34567 4Privatekey = kNYGiCR3/ikepyURjFnEu5ueoCBsP2pjvGdcj2pggG8= Настроек немного, указываем адрес интерфейса в VPN-сети, порт и секретный ключ. Зарезервированного порта для службы WireGuard нет, поэтому можем использовать любой.\nСохраним конфигурацию и добавим службу в автозагрузку, одновременно запустив ее:\n1systemctl enable --now wg-quick@wg0 В качестве имени службы используется wg-quick@\u0026lt;имя_конфигурационного_файла\u0026gt;.\nПосмотреть статус WireGuard можно командой:\n1wg Если все сделано правильно, то вы увидите информацию о созданном интерфейсе, в частности порт и публичный ключ. Настройка NAT и брандмауэра Для выхода клиентов в интернет нам потребуется рабочая служба NAT, а также требуется обеспечить достаточный уровень безопасности как самого сервера, так и работающих через него клиентов.\nПрежде всего включим маршрутизацию, чтобы иметь возможность пересылать пакеты между интерфейсами, для этого откроем файл /etc/sysctl.conf, найдем и раскомментируем в нем следующую опцию:\n1net.ipv4.ip_forward = 1 Затем перечитаем настройки:\n1sysctl -p Остальными настройками будет управлять iptables и этот вопрос может вызвать ряд затруднений. Настройки iptables не сохраняются при перезагрузке и существуют различные способы сделать это, наиболее простые и понятные - это скрипты, более современные - это специальные утилиты.\nИнформация Более подробно о всех этих способах вы можете прочитать в нашей статье: Основы iptables для начинающих. Как сохранить правила и восстановить их при загрузке\nЕсли вы не обладаете большим опытом работы с iptables, то, на наш взгляд, лучше начать со скрипта, а уже потом переходить к использованию утилит.\nСоздадим файл скрипта и разместим его в /etc:\n1nano /etc/nat-rules И добавим в него следующее содержимое:\n1#!/bin/sh 2 3# Сбрасываем настройки брандмауэра 4iptables -F 5iptables -X 6iptables -t nat -F 7iptables -t nat -X 8 9# Разрешаем уже установленные соединения. Первое правило в цепочке!!! 10iptables -A INPUT -i ens33 -m state --state ESTABLISHED,RELATED -j ACCEPT 11# Разрешаем подключения по SSH 12iptables -A INPUT -i ens33 -p tcp --dport 22 -j ACCEPT 13# Разрешаем подключения к WireGuard 14iptables -A INPUT -i ens33 -p udp --dport 34567 -j ACCEPT 15#Запрещаем входящие извне. Последнее правило в цепочке!!! 16iptables -A INPUT -i ens33 -j DROP 17 18# Разрешаем уже установленные транзитные соединения 19iptables -A FORWARD -i ens33 -o wg0 -m state --state ESTABLISHED,RELATED -j ACCEPT 20# Запрещаем транзитный трафик извне 21iptables -A FORWARD -i ens33 -o wg0 -j DROP 22 23# Включаем маскарадинг для WireGuard клиентов 24iptables -t nat -A POSTROUTING -o ens33 -s 10.20.0.0/24 -j MASQUERADE Это минимальная конфигурация брандмауэра, разрешающего только SSH и WireGuard подключения к серверу, по мере необходимости следует добавить в нее собственные правила. Все они должны располагаться между правилами, разрешающими уже установленные соединения и запрещающего входящие соединения извне. В качестве внешнего интерфейса сервера используется ens33.\nСделаем данный файл исполняемым:\n1chmod + x /etc/nat-rules Для его запуска можно добавить в секцию [Interface] конфигурационного файла WireGuard опцию:\n1PostUp = /etc/nat-rules В большинстве случаев этого достаточно, но, если вдруг у нас не запустится WireGuard мы останемся без брандмауэра. Поэтому мы предлагаем пойти другим путем.\nПрежде всего убедимся, что все правила работают как следует, для этого достаточно просто запустить скрипт.\n1/etc/nat-rules Посмотреть состояние брандмауэра можно командой:\n1iptables -L -vn Если все работает нормально, то установим утилиту iptables-persistent:\n1apt install iptables-persistent Во время установки вам будет предложено сохранить текущие правила, с чем следует согласиться. После чего ваши правила будут автоматически сохранены в /etc/iptables/rules.v4, откуда будут восстанавливаться при загрузке. Скрипт нам больше не нужен, можем его убрать.\nМожно ли обойтись без скрипта? Можно. Но не все обладают достаточными навыками работы с iptables, поэтому предложенный нами способ, хоть и является более длинным и избыточным, позволяет выполнить настройку брандмауэра наиболее просто для начинающих.\nНастройка WireGuard клиента в Windows Скачайте и установите WireGuard для Windows c официального сайта. В приложении выберите Добавить туннель - Добавить пустой туннель. При этом автоматически будет создана ключевая пара и откроется окно редактирования конфигурационного файла, который уже будет содержать секцию [Interface] и закрытый ключ, все что нам останется, это добавить туда опцию с адресом интерфейса, его следует выбирать из того же диапазона, который вы указали на сервере.\n1Address = 10.20.0.101/24 Ниже добавим секцию [Peer] для подключения к серверу:\n1[Peer] 2PublicKey = kKxQ4wF+kUrpsTGwjMvlSwX45WV4nixG76/+sKlzEQA= 3AllowedIPs = 10.20.0.0/24, 0.0.0.0/0 4Endpoint = 203.0.113.2:34567 5PersistentKeepalive = 25 Которая содержит публичный ключ сервера, его адрес и порт, разрешенные сети. Так как нам требуется обеспечить выход в интернет через WireGuard подключение, то в список сетей мы добавили 0.0.0.0/0, что обеспечит направление в туннель всего исходящего трафика. Опция PersistentKeepalive предполагает обмен служебным трафиком с указанным пиром раз в 25 секунд, что требуется для поддержания нормальной работы клиента в том случае, если он находится за NAT. После сохранения настроек туннельный интерфейс будет поднят и статус соединения будет Подключен, хотя мы еще не делали никаких настроек для данного клиента со стороны сервера. Кого-то может удивить или ввести в заблуждение такое положение дел и именно поэтому мы каждый раз акцентируем тот факт, что WireGuard - это туннель без сохранения состояния. Он ничего не знает о реальном состоянии канала и пира, к которому производится подключение, единственный способ это выяснить - послать пакет на другую сторону туннеля. 1[Peer] 2PublicKey =i p9UjCFHiLnhQTcVgS/Y7j0s8caNj9hhn5RS2UqMXRo= 3AllowedIPs = 10.20.0.101/32 Где мы укажем публичный ключ клиента и его внутренний IP-адрес, с которого следует принимать пакеты.\nПерезапустим службу WireGuard на сервере:\n1systemctl restart wg-quick@wg0 Теперь можем проверить связь, для начала пропингуем внутренний адрес сервера 10.20.0.1 - если он отвечает, то туннель работает нормально.\nКак мы уже говорили, при тех настройках, которые мы указали в туннель будет заворачиваться весь исходящий трафик клиента, в т.ч. и DNS-запросы. Поэтому если у вас в системе указаны локальные адреса DNS, скажем 192.168.1.1 роутера или адреса провайдера, недоступные из внешнего интернета, то разрешение имен работать не будет. Внешне это будет проявляться в том, что интернет работать не будет с указанием на ошибку DNS. WireGuard прост, и обратная сторона этой простоты заключается в том, что мы не можем передавать нужные опции с сервера на клиента, как в OpenVPN, поэтому спасение утопающих - дело рук самих утопающих. К счастью, WireGuard позволяет задать опции для конфигурирования локального сетевого интерфейса, поэтому откройте приложение Wireguard, найдите свой туннель и выберите Редактировать, в открывшемся окне в секцию [Interface] добавьте опцию:\n1DNS = 8.8.8.8, 1.1.1.1 Теперь при поднятии туннельного интерфейса система будет использовать указанные адреса, в их качестве можно использовать любые публичные сервера доступные через ваш VPS.\nНастройка WireGuard клиента в Linux Несмотря на то, что WireGuard уже давно поддерживается на уровне ядра Linux с графическими инструментами для его настройки дело обстоит не совсем хорошо, многое зависит от конкретного дистрибутива, но управлять WireGuard из командной строки тоже очень просто.\nС правами root или через sudo выполним установку и генерацию ключей точно также, как мы это делали на сервере, затем также создадим конфигурационный файл:\n1nano /etc/wireguard/wg0.conf И внесем в него следующее содержимое:\n1[Interface] 2Address = 10.20.0.102/24 3Privatekey = 4Hfj7lZuaQZWkW2OGHPlkhr3Jxheg/lpcJkwiosvG0w= 4DNS = 8.8.8.8, 1.1.1.1 5 6[Peer] 7PublicKey = kKxQ4wF+kUrpsTGwjMvlSwX45WV4nixG76/+sKlzEQA= 8AllowedIPs = 10.20.0.0/24, 0.0.0.0/0 9Endpoint = 203.0.113.2:34567 10PersistentKeepalive = 25 Секция**[Interface]** описывает сетевой интерфейс, в ней мы указываем секретный ключ клиента, желаемый адрес в VPN-сети и DNS-сервера. Секция [Peer] отвечает за подключение к серверу, у всех клиентов она общая, содержит публичный ключ сервера, его адрес и порт, а также параметры подключения и роутинга.\nДля управление туннелем в ручном режиме можно использовать утилиту wg-quick, для подключения выполните:\n1wg-quick up wg0 где wg0 - имя вашего конфигурационного файла, с этим же именем будет создан сетевой интерфейс. Если запустить команду от имени обычного пользователя будет автоматически запрошено повышение прав. Для отключения используйте:\n1wg-quick down wg0 При этом не забудьте добавить секцию [Peer] для этого узла на сервере и перезапустить службу, для этого понадобится указать публичный ключ клиента и его адрес, точно также как мы это делали для Windows-клиента.\n","id":"e76890ad115b387c24e4bffde4f4b8f9","link":"https://interface31.ru/post/nastroyka-wireguard-vpn-dlya-dostupa-v-internet/","section":"post","tags":["Debian","iptables","Ubuntu Server","VPN","Wireguard","Безопасность","Сетевые технологии"],"title":"Настройка WireGuard VPN"},{"body":"Не так давно мы обозревали свежие выпуски ROSA, и они оставили у нас неоднозначное впечатление. Возможно, мы не правы, но постоянно возникало ощущение, что разработчикам остро не хватает ресурсов. А как в это время обстоят дела у другой ветви развития Mandrake - французской Mageia? Два с половиной года назад мы знакомились с седьмой версией этой операционной системы и в целом остались довольны. Но время идет вперед, технологии развиваются и, найдя немного свободного времени, мы решили посмотреть, как обстоят дела у другого наследника легендарной системы.\nПрежде всего, рекомендуем ознакомиться с предыдущим обзорами по операционным системам данного семейства, ссылки на них вы сможете найти в раскрывающемся блоке Дополнительные материалы после статьи. Также не будем долго углубляться в историю, все это мы уже делали в предыдущих материалах.\nДля тех, кто только к нам присоединился коротко расскажем. Mandrake Linux был одним из ключевых дистрибутивов своего времени, нацеленный на дружелюбность и удобство конечного пользователя еще в те времена, когда об Ubuntu никто не слышал. Разработкой занималась французская фирма, которая пыталась найти пути извлечения коммерческой прибыли из дистрибутива. Затем произошло объединение с бразильской Conectiva и дистрибутив был переименован в Mandriva.\nВ 2010 году из-за финансовых трудностей компания сократила подразделение разработчиков Mandriva, которые приняли решение о создании собственного форка системы - Mageia (от греческого - магия), в дальнейшем остальные права на Mandriva, после банкротства компании, перешли к российской РОСА.\nТаким образом, Mageia - это не просто \u0026quot;еще один Linux\u0026quot;, а дистрибутив с богатой историей и традициями, который также может похвастаться вполне солидным, по меркам IT, возрастом - более 11 лет. Последняя версия - Mageia 8 вышла чуть больше года назад - в феврале 2021 года и именно ее мы будем сегодня рассматривать.\nОсновная миссия проекта - создавать отличные инструменты для людей. Поэтому внешнему виду тоже уделяется много внимания, начиная с шестой версии были наняты профессиональные дизайнеры и это видно уже с самых первых шагов. Сам инсталлятор классический для системы, ничего нового в нем нет, но и запутаться там решительно негде, он просто и уверенно ведет пользователя через все этапы установки. Если вы использовали более раннюю версию системы, то инсталлятор определит это и предложит выполнить обновление. Достаточно удобно, если учитывать, что графического инструмента обновления версии ОС в Mageia 7 нет, да, можно использовать urmpi / DNF, но это более удел специалистов и энтузиастов. Сразу при установке можно выбрать используемые репозитории, по умолчанию подключаются Core и Nonfree, мы также рекомендуем сразу подключить репозиторий Tainted, который содержит ПО, на которое действуют патентные ограничения. Но в нашем случае это не имеет значения, в РФ патенты на ПО не действуют. На выбор предлагается достаточно большой выбор оконных сред, но классически Mandrake всегда поставлялся с KDE, поэтому наш выбор - Plasma. Описывать процесс установки не имеет особого смысла, но в самом конце нам предложат еще раз проверить все настройки, это удобно, мало ли, могли что-то и забыть. После перезагрузки нас встречает знакомый экран входа в систему, выполненный в фирменном стиле. В качестве дисплейного менеджера используется SDDM. Внешний вид системы мало отличается от предыдущей версии, да и особых предпосылок к этому нет - перед нами все та же Plasma, изменения есть, но они точечные, направленные в основном на улучшение графического вида системы. Под капотом достаточно свежее на момент выхода системы (февраль 2021 года) ядро 5.10 LTS с пятилетней поддержкой и не самый новый, но актуальный софт. На наш взгляд - это хорошее сочетание для стабильной рабочей системы, те, кто хочет быть на переднем крае прогресса могут выбрать Fedora или промежуточные выпуски Ubuntu. Здесь же найден вполне удачный баланс между свежестью ПО и стабильностью. При первом входе в систему нас по-прежнему встречает фирменный помощник, который готов провести начинающего пользователя системы буквально за руку и помочь освоиться, познакомить с основными программами, установить кодеки, проверить обновления и т.д. и т.п. В общем - все в старых добрых традициях Mandrake. Для настройки системы предназначен Центр управления Mageia - удобный и дружелюбный для новичка инструмент. Большинство настроек выполнено в виде мастера и позволяет плавно пройти все необходимые этапы, не пугая обилием опций в одном месте. Если в системе не хватает каких-либо пакетов, то будет предложено скачать и установить их автоматически. В целом все это мы уже видели в предыдущих выпусках, но радует то, что Mageia продолжает сохранять и поддерживать собственные наработки, которые придают определенную уникальность данному дистрибутиву. Есть достаточно неплохой по возможностям родительский контроль с простым и понятным интерфейсом управления, мы не можем назвать другой дистрибутив первого эшелона, где это было бы из коробки, хотя функция весьма востребована среди домашних пользователей. Все это внимание к мелочам, вместе с отличной графической составляющей с первых минут создает впечатление целостности и завершенности продукта. Перед нами не просто очередной открытый проект, а готовая операционная система, которой просто и приятно пользоваться с самого начала. А разумный подход к выбору версий ПО обеспечивает требуемую стабильность.\nЕсли смотреть с этой стороны - то Mageia 8 выглядит как поступательное развитие системы, без резких движений и революций. Но есть определенные моменты, которые вызывают озабоченность.\nНачнем с самого больного места - управления ПО. Основная тенденция последних лет - это магазины, они пришли из мобильного сегмента, но прочно заняли свое место и в настольном сегменте, настолько прочно, что даже Microsoft прилагает серьезные усилия по продвижению своего магазина. Можно относиться к ним по-разному, но для простого пользователя магазин - благо. Это единая точка установки ПО, которая имеет определенную, достаточно высокую степень доверия. Это гораздо лучше, чем скачанные непонятно где пакеты. А также это преемственность пользовательского опыта, вне зависимости от системы.\nЕсли коротко - то в современной системе, рассчитанной на рядового пользователя, магазин должен быть!\nА теперь что мы имеем на сегодняшний день, по умолчанию для управления пакетами предлагаются RPMdrake и Dnfdragora, последний к тому же не установлен и его придется ставить самостоятельно. Сам RPMdrake представляет собой, не побоимся этого слова, допотопный инструмент, который морально устарел лет на 10-15. В нем все перемешано в кучу: и программы и библиотеки к ним, разобраться и выбрать необходимое ПО, если вы не знаете наименования пакета, будет достаточно непросто. Разве что методом проб и ошибок. Для неопытного пользователя это просто китайская грамота, а опытному все это не нужно он и так знает какие пакеты ему нужны и воспользуется поиском, либо установит их через консоль. В этом плане в Mageia 8 все хорошо, можно использовать как классический urmpi, так и современный DNF.\nНо мы же про простых пользователей. Может Dnfdragora нам чем-то поможет? Увы, это практически точная копия RPMdrake, только с DNF под капотом, также все в одной куче, нет внятных описаний, нет скриншотов и решительно невозможно понять, что получит пользователь в том или ином случае. И, к сожалению, за прошедшие годы никаких попыток представить альтернативу данным инструментам нет, равно как и попыток как-то осовременить их, чтобы вдохнуть новую жизнь. С одной стороны, мы видим стабильность - это хорошо, но рядом с нею начинают проявляться и признаки стагнации, а в нашем, быстро меняющемся мире технологий от первого до второго всего лишь полшага.\nДа, сегодня это все еще стабильный, дружелюбный и актуальный дистрибутив, но потеря темпов развития грозит достаточно быстро отправить Maegia на свалку истории. Современный Linux давно уже не ОС для избранных, любая современная система должна следовать принципу \u0026quot;включил и работай\u0026quot;, когда пользователя не должно волновать что-то большее, нежели смена обоев рабочего стола.\nНо довольно пессимизма, пока что Mageia 8 все еще вполне современный, простой и удобный дистрибутив. Пока что мы не касались сетевых возможностей, без них сегодня никак нельзя обойтись, ведь HD-видео - это не только ролики на видеохостингах, но и рабочие совещания. С этим все довольно неплохо, как и в случае с ядром ставка сделана на Firefox ESR - выпуск с длительной поддержкой и каких-либо сложностей при работе с сетью мы не испытали. IPTV также работает плавно и без выской нагрузки на систему, кстати VLC-плейер здесь идет из коробки.\nВыводы Mageia 8 произвела на нас достаточно благоприятное впечатление. Это все тот же классический продолжатель Mandrake. Система достаточно дружелюбна к новичку, хорошо выглядит и производит впечатление цельного и законченного продукта. Здесь все привычно и стабильно, нет никаких сомнительных новшеств или революционных потрясений. Новый выпуск - плановое обновление.\nНа первый взгляд здесь все хорошо, но только на первый. В системе хватает застарелых проблем, решения которых нет и не предвидится. Так что это стабильность или стагнация? Хватит ли сил команде разработчиков для решительных действий? Поживем - увидим, а пока Mageia все еще остается самобытным и стабильным островком классического Linux с человеческим лицом.\n","id":"0e681ebb9dac99d4e2568b0769918f86","link":"https://interface31.ru/post/mageia-8-stabil-nost-ili-stagnaciya/","section":"post","tags":["Linux","Mageia","Mandriva"],"title":"Mageia 8 - стабильность или стагнация?"},{"body":"Говоря о системах мониторинга, многие системные администраторы сразу представляют себе мощные централизованные системы наподобие Zabbix, внедрение которых требует времени и ресурсов. Но это неверное представление, существуют простые и легкие приложения, позволяющие собирать и визуализировать статистику для одиночного узла. Да, их возможности гораздо скромнее, но тем не менее даже простой мониторинг - это лучше чем никакого. Одна из таких систем - Monitorix - простое и легкое решение, которое поможет вам быть в курсе происходящего на вашем сервере.\nСразу предупредим - не стоит ждать это этой системы многого, а ее внешний вид способен отпугнуть молодое поколение администраторов. Для избалованных современным вебом, с его интерактивностью, Monitorix может показаться чем-то древним и архаичным, но любая медаль имеет две стороны. Современные технологии - это хорошо, но экономное использование ресурсов не входит в число их сильных сторон.\nВ основе Monitorix лежат совершенно противоположные подходы, исходящие из того, что мониторинг должен быть максимально легким и не отнимать ресурсов контролируемого узла. Это достигается тем, что все графики - это обычные изображения, обновляемые с некоторым промежутком времени, а данные пишутся в RRD (Round-robin Database, кольцевая база данных) размер которой остается всегда неизменной. Благодаря этому Monitorix может успешно использоваться даже на очень слабых компьютерах, включая VPS начального уровня и одноплатные ПК, наподобие Raspberry Pi и их аналогов.\nMonitorix представлен в репозиториях начиная с Debian 10 и Ubuntu 20.04 LTS, для более ранних систем можно воспользоваться репозиторием разработчика. Также вы можете подключить данный репозиторий, если хотите использовать самую последнюю версию пакета, так как он достаточно активно развивается, и версия в штатных репозиториях может не содержать некоторых модулей.\nВсе представленные ниже команды следует выполнять с правами root или через sudo.\nНачнем с подключения репозитория разработчика, если вы хотите установить версию из репозиториев системы этот шаг можно пропустить. Прежде всего установим необходимые пакеты:\n1apt install apt-transport-https Затем подключим репозиторий:\n1echo deb https://apt.izzysoft.de/ubuntu generic universe \u0026gt; /etc/apt/sources.list.d/monitorix.list Скачаем и установим ключ для него:\n1wget -qO - https://apt.izzysoft.de/izzysoft.asc | apt-key add - Теперь обновим список пакетов и установим систему мониторинга:\n1apt update 2apt install monitorix Готово, система установлена и работает! Действительно быстро и просто.\nMonitorix имеет собственный веб-сервер и для перехода в интерфейс нужно просто набрать в любом браузере:\n1http://server:8080/monitorix Где server - это FQDN-имя или IP-адрес сервера. По умолчанию веб-сервер слушает все интерфейсы, включая localhost. При входе предлагается выбрать период отображения: час, неделю, месяц, год. Если вы хотите получить период поменьше, то это тоже несложно сделать, просто замените в адресной строке 1day на 1hour, например:\n1http://192.168.111.2:8080/monitorix-cgi/monitorix.cgi?mode=localhost\u0026amp;graph=all\u0026amp;when=1hour\u0026amp;color=black Как видим - система работает и даже начала собирать и отображать некоторые данные, это хорошо, но без настройки оставлять ее не следует. Все настройки системы мониторинга находятся в файле /etc/monitorix/monitorix.conf и дополнительных файлах расположенных в директории /etc/monitorix/conf.d, при этом расположенные в дополнительных файлах настройки перекрывают опции из основного файла.\nМы категорически не советуем вносить изменения в основной конфигурационный файл и вот почему: при выходе новой версии могут быть добавлены новые модули, и вы столкнетесь с необходимостью либо заменить текущий конфигурационный файл на файл от поставщика и заново настраивать продукт, либо оставить собственный файл, оставшись без новых модулей. Ну или руками объединять оба файла.\nПоэтому создадим новый файл настроек в /etc/monitorix/conf.d и будем копировать туда нужные части из основного файла, причем копировать можно не все опции, а только необходимые, не забывая про открывающие и закрывающие теги секций. В нашем случае это будет 01_monitorix.conf.\n1nano /etc/monitorix/conf.d/01-monitorix.conf Эта команда откроет на редактирование файл в редакторе nano, а при его отсутствии - предварительно создаст, если вам более по душе редактор Midnight Commander, то замените в команде nano на mcedit.\nMonitorix хорошо документирован и вы всегда можете обратиться к разделу документации на официальном сайте, потому как наша статья не претендует на освещение всех возможностей продукта, а только расскажет о общих принципах настройки.\nНачнем с глобальных параметров, они не являются обязательными, но добавляют удобства. Добавим в наш файл следующие опции:\n1title = Monitoring Ubuntu server 2hostname = Ubuntu-GW-0 3theme_color = white Первая строка задает описание, которое будет показано в наименовании вкладки браузера, вторая - имя хоста в системе мониторинга, если оно не указано, то будет показан IP-адрес. Третья строка - тема, доступны два варианта, черная - black и белая - white. Сохраним наш файл и перезапустим систему мониторинга:\n1systemctl restart monitorix После чего обновим страницу в браузере: Изменения - налицо, таким образом мы можем скопировать в наш файл любой параметр из общего конфигурационного файла и переопределить его значение.\nСледующая важная секция - это настройки веб-сервера, приведем данный блок целиком:\n1\u0026lt;httpd_builtin\u0026gt; 2 enabled = y 3 host = 4 port = 8080 5 user = nobody 6 group = nobody 7 log_file = /var/log/monitorix-httpd 8 hosts_deny = 9 hosts_allow = 10 autocheck_responsiveness = y 11 \u0026lt;auth\u0026gt; 12 enabled = n 13 hosts_deny = all 14 msg = Monitorix: Restricted access 15 htpasswd = /var/lib/monitorix/htpasswd 16 \u0026lt;/auth\u0026gt; 17\u0026lt;/httpd_builtin\u0026gt; По умолчанию встроенный веб-сервер включен и слушает на всех интерфейсах, это значит, что мониторинг может быть доступен с любого адреса, что нежелательно, поэтому сразу ограничим доступный адрес в опции host, там следует указывать только внутренние адреса, адреса VPN-интерфейсов или localhost, в этом случае доступ можно будет получить через SSH-туннель. Адрес привязки можно указать только один.\nИнформация Информация! Более подробно про то, что такое SSH-туннели и как с ними работать вы можете прочитать в нашей статье: SSH-туннели на службе системного администратора\nДобавим это значение в опцию host, чтобы не копировать весь блок, вы можете сделать так:\n1\u0026lt;httpd_builtin\u0026gt; 2 host = 192.168.222.1 3\u0026lt;/httpd_builtin\u0026gt; Также вы можете изменить порт работы веб-сервера, расположение логов и указать узлы, которые могут иметь доступ, либо доступ которым запрещен. Для этого предусмотрены опции hosts_deny и hosts_allow, в них можно использовать адреса, разделенные запятыми, либо специальное слово all, обозначающее любые узлы.\nПри проверке доступа действует следующая логика: сначала проверяется список разрешенных узлов, если адрес там есть - ему предоставляется доступ, затем список запрещенных узлов, при совпадении адресов доступ блокируется. Адресам, не попавшим ни в один список доступ разрешен.\nТаким образом, если мы хотим ограничить доступ к мониторингу только компьютерам администраторов, то добавим такую настройку:\n1hosts_deny = all 2 hosts_allow = 192.168.222.101, 192.168.222.145 В этом случае доступ будут иметь только явно указанные узлы, всем остальным подключение будет запрещено.\nДля дополнительной безопасности можно включить дополнительную аутентификацию. Однако следует учитывать, что используемая Basic authentication не является безопасной, так как передает учетные данные в открытом виде. Поэтому рассматривать ее как средство защиты для доступа к мониторингу со стороны интернета не следует.\nДля ее использования нам потребуется установить дополнительный пакет утилит для веб-серверов:\n1apt install apache2-utils Затем с помощью утилиты htpasswd создадим данные для аутентификации, так как файл с учетными данными не существует, то первый запуск выполним с дополнительным ключом -с, который создает файл или перезаписывает существующий.\n1htpasswd -c -d /var/lib/monitorix/htpasswd ivanov Ключ -d задает нужный способ шифрования, затем указывается файл для хранения учетных данных и имя пользователя. Все последующие добавления производятся командой:\n1htpasswd -d /var/lib/monitorix/htpasswd petrov Обратите внимание, что из-за используемого способа шифрования учитываются только первые восемь символов вводимого пароля.\nДля включения аутентификации полностью скопируйте в секцию \u0026lt;httpd_builtin\u0026gt; дополнительную секцию :\n1\u0026lt;auth\u0026gt; 2 enabled = y 3 hosts_deny = all 4 msg = Monitorix: Restricted access 5 htpasswd = /var/lib/monitorix/htpasswd 6 \u0026lt;/auth\u0026gt; Monitorix имеет модульную структуру, что позволяет добиться нужной гибкости сохраняя нетребовательность к ресурсам, если модуль не включен, то он не загружается, не собирает данные, не тратит ресурсы. За управление модулями отвечает секция \u0026lt;graph_enable\u0026gt;, ее нет смысла копировать целиком, достаточно просто указать те модули, состояние которых вы хотите изменить (включить или выключить), например:\n1\u0026lt;graph_enable\u0026gt; 2 process = y 3 serv = n 4\u0026lt;/graph_enable\u0026gt; Часть модулей будет работать сразу, часть требует дополнительных настроек. Возьмем, к примеру, модуль NET, по умолчанию он выглядит так:\n1# NET graph 2# ----------------------------------------------------------------------------- 3\u0026lt;net\u0026gt; 4 max = 10 5 list = eth0 6 \u0026lt;desc\u0026gt; 7 eth0 = FastEthernet LAN, 0, 10000000 8 \u0026lt;/desc\u0026gt; 9 gateway = eth0 10\u0026lt;/net\u0026gt; Вряд ли он отражает текущее положение дел, поэтому скопируем его в наш файл и приведем к надлежащему виду, с учетом реальных сетевых интерфейсов, например:\n1# NET graph 2# ----------------------------------------------------------------------------- 3\u0026lt;net\u0026gt; 4 max = 10 5 list = ens33, ens37, wg0 6 \u0026lt;desc\u0026gt; 7 ens33 = Ethernet WAN, 0, 10000000 8 ens37 = Ethernet LAN, 0, 10000000 9 wg0 = WireGuard VPN, 0, 10000000 10 \u0026lt;/desc\u0026gt; 11 gateway = ens37 12\u0026lt;/net\u0026gt; В опции list перечисляем интерфейсы, которые мы хотим контролировать, а во вложенной секции задаем их описания, это не обязательно, но значительно улучшает восприятие информации. Либо возьмем еще один модуль PROCESS, который позволяет контролировать целый ряд параметров выбранных процессов. По умолчанию там задан целый список процессов, половины которых у вас может и не быть, давайте добавим сюда свои. Прежде всего нужно определиться с именами процессов, для этого выполните команду:\n1ps -eo pid,comm,command Нас интересует вторая колонка, именно в ней указаны наименования процессов, которые следует добавлять в конфигурационный файл. В нашем случае мы хотим контролировать SSH, сервер 1С и WireGuard, поэтому скопируем и приведем секцию к следующему виду:\n1# PROCESS graph 2# ----------------------------------------------------------------------------- 3\u0026lt;process\u0026gt; 4 \u0026lt;list\u0026gt; 5 0 = sshd, rphost, wg-crypt-wg0 6 \u0026lt;/list\u0026gt; 7 \u0026lt;desc\u0026gt; 8 sshd = SSH 9 rphost = 1C Server 10 wg-crypt-wg0 = WireGuard 11 \u0026lt;/desc\u0026gt; 12 rigid = 2, 0, 0, 0, 0, 0, 0, 0 13 limit = 100, 1000, 1000, 1000, 1000, 1000, 1000, 1000 14\u0026lt;/process\u0026gt; Здесь тоже нет ничего сложного, в секции перечисляем имена процессов, в секции - их описания, которые будут выводиться на графиках. Подобным образом настраиваются любые модули, полный список значений и их варианты вы можете посмотреть в официальной документации. Набор модулей также следует подбирать исходя из реальных потребностей, так для физических серверов можно рекомендовать включение модулей, отвечающих за контроль оборудования, таких как LMSENS, DISK или NVME, в то время как в виртуальных средах смысл в них полностью отсутствует.\nПоле действий тут самое обширное, модулей много, поэтому настраивайте свою систему мониторинга так, как нужно именно вам.\nЕще одной важной возможностью является поддержка многими модулями сигналов тревоги - секций , их использование может отличаться от модуля к модулю, но смысл один - при достижении некоторых пороговых значений в течении некоторого времени выполнить определенный скрипт. Рассмотрим на примере модуля LMSENS.\n1\u0026lt;alerts\u0026gt; 2 temp0 = 900, 80, /path/to/script1.sh, above 3 temp0 = 3600, 70-80, /path/to/script2.sh 4 fan0 = 3600, 800, /path/to/script3.sh, below 5\u0026lt;/alerts\u0026gt; Записи данной секции состоят из четырех параметров: промежутка времени, порогового значения, выполняемого скрипта и четвертой, необязательной опции, которая может принимать значения above - выше или below - ниже. Разберем записи из примера. Первая из них контролирует датчик temp0 и если его значения превысят 80 градусов на протяжении 15 минут - будет выполнен скрипт script1.sh. Вторая запись вызовет срабатывание скрипта script2 .sh если температура в течении часа будет в пределах 70-80 градусов, а третья выполнит скрипт script3.sh если датчик fan0 в течении часа будет фиксировать скорость оборотов вентилятора ниже 800 об/мин.\nОписывать различные модули можно еще долго, но общий принцип работы с Monitorix и принципы его тонкой настройки должны быть понятны уже сейчас. Документация проекта подробная и содержит множество примеров, поэтому никаких затруднений при настройке у вас возникнуть не должно.\nВ заключение остановимся на ряде опций, расположенных ниже заголовка:\n1# ======================================================================== 2# ====== Probably you don\u0026#39;t need to touch anything below this line ====== 3# ======================================================================== В большинстве случаев это так, и вам там не нужно ничего трогать. Но если вы не чужды прекрасного и у вас есть собственный взгляд на то, как должен выглядеть Monitorix, то почему бы и нет?\nТак секция задает основные настройки для темной и светлой тем, такие как цвета фона, графиков и надписей. Допустим, вам не нравится радикальный черный цвет фона, и вы хотите сменить его на что-то более спокойное, нет ничего проще:\n1\u0026lt;theme\u0026gt; 2 \u0026lt;black\u0026gt; 3 main_bg = 2e3436 4 \u0026lt;/black\u0026gt; 5\u0026lt;/theme\u0026gt; Это переопределит стандартные настройки и перезапустив Monitorix вы сразу увидите результат. Поменять таким образом можно если не все, то многое, настроив отображение системы мониторинга исключительно по собственному вкусу. Секция \u0026lt;graph_size\u0026gt; задает размеры изображения графиков, так если у вас FHD или 2K монитор, то можете сделать их гораздо крупнее, единственный совет - соблюдайте уже установленные пропорции, иначе есть шанс сломать всю верстку страницы.\nНу и наконец \u0026lt;graph_title\u0026gt; и содержат наименования модулей и графиков, а так как Linux и Monitorix полноценно поддерживают UTF-8, то никто не мешает вам выполнить перевод интерфейса на родной язык, заменив английские описания русскими. В заключение хочется вспомнить одну старую поговорку, ведь если встречать по одежке, то можно подумать, что перед нами что-то достаточно древнее и ограниченное в своих возможностях. На самом деле Monitorix очень гибкая и в тоже время простая система со множеством возможностей, которая не стоит на месте, а постоянно развивается. Надеемся данный материал будет вам полезен и мониторинг станет вам ближе.\n","id":"2395b861149e5b6165124c56331f40e2","link":"https://interface31.ru/post/monitorix-prostoy-i-legkiy-monitoring-dlya-linux/","section":"post","tags":["Debian","Monitorix","Ubuntu Server","Мониторинг"],"title":"Monitorix - простой и легкий мониторинг для Linux"},{"body":"Объединение локальных сетей предприятия, расположенных на разных площадках - одна из типовых задач системного администратора, для решения которой могут быть использованы различные инструменты. Выбор туннельных и VPN-протоколов сегодня достаточно обширен: это как \u0026quot;старые-добрые\u0026quot; решения, так и перспективные новички. Один из таких протоколов - WireGuard, сейчас он у всех на слуху и пользуется большой популярностью. В этой статье мы рассмотрим его достоинства и недостатки, а также расскажем, как с его помощью соединить внутренние сети предприятия (site-to-site) и настроить маршрутизацию между ними.\nНачнем с того, что WireGuard прост, прост во всем, начиная от архитектуры и заканчивая использованием. Его исходный код содержит всего около 4000 строк. В этом его основное достоинство, ровно, как и недостаток. Еще один несомненный плюс - WireGuard работает как модуль ядра Linux, что позволяет получить высокое быстродействие при минимуме накладных расходов.\nНо у простоты есть и обратная сторона, если вы привыкли к обилию возможностей по централизованной передаче настроек клиентам у OpenVPN, либо гибкому выбору наборов шифров в IPsec, то спешим вас огорчить - в WireGuard ничего этого нет. Это просто быстрый и безопасный туннель, не более. В этом плане он больше всего напоминает GRE, только в современном исполнении. А для соединения площадок большего и не надо, в такой схеме все узлы контролируются администратором и настраиваются один раз и надолго, а простота настройки и производительность соединения становятся дополнительными аргументами в пользу WireGuard.\nЕще одним плюсом WireGuard, по сравнению с IPsec, является отсутствие необходимости в выделенных IP-адресах на обоих сторонах туннеля для установления защищенного соединения, достаточно одного такого узла.\nВо многих руководствах по настройке WireGuard часто используются термины \u0026quot;клиент\u0026quot; и \u0026quot;сервер\u0026quot;, однако это не совсем корректно. WireGuard - это туннельный протокол без сохранения состояния (stateless), он создает в системе постоянный сетевой интерфейс, по умолчанию wg0, и обрабатывает трафик на нем в зависимости от указанных правил. Понять в каком состоянии находится канал связи невозможно, для системы интерфейс WireGuard всегда поднят и единственный способ проверить его работоспособность - это отправить пакет на другой конец туннеля. Узел, который устанавливает соединение называется инициатор, узел, который его принимает - респондер.\nУстановленный экземпляр WireGard может быть и респондером и инициатором одновременно, но чаще всего настраивается схема с одним респондером (сервером) и множеством инициаторов (клиентами). Для работы инициатору не требуется выделенный IP-адрес, и он может находится за NAT.\nДалее мы будем рассматривать следующую схему: Центральный офис имеет внутреннюю сеть 192.168.111.0/24 и выделенный IP-адрес 203.0.113.2, в Филиале внутренняя сеть 192.168.222.0/24, наличие выделенного IP не обязательно. Наша задача - объединить локальные сети площадок при помощи WireGuard. Оба роутера, на которых мы будем разворачивать VPN являются основными шлюзами своих сетей.\nУстановка WireGuard в Debian и Ubuntu WireGuard - новый продукт и его поддержка есть не во всех дистрибутивах, так для Ubuntu это выпуск 18.04 LTS и более поздние, для Debian - начиная с 11 версии, в Debian 10 для поддержки WireGuard необходимо подключить Backports-репозиторий.\nВсе указанные ниже команды следует выполнять с правами суперпользователя root или через sudo.\nВажно! Внимание! Данное действие необходимо выполнить только в Debain 10.\n1echo deb http://deb.debian.org/debian buster-backports main \u0026gt; /etc/apt/sources.list.d/buster-backports.list Эта команда добавит в источники пакетов адрес Backports-репозитория.\nСледующие действия выполняются вне зависимости от используемого дистрибутива.\nОбновим источники пакетов и установим WireGuard:\n1apt update 2apt install wireguard Для поддержки модуля ядра используется DKMS, что позволяет автоматически пересобрать модуль при обновлении ядра, поэтому объем загружаемых и устанавливаемых пакетов может быть довольно значительным. Сам процесс никаких затруднений вызвать не должен и происходит штатным образом.\nНастройка WireGuard в центральном офисе (начало) Прежде всего создадим ключевую пару, которая будет использоваться для криптографии. Следует помнить, что закрытый ключ является секретным и следует принять меры к его надежному хранению, а также исключить возможность чтения файла другими пользователями. На наш взгляд подходящим местом для хранения ключей будет директория с настройками WireGuard - /etc/wireguard, перейдем в нее:\n1cd /etc/wireguard Для обеспечения правильного набора прав временно изменим маску в системе:\n1umask 077 И выполним генерацию ключевой пары:\n1wg genkey \u0026gt; privatekey 2wg pubkey \u0026lt; privatekey \u0026gt; publickey В результате файлы ключей получат права 0600, что означает доступ только для владельца (т.е. root), после чего не забудем вернуть нормальную маску, для root это 022:\n1umask 022 Для редактирования будем использовать редактор nano, если вам более по душе редактор mc, то замените в команде nano на mcedit:\n1nano /etc/wireguard/wg0.conf И внесем в него следующую секцию, описывающую сетевой интерфейс:\n1[Interface] 2Address = 10.10.8.1/24 3ListenPort = 34567 4Privatekey = kNYGiCR3/ikepyURjFnEu5ueoCBsP2pjvGdcj2pggG8= Как мы уже говорили, WireGuard прост, это в полной мере относится и к конфигурации. В целом ее смысл понятен, но все равно поясним назначение параметров. Address - задает желаемый адрес интерфейса в VPN-сети, ListenPort - порт, который слушает WireGuard, какого-либо стандартного порта за сервисом не закреплено, можете использовать любой. При этом помним, что транспортом является протокол UDP. SaveConfig - позволяет автоматически сохранять изменения в конфигурационный файл при управлении службой через CLI. И, наконец, Privatekey - закрытый ключ, его можно найти в одноименном файле или прочитать командой:\n1cat /etc/wireguard/privatekey Если вам нужно содержимое открытого (публичного) ключа, то измените команду на:\n1cat /etc/wireguard/publickey Для того, чтобы WireGuard мог принимать подключения следует разрешить входящие подключения на указанный в конфигурационном файле порт, в нашем случае:\n1iptables -A INPUT -p udp --dport 34567 -j ACCEPT Информация Более подробно о настройках брандмауэра вы можете прочитать в нашей статье: Основы iptables для начинающих. Часть 2. Таблица filter\nНиже должны располагаться секции описывающие подключающиеся узлы - пиры, но так как таковых у нас пока нет, то сохраним конфигурационный файл и переместимся в филиал.\nНастройка WireGuard в филиале Точно также выполним установку WireGuard и генерацию ключевой пары, эти вопросы описаны выше, и мы не видим смысла повторяться. Перейдем сразу к созданию файла конфигурации:\n1nano /etc/wireguard/wg0.conf Первой секцией также будет описание интерфейса:\n1[Interface] 2Address = 10.10.8.101/24 3Privatekey = 4Hfj7lZuaQZWkW2OGHPlkhr3Jxheg/lpcJkwiosvG0w= Здесь она еще более лаконична, так как данный узел будет выступать только в роли инициатора, то мы не указываем порт, тем не менее WireGuard все равно будет слушать входящие подключения, используя для этого случайный порт.\nНиже добавим секцию для связи с центральным офисом, каждый конфигурационный файл WireGuard должен содержать описание всех узлов, с которыми нужно поддерживать связь.\n1[Peer] 2Publickey = BgUTtDHbxU+8fQU+wntddvE2f8YYcskPU/FVNfwBy2Q= 3Endpoint = 203.0.113.2:34567 4AllowedIPs = 10.10.8.0/24, 192.168.111.0/24 Publickey - это публичный ключ узла на другой стороне туннеля, в данном случае - центрального офиса. Endpoint - адрес и порт респондера, в нашем случае это снова центральный офис. AllowedIPs - адреса или диапазоны сетей, которые имеют право отправлять трафик в туннель. Со стороны центрального офиса это будет 10.10.8.1/32 и сеть 192.168.111.0/24, обратите внимание, что отдельные адреса необходимо указывать с маской**/32**, при указании иной маски она будет автоматически изменена при запуске службы. В нашем случае вместо отдельного адреса указана вся подсеть 10.10.8.0/24, так как мы считаем ее доверенной и не исключаем появления новых узлов. Если WireGuard находится за NAT, то могут возникнуть проблемы со стабильностью связи. Это связано с тем, что, как и любой stateless-протокол, WireGuard молчалив, поэтому записи в таблице трансляции NAT могут устаревать и связь со стороны респондера к инициатору будет невозможна до тех пор, пока инициатор не пошлет хотя бы один пакет в туннель. Для избежания такой ситуации добавьте в секцию Peer нужного узла дополнительную опцию:\n1PersistentKeepalive = 25 Которая заставит раз в 25 секунд посылать на другой конец туннеля служебный пакет, тем самым поддерживая данные в таблице трансляции актуальными.\nСохраним конфигурационный файл и добавим службу в автозагрузку, WireGuard предусматривает для каждого интерфейса запуск отдельной службы, что удобно:\n1systemctl enable --now wg-quick@wg0 Опция --now предписывает сразу запустить службу, в качестве ее имени указываем wg-quick@\u0026lt;имя_конфигурационного_файла\u0026gt;.\nТеперь можем посмотреть ее состояние командой:\n1systemctl status wg-quick@wg0 Внимательное изучение вывода команды покажет, что WireGuard автоматически добавил маршрут к сети центрального офиса, которую мы указали в опции AllowedIPs, чтобы убедиться в этом выполним еще одну команду:\n1ip r Да, маршрут действительно добавлен, что избавляет администратора от дополнительной ручной работы.\nТакже обратите внимание, что интерфейс wg0 успешно поднялся несмотря на то, что в центральном офисе служба WireGuard до сих пор не запущена. Это характерная особенность всех протоколов без сохранения состояния, однако это упрощает поведение и не требует дополнительных мер по отслеживанию состояния канала и переподключению.\nКаких-либо настроек брандмауэра в филиале выполнять не нужно.\nНастройка WireGuard в центральном офисе (окончание) Вернемся в центральный офис, теперь у нас появился первый узел, и мы можем закончить настройку. Снова откроем конфигурационный файл wg0.conf и добавим в него секцию Peer следующего содержания.\n1[Peer] 2Publickey = MOsT/LECNPA0FqOONJEhqZWqqwOV+lYsnQNLaUkrvFI= 3AllowedIPs = 10.10.8.101/32, 192.168.222.0/24 Здесь все еще более лаконично, в опции Publickey указываем публичный ключ филиала, а вAllowedIPs указываем адрес интерфейса филиала и сеть за ним.\nДобавляем интерфейс в автозагрузку и запускаем его:\n1systemctl enable --now wg-quick@wg0 Точно также в таблицу маршрутизации будет добавлен маршрут к сети за роутером филиала, а интерфейс будет поднят вне зависимости от реального состояния канала связи.\nПопробуем проверить связь, для этого просто пропингуем внутренний адрес филиала 10.10.8.101 и затем посмотрим состояние WireGuard командой:\n1wg Данная команда выводит достаточный минимум об интерфейсах и пирах, включая их публичные ключи, а также статистику соединений.\nВ заключение проверим связь между узлами сетей: Если вы нигде не допустили ошибок - связь между узлами сетей будет.\nКак видим, настроить VPN между офисами при помощи WireGuard очень просто, получив кроме простоты использования высокую производительность данного решения на платформе Linux.\n","id":"95f85aba272123359f8b9367ab8f8830","link":"https://interface31.ru/post/organizaciya-kanalov-mezhdu-ofisami-cherez-wireguard-vpn-na-platforme-linux/","section":"post","tags":["Debian","Ubuntu Server","VPN","Wireguard","Маршрутизация","Сетевые технологии"],"title":"Организация каналов между офисами через WireGuard VPN на платформе Linux"},{"body":"Любой системный администратор знает, что инструментов для мониторинга производительности много не бывает, особенно таких, которые позволяют одновременно контролировать сразу множество параметров, давая возможность оценить их взаимосвязь в реальном времени. Одной из таких утилит является nmon, пришедшая в мир Linux из настоящих UNIX-систем, а именно IBM AIX. Несмотря на свой солидный, по меркам IT, возраст она не потеряла актуальности и будет полезна для первоначальной диагностики проблем с производительностью для любого Linux администратора, как начинающего, так и опытного.\nКаазлось бы, в Linux хватает утилит для мониторинга, это хорошо известные всем top, iotop, ifstat и т.д. Зачем нужна еще одна? Такой закономерный вопрос может возникнуть у многих читателей.\nНа самом деле nmon - не просто еще одна утилита, это удобный комбинированный инструмент начальной диагностики, который не заменит упомянутые выше инструменты, но это и не требуется. IBM вполне умеет считать деньги и появление еще одной утилиты в коммерческом продукте явно произошло не просто так.\nЗдесь будет уместна аналогия с медициной. Если вас что-то беспокоит, но вы не можете понять причину беспокойства, то вы идете к врачу общей практики. Вы прекрасно понимаете, что от него чудес ждать не стоит, но именно этот врач проведет первоначальное обследование и на его основании назначит нужные анализы и отправит к профильным специалистам.\nТак вот, nmom - это именно врач общей практики, который позволит быстро оценить ситуацию с производительностью вашей системы и выявить узкие места, требующие дальнейшего разбирательства. А после этого уже выходят на сцену профильные специалисты - утилиты, показывающие какой-то один параметр, но максимально подробно.\nnmon (Nigel's Monitor) - назван так по имени автора Найджела Гриффитса (Nigel Griffiths), первоначально был написан для AIX, позже портирован на Linux и долгое время оставался внутренним проектом IBM, но в 2009 году его код был открыт и началось развитие утилиты как проекта с открытым исходным кодом. Сегодня nmon есть в репозиториях всех основных дистрибутивов.\nДля установки утилиты в Debian / Ubuntu и прочих, основанных на них системах, выполните:\n1apt install nmon Для запуска просто введите в терминале:\n1nmon Само собой, для полноценного сбора информации запускать утилиту нужно от имени root или через sudo. Сразу после запуска на экран будет выведена короткая справка, рекомендуем внимательно с ней ознакомиться. Работать с утилитой очень просто, например. чтобы получить данные о процессоре - нажмите c, памяти - m, дисковом вводе-выводе - d: Повторное нажатие на клавишу скрывает вызываемый ей модуль. Несмотря на текстовый режим работы утилиты ее вывод достаточно информативен, мы можем в режиме реального времени наблюдать сразу несколько параметров и быстро находить взаимосвязи между ними. Для CPU также возможно построение долгосрочного графика, его можно вызвать клавишей l: Картинки красивые, но давайте попробуем немного разобраться в том, что они нам показывают. Еще скриншотом выше опытного администратора должны были насторожить синие квадратики на индикаторе загрузки процессора, которые показывают время ожидания (Wait), график загрузки процессора ниже это только подтверждает - процессор достаточно много времени находится в режиме ожидания.\nЧто это значит? Процессор выделяет процессу некоторые ресурсы, но процесс не может ими воспользоваться, так как чего-то ожидает. В результате процессор не выполняет полезной работы, но его ресурсы также недоступны другим процессам. При большом количестве таких процессов может получиться так, что процессор ничего не делает, но формально загружен на 100%.\nЧто могут ожидать процессы? Чаще всего это сеть или дисковый ввод/вывод. Давайте соберем новый набор модулей: процессор, диски и топ процессов - клавиша t: После непродолжительного наблюдения мы делаем однозначный вывод, что ожидание процессора четко коррелируется с записью на диски, причем в топе по CPU находятся процессы сервера 1С. Что может ждать сервер 1С? Продолжим разбираться. У модуля Top Processes есть свои настройки, которые указаны в заголовке. Доступны режимы топа по нагрузке на CPU, потребляемой памяти и вводу-выводу, для их переключения предназначены кнопки 3 - 4 - 5, текущий режим отображается в строке mode=3 - т.е. топ по нагрузке на CPU.\nДавайте посмотрим кто же больше всего пишет на диск, нажмем клавишу 5 и получим совсем другую картину: Теперь становится понятно, кто становится причиной ожидания - это PostgreSQL, который что-то активно пишет на диск. В целом - ситуация более-менее ясна. С помощью nmon бы быстро нашли проблемное место и теперь в дело вступают профильные специалисты.\nДальнейшее расследование выходит за рамки нашей статьи, и мы вернемся к предмету обзора. Если сравнивать nmon со специализированными утилитами, то сравнение выйдет не в его пользу, какой-то детальной информации вы не получите, только общие показатели. Но зато их можно комбинировать в любых сочетаниях и выявлять неочевидные закономерности буквально в режиме реального времени. Если же вы забыли горячие клавиши для управления утилитой, то всегда можно нажать повторно h и вывести на экран краткую справку, не прерывая работы: Надеемся, что представленная информация будет вам полезна и в арсеналы администратора добавится еще одна отличная утилита.\n","id":"80ec4111ae9ba3cec762a8c8e45296fc","link":"https://interface31.ru/post/prostoy-i-udobnyy-instrument-monitoringa-proizvodiel-nosti---nmon/","section":"post","tags":["Debian","Linux","nmon","Ubuntu Server","Диагностика","Мониторинг"],"title":"Простой и удобный инструмент мониторинга производительности - nmon"},{"body":"Резервное копирование - это важная часть работы любого системного администратора. Не так давно мы рассказывали как установить простой и эффективный сервер резервного копирования Borg Backup. Сегодня мы рассмотрим иную ситуацию - как быть, если его нужно перенести на другой сервер. Причины для этого могут быть разные, но чаще всего это выход за аппаратные возможности конфигурации оборудования, без возможности ее изменения (так обычно бывает на VPS), либо иные причины, вызванные внешними факторами.\nКак мы уже говорили, Borg Backup прост - это всего лишь один бинарный файл и файловая структура репозитория. Благодаря этому управление и миграция сервера резервного копирования может быть выполнена очень быстро и просто, основное время у вас займет копирование данных. Не будем терять времени и приступим к настройкам.\nПодготовка нового сервера В качестве сервера может выступать любой компьютер или виртуальная машина с ОС семейства Linux, мы будем традиционно использовать Debian / Ubuntu, но данная инструкция подойдет и для других систем с поправками на работу с пакетным менеджером.\nПрежде всего повысим права до суперпользователя, в Ubuntu выполните:\n1sudo -s В Debian по умолчанию sudo не установлен, поэтому используйте:\n1su - Обратите внимание, что в первом случае вы должны ввести пароль текущего пользователя, во втором - пароль суперпользователя root.\nОбновим список пакетов и установим Borg Backup:\n1apt update 2apt install borgbackup И создадим пользователя borg с домашней директорией в стандартном расположении:\n1useradd -m borg При необходимости расположение домашней директории можно изменить:\n1useradd -m -b /storage1 borg Где /storage1 - место размещения домашней директории пользователя.\nТеперь создадим SSH-ключ для суперпользователя, от установки пароля на закрытый ключ следует отказаться.\n1ssh-keygen Получим содержимое открытого ключа командой:\n1cat /root/.ssh/id_rsa.pub Он не является секретным и может быть передан по открытым каналам связи. Скопируйте ту его часть, которая выделена на скриншоте желтым цветом. Теперь перейдите на старый сервер и выполните команду:\n1echo \u0026#39;ssh-rsa public_key\u0026#39; \u0026gt;\u0026gt; ~borg/.ssh/authorized_keys Где вместо public_key вставьте скопированное содержимое открытого ключа.\nПеренос данных со старого сервера на новый Снова вернемся на новый сервер, наша задача - скопировать всю домашнюю директорию borg со старого сервера. Это можно сделать разными способами, мы будем использовать утилиту scp, которая позволяет безопасно передавать файлы по защищенному SSH-соединению.\n1scp -r borg@203.0.113.112:~borg/* ~borg Где 203.0.113.112 - условный адрес старого сервера. Обратите внимание, что мы используем относительные пути к домашней директории ~borg, что делает команду универсальной, вне зависимости от реального расположения домашней директории в файловой системе.\nЭто самая длительная операция и, в зависимости от объема данных, может занять продолжительное время.\nПосле ее окончания восстановим владельца полученных файлов:\n1chown -R borg:borg ~borg Возможно, вы удивитесь, но перенос сервера резервного копирования на этом закончен, он полностью готов к работе.\nИзменяем настройки клиента Borg Backup Теоретически на клиентах достаточно просто изменить адрес сервера со старого на новый, если вы используете обращение по IP-адресу. При использовании FQDN ничего менять не надо, но потребуется изменить A-запись для доменного имени, там есть свои особенности, мы коснемся их позже. Кроме того, есть некоторые неочевидные моменты, которые нужно обязательно учесть, чтобы не получить неприятных сюрпризов.\nНачнем с IP-адресов. Для автоматизации резервного копирования можно использовать как скрипты, так и юниты systemd, которые содержат необходимые команды, включающие в себя адрес старого сервера, который нужно замнить на новый. Можно, конечно, выполнить замену руками, но это не наш способ, тем более что Linux позволяет просто и эффективно решать такие задачи.\nВыполним для каждого файла скрипта или юнита:\n1sed -i \u0026#34;s/203.0.113.112/198.51.100.100/g\u0026#34; /etc/borg-backup.sh Где 203.0.113.112 - адрес старого сервера, 198.51.100.100 - адрес нового, /etc/borg-backup.sh - путь к фалу скрипта или юниту, напомним, что юниты располагаются в директории /etc/systemd/system.\nЗатем следует выполнить сеанс работы с новым сервером интерактивно, т.е. вручную. Зачем? Сейчас поясним. Для начала можно выполнить команду list или info:\n1borg list borg@198.51.100.100:my_repo Если это первое подключение к данному узлу, то вы получите стандартное SSH-предупреждение:\n1The authenticity of host \u0026#39;198.51.100.100 (198.51.100.100)\u0026#39; can\u0026#39;t be established. 2ECDSA key fingerprint is SHA256:EqczFABn+qRymyXdd+NOroXiGfv5ewlBa6LfNx^yuoo. 3Are you sure you want to continue connecting (yes/no)? Для продолжения работы вам нужно явно подтвердить подлинность данного узла, после чего отпечаток ключа будет добавлен в список известных узлов и в дальнейшем подтверждение подключения не потребуется.\nСразу после этого вы получите еще одно предупреждение, теперь уже от Borg Backup:\n1Warning: The repository at location ssh://borg@198.51.100.100/./my_repo was previously located at ssh://borg@203.0.113.112/./my_repo 2Do you want to continue? [yN] Смысл его вполне понятен: нам сообщают о том, что ранее этот репозиторий располагался по другому адресу и просят явно подтвердить действия. Предосторожность вполне разумная, поэтому еще раз явно подтверждаем наши действия.\nАналогичные действия выполняем для каждого репозитория на каждом клиенте. После чего мы рекомендуем запустить нужный скрипт или юнит вручную и убедиться, что он отрабатывает без сбоев.\nЕсли же не выполнить эти предварительные действия, то эти запросы возникнут во время запуска регламентного задания и ответить на них будет некому.\nОсобенности использования FQDN в качестве адреса репозитория По большому счету использование IP-адресов - дурной тон, их тяжело запоминать, они могут меняться и т.д. и т.п. Более правильно и удобно использовать для этой цели доменные имена (FQDN), скажем borg.example.com - и выглядит лучше, и запомнить проще и скрипты не нужно менять. Казалось бы, сплошные плюсы. Но, как и любой инструмент, FQDN имеет и свои обратные стороны, которые нужно знать и учитывать.\nВ частности нужно понимать, как работает система DNS и каким образом происходит обновление информации в ней. Если коротко - то вся информация о домене хранится на обслуживающем его сервере имен, а остальные сервера получают информацию от него посредством рекурсивных запросов. Так как рекурсивные запросы вызывают большую нагрузку сервера кешируют результат на время, указанное в параметре TTL домена. Однако данный параметр не является догмой и сервера могут его игнорировать, устанавливая собственное время кеширования (этим обычно грешат небольшие провайдеры и корпоративные сети).\nТаким образом, после того как вы изменили IP-адрес в записи доменного имени до его полного распространения в системе DNS может пройти время не менее указанного в TTL, а иногда и более. Поэтому может сложиться неоднозначная ситуация, когда одни ваши клиенты получают уже новый адрес сервера, а другие старый. Что делать?\nДля начала - подготовиться. По умолчанию для TTL устанавливаются достаточно большие значения, так как данные меняются редко и не следует увеличивать нагрузку на сервера имен, обычно это 14400 или 21600 секунд (4 или 6 часов), поэтому перед переносом сервера есть смысл уменьшить эти значения, скажем до 600 или 900 сек. Сделать это нужно не позднее чем за промежуток равный двум старым значениям TTL. Это заставит другие сервера чаще обновлять данные о вашем домене и уменьшит время необходимое на обновление информации.\nНо данный процесс находится вне рамок нашего контроля и повлиять на него мы никак не можем. Что можно сделать еще? Если вы делаете копии достаточно редко, то сделайте их вручную, выключите регламентное задание и измените A-записи. После того, как все клиенты будут разрешать имя домена в правильный IP-адрес снова включите копирование по расписанию.\nЕсли же нужно работать здесь и сейчас, то новый адрес можно временно добавить на DNS-сервер предприятия или роутера, в крайнем случае добавить в файл /etc/hosts запись вида:\n1198.51.100.100 borg.example.com В большинстве случаев DNS-сервера следуют указанным для домена TTL и обновление информации произойдет быстро. После чего мы советуем снова увеличить значение TTL до нескольких часов, а также удалить статические записи с локального DNS, роутера и файлов hosts.\n","id":"683db860e2246c89622ba698a0e3451a","link":"https://interface31.ru/post/bystryy-i-prostoy-perenos-borg-backup-na-drugoy-server/","section":"post","tags":["borg","Debian","Linux","Ubuntu Server","Резервное копирование"],"title":"Быстрый и простой перенос Borg Backup на другой сервер"},{"body":"Каждый системный администратор знает, как важно своевременно получать и устанавливать обновления безопасности, особенно касающиеся вновь найденных уязвимостей. Конечно, оптимальный вариант - это использовать последние выпуски ОС и ПО, находящиеся на поддержке, но к сожалению это возможно не всегда. Если вы используете Ubuntu, то можете присоединиться к программе Ubuntu Advantage, которая позволяет продлить срок поддержки LTS версий еще на 5 лет (суммарно 10). Как это сделать - мы расскажем в данной статье.\nЧто такое Ubuntu Advantage Ubuntu Advantage (UA) - это сервисный пакет от компании Canonical для пользователей Ubuntu, включает коммерческую поддержку и ряд расширенных сервисов направленных на повышение управляемости и безопасности ваших систем. Пакет предоставляется на коммерческой основе, стоимость годового обслуживания для физического сервера начинается от $225, а для виртуальной машины от $75 в год. Для некоммерческого и личного использования предоставляется бесплатный пакет на три физических ПК, но мы не испытали никаких затруднений и при подключении виртуальной машины.\nМы сейчас не будем вдаваться в юридические и лицензионные подробности, отметим только, что цены на годовое обслуживание вполне приемлемые даже для малого бизнеса, особенно если сравнить их с возможным ущербом от компрометации системы в результате использования уязвимостей.\nДалее мы будем рассматривать бесплатный пакет и два основных сервиса из него: Extended Security Maintenance (ESM) и Livepatch.\nExtended Security Maintenance (ESM) Данный сервис предоставляет особый интерес для пользователей систем с истекшим сроком основной поддержки. Extended Security Maintenance предоставляет обновления безопасности для всех бинарных пакетов находящихся в основном репозитории Ubuntu в течении дополнительных 5 лет, таким образом продлевая общий срок поддержки систем до 10 лет.\nНо есть определенные тонкости. ESM не предоставляет исправления ошибок ПО, кроме тех, которые были вызваны обновлениями ESM. Также исправления безопасности предоставляются только по тем CVE, которые имеют статус важных или критических. Ну и наконец - поддерживаются только 64-х разрядные системы.\nВ настоящее время Extended Security Maintenance доступно для Ubuntu 14.04 LTS (до апреля 2024 года) и Ubuntu 16.04 LTS (до апреля 2026 года). О доступности ESM сообщается на официальном сайте после истечения срока основной поддержки, также об этом может сообщить утилита apt при обновлении пакетов. Таким образом, если вы продолжаете использовать устаревшие системы, то подключение к Ubuntu Advantage и использование ESM позволит получать обновления безопасности в течении десятилетнего цикла, спокойно подготовить и осуществить переход на современные версии ОС и ПО. При этом обратите внимание, что ESM не распространяется на пакеты, поддерживаемые сообществом (репозитории universe и multiverse).\nLivepatch Service Livepatch - в буквальном переводе \u0026quot;живой патч\u0026quot; - еще один крайне полезный сервис, предоставляющий возможность устанавливать обновления безопасности ядра Linux без перезагрузки системы. В отличие от обычных обновлений, обновления ядра очень часто остаются не установленными по причине невозможности или нежелательности перезагрузки системы. Причин этому может быть множество, как объективных, так и не очень, но результат один - страдает безопасность системы. Livepatch позволяет избежать этой проблемы применяя исправления налету. Данная возможность доступна для всех систем входящих в Ubuntu Advantage, даже таких старых как Ubuntu 14.04 LTS.\nПодключение к Ubuntu Advantage Прежде всего вам нужно зарегистрироваться в сервисе Ubuntu One, никаких особых сложностей там нет, потребуется указать минимум данных и подтвердить адрес электронной почты. После окончания регистрации и прохождения верификации перейдите на основной сайт Ubuntu и в персональном меню выберите пункт UA subscriptions, на открывшейся странице вы получите токен доступа для бесплатного подключения к Ubuntu Advantage трех физических систем. Здесь же ниже, в разделе Documentation представлена команда для подключения системы, но не будем спешить. Прежде всего обновим список пакетов и установим все последние обновления:\n1apt update 2apt full-upgrade Для Ubuntu 14.04 LTS возможно придется использовать более старую утилиту apt-get:\n1apt-get update 2apt-get dist-upgrade После чего перезагрузим систему. Затем убедимся, что установлен пакет ubuntu-advantage-tools:\n1dpkg -l ubuntu-advantage-tools Если все нормально, то вы увидите следующий вывод, обратите внимание на флаги ii, которые обозначают что пакет установлен. В противном случае для установки пакета воспользуйтесь командой:\n1apt install ubuntu-advantage-tools Затем можно подключить систему к UA используя команду:\n1ua attach \u0026lt;subscription token\u0026gt; По умолчанию будут включены сервисы esm-infra и livepatсh. Длу управления службами Ubuntu Advantage используйте команды:\n1ua enable | disable \u0026lt;service\u0026gt; Чтобы полностью отключить систему от UA с удалением регистрации в личном кабинете воспользуйтесь командой:\n1ua detach После того, как вы подключили сервис ESM самое время еще раз обновить систему, установив все последние обновления безопасности. При этом вы увидите, что у вас появился новый источник пакетов ESM и доступны новые обновления, которые до этого были недоступны.\n1apt update 2apt full-upgrade После завершения процесса обновления не забудьте выполнить очистку от ненужных пакетов:\n1apt autoremove или в Ubuntu 14.04 LTS:\n1apt-get autoremove и перезагрузите систему, чтобы загрузилось новое ядро.\nВключение Livepatch в Ubuntu 14.04 LTS После подключения к Ubuntu Advantage для Ubuntu 14.04 LTS можно заметить, что активировался только сервис esm-infra, а при попытке включить livepatсh мы будем получать ошибку. Это нормально, livepatch поддерживается начиная с ядра версии 4.4, в то время как Ubuntu 14.04 LTS использует ядро версии 3.x, также для работы данного сервиса нам потребуется поддержка snap. Обновим список пакетов и установим snapd, нужное ядро версии 4.4 будет установлено по зависимостям.\n1apt update 2apt install snapd После чего обязательно перезагрузите систему, чтобы активировать новое ядро, после чего добавим поддержку livepatch:\n1snap install canonical-livepatch Если теперь мы проверим статус служб Ubuntu Advantage, то увидим, что напротив сервиса livepatch вместо n/a появилось disabled.\n1ua status Попробуем снова включить сервис и в этот раз у нас должно все получиться:\n1ua enable livepatch Теперь даже такая старая система, как Ubuntu 14.04 LTS окажется гораздо более защищена и сможет применять новые обновления безопасности ядра без перезагрузки системы.\nЗаключение Как видим, Ubuntu Advantage предоставляет отличные возможности поддержки старых систем предоставляя им обновления безопасности в рамках Extended Security Maintenance (ESM) и такие современные возможности, как обновления ядра без перезагрузки системы в течении дополнительных пяти лет, после окончания основной поддержки. Стоимость пакета UA вполне доступна, а для личного и некоммерческого использования имеется возможность получения бесплатной подписки на три компьютера.\n","id":"0067fa426fd87d0415dfa86384bcd8ce","link":"https://interface31.ru/post/vklyuchaem-rasshirennuyu-podderzhku-esm-dlya-ubuntu/","section":"post","tags":["Ubuntu","Ubuntu Advantage","Ubuntu Server","Безопасность"],"title":"Включаем расширенную поддержку ESM и Livepatch для Ubuntu"},{"body":"Изучение логов - одна из повседневных задач системного администратора и в большинстве случаев это скучная повседневная рутина. Вместе с логами мимо нас проходит масса событий, как важных, так и не очень и последних гораздо больше. И важно не пропустить эти самые важные записи среди однотонных соседних записей лога, что не всегда бывает легко. Оно и понятно, монотонно листая записи событий немудрено утратить внимание, здесь на помощь нам могут прийти достаточно простые, но эффективные инструменты, один из них - раскрашивание.\nЧтение логов за утренней чашкой кофе - это распространенное представление о буднях системного администратора. На самом деле все не так плохо, но логи время от времени читать приходится и основная проблема в этом деле - монотонность. Хорошо если вы знаете, что именно интересует вас в логах, а если нет? Тогда придется прокручивать экран за экраном в надежде не пропустить ту единственную строку, которая прольет хоть немного ясности в суть происходящих событий. Но дело это скучное и предельно монотонное. Строки, строки, строки... нет им конца и края. А если мы сделаем вот так? Согласитесь, ведь это же гораздо лучше: Как это сделать? Очень просто, установить консольную утилиту ccze:\n1apt install ccze Теперь все что нам нужно - это перенаправить вывод лога на вход установленной утилиты чтобы получить красивый раскрашенный вывод, например:\n1cat /var/log/syslog | ccze -A Вместо cat мы можем использовать любые команды для вывода содержимого логов: head, tail и т.д.. Скажем, хотим наблюдать в реальном времени за логами веб-сервера?\n1tail -f /var/log/nginx/access.log | ccze Ну что-же, в раскрашенном виде они гораздо более удобочитаемы, теперь утреннее чтение логов будет не столь монотонным и утомляющим занятием.\nНо это далеко не все возможности данной утилиты, она позволяет преобразовать данные логов в HTML-документ, для этого используйте команду:\n1tail -n 50 /var/log/nginx/access.log | ccze -h \u0026gt; ~/log.html В нашем примере мы вывели 50 последних строк файла /var/log/nginx/access.log в файл log.html домашней директории текущего пользователя, теперь мы можем его скачать и спокойно изучить в браузере в раскрашенном виде на привычном рабочем месте: Всего лишь одна простая утилита, а сколько пользы! Надеемся, что данная статья будет вам полезна и вы добавите себе в копилку еще один удобный и полезный инструмент.\n","id":"d1fcea0a061e7f12cc28266b0ecb0182","link":"https://interface31.ru/post/adminu-na-zametku-31-rasskrashivaem-logi-pri-pomoshhi-ccze/","section":"post","tags":["ccze","Debian","Linux","Ubuntu Server","Диагностика"],"title":"Админу на заметку - 31. Раскрашиваем логи при помощи ccze"},{"body":"Оборудование Mikrotik предоставляет администраторам богатые возможности по управлению и администрированию, включая инструменты удаленного доступа. Вы можете без проблем настраивать роутер, находящийся за многие километры от вашего рабочего места и никого этим сегодня не удивить. Тем не менее бывают задачи, когда нужно получить управление оборудованием, к которому не имеется прямого доступа, в этом случае нам на помощь придет специальная технология от Mikrotik - RoMON.\nЧто такое RoMON? RoMON (Router Management Overlay Network) - специальная технология компании Mikrotik предназначенная для обнаружения одноранговых устройств с Router OS и построения сети управления между ними. Для этого используется давно известная всем администраторам Mikrotik возможность подключения к устройству по MAC-адресу. RoMON позволяет обнаруживать устройства в общем широковещательном сегменте L2 и устанавливать связи между ними, при этом работа не ограничена только одним широковещательным сегментом, мы можем соединять роутеры как гирлянды и управлять ими с любого доступного нам устройства.\nРассмотрим следующую схему: У нас имеется условная цепочка из роутеров R1 - R2 - R3, при этом возможность каким-либо образом подключиться извне мы имеем только к последнему. Задача - настроить удаленный доступ к управлению всеми устройствами. Мы специально не стали обозначать каких-либо сетей или адресов роутеров, потому что это не имеет никакого значения, единственное условие - любые два роутера должны видеть друг друга по L2 и иметь возможность соединиться через MAC-Telnet. При этом роутер R3 может ничего не знать о существовании R1, но для построения RoMON сети вполне достаточно, что он имеет соединение с роутером R2, который в свою очередь соединяется с R1.\nТаким образом можно строить достаточно длинные цепочки между роутерами не снижая уровень безопасности и не создавая подключений извне туда, где это будет нежелательно, да и защитить одно устройство, с которого будет осуществляться доступ к остальному сетевому оборудованию проще, чем поддерживать безопасность множества узлов.\nНастройка RoMON Настройка RoMON проста, для этого откроем Winbox на целевом роутере и перейдем в Tools - RoMON, в открывшемся окне установите флаг Enabled и укажите в поле Secrets секретную фразу для взаимной аутентификации роутеров. Внутри RoMON сети устройства определяются при помощи идентификаторов, в качестве которых используется один из MAC-адресов устройства, это может быть неудобно, поэтому можно задать собственные идентификаторы, для этого откорректируйте поле ID. 1/tool romon 2set enabled=yes id=00:00:00:00:00:01 secrets=MySecret На этом настройку можно бы было и закончить, но в этом случае RoMON будет работать на всех интерфейсах, что нежелательно по соображениям безопасности. Поэтому выполним ряд дополнительных настроек. В предыдущем окне нажмем кнопку Ports и прежде всего запретим подключаться с любого интерфейса. Откроем единственную имеющуюся запись с указанием в поле Interface - all и установим для нее флаг Forbid. Для добавления правила нажмем плюс и в открывшемся окне укажем желаемый порт и секрет для него. Обращаем ваше внимание, что RoMON использует вначале секрет, указанный для порта, а в его отсутствии глобальный секрет, который мы указали при включении RoMON. Теперь вариант команд для терминала, здесь мы приведем пример для роутера R2 и настроим сразу два интерфейса:\n1/tool romon port 2set [ find default=yes ] forbid=yes 3add disabled=no interface=ether1 secrets=MySecret 4add disabled=no interface=ether5 secrets=MySecret Аналогичные настройки следует выполнить на каждом роутере входящем в цепочку. Никаких особых сложностей они не представляют.\nНекоторые важные уточнения: RoMON не использует шифрование, защита передаваемых данных полностью лежит на прикладном приложении, вы можете использовать Winbox или SSH. Секрет используется только для взаимной аутентификации роутеров и должен быть одинаков у всех устройств входящих в сеть управления. Мы рекомендуем задавать как локальный секрет для порта, так и глобальный, что повысит уровень безопасности даже при неверных настройках RoMON (открыт доступ со всех портов).\nИспользование RoMON Согласно условиям задачи мы имеем возможность подключения через Winbox к роутеру R3. Теперь, после того как настроили RoMON мы можем подключиться к сети управления нажав на кнопку Connect To RoMON и указав при этом параметры доступа к нужному роутеру. После чего ниже появится полный список роутеров в сети управления и мы можем получить доступ к любому из них используя идентификатор, для доступа к роутерам следует использовать учетные данные существующих пользователей, секрет RoMON используется исключительно для взаимной аутентификации устройств и указывать его нигде не надо. При этом вы всегда можете видеть текущую стоимость подключения, количество устройств в цепочке и их идентификаторы, а также краткие сведения об устройствах, включающие модель и версию RouterOS.\nПодключение к роутеру по MAC Telnet Данная тема не относится напрямую к RoMON, но очень близко связана с ней. В процессе работы у вас может появиться удаленное новое устройство, которое либо нужно настроить для работы в удаленной сети, либо вообще после настройки передать далее. И хорошо если у вас есть возможность подключиться к одному из узлов удаленной сети, запустить там Winbox и выполнить необходимые настройки. А если нет?\nВторой вариант - это настройка RoMON, как мы видели, для этого нужно получить доступ к каждому устройству, что тоже не всегда возможно. Что делать? Выезжать на точку? Не спешите, в большинстве случаев все можно сделать удаленно.\nПо умолчанию обнаружение и подключение через MAC Telnet доступны на всех портах, кроме \u0026quot;внешнего\u0026quot;, таким в SOHO-устройствах обычно является ether1, поэтому достаточно подключить новое устройство в сеть любым портом, кроме первого. Затем переходим на контролируемое устройство, имеющее доступ в тот же широковещательный сегмент что и новый роутер и открываем IP - Neighbor где мы можем увидеть всех соседей в одноранговой сети. Все что нам понадобится отсюда - это MAC-адрес нужного устройства. После чего открываем терминал и выполняем команду:\n1 /tool mac-telnet host=01:12:34:56:78:90 Где 01:12:34:56:78:90 - MAC-адрес требуемого устройства. Теперь мы можем полноценно работать с данным роутером в терминале, даже можем выполнить полный сброс, доступ через MAC Telnet будет активирован по умолчанию:\n1/system reset-configuration no-defaults=yes skip-backup=yes После чего достаточно активировать RoMON и получить полный доступ к устройству.\nСмена секрета RoMON В процессе эксплуатации сети RoMON может возникнуть потребность изменить секрет, либо установить его, если вы ранее не использовали аутентификацию, очень важно сделать это так, чтобы не потерять в процессе смены секрета доступ к управляемым устройствам. К счастью, сделать это несложно, нужно лишь строго соблюдать необходимую последовательность действий.\nНапомним, что RoMON не использует шифрование, а секретная фраза используется для вычисления хеш-функции при помощи которой производится аутентификация сообщений, таким образом, все узлы, которые владеют секретом могут убедиться, что пакет пришел от доверенного узла и примут его.\nRoMON позволяет указать несколько секретов, как глобальных, так и для порта. При этом сам узел будет использовать первый в списке секрет, но сможет принимать пакеты с хешами сформированными при помощи любых других секретов, перечисленных в списке. Эту возможность мы и будем использовать.\nОткроем список секретов и добавим в него новый секрет, при этом первым в списке располагаем старый секрет (выделен желтым), а ниже новый секрет (выделено зеленым). В терминале это будет выглядеть так, для глобального секрета:\n1/tool romon 2set enabled=yes id=00:00:00:00:00:02 secrets=old_secret,new_secret Для порта:\n1/tool romon port 2add disabled=no interface=ether5 secrets=old_secret,new_secret Данный шаг следует выполнить на всех управляемых устройствах. После чего каждое из них будет продолжать использовать старый секрет, но сможет принимать пакеты с хешем сформированным при помощи нового секрета.\nВыполнив указанное действие переходим к следующему: для каждого из устройств в списке паролей ставим первым новый секрет, а вторым старый. Также повторяем это действие на всех управляемых устройствах. Теперь роутеры для связи друг с другом будут использовать новые секреты, но смогут принимать пакеты со старым хешем.\nПосле того, как на всех роутерах первым в списке установлен новый секрет, и вы убедились в наличии связи с каждым из них - можно перейти к заключительному этапу - удалить из списков старый секрет.\nНа первый взгляд процедура может показаться немного сложной и избыточной, но именно такой порядок действий гарантирует что вы не потеряете связь ни с одним устройством в процессе изменения секретов на них. Также учтите, что пустой секрет тоже является секретом и, если вы до этого не использовали аутентификацию в качестве старого секрета следует оставлять пустое поле, а в терминале использовать пустое значение, состоящее из двух, идущих подряд, кавычек.\n1 secrets=\u0026#34;\u0026#34;,new_secret Как видим, RouterOS предоставляет администратору достаточно широкий круг простых и удобных инструментов управления и RoMON - один из них. Он не претендует на универсальность и его нельзя однозначно рекомендовать к употреблению везде где-только можно, но в ряде сценариев он может оказаться незаменимым, обеспечивая привычный уровень удобства администрирования даже при отсутствии прямого доступа к устройству.\n","id":"46a290fe5969953cb474ef70865c3b7a","link":"https://interface31.ru/post/nastraivaem-romon-dlya-udalennogo-upravleniya-routerami-mikrotik/","section":"post","tags":["MikroTik","Сетевые технологии","Удаленное администрирование"],"title":"Настраиваем RoMON для удаленного управления роутерами Mikrotik"},{"body":"По информации исследовательской лаборатории Imperva, самой серьезной угрозой кибербезопасности стала уязвимость нулевого дня Log4Shell. Ожидается, что маркетинговым компаниям в 2022 году нужно быть готовыми к хакерским атакам, осуществленным через данный эксплойт.\nЧто такое Log4Shell? Чтобы разобраться, что представляет из себя данная уязвимость, обратимся к Log4j. Это Java-библиотека для фиксирования уведомлений об ошибках, которые присутствуют в корпоративных приложениях. Библиотеку включают в себя как непосредственно приложения, так и сети, облачные вычислительные сервисы. Многие программы, написанные на языке программирования Java, используют библиотеку Log4j для серверных и клиентских приложений.\nНо в декабре 2021 года мировые предприятия столкнулись с уязвимостью критического уровня, которая стала известна под номером CVE-2021-44228. Эта проблема, критичность которой оценивается на 10 из 10, задевает ключевые функции Apache Log4j2. В частности, эта уязвимость позволяет киберпреступнику запускать код в удаленном режиме. Это приводит к неприятным последствиям. А именно, хакер может:\nполучить доступ к целой сети через пораженные устройства или приложения; запустить любые коды; обрести контроль над данными на инфицированном устройстве или программном обеспечении; удалить или зашифровать файлы. Log4Shell: чем опасна эта уязвимость? Log4Shell нашли в Minecraft, кроме того, данная уязвимость обнаружена в ряде известных IT-продуктов, таких как iCloud, Steam, Amazon, Tesla, Twitter. Баг уже успел посеять панику среди пользователей. Ведь ожидается, что проблемная зона будет действовать в соответствие со сценарием полного разрушения безопасности. Поэтому компания Imperva даже назвала Log4Shell подобием коронавируса в Интернете.\nApache выпустила патч для CVE-2021-44228 (версия 2.15) 6 декабря 2021 года. Но этот патч не смог решить проблему в одном из компонентов уязвимости. Это вылилось в уязвимость CVE-2021-45046, и пришлось выпускать новый патч (версия 2.16), который вышел в IT-пространство 13 декабря. Скоро Apache создала третий патч (версия 2.17) для устранения уязвимости CVE-2021-45105 - это произошло 17 декабря. А 28 декабря появился очередной, четвертый патч (2.17.1) для борьбы с уязвимостью CVE-2021-4832.\nКак защититься от Log4Shell? Влияние уязвимостей нельзя недооценивать. Ведь миллиарды устройств запускают Java-приложения, в том числе и те девайсы, которые находятся в домашнем пользовании. Если они так или иначе зависят от уязвимой версии Log4Shell, хакер может обнаружить вектор атаки для эксплуатации конкретного девайса.\nКомпании, чья деятельность связана со сферой информационной безопасности, уже позаботились о своих клиентах. Выпустили патчи, обнародовали информацию о новаторских продвинутых механизмах защиты. Возьмем, к примеру, ExpressVPN (кстати, прочитать, что такое VPN, можно здесь). Фирма уже анонсировала, что пользователям виртуальной приватной сети не нужно бояться Log4Shell, ведь данный VPN содержит необходимый защитный слой от данной уязвимости. Поэтому пользователи, которые стремятся сохранить конфиденциальность данных при работе онлайн, подключаются к одному из VPN-серверов, и только после этого заходят в сеть.\nLog4Shell позволяет использовать LDAP, открытый прикладной протокол, который хранит учетные записи и управляет ими. Log4Shell относится к разряду уязвимостей с функцией вызова удаленных методов на языке программирования Java. Чтобы защититься от уязвимостей, пользователи используют защиту с помощью блокировки доступа к уязвимым портам, а также с помощью анализа содержимого пакетов. На данный момент, полностью реализован механизм блокировки уязвимых портов. В планах - развитие второй указанной технологии.\nЗаключение В среде информационных технологий считается, что уязвимости нулевого дня не являются чем-то из ряда вон выходящим. Как правило, слабые местах в онлайн-платформах и веб-приложениях находят так называемые белые хакеры - профессионалы, которые работают в области кибербезопасности, ищут проблемные зоны в программном обеспечении при помощи продвинутого оборудования. А когда находят, сообщают об этом разработчикам, чтобы последние узнали о наличии проблемы и создали защитные механизмы.\nВ первую очередь, белые хакеры ищут уязвимости в экосистеме Java. Баги возникают именно здесь чаще всего, потому что с помощью языка программирования Java реализуются проекты, состоящие из кода, доступного в открытых источниках. С одной стороны, это обеспечивает необходимый уровень прозрачности, который ценится предприятиями. Но безопасность не всегда находится на первом месте в таких приложениях. Так, компания IBM приводит пример некоторых алгоритмов безопасности - MD5, SHA-1, SSL-3.0. Сейчас эти стандарты вовсе не считаются безопасными, хотя раньше они выполняли свои защитные функции.\n","id":"89d08530d2b8f7309bbb63be8c28953a","link":"https://interface31.ru/post/kak-borot-sya-s-uyazvimostyami-nulevogo-dnya/","section":"post","tags":[],"title":"Как бороться с уязвимостями нулевого дня?"},{"body":"Резервное копирование сегодня - это не просто создать архив с данными и разместить его в удаленном хранилище, современные объемы данных делают такое занятие крайне проблемным и дорогостоящим, а максимально эффективно использовать как ресурсы системы хранения, так и пропускную способность каналов передачи данных. Первая задача решается при помощи дедупликации, а разгрузить каналы связи позволяет инкрементное копирование вместе с эффективным сжатием. Всеми этими достоинствами обладает система резервного копирования Borg Backup, а еще она очень проста и универсальна в использовании.\nПочему именно Borg Backup? Во многом выбор системы резервного копирования определяется личными предпочтениями, благо выбирать есть из чего, но каждый из нас имеет собственные критерии, которым такая система должна удовлетворять. Поэтому коротко изложим наши предпочтения, которые привели к такому выбору.\nНачнем с того, что Borg прост, несмотря на то что это клиент-серверная система, всего лишь один пакет или один бинарный файл. Тем не менее он может быть как клиентом, так и сервером, при этом превратить клиент в сервер абсолютно не сложно, а на сервере и вовсе ничего делать не нужно. Такая универсальность - очень большой плюс.\nДедупликация - это одна из основных возможностей, ради которых устанавливают системы резервного копирования. Borg осуществляет дедупликацию на лету, никаких отложенных заданий, причем делает это быстро и эффективно. Это позволяет иметь практически неограниченную глубину резервного копирования для большинства типовых сценариев, место на диске будут занимать только изменившиеся данные.\nКлиент-серверная архитектура позволяет реализовать инкрементное копирование, т.е. реально по каналам связи будут передаваться только изменения, что позволяет существенно сократить время резервного копирования и объем передаваемых данных, вторым фактором здесь выступает эффективное сжатие, начиная с версии 1.1.4 Borg поддерживает алгоритм Zstandard.\nBorg Backup также быстр и при восстановлении данных, кроме того он позволяет смонтировать копию в любое место файловой системы через FUSE, что дает возможность произвести выборочное восстановление путем сравнения содержимого файлов, это может оказаться полезно, например, если вы вносили изменения в конфигурационные файлы, но забыли сделать их копии.\nИ последний плюс - Borg присутствует в репозиториях большинства актуальных Linux дистрибутивов.\nУстановка сервера Borg Backup Мы будем выполнять установку в среде Debian / Ubuntu, если вы используете другие дистрибутивы - обратитесь к справке по своему пакетному менеджеру. Все указанные ниже команды, если не оговорено отдельно следует выполнять с правами суперпользователя.\nПрежде всего обновим список пакетов и выполним установку:\n1apt update 2apt install borgbackup Следующим шагом нам потребуется создать пользователя borg от имени которого будет работать сервер, еще одной особенностью Borg Backup является то, что он создает репозитории для хранения резервных копий в собственной домашней директории, поэтому позаботьтесь чтобы там было достаточно место или перенесите ее на отдельный накопитель.\nСамый простой способ создать пользователя со стандартным размещением домашнего каталога в /home выполните:\n1useradd -m borg Если вы хотите создать домашний каталог в другом расположении, скажем на дополнительном массиве, который смонтирован в /storage1, то команда должна выглядеть так:\n1useradd -m -b /storage1 borg В этом случае будет создана домашняя директория /storage1/borg.\nПри необходимости вы можете всегда изменить домашнюю директорию с переносом всех содержащихся в ней данных, для этого используйте команду:\n1usermod -dm /storage2/borg borg В нашем примере новой домашней директорией станет /storage2/borg, куда будет скопировано все ее содержимое, обратите внимание, что на момент выполнения команды директория уже должна существовать.\nДля аутентификации удаленных клиентов мы будем использовать SSH-ключи, поэтому сразу создадим нужную структуру папок и файлов и назначим им владельца:\n1mkdir ~borg/.ssh 2touch ~borg/.ssh/authorized_keys 3chown -R borg:borg ~borg/.ssh На этом настройка сервера закончена, он готов к работе.\nУстановка и использование клиента Borg Backup Установка клиента ничем не отличается от сервера, и одна и та же инсталляция может быть и сервером, и клиентом одновременно:\n1apt update 2apt install borgbackup Для доступа к серверу необходимо сгенерировать SSH-ключ, так как регламентные задания выполняются от имени суперпользователя, то ключи должны быть созданы именно для него. Поэтому повысим себе права до root, в Debain, если вы не включали sudo, выполните:\n1su - В Ubuntu:\n1sudo -s В первом случае вам потребуется ввести пароль суперпользователя, во втором - текущего пользователя.\nТеперь создадим SSH-ключ, от установки парольной фразы для закрытого ключа следует отказаться:\n1ssh-keygen После чего у вас в директории /root/.ssh появятся файлы открытого и закрытого ключей: id_rsa.pub иid_rsa. Файл закрытого ключа id_rsa является секретным и в случае его компрометации или утери ключевую пару потребуется незамедлительно пересоздать.\nВнимание! Внимание! Перед выполнением этой команды убедитесь, что ключевая пара не была создана ранее! Если в директории /root/.ssh уже присутствуют файлы id_rsa и id_rsa.pub, то следует использовать их и новую ключевую пару создавать не нужно!\nЕсли мы теперь просмотрим содержимое id_rsa.pub, то увидим большой набор случайных символов - это и есть ваш открытый ключ. Открытый ключ не является секретным, и вы можете передавать его в том числе по открытым каналам связи. Теперь вернемся на сервер и добавим открытый ключ клиента, чтобы он мог безопасно подключаться и работать с сервером резервного копирования. Для этого выполним команду:\n1echo \u0026#39;command=\u0026#34;/usr/bin/borg serve\u0026#34; ssh-rsa public_key\u0026#39; \u0026gt;\u0026gt; ~borg/.ssh/authorized_keys Где public_key - содержимое вашего открытого ключа (то, что выделено желтым на скриншоте выше). Данная запись указывает, что при логине владельца открытого ключа запускать для него серверный процесс Borg, интерактивный вход в консоль для него невозможен.\nТакже можно дополнительно ограничить пользователя работой только с собственным репозиторием, немного изменим команду:\n1echo \u0026#39;command=\u0026#34;/usr/bin/borg serve --restrict-to-path ~borg/my_repo\u0026#34;,restrict ssh-rsa public_key\u0026#39; \u0026gt;\u0026gt; ~borg/.ssh/authorized_keys Обратите внимание - имя директории my_repo должно посимвольно совпадать с именем вашего планируемого репозитория, создавать заранее директорию не нужно.\nВернемся на клиент и создадим новый репозиторий, для примера в качестве публичного IP-адреса сервера резервного копирования будем использовать 203.0.113.112:\n1borg init -e none borg@203.0.113.112:my_repo В данном случае мы не используем шифрование, поэтому указываем опцию -e как none. Если вы все сделали правильно, то команда выполнится без ошибок, а на сервере в домашней директории Borg будет создан каталог с именем репозитория.\nТеперь попробуем выполнить резервное копирование, например, мы хотим сделать копию сайта example.com:\n1borg create -C zstd borg@203.0.113.112:my_repo::example-`date +%Y%m%d_%H%M%S` /var/www/example.com Ключ -С указывает на используемый алгоритм сжатия, наш выбор - быстрый и эффективный Zstandard. После указания сервера через двоеточие указывается имя репозитория - my_repo, а через два двоеточия от него - имя бекапа, запомните этот синтаксис. Конструкция example-`date +%Y%m%d_%H%M%S` позволяет добавить к имени архива текущие дату-время в указанном формате. Т.е. полное имя архива будет example-20220128-171235. Если вы хотите видеть ход и результат выполнения команды - добавьте к ней ключ --list.\nСписок архивов, хранящихся в репозитории, можно получить командой:\n1borg list borg@203.0.113.112:my_repo Для получения информации о репозитории выполните:\n1borg info borg@203.0.113.112:my_repo Информации немного, но вполне достаточно, чтобы оценить эффективность хранения копий.\nАналогичную информацию можно получить и по отдельному архиву, например, команда:\n1 borg list borg@203.0.113.112:my_repo::example-20220128-171235 покажет все содержимое архива, если количество хранимых файлов велико, то сразу советуем использовать эту команду в связке с less или more.\nСтатистику по архиву можно получить следующим образом:\n1 borg info borg@203.0.113.112:my_repo::example-20220128-171235 Здесь цифры уже интереснее. Во-первых, обратите внимание на время работы задания. Всего за 7 с небольшим секунд Borg проанализировал почти 52 тысячи файлов, общим размеров в 1,25 ГБ, нашел 64 кБ разницы с предыдущим бекапом и отправил ее на сервер. При этом мы всегда можем получить полный бекап на эту дату, Borg достанет дедуплицированные данные, добавит измененные и выдаст нам полный набор информации. Это гораздо удобнее, чем самостоятельно восстанавливать данные из инкрементальных или дифференциальных архивов.\nBorg прост, поэтому он сам не выполняет никаких действий, кроме тех, о которых его попросит пользователь. Но созданные архивы нужно время от времени проверять. Мы можем проверить как отдельный архив, так и весь репозиторий целиком:\n1borg check -v borg@203.0.113.112:my_repo::example-20220128-171235 или\n1borg check -v borg@203.0.113.112:my_repo Еще одной важной задачей резервного копирования является очистка хранилища от старых копий. И хотя дедупликация позволяет нам иметь хорошую глубину резервного копирования, злоупотреблять этим тоже не стоит, да и ценность резервных копии с прошествуем времени только падает. Borg Backup позволяет гибко задавать условия очистки, например, мы можем использовать следующие ключи:\n--keep-within INTERVAL - хранить все архивы за указанный промежуток времени, для его указания используйте \u0026quot;H\u0026quot;, \u0026quot;d\u0026quot;, \u0026quot;w\u0026quot;, \u0026quot;m\u0026quot;, \u0026quot;y\u0026quot; для указания часов, дней, недель, месяцев и лет. --keep-last, --keep-secondly - хранить указанное количество последних копий. --keep-minutely - количество копий в течении последнего часа. -H, --keep-hourly - количество последних часовых копий. -d, --keep-daily - количество последних дневных копий. -w, --keep-weekly - количество последних недельных копий. -m, --keep-monthly - количество последних месячных копий. -y, --keep-yearly - количество последних годовых копий. Если в указанный период присутствует несколько копий, то сохраняется только самая последняя.\nДля выполнения очистки используйте следующую команду, вы также можете дополнить ее ключами --list для вывода информации на экран и --dry-run, для оценки результата без реального выполнения команды:\n1borg prune --list --keep-daily 14 --keep-weekly 8 --keep-monthly 12 --dry-run borg@203.0.113.112:my_repo Указанная команда выполнит тестирование и покажет предполагаемый результат для следующих условий: храним копии за последний 14 дней, 8 недель и 12 месяцев. При этом каждый последующий период начинает отсчитываться от последнего архива, попадающего под предыдущее условие. Т.е. 8 недель начнут отсчитываться через 14 дней, а 12 месяцев только после 8 недель. Условия применяются в том порядке, в котором они перечислены выше. Готовых рекомендаций по схеме хранения мы давать не будем, все это очень индивидуально и зависит от многих факторов. В общем - исходите из собственных потребностей и доступных объемов хранилища, но не забывайте про здравый смысл. Копии многолетней давности вряд-ли пригодятся вам в каком-либо ином качестве, нежели архив, информация из которого может быть использована как срез на определенный момент времени, для оперативного восстановления она вряд-ли пригодится.\nНо, будьте внимательны, Borg не анализирует архивы и если вы делаете в один репозиторий разные копии, то храниться будет только самая последняя, чтобы этого избежать используйте префикс имени архива. Допустим вы создаете архивы с именами example- и wordpress-, в этом случае для очистки от старых копий вам потребуется запускать две команды:\n1borg prune --prefix example --keep-daily 14 --keep-weekly 8 --keep-monthly 12 --dry-run borg@203.0.113.112:my_repo 2borg prune --prefix wordpress --keep-daily 14 --keep-weekly 8 --keep-monthly 12 --dry-run borg@203.0.113.112:my_repo Потому наш совет: всегда используйте сначала тестовый запуск с --dry-run, в этом случае вы сразу увидите если что пошло не так и сможете принять меры, не рискуя уже существующими архивами.\nАвтоматизируем создание резервных копий при помощи cron Основные команды мы освоили, самое время автоматизировать процесс. Начнем с классики - скриптов, для этого создадим пустой файл:\n1touch /etc/borg-backup.sh Откроем его и внесем следующее содержимое:\n1#!/bin/sh 2 3borg create -C zstd borg@203.0.113.112:my_repo::example-`date +%Y%m%d_%H%M%S` /var/www/example.com 4borg prune --keep-daily 14 --keep-weekly 8 --keep-monthly 12 borg@203.0.113.112:my_repo Это самый простой вариант, все тоже самое, что мы делали интерактивно, в реальных сценариях скрипты могут быть сложнее. Например, создание резервной копии SQL-базы сайта:\n1#!/bin/sh 2 3mysqldump --add-drop-table --allow-keywords -q -c -u mysqluser -pmysqlpassword example \u0026gt; /backup/example.sql 4 5borg create -C zstd borg@203.0.113.112:my_repo::example-sql-\u0026#39;date +%Y%m%d_%H%M%SI example.sql 6borg prune --keep-daily 14 --keep-weekly 8 --keep-monthly 12 --prefix example-sql --list borg@203.0.113.112:my_repo 7 8rm -rf /backup/example.sql Первой командой мы выгружаем дамп SQL-базы, для этого указываем имя базы - example, пользователя MySQL и его пароль - mysqluser и mysqlpassword, обратите внимание, что пароль пишется после ключа без пробела. После чего бекапим дамп, выполняем очистку. Последней командой удаляем созданный дамп на локальной машине.\nПосле того, как вы создали нужный скрипт, сохраним его содержимое и сделаем его исполняемым:\n1chmod +x /etc/borg-backup.sh Теперь можно проверить его работу, запустив интерактивно, если все отработало как надо - то добавим его в планировщик.\nТрадиционно для этого используют cron, для этого откройте файл /etc/crontab и добавьте туда запись:\n145 0 * * * root /etc/borg-backup.sh Указанная запись будет запускать наш скрипт каждый день в 00:45 от учетной записи root. Более подробно об использовании cron вы можете прочитать в нашей статье: Cron - точно по расписанию.\nАвтоматизируем создание резервных копий при помощи таймеров systemd Современные системы построены с использованием systemd, который предлагает использовать вместо cron гораздо более удобный и функциональный инструмент - таймеры.\nДля этого нам потребуется создать два файла: юнит службы и юнит таймера, главное условие - они должны называться одинаково.\n1touch /etc/systemd/system/borg-backup.service 2touch /etc/systemd/system/borg-backup.timer Самый простой способ - использовать скрипт, созданный нами на предыдущем этапе. Для этого откроем /etc/systemd/system/borg-backup.service и внесем в него следующее содержимое:\n1[Unit] 2Description=Automated Borg Backup 3After=network.target 4 5[Service] 6Type=oneshot 7ExecStart=/etc/borg-backup.sh 8 9[Install] 10WantedBy=multi-user.target Но если ваш скрипт прост, то можно все команды перенести в юнит службы, чтобы не плодить лишние сущности:\n1[Unit] 2Description=Automated Borg Backup 3After=network.target 4 5[Service] 6Type=oneshot 7ExecStart=/bin/bash -c \u0026#34;borg create -C zstd borg@203.0.113.112:my_repo::example-$(date +%%Y%%m%%d_%%H%%M%%S) /var/www/example.com\u0026#34; 8ExecStart=borg prune --keep-daily 14 --keep-weekly 8 --keep-monthly 12 borg@203.0.113.112:my_repo 9 10[Install] 11WantedBy=multi-user.target Для служб с типом запуска oneshot мы можем указать несколько действий ExecStart и они будут исполнены последовательно. Также обратите внимание, что первое действие мы выполняем как команду bash, почему? Потому что функция date - это функция командного интерпретатора bash и в ином случае она не отработает.\nВ файл таймера /etc/systemd/system/borg-backup.timer добавим:\n1[Unit] 2Description=Automated Borg Backup Timer 3 4[Timer] 5OnCalendar=*-*-* 00:35 6 7[Install] 8WantedBy=timers.target Данный таймер настроен на срабатывание в 00:35 каждого дня, подробнее об использовании таймеров читайте в нашей статье: Настраиваем таймеры systemd вместо заданий cron.\nПосле того, как вы внесли изменения в файлы юнитов выполните:\n1systemctl daemon-reload Теперь можно попробовать запустить юнит службы:\n1systemctl start borg-backup Результат его выполнения можно посмотреть командой:\n1systemctl status borg-backup Если все выполнилось нормально, то активируем таймер и включаем его в автозагрузку:\n1systemctl start borg-backup.timer 2systemctl enable borg-backup.timer Настройка таймеров systemd может показаться несколько более сложной, но это современный метод и в современных системах следует выбирать именно его.\nWarning: Attempting to access a previously unknown unencrypted repository! Данную ошибку вы можете получить при отладке скриптов или юнитов systemd, она связана с разным контекстом выполнения команд и при ее появлении прежде всего следует проверить что вы присоединяетесь именно к тому репозиторию, который активировали с данной машины. Собственно, это даже не ошибка, а предупреждение том, что репозиторий к которому производится подключение неизвестен. Действие по умолчанию - отказ от подключения. Если все верно, и вы действительно хотите работать с данным репозиторием, то добавим в скрипт, в самое его начало следующую строку:\n1export BORG_UNKNOWN_UNENCRYPTED_REPO_ACCESS_IS_OK=yes Для юнита службы systemd добавим в секцию [Service]:\n1Environment=\u0026#34;BORG_UNKNOWN_UNENCRYPTED_REPO_ACCESS_IS_OK=yes\u0026#34; После чего запустим скрипт или юнит еще раз, ошибка должна уйти.\nВосстановление данных при помощи Borg Backup Конечно, хорошо, если этот пункт вам никогда не пригодится, но восстанавливать данные все такие бывает нужно. Borg Backup предлагает нам несколько вариантов восстановления. Начнем с простого. Можно просто получить содержимое копии в текущую папку, теоретически можно даже сразу извлечь данные в место назначения, но мы не советуем так делать. Лучше всего восстановить копию в отдельную директорию, а потом уже скопировать данные. Создадим новую папку в домашней директории и перейдем в нее:\n1mkdir ~/restore 2cd ~/restore Теперь извлечем в нее содержимое нужного архива:\n1borg extract borg@203.0.113.112:my_repo::example-20220128-171235 Также можно извлечь только часть архива или отдельный файл, например, следующая команда извлечет из резервной копии только папкуupload:\n1borg extract borg@203.0.113.112:my_repo::example-20220128-171235 var/www/example.com/upload Обратите внимание на указание пути, он должен соответствовать пути к нужному элементу копии в архиве, уточнить их всегда можно командой list:\n1borg list borg@203.0.113.112:my_repo::example-20220128-171235 Альтернативной извлечению содержимого архива может быть его монтирование, Borg позволяет смонтировать архив в любое место файловой системы и работать с ним как с обычной папкой:\n1borg mount borg@203.0.113.112:my_repo::example-20220128-171235 ~/restore В указанном выше примере мы использовали для монтирования созданную ранее директорию restore. Данный способ удобен при работе с большими архивами, так как монтирование происходит быстрее, чем получение полного содержимого копии и практически не создает нагрузки на каналы связи.\nЗакончив работу не забудьте отмонтировать указанную резервную копию.\n1borg umount ~/restore Как видим, Borg Backup действительно простой, но в тоже время достаточно мощный и удобный инструмент для резервного копирования, позволяющий вывести этот процесс на современный уровень и значительно повысить защищенность ваших данных.\n","id":"0fc5261b3081d644e5522b557ab1d813","link":"https://interface31.ru/post/borg-backup-prostoy-i-sovremennyy-instrument-rezervnogo-kopirovaniya/","section":"post","tags":["borg","Debian","Linux","Ubuntu Server","Дедупликация","Резервное копирование"],"title":"Borg Backup - простой и современный инструмент резервного копирования"},{"body":"Каждый, кто работал с Linux знает, что очень многие программы и службы используют для своей работы простые текстовые файлы, в них хранятся настройки программ, из них берутся исходные данные и пишется результат, в них хранятся логи. Для экономии места текстовые файлы часто подвергаются сжатию, поэтому нужно уметь с ними работать. Очень часто начинающие администраторы сначала извлекают их содержимое, но есть способ лучше - так называемые Z-команды - набор служебных утилит, позволяющий работать со сжатыми файлами без распаковки.\nСразу внесем некоторое уточнение, под сжатыми файлами здесь и далее будут подразумеваться файлы сжатые при помощи алгоритма gzip (чаще всего с расширением gz), который является алгоритмом сжатия по умолчанию во многих Linux-дистрибутивах.\nzcat Одна из самых популярных команд для работы с текстом - cat (от concatenate, конкатенация) - позволяющая принять на ввод несколько текстовых файлов и объединить их в один, но чаще всего она используется для вывода содержимого файлов на экран или передачи их содержимого по конвейеру.\nСамая распространенная задача - просмотр сжатого файла логов, нет ничего проще:\n1 zcat /var/log/auth.log.2.gz Надо просмотреть сразу несколько:\n1 zcat /var/log/auth.log.2.gz /var/log/auth.log.3.gz Данный пример приведен нами сугубо в академических целях, потому что так редко кто делает, чаше всего вывод команды cat/zcat используют для обработки другими программами и утилитами. Но обсуждение этого выходит за рамки нашей заметки.\nzmore / zless Как мы уже сказали, использовать cat для просмотра логов не самая лучшая идея, потому что он просто выведет все его содержимое на экран, и вы увидите только конец файла, который поместился в экранный буфер. Поэтому если вам все-таки нужно посмотреть его интерактивно, то следует использовать команды постраничного вывода more или less, для работы со сжатыми файлами существуют их аналоги zmore и zless. Например:\n1 zless /var/log/auth.log.3.gz Обе утилиты делают примерно одно и тоже: выводят на экран часть файла по размеру видимой области и позволяют листать его, но less более современна, так как позволяет дополнительно перемещаться по файлу с помощью клавиш со стрелками, more просто пролистывает его от конца к началу.\nzgrep Еще одна очень популярная команда, которая используется для поиска нужных вхождений в текстовых файлах, часто используется в сочетании\n1cat | grep Но это излишне, grep прекрасно умеет работать с файлами самостоятельно. Для работы со сжатыми файлами используйте его аналог zgrep:\n1 zgrep andrey /var/log/auth.log.3.gz Также zgrep может работать сразу с несколькими файлами, в этом случае в вывод будет добавлена информация в каком именно файле было найдено нужное вхождение:\n1 zgrep andrey /var/log/auth.log.3.gz /var/log/auth.log.2.gz Также среди Z-команд доступны аналоги egrep и fgrep - zegrep и zfgrep, первая из них рассматривает строку поиска как расширенное регулярное выражение, вторая, наоборот, игнорирует спецсимволы, выполняя поиск по полному соответствию строки вхождения. В настоящее время использование этих команд не рекомендуется, вместо них следует применять grep/zgrep с ключами -E и -F.\nzdiff Чтобы сравнить два сжатых файла следует использовать Z-команду zdiff, она работает точно также, как и ее обычный аналог:\n1zdiff file1.gz file2.gz Результатом ее работы будет вывод отличающихся строк с указанием найденных отличий.\nПрочие Z-команды\nДо сих пор мы говорили о gzip, который используется по умолчанию и встречается чаще всего. Но алгоритмы сжатия им не исчерпываются, в Linuх системах также можно встретить bzip2, LZMA и XZ. И для каждого из них есть аналог набора Z-команд, так для bzip2 это будут bzcat, bzgrep и т.п. Для других алгоритмов lzcat, lzgrep и xzcat, xzgrep соответственно. Как видим, Linux предоставляет нам удобные инструменты, позволяющие работать со сжатыми файлами практически всех используемых форматов без их распаковки так же просто, как если бы это были обычные текстовые файлы.\n","id":"186e8312f066c46bd717258022c46573","link":"https://interface31.ru/post/z-commands-instrumenty-raboty-so-szhatymi-faylami-v-linux/","section":"post","tags":["Debian","Linux","Ubuntu","Ubuntu Server","Архивация"],"title":"Админу на заметку - 30. Z-команды как инструменты работы со сжатыми файлами в Linux"},{"body":"Wi-Fi сегодня для многих стал практически синонимом слова \u0026quot;интернет\u0026quot;, беспроводной доступ воспринимается как нечто само собой разумеющееся, а его отсутствие вызывает недоумение и удивление. Мы привыкли к тому, что Wi-Fi есть на работе, в гостях, в публичных местах и т.д. и т.п. Но то, что хорошо обычному пользователю доставляет массу забот системному администратору - неконтролируемые пользовательские устройства в периметре локальной сети. Выход здесь один - создание гостевой Wi-Fi сети и изоляция ее от сети предприятия.\nВ данной статье мы рассмотрим самый простой вариант - организацию гостевой Wi-Fi сети для одиночного роутера. Это может быть полезно для небольших предприятий и домашних сетей. Предприятиям полезно вынести в гостевую сеть как посетителей, так и личные устройства сотрудников. В домашних сетях тоже не следует раздавать доступ направо и налево всем друзьям и знакомым, ведь все что они хотят - это выйти в интернет, гостевая сеть прекрасный вариант сделать это не создавая угроз безопасности.\nДалее подразумевается, что у вас уже есть настроенный роутер Mikrotik с основной Wi-Fi сетью, если это не так, то воспользуйтесь нашей статьей: Базовая настройка роутера MikroTik.\nНастройка виртуального беспроводного интерфейса Самым первым шагом создадим новый профиль безопасности, так как делать открытую гостевую сеть - это очень плохая идея, а для организаций еще и нарушение закона, требующего обязательную идентификацию пользователей. Для этого откроем Wireless - Security Profiles и добавим новый профиль. Настройки просты: Mode - dynamic keys, Authentication Types - WPA PSK2, WPA2 Pre-Shared Key - пароль доступа к сети, от 8 символов, Name - произвольное имя профиля, в нашем случае guest. 1/interface wireless security-profiles 2add authentication-types=wpa2-psk eap-methods=\u0026#34;\u0026#34; mode=dynamic-keys name=guest supplicant-identity=\u0026#34;\u0026#34; wpa2-pre-shared-key=987654321 Теперь перейдем в Wireless - WiFi Interfaces и добавим новый виртуальный интерфейс, нажав на кнопку с плюсом и выбрав в выпадающем меню Virtual. 1/interface wireless 2add default-forwarding=no disabled=no keepalive-frames=disabled mac-address=AA:BB:CC:DD:EE:FF \\ 3master-interface=wlan1 multicast-buffering=disabled name=wlan2 security-profile=guest ssid=GUEST \\ 4wds-cost-range=0 wds-default-cost=0 wps-mode=disabled Если у вас двухдиапазонная точка доступа и вы желаете создать в каждом из них гостевые сети, то создайте еще один виртуальный беспроводной интерфейс и укажите в качестве Master Interface второй беспроводной адаптер. Рабочую частоту, ширину канала, мощность и прочие настройки виртуальный адаптер наследует от физического интерфейса. Т.е. гостевая сеть будет работать на том же канале и с такими же параметрами, как и основная.\nПосле чего перейдем в Bridge и создадим новый сетевой мост, в параметре ARP укажем reply-only, что заставит роутер отвечать на канальном уровне только известным устройствам, что значительно ограничит самодеятельность в гостевой сети, так гости смогут работать только с настройками, полученными от роутера, самостоятельно настроить сетевые параметры не получится. 1/interface bridge 2add arp=reply-only name=bridge2 Затем добавим в этот мост созданные нами виртуальные беспроводные интерфейсы, с помощью графического интерфейса в разделе Bridge - Ports или в консоли:\n1/interface bridge port 2add bridge=bridge2 interface=wlan2 После чего назначим ему IP-адрес, для гостевой сети следует выбрать отдельный диапазон адресов, не пересекающийся с вашими сетями, в нашем примере это будет 192.168.134.0/24, адресом роутера в этом случае будет 192.168.134.1. Откроем IP - Addresses и добавим новый адрес, его следует указать в формате 192.168.134.1/24 (что соответствует маске 255.255.255.0), в поле Interface выберите интерфейс созданного на предыдущем шаге сетевого моста, у нас это bridge2. Или выполните в терминале:\n1/ip address 2add address=192.168.134.1/24 interface=bridge2 network=192.168.134.0 Если вам нужно несколько гостевых сетей с разным уровнем доступа, то создайте нужное количество виртуальных сетевых интерфейсов и мостов (по одному для каждой сети), а также присвойте каждой сети свой диапазон адресов.\nНастройка базовых сетевых служб: DHCP, DNS, NAT Для настройки DHCP-сервера воспользуемся мастером, для этого перейдем в IP - DHCP Server - DHCP и нажмем кнопку DHCP Setup, в открывшемся мастере выберем интерфейс - bridge2 и последовательно ответим на ряд вопросов, задав сеть, пул адресов, адрес шлюза и т.д. А вот при указании DNS-сервера следует подумать, мы можем указать адрес роутера и использовать уже имеющуюся на нем службу, но в ряде случаев это может быть нежелательно, например, у вас имеются записи для внутренних служб, и вы не хотите их утечки во внешнюю сеть. Либо вам нужно дополнительно фильтровать содержимое, отдаваемое гостевым пользователям. В этом случае в качестве DNS-сервера можно указать адрес любого публичного сервиса, который подходит под ваши требования.\nС другой стороны собственный DNS сервер позволяет самостоятельно блокировать некоторые ресурсы, более подробно вы можете прочитать об этом здесь.\nПосле завершения работы мастера откройте созданную запись в IP - DHCP Server - DHCP и установите флаг Add ARP For Leases, теперь сервер будет динамически добавлять MAC-адреса клиентов, получивших аренду в ARP-таблицу, чтобы они могли работать в гостевой сети. По окончании аренды такая запись будет удалена и даже если клиент перенастроил свое устройство на статический адрес через некоторое время он потеряет доступ к сети. В связи с этим обратите внимание на параметр Lease Time, который задает время аренды адреса, по умолчанию это 10 минут, вполне разумный интервал, но вы можете как увеличить его (если это сеть для личных устройств сотрудников) или уменьшить, чтобы ускорить освобождение адресов. Чтобы настроить DHCP-сервер в терминале выполните:\n1/ip pool 2add name=dhcp_pool2 ranges=192.168.134.100-192.168.134.199 3/ip dhcp-server network 4add address=192.168.134.0/24 dns-server=192.168.134.1 gateway=192.168.134.1 5/ip dhcp-server 6add add-arp=yes address-pool=dhcp_pool2 disabled=no interface=bridge2 name=dhcp2 Для того, чтобы клиенты гостевой сети могли выходить в интернет, следует настроить NAT, перейдем в IP - Firewall - NAT и создадим новое правило: Chain - srcnat, Src. Address - 192.168.134.0/24 - диапазон гостевой сети, Out. Interface - внешний интерфейс, через который осуществляется выход в интернет, в нашем случае ether5. На закладке Action ставим действие masquerade. Или в терминале:\n1/ip firewall nat 2add action=masquerade chain=srcnat out-interface=ether5 src-address=192.168.134.0/24 Теперь самое время сделать небольшую паузу и попробовать подключиться к нашей гостевой Wi-Fi сети, убедитесь, что устройство получает адрес и у него есть доступ в интернет. Если вы нигде не ошиблись - все должно работать.\nИзолируем гостевую сеть при помощи брандмауэра Гостевая Wi-Fi сеть работает - и это хорошо, теперь самое время принять кое-какие меры безопасности. Прежде всего изолируем ее от основной сети. Открываем IP - Firewall - Filtres и создаем следующее правило: Chain - Forward, In. Interface - bridge2, Out. Interface - bridge1, на закладке Action ставим действие drop, тем самым полностью запретив транзитный трафик из гостевой сети в основную (bridge1). В терминале:\n1/ip firewall filter 2add action=drop chain=forward in-interface=bridge2 out-interface=bridge1 Теперь изолируем от гостевой сети сам роутер, все что нужно от него клиентам - это получение IP-адреса по DHCP и доступ к DNS-серверу устройства, ничего больше видеть они не должны. Ок, разрешаем доступ к DHCP-серверу, создаем еще одно правило: Chain - input, Protocol - udp, Dst. port - 67, In. Interface - bridge2, так как действие по умолчанию accept - просто сохраняем правило. Если вы предоставляете гостям собственный DNS, то добавьте еще одно такое-же правило, но измените номер порта на 53 UDP, на котором работает служба имен, если же раздаете адреса внешних DNS-серверов, то открывать доступ к созданному не нужно. Затем создадим запрещающее правило, оно очень простое: Chain - input, In. Interface - bridge2, на закладке Action ставим действие drop. Теперь все остальные запросы к роутеру будут отклоняться.\nЭтот же набор правил в терминале:\n1/ip firewall filter 2add action=accept chain=input dst-port=67 in-interface=bridge2 protocol=udp 3add action=accept chain=input dst-port=53 in-interface=bridge2 protocol=udp 4add action=drop chain=input in-interface=bridge2 Это минимальный набор правил для типовой конфигурации, в случае наличия дополнительных сетей и интерфейсов вам может потребоваться создать дополнительные правила с учетом особенностей вашей конфигурации. Общие принципы должны быть понятны из этого раздела: блокируем транзитный трафик из гостевой сети к остальным сетям и изолируем сам роутер.\nОграничение скорости в гостевой сети Гостей может быть много, а исходящий канал не резиновый, тем более что современные мобильные устройства позволяют просматривать видео в высоких разрешениях, что может привести к повышенной нагрузке на сеть. Поэтому мы поступим просто - ограничим скорость гостевой сети, никаких сложных настроек производить не будем, просто сделаем одно ограничение на всех, как оно будет делиться между клиентами нас особо не волнует.\nДля ограничения трафика используются очереди - Queues, обратите внимание, что для работы очередей должен быть отключен Fasttack. Перейдем в Queues - Simple Queues и создадим простую очередь. В поле Target укажем интерфейс гостевой сети - bridge2, Dst - интерфейс выхода в интернет, в нашем случае ether5. В Max Limit укажем ограничения для входящего и исходящего трафика, мы поставили по 10 Мбит/с. В терминале:\n1/queue simple 2add dst=ether5 max-limit=10M/10M name=queue1 target=bridge2 Теперь еще раз подключимся и проверим работу ограничений, несложно убедиться, что все работает так, как задумывалось: Как видим, настроить гостевую Wi-Fi сеть на оборудовании Mikrotik совсем несложно, а широкие возможности RouterOS позволяют существенно повысить уровень ее безопасности, максимально ограничив гостям сетевые возможности.\n","id":"0945a8cdf8b1b662ac17ddd64ece1025","link":"https://interface31.ru/post/nastroyka-gostevogo-wi-fi-na-routerah-mikrotik/","section":"post","tags":["MikroTik","Wi-Fi","Безопасность","Сетевые технологии"],"title":"Настройка гостевого Wi-Fi на Mikrotik для одиночного роутера"},{"body":"Регулярное и своевременное обновление операционной системы является сегодня одной из наиболее важных задач обслуживания, особенно для тех систем, которые непосредственно доступны из сети интернет. Многие Linux-администраторы предпочитают выполнять это действие по старинке - вручную, но это не всегда удобно, особенно если серверов много. Сегодня мы рассмотрим каким образом можно автоматизировать этот процесс, при этом, не теряя нужного уровня контроля над системой.\nСистема автоматических обновлений давно знакома пользователям Windows и далеко не всегда с самой лучшей стороны. Пользователи Linux, а особенно администраторы обычно предпочитают обновлять свои системы вручную, но этот подход нельзя признать современным. Количество угроз и уязвимостей только растет, при этом скорость и масштаб их эксплуатации порой становится действительно пугающим. Поэтому любое ПО, содержащее уязвимости, является серьезной угрозой, сейчас мы уже не говорим \u0026quot;если\u0026quot;, а говорим \u0026quot;когда\u0026quot;, потому что атака на такую систему - это вопрос времени.\nОбновлять системы вручную можно если у вас немного серверов и есть достаточное количество свободного времени, в остальных случаях лучше доверить это дело автоматике, а самому заняться более интересными и полезными делами. Основные аргументы противников автоматического обновления разбиваются о существующую практику - Debain и Ubuntu LTS стабильны и надежны и такой процесс как обновление давно не вызывает каких-либо затруднений. Тем более что большинство обновляют системы вручную командами вроде:\n1apt update -y \u0026amp;\u0026amp; apt full-upgrade -y \u0026amp;\u0026amp; apt autoremove -y Понятно, что при таком подходе состав обновлений не изучается и не анализируется, обновления не тестируются и возможные последствия от ручного выполнения указанных выше команд ничем не будут отличаться от работы автоматики. А если можно что-то не делать руками, то почему бы не действительно не перестать это делать, ведь задач и забот у любого администратора хватает.\nДля автоматизации процесса установки обновлений в системах основанных на Debian разработан механизм Unattended Upgrades, который позволяет не только избавиться от ручной работы, но и достаточно тонко настроить всю эту процедуру, ведь Linux всегда оставляет последнее слово за администратором системы и не склонен своевольничать.\nУстановка и настройка Unattended Upgrades Все, что будет изложено ниже одинаково подходит для любой системы на базе Debian, но есть некоторые отличия, например, в Ubuntu пакет unattended-upgrades может быть уже установлен и все что вам останется - это настроить его под собственные потребности. Поэтому действия по его установке можно пропустить, хотя если вы их все-таки выполните - хуже не будет. Все приведённые ниже действия следует выполнять от имени суперпользователя или через sudo.\nДля установки выполните:\n1apt install unattended-upgrades Затем, для создания первоначальной конфигурации, введите следующую команду:\n1dpkg-reconfigure -plow unattended-upgrades После чего будут созданы и заполнены все необходимые конфигурационные файлы. Затем перейдем в /etc/apt/apt.conf.d и откроем файл 50unattended-upgrades, который содержит основные настройки автоматического обновления. Самый первый и важный вопрос - какие именно обновления мы будем скачивать и устанавливать. Для этого нам нужно указать соответствующие репозитории, более подробно о них вы можете прочитать в нашей статье: Linux - начинающим. Часть 5. Управление пакетами в Debian и Ubuntu.\nВ Debian, если отбросить комментарии, мы увидим следующий список:\n1Unattended-Upgrade::Origins-Pattern { 2 \u0026#34;origin=Debian,codename=${distro_codename},label=Debian\u0026#34;; 3 \u0026#34;origin=Debian,codename=${distro_codename},label=Debian-Security\u0026#34;; 4 \u0026#34;origin=Debian,codename=${distro_codename}-security,label=Debian-Security\u0026#34;; 5}; Что это и откуда взято? Это описания репозиториев, в минимальном варианте нам нужно указать origin - источник и кодовое имя дистрибутива - codename, в его качестве используется переменная ${distro_codename}, которая вернет имя дистрибутива, так для Debian 11 это будет bullseye. Для origin тоже можно использовать переменную ${distro_id}, так, например, сделано в Ubuntu.\nВ зависимости от структуры организации репозиториев может потребоваться также указать метку -label, это используется в Deban, в Ubuntu достаточно источника и кодового имени. На первый взгляд сложно и есть где запутаться, но только на первый взгляд. Все системные репозитории уже перечислены в конфигурационном файле, только часть из них закомментирована. Поэтому добавлять самим ничего не нужно, достаточно только отредактировать блок. И все-таки, откуда взяты все эти параметры? Для их получения выполните команду:\n1apt-cache policy Здесь все достаточно просто: o - origin, n - codename, l - label. Теперь нам не составит труда подключить даже сторонний репозиторий, скажем Nginx, для этого в блок Unattended-Upgrade::Origins-Pattern потребуется добавить строку:\n1\u0026#34;origin=nginx,codename=${distro_codename}\u0026#34;; Следующая опция позволяет задать \u0026quot;черный список\u0026quot; - исключения для пакетов, которые не должны обновляться в автоматическом режиме. Обратите внимание, данная настройка касается только Unattended Upgrades, при ручном запуске обновления данные пакеты будут обновлены. Все параметры опции неплохо описаны в конфигурационном файле и проиллюстрированы примерами. Но все равно немного коснемся синтаксиса. Например, мы создали следующие записи:\n1Unattended-Upgrade::Package-Blacklist { 2 \u0026#34;linux-\u0026#34;; 3 \u0026#34;libc6$\u0026#34;; 4}; Начнем с того, что каждая запись является регулярным выражением, а следовательно, маской, с которой будут сравниваться имена существующих пакетов. Так первая запись исключит из обновляемых все пакеты, которые начинаются на linux-, а вторая только пакет libc6, потому что в конце мы поставили знак явного окончания строки - $, если бы этого не сделали, то libc6 рассматривалась бы как маска и под нее попали бы все пакеты имеющие эту строку в начале, такие как libc6-dev, libc6-amd64 и т.д. и т.п.\nПоэтому, если вы хотите исключить конкретный пакет, то указывайте его имя максимально точно и завершайте знаком окончания строки, в иных случаях не поленитесь проверить, какие еще пакеты попадают под вашу маску, для этого можно использовать известный сервис для работы с регулярными выражениями regex101.com.\nГрамотное сочетание указанных выше опций позволяет достаточно гибко настроить процесс автоматического обновления согласно индивидуальным предпочтениям и обновлять не только стандартные пакеты, но и пакеты из сторонних репозиториев, в т.ч. собственных. А исключения помогут сохранить контроль над потенциально опасными ситуациями, которые администратор предпочитает контролировать вручную, скажем обновления ядра.\nИдем дальше, часть рассматриваемых ниже опций может быть закомментирована, поэтому если вы хотите их использовать, то их следует раскомментировать и установить нужное значение. Опции перечислены в порядке их следования в файле.\nЕсли при попытке обновления возникают ошибки, то система может попытаться их исправить, для этого установите в true следующий параметр:\n1Unattended-Upgrade::AutoFixInterruptedDpkg \u0026#34;true\u0026#34;; Фактически ее установка будет приводить к запуску команды:\n1dpkg --force-confold --configure -a Т.е. ничего необычного она не делает, а указанная выше команда часто используется при появлении проблем с неправильно установленными пакетами или нарушенными зависимостями и обычно она хорошо справляется со своими задачами. Но на наш взгляд такая ситуация является потенциально опасной и лучше оставить ее для ручного разрешения администратором.\nСледующая опция позволяет разделить обновления на минимально возможные порции, чтобы из всегда можно было прервать при помощи SIGTERM. Это замедляет процесс, но делает его более безопасным и позволяет спокойно выключить компьютер в процессе обновления, например, по сигналу источника бесперебойного питания.\n1Unattended-Upgrade::MinimalSteps \u0026#34;true\u0026#34;; Автоматическое обновление производится по умолчанию в фоновом режиме, можно изменить такое поведение и устанавливать обновления при выключении компьютера, данная опция может быть полезна при обслуживании рабочих станций, для серверов это, наоборот, может сослужить дурную службу, так как вместо быстрой перезагрузки вы можете получить продолжительный процесс обновления.\n1Unattended-Upgrade::InstallOnShutdown \u0026#34;true\u0026#34;; Любая автоматизированная система должна уметь уведомлять о результатах своей работы, традиционным каналом для уведомлений является электронная почта. Укажем адрес для получения сообщений:\n1Unattended-Upgrade::Mail \u0026#34;admin@examlpe.com\u0026#34;; Теоретически Linux умеет сам отправлять почту и для этого не нужно сложных настроек, но фактически большинство современных почтовых систем будут отклонять такую почту как нежелательные сообщения, настройка же полноценного почтового сервера ради нескольких уведомлений явно не имеет никакого смысла, поэтому для отправки почты проще использовать внешние почтовые сервисы. Для этого укажем от имени кого системе следует отправлять почту, используйте свой адрес в публичной почтовой системе, через которую вы хотите работать. Следующую опцию в файл следует добавить:\n1Unattended-Upgrade::Sender \u0026#34;my_account@gmail.com\u0026#34;; Теперь укажем, какие именно уведомления мы хотим получать, доступны три варианта: always - всегда, only-on-error - только при ошибках или on-change - при изменениях (т.е. если были обновления). На наш взгляд наиболее удобный вариант - сообщать только об ошибках, так как в противном случае внимание через некоторое время притупляется и действительно важное сообщение можно пропустить.\n1Unattended-Upgrade::MailReport \u0026#34;only-on-error\u0026#34;; Будем ли мы автоматически удалять старые ядра и связанные с ними пакеты? Конечно, да, особенно если у вас отдельный /boot небольшого размера.\n1Unattended-Upgrade::Remove-Unused-kernel-Packages \u0026#34;true\u0026#34;; Следующие две опции указывают что делать с неиспользуемыми пакетами, которые были установлены автоматически. Первая из них подразумевает удаление только новых неиспользуемых пакетов, которые возникли после обновления:\n1Unattended-Upgrade::Remove-New-Unused-Dependencies \u0026#34;true\u0026#34;; Вторая подразумевает удаление всех неиспользуемых пакетов, в том числе возникших после действий пользователя:\n1Unattended-Upgrade::Remove-Unused-Dependencies \u0026#34;true\u0026#34;; По своему действию она аналогична команде:\n1apt autoremove Вы должны выбрать какую-либо одну из них.\nЕсли обновления предполагают перезагрузку (например, пришло новое ядро), то можно разрешить автоматически перезагружать систему, для этого используйте опцию:\n1Unattended-Upgrade::Automatic-Reboot \u0026#34;true\u0026#34;; Вместе с ней можно использовать следующий параметр, разрешающий перезагрузку при активных пользовательских сессиях в системе, но будьте осторожны, это может привести к нежелательным последствиям.\n1Unattended-Upgrade::Automatic-Reboot-WithUsers \u0026#34;true\u0026#34;; Ну и наконец имеется возможность указать время перезагрузки:\n1Unattended-Upgrade::Automatic-Reboot-Time \u0026#34;02:00\u0026#34;; При эксплуатации виртуальных серверов в других локациях будет не лишним проверить, что на них правильно настроено время и часовой пояс, иначе можно получить перезагрузку совсем не тогда, когда она запланирована. Для настройки времени можно воспользоваться командой:\n1dpkg-reconfigure tzdata Остальные опции файла мы рассматривать не будем, они не являются критически важными и касаются ограничения скорости скачивания обновлений и логирования, в подавляющем большинстве случаев их можно оставить по умолчанию, тем не менее они отлично прокомментированы и разобраться с ними самостоятельно не должно составить труда.\nСохраним изменения конфигурации и откроем второй конфигурационный файл /etc/apt/apt.conf.d/20auto-upgrades, который отвечает за периодичность обновлений. По умолчанию в нем присутствуют две опции:\n1APT::Periodic::Update-Package-Lists \u0026#34;1\u0026#34;; 2APT::Periodic::Unattended-Upgrade \u0026#34;1\u0026#34;; Они указывают как часто обновлять список пакетов и с какой периодичностью проводить обновления, число означает количество дней. С приведенными настройками обновления будут проверяться и устанавливаться ежедневно.\nТакже вам может быть интересна опция, позволяющая только скачивать обновления, без их установки:\n1APT::Periodic::Download-Upgradeable-Packages \u0026#34;1\u0026#34;; С ее помощью вы можете организовать только скачивание обновлений, оставив их установку за администратором.\nДля очистки кеша скачанных пакетов используйте следующую настройку:\n1APT::Periodic::AutocleanInterval \u0026#34;7\u0026#34;; В данном случае период очистки установлен как 7 дней.\nКак видим, Unattended Upgrades позволяет достаточно гибко настроить процесс обновления, контролируя все его этапы от и до с нужной степенью автоматизации, в зависимости от собственных предпочтений.\nНастройка отправки уведомлений через публичные почтовые службы Как мы уже говорили выше отправка почты средствами самого сервера в настоящее время не оправдана, без серьезных настроек, в том числе и внешних сервисов (DNS-записи), такая почта будет очень многими получателями восприниматься как нежелательная, поэтому мы будем использовать публичные почтовые службы, также можно использовать собственный почтовый сервер.\nДля этого установим SMTP-клиент, который прозрачно заменяет sendmail и позволяет отправлять системную почту через внешний почтовый сервер:\n1apt install ssmtp mailutils Затем откроем файл /etc/ssmtp/ssmtp.conf и приступим к редактированию параметров, благо их немного.\nСначала укажем получателя для системной почты (все пользователи с идентификаторами \u0026lt; 1000):\n1root = admin@examlpe.com Если вы не хотите выполнять перенаправление, то оставьте эту опцию пустой.\nРазрешим изменять отправителя в поле From, для этого раскомментируйте и приведите к следующему виду опцию:\n1FromLineOverride=YES Если этого не сделать, то система будет отправлять письма от имени root@hostname, которые будут отклоняться почтовым сервером.\nВ некоторых случаях вам потребуется правильно указать в опции hostname имя хоста, желательно FQDN, но в большинстве случаев все работает с автоматически подставленным туда значением.\nЭто были общие параметры, а теперь настроим работу с конкретными почтовыми службами.\nНачнем с почтового сервиса Google:\n1mailhub=smtp.gmail.com:587 2 3AuthUser=my_account@gmail.com 4AuthPass=mY_pa$$word_1 5UseTLS=YES 6UseSTARTTLS=YES 7TLS_CA_File=/etc/pki/tls/certs/ca-bundle.crt Настройки достаточно простые и не требуют подробных пояснений. В опции mailhub указываем адрес и порт почтового сервера, ниже идут учетные данные и параметры шифрования.\nДля того, чтобы вы могли выполнять отправку почты вам также потребуется разрешить доступ ненадежным приложениям в настройках Аккаунта Google. Если ограничиться отправкой сообщений от Unattended Upgrades, то на этом настройку можно закончить, но мы советуем еще создать алиасы для системных пользователей, чтобы с почтой могли работать и другие службы. Для этого откроем /etc/ssmtp/revaliases и внесем туда следующую строку:\n1root:my_account@gmail.com:smtp.gmail.com:587 Это означает что пользователю root соответствует аккаунт my_account@gmail.com на сервере smtp.gmail.com:587 и отправку почты следует производить через него.\nДля почты Яндекса настройки будут немного другие:\n1mailhub=smtp.yandex.ru:465 2 3AuthUser=my_account@yandex.ru 4AuthPass=mY_pa$$word_1 5UseTLS=YES 6TLS_CA_File=/etc/pki/tls/certs/ca-bundle.crt Если же вы используете Яндекс ПДД (она же Яндекс Коннект или Яндекс 360 для бизнеса) то настраивать соединение следует так:\n1mailhub=smtp.yandex.ru:587 2 3AuthUser=my_account@example.com 4AuthPass=mY_pa$$word_1 5UseTLS=YES 6UseSTARTTLS=YES 7TLS_CA_File=/etc/pki/tls/certs/ca-bundle.crt По приведенным выше примерам вы без особого труда настроите и другие почтовые службы, все что вам потребуется - это уточнить используемые параметры в справке вашего почтового провайдера.\nДля проверки почты выполните:\n1echo \u0026#34;Test\u0026#34; | mail -s \u0026#34;Test\u0026#34; admin@example.com Если все сделано правильно, то вы получите на указанный ящик письмо с темой Test и таким же текстом. Обратите внимание, что для проверки мы использовали системную команду mail, что позволяет быть уверенным, что с почтой смогут успешно работать любые службы.\nВ случае ошибки полезно будет выполнить отладку с получением логов обмена с почтовым сервером, для этого немного изменим команду отправки почты:\n1 echo \u0026#34;Test\u0026#34; | ssmtp -v -s \u0026#34;Test\u0026#34; admin@example.com Теперь весь обмен с сервером как на ладони, что позволяет быстро найти и исправить возможные ошибки настройки.\n","id":"b82784743497971b74a4da76a70afcba","link":"https://interface31.ru/post/nastraivaem-avtomaticheskoe-obnovlenie-pri-pomoshhi-unattended-upgrades-v-debian-ubuntu/","section":"post","tags":["APT","Debian","Ubuntu","Ubuntu Server"],"title":"Настраиваем автоматическое обновление при помощи Unattended Upgrades в Debian / Ubuntu"},{"body":"Архитектура ARM изначально создавалась для мобильных и портативных устройств, где занимает сегодня главенствующие позиции. Но прогресс не стоит на месте и сегодня ARM это не только мобильные устройства, но и эффективные серверные процессоры уровня ЦОД. А чтобы вы сказали, если бы вам предложили опробовать новые серверные процессоры бесплатно? Такая возможность сегодня есть у каждого в рамках облачного сервиса от Oracle, причем предложение доступно как новым пользователям, так и уже использующим бесплатные ресурсы облака Oracle.\nЧто именно предлагает Oracle? Виртуальные сервера на базе 80-ядерных процессоров Ampere Altra с архитектурой Neoverse N1 Cores Arm v8, все ядра работают на максимальной частоте 2,8 ГГц. Также, в отличие от виртуальных машин архитектуры x86-64, где просто предлагается два экземпляра с заранее заданными параметрами, с ARM все сделано по другому.\nКаждый арендатор получает бесплатно первые 3000 часов условных ЦП и 18 000 ГБ-часов в месяц для создания экземпляров Ampere A1 Compute с использованием конфигурации VM.Standard.A1.Flex (эквивалентно 4 условным ЦП и 24 ГБ памяти). Кроме того, каждый арендатор получает бесплатно два экземпляра VM.Standard.E2.1.Micro.\nКаждому пользователю в рамках программы \u0026quot;Всегда бесплатно\u0026quot; выделяется некоторый набор гарантированных ресурсов, если перевести их в понятные пользователю значения, то мы получим 4 OCPU и 24 ГБ памяти, которые мы можем распределить среди своих виртуальных машин. Минимальная конфигурация: 1 OCPU - 6ГБ, при увеличении числа ядер память выделяется пропорционально.\nТеоретически мы можем создать до 4 инстансов в минимальной конфигурации, однако следует учитывать еще одно ограничение: размер загрузочного тома начинается от 50 ГБ, всего в рамках программы \u0026quot;Всегда бесплатно\u0026quot; сейчас предоставляется 200 ГБ, таким образом бесплатная учетная запись ограничена возможностью создать только 4 экземпляра виртуальных машин.\nТаким образом, если вы используете VM.Standard.E2.1.Micro, то наиболее оптимальной стратегией будет создать еще два экземпляра VM.Standard.A1.Flex с конфигурацией 2 OCPU - 12 ГБ. Хотя никто не мешает вам просто использовать 4 виртуальных машины на базе ARM, отказавшись от x86-64 виртуалок.\nДля того, чтобы создать экземпляр на платформе Ampere Altra перейдите к созданию нового экземпляра машины и в разделе Image and shape нажмите Change shape. В открывшемся окне укажите Ampere, ниже выберите VM.Standard.A1.Flex и настройте выделяемые экземпляру ресурсы.\nВ остальном работа с ARM виртуалками ничем не отличается от обычных, разве что при выборе стороннего ПО вам потребуются пакеты под архитектуру aarch64.\nА что с производительностью? Давайте сравним минимальную конфигурацию на ARM и бесплатный экземпляр VM.Standard.E2.1.Micro, начнем с первого:\n1Processor: AMD EPYC 7551 32-Core Processor 2CPU cores: 2 3Frequency: 1996.251 MHz 4RAM: 974Mi 5Swap: - 6Kernel: Linux 5.11.0-1022-oracle x86_64 7 8CPU: SHA256-hashing 500 MB 9 7.477 seconds 10CPU: bzip2-compressing 500 MB 11 17.277 seconds 12CPU: AES-encrypting 500 MB 13 4.297 seconds Не самая производительная конфигурация, но в рамках бесплатного предложения жаловаться не на что. Да и всего 1 ГБ оперативной памяти не даст как следует развернуться. В целом виртуальная машина достаточно сбалансирована и вполне способна выполнять работу в рамках выделенных ресурсов.\nТеперь VM.Standard.A1.Flex с одним процессором:\n1Processor: 2CPU cores: 3Frequency: MHz 4RAM: 5.8Gi 5Swap: - 6Kernel: Linux 5.11.0-1022-oracle aarch64 7 8CPU: SHA256-hashing 500 MB 9 2.037 seconds 10CPU: bzip2-compressing 500 MB 11 5.034 seconds 12CPU: AES-encrypting 500 MB 13 0.648 seconds В задачах вычисления SHA256 хеша и bzip2 архивации ARM быстрее в 3,5 раза, а при работе с шифрованием AES и вовсе в 6,5 раз. Это уже вполне серьезные вычислительные мощности, на уровне коммерческого хостинга и в сочетании с большим объемом оперативной памяти делает бесплатные виртуальные машины на платформе ARM от Oracle очень привлекательными.\nВ заключение коснемся еще одного тонкого момента: после регистрации в течении 30 дней действует пробный период и существует возможность попробовать услуги Oracle Cloud на сумму до $300, так как ресурсы создаваемого экземпляра VM.Standard.A1.Flex жестко не ограничены, то существует возможность выйти за пределы ресурсов, предоставляемых в рамках программы \u0026quot;Всегда бесплатно\u0026quot;.\nТакие виртуальные машины после окончания пробного периода будут остановлены и через 30 дней удалены, если вы не перейдете на платную учетную запись. Чтобы продолжить использование экземпляров Ampere A1 Compute в рамках программы \u0026quot;Всегда бесплатно\u0026quot; потребуется удалить уже существующие и создать новые.\nКак видим, бесплатное предложение от Oracle становится все более интересным, сейчас это уже 4 виртуальных машины, что позволяет создать полноценную персональную облачную инфраструктуру для учебных, личных или тестовых целей.\n","id":"6c89bf8e7419562bb1005270b308a3f0","link":"https://interface31.ru/post/oracle-razdaet-besplatnye-vps-navsegda-teper-na-baze-arm/","section":"post","tags":["ARM","Oracle","VPS","Бесплатно","Производительность","Сайт"],"title":"Oracle раздает бесплатные VPS навсегда, теперь на базе ARM"},{"body":"Задача объединения нескольких сетей в разных офисах одна из наиболее часто встречающихся у системных администраторов. Для ее решения могут использоваться различные виды VPN и туннельных соединений, выбор которых может зависеть от множества требований и условий. Одной из альтернатив туннелям и VPN может служить \u0026quot;чистое\u0026quot; IPsec-соединение, которое имеет как свои достоинства, так и недостатки. В данном материале мы рассмотрим реализацию подобного соединения между сетями офисов (site-to-site) c использованием оборудования Mikrotik.\nIPsec - набор протоколов для обеспечения защиты данных, передаваемых в сетях по протоколу IP. Основным преимуществом IPsec является высокий уровень безопасности, на сегодняшний день он является лучшим протоколом для защиты передаваемых данных. Также следует отметить высокий уровень производительности, при условии достаточного количества вычислительных ресурсов для работы с криптографией. Применительно к устройствам Mikrotik IPsec позволяет получить одни из самых высоких результатов, особенно на устройствах с аппаратной поддержкой шифрования.\nНо есть и недостатки, они тоже достаточно существенны. IPsec сложен, как в настройке, так в понимании его работы, это требует от администратора более глубокого уровня знаний и может вызвать серьезные затруднения при отладке и диагностике неисправностей. Также IPsec не использует интерфейсы, а обрабатывает трафик на основании собственных политик, это также приводит к ряду затруднений, начиная от прохождения трафика через брандмауэр и заканчивая невозможностью применения маршрутизации для таких соединений. Часть сетевых конфигураций легко реализуемых при помощи VPN и туннелей построить при помощи IPsec в принципе невозможно.\nДалее мы рассмотрим объединение двух офисных сетей по представленной ниже схеме: Где LAN 1 с диапазоном 192.168.111.0/24 и LAN 2 - 192.168.186.0/24 - это сети двух офисов, которые мы будем объединять, а 192.168.3.107 и 192.168.3.111 - выполняют роль внешних белых адресов в сети интернет. Наша задача обеспечить прозрачный доступ устройств одной сети в другую через защищенный канал связи.\nНастройка IPsec соединения Соединение IPsec имеет отличия как от предусматривающего клиент-серверную схему VPN, так и от stateless туннелей. В отличие от последних мы всегда можем проверить состояние соединения, но понятие клиента и сервера здесь отсутствует, в IPsec одно из устройств выступает в качестве инициатора (initiator), а второе в качестве ответчика (responder). Эти роли не являются жестко закрепленными и могут меняться между устройствами, хотя при необходимости мы можем закрепить за определенным устройством постоянную роль.\nНапример, это позволяет установить IPsec соединение, когда один из узлов не имеет выделенного IP-адреса, в этом случае ему следует настроить роль инициатора, а второму узлу роль ответчика. В нашем случае подразумевается наличие выделенных адресов с обоих сторон и каждое из устройств может выступать в любой роли.\nНастройку начнем с определения алгоритмов шифрования для каждой фазы соединения. Так как мы соединяем два собственных устройства, то можем не оглядываться на требования совместимости и настроить параметры шифрования на собственное усмотрение. Но без фанатизма, не забываем, что многие устройства Mikrotik достаточно слабые и не имеют аппаратной поддержки шифрования, а те, которые имеют, поддерживают различный набор протоколов.\nТак популярный RB750Gr3 (hEX) поддерживает аппаратное ускорение только SHA1/SHA256 - AES-CBC, а более новый RB3011 уже поддерживает SHA1/SHA256 - AES-CBC и SHA1/SHA256 - AES-CTR. Желание использовать сильные шифры безусловно похвально, но оно не должно опережать возможности имеющегося оборудования.\nПервая фаза - обмен ключами и взаимная идентификация устройств, за ее настройки отвечает раздел IP - IPsec - Profiles, перейдем в него и создадим новый профиль. Для него укажем: Hash Algorithms - sha1, Encryption Algorithm - aes-256, DH Group - ecp384. В поле Name укажем имя профиля, в нашем случае ipsec-sts (site-to-site). 1/ip ipsec profile 2add dh-group=ecp384 enc-algorithm=aes-256 name=ipsec-sts Это достаточно сильные настройки шифров, для устройств без аппаратного ускорения мы бы посоветовали ограничиться aes-128 и modp1024, хотя никто не мешает протестировать желаемые варианты и остановиться на наиболее оптимальном.\nВторая фаза - установление защищённого соединения и передача данных, настройки шифров для нее задаются в IP - IPsec - Proposal, перейдем в данный раздел и создадим новое предложение. Укажем Auth. Algorithms - sha1, Encr. Algorithms - aes-256-cbc, PFS Group - ecp384. 1/ip ipsec proposal 2add enc-algorithms=aes-256-cbc name=ipsec-sts pfs-group=ecp384 В данном примере мы использовали не самые сильные шифры, так режим шифрования CBC является наиболее слабым и при наличии аппаратной поддержки стоит использовать CTR или GCM. Но не забывайте о достаточной разумности, если нагрузка на устройство велика - понижайте уровень шифрования.\nТеперь перейдем в IP - IPsec - Peer и создадим новое подключение. В поле Address указываем внешний адрес второго роутера, в Profile выбираем созданный нами на предыдущем этапе профиль, в нашем случае ipsec-sts, а в поле Exchange Mode указываем IKE2. 1/ip ipsec peer 2add address=192.168.3.111/32 exchange-mode=ike2 name=sts-peer profile=ipsec-sts В целом того, что мы уже настроили достаточно для установления защищенного соединения, но IPsec не VPN и работает по-другому. Для того, чтобы трафик начал шифроваться он должен соответствовать одной из политик IPsec, поэтому перейдем в IP - IPsec - Policies и создадим новую политику. В поле Peer укажем созданное ранее соединение, ниже установим флаг Tunnel для работы соединения в туннельном режиме, в поле Src. Address укажем диапазон собственной сети - 192.168.111.0/24, а в поле Dst. Address - диапазон удаленной сети - 192.168.186.0/24. Затем на закладке Action установите Proposal - ipsec-sts, предложение которое мы создали ранее. Для терминала используйте следующие команды:\n1/ip ipsec policy 2add dst-address=192.168.186.0/24 peer=sts-peer proposal=ipsec-sts src-address=192.168.111.0/24 tunnel=yes Ну и осталось совсем немного - научить узлы идентифицировать друг друга, так как оба роутера контролируются администратором и настроены принимать подключения только от другого узла, то мы будем использовать аутентификацию по предварительному ключу. Перейдем в IP - IPsec - Identities и создадим новую настройку идентификации. Здесь нам нужно заполнить поля: Peer - указываем созданное нами соединение, в нашем случае ipsec-sts, Auth. Method - pre shared key, Secret - предварительный ключ. В качестве предварительного ключа рекомендуется использовать строку с использованием цифр, букв в разных регистрах и специальных символов, сформированных в случайном порядке и с длинной не менее 16-32 символов. Не следует использовать в качестве ключа словарные слова и фразы. Предупреждения внизу окна можно проигнорировать. В терминале:\n1/ip ipsec identity 2add peer=sts-peer secret=\u0026#34;2KuSY2%QKt\\$\\$gs8V9nrERD@V8zAuh\\$3S\u0026#34; На втором узле следует выполнить аналогичные настройки, только в качестве адреса в Peer указав внешний адрес первого роутера, а в Policy поменяв местами сеть источника и сеть назначения.\nНастройка брандмауэра Будем считать, что вы используете нормально закрытый брандмауэр настроенный в соответствии с нашими рекомендациями. Для того, чтобы разрешить входящее IPsec-соединение перейдем в IP - Firewall - Filter Rules и добавим следующие правила. Первое из них разрешает работу протокола обмена ключами IKE: Chain - input, Protocol - udp, Dst. Port - 500,4500, In. Interface - внешний интерфейс, в нашем случае ether1. Второе правило разрешает протокол шифрования полезной нагрузки Encapsulating Security Payload (ESP): Chain - input, Protocol - 50 (ipsec-esp), In. Interface - внешний интерфейс - ether1. Обратите внимание, что мы нигде не указываем действие, потому что по умолчанию все правила имеют в качестве действия accept - разрешить.\nЭти же действия можно быстро выполнить в терминале:\n1/ip firewall filter 2add action=accept chain=input dst-port=500,4500 in-interface=ether1 protocol=udp 3add action=accept chain=input in-interface=ether1 protocol=ipsec-esp Для того, чтобы пакеты из одной сети могли попасть в другую, следует разрешить их транзит. Создадим еще одно правило: Chain - forward, In. Interface - внешний интерфейс - ether1, затем на закладке Advanced укажем IPsec Policy - in:ipsec. Это разрешит транзит любых входящих пакетов, которые попадают под любую установленную политику IPsec. В терминале:\n1/ip firewall filter 2add action=accept chain=forward in-interface=ether1 ipsec-policy=in,ipsec Аналогичные настройки следует выполнить на втором узле.\nОбход NAT и Fasttrack Как мы уже говорили, IPsec не использует интерфейсы, а следовательно, обрабатываемый им трафик, хоть и уходит в защищенный туннель, но продолжает использовать в качестве исходящего внешний интерфейс, что может привести к ряду коллизий. Прежде всего нужно исключить обработку такого трафика правилами snat или masquerade. Для этого перейдем в IP - Firewall - NAT и создадим новое правило: Chain - srcnat, Src. Address - 192.168.111.0/24 - диапазон локальной сети, Dst. Address - 192.168.186.0/24 - диапазон удаленной сети, так как действие по умолчанию accept, то явно его не указываем. Данное правило поднимаем в самый верх, одно должно быть первым в цепочке srcnat. Через терминал добавить его можно следующей командой:\n1/ip firewall nat 2add action=accept chain=srcnat dst-address=192.168.186.0/24 src-address=192.168.111.0/24 place-before=0 Опция place-before=0 позволяет поставить правило в самое начало цепочки.\nЕсли вы используете Fasttrack, то также следует исключить обработку проходящего через IPsec трафика этим механизмом, для этого следует добавить два правила. Первое для трафика из локальной сети в удаленную: Chain - forward, Src. Address - 192.168.111.0/24 - диапазон локальной сети, Dst. Address - 192.168.186.0/24 - диапазон удаленной сети, Сonnection State - established, related. Второе правило для трафика из удаленной сети в локальную, оно полностью повторяет первое, только меняем местами сеть источника (Src. Address) и сеть назначения (Dst. Address).\nВ терминале:\n1/ip firewall filter 2add chain=forward action=accept place-before=0 src-address=192.168.111.0/24 dst-address=192.168.186.0/24 connection-state=established,related 3add chain=forward action=accept place-before=0 src-address=192.168.186.0/24 dst-address=192.168.111.0/24 connection-state=established,related Аналогичные настройки, с учетом адресов, следует выполнить и на втором узле.\nЗаключение После того, как мы завершили процесс настройки перейдем в IP - IPsec - Active Peers и убедимся, что соединение между двумя узлами установлено. Если это не так - еще раз проверяем все настройки и изучаем файл лога, скорее всего у вас не совпадают параметры шифрования или идентификации. Теперь откроем IP - IPsec - Installed SAs. В терминах IPsec - SA (Security Association) - ассоциация безопасности, обозначает установленное защищенное соединение. Для каждого соединения создается отдельная пара SA, так как каждая SA - это однонаправленное соединение, а данные нужно передавать по двум направлениям. Если запустить обмен данными между сетями, скажем пропинговать с узла одной сети узел другой сети, то мы увидим, что данные счетчика Current Bytes начинают меняться, а следовательно, шифрование работает и данные передаются внутри защищенного соединения. Как видим, если хотя бы на базовом уровне понимать принципы действия IPsec, то настроить туннель между двумя сетями относительно несложно. Надеемся, что данный материал будет вам полезен.\n","id":"14909461ee1274acac2a5a0c6ebda9a5","link":"https://interface31.ru/post/nastraivaem-ipsec-tunnel-mezhdu-ofisami-na-oborudovanii-mikrotik/","section":"post","tags":["IPsec","MikroTik","VPN"],"title":"Настраиваем IPsec-туннель между офисами на оборудовании Mikrotik"},{"body":"Не так давно мы делали обзор на ROSA Fresh Desktop 12, собранный на новой платформе 2021.1 после достаточно длительного перерыва и который оставил у нас неоднозначные впечатления. Тем более неожиданным оказался выпуск Fresh Desktop с окружением рабочего стола GNOME, неожиданным потому, что традиционным окружением для Mandriva и ROSA является KDE и несмотря на то, что дистрибутив выпускался с различными оболочками, последние эксперименты с GNOME были в выпуске R9. И вот GNOME возвращается, да не просто возвращается, а в лице самой свежей версии GNOME 40.\nКак мы уже говорили, ROSA - это российский дистрибутив являющий наследником Mandriva Linux, вся разработка которого была выведена в Россию после банкротства компании владельца Mandriva. Таким образом ROSA является полностью независимым дистрибутивом, с собственной пакетной базой и собственной средой разработки и сборки. Это позволяет развивать платформу полностью самостоятельно и не зависеть от других дистрибутивов.\nНо последние годы темпы развития дистрибутива были утрачены и долгое время решения ROSA базировались на порядком устаревшей платформе 2016.1, но в прошлом году дистрибутив получил существенное обновление и новую платформу, а теперь вот выкатил вариант со свежим GNOME. GNOME 40 действительно очень свежая оболочка, практически не нашедшая применения в дистрибутивах первого звена, поэтому это уже очень интересно, а особой пикантности ситуации придает то, что данная оболочка обладает собственными, достаточно оригинальными подходами по организации рабочего пространства и взаимодействия пользователя с ним.\nКак и дистрибутив на базе Plasma, версия с GNOME поставляется в виде LiveCD и имеет инсталлятор, построенный на базе Anaconda, хорошо известный пользователям систем базирующихся на основе RHEL. Какая-либо персонализации инсталлятора отсутствует, нельзя сказать, что это плохо, но узнаваемости системе это не придает. Больше про установку сказать решительно нечего: стандартный инсталлятор, стандартный процесс, стандартный результат. Вход в систему реализован на основе GDM и тоже \u0026quot;стандартный\u0026quot;, можно, конечно, сожалеть, но Linux становится зрелой системой и вырабатывает собственные стандарты, поэтому, если мы создаем систему с прицелом на коммерческое применение, то лучше идти в ногу. Но все меняется после того, как вы войдете в систему. Мы были приятно удивлены, потому что ожидали чего угодно, но только не этого. Но, прежде чем продолжить обзор, сделаем небольшое отступление и посмотрим, как выглядит среда GNOME 40 в первозданном виде, например, в последнем дистрибутиве Fedora. Мягко скажем, понимания об эргономике и удобстве работы в этой среде оригинальные, чего стоит расположение кнопки обзор в левом верхнем углу, после нажатия на которую нужно через весь экран спуститься вниз к доку и кнопке обзора программ. А вот что мы увидели в Fresh Desktop 12, разница, что называется, видна невооруженным глазом. Рабочее пространство сильно переработано и по максимуму унифицировано с Plasma-версией, чтобы пользователю пришлось минимально изменять наработанные привычки. Набор значков фирменный, но это, пожалуй, и все, что визуально говорит нам о том, что это ROSA. Меню также подверглось переработке и упорядочению значков по разделам, это тоже плюс, потому как мобильный подход к размещению значков - все на одном экране с пролистыванием (к чему, кстати, пришла и Windows 11) сильно затрудняет эффективную навигацию, особенно если вы точно не знаете название того, что хотите найти. Конечно, это можно настроить и самому, но гораздо приятнее, когда все сделано из коробки и основные программы уже распределены по привычным категориям. В систему сразу установлены инструменты для тонкой настройки GNOME и множество расширений, которые позволяют вывести оболочку на уровень комфортной работы. В данном случае это удалось, если GNOME 40 в Fedora вызывал только недоумение, а местами глухое раздражение, то ROSA оказалась очень комфортной в использовании. Интерфейс отлично продуман, добавлен сбалансированный набор виджетов: погода, диспетчер задач, снимок экрана и работа с буфером обмена. Не обошло стороной новую версию оболочки и другое модное явление - группировку кнопок панели задач, здесь также, как и Windows 11, объединены уведомления с календарем, и управление звуком, сетью, блокировкой и питанием. Нравится это или нет, но такой подход становится общепринятым и на какое-то время станет основным. Но в целом новый GNOMЕ в варианте от ROSA выглядит свежо, так что система в этот раз полностью оправдывает свое название. Пожалуй, на сегодняшний день это лучший вариант если вы хотите именно GNOME 40, все сделано очень и очень добротно. При этом сам дистрибутив во многом выглядит более целостным и законченным, чем основной вариант с Plasma. Тема оформления только одна - светлая, но это и к лучшему, учитывая тот ужас что творился в Plasma. Родных, еще оставшихся в наследство от Mandriva, утилит нет. Не сказать, что они плохи, скорее наоборот, но на новой платформе они выглядят довольно неопрятно и чужеродно.\nВ этом плане ROSA стремительно теряет собственную индивидуальность и в версии с GNOME это особенно заметно. Фактически от Mandriva мало что осталось, дистрибутив все более стандартизуется и становится одним из RPM-based. Хотя может быть это и неплохо, тот же РЕД ОС 7.3 Муром это прекрасно демонстрирует.\nСкорее всего дело в том, что ROSA - это наследник Mandriva, дистрибутива с большой историей и именно воспоминания и ностальгия приводят ко многим неоправданным ожиданиям. К сожалению, ни ROSA, ни другой форк Mandriva - Mageia так и не смогли продолжить развитие полностью самостоятельной системы и во многом это связано с объективными причинами. Собственный пакетный менеджер - это конечно приятно, но создает дополнительные сложности в освоении, плюс полученный опыт работы будет практически бесполезен за пределами системы, а там везде DNF и APT. Экзотика может привлечь небольшое количество энтузиастов, но если мы хотим широкого распространения системы - то надо соблюдать стандарты.\nА вот с управлением пакетами все пока не очень хорошо, да под капот завезли DNF, и администраторы теперь могут чувствовать себя как дома, чего не скажешь о простых пользователях. Наследие Mandriva показывает себя не с лучшей стороны, dnfdragora выполненный на замену rpmdrake выглядит в наш век магазинов морально устаревшим. А организация каталога вызывает много вопросов, скажем, чем отличаются Игры и Игрушки? Обновление системы фактически вовсе не имеет интерфейса, просто небольшое окно с прогресс-баром. Фактически это еще один инструмент администратора, обычный пользователь вряд ли осилит самостоятельно что-то там найти и установить, особенно с учетом того, что репозитории содержат как 32-х, так и 64-х разрядные версии пакетов. Если ROSA серьезно хочет на десктоп, то магазин - средство первой необходимости.\nВ остальном система мало чем отличается от версии с Plasma, тот же набор достаточно свежего софта, поддержка офисной техники, сетевые возможности, в общем все то, что ожидаешь от современной системы. Но есть и некоторые интересные моменты. Если основным браузером в Plasma-версии был Chromium, то здесь это Firefox, а также неожиданно в системе нашелся ROSA Media Player - собственная разработка на базе MPlayer с весьма неплохим набором функций и поддержкой IPTV. Этот момент еще раз показывает неопределенность дальнейшего развития системы, так как серьезно виден подход к унификации версий, будем надеяться, что собственные решения от ROSA все-таки останутся.\nВыводы Если говорить о ROSA Fresh Desktop 12 Gnome - то можно признать, что система удалась. Это одна из лучших реализаций GNOME 40, которую мы видели. Оболочка качественно настроена и приведена в то состояние, когда можно просто включить и работать, не тратя время на ее настройку. Если вы хотите чего-то свежего - то рекомендуем попробовать.\nА вот дальше напрашиваются не самые веселые мысли. То, что дистрибутив живет и развивается - это хорошо, а вот то, что он становится все более стандартным - это и хорошо и плохо. Хорошо - потому что пользователь получает одинаковый пользовательский опыт, а плохо потому, что Mandriva все-таки дистрибутив с историей.\nНо это лирика, факты говорят о том, что развивать и поддерживать что-то свое и оригинальное это удел немногих. Проблемы наследия Mandriva обозначили себя не вчера, это было понятно давно, очень давно, но ROSA долгое время ничего не делала для их исправления, хотя, скажем честно, то и Mageia тоже не сильно преуспела, dnfdragora - это как раз их творчество. В итоге оказалось, что все это проще выбросить и взять готовое из иных открытых проектов.\nС другой стороны, собственная платформа нужна для возможности независимо развивать и собирать продукт, не оглядываясь на вышестоящие дистрибутивы, а не для каких-то собственных оригинальностей, особенно если это система для работы. В любом случае то, что ROSA куда-то начала двигаться радует, а там - время покажет.\n","id":"31149a357b17db70240e9191e9cde018","link":"https://interface31.ru/post/rosa-fresh-desktop-12-gnome-dlya-teh-komu-hochetsya-svezhesti/","section":"post","tags":["Linux","Mandriva","ROSA","Импортозамещение"],"title":"ROSA Fresh Desktop 12 Gnome - для тех, кому хочется свежести"},{"body":"Виртуализация плотно вошла в нашу жизнь, предоставляя широкие возможности даже небольшим организациям, вместе с тем появляются и новые сложности, одна из них - эффективное резервное копирование виртуальной инфраструктуры. А так как количество копируемых данных только растет также остро встает вопрос эффективного использования пространства хранения и нагрузки на каналы связи. Многие из этих вопросов позволяет решить новый продукт от компании Proxmox - Backup Server, который прекрасно дополняет собственные решения по виртуализации.\nПочему именно Backup Server, что такого, чего нет в существующих решениях предоставляет данная разработка? Proxmox Virtual Environment имеет собственные средства резервного копирования, построенные на базе vzdump. Они просты и надежны, но все их достоинства на этом заканчиваются. По сути, штатные средства умеют только создавать дамп в выбранное хранилище, в том числе и сетевое, но остальное - это уже отдельная забота системного администратора. Если нод или кластеров несколько, то каждый из них имеет собственные настройки резервного копирования, собственные хранилища и т.д. и т.п. Нет никакой общей точки управления бекапами.\nProxmox Backup Server такую общую точку предоставляет, теперь вы можете видеть все свои резервные копии в одном месте и централизованно управлять ими. Но централизация - важное, но не единственное преимущество нового продукта. Так vzdump не умеет создавать инкрементные копии, каждый раз создавая полный образ виртуальной машины или контейнера. Даже если у вас достаточно места на устройствах хранения, то все равно остается вопрос нагрузки на каналы связи, особенно если резервные копии нужно делать в рабочее время или технологическое окно невелико.\nProxmox Backup Server использует собственный формат резервных копий и полностью поддерживает инкрементное копирование, теперь по сети будут передаваться только измененные данные виртуальной машины, что позволяет не только снизить трафик, но и ускорить сам процесс копирования. Теперь копии можно делать чаще и быстрее, что только положительно скажется на надежности инфраструктуры.\nВторая существенная проблема современных информационных систем - постоянно растущий объем данных и виртуализация только подливает масла в огонь. Вместо одной системы с множеством сервисов мы получаем множество систем с индивидуальным сервисом в каждой, каждая из которых нуждается в резервном копировании и содержит пересекающиеся с другими системами данные - системные файлы и библиотеки, которые одинаковы в однотипных машинах. Решение этой проблемы придумано достаточно давно - дедупликация и Proxmox Backup Server ее поддерживает.\nТолько этих двух возможностей уже достаточно, чтобы задуматься о внедрении, но это далеко не всё, мы не будем пересказывать документацию полностью, но коснемся каких-то из них в данной статье, а что-то оставим за кадром, так как их рассмотрение предмет отдельного материала.\nУстановка Proxmox Backup Server Установка Proxmox Backup Server не представляет особой сложности, продукт имеет фирменный инсталлятор, прекрасно знакомый любому, кто работал с Proxmox. Запутаться там решительно негде, все что вам понадобится - это указать ряд параметров: имя системы, сетевые настройки, часовой пояс. Отдельное внимание следует уделить настройке дисковой подсистемы, тонких настроек инсталлятор не предоставляет, поэтому мы советуем выполнить установку в минимальной дисковой конфигурации - на одиночный диск или зеркало, а систему хранения сконфигурировать уже после установки. Поддерживаются ext4, XFS и ZFS, но мы не советуем использовать XFS без веских на то оснований, так как эта файловая система имеет ряд существенных недостатков: невозможность уменьшить размер файловой системы и трудности с восстановлением данных. Общие рекомендаций по организации системы хранения дать сложно, но чаще всего имеет смысл разделять систему, вынося ее на отдельные высокоскоростные диски (NVMe, SSD), и собственно хранилище, собранное из дисков подходящей емкости. Для системы мы предпочитаем использовать ext4, как наиболее простую и понятную файловую систему, а для хранилища ZFS.\nПервоначальная настройка Proxmox Backup Server После установки вам будет доступен веб-интерфейс сервера резервного копирования по адресу https://\u0026lt;адрес_сервера\u0026gt;:8007, в качестве адреса можно использовать как IP-адрес, так и FQDN имя. Обратите внимание, что в отличие от Proxmox VE, который использует порт 8006, Backup Server использует порт 8007. Русский язык присутствует, но перевод выполнен частично. Сам интерфейс реализован в привычном ключе и не должен вызвать затруднений в работе. Но перед тем, как начинать настройку сервера нужно выполнить некоторые подготовительные действия, прежде всего нужно отключить коммерческий репозиторий Proxmox и подключить репозиторий без подписки. Для отключения удалим файл репозитория из источников адресов apt:\n1rm -f /etc/apt/sources.list.d/pbs-enterprise.list И создадим новый файл с адресом некоммерческого репозитория:\n1echo \u0026#34;deb http://download.proxmox.com/debian/pbs bullseye pbs-no-subscription\u0026#34; \u0026gt; /etc/apt/sources.list.d/pbs-no-subscription.list Теперь получим список пакетов и обновим систему, это можно сделать как в консоли, так и в графической оболочке. В этом случае, если вы используете русский язык, у вас будет две кнопки Обновить, которые выполняют различные действия: первая обновляет список пакетов (Update), вторая обновляет систему (Upgrade), эти действия нужно выполнить последовательно. Либо откройте консоль и выполните:\n1apt update 2apt full-upgrade После обновления систему следует перезагрузить.\nСледующим шагом следует настроить хранилище, для этого перейдите в раздел Administration - Storage / Disks где будут показаны все ваши физические диски на которых вы можете создать различные конфигурации системы хранения. Раздел Directory предназначен для управления файловыми системами ext4 и XFS, но наиболее гибко управлять хранилищем и создавать отказоустойчивые конфигурации можно только посредством ZFS, и мы не видим причин делать иначе. Конкретные рекомендации по организации системы хранения дать сложно, все зависит от типа, объема и количества используемых дисков, а также предполагаемой нагрузки и объема хранимых данных. Но в любом случае мы бы советовали присмотреться к RAIDZ, это оригинальная реализация RAID-массива от ZFS, продолжающая заложенные в RAID-5 идеи, но избавленная от многих его недостатков. В данном случае RAIDZ массивы являются наиболее оптимальными по сочетанию производительности и надежности хранения, цифра в наименовании массива показывает отказ какого количества дисков одновременно он способен выдержать. Так RAIDZ-1 допускает выход одного жесткого диска, а RAIDZ-3 - сразу трех.\nУправление хранилищами данных Для размещения резервных копий Proxmox Backup Server использует хранилища данных (Datastore)- это дополнительный уровень абстракции, представляющий собой особым образом организованную директорию в пределах существующей файловой системы. Каждое хранилище имеет собственные настройки глубины хранения, очистки, дедупликации, наборы прав доступа и т.д. Количество хранилищ не ограничено, но вы должны создать как минимум одно.\nХранилища отвечают за логическую структуру хранения данных и поэтому подходить к их организации следует ответственно. Не стоит сваливать все в одну кучу, лучше всего грамотно разделить однотипные объекты по различным хранилищам, не забывая при этом о разграничении прав доступа, если такой вопрос актуален.\nДопустим у нас есть два хранилища в каждом из которых мы храним виртуальную машину и контейнер. Будет ли работать дедупликация? Практически нет, потому что одинаковые данные расположены в различных хранилищах, а вот если мы в одном хранилище будем держать однотипные VM, а во втором - контейнеры, то сразу получим преимущества от дедупликации, плюс получим более стройную и упорядоченную логически систему хранения.\nВ нашем случае мы создадим два хранилища: одно для контейнеров с Linux, второе для виртуальных машин с Mikrotik CHR. Для того чтобы добавить хранилище выберем Add Datastore и заполним ряд необходимых полей: Name - имя хранилища, может быть произвольным, но желательно чтобы оно отражало содержимое хранилища, в дальнейшем имя будет использоваться как идентификатор хранилища, Backing Path - абсолютный путь к каталогу, в котором вы хотите создать хранилище, если путь не существует, то он будет создан. GC Schedule - периодичность выполнения сборки мусора, фактически выполняет задачу дедупликации, Prune Schedule - периодичность очистки хранилища от устаревших резервных копий. Отдельное внимание следует уделить опциям очистки устаревших копий - Prune Options, их можно настроить как сразу, так и потом, либо изменить в любое удобное время. Опций немного, но необходимо четко понимать механизм их действия, чтобы избегать разных неожиданностей. Как видим нам доступны опции, в которых мы можем указать количество последних копий за различные периоды и общее их количество. Каким образом эти настройки сочетаются?\nВсе просто, задание очистки обрабатывает их последовательно, в порядке перечисления, уже обработанные копии из дальнейшей обработки исключаются:\nKeep Last - Хранить последние снимки резервных копий. Keep Hourly - Хранить резервные копии за последние часов Keep Daily - Хранить резервные копии за последние дней. Keep Weekly - Хранить резервные копии за последние недель. Недели начинаются в понедельник и заканчиваются в воскресенье. Keep Monthly - Хранить резервные копии за последние месяцев. Keep Yearly - Хранить резервные копии за последние лет. Если за один период создается более одной резервной копии, сохраняется только последняя.\nДля того, чтобы лучше понять принцип действия алгоритма рекомендуем воспользоваться Симулятором очистки, давайте зададим следующие параметры: хранить 4 последних копии, копии за последние 4 часа, последние 2 дня и последнюю неделю. Периодичность копирования - один раз в шесть часов. Теперь внимательно изучим результат: С первой опцией все понятно - храним 4 последних копии, а вот с последними 4 часами есть тонкость - наши копии делаются раз в шесть часов, т.е. не попадают под условие очистки, точнее наоборот, попадают, возможно все, так как 4-х часовой интервал будет рассчитываться от последней сохраненной по предыдущему правилу копии. Но в этом случае разработчики решили расширить действие правила, и оно также захватит 4 последних копии, хотя фактически это будет 24-х часовой интервал. Далее мы видим две дневные и одну недельную копию. Все ровно так, как мы и задали: 4 - 4 -2 - 1, т.е. в любом случае сервер будет хранить резервные копии в количестве не менее указанного, даже если они выходят за интервал хранения. На наш взгляд - это правильно, лучше иметь резервную копию, нежели не иметь ее.\nТакже обратите внимание, что наличие задания очистки вовсе не обозначает его обязательного соблюдения, так как следует соизмерять заданные в нем интервалы с периодичностью выполнения задания. Скажем, если вы создаете копии каждый час, но выполняете задание только раз в сутки, то реальное количество хранимых копий будет отличаться от расчетного.\nУправление пользователями После установки в системе есть единственный пользователь - root, который также является суперпользователем системы, понятно, что работать от него нежелательно, а тем более указывать его учетные данные на сторонних узлах, которые будут подключаться к серверу резервного копирования. Также может стоять задача разделения доступа к данным, чтобы администраторы одной системы не имели доступа к копиям других систем. Все это важно, так как сервер может хранить самую разную по критичности доступа к данным информацию, а утечка резервной копии ничем не отличается от утечки данных с рабочего сервера.\nПоэтому кроме разделения данных по разным хранилищам также следует настроить различные права доступа к ним. Proxmox Backup Server поддерживает две области аутентификации (Realms): стандартную Linux PAM, которая включает системных пользователей и pbs - область аутентификации Backup Server, этот тип пользователей не регистрируется в системе и не может войти в нее, а существует только в пределах сервера резервного копирования, что обеспечивает более высокую степень безопасности.\nДля создания пользователей следует перейти в Configuration - Access Control - User Management, а сам процесс не представляет какой-либо сложности, существует ограничение на длину имени - не менее 5 символов. Обратите внимание, что все создаваемые при помощи веб-интерфейса пользователи будут включены в область аутентификации pbs, если вам нужен пользователь с областью аутентификации pam - его следует создать средствами операционной системы. По умолчанию пользователям не назначаются никакие права, это нужно сделать самостоятельно, для этого можно воспользоваться вкладкой Permissions, но если мы хотим задать права доступа к хранилищам, то удобнее пойти другим путем.\nСнова вернемся в Datastore, выберем интересующее нас хранилище и в его свойствах перейдем на вкладку Permissions, где добавим нужного нам пользователя и укажем назначенный ему уровень прав. Существует достаточно сбалансированная система ролей, начиная от роли Admin, которому можно все и заканчивая ролью Audit, которая ограничена только чтением настроек и не имеет доступа к реальным данным. Если мы говорим о хранилище, то следует выбрать одну из следующих ролей:\nDatastoreAdmin - полный доступ к хранилищу данных. DatastoreAudit - может просматривать настройки хранилища данных и содержимое. Не разрешено читать фактические данные (восстанавливать данные). DatastoreReader - может проверять содержимое хранилища и выполнять восстановление. DatastoreBackup - может создавать резервные копии и восстанавливать собственные резервные копии. DatastorePowerUser - может создавать резервные копии, восстанавливать и удалять собственные резервные копии. Для примера выполним вход пользователем, для которого мы указали роль DatastoreAdmin, он будет иметь доступ только к собственному хранилищу и будет иметь возможность создать новое хранилище, также для него существует возможность создавать новых пользователей и выдавать им права на те объекты, которые ему доступны. Доступа к настройкам других пользователей или системы он не имеет, а при попытке получить доступ ему будет выведено сообщение об ошибке 403 Forbidden. При этом система ролей достаточно гибкая и позволяет назначать одному пользователю несколько ролей, гибко регулируя его возможности в системе. Однако более подробное рассмотрение этой темы выходит за пределы данной статьи.\nПодключение Proxmox Backup Server к Virtual Environment Теперь, когда хранилища настроены и пользователи созданы самое время подключить наш сервер резервного копирования к гипервизору и настроить их совместную работу. Все современные версии Proxmox Virtual Environment поддерживают работу с Backup Server \u0026quot;из коробки\u0026quot;, но в любом случае мы советуем обновить пакеты гипервизора до самой последней версии.\nДля подключения перейдем на уровень Датацентр - Хранилища - Добавить и в выпадающем списке выберем Proxmox Backup Server. Диалог добавления в целом понятен: указываем идентификатор хранилища, его можем выбрать произвольно, но желательно задавать осмысленные имена, адрес сервера можно указать как по IP, так и по FQDN, имя пользователя с обязательным указанием области аутентификации, т.е. root@pam или user_1@pbs, в поле Datastore указываем идентификатор хранилища, к которому подключаемся. Отдельного разговора заслуживает поле Отпечаток, о нем ниже. При подключении хранилища мы должны убедиться в подлинности сервера резервного копирования, это можно сделать различными способами, один из них - проверка отпечатка сертификата, который остается неизменным на весь период действия последнего и позволяет однозначно подтвердить его подлинность. Получить отпечаток можно перейдя в Панель мониторинга (Dashboard) Proxmox Backup Server и нажав в верхнем правом углу кнопку Show Fingerprint. Если все сделано правильно, то хранилище будет добавлено в список доступных для этого датацентра (или отдельной ноды, если при подключении вы указали ограничения в поле Узлы) и его можно использовать для настройки резервного копирования штатными средствами. Если у вас есть уже настроенные задания то их можно легко перенаправить на Proxmox Backup Server просто изменив хранилище в настройках. Как видим, ничего сложного в интеграции Proxmox Backup Server в уже существующую инфраструктуру нет, все максимально просто и прозрачно, все что вам понадобится - это добавить сервер в хранилища датацентра. Сам процесс создания и восстановления резервных копий остается прежним.\nУправление резервными копиями Теперь, когда мы все настроили и проверили самое время посмотреть какие возможности предоставляет Proxmox Backup Server и ради чего все это затевалось. Начнем со статистики, она ведется для каждого хранилища и показывает не только объем занятого пространства, но и скорости обмена с дисками, количество и задержки операций ввода-вывода, что очень важно, так как позволяет непосредственно контролировать производительность хранилища, понимать и избегать узких мест. Единственный момент, который следует учитывать - это параметр Storage usage, который показывает занятое и доступное свободное место не в хранилище, а в файловой системе, где расположено хранилище и если у вас в пределах одной файловой системы расположено несколько хранилищ, то этот показатель будет везде одинаков.\nВкладка Content содержит список резервных копий, находящихся в хранилище, он имеет древовидную структуру на уровне виртуальных машин / контейнеров, которые разворачиваются списком копий для этой машины. Для каждой копии доступны персональные действия: создать комментарий, выполнить верификацию, установить защиту, удалить. Для виртуальной машины или контейнера можно сменить владельца или выполнить очистку устаревших копий. При этом можно задать отличные от настроек хранилища параметры и сразу увидеть предполагаемый результат. Данную возможность можно использовать вместо симулятора очистки для проверки настроек на реальных данных. Установка защиты - параметр Protection - предотвращает удаление резервной копии при очистке и исключает ее из расчетов количества хранящихся копий, рекомендуется использовать для важных бекапов, скажем перед существенными изменениями, которые можно будет использовать впоследствии как эталон или источник сравнения. Все мы знаем, что резервные копии мало создавать и хранить, нужно еще обеспечивать их целостность и регулярно выполнять такие проверки. Файлы резервной копии могут быть повреждены при передаче, либо может возникнуть ошибка в системе хранения, для \u0026quot;холодных\u0026quot; данных это особенно актуально, так как о возникновении такой ошибки мы узнаем только тогда, когда попробуем прочитать файл.\nProxmox Backup Server позволяет эффективно избегать подобных ситуаций, для этого вместе с каждой резервной копией создается файл-манифест index.json который содержит контрольные суммы для каждого файла резервной копии, а процесс верификации заново вычисляет контрольные суммы хранящихся файлов и сравнивает их с манифестом, если они совпали - то копия является целостной. Такие проверки следует выполнять регулярно и настроить их можно на вкладке Verify Jobs, настройки по умолчанию подразумевают ежедневную верификацию и повторную проверку верифицированных копий раз в месяц, что позволить вовремя выявить проблемы с отказом устройств хранения или возникновения ошибок на них. Также вы можете выполнить верификацию вручную, не дожидаясь срабатывания задания, выбрав один из вариантов на вкладке **Content,**можно проверить все хранилище, отдельную виртуальную машину / контейнер, либо отдельную копию.\nСледующая вкладка Prune \u0026amp; GC отвечает за очистку и сборку мусора. Про очистку сказано достаточно, поэтому остановимся на последней операции. Сборка мусора представляет собой процесс дедупликации, в это время анализируется содержимое, общие блоки помещаются в специальное хранилище и заменяются ссылками на них. Процесс достаточно ресурсоемкий, в первую очередь вызывающий большую нагрузку на диски, поэтому следует его выполнять в то время, когда не предполагается активных задач по резервному копированию, по умолчанию он запускается раз в сутки. Также можно запустить данный процесс вручную, вывод задачи также содержит статистику, позволяющую оценить эффективность дедупликации. Ну и наконец вкладка Options, здесь нас интересуют настройки уведомлений. По умолчанию предполагается слать уведомления всегда, но здесь будет уместно вспомнить об одном из правил философии UNIX - \u0026quot;Не сообщайте пользователю об очевидном\u0026quot;, либо известную притчу о мальчике и волках, постоянные уведомления со временем притупят внимание и действительно важное событие будет с большой вероятностью пропущено. Поэтому изменим настройки уведомлений таким образом, чтобы они сообщали нам только об ошибках, здесь же можно изменить получателя сообщений, единственное условие - в настройках пользователя должен быть указан действительный адрес электронной почты. В заключение рассмотрим возможности взаимодействия с сервером резервного копирования в интерфейсе Proxmox Virtual Environment, их немного, но это минимум достаточного. Мы можем восстановить резервную копию в новое расположение, просмотреть конфигурацию виртуальной машины или контейнера, выполнить очистку для группы (под группой подразумевается виртуальная машина / контейнер) или удалить копию, также отсюда мы можем контролировать статус верификации. Как видим, Proxmox Backup Server представляет собой решение, позволяющее вывести резервное копирование виртуальных машин и контейнеров на новый уровень, предоставляя такие возможности как инкрементное копирование, проверку архивов и дедупликацию. В тоже время он максимально органично встраивается в уже существующую инфраструктуру, позволяя выполнить переход максимально просто и безболезненно. Мы рекомендуем присмотреться к данному продукту всем, кто использует решения виртуализации от этого разработчика.\n","id":"704faf929f560f28b769d637d6290505","link":"https://interface31.ru/post/ustanovka-i-nastroyka-proxmox-backup-server/","section":"post","tags":["Proxmox","Виртуализация","Резервное копирование"],"title":"Установка и настройка Proxmox Backup Server"},{"body":"Есть вещи, в профессиональных кругах подразумевающиеся как нечто само собой разумеющееся. Достаточно просто произнести название. Тест Гилева не исключение, за более чем 12 лет своего существования он фактически стал отраслевым стандартом для интегральной оценки быстродействия платформы 1С:Предприятие. Но существует категория коллег, работающих в смежных с 1С областях, которым тоже требуется такая оценка, но которые не являются специалистами в области 1С и не знают с какой стороны подойти - именно для них эта статья.\nК тесту Гилева очень хорошо подходит расхожее выражение - широко известен в узких кругах. При этом большинство специалистов именно в таких узких кругах и \u0026quot;варятся\u0026quot;, через некоторое воспринимая многие вещи как должные и общеизвестные. Но если хоть немного выйти за пределы этого узкого круга, как окажется что очень многие \u0026quot;простые\u0026quot; и \u0026quot;общеизвестные\u0026quot; вещи вызывают у специалистов смежных отраслей затруднение и непонимание.\nНе так давно к нам обратился один из читателей и попросил рассказать ему, как установить и настроить тест Гилева. \u0026quot;Ха, да это же просто!\u0026quot; - воскликнет любой специалист по 1С и будет не прав. Для того же системного администратора процесс установки и использования теста - задача во многом нетривиальная, как и правильная интерпретация его результатов. Тем не менее именно системный администратор часто занимается выбором платформы для 1С:Предприятие и должен иметь объективный инструмент для комплексной оценки того или иного решения.\nИначе начинается \u0026quot;вечная\u0026quot; война между сисадминами и 1С-никами, при этом каждый из них по-своему прав: у админов все хорошо с железом, у 1С-ников все плохо с производительностью. Начинается поиск крайних, перекладывание ответственности и т.д. и т.п. но легче от этого никому не становится. Хотя многих неприятных моментов можно было бы избежать, если заранее провести тесты.\nУверенные пользователи и администраторы 1С не найдут в этой статье ничего нового, а некоторые моменты будут специально показаны в упрощенном виде, основная читательская аудитория - это специалисты не занимающиеся непосредственно 1С, но отвечающие за выбор и поддержку инфраструктуры для ее работы.\nИтак, что такое тест Гилева - это интегральный тест, показывающий способность платформы 1С:Предприятие выполнить количество операций в единицу времени. Он не тестирует отдельные компоненты платформы или оборудования, а показывает некий обобщенный результат, по которому можно сделать выводы о предполагаемой производительности 1С с данным набором условий: состав оборудования, ПО, настройки и т.д.\nРезультат теста выражается в отвлеченных единицах - \u0026quot;попугаях\u0026quot;, которая снабжена простой шкалой градаций: от плохо - до замечательно. Как показывает многолетняя практика результаты теста Гилева очень хорошо коррелируют с комфортом пользовательской работы, если тест показывает \u0026quot;плохо\u0026quot;, то дальше можно не продолжать, приемлемого результата вы не получите.\nТест Гилева бесплатен и его можно скачать с официальной страницы. После скачивания теста вы получите файл с именем GILV_TPC_G1C_83.dt - это формат дампа информационной базы 1С, который является кроссплатформенным и может быть загружен в базу любого типа. Тест полностью безопасен, не затрагивает текущие данные и не содержит стресс-компонентов, способных привести к отказу в обслуживании.\nЧтобы установить тест Гилева вам потребуется запустить 1С:Предприятие и создать новую информационную базу нажав на кнопку Добавить. В открывшемся окне следует выбрать Создание новой информационной базы: Затем Создание информационной базы без конфигурации, что создаст чистую базу пригодную для заливки дампа. В наименовании можете указать все, что вам угодно, а далее предстоит выбрать в каком варианте вы хотите развернуть информационную базу с тестом: в файловом или клиент-серверном. Понятно, что тестировать нужно в том же режиме, в котором предполагается дальнейшая эксплуатация 1С:Предприятие. Для файлового режима никаких особых настроек нет - достаточно указать расположение директории с базой. Единственная тонкость - ее следует располагать там же, где и реальные базы. Скажем если базы у вас на медленном HDD, а вы разместите базу с тестом на быстром NVMe, то результаты тестирования будут отличаться от реальности. В клиент-серверном варианте вам потребуется указать параметры доступа к кластеру серверов 1С (даже если у вас один единственный сервер, то в терминологии 1С - это все равно кластер серверов) и серверу СУБД, в целом ничего сложного, данные ниже приведены сугубо для примера. Теперь выберем в списке созданную нами базу и запустим ее в режиме Конфигуратора. Затем перейдем в Администрирование - Загрузить информационную базу и в открывшемся окне укажем путь к скачанному файлу теста. Процесс не займет много времени, по его окончанию от перезапуска Конфигуратора следует отказаться. Теперь можем запускать тест в режиме 1С:Предприятия. При первом запуске он попросит указать электронную почту, которую будет использовать как идентификатор при загрузке обезличенных результатов ваших тестов на сервер разработчиков, если вы не хотите передавать свои данные, то оставьте поле пустым.\nПользоваться тестом легко - нажмите кнопку Выполнить тест и дождитесь результата. Результат можно интерпретировать по приведенной рядом шкале, где отмечены некие стандартные уровни, а также по цвету: хуже всего желтый, лучше всего фиолетовый, хорошо - зеленый. Ниже в таблице приведены как ваши прошлые результаты (выделены цветом), так и результаты тестов из базы данных разработчиков. Можно оценить как собственный прогресс, так и сравнить свою конфигурацию с другими. Теперь о том, как работать с результатами теста. Если вы получили результат \u0026quot;плохо\u0026quot; или \u0026quot;удовлетворительно\u0026quot; даже на, казалось бы, мощном железе можете дальше не продолжать, ничего хорошего из этой затеи не выйдет. Сразу обратим внимание: тест Гилева - однопоточный. Но подождите, как же так, в наш век многоядерности и многопоточности?\nБытует распространенное мнение, что 1С:Предприятие не умеет в многопоточность из-за архаичности и отсталости платформы, но при этом мало кто берет во внимание предметную область. А зря. 1С:Предприятие - это набор программ для автоматизации бизнес-процессов и учета на предприятии, что накладывает свои, особые требования, которые во многом расходятся с техническими возможностями.\nОдним из важнейших требований учета является строгое соблюдение последовательности документов. Если глубоко не вдаваться в особенности учета, то можно привести простой пример: товар сначала должен быть оприходован на склад по накладной от поставщика, затем перемещен со склада в торговый зал внутренним перемещением и только после этого мы можем оформлять в товароучетной системе его продажи. Любое отступление от этой последовательности может исказить учетные данные и привести к неверным финансовым результатам. И это еще очень простой пример.\nПоэтому многие операции в 1С можно выполнять только строго последовательно и строго в один поток. Но не потому, что 1С:Предприятие по другому не умеет, а потому, что таковы требования учета. Многие расчеты, которые можно выполнять параллельно 1С будет выполнять параллельно, но полностью от однопоточности избавиться невозможно и именно производительность одного вычислительного потока еще долго будет лежать в основе производительности 1С:Предприятия.\nПонимая этот момент становятся более ясны многие аппаратные требования к платформе, в частности к высокой частоте процессорных ядер. Классический пример - популярные сегодня на вторичном рынке Xeon E5-2600, отличительной особенностью которых является большое количество относительно слабых, низкочастотных ядер. И хотя производительность такого процессора по тестам была достаточно высока добиться удовлетворительной работы 1С на них было практически невозможно. Много раз это приводило к скандальным ситуациям, мол наш новый сервер круче, дороже, мощнее, а работает с 1С гораздо хуже старого.\nЕще раз: если производительность одного потока недостаточна для комфортной работы в среде 1С, то не важно сколько у вас этих потоков всего, все они будут работать плохо.\nПо собственному опыту порог более-менее комфортной работы с 1С начинается с 20-25 баллов по Гилеву. Но слово комфортный тоже можно воспринимать по-разному. Если это менеджер, который весь день выписывает накладные по три-четыре-пять позиций, то ему с таким уровнем производительности работать будет, в общем и целом, комфортно, а если говорить о бухгалтере, проводящем сложные документы и формирующем тяжелые отчеты, то вы скорее всего получите нарекания на работу программы. В данном случае наша цель - 30 и выше.\nТакже следует иметь ввиду, что клиент-серверные конфигурации на одном и том же железе всегда будут показывать более низкий результат, чем файловые. Там, где файловая дает 50-60 баллов из серверной вы получите 35-40. Но производительность файлового варианта очень сильно падает по мере увеличения роста пользователей и размера базы, а клиент-серверный будет продолжать стабильно работать постоянным уровнем производительности.\nПоказывает ли тест Гилева насколько хорошо на данном железе будет работать именно ваша конфигурация и какое количество пользователей можно к ней подключить? Нет. Тест Гилева не дает ответов на эти вопросы, также он не показывает, где у вас узкие места - все это должно быть предметом дополнительных исследований. Но он хорошо делает свою работу - показывает общий уровень производительности вашей системы, позволяя быстро получить результат и не тратить время на дополнительные исследования. Также тест Гилева позволяет быстро сравнить несколько разных систем.\nГрубо говоря, если вы не можете выжать из железа более 30 баллов, то разворачивать на нем систему не следует, хорошего результата вы не получите. Если же вы получили хорошие или даже отличные результаты, то можете переходить к следующему шагу - нагрузочному тестированию именно вашего решения. А здесь уже общих рекомендаций нет и быть не может, даже одна и та же конфигурация с разным набором данных и разными настройками учета будет вести себя по-разному.\n","id":"3d636ea42a21b8d31e83fa86cfc00178","link":"https://interface31.ru/post/kak-ustanovit-i-ispol-zovat-test-gileva-dlya-1spredpriyatie/","section":"post","tags":["1С Предприятие 8.х","Производительность"],"title":"Как установить и использовать тест Гилева для 1С:Предприятие"},{"body":"То, что антивирусное ПО снижает производительность системы и прикладных программ - не секрет. Считается что это допустимая плата за безопасность, вынужденный компромисс между скоростью работы и защитой от угроз. Во многих случаях это так, но иногда именно работа антивирусного ПО может приводить к значительному падению производительности и в таких случаях нужно принимать меры. Сегодня мы поговорим о популярной учетной системе 1С:Предприятие и встроенном антивирусе Microsoft Defender, а точнее о некоторых результатах их совместной работы, которые для многих окажутся весьма неожиданными.\nСреди пользователей и администраторов бытует мнение, что система программ 1С:Предприятие не отличается высокой производительностью, а проще говоря - тормозит. Хотя мы показывали на страницах нашего сайта, что при должном подходе и понимании происходящих процессов обеспечить комфортную работу 1С достаточно несложно. Но сейчас речь не об этом.\nИмеется вполне средняя виртуальная машина с Windows 10 (2 виртуальных ядра и 2 ГБ памяти) и платформа 8.3.20.1549, а также Тест Гилева, который служит де-факто эталоном тестирования производительности платформы. Операционная система в состоянии \u0026quot;из коробки\u0026quot;, ничего не отключено, никаких оптимизаций не производилось. Вполне типичная ситуация для многих случаев: вот ПК, вот 1С, быстренько ставим одно на второе и рабочее место готово.\nВыполняем тест и получаем вполне сносный результат. Да чего там сносный, хороший. Именно таким посчитает его большинство пользователей и на этом успокоится. Действительно, при таком уровне производительности явного торможения при работе с программой нет, а желать большего - ну это же 1С... А теперь возьмем и отключим встроенный антивирус Microsoft Defender и повторим тест. Первое впечатление - не может быть, это какая-то ошибка! Но можно снова включить/выключить Защитник и убедиться что результат стабильно повторяем, антивирус от Microsoft снижает производительность файлового режима 1С:Предприятие примерно в два раза. Достаточно интересно наблюдать загрузку процессора при включенном антивирусе, тест у нас однопоточный, а следовательно, при двухъядерной системе полной загрузке одного ядра будет соответствовать 50%, в нашем случае они равномерно делятся между 1С и Защитником. А при выключенной защите все по-честному, все доступные ресурсы получает 1С. Понятно, что просто так это оставлять нельзя, особенно на слабых машинах, потому как при повседневной работе разница между 30 и 60 попугаев будет не так бросаться в глаза, как между 15 и 30, где примерно проходит нижний порог комфортного взаимодействия с системой. Первое, что приходит на ум - поставить в исключение папку с информационной базой. Пробуем - получаем практически идентичный результат, но немного ниже и это немного ниже (около 5% стабильно сохраняется).\nПри реальной работе мы бы предположили, что результат будет еще ниже, так как 1С активно работает с временными файлами, кешем и т.д., которые находятся за переделами директории с информационной базой. Также базы могут добавляться, удаляться, менять расположение и способ с исключением по определенному пути не может быть признан удачным.\nЧто делать? Microsoft Defender позволяет устанавливать исключения для процессов, причем достаточно гибко, с использованием путей и подстановочных символов. Сначала просто попробуем исключить процессы самого 1С:Предприятия вне зависимости от пути установки (платформ может быть и несколько) по маске 1cv.exe*.\nСначала может показаться, что затея увенчалась успехом, но на каком-то этапе теста в работу снова включается Microsoft Defender, что приводит к ожидаемо низкому результату. Почему так? Скорее всего потому, что платформа 1С:Предприятие - это нечто более сложное, чем несколько исполняемых файлов с именем 1cv8. Поэтому мы пойдем другим путем, добавим в исключения полностью директорию bin платформы - C:\\Program Files\\1cv8\\8.3.20.1549\\bin\\*. Обратите внимание на звездочку в конце, таким образом мы добавляем в исключения любой процесс запущенный из указанной директории. Вот теперь результат нас полностью удовлетворил, мы получили такое же высокое значение теста, как и при полностью отключенном Microsoft Defender. Если вы используете несколько платформ - то в исключения нужно добавить каждую из них. Процесс несложный, а результат превосходит все ожидания.\nДля автоматизации процесса мы подготовили специальный скрипт, который автоматически добавляет в исключения все установленные платформы 1С:Предприятие и все добавленные в список информационные базы, а также еще некоторые локации, например, папки с драйверами торгового оборудования. Скрипт требуется запускать с правами администратора:\nСкачать 1CDefenderExclusion.zip\nSHA1 15180BE5E9CEE15C7D61ADFBD284F09223F20DC7\nМы не проводили исследования влияния иных антивирусов на производительность 1С:Предприятия, но это несложно сделать самостоятельно. Это недолго, несложно и способно принести неплохие результаты, либо просто исключите проверку процессов 1С по аналогии с указанной статьей.\n","id":"8295367df136cb2db9e1e11d2c267d1e","link":"https://interface31.ru/post/pochemu-tormozit-1s-faylovyy-rezhim-i-microsoft-defender/","section":"post","tags":["1С Предприятие 8.х","MSE","Производительность"],"title":"Почему тормозит 1С. Файловый режим и Microsoft Defender"},{"body":"Импортозамещение в нашей стране традиционно строится вокруг дистрибутивов Linux и в этом нет ничего плохого, свободная ОС с открытым исходным кодом - это отличная платформа для разработки отечественных систем. К сожалению, на этом рынке действуют порой не самые конкурентные методы, но время расставляет все по своим местам, оставляя наиболее жизнеспособные проекты, чья цель - именно развитие, создание дополнительных ценностей, а не просто освоение бюджетных средств. Подходы здесь самые разные, кто-то развивает свою платформу, а кто-то берет за основу уже зарекомендовавшие себя решения.\nЭто уже не первый наш материал на данную тему. Импортозамещение интересно как минимум тем, что в качестве основной платформы продвигает Linux, заставляя производителей ПО и оборудования предпринимать меры по поддержке этой системы. В общем итоге это идет на пользу всем, поощряя развитие кроссплатформенного ПО и устраняя привязку к конкретному поставщику решений.\nК выбору платформы для импортозамещения тоже существуют различные подходы: кто-то развивает собственные платформы, как Альт и РОСА, хотя последняя что-то не может похвастать успехами, другие, взяв за основу стабильный свободный дистрибутив разрабатывают на его базе собственные решения, направленные на достаточно узкий сегмент государственных и оборонных предприятий - это мы об Astra.\nНо есть большой сегмент пользовательской базы, которым нужен просто отечественный дистрибутив, простой и удобный, а также, желательно, чтобы для его сопровождения не пришлось искать или переучивать специалистов. Такие решения есть и не мы первые их придумали, во всем мире достаточно популярна пересборка пакетов Red Hat Enterprise Linux и создание на их базе собственных систем. В этом нет ничего плохого, решения на базе RHEL предоставляла CentOS, а ныне ее многочисленные клоны, Oracle и т.д. и т.п. Но почему-то именно в адрес отечественных систем раздаются упреки - мол взяли и пересобрали готовое.\nДа, где-то они справедливы, например, AlterOS - сумрачный плод отечественных дельцов от импортозамещения, предлагающих в 2021 году древнее ядро 3.10 и не менее древний софт из старого дистрибутива CentOS, но есть и другие примеры. Сегодня мы хотим рассказать об одном из них - РЕД ОС.\nЭто система на базе пакетной базы RHEL и Fedora предоставляющая все основные возможности современных Linux систем с соблюдением требований импортозамещения, существует стандартная и сертифицированная по ФСТЭК редакции, мы будем рассматривать первую, она находится в свободном доступе и может быть бесплатно использована для некоммерческого применения физическими лицами, а также для изучения и тестирования.\nНемного истории, РЕД СОФТ начинала с разработки в 2012 году дистрибутива Гослинукс, на базе CentOS 6 для ФССП России, внедрение которого состоялось со следующего года. После чего компания принялась за разработку собственного дистрибутива, не связанного с конкретным заказчиком, что вылилось в итоге в РЕД ОС. В собственной разработке упор был сделан на удобство пользователей, потому как исходный RHEL/CentOS не мог и не может ничем похвастаться в этом направлении. Так, говоря о выходе последней версии РЕД ОС 7.3 официальные лица сделали упор на следующем:\n«Новая версия РЕД ОС ориентирована в первую очередь на пользователя. Мы сделали большой упор на удобство в использовании, доработав интерфейс и расширив список поддерживаемого оборудования согласно пожеланиям наших клиентов. Ядро Linux 5.10 позволило нарастить функционал операционной системы, делая РЕД ОС универсальной средой для решения широкого спектра задач», - комментирует Рустам Рустамов, заместитель генерального директора РЕД СОФТ.\nПерейдем от слов к делу, скачаем установочный образ системы и приступим к процессу установки, нас встречает привычная для пользователей RHEL-based систем Anaconda, фирменная черта которой - все настройки в одном месте, а установка только после их указания. Это позволяет не отвлекаться на сам процесс установки, зная, что никаких дополнительных опций у вас там не попросят. Везде все отлично русифицировано и не вызывает вопросов, с установкой справится любой, кто хоть раз устанавливал CentOS или Fedora, хотя и это не обязательно, запутаться там реально негде.\nПосле установки нас встречает экран входа в систему, ничем особым он не выделяется, но определенная персонализация заметна и приятно радует глаз. После аутентификации нас встречает рабочий стол, в качестве оболочки рабочего стола выбрана Mate, но доработана так, что сразу ее и не узнать. Интерфейс спроектирован так, чтобы вызывать наименьшие затруднения у пользователей переходящих с Windows и, нужно сказать, получилось весьма неплохо. Кстати, на обоях рабочего стола изображен Муромский вантовый мост. Давайте заглянем под капот, там притаилась кодовая база RHEL 7 и очень даже свежее ядро 5.10, т.е сказать, что разработчики тупо пересобрали RHEL 7/Centos 7 нельзя, видна работа по постоянному обновлению системы и поддержанию ее в актуальном состоянии. Входящее в состав системы прикладное ПО немногочисленно: браузер, офисный пакет, но все достаточно актуальных версий, кроме того, виден заботливый подход по настройке рабочего интерфейса, что отлично заметно на том же LibreOffice: Кстати, разработчики заменили начальную заставку LO на достаточно интересную картинку, которую мы смогли не сразу поймать, скорость и отзывчивость работы системы на высоте. Для администрирования системы предназначен Центр управления, который особо ничем не отличается от подобных утилит других Linux систем, все необходимое в повседневной жизни здесь есть. Для управления пакетами в системе представлен dnfdragora, простым пользователям, избалованным магазинами, он покажется чем-то архаичным, но работа с ним не составит труда для хоть немного опытного Linux-администратора, хотя последний скорее предпочтет консоль. Тем не менее, учитывая, что дистрибутив предназначен для использования в корпоративной среде, можно сказать, что соблюден баланс: тот, кто умеет - сделает все в командной строке, тот кто недостаточно силен в Linux может воспользоваться графическим инструментом.\nВ репозиториях системы также представлены вполне современные и актуальные версии ПО, мы без труда установили одну из последних версий GIMP. И снова обратим внимание на высокую скорость работы и отзывчивость системы. На наш взгляд для рабочей станции это очень и очень неплохой вариант: стабильная база RHEL 7 и новые пакеты для пользовательских приложений, при этом особых проблем с обслуживанием такой системы быть не должно, найти знающего RHEL админа в наши дни не представляет сложностей.\nВ качестве браузера представлен Chromium, причем очень даже свежий, в системе установлена версия 94, тогда как последняя на момент написания статьи - 96. Также заявлена поддержка всех отечественных плагинов для криптографии, хотя сами плагины придется устанавливать отдельно. Каких-либо проблем с данным браузером в современном интернет нет, мы без проблем воспроизвели потоковое видео в 4K без особой нагрузки на систему и это с учетом того, что система запущена в виртуалке. Также нет проблем с подключением к ней внешних носителей, мы присоединили флешку на 64 ГБ extFAT, с которой у некоторых систем были проблемы, здесь же мы спокойно посмотрели все ее содержимое, включая фотографии и FullHD видео. Выводы Импортозамещение бывает разное, это отлично видно если сравнить две системы - клоны RHEL - РЕД ОС и AlterOS. Начнем с того, что клонировать RHEL ни разу ни зазорно, этим занимаются многие, включая такие корпорации как Oracle. Но делать это можно по-разному: можно тупо пересобрать старую систему, а можно сделать на ее основе удобную и современную ОС.\nРЕД ОС - прекрасный пример последнего, взяв за основу стабильную и проверенную платформу, они предлагают отечественным потребителям вполне современный и актуальный продукт, при этом дистрибутив находится в свободном доступе и каждый может его попробовать бесплатно. Поэтому, если у вас стоит вопрос импортозамещения, то мы советуем приглядеться к РЕД ОС. На нас данная система произвела только положительное впечатление.\n","id":"16f9bbd9980b2087ad1f207d964cd94c","link":"https://interface31.ru/post/red-os-73-murom-prosto-horoshaya-sistema/","section":"post","tags":["Linux","RHEL","Импортозамещение","РЕД ОС"],"title":"РЕД ОС 7.3 Муром - просто хорошая система"},{"body":"Перенос виртуальных машин между серверами (нодами) гипервизора Proxmox VE не входящими в кластер довольно часто встречающаяся задача. На первый взгляд она довольно простая, но имеет свои особенности, которые могут поставить в тупик начинающих администраторов этой системы виртуализации. Основная сложность заключается в том, что Proxmox может использовать различные виды хранилищ и форматов виртуальных дисков и, подходящие в одном случае рекомендации окажутся бесполезны в другом. Поэтому нужен универсальный способ, о котором мы хотим рассказать в этой статье.\nБогатство возможностей вариантов хранения в Proxmox, являющееся несомненным преимуществом, в данной задаче поворачивается к нам обратной стороной медали. Во множестве гуляющие по сети рекомендации: скопировать образ диска виртуальной машины и настройки еще больше запутывают и сбивают с толку. А при использовании некоторых вариантов хранилища у вас просто может не быть привычного файла, который можно скопировать.\nНо есть один простой и универсальный способ - резервное копирование. Резервная копия - это единственный файл, содержащий как образ диска, так и настройки виртуальной машины или контейнера, его легко перемещать и еще легче восстанавливать. Весь процесс потребует всего лишь нескольких команд. Работать мы будем в командной строке от имени суперпользователя, потому что это гораздо проще и удобнее, нежели через веб-интерфейс.\nПервым делом выясним ID виртуальной машины или контейнера которые мы собираемся переносить, затем перейдем в любое удобное расположение, скажем в домашнюю директорию суперпользователя /root, единственное условие - на файловой системе должно хватать места для создания резервной копии виртуалки.\nЗатем создадим дамп виртуальной машины или контейнера, явно указав его размещение и режим копирования:\n1vzdump 105 --dumpdir /root --mode stop В нашем случае ID - 105, директория назначения /root и режим копирования с остановкой виртуальной машины - stop, последнее - важно, данный режим обеспечивает максимальную согласованность резервной копии и при переносе между серверами следует использовать именно его. Мы не использовали никакого алгоритма сжатия, так как не видим в этом особого смысла если образ будет передаваться по локальной сети или при помощи съемного носителя, но при необходимости можете ее сжать, мы рекомендуем использовать современный быстрый и эффективный алгоритм Zstandard:\n1vzdump 105 --dumpdir /root --mode stop --compress zstd В результате в целевой директории появится файл образа с именем подобным vzdump-qemu-105-2021_12_10-16_47_51.vma, которое содержит тип виртуальной машины - qemu/lxc, ее ID, а также дату и время создания. Расширение .vma соответствует несжатому образу, при использовании компрессии добавится еще одно расширение архиватора, для Zstandard - .vma.zstd. Также рядом появится файл с расширением .log, в нем находится показанное на скриншоте выше содержимое и для восстановления он не нужен. Хотя, если вы собираетесь хранить данный образ, то мы советуем копировать его вместе с файлом лога, в последующем это позволит проще и быстрее разобраться с назначением данного дампа.\nТеперь передадим копию на новый сервер виртуализации любым удобным способом, например, можно использовать SCP:\n1scp /root/vzdump-qemu-105-2021_12_10-16_47_51.vma root@192.168.99.8:/root Где 192.168.99.8 - адрес нового гипервизора, местом расположения также укажем /root, но вы можете выбрать любую иную локацию.\nПокинем старый гипервизор и перейдем в командную строку нового, но перед этим уточним с какого номера начинаются на нем свободные идентификаторы и в каком хранилище располагаются образа дисков. В нашем примере видно, что свободные ID начинаются со 105, а хранилищем образов является local-lvm. Далее все зависит от того, что мы восстанавливаем, виртуальную машину или контейнер. Для виртуалки выполним:\n1qmrestore /root/vzdump-qemu-105-2021_12_10-16_47_51.vma 105 -storage local-lvm Где мы сначала указываем путь к резервной копии, затем любой свободный ID (он может отличаться от старого ID, в нашем случае просто совпало) и хранилище local-lvm при помощи ключа**-storage**, если этого не сделать, то виртуальная машина будет восстановлена в хранилище local.\nДля контейнеров команда будет немного иной:\n1pct restore 107 /root/vzdump-lxc-103-2021_12_10-16_49_32.vma -storage local-lvm В ней мы сначала указываем желаемый свободный ID, а затем путь к архиву. После завершения восстановления не спешите включать новую виртуальную машину, особенно если оба сервера находятся в пределах одной сети. Сначала выключите виртуальную машину на старом сервере, а потом внимательно проверьте настройки новой, иначе вы вполне можете получить глупые и досадные ошибки, например, такую: А всего лишь потому, что на старом узле в привод виртуалки был смонтирован образ, который на новом месте отсутствует. Также внимательно проверьте все внешние устройства, например USB, удалите неиспользуемые и добавьте новые. После чего включите виртуальную машину или контейнер. Также не забудьте добавить ее в планы резервного копирования на новом сервере. Затем тщательно проверяем работоспособность, после чего виртуальную машину со старого сервера желательно удалить. Также удалите использовавшиеся для переноса резервные копии на обоих узлах.\nКак видим, перенос виртуальных машин или контейнеров между узлами Proxmox VE достаточно прост и универсален, все что вам нужно - это свободное место и знание нескольких команд.\n","id":"1fd6dac7ccca69487072bff2709bbec8","link":"https://interface31.ru/post/perenos-virtualnyh-mashin-i-konteynerov-proxmox-ve-na-drugoy-server/","section":"post","tags":["Proxmox","Виртуализация"],"title":"Перенос виртуальных машин и контейнеров Proxmox VE на другой сервер"},{"body":"Для тех, кто только начинает изучать iptables неприятной неожиданностью оказывается тот факт, что правила брандмауэра не сохраняются и не восстанавливаются при перезагрузке системы. Фактически это означает полностью открытый брандмауэр и такое положение дел нас, естественно, не устраивает. К счастью, в Linux существует несколько способов сохранения единожды введенных правил iptables, поэтому следует изучить их и выбрать наиболее подходящий для вашей конфигурации. А о всех плюсах и минусах мы расскажем в данной статье.\nВ свое время один из основателей UNIХ Деннис Ритчи сказал: \u0026quot;UNIX прост. Но надо быть гением, чтобы понять его простоту.\u0026quot; Все это в полной мере можно применить и к преемнику UNIX-систем - Linux и иногда эта простота ставит в тупик. Хорошим примером здесь является iptables - простой и мощный брандмауэр, уже не первый год, стоящий на страже сетевых рубежей системы. И когда выясняется, что он не умеет сохранять и восстанавливать правила, то многие испытывают весьма противоречивые ощущения.\nВопреки распространенному заблуждению iptables не является брандмауэром, а предоставляет удобный интерфейс к netfilter, который является настоящим брандмауэром Linux-систем, его задача - интерпретировать команды пользователя на более низкие уровни и вывести информацию оттуда в удобном для восприятия варианте. Единственный способ взаимодействия с iptables - это интерфейс командной строки - CLI. Мы можем создавать, изменять, удалять правила, а также получать информацию о состоянии брандмауэра, но в любом случае все взаимодействие строится по форме запрос - ответ. Реальную работу выполняет спрятанный далеко внутри системы netfilter, а iptables только лишь позволяет удобно общаться с ним.\nПонимание этого во многом проливает свет на сложившуюся ситуацию, iptables - всего лишь интерфейс и своих настроек у него быть не может, но именно он позволяет передать правила сетевого взаимодействия в netfilter и получать от него удобочитаемые ответы и именно этим его свойством мы и воспользуемся.\nСуществует несколько способов сохранить введенные нами в iptables правила, а затем и восстановить их при загрузке системы. Разберем их подробнее.\nСкрипты Самый старый, но не потерявший эффективности способ. Если единственная возможность взаимодействия с iptables - это интерфейс командной строки, то скрипт - самый первый способ автоматизации, если мы не хотим постоянно повторять одни и те же действия вручную.\nСкрипт для настройки iptables мы можем расположить где угодно, но лучше следовать стандартным расположениям Linux и разместить его в /etc. Создадим для этого отдельную директорию iptables, создадим в ней файл скрипта и сделаем его исполняемым:\n1mkdir /etc/iptables 2touch /etc/iptables/iptables.rules 3chmod +x /etc/iptables/iptables.rules Теперь можем открыть его любым доступным редактором и внести минимальную конфигурацию брандмауэра, разрешающую только подключения по SSH:\n1#!/bin/sh 2# Сбрасываем настройки брандмауэра 3iptables -F 4iptables -X 5# Разрешаем установленные и связанные соединения 6iptables -A INPUT -i ens33 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT 7# Запрещаем не принадлежащие ни одному соединению пакеты 8iptables -A INPUT -i ens33 -m conntrack --ctstate INVALID -j DROP 9# Разрешаем подключения по SSH 10iptables -A INPUT -i ens33 -p tcp --dport 22 -j ACCEPT 11#Запрещаем входящие извне 12iptables -A INPUT -i ens33 -j DROP Здесь следует обратить ваше внимание на самую первую секцию - сброс настроек, в приведенном примере сброшены будут только настройки таблицы filter и если вы используете другие таблицы, то их также нужно будет сбросить, так для nat добавьте:\n1iptables -t nat -F 2iptables -t nat -X А для mangle:\n1iptables -t mangle -F 2iptables -t mangle -X Для чего это делается? Смысл в том, что данный скрипт может быть запущен как вручную, так и при перезапуске сетевых служб, а команда iptables -A просто добавляет правило в конец указанной цепочки и если не выполнять предварительной очистки, то итоговые правила могут стать бесконечно далеки от того, что задумал администратор.\nХорошо, но как теперь запускать данный скрипт? Для систем использующих ifupdown перейдем в /etc/network/interfaces и добавим в конце секции с нужным сетевым адаптером или вообще в самом конце файла:\n1pre-up /etc/iptables/iptables.rules Данное правило выполнит указанный нами скрипт перед инициализацией сетевого интерфейса.\nВсе изменения в конфигурацию брандмауэра следует вносить в указанный скрипт, а для их применения достаточно выполнить:\n1 /etc/iptables/iptables.rules или перезагрузить систему.\nПросмотреть текущее состояние брандмауэра можно командой:\n1iptables -L -vn Ключ -v выводит дополнительную информацию и счетчики, а -n отвечает за вывод IP-адресов и портов в виде чисел, а не DNS-адресов и имен служб. Внимательный читатель заметит, что вывод команды показывает нам только таблицу filter и это действительно так. Как мы помним, filter - таблица по умолчанию и используется если мы явно не задали таблицу, чтобы просмотреть, скажем, таблицу nat, выполните:\n1iptables -t nat -L -vn Где ключ -t позволяет указать интересующую таблицу.\niptables-save / iptables-restore Это штатная утилита, выполняющая ту же самую задачу: сохранить правила iptables в файл и потом загрузить их оттуда. Использование предельно простое, чтобы сохранить правила используйте:\n1iptables-save \u0026gt; /etc/iptables/rules.v4 Результатом выполнения данной команды будет текстовый файл с набором всех используемых правил. Сначала идет имя таблицы, в нашем случае правила заданы только для filter, затем политики по умолчанию для цепочек (везде ACCEPT), за которыми следуют сами правила. Обратите внимание, что синтаксис записей несколько другой, если в скрипте мы писали:\n1iptables -A INPUT -i ens33 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT то в файле просто:\n1-A INPUT -i ens33 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT Потому что скрипт сначала вызывал iptables, а потом уже передавал ему команду, в нашем же случае вызывать iptables нет необходимости.\nВпоследствии данный файл можно редактировать, добавляя в него дополнительные правила, также можно делать это интерактивно, через командный CLI-интерфейс. С этим будет связан один тонкий момент, и мы вернемся к нему позже.\nДля восстановления следует использовать:\n1iptables-restore \u0026lt; /etc/iptables/rules.v4 Куда прописать эту команду? Можно точно также в /etc/network/interfaces, в конце файла добавляем:\n1pre-up iptables-restore \u0026lt; /etc/iptables/rules.v4 А теперь зададимся вопросом: чтобы сохранить правила iptables их нужно предварительно ввести. Да, это можно сделать либо вручную, выполнив указанные в скрипте команды, либо выполнив сам скрипт, второе удобнее, особенно если у вас сложная конфигурация брандмауэра. Этот же способ позволяет просто и удобно перейти от скриптов к iptables-restore: загружаем систему, сохраняем правила через iptables-save и заменяем вызов скрипта на iptables-restore.\nВ некоторых материалах в сети также рекомендуют добавить в /etc/network/interfaces\n1post-down iptables-save \u0026gt; /etc/iptables/rules.v4 На первый взгляд - вполне грамотное решение, но не рекомендуем этого делать не подумав. Почему? Редко кто управляет брандмауэром интерактивно: добавляя, удаляя или изменяя записи через командную строку, потому что более удобно и наглядно это можно сделать, внося изменения непосредственно в файл. Однако если вы после этого выключите или перезагрузите систему, то все ваши изменения будут перезаписаны текущим состоянием брандмауэра и будут потеряны.\nПоэтому лучше ограничиться только iptables-restore, а если вы все-таки внесли изменения интерактивно, то можно сразу после этого вручную выполнить iptables-save.\niptables-persistent Время не стоит на месте, все течет, все меняется. На смену старому доброму ifupdown приходят новые системы: NetworkManager, netplan, systemd-networkd и прописывать вызов скриптов или iptables-restore в их конфигурацию становится проблематичным занятием, если вообще возможным. Но и разработчики тоже держат руку на пульсе, в Debian и Ubuntu появился новый пакет - iptables-persistent, который позволяет сохранять и автоматически загружать правила брандмауэра, не оглядываясь на используемую систему инициализации сети.\nУстановить его очень просто:\n1apt install iptables-persistent В процессе установки будет предложено сохранить текущие правила iptables, поэтому очень желательно, чтобы они к этому времени существовали. Внести их можно как интерактивно, так и с помощью скрипта. Одновременно с этим будут сохранены правила для IPv6 и в итоге в директории /etc/iptables у вас будет два набора правил для четвертой и шестой версии протоколов. Синтаксис файла ничем не отличается от того, что создает iptables-save и точно также его можно редактировать, внося новые правила.\nТакже в системе появляется новая служба - netfilter-persistent, которая позволяет удобно управлять брандмауэром, так если вы внесли изменения в файл с правилами и хотите их применить, то выполните:\n1netfilter-persistent reload Для сохранения текущей конфигурации отдайте команду:\n1netfilter-persistent save А если вам надо полностью очистить конфигурацию брандмауэра, то наберите:\n1netfilter-persistent flush Это удобно если вам нужно проверить, не является ли брандмауэр причиной каких-либо проблем, быстро сбрасываем конфигурацию, проверяем и загружаем ее заново.\nЗаключение Какой из трех предложенных вариантов является наиболее предпочтительным? Если мы говорим о современных системах, то это iptables-persistent, который позволяет полностью автоматизировать процесс и вообще более не беспокоиться о правилах брандмауэра. Но это решение доступно только пользователям Debian или Ubuntu.\nТакже не стоит списывать со счетов скрипты или iptables-save/iptables-restore, эти методы продолжают работать и делают это просто и надежно. В любом случае помните, что Linux предоставляет множество путей решений одной и той же задачи и выбирайте решение исходя из собственной ситуации, требований и имеющихся знаний, и опыта.\n","id":"049f78c9b89c62b062b67866ceef029f","link":"https://interface31.ru/post/osnovy-iptables-dlya-nachinayushhih-kak-sohranit-pravila-i-vosstanovit-ih-pri-zagruzke/","section":"post","tags":["Debian","iptables","Linux","Ubuntu Server","Сетевые технологии"],"title":"Основы iptables для начинающих. Как сохранить правила и восстановить их при загрузке"},{"body":"Безопасность - это всегда компромисс и соразмерность предпринимаемых мер с возможными угрозами, поэтому современные системы предоставляют многие возможности, повышающие удобство использования, но снижающие уровень безопасности. Одним из таких инструментов является кнопка отображения вводимого пароля. В целом это удобно, так как позволяет быстро проверить правильность ввода, избегая многократного ввода неверного пароля и блокировки учетной записи, но бывают сценарии, когда такое поведение крайне нежелательно.\nНе показывать кнопку отображения пароля Работа в спокойных офисных условиях сильно отличается от работы в торговом зале или на складе, где постоянно находится большое количество людей, особенно если некоторые из них могут видеть экран рабочего компьютера. В этом случае кнопка отображения пароля является прямой угрозой безопасности и это не преувеличение. Некоторые администраторы думают, мол что такого, если кто-то на пару секунд увидит сложный пароль, попробуй запомни... Но сложный пароль не всегда является сложным, с точки зрения политики паролей Windows такой пароль является вполне допустимым:\n1Masha2008! Но с точки зрения безопасности это полный провал, особенно если мы знаем, что дочь сотрудника зовут Машей, все остальное выяснить не сильно сложно. Можно ужесточать требования к длине пароля, но это только лишь повлечет создание новых, вполне читабельных и запоминаемых конструкций, скажем:\n1Anna+Vova=2008Svadba!!! Здесь можно смеяться, можно плакать, но все эти примеры взяты нами из реальной жизни. Такие пароли, даже при беглом взгляде, очень легко запоминаются, особенно если разложить их на составные части и привязать к личности пользователя.\nМожно, конечно, самостоятельно сгенерировать сложные, устойчивые пароли и раздать их пользователям, но лучше от этого не станет. Если предыдущую комбинацию можно было запомнить и быстро ввести, лишь иногда подглядывая на ввод, то сложный пароль будет вводиться медленно, возможно и по бумажке, с постоянной проверкой правильности ввода. Так что лучше мы однозначно не сделаем.\nПоэтому самый разумный вариант - отключить кнопку отображения пароля. Нет кнопки - нет проблемы. А помогут нам в этом групповые политики.\nОткроем редактор групповых политик и создадим новую политику, затем перейдем в Конфигурация компьютера - Политики - Административные шаблоны - Компоненты Windows - Пользовательский интерфейс учетных данных. В данном разделе найдем политику Не показывать кнопку отображения пароля и включим ее. Никаких дополнительных настроек у данной политики нет, только включено или выключено. Дождемся обновления групповых политик или выполним принудительное обновление командой:\n1gpupdate /force И сравним полученный результат. Было: Стало: Удобство в чем-то понизилось, а вот безопасность выросла.\nНа этом можно бы было и закончить данную статью, но в указанном нами разделе есть и другие, не менее интересные политики, рассмотрим и их.\nЗапрашивать достоверный путь для входа в учетную запись Уже само название политики является чем-то замысловатым и не совсем понятным. Не добавляет ясности и описание. Но многие должны помнить, как для ввода пароля при входе в учетную запись сначала требовалось нажать Ctrl + Alt + Del, хотя не все знают для чего это нужно. Если не вдаваться в подробности, то при обычном вводе учетных данных окно ввода запускается в рамках сеанса пользователя и вводимые данные могут быть перехвачены другими процессами, например, вредоносным ПО. Чтобы избежать этого используется так называемый достоверный путь, фактически при этом запускается отдельный мини-сеанс, максимально изолированный от остальных процессов, в рамках которого происходит ввод учетных данных.\nТакже примите во внимание, что данная политика не влияет на вход в систему.\nВсе еще не понятно? Давайте разбираться. Допустим мы хотим подключиться к удаленному серверу по RDP. В обычной ситуации мы получим привычное окно для ввода учетных данных, прямо в текущем сеансе. А теперь включим указанную политику и сразу увидим новый запрос: Затем еще один, хотя как нам кажется, можно бы было обойтись одним этим, уменьшив количество выполняемых пользователем действий. Ну и наконец экран темнеет, также, как и при запросе повышения прав через UAC и предлагается ввести учетные данные: Это безопасно, так как ни один пользовательский процесс не может перехватить вводимые данные, программно ввести значения в поля ввода или нажать кнопку, но вряд ли удобно простому пользователю.\nКогда может пригодиться эта политика? Для тех случаев, когда безопасность ставится выше удобств и имеется реальная угроза перехвата данных. Скажем, носимые устройства, которые находясь за пределами периметра никак не контролируются, а вернувшись в корпоративную сеть могут представлять угрозу ее безопасности.\nЕсли обобщить: данная политика предотвращает возможный перехват или подмену учетных данных в сеансе пользователя, но резко снижает удобство использования системы.\nОтображать учетные записи администратора при повышении уровня прав В отличие от предыдущей - это простая и понятная политика. Она показывает, будут ли при повышении прав показаны учетные записи администраторов. По умолчанию политика выключена и это правильно, так как имена учетных записей администраторов следует если не держать в секрете, то, по крайней мере, не показывать первым встречным. Лично мы не видим сценариев, для которых бы пришлось включать данную политику, но знать о ее существовании нужно, также, как и проверить, а не оказалась ли она случайно включена.\n","id":"62feecc46ac37586f1bd6c843e924577","link":"https://interface31.ru/post/usilivaem-bezopasnost-uchetnyh-dannyh-pol-zovateley-pri-pomoshhi-gruppovyh-politik/","section":"post","tags":["Active Directory","GPO","Безопасность"],"title":"Усиливаем безопасность учетных данных пользователей при помощи групповых политик"},{"body":"Не так давно вышел очередной выпуск популярной операционной системы Debian - Debian 11 Bullseye, одновременно с этим событием в завершающую фазу жизненного цикла перешел один из предыдущих дистрибутивов - Debian 9, поддержка которого заканчивается в июне 2022 года. Это заставляет задуматься владельцев старых систем об обновлении до нового выпуска. Это весьма ответственный процесс, поэтому следует подойти к нему со всей серьезностью, постаравшись максимального оградить себя от неприятных неожиданностей. Как это сделать - расскажем в нашей статье.\nВ отличии от Ubuntu, Debian не имеет инструментов для автоматического обновления выпуска, но, как правило, его пользователей это не пугает. Наоборот, кроме высочайшей стабильности, Debian ценится еще тем, что предоставляет администратору все рычаги управления системой и последний всегда может быть уверен, что выполнено будет только то, что он хочет и именно так, как нужно ему.\nАвтоматические инструменты, с одной стороны облегчают труд администратора, с другой - лишают его знаний и опыта, чтобы не говорили - администратор, перед тем как автоматизировать некоторый участок, должен прекрасно знать как он устроен и уметь делать все руками. Debian как раз дает возможность получить такой опыт.\nПодготовка системы Перед тем, как браться за обновления необходимо убедиться в нормальном функционировании системы. Прежде всего проверим наличие не полностью установленных или не настроенных пакетов. Для этого выполним:\n1dpkg --audit Если вывод команды вернул какой-либо результат, то в первую очередь следует попробовать автоматически решить проблемы командой:\n1apt install -f Если же это не помогло, то с каждым пакетом придется разбираться отдельно. В любом случае его необходимо либо удалить, либо установить. Удалить пакет можно командой:\n1dpkg -r имя_пакета Следующий шаг - выявление зафиксированных пакетов, которые были защищены от обновления. Это можно выяснить следующим образом:\n1dpkg --get-selections | grep \u0026#39;hold$\u0026#39; Снять фиксацию можно командой:\n1apt-mark unhold имя_пакета Но будьте внимательны, фиксация пакетов не производится на ровном месте, для этого всегда есть причины. Обычно они связаны со сторонним софтом, требующим именно определенных версий пакетов. Убедитесь, что данный программный продукт имеет версию для следующего выпуска, в противном случае с обновлением следует повременить.\nТакже будет не лишним очистить систему от накопившегося мусора. Многие пакеты при удалении оставляют файлы конфигурации или иные пользовательские данные, что может стать проблемой при последующей установке пакета уже в новом выпуске ОС. Для очистки оставшихся настроек выполните:\n1apt purge $(dpkg -l | awk \u0026#39;/^rc/ { print $2 }\u0026#39;) Ну и наконец обновите систему до последней версии пакетов:\n1apt update \u0026amp;\u0026amp; apt full-upgrade После чего не забудьте сделать резервную копию, так как последующие действия будут иметь необратимые последствия.\nУстановка новых источников пакетов Как мы знаем, все пакеты Debian располагаются в специальных хранилищах - репозиториях и для обновления нам следует изменить адреса репозиториев предыдущего выпуска на адреса репозиториев целевого выпуска. Но в системе могут присутствовать и иные источники пакетов, которые могут вызвать проблемы во время обновления и поэтому их следует отключить.\nВ первую очередь проверим директорию /etc/apt/sources.list.d и переместим все найденные в ней файлы в другое расположение. Попутно рекомендуем изучить их, возможно не все из них вам нужны, а для нужных заранее следует обновить записи для нового выпуска системы.\nЗатем перейдем к основному списку репозиториев /etc/apt/sources.list, по правилам хорошего тона туда не следует добавлять своих записей, но может быть всякое, поэтому внимательно изучаем содержимое этого файла. В нем должны остаться три стандартных репозитория и шесть строк, по две строки на каждый. Ниже приведен их список для Debian 10:\n1deb http://deb.debian.org/debian/ buster main 2deb-src http://deb.debian.org/debian/ buster main 3 4deb http://security.debian.org/debian-security buster/updates main 5deb-src http://security.debian.org/debian-security buster/updates main 6 7deb http://deb.debian.org/debian/ buster-updates main 8deb-src http://deb.debian.org/debian/ buster-updates main Все остальные записи следует закомментировать и в будущем вынести их из этого файла в /etc/apt/sources.list.d, более подробно о репозиториях и управлении пакетами вы можете прочитать здесь.\nОтдельного внимания заслуживает репозиторий backports, который также может быть подключен в системе, он предоставляет портированное из более новых версий ПО и такие пакеты могут вызвать затруднения при обновлении. Записи, относящиеся к данному репозиторию, следует удалить (в новом выпуске они вам не понадобятся), а пакеты, в случае возникновения проблем с их обновлением, придется удалить, для этого рекомендуется использовать команду:\n1dpkg -r --force-depends имя_пакета Теперь, когда вы навели порядок в репозиториях, установим новые источники пакетов. Для выпусков включая Debian 10 это можно сделать простой заменой кодового имени дистрибутива в адресах репозиториев. Например, для обновления с Debian 9 Stretch на Debian 10 Buster следует выполнить:\n1sed -i \u0026#34;s/stretch/buster/g\u0026#34; /etc/apt/sources.list Для Debian 11 Bullseye не все так просто, разработчики изменили адрес репозитория Security updates и поэтому придется действовать в два приема:\n1sed -i \u0026#34;s/buster\\/updates/bullseye-security/g\u0026#34; /etc/apt/sources.list 2sed -i \u0026#34;s/buster/bullseye/g\u0026#34; /etc/apt/sources.list После чего еще раз проверим, что адреса источников пакетов в sources.list правильные и можем переходить непосредственно к обновлению системы.\nОбновление выпуска Debian Прежде всего обновим локальный кеш пакетов:\n1apt update А затем выполним безопасное обновление системы, в данном случае будут обновлены только те пакеты, которые возможно обновить без удаления уже существующих:\n1apt upgrade Перед тем, как подтвердить выполнение команды, обращаем отдельное внимание на те пакеты, которые будут оставлены в неизменном виде, в нашем случае этоcurl, для их обновления потребуется что-то удалить из системы и это не всегда допустимо. В большинстве случаев с этим можно разобраться позже, а пока - обновляемся.\nВ процессе обновления к нам может поступить запрос на перезапись конфигурационных файлов. Здесь следует придерживаться следующих правил: если конфигурационный файл меняли вы, то лучше оставить его исходную версию, если нет - то принять изменения. В случае сомнений можно просмотреть изменения нажав клавишу D, выйти из режима просмотра можно по клавише Q. При этом следует понимать, что в новом выпуске системы новые пакеты, которые могут иметь новые настройки и если вы не уверены, что все делаете правильно, то лучше перезапишите файл конфигурации новой версией, старый останется тут же рядом с расширением dpkg-old. Уже после обновления вы сможете сравнить оба файла и перенести необходимые настройки из старого в новый.\nПо окончании обновления перезагружаемся и проверяем работу системы. Если у вас было установлено стороннее ПО из внешних репозиториев, то его пока не касаемся, оно еще не обновлялось и может работать некорректно, либо вообще не работать.\nЕсли все нормально, то переходим к следующему этапу - полному обновлению. Но именно здесь вам придется принять решение, что делать с удаляемыми пакетами. В большинстве случаев они не нужны, так как обновленная версия ПО будет использовать новые, но может быть и так, что некий установленный из внешних источников пакет требует именно эту библиотеку. В таком случае нужно разбираться: возможно есть более новая версия пакета, которая будет работать в новом выпуске с новыми библиотеками, в противном случае придется углубляться в тему, большинство библиотек поддерживают обратную совместимость и бывает достаточно создать символическую ссылку с именем старой библиотеки.\nДля полного обновления выполните:\n1apt full-upgrade В нашем случае видим, что пакет curl таки будет обновлен и при этом будет удалена одна библиотека и установлена новая. После чего еще раз перезагружаем систему. Теперь можно подключить сторонние репозитории, естественно обновленные, для обеспечения совместимости с новым выпуском и установить новые версии используемого ПО. И наконец, убедившись, что все работает как надо, выполним очистку от более не используемых пакетов:\n1apt autoremove Теперь у вас работает новый выпуск Debian, как видим, обновление - это совсем не сложно, но требует определенного понимания выполняемых действий и дополнительного контроля ряда операций. Ну также не забывайте о резервных копиях, несмотря на то, что Debian очень стабильная система, всегда может что-то пойти не так.\n","id":"8e476019c536ff7600680a597d3c2467","link":"https://interface31.ru/post/linux---nachinayushhim-obnovlenie-debian-do-sleduyushhego-vypuska/","section":"post","tags":["APT","Debian","Linux"],"title":"Linux - начинающим. Обновление Debian до следующего выпуска"},{"body":"Proxmox Mail Gateway - бесплатный, но гибкий и мощный пограничный почтовый шлюз от компании Proxmox, более известной своими средствами виртуализации. Как и остальные продукты, он выделяется простым и удобным веб-интерфейсом, позволяющим быстро и удобно настраивать продукт. Но как быть, если нужно выполнить большое количество однотипных действий? Либо интегрировать шлюз с каким-либо иным используемым вами ПО? В таком случае вам следует использовать API - специальный программный интерфейс, открывающий широкие возможности для автоматизации.\nКак и многие другие наши статьи, эта появилась благодаря обратной связи. Один из наших коллег спросил: а можно ли как-то автоматизировать добавление объектов в белый список? Список относительно небольшой - 150-200 email-адресов и десяток-другой доменов. Но забивать его руками - то еще удовольствие, кроме того, списки следует время от времени дополнять и этот процесс тоже хотелось бы автоматизировать.\nЗдесь мы вплотную подошли к понятию API (application programming interface) - программного интерфейса приложения, это набор высокоуровневых способов взаимодействия с приложением без необходимости вникать во внутреннее устройство продукта. API, как правило, хорошо документированы и остаются постоянными, либо сохраняют обратную совместимость, на всем жизненном цикле ПО. Это позволяет создать инструмент автоматизации единственный раз и не беспокоиться о том, что разработчики что-то серьезно поменяют в его внутреннем устройстве, разве что только расширять возможности, если в API появятся новые функции.\nProxmox Mail Gateway имеет достаточно обширный и развитый API, который полностью описан в документации. На первый взгляд она может показаться довольно сложной, но на самом деле разобраться в ней несложно, даже если вы делаете это в первый раз.\nСлева представлено древовидное представление всех доступных через API объектов, а справа показаны доступные с ними действия. Работать с API можно как по протоколу HTTP, так и через интерфейс командной строки, в данной статье мы будем рассматривать именно последний способ.\nВернемся к нашей задаче, раскроем последовательно пункты config - ruledb - who и найдем объект email, справа мы увидим его состав: строковое поле email для хранения почтового адреса и целочисленный ogroup - идентификатор группы объекта. Также нам доступно действие create, т.е. создание объекта. Если мы перейдем к уже созданному объекту, то увидим, что в его составе появилось еще одно целочисленное поле - id - идентификатор объекта. Чтобы не путаться в дальнейшем давайте уделим идентификаторам несколько минут. Разворачивая в дереве папку who мы увидим вложенную в нее папку {ogroup}, которая уже содержит все нужные нам объекты. Что такое {ogroup}? Это объект-владелец, если мы заглянем в веб-интерфейс, то увидим, что внутри объекта Who уже созданы два списка, черный и белый, каждый из них имеет свой id, который будет являться ogroup для всех нижестоящих объектов, т.е. показывать их принадлежность к тому или иному списку.\nДля объекта электронного адреса нам доступно два действия: get - получить данные объекта и set - установить новые значения. Например, мы можем изменить электронный адрес записи, если вы вдруг ошиблись при вводе. А вот если мы захотим удалить какую-либо запись, то нам придется пойти другим путем. Для этого не нужно уточнять тип записи, достаточно знать ее идентификатор и идентификатор группы владельца. Как видим - все довольно несложно, если есть желание, то разобраться в структуре и методах работы с API можно довольно быстро. Тем более что примеры использования приведены на каждой странице, нас сейчас интересуют те, которые помечены как CLI, по сути, это готовые команды, все что вам остается сделать, это правильно подставить в них идентификаторы.\nДля работы через интерфейс командной строки предназначена специальная утилита pmgsh, есть два варианта ее использования: можно использовать ее как команду, каждый раз передавая ей параметры, либо запустить как отдельную консоль и работать с ней интерактивно, последний вариант, если вы работаете руками, более удобен, так как в нем будет действовать автодополнение по Tab.\nЧтобы войти в отдельную консоль достаточно запустить pmgsh без параметров, при этом изменится приглашение командной строки:\n1pmgsh Теперь можно выполнять команды, давайте посмотрим какие объекты есть внутри Who:\n1get /config/ruledb/who В качестве альтернативы можно выполнить, если вы по какой-то причине не хотите переходить в отдельную консоль, следующую команду:\n1pmgsh get /config/ruledb/who В выводе мы увидим две предустановленные группы: глобальные белый и черный списки, а также их идентификаторы. Отдельно следует обратить внимание на формат вывода - это JSON, это специальный формат обмена данными, который легко читается людьми и широко поддерживается в различном ПО и языках программирования. Проще говоря, если вам нужно передать результат для автоматической обработки дальше, то это не составит особого труда. Ну а для того, кто знает, что такое JSON и как с ним работать - ничего вообще пояснять не нужно.\nУзнав из вывода прошлой команды идентификатор белого списка получим его состав:\n1get /config/ruledb/who/3/objects Пока в нем находится один единственный адрес, добавленный разработчиками для примера. Еще одна тонкость, для получения состава списка мы использовали objects, потому как для отдельных видов записей, таких как email, domain или ip действие get недоступно, только create. Чтобы не путаться в доступных действиях всегда смотрите документацию, она должна стать вашей настольной книгой при работе с API Proxmox Mail Gateway.\nДавайте попробуем что-нибудь создать, например, новый почтовый адрес:\n1create /config/ruledb/who/3/email --email ivanov@example.com В данной команде мы указали ogroup - 3, т.е. белый список, затем уточнили, что создаем объект email и через двойной дефис указали добавляемый параметр и его значение. Затем можем снова запросить список объектов белого списка и увидеть, что в него добавлен еще один адрес. Аналогичным образом мы можем добавить объект другого типа, скажем, домен:\n1create /config/ruledb/who/3/domain --domain interface31.ru А теперь заглянем в веб-интерфейс, где увидим в составе белого списка все добавленные нами через API элементы. Создавать объекты мы уже научились, теперь попробуем удалить. Допустим мы хотим удалить адрес добавленый для примера, для этого нам нужно знать его идентификатор и идентификатор группы, все это есть на скриншотах выше: id - 2, ogroup - 3. Располагая данной информацией выполним команду:\n1delete /config/ruledb/who/3/objects/2 Если теперь проверить состав белого списка, то мы увидим там только внесенные нами записи. Теперь, когда вы уже немного освоились с API, перейдем к тому, ради чего мы все это затеяли - автоматизации. Хотя, возможно, найдутся и любители консоли, которым будет удобнее выполнять некоторые действия через API, нежели веб-интерфейс. Но у нас стоит простая, но утомительная задача - добавить в белый список некоторое количество записей, немного, всего сотню - другую.\nДавайте для примера создадим аналог такого списка. Перейдем в домашнюю директорию и создадим новый файл, в который внесем необходимые нам электронные адреса:\n1cd ~ 2nano email.list В данном примере мы использовали установленный по умолчанию в системе редактор nano, если у вас установлен mc и вам более по душе его редактор, то выполните:\n1mcedit email.list А теперь внесем этот список в Proxmox Mail Gateway и даже сможем обойтись без скриптов, выполнив в одну строку:\n1while read email ; do pmgsh create /config/ruledb/who/3/email --email \u0026#34;$email\u0026#34; ; done \u0026lt; email.list Результатом работы данной конструкции будет вывод идентификатора для каждой добавленной записи. То, что мы сделали, может показаться кому-то особой \u0026quot;консольной магией\u0026quot;, но на самом деле все просто. Команда while - do - done запускает цикл, который будет работать до тех пор, пока на вход поступают строковые данные, внутри цикла мы обращаемся к API и записываем новый объект email для каждой прочитанной строки. После чего мы воспользовались перенаправлением потоков и передали на вход команде содержимое текстового файла.\nРезультат, как говорится, налицо. Никакого ручного труда, особенно если данный список мы тоже можем сформировать автоматически. Всю рутину делает за нас компьютер, оставляя время на действительно важные и серьезные задачи. Данная статья не претендует на подробное руководство по работе с API, ее цель - познакомить вас с новым, мощным и удобным инструментом, а также показать все его преимущества на примере решения реальной задачи.\n","id":"c14e1da338cda88e952801f1ac567dd7","link":"https://interface31.ru/post/ispol-zuem-api-dlya-avtomatizacii-raboty-s/","section":"post","tags":["API","E-mail","Proxmox","Автоматизация","Безопасность","Сетевые технологии"],"title":"Используем API для автоматизации работы с Proxmox Mail Gateway"},{"body":"Безопасность небольших сетей - больная тема для большинства администраторов, особенно если это сети небольших филиалов, торговых точек и т.д. и т.п. Обычно ситуация усугубляется ограниченными бюджетами на оборудование и отсутствием самого понятия информационной безопасности у пользователей таких сетей. Вполне распространённой практикой является свободный доступ к сетевому оборудованию и гуляющий по рукам пароль Wi-Fi. Что можно сделать в такой ситуации? Довольно многое, если у вас на руках оборудование Mikrotik, а как - расскажем в данной статье.\nПрежде всего сформулируем задачу. Основную проблему небольших сетей можно выразить одной фразой - \u0026quot;проходной двор\u0026quot;. Сетевое оборудование часто располагается, где придется и физический доступ к нему никем не контролируется, также плохо все и с политиками безопасности, очень часто сотрудники просто не понимают, что плохого в том, если они \u0026quot;поделятся\u0026quot; Wi-Fi с соседями по офисному центру.\nПоэтому у многих администраторов есть запрос на то, чтобы нормально функционировать в пределах сети могли только доверенные устройства, а остальные, даже физически подключившись к ней, были бы крайне ограничены в сетевых возможностях. Аналогичная потребность есть и в учебных заведениях, но там несколько иная подоплека, заключающаяся в защите детей от информации, причиняющей вред их здоровью и развитию. Если перевести это с официального на русский, то ни при каких обстоятельствах устройство, подключенное в сеть учебного заведения не должно получить выход в интернет без многочисленной фильтрации запрашиваемого контента.\nВ общем задача понятна - построить сеть, в которой смогут работать только те устройства, которые будут явно одобрены администратором. Теперь посмотрим, какими средствами мы можем ее решить. Для этого снова вспомним как работают сети. Когда мы говорим о небольшой локальной сети, то подразумеваем IP-сеть поверх Ethernet. Вот об Ethernet сейчас и поговорим.\nПротокол IP, являясь протоколом сетевого уровня (L3), решает вопросы доставки пакетов между сетями, внутри же сети взаимодействие между узлами происходит на канальном уровне - L2. Для того, чтобы отправить кадр, а сети Ethernet оперируют именно кадрами, необходимо знать физический адрес (MAC) узла назначения. Но заголовки IP-пакета содержат только IP-адреса, как быть? Использовать протокол ARP, позволяющий получить MAC-адрес зная IP-адрес узла.\nПротокол достаточно прост, узел, который хочет узнать MAC-адрес другого узла отправляет широковещательный запрос \u0026quot;у кого адрес 192.168.0.х ответьте 192.168.0.y\u0026quot;, этот запрос получают все узлы, но отвечает только обладатель адреса \u0026quot;я 192.168.0.х, мой адрес 00:11:22:33:44:55\u0026quot;. Получив ответ на ARP-запрос узел помещает его в специальную таблицу, чтобы повторно не запрашивать при каждом обращении и формирует Ethernet-кадр для указанного MAC-адреса.\nКак это может нам помочь? У Mikrotik есть несколько режимов работы с протоколом ARP, один из них - reply-only - подразумевает что устройство не делает ARP-запросов, а отвечает только тем узлам, данные о которых занесены в ARP-таблицу вручную. Проще говоря, с данной настройкой роутер будет взаимодействовать только с теми устройствами, которые явно укажет администратор.\nКроме того, DHCP-сервер Mikrotik имеет режим, в котором адреса будут выдаваться только тем узлам, для которых включено резервирование, т.е. прописано явное соответствие между MAC-адресом и выдаваемым IP. Сочетание этих двух возможностей позволяет значительно повысить безопасность небольших сетей, не теряя при этом удобства администрирования.\nНо начнем мы с того, что просто настроим сеть обычным образом. Теперь, если заглянуть в IP - DHCP Server - Leases - то мы увидим выданные узлам сети IP-адреса, а в IP - ARP можем увидеть ARP-таблицу. Обратите внимание, что содержимое ARP-таблицы отличается от списка выданных адресов, к примеру в ней присутствует адрес 192.168.111.2 - это устройство со статически настроенным адресом, но так как оно взаимодействовало с роутером записи о нем попали в ARP-таблицу.\nИтак, сеть настроена, подключенные устройства отображаются в указанных выше таблицах. Это хорошо. Для чего мы так поступили? Чтобы не заполнять руками данные для привязки устройств к DHCP-серверу и таблице ARP. Начнем с DHCP, выбираем нужный нам узел и в меню правой кнопки мыши нажимаем Make Static. Выполнив данное действие для всех известных узлов переведем DHCP-сервер в режим статического пула, т.е. выдачи адресов только указанным узлам. Для этого перейдем в IP - DHCP Server - DHCP и откроем настройки экземпляра сервера, в нем изменим настройку Address Pool на static-only. Половина дела сделана, теперь идем в IP - ARP и выполняем аналогичную операцию для записей известных узлов, точно также делаем для них Make Static, при этом не забываем про записи узлов со статическими адресами. Выполнив эти действия, перейдем в свойства интерфейса, смотрящего в локальную сеть, скорее всего это будет сетевой мост (bridge), и изменим опцию ARP на reply-only. Обратите внимание, как изменилась после этого ARP-таблица, из нее пропали все динамические записи для данного интерфейса. Как на это отреагирует сеть? Для тех устройств, которые мы прописали, не изменится ничего, а вот все остальные теперь просто не смогут получить IP-адрес, но это полбеды, а если кто-то введет его вручную? Да пусть вводит, так как запись об этом узле отсутствует в ARP-таблице, то роутер не будет ему отвечать, даже пропинговать его не удастся. Как видим, достаточно простые настройки позволили нам существенно поднять безопасность сети, но как быть, если появится новый узел? Вам придется вручную добавить записи для него на DHCP-сервер и в ARP-таблицу. Либо можно включить опцию Add ARP For Leases в настройках DHCP-сервера и тогда ARP-таблица будет заполняться автоматически для выданных адресов. Как видим - это несложно, но требует постоянной ручной работы, поэтому данный метод подходит только для небольших сетей. В тоже время он показывает всю гибкость RouterOS, которая позволяет решать достаточно сложные сетевые задачи даже на самом недорогом оборудовании.\n","id":"02f1bb1744fc1b6e09e65008a0571c22","link":"https://interface31.ru/post/ispol-zuem-rezhim-arp-reply-only-dlya-povysheniya-bezopasnosti-seti-na-oborudovanii-mikrotik/","section":"post","tags":["ARP","DHCP","MikroTik","Безопасность"],"title":"Используем режим ARP reply-only для повышения безопасности сети на оборудовании Mikrotik"},{"body":"В середине октября достаточно неожиданно вышел очередной релиз отечественной операционной системы ROSA на базе платформы 2021.1. Это домашняя версия Fresh, которая может использоваться свободно без ограничений и предназначена в первую очередь для тестирования. Событие достаточно значимое, прошлый выпуск ROSA 11 базировался на платформе 2016.1, выпущенной более пяти лет назад, после чего никакими осязаемыми результатами разработчики порадовать нас не могли. Давайте же посмотрим к чему пришла ROSA за столь длительный срок.\nНапомним, что ROSA является российским дистрибутивом, основанным на Mandriva Linux, причем дистрибутивом самостоятельным, который использует собственную пакетную базу и имеет собственную среду разработки и сборки. Предыдущую версию вместе с краткой историей происхождения мы рассматривали в обзоре предыдущей платформы.\nДля тех, кто не читал, коротко расскажем: популярный в свое время дистрибутив Mandrake Linux, позже Mandriva изначально разрабатывался коммерческой компанией, которая так и не смогла найти работающую бизнес-модель и в начале 2010-х вплотную подошла к банкротству. Состав владельцев компании менялся и в него вошел фонд NGI, с российскими владельцами. Примерно в это же время Mandriva была взята за основу российского дистрибутива ROSA, а в 2010, после увольнения сотрудников французского подразделения они создали собственный форк системы - Mageia.\nНа этом пути разных ветвей дистрибутива разошлись, после ликвидации компании-владельца дистрибутива вся разработка Mandriva была выведена в Россию и таким образом ROSA получила полностью самостоятельную платформу с собственной средой разработки и сборки. Задел хороший, из российских дистрибутивов этим может похвастаться только Альт, все остальные используют пакетную базу более крупных систем: Debian или RHEL.\nНо с наследством можно поступить по-разному: можно приумножить, а можно и спустить... Но не будем забегать вперед. Первые версии ROSA выглядели действительно неплохо, полностью оправдывая название дистрибутива Fresh - свежий. Одновременно с ними были представлены и коммерческие версии - ROSA Enterprise Desktop (RED), который отличались от Fresh только наличием поддержки и большей стабильностью, основываясь на более старых версиях платформы. Т.е. сложилась уже вполне классическая схема, когда обычным пользователям дают более свежий дистрибутив, одновременно тестируя в нем новые технологии, которые затем переходят в коммерческую версию. Наиболее яркий пример - RHEL и Fedora.\nНо потом что-то пошло не так... Нет, внешне все выглядело более-менее прилично, так Desktop Fresh R11 вышел весной 2019 года, через год был выпущен R11.1, но в основе этих дистрибутивов продолжала лежать платформа 2016.1. Налицо потеря темпов развития дистрибутива, плюс не очень хороший информационный фон, который начал складываться вокруг разработчиков. Достаточно широкое освещение в сети получила весьма некрасивая история с драйверами NVMe, которые были включены в состав дистрибутива, но при этом не были выполнены предварительные договоренности с разработчиком.\nНо теперь, вроде-бы, дождались, официально представлена новая ROSA Fresh Desktop 12 на базе платформы 2021.1, предназначенная пока для тестирования, коммерческие дистрибутивы на ее базе обещают представить позднее. Ну что же, давайте посмотрим.\nУстановочный дистрибутив загружается в режиме LiveCD, что дает возможность проверить совместимость с железом еще до установки, это положительный момент, но нас более интересует установленная система. И вот первая неожиданность: вместо оригинального, минималистичного и отлично оформленного фирменного инсталлятора нас встречает Anaconda - стандартный установщик RHEL-based систем. Нет, Anaconda ничем не плоха, но разработчики не постарались даже минимально внести какой-то фирменный стиль, хотя все возможности к этому имеются. Такая потеря собственной идентичности уже тревожный сигнал. Интерфейс входа в систему реализован на GDM и также потерял собственную индивидуальность, теперь всё как у всех. Внутри нас ожидает KDE Plasma 5 с минимальным собственным оформлением, от ROSA остались, пожалуй, только значки, остальное - самый обычный KDE. Про то, что в системе слишком много KDE и мало индивидуальности мы писали в предыдущем обзоре, но все-таки в R11 было много ярких и самобытных элементов: экран входа, меню, значки. Теперь KDE стало еще больше, а индивидуальных черт еще меньше, что абсолютно не радует. Набор программ в целом стандартный, версии ПО достаточно свежие, никаких проблем здесь не возникает. А вот дальше лезут недоработки, причем очень грубые. Так при переключении на темную тему мы получаем весьма и весьма неожиданный результат. Причем это не стороннее ПО, а установленное в системе по умолчанию. Нет, возможно найдутся ценители абстрактного искусства, кому такой вариант придется по душе, но большинство пользователей просто хотят работать с комфортом. Причем далеко ходить за этим не нужно - и LibreOffice и Gimp имеют в своем составе прекрасные темные темы, легким движением руки показанное выше непотребство превращается в довольно элегантную систему. Создается впечатление, что дистрибутив готовили или в спешке, или в условиях сильной ограниченности в ресурсах. Но изменения \u0026quot;под капотом\u0026quot; не менее интересны, приведем несколько цитат с официального сайта, начнем с общего описания изменений:\nОсуществлен переход с пакетных менеджеров RPM 5 и urpmi на RPM 4 и dnf, что позволило сделать работу пакетной системы гораздо стабильнее и предсказуемее\nУлучшена совместимость с RPM-пакетами для дистрибутивов RHEL, CentOS, Fedora, SUSE: добавлены провайды в некоторые отличающиеся по именам пакетам, пакетный менеджер совместим с ними по формате метаданных репозиториев\nС одной стороны, все довольно логично - внедряем лучшее и перспективное. Но фактически разработчики одна за другой сдают позиции собственной платформы Mandriva в пользу стандартного RHEL-based.\nЕсли копнуть несколько глубже, то вырисовываются вовсе неприглядные вещи:\nни RPM 5, ни urpmi более не разрабатываются, ROSA и PLD остались единственными их использующими дистрибутивами, причем PLD уже более года прорабатывает переход на rpm4; в мире Linux нецелесообразно пытаться малыми силами тащить такую важную инфраструктурную вещь, как пакетная система\nurpmi, конечно, немного жалко, но желающих в одиночку тянуть urpmi и perl-URPM не нашлось, а какого-либо критически важного функционала, отсутствующего в DNF, в urpmi нет\nЗа этими, на первый взгляд, обоснованными словами кроется неспособность разработчиков ROSA поддерживать и развивать собственную платформу, хотя все возможности к этому были и остаются. А также явно прослеживается желание уйти на \u0026quot;все готовое\u0026quot; в лице RHEL-based.\nлибо отвязать drakxtools от perl-URPM (или перейти на manatools, как минимум настройку часов оттуда точно нужно взять, т.к. она умеет не только в ntpd, а еще и в chrony и systemd-timesyncd, а это важно), либо придется оставить urpmi в качестве существующего параллельно с DNF пакетного менеджера, как в Mageia\nесли будет решено оставить urpmi и perl-URPM, то, во-первых, взять их версии из Mageia (они умеют работать c rpm4), во-вторых, перенести /usr/{sbin,bin}/{urpmi,urpme} куда-нибудь в /usr/lib/, а в (s)bin отставить dnf-URPM\nА вот это, на наш взгляд, полный финиш. Смысл этих строк до безобразия прост - разработчики расписались в полном бессилии по поддержке, принадлежащей им платформы, мало того, они не знают, что делать с собственной системой, так еще и предлагают заимствовать пакеты из форка Mandriva пути с которым разошлись более 10 лет назад. Еще раз: производитель коммерческих систем ROSA заимствует технологии у развиваемой сообществом Mageia.\nЕсли снова вспомнить R11, то дистрибутив включал в себя неплохие программы собственной разработки: медиа-плеер, программу заморозки состояния системы, средство создания загрузочных флешек. Что осталось от этого сейчас? Да ничего, кроме ROSA ImageWriter, а это еще один очень неприятный звоночек. Дистрибутив становится все более похож на очередной клон RHEL с нескучными обоями, а они тут есть, вашему вниманию представляем графическую работу \u0026quot;Алтай\u0026quot;. Нет, не подумайте ничего плохого, а данная работа нам очень понравилась, но, согласитесь, это не то, чего ожидаешь от платформы после пятилетней паузы.\nА что же осталось от Mandriva? Немного, на смену устаревшему Rpmdrake пришел не менее морально устаревший dnfdragora, в современную эпоху магазинов все это выглядит архаично и требует от пользователя достаточно специфичных знаний о пакетах. Но компьютер сегодня - это не удел профессионалов, пользователь должен включить его в розетку и работать, не вникая в подробности внутреннего устройства. Также остались некоторые инструменты настройки системы, такие как брандмауэр, родительский контроль и т.д., но выглядят они в среде Plasma чужеродно и это сразу бросается в глаза, поэтому снова появляется нехорошее предчувствие, что их развитием никто заниматься не собирается и присутствуют они тут только \u0026quot;по инерции\u0026quot;. Хотя инструменты, между прочим, хорошие. Именно благодаря им Mandrake сумел выделиться на фоне массы других дистрибутивов и стать первым Linux с человеческим лицом.\nВ остальном же это вполне современный дистрибутив, достаточно простой и удобный в обращении. Так в сетевых возможностях добавили поддержку всего, что нужно и что не нужно, мы теряемся в догадках кому на практике может пригодиться DNS-туннель iodine. Мультимедийные возможности также на высоте, мы без проблем посмотрели ролики в разрешении 4K без какой-либо фатальной нагрузки на систему. И сказать чего-либо плохого о новой ROSA нельзя, система соответствует всем современным требованиям. Но есть и другие критерии, о них поговорим ниже.\nВыводы Если судить внешне, то ROSA Fresh Desktop 12 неплоха и многим пользователям она должна понравиться. Но если копать глубже, то новый выпуск фактически подтвердил неспособность разработчиков поддерживать и развивать собственную платформу. Их мотивация на первый взгляд понятна, мол к чему тратить силы на что-то свое, когда можно взять другое, широко используемое. Но ведь тот же Альт может и делает, именно свое, сегодня Сизиф самый крупный отечественный репозиторий.\nROSA, получив в наследство весьма популярную не только в России, но и во всем мире платформу так и не смогла повернуть это к своей пользе. Хотя возможности были: Mandriva - одна из немногих самостоятельных платформ со сложившимся сообществом пользователей и имеющая перспективы развития. Но увы, сегодня ни о каком развитии речи не идет, наоборот, на полном серьезе обсуждаются заимствования из Mageia и переход на пакетную базу RHEL.\nНо все становится на свои места, если посмотреть на ситуацию с другой стороны. Развитие собственной платформы требует определенных затрат и инвестиций здесь и сейчас, это стратегический вложения и выгода от них проявится только в долгосрочной перспективе. В тоже время есть достаточно горячий рынок импортозамещения, где можно сделать деньги прямо сегодня, так для чего вкладываться в непонятные перспективы? Надо ковать железо, не отходя от кассы.\nЕсли смотреть с этой стороны, то все логично: зачем лишние расходы, если можно взять обычный RHEL-based, немного допилить и продать по линии импортозамещения.\nПоэтому, как ни грустно это признавать, ROSA как последователь Mandriva фактически закончился, если вы хотите приобщиться к этому дистрибутиву, то осталась только Mageia. ROSA же сегодня стремительно трансформируется в еще один Linuх для импортозамещения, хотя начиналось все вполне неплохо и обнадеживающе.\n","id":"05cecef8171b925a07e343fdb9edcd9f","link":"https://interface31.ru/post/rosa-fresh-desktop-12-esli-chestno-to-uzhe-i-ne-zhdali/","section":"post","tags":["Linux","Mandriva","ROSA","Импортозамещение"],"title":"ROSA Fresh Desktop 12 - если честно, то уже и не ждали..."},{"body":"Режим беспроводной станции (клиента) используется в Mikrotik гораздо реже, чем режим точки доступа, но часто, когда возникает в этом потребность, администраторы сталкиваются с различного рода затруднениями. Во многом это происходит из-за недостаточного понимания особенностей работы беспроводного оборудования в данном режиме. Поэтому в рамках данной статьи мы решили познакомить читателей с теорией и практикой применения роутеров данного производителя в качестве беспроводной станции и ответить на часто задаваемые вопросы.\nНачнем с того, что с беспроводным оборудованием далеко не все так просто. Существует набор стандартов IEEE 802.11, более известный как Wi-Fi, который описывает требования для беспроводных сетей передачи данных и наличие его поддержки гарантирует совместимость устройств различных производителей. Проще говоря если у вас на точке доступа и на клиентском устройстве написано, что они поддерживают стандарт 802.11n, то они будут работать вместе, иначе - нет.\nНа самом деле устройства поддерживают не один, а целую группу стандартов для целей обратной совместимости и поэтому можно с уверенностью говорить, что любое купленное устройство с заявленной поддержкой Wi-Fi будет работать с другим таким же устройством в рамках протоколов 802.11.\nНо кроме обязательной поддержки стандарта многие производители реализуют собственные проприетарные решения для беспроводных устройств, при этом мы даже не будем касаться таких протоколов как Nstream и NV2, достаточно несоответствующих стандарту возможностей в рамках протокола 802.11. Следует понимать, что такие возможности поддерживаются только оборудованием определенного производителя и будут работать с другими устройствами. Это не хорошо и не плохо, но вы всегда должны четко знать, что именно из предоставляемых оборудованием функций соответствует стандарту 802.11, а что добавлено от производителя.\nИ, наконец, даже у одного производителя могут быть различные линейки или режимы работы беспроводного оборудования, имеющие ограниченную совместимость даже с собственными решениями. У Mikrotik это программный контроллер беспроводной сети CAPsMAN. И если вы применяете подобные решения, то также требуется принимать во внимание их особенности и ограничения.\nРежимы работы беспроводной станции в Mikrotik Оборудование Mikrotik предоставляет достаточно богатый набор режимов для беспроводной станции, часть из них являются стандартными, другая часть содержит проприетарные расширения, поэтому мы подготовили небольшую таблицу совместимости, позволяющую быстро оценить применимость того или иного режима.\nКолонка 802.11 показывает возможность работы беспроводной станции со стандартным оборудованием других производителей, RouterOS - совместимость с точками доступа Mikrotik в обычном режиме, а CAPsMAN - в режиме программного контроллера. Совместимость с протоколами Nstream и NV2 нами не рассматривается, так как далеко выходит за рамки данной статьи.\nРежим station Самый простой режим работы, при котором беспроводной модуль устройства выполняет роль обычного Wi-Fi адаптера, подключаясь к точке доступа как клиентское устройство. Режим полностью совместим с 802.11, что позволяет подключаться клиентом к оборудованию других производителей, также поддерживается работа с точками доступа управляемыми CAPsMAN.\nНо в данном режиме беспроводной интерфейс не является прозрачным для L2 трафика, даже если вы поместите его в мост и объединить сети на канальном уровне таким образом не получится. Для того, чтобы устройства сегмента LAN2 на схеме ниже могли получить доступ к сегменту LAN1 или интернету вам потребуется маршрутизатор (роутер) один из сетевых интерфейсов которого будет работать в режиме беспроводной станции. Какие-либо сложности при настройке данного режима отсутствуют, вам нужно указать SSID сети, рабочую частоту (канал), ширину канала и режим работы. Для поиска доступных к подключению беспроводных сетей можно воспользоваться кнопкой Scan, параметры безопасности задаются выбором соответствующего Security Profile, также не забудьте указать режим использования частотного диапазона в Frequency Mode, наиболее правильным решением будет использование варианта regulatory-domain - использование ограничений в соответствии с национальными требованиями. Здесь же указываем нужный региональный шаблон, для России сегодня это russia3. Режим station-bridge Это проприетарный режим прозрачной станции, поддерживаемый только точками доступа Mikrotik и несовместимый с CAPsMAN. Основным ее отличием от простой станции является поддержка режима моста L2 для трафика устройств находящихся за станцией, в данном случае вы можете добавить беспроводной интерфейс в мост и все устройства сегмента LAN2 получат прозрачный доступ на канальном уровне в сегмент LAN1 как-бы находясь с ними в единой сети. Фактически беспроводной канал используется в режиме моста, но со стандартными настройками точки доступа, которая может продолжать принимать подключения от обычных клиентов. Данный режим обычно используется для объединения собственных сетей, когда иного варианта доступа, нежели беспроводной канал, нет.\nКаких-либо особенностей или отличий в настройках беспроводного модуля от режима station нет.\nРежим station-pseudobridge Достаточно интересный режим псевдопрозрачного моста, к плюсам которого можно отнести совместимость с оборудованием сторонних производителей и CAPsMAN. Но на этом плюсы заканчиваются, далее идут многочисленные и очень серьезные ограничения. В режиме псевдомоста станция заменяет исходные MAC-адреса кадров на собственный адрес и ведет таблицу сопоставления MAC - IPv4 для обратной трансляции, для протоколов отличных от IPv4 выполнить сопоставление невозможно и для обратной замены используется MAC-адрес первого полученного кадра с отличным от IPv4 содержимым.\nТаким образом прозрачный доступ на канальном уровне будет иметь только одно устройство, чей кадр был получен первым, остальные узлы сети будут иметь ограниченный доступ на уровне служб IPv4. Производитель советует по возможности избегать этого режима и использовать только тогда, когда иные возможности создания L2 моста недоступны или за станцией находится только одно сетевое устройство. На практике данный режим следует использовать исключительно для прозрачного доступа единственного экземпляра оборудования в беспроводную сеть на оборудовании стороннего производителя или управляемую CAPsMAN при отсутствии иных возможностей подключения.\nРежим station-pseudobridge-clone Еще один вариант псевдопрозрачного моста, но в данном случае станция заменяет MAC-адреса источника на адрес одного из узлов сети, который либо задан в настройках, либо был получен из первого перенаправленного кадра. Со стороны точки доступа это будет выглядеть как будто к ней непосредственно присоединился данный узел. Фактически данный режим дает возможность прозрачного моста для единственного выбранного устройства, а возможность явно задать нужный MAC-адрес исключает элемент случайности.\nДля указания MAC-адреса клиента перейдите на закладку Advanced беспроводного интерфейса и заполните поле Station Bridge Clone MAC. Используя данный режим будьте осторожны, так как у вас появляется два устройства с одинаковым MAC-адресом и при одновременном подключении их к сети вы можете получить самые неожиданные последствия.\nРежим station-wds Также является проприетарным и поддерживается только точками доступа под управлением RouterOS, не работает с CAPsMAN. Мы сейчас не будем подробно разбирать режим WDS (Wireless Distribution System) - это устаревшая технология расширения покрытия беспроводной сети, в данном случае от WDS сохранилось больше название и общие принципы, сама технология значительно переработана Mikrotik.\nЭто единственный режим, поддержку которого нужно включать со стороны точки доступа. Но в чем его преимущества и какие возможности он дает? Основное отличие данного режима в том, что между точкой доступа и беспроводной станцией создается соединение точка-точка и отдельный WDS-интерфейс для него. Это позволяет точке раздельно направлять данные к WDS-клиентам, а наличие отдельных интерфейсов позволяет использовать фильтрацию трафика, маршрутизацию и т.д. и т.п. При этом соединение остается прозрачным для L2 трафика, но добавляет возможность работы с Bridge Firewall. Для использования режима WSD его потребуется включить на точке доступа, для этого на закладке WDS беспроводного интерфейса установите параметр WDS Mode в dynamic для динамического создание WDS-интерфейсов, или static если вы будете создавать их вручную. Опция WDS Default Bridge определяет мост, к которому по умолчанию будут подключаться WDS-интерфейсы. Со стороны станции настройки ничем не отличаются от стандартных. Но теперь при подключении станции на точке доступа будет автоматически создан новый интерфейс и включен в указанный в настройках мост. При ручном создании WDS интерфейса вам следует перейти в Wireless - Wi-Fi Interfaces и нажатием на \u0026quot;плюс\u0026quot; создать новый WDS, в настройках которого на одноименной вкладке в поле Master Interface следует выбрать желаемый беспроводной интерфейс, а в поле WDS Address следует указать MAC-адрес беспроводного интерфейса клиентской станции. Говорить о практическом использовании режима station-wds можно долго, благодаря наличию отдельного сетевого интерфейса для каждого клиента вырисовываются перспективы построения достаточно сложных сетевых конфигураций. Но не забывайте о рациональности, не следует усложнять там, где это не нужно и если вам нужен просто беспроводной L2-мост, то лучше использовать station-bridge.\n","id":"13b6d992ac1df81f70b445d3fdca6e0e","link":"https://interface31.ru/post/rabota-routerov-mikrotik-v-rezhime-besprovodnoy-stancii/","section":"post","tags":["MikroTik","Wi-Fi","Сетевые технологии"],"title":"Работа оборудования Mikrotik в режиме беспроводной станции (клиента)"},{"body":"После того, как вы освоили базовые принципы работы с Linux, позволяющие более-менее уверенно чувствовать себя в среде этой операционной системы, следует начать углублять свои знания, переходя к более глубоким и фундаментальным принципам, на которых основаны многие приемы работы в ОС. Одним из важнейших является понятие потоков, которые позволяют передавать данные от одной программы к другой, а также конвейера, позволяющего выстраивать целые цепочки из программ, каждая из которых будет работать с результатом действий предыдущей. Все это очень широко используется и понимание того, как это работает важно для любого Linux-администратора.\nПрежде всего определимся с терминами. Мы часто говорим: \u0026quot;консоль\u0026quot;, \u0026quot;терминал\u0026quot;, \u0026quot;командная строка\u0026quot; - не сильно задумываясь о смысле этих слов и подразумевая под этим в большинстве своем CLI - интерфейс командной строки. Во многих случаях такое упрощение допустимо и широко используется в профессиональной среде. Но в данном случае точный смысл этих терминов имеет значение для правильного понимания происходящих процессов.\nСтандартные потоки Начнем с основного понятия - терминал. Он уходит корнями в далекое (по компьютерным меркам) прошлое и обозначает собой оконечное устройство, предназначенное для взаимодействия оператора и компьютера, к одному компьютеру может быть присоединено несколько терминалов, каждый из которых работает самостоятельно и независимо от других. Смысл современного терминала, а приложение для работы с командной строкой называется в Linux именно так, не изменился и сегодня, хотя, если быть точными, его название - эмулятор терминала. Данное приложение все также эмулирует оконечное устройство, предназначенное для взаимодействия пользователя с компьютером. Точно также мы можем запустить сразу несколько терминалов, каждый из которых будет работать независимо. Кроме того, следует понимать, что терминал может быть запущен как локально, так и удаленно, способ подключения к компьютеру может быть разным, но свойства терминала от этого не изменяются.\nРаботая с терминалом нам нужно каким-то образом передавать ему команды и получать результаты. Для этого предназначена консоль - совокупность устройств ввода-вывода обеспечивающих взаимодействие пользователя и компьютера. В качестве консоли на современных ПК выступают клавиатура и монитор, но это только один из возможных вариантов, например, в самых первых моделях терминалов в качестве консоли использовался телетайп. Консоль всегда подключена к текущему рабочему месту, в то время как терминал может быть запущен и удаленно.\nНо в нашей схеме все еще чего-то не хватает. При помощи консоли мы вводим определенные команды и передаем их в терминал, а дальше? Терминал - это всего лишь оконечное устройство для взаимодействия с компьютером, но не сам компьютер, выполнять команды или производить какие-либо другие вычисления он не способен. Поэтому на сцену выходит третий компонент - командный интерпретатор. Это специальная программа, обеспечивающая базовое взаимодействие пользователя и ОС, а также дающая возможность запускать другие программы. В большинстве Linux-дистрибутивов командным интерпретатором по умолчанию является bash. Теперь все становится на свои места. Для каждого сеанса взаимодействия пользователя и компьютера создается отдельный терминал, внутри терминала работает специальная программа - командный интерпретатор. При помощи консоли пользователь передает командному интерпретатору или запущенной с его помощью программе входящие данные и получает назад результат их работы. Осталось разобраться каким именно образом это происходит.\nДля взаимодействия запускаемых в терминале программ и пользователя используются стандартные потоки ввода-вывода, имеющие зарезервированный номер (дескриптор) зарезервированный на уровне операционной системы. Всего существует три стандартных потока:\nstdin (standard input, 0) - стандартный ввод, по умолчанию нацелен на устройство ввода текущей консоли (клавиатура) stdout (standard output, 1) - стандартный вывод, по умолчанию нацелен на устройство вывода текущей консоли (экран) stderr (standard error, 2) - стандартный вывод ошибок, специальный поток для вывода сообщения об ошибках, также направлен на текущее устройство вывода (экран) Как мы помним, в основе философии Linux лежит понятие - все есть файл. Стандартные потоки не исключение, с точки зрения любой программы - это специальные файлы, которые открываются либо на чтение (поток ввода), либо на запись (поток вывода). Это вызывает очевидный вопрос, а можно ли вместо консоли использовать файлы? Да, можно и здесь мы вплотную подошли к понятию перенаправления потоков.\nПеренаправление потоков Начнем с наиболее простого и понятного - потока вывода. В него программа отправляет результат своей работы, и он отображается на подключенном к консоли устройстве вывода, в современных системах это экран. Допустим мы хотим получить список файлов в директории, для этого мы набираем на устройстве ввода консоли команду:\n1ls -l dir1 Которая через стандартный поток ввода будет доставлена командному интерпретатору, тот запустит указанную программу и передаст ей требуемые аргументы, а результат вернет через стандартный поток вывода на устройство отображения информации. 1ls -l dir1 \u0026gt; result На экран теперь не будет выведено ничего, но весь вывод команды окажется в файле result, который мы можем прочитать следующим образом:\n1cat result При таком перенаправлении вывода файл-приемник каждый раз будет создаваться заново, т.е. будет перезаписан. Это очень важный момент, сразу и навсегда запомните \u0026gt; - всегда перезаписывает файл! Можно ли этого избежать? Можно, для того, чтобы перенаправленный поток был дописан в конец уже существующего файла используйте для перенаправления знак \u0026gt;\u0026gt;.\nНемного изменим последовательность команд:\n1ls -l dir1 \u0026gt; result 2ls -l dir2 \u0026gt;\u0026gt; result Теперь в файл попал вывод сразу двух команд, при этом, обратите внимание, первой командой мы перезаписали файл, а второй добавили в него содержимое из стандартного потока вывода.\nПойдем дальше. Как видим в выводе кроме списка файлов присутствуют строки \u0026quot;итого\u0026quot;, нам они не нужны, и мы хотим от них избавиться. В этом нам поможет утилита grep, которая позволяет отфильтровать строки согласно некому выражению. Например, можно сделать так:\n1ls -l dir1 \u0026gt; result 2ls -l dir2 \u0026gt;\u0026gt; result 3grep rw result \u0026gt; result2 В целом результат достигнут, но ценой трех команд и наличием одного промежуточного файла. Можно ли сделать проще?\nДо этого мы перенаправляли поток вывода, но тоже самое можно сделать и с потоком ввода, используя для этого знак \u0026lt;. Например, мы можем сделать так:\n1grep rw \u0026lt; result Но это ничего не изменит, поэтому мы пойдем другим путем и перенаправим на ввод одной команды вывод другой:\n1grep rw \u0026lt;(ls -l dir1) \u0026lt;(ls -l dir2) На первый взгляд выглядит несколько сложно, но обратимся к man по grep:\n1grep [OPTIONS] PATTERN [FILE][FILE...] В качестве паттерна мы используем rw, который есть в каждой интересующей нас строке, а в качестве файлов отдаем стандартный файл потока ввода, содержимого которого является результатом работы команды, указанной в скобках. А можно направить результат этой команды в файл? Конечно, можно:\n1grep rw \u0026lt;(ls -l dir1) \u0026lt;(ls -l dir2) \u0026gt; result В последней команде мы перенаправили не только потоки ввода, но и поток вывода, при этом нужно понимать, что все перенаправления относятся к первой команде, иначе можно подумать, что в result будет выведен результат работы ls -l dir2, однако это неверно.\nНемного особняком стоит стандартный поток вывода ошибок, допустим мы хотим получить список файлов несуществующей директории с перенаправлением вывода в файл, но сообщение об ошибке мы все равно получим на экран. Почему так? Да потому что вывод ошибок производится в отдельный поток, который мы никуда не перенаправляли. Если мы хотим подавить вывод сообщений об ошибках на экран, то можно использовать конструкцию:\n1ls -l dir3 \u0026gt; result 2\u0026gt;/dev/null В данном примере весь вывод стандартного потока ошибок будет перенаправлен в пустое устройство /dev/null.\nНо можно пойти и другим путем, перенаправив поток ошибок в стандартный поток вывода:\n1ls -l dir3 \u0026gt; result 2\u0026gt;\u0026amp;1 В этом случае мы перенаправили поток вывода об ошибках в стандартный поток вывода и сообщение об ошибке не было выведено на экран, а было записано в файл, куда мы перенаправили стандартный поток вывода.\nКонвейер В предыдущих примерах мы научились перенаправлять стандартные потоки ввода-вывода и даже частично коснулись вопроса о направлении вывода одной команды на вход другой. А почему бы и нет? Потоки стандартные, это позволяет использовать вывод одной команды как ввод другой. Это еще один очень важный механизм, позволяющий раскрыть всю мощь Linux в реализации очень сложных сценариев достаточно простым способом.\nДля того, чтобы перенаправить вывод одной программы на вход другой используйте знак |, на жаргоне \u0026quot;труба\u0026quot;.\nСамый простой пример:\n1dpkg -l | grep gnome Первая команда выведет список всех установленных пакетов, вторая отфильтрует только те, в наименовании которых есть строка \u0026quot;gnome\u0026quot;. Длинна конвейера ограничена лишь нашей фантазией и здравым смыслом, никаких ограничений со стороны системы в этом нет. Но также в Linuх нет и единственно верных путей, каждую задачу можно решить самыми различными способами. Возвращаясь к получению списка файлов двух директорий мы можем сделать так:\n1cat \u0026lt;(ls -l dir1) \u0026lt;(ls -l dir2) | grep rw \u0026gt; result Какой из этих способов лучше? Любой, Linux ни в чем не ограничивает пользователей и предоставляет им много путей для решения одной и той же задачи.\nЕще один важный момент, если вы повышаете права с помощью команды sudo, то данное повышение прав через конвейер не распространяется. Например, если мы решим выполнить:\n1sudo command1 | command2 То первая команда будет выполнена с правами суперпользователя, а вторая с правами запустившего терминал пользователя.\n","id":"a08bfc6eef167d6fe1d0616664a521c3","link":"https://interface31.ru/post/linux---nachinayushhim-chast-7-potoki-perenapravlenie-potokov-konveyer/","section":"post","tags":["Debian","Linux","Ubuntu","Ubuntu Server"],"title":"Linux - начинающим. Часть 7. Потоки, перенаправление потоков, конвейер"},{"body":"Импортозамещение в последние годы показывает явное стремление перейти от слов к делу. Разрабатываются и внедряются отечественные продукты на базе открытых технологий, появляются собственные оригинальные системы, ширится поддержка Linux со стороны разработчиков оборудования и прикладного ПО. Может быть не все идет гладко, но общее направление можно только приветствовать. Но есть и оборотная сторона медали. Отсутствие сложившихся критериев и сравнительная молодость этой отрасли приводят к появлению достаточно сомнительных проектов, формально, тем не менее удовлетворяющих всем требованиям.\nВедущих разработчиков отечественных операционных систем представлять не нужно. Это, в первую очередь, Альт, с собственной платформой и самым большим российским репозиторием Сизиф. Основанная на Debian Астра нацелена на рынок защищенных систем, работающих с гостайной и в силовых структурах. Наследники французской Mandriva - ROSA, хотя у них последнее время и не все гладко, но тем не менее компания продолжает развитие собственного оригинального дистрибутива.\nВсе, что объединяет эти компании - это собственный вклад в платформу Linux, где не просто берут готовое, но вносят еще и от себя. Есть различные мнения насчет отечественных ОС, но в любом случае невозможно не признать, что все они являются результатом собственной работы и имеют существенные отличия от лежащих в основе систем.\nНо кроме признанных игроков на рынке хватает систем от менее именитых разработчиков. И здесь вы вряд ли пройдете мимо AlterOS, что касается пиара - с этим у компании все в порядке. А вот все остальное вызывает противоречивые чувства, особенно с учетом неоднозначного бэкграунда вокруг продуктов компании-разработчика. Но обо всем по порядку.\nAlterOS Официальный сайт AlterOS представляет собой продающий одностраничник, который более бы подошел для продающей компании, нежели для разработчика ПО. Технических данных вы там не найдете, зато вас встретит очень много маркетинга, рассказывающего вам о том, какая прекрасная система вас ожидает и как вам повезло, что вы сюда попали.\nС каждым годом количество пользователей операционной системы AlterOS непрерывно растет, а сотни успешно реализованных проектов по миграции инфраструктуры заказчиков на новую операционную систему AlterOS позволили ей выйти в лидеры рынка по импортозамещению программного обеспечения.\nНеплохая заявка, а где я могу посмотреть реализованные проекты? А, все, понял, вопрос не к месту... Читаем дальше. А дальше сразу берут быка за рога. Ну незачем ходить вокруг да около, есть проблема - импортозамещение? У нас есть решение.\nВ рамках осуществления стратегии импортозамещения компания «АЛМИ Партнер» разрабатывает и внедряет собственное отечественное программное обеспечение.\nВ принципе в этом нет ничего плохого. Есть запрос на отечественное ПО, есть спрос, вполне резонно возникнуть предложению. А дальше уже бизнес и то, что в его основе лежит СПО не исключает товарно-денежных отношений, любая разработка - это труд, а труд должен быть оплачен, прямо или косвенно.\nНо в данном случае нам прямо говорят - мы предлагаем решения для импортозамещения, именно так, т.е. фокус с разработки собственного ПО переносится на проблему импортозамещения. При этом нам рисуют самые радужные перспективы:\nШагая в ногу со временем, мы предлагаем вниманию пользователей новейшую отечественную операционную систему AlterOS, созданную на современном и функциональном ядре Linux\nНу и немного-немало:\nСпециально для российского потребителя была создана уникальная операционная система AlterOS, которая совмещает в себе удобство, стабильность и безопасность.\nЧтобы получить дистрибутив \u0026quot;уникальной\u0026quot; операционной системы нужно оставить контактные данные: email и телефон. Но можно без особого труда найти ссылки на скачивание в официальной Wiki, ссылка на которую есть на сайте. Затаив дыхание монтируем образ в виртуальную машину и ждем встречи с новейшим и уникальным продуктом.\nЧто-то знакомое, не правда ли? Перед нами Anaconda - штатный инсталлятор RHEL-based систем, что в принципе уже дает возможность предположить на чем основана AlterOS. Ну что же, выбор неплохой. Что RHEL, что CentOS - стабильные, проверенные временем системы, может быть консервативные в плане добавления последних версий ПО, но предсказуемые и надежные.\nА вот дальше - интереснее, мы не можем продолжить установку без ознакомления с EULA и ее безоговорочного принятия. Мы знаем, что лицензионные соглашения никто не читает, но в данном случае стоит это сделать. Текст лицензии просто и короток, но написан весьма и весьма обтекаемо, чтобы и вашим, и нашим. Вроде бы и никакие права и свободы, характерные для СПО, не нарушаются, но, с другой стороны, они вокруг обставлены собственными ограничениями. После входа в систему мы видим рабочий стол Cinnamon с кастомной темой оформления, назвать ее современной мы не можем, подобная стилистика устарела лет на десять, ну да это вкусовщина, в отличие от очень старого ядра, которое - неприятный факт. Подробности выясняются достаточно быстро и просто, перед нами производная от CentOS 7.5, увидевшего свет весной 2018 года. Учитывая консервативность RHEL и CentOS назвать сегодня седьмую версию новейшей и современной язык не повернется, тем более что последним выпуском семерки является CentOS 7.9 выпущенный осенью 2020 года. Мы понимаем, что сертификации ФСТЭК, заявленные на сайте, дело непростое и небыстрое. Но хоть какие-то движения по обновлению системы должны же быть. Далее мы старательно пытались отыскать отличия AlterOS от оригинала, занятие это забавное, сродни ребусу \u0026quot;найди 10 отличий\u0026quot;. Кроме как во внешнем виде сделать это затруднительно, перед нами классический CentOS, со всеми своими плюсами и минусами. Версии прикладного ПО ожидаемо древние, причем в некоторых случаях, скажем с браузером, это критично. Хотели посмотреть ролики на YouTube? Ну не в этот раз. А если учесть, что там не только развлекательное видео, но и обучающее (а собственного видеохостинга в порядке импортозамещения у нас пока нет), то как-то все это выглядит невесело. В общем и целом - это не проблема, подключаем репозиторий, обновляемся. Но это убивает на корню весь смысл импортозамещения, а в ряде случаев просто запрещено.\nИ что мы имеем в результате? Очень несвежий дистрибутив CentOS с минимальными изменениями, преимущественно во внешнем виде. Неудивительно, что вокруг \u0026quot;продукции\u0026quot; АЛМИ Партнер все время происходят какие-то не очень хорошие вещи:\nВ июне Ассоциация разработчиков программных продуктов «Отечественный софт» пожаловалась на компанию «Алми Партнёр» и её продукты, которые вошли в реестр отечественного софта, -- AlterOS и AlterOffice. Директор «Отечественного софта» считает, что эти продукты -- минимально переработанные открытые решения OpenSuse и LibreOffice, «в которых заменены иконки и названия приложений».\nИсточник\nЗдесь требуется дать некоторые пояснения, версии AlterOS 1.xx были основаны на OpenSuse и, самое интересное, имели гораздо более свежие версии ядер, вплоть до 4.4, но потом произошел резкий скачок в нумерации версий до 7.5 с одновременным откатом на ядро 3.10.\nС учетом всего вышесказанного нельзя пройти мимо и второго сделанного для импортозамещения продукта АЛМИ - офисного пакета.\nAlterOffice В состав одноименного дистрибутива данный офисный пакет не входит, но его можно без особого труда найти и скачать с официального сайта. Хотя никаких особых упоминаний о нем в составе дистрибутива вы не встретите, штатно там в качестве офисного пакета установлен LibreOffice 5. Что уже само по себе странно, ведь если у вас есть кроме коммерческой ОС еще и коммерческий офисный пакет, то почему бы сразу не предложить его пользователям? Тем более что он включен в реестр отечественного ПО.\nНормальный инсталлятор AlterOffice присутствует только для Windows, для Linux вам придется выкачать россыпь пакетов, а затем еще суметь это все установить. Хотя для более-менее подготовленного Linux-пользователя это не составит особого труда. Хотя уже глядя на названия пакетов нас начинают терзать смутные сомнения: И они не подвели, по сути, перед нами снова LibreOffice с некоторым количеством изменений, преимущественно косметических. А еще в составе поставки нашелся один очень интересный файл, который есть в оригинальном LO и в котором просто тупо заменили все вхождения LibreOffice на AlterOffice, правда сделали это небрежно и отсылки к исходному пакету все же остались. Ну да ладно, посмотрим на сам пакет. Мы понимаем, что понятия о прекрасном у всех разные, поэтому оставим это без комментариев. AlterOffice уже исключали из реестра отечественного ПО, но он все-таки смог туда вернуться. Общий смысл понятен - в реестр хоть тушкой, хоть чучелком, а внешний вид сделаем как можем, лишь бы отличался, а в описании продукта скромно напишем, что может включать элементы свободного ПО. Поэтому и к данному \u0026quot;продукту\u0026quot; вполне резонно возникают вопросы от других, гораздо более авторитетных специалистов в отрасли:\nAlterOffice, по сути, - незначительно модифицированная LibreOffice, которая распространяется на условиях свободной лицензии, полагает гендиректор компании «Базальт СПО» Алексей Смирнов. По его словам, условия лицензии таковы, что «Алми партнер» не могла получить исключительные права на программу, а это одно из ключевых требований к софту в реестре.\nНо в этой области сейчас переплелись множество интересов, поэтому не все голоса будут услышаны, особенно там, где речь идет о собственных финансовых интересах.\nВыводы Как правило, мы положительно настроены к отечественному ПО, даже с учетом всех его недостатков. Не ошибается только тот, кто ничего не делает. Но вместе с оригинальными разработками на рынок импортозамещения попадают и весьма спорные решения, подобные описанным в сегодняшней статье. С одной стороны, сказать что-то плохое про AlterOS и AlterOffice нельзя, да и что плохое можно сказать про CentOS и LibreOffice. Но, с другой стороны, вопросом меньше не становится. Поддержка CentOS 7 заканчивается через два с половиной года, но при этом AlterOS не спешит обновиться даже до доступных выпусков CentOS, оставаясь в далеком и светлом 2018 году.\nА что делать дальше? С точки зрения перехода на отечественное ПО срок в 2,5 года - это только начать. А дальше что? С учетом того, что Centos теперь не бесплатный клон RHEL, а его апстрим, сразу после Fedora. Куда потом пойти податься пользователям уникальной и новейшей?\nНо это уже совсем другая история. Главное ведь не это, а возможность участвовать в тендерах и госзакупках, ведь продукт формально соответствует всем требованиям, а значит может закупаться и приносить прибыль. А что будет завтра - это не столь важно, бизнес - ничего личного.\nЗдесь вполне уместно вспомнить поговорку про ловлю рыбки в мутной воде. К сожалению, такая практика у нас существует и существует достаточно неплохо. Хочется надеяться, что ситуация в дальнейшем будет меняться и на рынке останутся только действительно оригинальные решения с большой долей собственной разработки. Ну а пока имеем то, то имеем...\n","id":"d916a52bfe5edf640cd5548cc3f8316d","link":"https://interface31.ru/post/alteros-temnye-vody-otechestvennogo-importozameshheniya/","section":"post","tags":["CentOS","Linux","Импортозамещение"],"title":"AlterOS - темные воды отечественного импортозамещения"},{"body":"Управление VPN-подключениями в последних версиях Windows трудно назвать понятным и удобным. Часть настроек производится через современное приложение Параметры, другая часть, как и прежде, находится в Панели управления. Какие-то шаги к упорядочению этой ситуации сделаны только в Windows 11, но практического опыта работы с ней еще недостаточно. Но есть гораздо более простой и удобный способ управления VPN-соединениями - это PowerShell, его можно использовать как в интерактивном режиме, так и для написания скриптов автоматизации, которые будут производить настройку подключения в один клик.\nТема VPN является номером один для системных администраторов второй год, сложная эпидемиологическая обстановка диктует свои условия и требует обеспечить простой и безопасный способ удаленной работы для пользователей. И если с созданием VPN-сервера особых проблем нет - на выбор большое количество протоколов и технологий, то с клиентскими устройствами все намного сложнее.\nКак мы уже говорили выше, самостоятельно создать VPN-подключение, не совершив при этом ошибок, для обычного пользователя будет достаточно сложной задачей, что потребует от администратора либо длительных консультаций в телефонном режиме, либо самостоятельной настройки через удаленное подключение. Да и в повседневной работе ввести одну команду гораздо быстрее и удобнее, нежели прокликивать несколько форм в разных местах.\nДля управления VPN-соединениями мы будем использовать PowerShell, данные возможности поддерживаются начиная с Windows 8 и Windows Server 2012.\nСоздание VPN-соединения Для того, чтобы создать новое VPN-подключение используется командлет Add-VpnConnection, использовать который достаточно просто, обязательных параметров всего два: имя подключения и адрес сервера. Но это, конечно же, не наш метод, если возможности позволяют выполнить тонкую настройку, а они позволяют, то ее нужно выполнить. Поэтому давайте изучим доступные параметры, которые могут нам пригодиться:\nName - имя подключения, произвольная строка ServerAddress - адрес VPN сервера, можно указать как IP, так и FQDN TunnelType - тип туннеля, доступные значения: Pptp, L2tp, Sstp, Ikev2, Automatic EncryptionLevel - уровень шифрования данных, можно использовать: NoEncryption, Optional, Required, Maximum AuthenticationMethod - способ проверки подлинности, доступно: Pap, Chap, MSChapv2, Eap, MachineCertificate L2tpPsk - только для L2TP - предварительный общий ключ SplitTunneling - отключает перенаправление всего трафика в туннель, аналогично снятию флага Использовать основной шлюз в удаленной сети RememberCredential - запоминать учетные данные пользователя UseWinlogonCredential - использовать для VPN-подключения учетные данные для входа в систему AllUserConnection - создать подключение для всех пользователей Также нам пригодятся два служебных параметра:\nPassThru - выводит на экран результат выполнения команды Force - подавляет вывод запросов и некритичных ошибок, в запросах применяется действие по умолчанию Ниже мы рассмотрим команды для создания подключений всех поддерживаемых типов.\nPPTP Устаревший и небезопасный протокол, то один из самых быстрых типов подключения, все еще продолжает использоваться там, где не предъявляются высокие требования к защите данных, либо для этого используются иные механизмы, например, SSL/TLS. В качестве способа аутентификации следует использовать MS-CHAP v2, а уровень шифрования не ниже Required, что соответствует параметру Обязательное (отключиться если нет шифрования) в графическом интерфейсе.\n1Add-VpnConnection -Name \u0026#34;PPTP PS\u0026#34; -ServerAddress \u0026#34;192.168.3.107\u0026#34; -TunnelType \u0026#34;Pptp\u0026#34; -EncryptionLevel \u0026#34;Required\u0026#34; -AuthenticationMethod MSChapv2 -RememberCredential -SplitTunneling -PassThru Также мы добавили опции для отключения перенаправления трафика в туннель и разрешили запоминать учетные данные. Если вы указали параметр PassThru, то на экране появятся свойства созданного подключения, как на рисунке выше, без указания этого параметра вывод у команды отсутствуют.\nL2TP/IPsec В качестве L2TP будем рассматривать подключение с общим ключом, также используем MS-CHAP v2 и уровень шифрования Required и выше.\n1Add-VpnConnection -Name \u0026#34;L2TP PS\u0026#34; -ServerAddress \u0026#34;192.168.3.107\u0026#34; -TunnelType \u0026#34;L2tp\u0026#34; -L2tpPsk \u0026#34;MySharedKey\u0026#34; -Force -EncryptionLevel \u0026#34;Required\u0026#34; -AuthenticationMethod MSChapv2 -SplitTunneling -RememberCredential -PassThru Обратите внимание, что в данной команде мы использовали ключ Force, чтобы предотвратить появление запроса о том, что подтверждаем ли мы передачу общего ключа в открытой форме. Также, как и с PPTP-подключением мы отключили шлюз в VPN-сети и разрешили запоминать учетные данные.\nSSTP Для использования SSTP вам потребуется импортировать корневой CA-сертификат центра сертификации, выдавшего сертификат серверу в локальное хранилище компьютера, а также использовать в качестве адреса сервера FQDN-имя, указанное в его сертификате. В остальном все несложно, соединение создается уже привычной командой:\n1Add-VpnConnection -Name \u0026#34;SSTP PS\u0026#34; -ServerAddress \u0026#34;sstp.interface31.lab\u0026#34; -TunnelType \u0026#34;Sstp\u0026#34; -EncryptionLevel \u0026#34;Required\u0026#34; -AuthenticationMethod MSChapv2 -RememberCredential -SplitTunneling -PassThru Комментировать здесь мы ничего не будем, если вы внимательно читали статью, то все параметры будут вам понятны.\nIKEv2 А вот здесь уже интереснее, мы будем настраивать соединение с аутентификацией по сертификатам. Здесь вам также потребуется импортировать сертификаты в хранилище компьютера: сертификат CA и сертификат пользователя. А для настройки соединения используем следующую команду:\n1Add-VpnConnection -Name \u0026#34;IKEv2 PS\u0026#34; -ServerAddress \u0026#34;vpn.interface31.lab\u0026#34; -TunnelType \u0026#34;Ikev2\u0026#34; -EncryptionLevel \u0026#34;Required\u0026#34; -AuthenticationMethod MachineCertificate -SplitTunneling -PassThru Обращает внимание новый метод аутентификации MachineCertificate и отсутствие параметра RememberCredential, в данном случае пользователю не нужно вводить никаких учетных данных, поэтому и запоминать тут нечего. В качестве имени сервера используем FQDN или IP, в зависимости от того, что указано в Common Name сертификата сервера.\nИзменение параметров VPN-соединения Создавать подключения мы уже научились, но как быть, когда нам требуется что-то в них изменить? На помощь придёт командлет Set-VpnConnection, он использует все те же параметры что и Add-VpnConnection и позволяет изменить любой из них, для указания подключения используется параметр Name. Скажем, мы хотим изменить адрес сервера для PPTP подключения, нет ничего проще, указываем имя подключения, требуемый параметр и его новое значение:\n1Set-VpnConnection -Name \u0026#34;PPTP PS\u0026#34; -ServerAddress \u0026#34;vpn.interface31.lab\u0026#34; Немного сложнее с параметрами, использующими булево значение, такими как RememberCredential и аналогичными. Командлет Add-VpnConnection считал, что если параметр указан, то его значение - True или Истина (логическая 1), иначе - False или Ложь (логический 0). С Set-VpnConnection такой фокус не проходит, если мы просто укажем параметр, то он не поймет, чего именно мы от него хотим и выдаст сообщение об ошибке. Значение параметра потребуется указать явно.\nНапример, включим разрешение запоминать учетные данные:\n1Set-VpnConnection -Name \u0026#34;PPTP PS\u0026#34; -RememberCredential $True Для отключения введите:\n1Set-VpnConnection -Name \u0026#34;PPTP PS\u0026#34; -RememberCredential $False В тоже время служебные параметры PassThru и Force можно просто указывать без ввода значения, само их наличие воспринимается как Истина.\nПолучение информации о VPN-соединении Для получения информации о настроенных VPN-соединениях мы можем использовать командлет Get-VpnConnection, из параметров он поддерживает только Name и AllUserConnection, что позволяет отобразить параметры конкретного соединения и уточнить, что мы хотим видеть соединения всех пользователей, а не только текущего.\nЧтобы увидеть все VPN-соединения выполните:\n1Get-VpnConnection Для получения данных о конкретном соединении:\n1Get-VpnConnection -Name \u0026#34;PPTP PS\u0026#34; Возможностей у командлета немного, но со своей работой он справляется.\nУдаление VPN-соединения Для удаления соединения используется командлет, ему достаточно передать единственный параметр - Name, также можно дополнительно указать Force, если вы не хотите подтверждать запрос об удалении соединения.\n1Remove-VpnConnection -Name \u0026#34;PPTP PS\u0026#34; Но будьте осторожны и используйте Force только тогда, когда вы точно знаете какое соединение хотите удалить. Не рекомендуем использовать этот параметр интерактивно, так как есть риск, что вы можете указать не то соединение, все-таки запрос - лишний повод остановиться и подумать.\nДобавление маршрута при подключении Автоматическое добавление маршрутов при установлении VPN-подключения - больная тема для пользователей Windows, но PowerShell позволяет решить и этот вопрос, для этих целей есть отдельный командлет Add-VpnConnectionRoute, он весьма прост в использовании, вам нужно указать имя соединения в параметре ConnectionName и сеть назначения в параметре DestinationPrefix.\nНапример, добавим маршрут к сети 192.168.111.0/24 через подключение L2TP PS:\n1Add-VpnConnectionRoute -ConnectionName \u0026#34;L2TP PS2\u0026#34; -DestinationPrefix 192.168.111.0/24 -PassThru Если маршрутов нужно несколько - выполняем команду несколько раз. Для удаления маршрутов используем командлет Remove-VpnConnectionRoute с точно таким же синтаксисом. Более подробно об управлении маршрутами можете прочитать в нашей статье: Автоматическое добавление маршрутов для VPN-соединения в Windows.\nАвтоматизация создания VPN-соединения Для автоматического создания соединения важно чтобы конечный пользователь совершал минимум необходимых действий. В целях безопасности PowerShell скрипты нельзя запустить двойным кликом, поэтому будем использовать старый добрый CMD, в котором уже будем запускать PS и передавать ему нужные команды.\nНиже пример простого командного файла, который создает VPN-соединение и прописывает маршрут для него:\n1powershell -executionpolicy bypass -command \u0026#34;Add-VpnConnection -Name \u0026#39;L2TP PS2\u0026#39; -ServerAddress \u0026#39;192.168.3.107\u0026#39; -TunnelType \u0026#39;L2tp\u0026#39; -L2tpPsk \u0026#39;MySharedKey\u0026#39; -Force -EncryptionLevel \u0026#39;Required\u0026#39; -AuthenticationMethod MSChapv2 -SplitTunneling -RememberCredential\u0026#34; 2powershell -executionpolicy bypass -command \u0026#34;Add-VpnConnectionRoute -ConnectionName \u0026#39;L2TP PS2\u0026#39; -DestinationPrefix 192.168.111.101/32\u0026#34; Обратите внимание, что команда полностью берется в двойные кавычки, а все двойные кавычки внутри команды заменены на одинарные. Данное содержимое вносим в Блокнот и сохраняем с расширением .bat или .cmd, для создания подключения не требуется повышения прав.\nЧто будет, если пользователь запустит командный файл повторно? Ничего страшного, он выдаст сообщение, что соединение с таким именем уже существует и завершит работу. Если вам нужно внести какие-либо изменения в параметры подключения, вы точно также можете создать новый командный файл, в котором будете использовать командлет Set-VpnConnection.\nВ целом PowerShell предоставляет достаточно широкие возможности по простому и удобному управлению VPN-соединениями на компьютере и позволяет решать множество связанных с этим задач в один клик, используя скрипты и командные файлы.\n","id":"123217e261b95ccbb1bdfd93b007d86d","link":"https://interface31.ru/post/upravlyaem-vpn-soedineniyami-v-windows-pri-pomoshhi-powershell/","section":"post","tags":["PowerShell","VPN","Windows 10","Windows 11","Windows 8","Windows Server","Автоматизация","Маршрутизация"],"title":"Управляем VPN-соединениями в Windows при помощи PowerShell"},{"body":"Продолжаем изучать работу с единым дистрибутивом платформы 1С:Предприятие для Linux, который появился в версии 8.3.20. В прошлой статье мы рассмотрели установку клиентских приложений, а сегодня уделим внимание серверу 1С:Предприятия и серверным компонентам. Основной целью выпуска единого дистрибутива было заявлено упрощение процессов установки и сопровождения системы. Что касается клиентской части, то здесь мы полностью согласимся, но в отношении серверов такое упрощение не всегда идет на пользу. Обо всем этом в нашей статье.\nДолгое время поставка 1С:Предприятие для Linux производилась в виде привычных DEB или RPM-пакетов, которые затем устанавливались с помощью пакетного менеджера системы. Это привычный и понятный системным администраторам механизм, позволяющий полностью контролировать и автоматизировать процесс развертывания, при наличии такой необходимости.\nНовый способ предусматривает поставку в виде универсального run-файла, который содержит клиентскую и серверную часть, дополнительные компоненты и подходит как для RPM, так и для DEB-систем. Установка при этом производится в обход пакетного менеджера и слабо поддается контролю со стороны администратора. Если для клиентских систем это несущественно, то на серверах многие админы предпочитают держать руку на пульсе любых изменений системы.\nНо единый дистрибутив - это закономерный итог текущей политики разработки 1С. Вместо следования философии UNIX-систем, когда каждая программа делает свое дело и делает его хорошо, сборки 1С постоянно собирались с жесткими зависимостями от определенных версий библиотек, что вызывало постоянные проблемы при разрешении зависимостей и требовало подключать сторонние репозитории, либо скачивать недостающие пакеты руками. Хотя это касалось в большей мере только клиентского приложения.\nВ дальнейшем 1С стала следовать принципу \u0026quot;все свое ношу с собой\u0026quot;, постепенно включив в состав дистрибутива почти все библиотеки основных зависимостей. Единый дистрибутив - апофеоз этого процесса. Но нравится нам это или нет, 1С:Предприятие является ведущей платформой для построения учетных систем, поэтому давайте учиться жить и работать в новых условиях.\nВ нашем примере мы будем устанавливать сервер 1С:Предприятие на Ubuntu 20.04 LTS и Debian 10, однако данная инструкция одинаково пригодна для любого поддерживаемого платформой Linux-дистрибутива с поправками на работу с пакетным менеджером. Все приведенные ниже команды следует выполнять с правами суперпользователя.\nРекомендуем к прочтению Для установка на ОС семейства Альт воспользуйтесь следующим материалом: Установка сервера 1C:Предприятие, PostgreSQL и Apache2 на Альт Сервер 10 Установка платформы 1С:Предприятие Начнем с установки требуемых зависимостей. Их немного, это набор шрифтов Microsoft True Type Core Fonts и библиотека UnixODBC, для работы через одноименный интерфейс.\nВ Debian для этого следует подключить репозитории с несвободным ПО, для этого откройте /etc/apt/sources.list и добавьте после main в каждую строку contrib и non-free. В Debain 11 нужно также добавить репозиторий от предыдущего выпуска для установки библиотеки libenchant1c2a:\n1echo \u0026#34;deb http://ftp.ru.debian.org/debian buster main\u0026#34; \u0026gt; /etc/apt/sources.list.d/buster.list Обновим список пакетов и установим зависимости:\n1apt update 2apt install ttf-mscorefonts-installer libodbc1 Затем скачаем с официального сайта архив с единым дистрибутивом, после чего любым удобным способом передадим его на сервер. Будем считать, что вы разместили его в домашней директории текущего пользователя. Перейдем туда и распакуем архив:\n1cd ~ 2tar -xzf server64_8_3_20_1549.tar.gz В нашем случае используется выпуск платформы с единым дистрибутивом 8.3.20.1549.\nПосле чего запустим инсталлятор, если это сделать без указания опций, то он запустится в интерактивном режиме и вам потребуется отвечать на множество вопросов, поэтому мы будем использовать пакетный режим, который позволяет сразу указать требуемые компоненты.\nВ контексте серверного применения нам могут быть интересны:\nserver - кластер серверов 1С:Предприятия server_admin - сервер администрирования кластера серверов 1С:Предприятия liberica_jre - Java Runtime Environment (JRE) config_storage_server - сервер хранилища конфигураций ws - модули расширения веб-сервера С полным списком опции можно ознакомиться в официальной документации.\nДопустим, мы хотим установить кластер серверов 1С:Предприятие и модуль расширения веб-сервера, для этого запустим инсталлятор со следующими ключами:\n1./setup-full-8.3.20.1549-x86_64.run --mode unattended --enable-components server,ws Где --mode unattended - обозначает использование пакетного режима, а после --enable-components через запятую перечисляются требуемые компоненты. Если не указано иного, то устанавливаются русский и английский языки. Во время установки никаких сообщений не выводится, а сама она может занять продолжительное время.\nНастройка автозапуска службы для платформы 8.3.20 Начиная с платформы 8.3.18, когда появилась возможность одновременной установки нескольких версий на платформе Linux инсталлятор не производит автоматическую регистрацию службы. Это нужно сделать самостоятельно. Для этого скопируем, точнее сделаем символические ссылки для скрипта запуска и файла конфигурации. В настоящий момент 1С:Предприятие продолжает использовать подсистему инициализации init, переход на systemd выполнен в платформе 8.3.21.\n1ln -s /opt/1cv8/x86_64/8.3.20.1549/srv1cv83 /etc/init.d/srv1cv83 2ln -s /opt/1cv8/x86_64/8.3.20.1549/srv1cv83.conf /etc/default/srv1cv83 Затем добавим ее в автозагрузку:\n1update-rc.d srv1cv83 defaults Управлять службой можно как \u0026quot;по старинке\u0026quot;:\n1service srv1cv83 start|stop|restart|status Так и через systemd:\n1systemctl start|stop|restart|status srv1cv83 Настройка автозапуска службы для платформы 8.3.21 и новее С выходом платформы 8.3.21 реализована поддержка systemd и работать со службой сервера 1С стало проще. Для регистрации юнита службы после установки платформы выполните:\n1systemctl link /opt/1cv8/x86_64/8.3.21.1302/srv1cv8-8.3.21.1302@.service Обратите внимание, что следует использовать абсолютный путь и он включает в себя версию установленной платформы, в нашем случае это 8.3.21.1302.\nЗатем добавим сервис в автозагрузку:\n1systemctl enable srv1cv8-8.3.21.1302@ Для управления службой используйте стандартные команды systemd:\n1systemctl start|stop|restart|status srv1cv8-8.3.21.1302@default В данном случае при обращении к службе следует использовать кроме ее имени также имя конкретного экземпляра, т.к. systemd позволяет запускать несколько экземпляров одной службы, по умолчанию имя экземпляра - default.\nДополнительные действия для платформы 8.3.20 На этом установку сервера 1С:Предприятие вроде бы можно считать оконченной, но есть один неприятный сюрприз. Перезагрузив сервер, вы неожиданно увидите приглашение ко входу в графическую оболочку. При этом сама оболочка будет установлена в весьма ограниченном варианте, даже терминала нет. Зато есть ярлыки 1С:Предприятие. С одной стороны, мешать она никому не мешает и многие вообще могут не заметить ее появления, особенно если ходят на сервер сугубо по SSH. Но любое дополнительное ПО тратит ресурсы сервера и предоставляет дополнительную поверхность атаки, поэтому давайте удалим оболочку Gnome, тем более что для работы сервера 1С:Предприятие она не нужна:\n1apt purge gnome-shell gnome-control-center gnome-keyring 2apt autoremove Как вы уже догадались, оболочку на сервер устанавливает единый дистрибутив 1С:Предприятия и пока нет возможности воспрепятствовать этому, а следовательно указанные выше действия нужно будет выполнять после каждого запуска единого дистрибутива. Начиная с 8.3.21 этот недостаток исправлен.\nУдаление платформы 1С:Предприятие Так как новые версии платформы предусматривают одновременную установку сразу нескольких экземпляров, то обновление уже установленной системы будет сводиться к действиям по удалению старой платформы и установке новой.\nПрежде всего остановим службу и удалим ее из автозагрузки, для платформы 8.3.20 выполним:\n1systemctl stop srv1cv83 2update-rc.d -f srv1cv83 remove Для платформы 8.3.21 и новее:\n1systemctl stop srv1cv8-8.3.21.1302@default 2systemctl disable srv1cv8-8.3.21.1302@ После чего можно удалить саму 1С, воспользовавшись специальным скриптом, который расположен в папке платформы. Здесь снова используется абсолютный путь с указанием требуемой версии платформы.\n1/opt/1cv8/x86_64/8.3.21.1302/uninstaller-full Таким образом для обновления сервера 1С:Предприятия вам понадобится:\nОстановить службу Выключить ее автозагрузку Удалить старую платформу Установить новую платформу Включить службу в автозагрузку Запустить службу Как видим, особых сложностей с использованием единого дистрибутива 1:Предприятия для Linux нет. Но есть некоторые особенности и некорректное поведение инсталлятора, пытающегося установить на сервер графическую оболочку. Все это нужно учитывать при планировании развертывания. И если нам понравилось использование единого дистрибутива при установке клиентского приложения, то сказать тоже самое про сервер мы не можем. Но увы, альтернативы у нас нет, остается только надеяться, что разработчики 1С прислушаются к мнению сообщества и единый дистрибутив будет серьезно доработан и переработан.\n","id":"35450cc05cfd88e477020f941b0a92e3","link":"https://interface31.ru/post/edinyy-distributiv-1c-dlya-linux-server/","section":"post","tags":["1С Предприятие 8.х","Debian","Ubuntu Server"],"title":"Единый дистрибутив 1С:Предприятие для Linux. Установка сервера"},{"body":"После напряженной рабочей недели хочется немного отвлечься от забот и хлопот. Кто-то идет в бар, кто-то смотрит сериалы, а мы решили познакомиться с еще одной альтернативной системой. И это не очередной дистрибутив Linux, удивить там чем-либо стоящим давно уже сложно, но часто ли вы видите проекты, которые позиционируют как альтернативу macOS? Именно так, ни более, ни менее. Но они есть, развиваются и набирают популярность. Наиболее ярким представителем является helloSystem, основанная на FreeBSD, с ней мы сегодня и познакомимся.\nПро Linux, как альтернативу Windows мы слышим давно, по этому поводу было сломано много копий, но основные баталии давно отгремели. Сегодня Linux - самодостаточная ОС, со своими сценариями применения и своей обширной экосистемой. Настольный Linux, хотя и не пользуется широкой популярностью, вполне уверенно чувствует себя во многих нишах. А вот что касается настольного BSD, то там все плохо, повторяться не будем - относительно недавно мы делали достаточно обширный обзор: UNIX в кедах или звериный оскал десктопного BSD.\nОсновная, на наш взгляд, проблема настольных BSD-дистрибутивов - это отсутствие внятного позиционирования и мотивации для своих пользователей. Что это за проект, зачем он создан, какие цели хочет достичь? Да почему именно BSD, в конце концов? А так как внятных ответов нет, то и пользовательская база этих дистрибутивов исчисляется узким кругом энтузиастов, а многие проблемы не решаются годами.\nНо вот появился проект, разработчики которого четко сказали: мы делаем альтернативу macOS. Почему BSD? Потому что она наиболее близка оригиналу. Итак, встречаем героя нашего сегодняшнего обзора.\nhelloSystem 0.6 Основная цель проекта - создание простой, удобной в использовании и элегантной операционной системы для обычных пользователей, которые переходят на нее с macOS. При этом речь не идет о повторении masOS один к одному, также, как и создании темы оформления по мотивам продукции Apple. Разработчики нацелены на воспроизведение основных способов взаимодействия c пользователем, заложенных в macOS (UX) чтобы пользователь сразу попадал в привычную среду и мог полноценно использовать накопленный пользовательский опыт. Вместе с тем новая система должна оставаться свободной от разного рода ограничений и блокировок, к которым постоянно прибегает компания Apple.\nДля ознакомления мы скачали ISO-образ с последней версией системы r0.6.0, который можно запустить в режиме живого диска, но сделать это можно только при условии наличия в системе 4 ГБ оперативной памяти (или более), поэтому назвать системные требования скромными нельзя. Загрузку образа нельзя назвать быстрой и по ее завершении мы попадаем на рабочий стол со стикером содержащим приветствие на разных языках, что оригинально обыгрывает наименование системы. Принципы построения пользовательского интерфейса повторяют таковые в macOS: док внизу и глобальное меню вверху, расположение элементов управления и поведение окон также соответствует оригинальной системе. В состав системы входит браузер, простой текстовый редактор, а также набор инструментов для настройки и утилит, достаточно скромный по возможностям. Внешнему виду системы также уделяется достаточно внимания, нельзя сказать, что он чем-то поражает воображение, нет, но выглядит все достаточно опрятно и не вызывает отторжения. Шрифты, значки, цветовая гамма, размеры - все это достаточно гармонично подобрано и выдержано в стиле классического оформления macOS с интерфейсом Aqua.\nВ принципе можно продолжить знакомство с helloSystem в режиме LiveCD, но мы решили установить его на диск, для этого следует воспользоваться пунктом Install FreeBSD в разделе Utilites. Никакого брендирования здесь нет, что может сначала ввести в заблуждение, но данный пункт установит на ваш компьютер именно helloSystem. Установленная система мало чем отличается от живого диска, разве что работает с большей отзывчивостью. Под капотом данной версии находятся FreeBSD 12.2, ZFS и оконный менеджер KWin, на который проект перешел с использовавшегося ранее Openbox. Работа системы действительно напоминает работу macOS и пользователю не знакомому с этой экосистемой может показаться необычной, особенно глобальное меню, которое динамически меняет свои пункты и возможности в зависимости от активного приложения или окна. Хотя подобные решения есть и в некоторых графических оболочках Linux, например, в Gnome3. Большая часть представленного в меню ПО представляет из себя ссылки на скачивание нужного пакета, которое происходит при первом обращении. Решение, в наш век широкополосного интернета, вполне оправданное, так как позволяет не перегружать как дистрибутив, так и установленную систему. Версии ПО достаточно свежие, интеграция в систему выполнена хорошо, все выглядит единым целым и не выбивается из общего визуального ряда. В отличие от рассмотренных нами ранее BSD-систем, работая с helloSystem с тем, что предоставлено дистрибутивом по умолчанию, нам даже не приходилось вспоминать о том, что это BSD или превозмогать какие-либо сложности. При этом пользовательский опыт macOS старательно переносится не только в интерфейс и поведение элементов управления, но и в расположение данных в файловой системе и отношению к программам, к единому пакету, в виде файла (или папки) вся \u0026quot;установка\u0026quot; которого сводится к его перетаскиванию в папку Applications. В качестве основного формата приложений используется AppImage, что легко объяснимо тем, что его разработчик и руководитель проекта helloSystem - один и тот же человек Симон Питер (Simon Peter). И, наконец мы решили проверить как у системы обстоят дела с внешним миром и подключили к ней флешку с NTFS, которая прекрасно определилась и значок для доступа к ней был автоматически добавлен на рабочий стол. С нее мы открыли несколько изображений и запустили просмотр ролика в формате HD 720. Все прекрасно открылось и воспроизвелось, инструменты для работы с мультимедиа хоть и простые, но предоставляют все необходимые функции, плюс неплохо выглядят внешне. На этом можно было бы и закончить, но аппетит, как известно, приходит во время еды и helloSystem, еще не успев стать законченной системой, оказалась использована в качестве основы для других, более амбициозных проектов.\nAiryx Если helloSystem поставили своей целью создание альтернативной macOS операционной системы, опирающейся в первую очередь на преемственность пользовательского опыта и не копирующей macOS как таковую, то разработчики Airyx замахнулись на большее - полностью открытый аналог ОС от Apple. В настоящий момент заявлена совместимость на уровне исходных кодов с Cocoa, а в планах предоставление совместимого с macOS API, поддержка Mach-O и полную бинарную совместимость с оригинальной системой.\nПланы, надо сказать, грандиозные. Но это осознают и сами разработчики, не обещая быстрого результата, ставя свою систему в один ряд с Haiku и ReactOS. Честно говоря, мы бы предпочли видеть результат в виде первой названной системы, чем второй. Ну а пока можно только посмотреть. В настоящий момент доступна версия 0.3.0pre3 (Tanuki) находящаяся на уровне ALPHA Preview. Это действительно так, даже helloSystem кажется на этом фоне развитой операционной системой. А пока что можем посмотреть на заставку: И то, немногое. что доступно в самой системе: Из этого немногого можно отметить более современный \u0026quot;плоский\u0026quot; дизайн в стиле последних версий macOS и, пожалуй, все... Ничего другого, кроме представленного на скриншотах в Airyx нет, даже браузера. А популярные скриншоты, кочующие по некоторым сайтам в сети были сделаны разработчиками, в текущей опубликованной версии ничего этого нет.\nВыводы В отличие от бурно развивающегося мира Linux, сообщество вокруг FreeBSD находится в упадке. Базовая система по ряду направлений достаточно сильно отстала и утратила многие свои позиции (некогда лидирующие). Все это лишило основанные на FreeBSD настольные дистрибутивы цели и смысла. Некогда перспективный и имеющий свою долю популярности PC-BSD, позже TrueOS полностью закрыл настольное направление несколько лет назад. А наиболее продвинутый и самый неплохо выглядящий GhostBSD так и не может дать ответ на простой вопрос: а зачем мне использовать именно этот дистрибутив?\nЧтобы получить все те возможности, которые есть в Linux? Но Linux сегодня в целом уже достиг того уровня, когда можно просто поставить систему и не беспокоиться о настройках сложнее смены обоев рабочего стола. В BSD, чтобы получить тоже самое, вам постоянно придется что-то превозмогать, а стоит ли оно того? Ну разве что в приступе ностальгии, лет 10-15 назад большинство дистрибутивов Linux были именно такими.\nИ вот появляется helloSystem, несмотря на то что до законченной системы ей далеко и для повседневной работы она не годится, здесь впервые появляется четкая цель и обозначается направление развития. Она говорит: мы хотим сделать открытую систему, использующую лучший пользовательский опыт macOS, если вы разделяете эти ценности - то нам с вами по пути.\nА то, что мы имеем возможность видеть сейчас, показывает, что слова с делом у разработчиков не расходятся. Это позволяет привлечь к системе энтузиастов и сформировать сообщество, которое будет использовать данную систему, тестировать и развивать ее.\nДа, мы скептически относимся к тому, что helloSystem станет альтернативой macOS, сообщество пользователей продукции Apple местами напоминает религиозных фанатиков. Но хватает и здравомыслящих людей, которым нравятся принципы, положенные в основу macOS, но которые не имеют возможности использовать оригинальные продукты, либо хотят иметь возможность работать с аналогичной системой на произвольном железе.\nВ любом случае подобный подход можно только приветствовать и как знать, может именно подобные проекты вдохнут новую жизнь во FreeBSD, систему во многом легендарную, но сейчас находящуюся в тяжелом положении и отсутствии четких ориентиров для развития.\n","id":"ed96eb880fcf081c5cf08fe5fc2dbc92","link":"https://interface31.ru/post/hellosystem-ili-bsd-so-vkusom-yabloka/","section":"post","tags":["Apple","FreeBSD"],"title":"helloSystem или BSD со вкусом яблока"},{"body":"Установка клиентской платформы 1С:Предприятие на платформе Linux являлась достаточно непростой задачей, особенно для пользователей, не имеющих достаточного опыта администрирования системы. Начиная с платформы 8.3.20 фирма 1С кардинально пересмотрела свой подход, отказавшись от выпуска отдельных пакетов для разных видов дистрибутивов (DEB и RPM) и представив единый дистрибутив 1С:Предприятие для Linux. Шаг вполне ожидаемый, 1С сейчас активно развивает поддержку данной ОС в своих приложениях. Остается разобраться как все это работает, начнем с клиента.\nВ настоящее время на портале ИТС опубликована платформа версии 8.3.20.1549, которая предлагает для скачивания единый дистрибутив в вариантах для 32-х и 64-битных систем. Мы будем использовать 64-х битную платформу, которую попробуем установить на Ubuntu 20.04 LTS, но все сказанное ниже будет справедливо для любого поддерживаемого 1С дистрибутива Linux с поправкой на особенности работы пакетного менеджера.\nАрхив с единым дистрибутивом имеет наименование вида server64_8_3_20_1549.tar.gz, где 64 указывает на архитектуру пакета, а 8_3_20_1549 - является версией платформы. Распаковав его, мы обнаружим .run файл дистрибутива платформы и два файла с описанием и лицензией для Liberica JDK, входящей в состав дистрибутива. Если запустить run-файл двойным кликом, то даже запустится установка, но дистрибутив не умеет запрашивать повышение прав, поэтому попытка завершится неудачей. Надеемся в будущих версиях это будет исправлено, так как консоль - это далеко не то место, куда следует отправлять обычного пользователя. А обновление платформы - задача весьма частая и не представляющая особых затруднений, во всяком случае на платформах Windows и macOS. Хорошо, запускаем в папке с дистрибутивом терминал, для этого можно кликнуть правой кнопкой мыши и выбрать во всплывающем меню пункт Открыть в терминале: Затем можно либо сразу повысить права до суперпользователя, либо выполнить установку через sudo, последнее более предпочтительно, так как с повышенными правами нам требуется выполнить разовое действие.\n1sudo ./setup-full-8.3.20.1549-x86_64.run Согласно документации:\nВ процессе установки программа установки может отобразить список пакетов, которые требуются для корректной работы системы «1С:Предприятие». Этот список формируется в том случае, если программа установки не обнаружила эти пакеты на компьютере. Вам следует самостоятельно установить недостающие пакеты (из выданного списка) с помощью пакетного менеджера используемой операционной системы. Для этой установки потребуются права суперпользователя (root).\nПри этом большинство зависимостей уже включено в пакет поставки, хотя это и идет вразрез в принятыми в среде Linux соглашениями и принципами. С другой стороны, это по-всякому лучше, чем устанавливать в ОС пакеты от предыдущей версии только потому, что их безальтернативно требует 1С:Предприятие. В нашем случае никаких дополнительных пакетов не потребовалось.\nВ Debain 11 перед установкой нужно добавить репозиторий от предыдущего выпуска для установки библиотеки libenchant1c2a, иначе процесс завершится с ошибкой:\n1echo \u0026#34;deb http://ftp.ru.debian.org/debian buster main\u0026#34; \u0026gt; /etc/apt/sources.list.d/buster.list Графический установщик 1С:Предприятия выполнили максимально похожим на свой Windows-аналог, поэтому сам процесс установки не должен вызвать никаких затруднений. Видно, что разработчики проделали большую работу по приданию Linux-дистрибутиву \u0026quot;человеческого лица\u0026quot; и если еще будет корректно реализован запрос на повышение прав, то основная задача будет выполнена. Для установки платформы достаточно будет скачать дистрибутив и запустить его двойным кликом. А это значит, что Linux станет еще немного ближе к простому пользователю. После установки будут добавлены ярлыки для программы запуска, толстого и тонкого клиента. Они относятся к подкатегории Finance категории Office. В окружении рабочего стола Gnome, который используется по умолчанию в Ubuntu и Debian, ярлыки добавляются в общую панель запуска и определить какой из них за что отвечает с первого взгляда довольно сложно, но если добавить их в Избранное (на боковую панель), то появляется всплывающая подсказка. Таким образом можно выяснить, что ярлыки идут в следующем порядке: толстый клиент, тонкий клиент, программа запуска. Запускать 1С:Предприятие следует через третий ярлык, его же советуем вывести в Избранное. Но если мы запустим платформу, то с удивлением увидим довольно неприглядную картину, со шрифтами все окажется очень плохо: Несмотря на заявленный контроль зависимостей инсталлятор не проверяет наличие шрифтов Microsoft Core Fonts и никак не сообщает об этом. Но, к счастью, это несложно исправить. Обратите внимание, что данные шрифты относятся к несвободному ПО и в Debian вам потребуется подключить репозитории. Это можно сделать как в графическом режиме, запустив приложение Software \u0026amp; Updates и выбрав в нем репозитории contrib и non-free: так и в терминале, открыв файл /etc/apt/sources.list и добавив в каждую строку после main contrib и non-free: Теперь следует обновить список пакетов и установить шрифты Microsoft, команду следует выполнить с правами суперпользователя или через sudo:\n1sudo apt update \u0026amp;\u0026amp; apt install ttf-mscorefonts-installer Снова запустим 1С:Предприятие, как видим со шрифтами все стало нормально. Следует также отметить, что начиная с платформы 8.3.18 возможна установка сразу нескольких версий 1С:Предприятие на Linux, установка производится в /opt/1cv8/i386/8.3.xx.xxxx или /opt/1cv8/x86_64/8.3.xx.xxxx и со временем возможно накопление неиспользуемых версий платформы. Для их удаления следует воспользоваться скриптом деинсталляции, который называется uninstaller-full и расположен в директории платформы. Так для удаления только что установленной 8.3.20.1549 выполните с правами суперпользователя или через sudo:\n1sudo /opt/1cv8/x86_64/8.3.20.1549/uninstaller-full После чего указанная версия платформы будет полностью удалена: В целом работа с единым дистрибутивом нам понравилась, сделан большой шаг навстречу простым пользователям, приближая платформу Linux по удобству использования к привычным альтернативам на Windows и macOS.\n","id":"5280939786fa3bb6a9309314226db8fd","link":"https://interface31.ru/post/edinyy-distributiv-1c-dlya-linux-client/","section":"post","tags":["1С Предприятие 8.х","Debian","Ubuntu","Развертывание"],"title":"Единый дистрибутив 1С:Предприятие для Linux. Установка клиента"},{"body":"Твердотельные накопители (SSD) за последние годы стремительно улучшают свои показатели, выходя на рубежи производительности, которые еще недавно казались недостижимыми. Это сделалось возможным при переходе на шину PCI Express и протокол NVMe, такие диски не имеют ничего общего с SATA и являются новым типом накопителей, изначально рассчитанных на использование твердотельной памяти. При этом вокруг них до сих пор гуляет множество мифов и заблуждений, что порой очень мешает сделать правильный выбор, поэтому сегодня мы постараемся отделить зерна от плевел и рассказать о том, что действительно важно при выборе такого диска.\nОсновным поводом к написанию данной статьи стал не уменьшающийся поток вопросов по поводу приобретения и работы NVMe накопителей, начиная с того, какой диск выбрать для приобретаемой системы, и заканчивая тем, что купленный диск не развивает заявленных в описании скоростей.\nНа сегодняшний день все новые диски - это NVMe -устройства, SATA диски продолжают производиться только в целях сохранения обратной совместимости и представлены практически полностью бюджетными моделями, так как возможности данного интерфейса полностью исчерпаны.\nЧтобы лучше понимать, о чем пойдет речь дальше мы рекомендуем ознакомиться с нашей статьей: Твердотельные накопители: что такое SLC, MLC, TLC, QLC, NVMe и прочие аббревиатуры? Мы не будем подробно останавливаться на рассмотренных в ней вопросах.\nОсновные понятия Путаница с твердотельными дисками начинается уже с основных понятий. Поэтому сразу внесем ясность. Рекомендуем внимательно ознакомиться с приведенной ниже информацией и никогда не путать одно с другим.\nNVMe (NVM Express)- протокол доступа к твердотельным накопителям, подключенным по шине PCI Express, является полностью программным и не требует аппаратной поддержки со стороны материнской платы. Поддерживается всеми актуальными операционными системами. PCI Express - высокопроизводительный, масштабируемый двунаправленный последовательный интерфейс для подключения периферийных устройств. Соединение между двумя устройствами (контроллером и устройством) называется линией, каждой устройство должно поддерживать работу минимум с одной линией PCIe, максимальное количество линий ограничено возможностями устройства, либо доступным количеством линий в разъеме. M.2 (NGFF) - спецификация, определяющая конструкцию разъемов и форм-фактор плат расширения, предназначенных для них. Не является протоколом или шиной, в разъёмах M.2 используются уже существующие шины: PCIe, SATA, USB и т.п. Поэтому говоря о современных NVMе дисках следует понимать, что это прежде всего накопитель с подключением по шине PCI Express и с поддержкой протокола NVM Express, для подключения к компьютеру такой диск может использовать разъем M.2. Именно в этом порядке, потому как форм-фактор M.2 вовсе не говорит о том, что перед нами именно NVMe диск, так как с данным разъемом выпускается большое количество SATA-моделей. Точно также NVMe диски могут использовать иные разъемы для подключения к ПК, например, U.2.\nЧто нужно знать про шину PCI Express Так как NVMe накопители подключаются к шине PCI Express, то начнем разбираться с нее. Первая спецификация шины PCI Express представлена в 2002 году и это означает, что нет принципиальных препятствий для подключения NVMe дисков даже к достаточно старым устройствам и они даже будут работать. Но следует учитывать, что пропускная способность одной линии различных версий PCIe имеет разные значения. На сегодняшний день массовое применение имеет третья версия PCIe и только начинают появляться устройства с поддержкой четвертой. Ниже в таблице представлена пропускная способность одной, двух и четырех линий разных поколений PCIe.\nСуществующие модели NVMe дисков поддерживают две или четыре линии PCI-е. Как видим, несмотря на то что скорость одной линии PCI Express с каждым поколением практически удваивалась, но только к третьей версии достигла значений, дающих серьезное преимущество над SATA даже в недорогом варианте с двумя линиями.\nВсе современные модели, если не сказано иного, поддерживают третье поколение PCIe, ряд дорогих моделей поддерживает спецификацию 4.0. Если же мы возьмем материнские платы, то там не все так радужно, поддержку PCIe 4.0 можно найти только в топовых моделях, а гораздо чаще можно столкнуться с использованием второго поколения шины, даже во вполне современных системах. Кроме того, нельзя говорить о PCI Express только в разрезе материнской платы, обязательно нужно брать во внимание используемый процессор, так как контроллер шины находится в нем и именно от него будет зависеть доступное количество линий и их поколение.\nЧтобы не быть голословными, давайте разберем несколько примеров. Проще всего с Intel, так как там практически каждое поколение процессоров имеет собственный сокет и вариативность не так велика. Кроме того, последние поколения процессоров имеют одинаковую конфигурацию PCIe вне зависимости от модели, так все процессоры 10-го поколения, от Celeron G до Core i9 имеют 16 линий PCIe 3.0 с возможными конфигурациями 1x16, 2x8, 1x8+2x4.\nКак ни странно, проще всего с недорогими моделями. Возьмем, к примеру Gigabyte H410M S2H V3, данная материнская плата имеет единственный разъем M.2 M-key c PCIe Gen3 x4, а так как кроме процессоров 10-го поколения установить туда больше ничего нельзя, то вы при любом раскладе получаете 4 линии PCIe третьего поколения с пропускной способностью до 3,9 ГБ/с.\nБерем более дорогую ASRock B460 Pro4, эта плата имеет два разъема M.2, каждый из которых поддерживает PCIe до уровня Gen3 x4, кроме того, в один из разъемов можно установить SATA-устройство. Опять-таки процессоры только 10-го поколения, что гарантирует отсутствие неприятных сюрпризов.\nА теперь еще более \u0026quot;продвинутая\u0026quot; плата ASRock B560 Pro4 с поддержкой процессоров 11-го поколения, а следовательно, и PCIe 4.0 и целых три разъема М.2, казалось бы - вот оно, счастье. Красивые надписи на коробке также будут убеждать вас, что вы сделали правильный выбор и получите максимальную производительность за каждый уплаченный рубль. Но суровая правда жизни кроется в куда более скучных вещах, именуемых спецификациями, после прочтения которых складывается куда более неприглядная картина. Итак, самый верхний разъем M.2, предоставляющий четыре линии PCIe 4.0 доступен только при установке процессора 11-го поколения, если вы купите процессор 10-го поколения данный разъем \u0026quot;превратится в тыкву\u0026quot;, т.е. не будет работать вообще. Оставшиеся разъемы предоставляют линии третьего поколения в количестве x4 и x2, таким образом подсистема хранения B560 Pro4 оказывается даже более ограниченной, чем у более дешевой B460 Pro4 и раскрывается только при использовании процессоров 11-го поколения.\nС переходом в стан AMD все становится гораздо интереснее, потому как платформа AM4 не менялась уже достаточно долго и предусматривает поэтому большую вариативность, кроме того, разные модели процессоров AMD имеют разную конфигурацию PCIe.\nИ снова проще всего с недорогими платами, скажем ASRock AB350M Pro4-F имеет два разъема M.2, один из них поддерживает только SATA3 и нас не интересует, а вот второй предоставляет 4 линии PCIe 3.0 при использовании старших моделей процессоров и всего две линии при установке Athlon или процессоров A-Series APU. При этом несмотря на то, что плата поддерживает процессоры третьего поколения (Zen2) линий PCIe 4.0 на слотах хранения вы не получите.\nА теперь снова плата верхнего сегмента - MSI X470 GAMING PLUS MAX. Она имеет два разъема M.2, один из которых получает линии PCIe 3.0 от процессора, в зависимости от модели процессора их будет либо четыре, либо две (для младших Athlon). А вот второй разъем обслуживается чипсетом X470 и получает 4 линии PCIе второго поколения, а также SATA3. Внимательный читатель может заметить, что наиболее причудливые конфигурации PCIe встречаются именно на платах верхнего ценового сегмента. Действительно это так. Объяснение этому факту тоже достаточно простое: количество доступных линий PCIe конечно и если в недорогих платах их в принципе хватает на всех потребителей, то в более высоком сегменте приходится идти на компромиссы, так как количество подключаемых к шине устройств только растет.\nНесколько слов о разъемах М.2 К выбору нового форм-фактора для накопителей NVMe имеет опосредованное отношение, любой, кто заглядывал внутрь 2,5\u0026quot; SSD диска знает сколько там неиспользуемого пустого места. Добавьте к этому корпус и разъем. Переход на M.2 позволил еще раз удешевить производство, а также, за счет меньших размеров, упростить проектирование компактных устройств. Пользователи тоже не остались в накладе, компактный накопитель устанавливается непосредственно на плату устройства и позволяет обойтись без кабелей, что улучшает внешний вид и вентиляцию собранного компьютера.\nИзначально для SSD выбрали форм-фактор M.2 с разъемом B key, данный разъем предусматривал вывод на свои контакты интерфейса SATA и двух линий PCIe. На первых порах этого было достаточно, но с развитием быстрых NVMe дисков пропускной способности двух линий PCIe стало не хватать. При этом возможности разъема B key не позволяли увеличить количество линий PCIe, потому что стандартом также предусмотрен вывод на него интерфейсов USB 2.0 / 3.0, HSIC, SSIC, Audio, UIM, I2C. Они могут быть разведены или не разведены на каждый конкретный разъем, но разъем должен оставаться электрически совместимым с любым типом устройств, которые могут быть подключены к нему. Проще говоря, устройство может там обнаружить или не обнаружить требуемые линии, но ничего неожиданного там оказаться не должно.\nПоэтому был разработан новый тип разъема с ключом M key, который предусматривает вывод на него только интерфейсов PCIe x4 и SATA, при этом в части двух линий PCIe и SATA разъем сохраняет совместимость с B key. Таким образом разработанные для разъема B key накопители могут успешно работать в разъеме M key, но не наоборот.\nПрактически все современные материнские платы выпускаются с разъемом M key, с ним же идут все PCIe x4 NVMe диски, в то время как SATA и PCIe x2 модели оснащаются комбинированным разъемомB\u0026amp;M keу и могут быть установлены как на старые, так и на новые платы. Иногда здесь возникает непонимание, ведь раньше мы говорили, что PCIe x4 диски совместимы с интерфейсом PCIe x2, а теперь оказывается, что подключить рассчитанный на четыре линии накопитель к разъему с двумя линиями PCI Express нельзя. Однако противоречия тут нет. Спецификация PCIe требует от устройств поддержки работы с любым количеством линий, начиная от одной, максимальное количество ограничивается возможностями устройства, также все новые версии PCIe обязаны сохранять обратную совместимость со старыми устройствами (и наоборот). Но, оставаясь совместимыми по интерфейсу, диски PCI x4 электрически несовместимы со старым разъемом.\nЕсли к разъему M.2 M key будет подведено только две линии PCIe, что, как мы видели выше, далеко не редкость - PCIe x4 диск будет прекрасно работать, также он будет работать даже с одной линией (встречались нам такие китайские переходники), и он снова будет работать подключенным к интерфейсу второго или первого поколения, но с соответствующими ограничениями по пропускной способности.\nЗагрузка с NVMe Для загрузки с NVMe устройств низкоуровневое ПО материнской платы должно уметь работать с такими дисками и именно это подразумевается, когда на коробках пишут \u0026quot;поддерживает NVMe\u0026quot;. Без поддержки со стороны материнской платы вы также сможете использовать NVMe диски, но не сможете загрузитьcя с них. Для плат с UEFI такую поддержку во многих случаях можно добавить, просто обновив прошивку (существуют также прошивки от энтузиастов для старых плат), для устройств с BIOS такая возможность обычно недоступна. Есть, конечно, вариант с самостоятельной ручной модификацией для некоторых моделей, но это сугубо на свой страх и риск.\nЕсли же вы не готовы взять на себя такую ответственность, то можно пойти обходным путем и использовать Clover EFI bootloader. Работа с данным инструментом выходит за рамки этой статьи, однако в сети можно найти достаточно инструкций.\nВозвращаемся к выбору диска Теперь, вооружившись необходимым объемом знаний, можно приступать к выбору NVMe диска. Прежде всего следует определиться с выбором материнской платы и процессора, а затем, при помощи спецификаций на них, уточнить количество линий PCIe на разъемах M.2 и поколение интерфейса.\nИ если вы внимательно читали эту статью, то в ряде случаев вам даже не придется заглядывать в спецификации, так, например, увидев заявленную для SAMSUNG 980 PRO максимальную скорость чтения в 6900 МБ/с сразу можно понять, что речь идет о PCIe 4.0 и без поддержки этого интерфейса со стороны материнской платы и процессора такой диск покупать не имеет смысла.\nЕсли у вас в наличии 4 линии PCIe 3.0 то можете смело выбирать диски со скоростями 3900 МБ/с, т.е. практически любой производительный диск, кроме топов, с поддержкой четвертой версии интерфейса. При этом часто на плате остается еще один разъем M.2 с меньшим количеством линии или более старой версией интерфейса. Поэтому вполне разумно желание установить туда еще один накопитель, все равно производительность даже двух линий PCIe 3.0 существенно превосходит пропускную способность SATA. Как быть в этом случае? Очень просто, из таблицы выше получаем значение пропускной способности двух линий третьего поколения (или четырех линий второго) как 2000 МБ/с, если грубо округлить в большую сторону, вот на эту цифру и будем ориентироваться.\nСкажем, можно взять KINGSTON A2000 или KINGSTON NV1, значения 2200 МБ/с на чтение и 2000 МБ/с на запись первого незначительно упрутся в интерфейс, второй со скоростями 2100/1700 МБ/с и меньшей ценой может показаться более привлекательным, но имеет более чем в вдвое меньший ресурс -150 ТБ TWB, против 350 ТБ, но это уже совсем другая история, наша статья не об этом.\nВ любом случае принцип прост: выясняем пропускную способность разъема и согласно нее подбираем подходящий диск. Также не забываем обратить внимание на тип ключа, если для современных плат это несущественно, практически везде стоит M key и вы сможете установить любой накопитель, то на более старых платах вы можете встретить B key и диски PCIe x4 подключить туда не получится чисто физически.\nЕще один неочевидный фактор: на многих платах разъемы M.2 делят линии PCIe с каким-либо слотом и при подключении накопителя определенный слот перестанет работать. Обязательно учитывайте это, если используете дополнительные PCIe устройства помимо видеокарты.\nНадеемся, данная статья поможет вам внести ясность в вопрос выбора накопителя NVMe и позволит избежать грубых ошибок и необоснованных материальных затрат.\n","id":"b0723a7fd85d1c350677a769612d3cd5","link":"https://interface31.ru/post/kak-pravilno-vybrat-nvme-ssd-disk/","section":"post","tags":["NVMe","SSD"],"title":"Как правильно выбрать NVMe SSD диск"},{"body":"5 октября 2021 года компания Microsoft официально выпустила Windows 11, одной из визитных карточек системы стал обновленный дизайн и новое меню Пуск, которое было воспринято весьма неоднозначно. Мы уже описывали собственные впечатления в обзоре инсайдерской версии, а теперь предлагаем вам перевод статьи британского сетевого издания Windows Central, весьма лояльного к компании Microsoft, но даже они не смогли удержаться от критики, местами довольно резкой. Позиция британских журналистов во многом пересекается с нашими выводами о новой системе и, надеемся, будет интересна широкому кругу читателей.\nОдно из противоречий, которое возникает каждый раз, когда Microsoft обновляет Windows - это меню \u0026quot;Пуск\u0026quot;. Windows 8, как известно, потеряла значительную долю рынка из-за радикальных изменений системы, а меню \u0026quot;Пуск\u0026quot; стало мишенью для критики (не считая всего остального).\nWindows 11 изменения меню \u0026quot;Пуск\u0026quot; не столь радикальны. Оно возвращается к проверенному и зарекомендовавшему себя всплывающему меню, которое не занимает весь экран. Оно также не пестрит движущимися виджетами, ранее известными как Живые плитки (земля им пухом). Оно простое и элегантное, размещает самые востребованные приложения в самом верху, а рекомендуемые файлы под ними. Звучит круто, правда? Ну, может быть только на первый взгляд. Недавно я приобрел подержанный Surface Pro X в качестве резервного ПК, специально для запуска сборок Windows Insider и тестирования сенсорных функций и цифрового пера Windows Ink. И хотя я понимаю, что занялся я этим довольно поздно (очень поздно, потому что Windows 11 выходит буквально на следующей неделе), у меня уже есть некоторые мысли насчет новой системы. И не все из них хорошие.\nМеню Пуск в Windows 11 - отстой Меню \u0026quot;Пуск\u0026quot; - это буквально стартовая точка любого ПК, дающая быстрый доступ к остальным функциям компьютера. Начиная с Windows XP компания Microsoft довольно часто и без особой необходимости меняла принципы работы операционной системы, заставляя пользователей каждый раз заново изучать ее основные функции и возможности. Windows 11 не заходит так далеко. На самом деле, во многих отношениях она намного проще в использовании, чем предыдущие версии, особенно для новичков. Однако для тех, кто привык использовать Windows каким-то определенным образом, новое меню \u0026quot;Пуск\u0026quot; покажется существенным шагом назад. Я не хочу вступать в дебаты по поводу Живых плиток. Я знаю, что многие читатели Windows Central любят их. Я тоже когда-то их любил. Или, по крайней мере, их потенциал. Но компания Microsoft и разработчики приложений не смогли использовать его в полной мере. В настоящее время я использую только плитку \u0026quot;Календарь\u0026quot; и плитку \u0026quot;Почта\u0026quot; для напоминаний о том, что ждет меня в ближайшее время. Новая панель Виджеты компенсирует некоторые потери, но ее вынос в отдельный раздел гарантирует, что я не буду видеть ее так часто, как мог бы, если бы имел возможность просто закрепить виджеты в меню Пуск. Мне нравится новая панель Виджеты, и я думаю, что возможности ее использования достаточно велики. Но учитывая огромное количество пустого пространства в меню \u0026quot;Пуск\u0026quot;, я не могу не задаться вопросом: почему у нас нет возможности просто расположить там виджеты?\nВ конечном счете, это моя самая большая претензия к меню \u0026quot;Пуск\u0026quot;. В новом меню настолько не хватает возможностей настройки, что это вызывает разочарование. Вы никак не можете изменить его размер, вы не можете удалить список рекомендуемых файлов. Его можно отключить, но при этом остается пустое пространство, как неприятное напоминание о рудименте, который вы не можете отключить.\nЕсли же оставить список рекомендованных файлов включенным, для меня он отображает документы многолетней давности и прочий мусор из моей файловой системы, который я не очень хочу видеть в меню \u0026quot;Пуск\u0026quot;. Управление этим списком также является хлопотным занятием, заставляя меня щелкать правой кнопкой мыши и нажимать Удалить каждый раз, когда появляется файл, который я не хочу здесь видеть. Кроме того, он совсем не соответствует своему прямому назначению. Какая мне польза от того, что он показывает файл, который я уже удалил или переместил? Почему список рекомендуемых недостаточно интеллектуален, чтобы понять, доступен ли еще файл? А что если на экране появится конфиденциальный, личный документ, и я не хочу, чтобы прямо здесь, на самом видном месте его увидели гости, которые могут воспользоваться моим компьютером?\nЕсли вы не можете сделать так, чтобы это работало так как я хочу, если вы не можете дать мне возможность управлять этим, просто позвольте мне, черт возьми, отключить это, не наказывая меня кучей впустую потраченного места в меню \u0026quot;Пуск\u0026quot;. Это откровенно плохой дизайн.\nКроме того, почему меню расположено по центру? По крайней мере, его можно переместить влево, порывшись в настройках, но, черт возьми, я не могу понять эту логику. Это просто потому, что в macOS док расположен по центру? Теперь вы просите пользователей каждый раз наводить мышь, чтобы нажать на него, вместо того чтобы просто переместить курсор в угол и не задумываясь открыть меню \u0026quot;Пуск\u0026quot;. Вообще, я использую клавишу Windows и использую поиск в меню \u0026quot;Пуск\u0026quot;, когда мне нужно что-то открыть, но подобные \u0026quot;изменения ради изменений\u0026quot; меня просто раздражают.\nЧрезмерное упрощение Как бы мне ни нравился термин опытные пользователи, существует разница между людьми, которые знают Windows вдоль и поперек, и обычными пользователями, которые проводят не слишком много времени за компьютером. В некоторых случаях бывает непросто определить, где расставить приоритеты, особенно когда речь идет об удалении функций, но в последнее время часто кажется, что компании, пытаясь найти баланс, заходят слишком далеко в обратную сторону. В прошлом я работал ИТ-специалистом в сети частных школ Великобритании и слишком хорошо знаю, что практически никто не настраивает меню \u0026quot;Пуск\u0026quot; в Windows 8 или Windows 10. Стандартные бесполезные Живые плитки, которые OEM-производители добавили на свои ноутбуки, сохранялись в течение многих лет, пока я не принудительно не установил собственный макет меню \u0026quot;Пуск\u0026quot; при помощи групповых политик (что оказалось более сложной задачей, по сравнению с имевшимися Chromebook).\nMicrosoft прекрасно понимает, что никто не хочет настраивать Живые плитки, а также изучать даже базовые настройки этой области. Но удаление ВСЕХ настроек меню \u0026quot;Пуск\u0026quot; не может являться альтернативой! Даже в Windows 95 меню \u0026quot;Пуск\u0026quot; позволяло, по крайней мере, изменять его размер.\nНачало долгого пути Windows 10, как известно, должна была стать последней версией Windows, но, думаю, многие из нас понимали, что этого не произойдет. Технологии движутся вперед. Эволюционирует чувство стиля. Потребности и желания меняются вместе со временем. В целом мне нравится Windows 11. Более целостный пользовательский интерфейс - это огромный шаг в нужном направлении - в этом плане Windows 11 великолепна. Новые функции в системных приложениях тоже радуют глаз. Возобновление инвестиций в Windows также вселяет оптимизм, сегодня Microsoft приобретает такие компании, как Clipchamp, чтобы заняться устранением слабых стороны своей ОС. А новые устройства Surface похоже станут отличным дополнением к Windows 11.\nЯ очень надеюсь, что Microsoft отреагирует на отзывы о возможностях меню \u0026quot;Пуск\u0026quot;, точнее их отсутствии, в будущих обновлениях системы. Мне кажется, что мы это уже проходили, получая релизные версии ОС с недоработанными функциями. А учитывая, что меню \u0026quot;Пуск\u0026quot; - это первое, что вы видите садясь за компьютер утром, это очень сильно раздражает.\nАвтор: Джез Корден (Jez Corden) - главный редактор Windows Central\nИсточник: The Windows 11 Start menu sucks\nПеревод: Уваров А.С.\n","id":"6f6345f564f4e21679771c2221d9565c","link":"https://interface31.ru/post/menyu-pusk-v-windows-11-plohoe/","section":"post","tags":["Microsoft","Windows 11","Рабочее место"],"title":"Меню \"Пуск\" в Windows 11 плохое и Microsoft должно быть стыдно"},{"body":"Взаимоотношения 1С:Предприятия и торгового оборудования традиционно остаются натянутыми. Основная проблема в том, что эти взаимодействия находятся на стыке технологий и мало кто стремится разобраться как это все устроено. 1С-ники кивают в сторону сервисных инженеров, инженеры в сторону 1С-ников, из них каждый по-своему даже прав, только легче от этого никому не становится. А тем временем некорректная работа ККТ является достаточно серьезным нарушением и чревата штрафными санкциями. Поэтому давайте разбираться как это все устроено и что нужно сделать, чтобы кассовый узел работал правильно.\nС момента появления первых онлайн-касс требования к составу чека неоднократно менялись, это касается как информации, печатаемой на бумаге, так и набора реквизитов передаваемых в ОФД. Это связано как с расширением количества передаваемой информации, так и появлением новых видов товаров, подлежащих отдельному регулированию, в частности это касается продукции подлежащей маркировке.\nПоэтому уже нельзя, как раньше, один раз настроить кассу и забыть про нее на долгие годы, товароучетное и кассовое ПО требует постоянного и своевременного обновления, чтобы соответствовать всем актуальным требованиям законодательства. При этом кассовый узел на базе 1С:Предприятие является достаточно сложным программно-аппаратным комплексом, имеющим свои особенности, о которых знают далеко не все. Ниже мы будем рассматривать работу 1С в связке с кассами АТОЛ, но многое из сказанного будет справедливо и для других производителей оборудования.\nЧтобы понимать из каких частей состоит кассовый узел и каким образом они между собой взаимодействуют рассмотрим следующую схему: С одной стороны у нас имеется кассовая программа, в примерах ниже это будет 1С:Розница, с другой стороны ККТ, которая печатает бумажные чеки и передает данные в ОФД. Современные кассы являются достаточно сложными устройствами и имеют собственное внутреннее ПО (прошивку), которое также необходимо своевременно обновлять.\nДля взаимодействия кассы и программного обеспечения используется Драйвер ККТ, не следует путать его с драйвером для операционной системы, хотя и тот, и другой выполняют одну и ту же роль - предоставляют программам универсальный интерфейс для работы с оборудованием. Программе не нужно знать особенности работы конкретной модели оборудования, достаточно использовать стандартные, описанные в документации вызовы. Драйвера ККТ также регулярно обновляются для поддержки всех новых требований законодательства.\nДальше, казалось бы, все просто. 1С:Предприятие взаимодействует с драйвером ККТ, тот с кассой. Обновили конфигурацию, обновили драйвер и все должно быть хорошо. Однако это не так. Между конфигурацией и драйвером ККТ есть еще один уровень взаимодействия - интеграционный компонент. Что это такое и для чего нужно?\n1С:Предприятие - это сложное высокоуровневое ПО, использующее собственный язык разработки и для упрощения взаимодействия с внешним оборудованием использует еще один уровень абстракции. Чтобы разработчикам не приходилось разбираться в особенностях взаимодействия с тем или иным видом оборудования на уровне 1С:Предприятия были созданы унифицированные интерфейсы взаимодействия, которые предусматривают стандартный и документированный набор команд.\nДля преобразования этих команд в команды понятные конкретному типу оборудования и требуется интеграционный компонент, который является частью драйвера торгового оборудования и разрабатывается либо его производителем, либо самой компанией 1С. Драйвер торгового оборудования для 1С может иметь одно- или двухкомпонентную архитектуру. Однокомпонентные драйвера непосредственно работают с физическим оборудованием, например, драйвера сканеров штрих-кода, двухкомпонентные поставляются только виде интеграционного компонента и для полноценной работы требуют наличия драйвера производителя оборудования. Драйвера ККТ с передачей данных выполнены по двухкомпонентной схеме.\nЕсли очень упрощенно рассматривать работу всей этой схемы, то при пробитии чека происходит следующее взаимодействие: конфигурация 1С не имеет ни малейшего представления о том, какое именно физическое оборудование к ней подключено, она передает стандартную команду Пробить чек стандартному типу оборудования ККТ с передачей данных. Эту команду получает интеграционный компонент, который преобразует ее в команду понятную выбранному типу оборудования, в нашем случае АТОЛ, и передает ее драйверу ККТ. Драйвер ККТ в свою очередь еще раз преобразует ее в набор команд, подходящих именно этой модели кассы, и отправит ее непосредственно оборудованию.\nТаким образом, чтобы касса соответствовала всем требованиям законодательства мы должны обеспечить такое соответствие для всех четырех используемых компонентов: нужные изменения должны поддерживаться прошивкой кассового аппарата, драйвером ККТ, интеграционным компонентом и конфигурацией 1С.\nЧто произойдет, если хотя бы одна часть не будет соответствовать? В большинстве случаев все будет работать, но возможности системы будут ограничены возможностями самого старого компонента, хотя иногда это может приводить к ошибкам, об одной из них мы уже рассказывали.\nЧаще всего сложности вызывает именно интеграционный компонент, так как, в отличие от остальных частей схемы, не все знают о его существовании и необходимости контролировать его версию. Чтобы ее увидеть откроем справочник Драйверы оборудования и найдем встроенный в конфигурацию драйвер для кассового оборудования АТОЛ. В нашем случае используется 1С:Розница 2.3.8.27.\nЕсли мы откроем его, то увидим, что интеграционная компонента не установлена, но это можно исправить прямо здесь через меню Функции. После чего картинка немного изменится, в поле Текущий статус будет указано, что установлен интеграционный компонент, но не установлена основная поставка, не забываем, драйвер ККТ двухкомпонентный и нам нужно дополнительно скачать и установить драйвер ККТ от АТОЛ, ниже мы увидим версию интеграционного компонента - 10.6.2.0. Несмотря на довольно свежую версию релиза Розницы интеграционный компонент в ней довольно старый, минимально возможный для работы с современными прошивками ККТ АТОЛ, Возможно это сделано в целях обратной совместимости, не у всех в продаже маркированный товар.\nХорошо, давайте теперь установим основную поставку. Минимально необходимая версия драйвера для работы с маркировкой для тех, кто еще не перешел на ФФД 1,2 -10.7.0.0, ее и установим. В процессе установки разверните пункт Компоненты интеграции и установите флажок Драйвер 1С, это скопирует архив с новым интеграционным компонентом в папку установки драйверов АТОЛ. Не забывайте, что разрядность драйвера ККТ должна совпадать с разрядностью платформы 1С:Предприятия. Если же вы забыли установить этот флаг, что интеграционные компоненты можно найти в полном архиве драйвера ККТ в папке 1С под наименованием ATOL_KKT_10.zip. Но если мы снова откроем справочник Драйверы оборудования, то увидим там что версия драйвера и интеграционного компонента не совпадают, это приведет к тому, что несмотря на актуальный релиз, нужную версию драйвера и прошивки ККТ ваша касса не будет соответствовать требованиям законодательства, так как, по сути, вы продолжите работать с драйвером 10.6.2.0. Почему так? Потому что интеграционного компонента версии 10.7.0.0 в составе конфигурации нет и его нужно установить вручную, для этого воспользуемся функцией Добавить новый драйвер из файла и установим нужный компонент из архива ATOL_KKT_10.zip. Но снова не все так просто, даже после установки нового интеграционного компонента мы увидим. что 1С продолжает использовать старый. Почему так происходит - сказать трудно, скорее всего изначально планировалось иное поведение, но что-то пошло не так. В пользу этого говорит и то, что изредка версия компоненты все-таки становится как надо, но надеяться на это не стоит и следует взять ситуацию в свои руки. Откроем %USERPROFILE%\\AppData\\Roaming\\1C\\1cv8\\ExtCompT - в этом каталоге 1С хранит интеграционные компоненты, здесь мы можем увидеть библиотеки fptr10_1c обоих версий, следовательно, новый компонент установлен, но в чем же дело?\nСписок установленных компонентов хранится здесь же, в файле registry.xml, именно отсюда 1С считывает версии библиотек для подключения, здесь мы тоже обнаружим записи для обоих версий. Но, как показывает практика, 1С:Предприятие подключает в таком случае самую младшую версию интеграционного компонента. Чтобы этого избежать, удалите все строки относящиеся к драйверу ККТ АТОЛ кроме самой последней. Выполнять данное действие нужно при закрытой 1С, затем перезапустим приложение и убедимся, что версии драйвера и компонента совпадают: Кстати, мы настоятельно рекомендуем для устранения путаницы изменить название загруженного драйвера с АТОЛ:ККТ с передачей данных в ОФД (54-ФЗ) 10.Х на АТОЛ:ККТ с передачей данных в ОФД (54-ФЗ) 10.7, явно указав версию, для чего - станет понятно чуть позже.\nУспех? Не совсем, потому что созданный экземпляр ККТ продолжает использовать встроенный в конфигурацию драйвер, отключим его, для чего зайдем в свойства экземпляра и обязательно снимем флаг Устройство используется. После чего создадим новый экземпляр оборудования с использованием нового драйвера. В процессе создания вам сразу станет понятно, для чего мы рекомендовали переименовать загруженный драйвер, иначе вам пришлось бы угадывать какая из двух абсолютно одинаковых строк относится к старому драйверу, а какая к новому.\nДля чего нужно было снимать флаг Устройство используется? Если мы сейчас зайдем в настройки старого экземпляра оборудования, то увидим сообщение, что драйвер не установлен и кнопку с предложением его установить. Это произошло потому, что мы убрали строку для этой версии драйвера из файла registry.xml, наличие или отсутствие библиотеки нужной версии в директории ExtCompT роли не играет. Если вы сейчас нажмете кнопку Установить драйвер, то в указанную директорию будет снова скопирована библиотека нужной версии и добавлена строка в registry.xml, конечно же нажимать ее мы не будем. Но кроме человека переустановить драйвер может и система, обычно это происходит после обновления релиза конфигурации. В этом случае, если флаг использования устройства не снят, в систему снова может быть установлен старый интеграционный компонент и не факт, что вы об этом своевременно узнаете.\nТеперь еще раз обновим драйвер ККТ до последнего на момент написания статьи 10.9.0.5, не забываем установить вместе с драйвером интеграционный компонент. Снова переходим в справочник Драйверы оборудования, загружаем новый драйвер и видим уже вполне ожидаемую картину - несовпадение версии драйвера и компонента. Но теперь мы знаем, что делать. Так как драйвер ККТ АТОЛ не предполагает одновременного использования на одном ПК нескольких версий драйверов, то оставляем за правило держать в registry.xml одну единственную запись - для текущей установленной версии. Библиотеки удалять необязательно, их наличие роли не играет.\nКак мы только что увидели, ничего сложного в обновлении драйверов ККТ АТОЛ для 1С:Предприятие нет, но нужно знать и учитывать некоторые неочевидные тонкости, которые к тому же практически не документированы и не освещены на профильных ресурсах.\n","id":"d58ae883208d52b35874211712db9cc0","link":"https://interface31.ru/post/obnovlenie-drayverov-kkt-atol-dlya-sovmestnoy-raboty-s-1spredpriyatie/","section":"post","tags":["1С Предприятие 8.х","Автоматизация","АТОЛ","ККТ","Торговое оборудование"],"title":"Обновление драйверов ККТ АТОЛ для совместной работы с 1С:Предприятие"},{"body":"Наверное, каждый системный администратор сталкивался в своей работе с появлением в своей сети неавторизованного DHCP-сервера и знает насколько неприятной может получиться такая ситуация. Пока сеть небольшая все узлы удается держать более-менее под контролем, но по мере ее роста и размера уследить за всем становится проблематично, особенно если требуется возможность обеспечить подключение к сети третьих лиц (скажем, арендаторы). При этом возможность появления в сети чужого DHCP-сервера только растет, можно даже сказать, что это только вопрос времени. Но не стоит беспокоиться, просто стоит переложить эту проблему на плечи сетевого оборудования.\nОчень часто многие начинающие администраторы оказываются удивлены: как же так при всем современном уровне развития сетей и многочисленных уровнях безопасности такой простой процесс как получение IP-адреса оказывается никак не защищен от стороннего вмешательства. Но более подробно изучив работу протокола DHCP приходит понимание, что какой-либо защиты на уровне протокола получить невозможно. Оказавшись в новой сети (или в старой, с истекшим сроком аренды) узел не имеет ни малейшего понятия о том, где он находится, поэтому запрашивает сетевые настройки с помощью широковещания и готов принять их от того, кто предложит первым.\nЭто вызывает массу проблем, если вдруг в сети появляется чужой DHCP-сервер. Это не обязательно злонамеренные действия, пользователи могут подключить роутер банально не тем портом или настройки устройства могут быть сброшены по умолчанию, что также приведет к включению неавторизованного DHCP.\nНо можно ли как-то противостоять этой проблеме? Можно, для этого была разработана специальная технология - DHCP Snooping.\nDHCP Snooping - что такое и как работает? В основу данной технологии положено весьма простое решение - запретить передачу DHCP-ответов на всех портах коммутационного оборудования, кроме особых, доверенных портов (Trusted). Сразу обратим внимание, DHCP Snooping не запрещает передачу DHCP-запросов, они продолжают распространяться через широковещание и достигают всех подключенных к сети DHCP-серверов, как \u0026quot;легальных\u0026quot;, так и \u0026quot;нелегальных\u0026quot;. Но DHCP-ответы будут приняты только с тех портов, которые помечены как доверенные.\nДавайте рассмотрим следующую схему: Но вот в нашей сети появился второй коммутатор SW2, который соединен с SW1 транзитным линком между вторыми портами. Если на втором коммутаторе DHCP Snooping отключен, то подключенные к нему узлы не имеют защиты от подмены DHCP-сервера, если же мы его включим, то нужно будет указать доверенный порт. В данном случае им будет порт транзитного линка под номером два, так как именно на него будут приходить DHCP-ответы.\nНужно ли делать доверенным порт 2 на первом коммутаторе? Исходя из текущей схемы сети - нет, но все может измениться, например, появится второй DHCP-сервер, подключенный ко второму коммутатору. Также это понадобится вам, если вы используете опцию 82, которая позволяет указать DHCP-серверу в какой порт какого коммутатора присоединен клиент, запрашивающий IP-адрес. Причем данную информацию в пакет запроса добавляют сами коммутаторы.\nКоротко итоги: для нормальной работы DHCP Snooping делаем доверенными все транзитные порты, соединяющие между собой коммутаторы, порты доступа, куда подключены конечные участники сети доверенными быть не должны, кроме тех, к которым подключены собственные DHCP-сервера.\nDHCP Snooping в RouterOS DHCP Snooping в Mikrotik реализован в самых общих чертах, но даже это все равно лучше, чем ничего. В RouterOS он реализован на базе сетевого моста (bridge), но при этом имеет ряд оговорок:\nВнимание! Важно! Аппаратно DHCP Snooping поддерживается только устройствами CRS3xx, на устройствах CRS1xx and CRS2xx может быть настроен только с VLAN-фильтрацией. На прочих устройствах поддерживается вместе с hardware offloading, но при этом на мосту не должно быть VLAN-фильтрации.\nЧто касается виртуальных сред, то в рамках подготовки данной статьи мы использовали RouterOS x86 и RouterOS CHR, в обоих из них DHCP Snooping на мостах работал нормально.\nДля того, чтобы включить DHCP Snooping перейдем в Bridge, откроем свойства нужного моста и установим там одноименный флаг, там же, при необходимости, можно включить опцию 82. Затем перейдем в Bridge - Ports, выберем нужный порт и установим для него флаг доверенный (Trusted), не забываем выполнить аналогичное действие для всех транзитных портов. В целом DHCP Snooping в RouterOS, с оглядкой на существующие ограничения, представляет собой достаточно эффективный инструмент для защиты от чужих DHCP-серверов в периметре сети.\nDHCP Snooping в SwOS SwOS - еще одна сетевая ОС от Mikrotik для недорогих коммутаторов, управление устройствами со SwOS доступно только через Web-интерфейс. Многие модели коммутаторов Mikrotik, скажем, CRS3xx, допускают двойную загрузку, как в SwOS, так и в RouterOS.\nВ отличие от RouterOS возможности SwOS более ограничены, но и устройства с SwOS более дешевы, далее мы рассмотрим возможности CSS326-24G, недорогого и популярного управляемого коммутатора от Mikrotik. Как видим, возможности весьма скромные, DHCP Snooping объединили вместе с PPoE Snooping, предотвращающем появление неавторизованного PPPoE-сервера в сети, но в целом этих настроек вполне достаточно, чтобы обеспечить базовую защиту.\nЗдесь мы в очередной раз можем убедиться, что Mikrotik не является \u0026quot;Cisco для бедных\u0026quot; или иной сетевой панацеей, но это вполне уверенные лидеры своего ценового сегмента, представляющие достаточно богатые возможности за вполне умеренные деньги.\n","id":"9f2f468a06e27f83b4b184adac67fcef","link":"https://interface31.ru/post/dhcp-snooping-nastroyka-zashhity-ot-neavtorizovannyh-dhcp-serverov-na-oborudovanii-mikrotik/","section":"post","tags":["DHCP","MikroTik","Безопасность","Сетевые технологии"],"title":"DHCP Snooping - настройка защиты от неавторизованных DHCP-серверов на оборудовании Mikrotik"},{"body":"Не так давно новые владельцы проекта CentOS кардинально изменили его работу, по сути лишив большую часть пользователей бесплатного аналога RHEL. Ситуация наделала много шума и в очередной раз подняла вопрос взаимоотношений бизнеса и свободного ПО. Но куда меньшее количество лиц знает, что аналогичная ситуация складывается и вокруг другого популярного продукта - Zimbra Collaboration Open Source Edition (OSE), который широко используется для групповой работы как аналог MS Exchange. В данной статье мы постарались собрать и систематизировать всю известную информацию по данному вопросу.\nДля начала сделаем краткое отступление. Многие воспринимают Zimbra и аналогичное ему ПО как почтовые сервера, т.е. инструменты для работы с электронной почтой, что в корне неверно. Электронная почта в чистом виде мало устраивает современный бизнес, а те, кого устраивает, вряд ли будут ставить для этого ту же Zimbra или Exchange. По мере своего развития почтовые системы обросли множеством дополнительных функций и превратились в инструменты для совместной работы (collaborative software, groupware).\nОдним из первых интегрировался с почтой календарь, дав возможность обмениваться событиями и совместно планировать работу, но если можно обмениваться событиями, то почему нельзя ставить таким же образом задачи? И вот уже у нас не просто почта, а целая система деловых коммуникаций, с планированием рабочего времени и контролем выполняемых задач. Добавьте к этому общие адресные книги: давно прошли те времена, когда можно было всю контактную информацию хранить в памяти, а сами контактные данные представляют сейчас достаточно высокую ценность.\nДальше - больше. Сотрудники в процессе работы обмениваются файлами и документами, их число и объем постоянно растет, кроме того, всегда нужно контролировать правки и версии при совместной работе нескольких человек. Так почему бы не хранить их централизованно и вместо самих файлов передавать ссылки на них? Это позволило навести порядок в хранении и значительно уменьшить передаваемый по сети трафик. По мере развития технологий и появления мобильных устройств встал запрос на возможность работать с файлами в любом месте, даже не имея под рукой установленного офисного пакета. Таким образом сформировалась вторая важная компонента ПО для совместной работы - хранение и работа с файлами и документами.\nИ, наконец, третья, наиболее современная часть этой системы, ставшая особенно актуальной во время пандемии - это коммуникации в реальном времени. Можно по-разному относится к мессенджерам и чатам, но события начала 2020 года показали, что современные технологии позволяют эффективно взаимодействовать в реальном времени людям, находящимся на значительном удалении друг от друга. Многие существенно пересмотрели свои взгляды на удаленную работу и не собираются отказываться от нее и сейчас. Поэтому коммуникации в реальном времени стали третьим значимым компонентом систем совместной работы.\nПоэтому, когда мы говорим о Zimbra OSE, то имеем ввиду не только и не столько почтовый сервер, как построенную вокруг него систему совместной работы, которая обеспечивает комплексное решение гораздо более широкого круга задач, чем просто передача e-mail сообщений.\nТрадиционно существуют две основные бизнес-модели монетизации открытого ПО: это продажа платной поддержки и разделение продукта на открытую и коммерческую версии, с различными возможностями. Сегодня к ним прибавилась возможность предоставления ПО как услуги (SaaS), но история Zimbra начиналась в те времена, когда подобные способы заработка были чем-то из разряда экзотики.\nС самого первого релиза Zimbra пошла по второму пути, предложив бесплатную версию с открытым исходным кодом и более функциональную коммерческую. Изначально разработкой занималась одноименная компания Zimbra Inc. Первый релиз состоялся 26 июля 2005 года, затем молодую компанию заметили и уже в 2007 году ее купила Yahoo за $350 млн. В 2010 Zimbra была куплена VMWare, а в 2013 Telligent и наконец в 2015 году новым владельцем продукта стала компания Synacor. Любопытно, что сумма последней сделки составила всего $24,5 млн.\nЗа это время Zimbra стала вполне зрелым и законченным продуктом, способным на равных конкурировать с лидерами этого рынка. Но почему тогда актив буквально начал ходит по рукам? И как объяснить смешную сумму последней сделки? Далее мы выскажем сугубо собственное мнение, не претендующее на истину в последней инстанции.\nЦель любого бизнеса - прибыль и в этом нет ничего плохого. Можно долго и красиво говорить об идеях свободного ПО, но любой, даже самый идеологически правильный разработчик, непременно столкнется с суровой действительностью, в которой ему нужно оплачивать счета и содержать себя и свою семью.\nВыстраивая бизнес-модель на основе свободного ПО важно правильно соблюсти баланс между открытой и коммерческой версией, чтобы переход от одной к другой не был болезненным, а преимущества были бы очевидными. На наш взгляд Zimbra это не удалось. Коммерческая версия Zimbra NE - это дорогой продукт с непрозрачной системой лицензирования, вы не можете просто взять и посмотреть цены, их предоставят только по персональному запросу. Фактически компания сознательно отсекла малый и средний бизнес из числа своих клиентов.\nОтдельным значимым фактором стала компания Zextras, которая разрабатывает дополнения для Zimbra, во многих случаях связка Zimbra OSE + Zextras Suite позволяла получить все преимущества коммерческой версии Zimbra, только дешевле.\nПонятно, что в данной ситуации что-то нужно было делать. И вот последний владелец Zimbra компания Synacor решила предпринять решительные шаги. Весною 2020 года был выпущен новый продукт - Zimbra 9, вместе с этим компания отказалась от выпуска Open Source версии и стала далее позиционировать Zimbra как полностью коммерческий продукт.\nОднако под влиянием возмущенного сообщества она скоро изменила свое решение, но весьма своеобразно: компания отказалась от выпуска бинарных сборок открытой версии Zimbra, предоставив в общий доступ только исходные коды. С одной стороны, вроде бы все формальности соблюдены, но будем честны, мало кто сможет самостоятельно собрать столь сложный продукт и поддерживать его.\nВ этой ситуации на помощь пришла компания Zextras, выпустив собственную сборку Zimbra OSE 9 и приняв на себя ее поддержку.\nВ конце 90-х я начал работать системным администратором Linux. Позже сосредоточился на предоставлении почтовых решений с открытым исходным кодом. Это было время напряженной работы. Интеграция и поддержка множества разнородных компонентов была постоянной проблемой, ночи и дни были потрачены на то, чтобы найти подходящее решение.\nПотом появилась Zimbra, и это стало для меня поворотным моментом: мне сразу понравилась возможность предложить комплексное решение, в котором все части идеально сочетаются друг с другом. Как поклонник коммуникационных систем и сторонник Open Source, я нашел в Zimbra все, о чем мечтал. Это причина, по которой я предоставил свою сборку Zimbra 9, чтобы продолжить проект, в который я твердо верю.\nПо этой причине, обнаружив, что у нас не будет официальной сборки Zimbra 9 Open Source, я решил поддержать сообщество, сделав нашу сборку доступной бесплатно для всех вас.\nПаоло Сторти\nГенеральный директор\nСказано красиво, но не будем забывать, что это бизнес, а для бизнеса Zextras существование Zimbra OSE имеет важное значение, как источник потенциальной клиентской базы. Но это сегодня, а завтра все может стать совсем по-другому, тем более что ходят упорные слухи, что Synacor более не занимается развитием Zimbra, переложив все работы на плечи Zextras.\nНо в любом случае владельцем Zimbra является Synacor и дальнейшая судьба продукта находится в его руках, при том, что раздаются весьма нехорошие звоночки.\nЕще начиная с Zimbra 8 сложилось, что коммерческая и свободная версии использовали для обновлений один и тот же репозиторий, данная традиция продолжилась и для Zimbra 9, но внезапно, с выпуском 15 патча (03.06.2021) Synacor перестал выпускать бинарные обновления в общий доступ. Фактически пользователи Zimbra OSE снова остались не у дел, потом компания все-таки выложила обновления, но снова в виде исходных кодов. Компания Zextras и тут оказалась на высоте, предоставив пользователям альтернативную возможность обновления. Но снова и снова вспоминаем, что Zextras не является владельцем продукта и если завтра Synacor откажется предоставлять исходные коды, то на существовании OSE-версии фактически будет поставлен крест.\nСказать, что ситуация тревожная - это значит ничего не сказать. Очень многие организации используют в своей инфраструктуре Zimbra OSE и не все из них готовы переходить на коммерческую версию. Дополнительный повод для размышления предоставляет срок поддержки продуктов. Как видим, поддержка версий 8.8.х, которая официально продолжает поддержку OSE, и 9 заканчивается 31 декабря 2023 года. Что будет дальше? Сказать сложно, не исключаем, что очередная версия Zimbra окажется полностью коммерческой. Поможет ли чем-нибудь Zextras? Zextras - это бизнес и все будет зависеть от того, что именно будет ему выгоднее. В сети давно ходят мысли, мол Zextras может сделать свой форк и самостоятельно развивать его дальше. Возможно, и может, только вот захочет ли?\nНо отставим гадания на кофейной гуще и перейдем к сухой констатации фактов.\nВыводы Дальнейшее развитие Zimbra, как продукта с открытым исходным кодом, находится под большим вопросом. Текущий владелец продукта, компания Synacor явно демонстрирует желание перевести продукт исключительно на коммерческие рельсы. Может ли ей кто-то помешать это сделать? Да никто, сообщество постепенно подводят к мысли, что официальных выпусков OSE больше не будет, а неофициальным можно всегда перекрыть кислород, хоть грубо, хоть не очень. IBM, собственно, так и поступила с CentOS, фактически уничтожив конкурента RHEL, а формально сделав его серверной Fedora с наилучшими устремлениями на словах.\nУ Zimbra очень похожая ситуация, версия OSE - вполне законченный и самостоятельный продукт, особенно в комплекте c Zextras Suite, который хоть и коммерческий, но обходится значительно дешевле Zimbra NE. Все это сильно мешает продавать основной продукт. Поэтому мы не удивимся, если Zimbra OSE будет закрыта или станет тестовым апстримом основной версии.\nНо что делать нам, пользователям? Начнем с новых установок. Мы не видим смысла внедрять Zimbra сейчас, оставшееся время жизни продукта - два года, для системы совместной работы это очень мало, а будущее - туманно. Поэтому стоит присмотреться к аналогам, благо их достаточно. Текущим пользователям Zimbra следует в течении следующего, 2022 года определиться с будущим своей системы и не позднее начала 2023 года начать переход на альтернативные варианты, либо быть готовым приобрести коммерческую версию Zimbra.\nНу и, конечно, можно надеяться, что ситуация как-то выпрямится и появится либо альтернативное OSE решение, либо изменится ценовая политика компании. Но мы бы не советовали тянуть до последнего, лучше начать просчитывать альтернативные варианты прямо сейчас.\n","id":"8258619ad6164033c5e171affd6e690b","link":"https://interface31.ru/post/zimbra-ose-vstupila-na-skolzkuyu-dorozhku-centos/","section":"post","tags":["E-mail","Zimbra","Лицензирование"],"title":"Zimbra OSE вступила на скользкую дорожку CentOS?"},{"body":"Удаленные подключения и объединения сетей остаются в тренде последние полтора года, когда события пандемии заставили пересмотреть многие подходы к работе и вызвали повышенный интерес к различным типам VPN-соединений. Все они имеют свои достоинства и недостатки, поэтому важно выбрать наиболее подходящее из них для решения определенной задачи. Если мы говорим о соединении нескольких площадок, имеющих выделенные IP-адреса, то наибольший интерес здесь представляют GRE и IPIP туннели, как наиболее простые и производительные. Сегодня мы рассмотрим их настройку в среде Linux, в частности в Debian и Ubuntu.\nКраткий ликбез для тех, кто никогда не работал с данными протоколами. Это протоколы инкапсуляции, и они очень похожи друг на друга, GRE (Generic Routing Encapsulation - общая инкапсуляция маршрутов) разработан компанией Cisco и предназначен для инкапсуляции протоколов сетевого уровня (L3) в IP-пакеты. IPIP (IP Encapsulation within IP - инкапсуляция IP в IP) - также протокол инкапсуляции, но работает только с IPv4-трафиком. GRE имеет самое широкое распространение и поддержку множеством сетевых устройств и операционных систем, IPIP наиболее прост и имеет минимальные накладные расходы.\nДанные протоколы не содержат никаких механизмов аутентификации и защиты данных, поэтому в настоящее время они используются только поверх IPsec и если речь сегодня идет о GRE или IPIP-туннеле, то скорее всего имеется ввиду GRE over IPsec или IPIP over IPSec. Также ни GRE, ни IPIP не используют порты (как и используемый для шифрования полезной нагрузки протокол ESP), поэтому не могут преодолевать NAT, что требует выделенных IP-адресов для каждого узла и ограничивает соединение единственным экземпляром.\nЕще одна особенность GRE и IPIP - это протоколы без сохранения состояния соединения (stateless) и понять в каком состоянии находится туннель невозможно. Можно только настроить обе стороны и проверить передачу данных между ними. Но это имеет и свои плюсы - интерфейсы всегда присутствуют в системе, что облегчает настройку маршрутизации, а также отсутствуют проблемы, связанные с необходимостью переподключения и т.п.\nВ дальнейших примерах мы будем использовать следующую схему, а в качестве узлов будут выступать операционные системы Debian 10 и Ubuntu 20.04: Сначала мы рассмотрим настройку самих туннелей и только убедившись в их работоспособности перейдем к защите с помощью IPsec.\nНастройка туннелей GRE и IPIP в Debian Для работы с GRE и IPIP туннелями нам потребуется загрузить специальные модули ядра, для этого откроем файл /etc/modules и внесем в него строки:\n1ip_gre 2ipip Если вы не собираетесь использовать один из протоколов, то его модуль можно не подключать. Для вступления изменений в силу компьютер следует перезагрузить. Если такой возможности нет, то можно временно загрузить модули вручную, командой modprobe, например, для GRE:\n1modprobe ip_gre В Debian, как и во многих других основанных на нем дистрибутивах для настройки сети используется ifupdown, несмотря на то что система управляется systemd. Пока что это общепринятая практика и мы будем ее придерживаться. Поэтому откроем файл настроек /etc/network/interfaces и добавим в него следующую секцию:\n1auto gre30 2 iface gre30 inet tunnel 3 address 10.10.10.1 4 netmask 255.255.255.252 5 mode gre 6 local 198.51.100.1 7 endpoint 203.0.113.1 8 ttl 255 Где gre30 - имя интерфейса, его можно выбрать произвольно, можно даже дать осмысленное название, скажем gre-office-zavod.\nВнимание! Важно, не следует использовать имена gre0 и tunl0, они присваиваются автоматически созданным интерфейсам, что приведет к неработоспособности соединения.\nСледующая строка указывает на то, что мы создаем туннельное соединение, опции address и netmask задают адрес внутри туннеля с нашей стороны. Обратите внимание, что мы используем сеть /30 (маска 255.255.255.252), потому что туннель - это соединение точка - точка и выделять для него сеть /24 будет расточительством, хотя ничего страшного в этом не будет, поступайте согласно собственной планировке адресного пространства сети.\nОпция mode определяет тип туннеля, в нашем случае указано gre, для IPIP следует указать ipip. Внешний адрес нашей стороны туннеля содержится в опции local, endpoint - внешний адрес противоположной стороны.\nЕще один важный момент - маршрутизация. С противоположного конца находится сеть 192.168.222.0/24 и нам нужно иметь туда доступ, поэтому в конце секции добавляем еще одну команду:\n1post-up ip route add 192.168.222.0/24 via 10.10.10.2 Которая будет выполнена после создания туннельного интерфейса и добавит маршрут к удаленной сети через противоположный конец туннеля.\nПосле внесения всех изменений перезапустим сеть командой:\n1systemctl restart networking И убедимся, что туннельный интерфейс нормально создался, например, можно использовать команду:\n1ip a Для разрешения подключения в брандмауэре следует добавить следующие правила:\n1iptables -A INPUT -p gre -j ACCEPT 2iptables -A INPUT -p ipip -j ACCEPT Они очень просты и в комментариях не нуждаются.\nНастройка туннелей GRE и IPIP в Ubuntu Начиная с Ubuntu 18.04 для управления сетью используется netplan. Это создает свои особенности настройки туннельного интерфейса, но все остальное остается прежним. Вам точно также потребуется предварительно подключить модули ядра, добавив в /etc/modules строки:\n1ip_gre 2ipip И перезагрузить систему, если это нежелательно, временно загрузите модули с помощью modprobe, по одной команде для каждого модуля, например:\n1modprobe ipip Сетевые настройки netplan хранятся в директории /etc/netplan, в силу сложной структуры yaml-файлов с многочисленными отступами сетевую конфигурацию удобнее хранить в отдельных файлах, которые загружаются в алфавитном порядке. Поэтому создадим новый файл конфигурации:\n1touch /etc/netplan/10-ipip-tunnel.yaml И внесем в него следующее содержимое (не используйте для отступов табуляцию, только два или четыре пробела):\n1network: 2 version: 2 3 tunnels: 4 ipip30: 5 mode: ipip 6 remote: 198.51.100.1 7 local: 203.0.113.1 8 addresses: 9 - 10.10.10.2/30 10 routes: 11 - to: 192.168.111.0/24 12 via: 10.10.10.1 В этот раз мы настраиваем IPIP-туннель, о чем косвенно говорит его имя ipip30 (может быть любым), но тип туннеля задается параметром mode. Опции remote и local задают внешние адреса туннеля с нашей и противоположной стороны, addresses - внутренний адрес с нашей стороны туннеля. Как более современное и продвинутое решение netplan позволяет сразу указать маршрутную информацию в поле routes, где мы указали путь к сети 192.168.111.0/24 через противоположный конец туннеля.\nСохраняем файл конфигурации и генерируем сетевые параметры:\n1netplan generate Затем применим конфигурацию в тестовом режиме:\n1netplan try Это очень полезная функция, если в течении двух минут мы не подтвердим новые настройки netpaln вернет все как было. Теперь настраивать сеть на удаленных узлах можно не опасаясь потерять к ним доступ.\nДля самых смелых есть возможность применить конфигурацию без тестирования:\n1netplan apply В брандмауэре точно также нужно разрешить подключения по протоколам GRE и IPIP:\n1iptables -A INPUT -p gre -j ACCEPT 2iptables -A INPUT -p ipip -j ACCEPT Настроив туннель на обоих узлах убедитесь в его работоспособности, после чего можно переходить к следующему шагу - его защите.\nНастройка IPsec для туннелей GRE и IPIP Для работы с IPsec нам потребуется пакет strongSwan, установим его:\n1apt install strongswan Затем откроем файл настроек /etc/ipsec.conf и добавим в него следующие две секции:\n1conn sts-base 2 fragmentation=yes 3 dpdaction=restart 4 ike=aes256-sha256-modp3072 5 esp=aes256-sha256-ecp256-modp3072 6 keyexchange=ikev2 7 type=transport 8 keyingtries=%forever 9 10conn gre30 11 also=sts-base 12 left=198.51.100.1 13 leftauth=psk 14 right=203.0.113.1 15 rightauth=psk 16 auto=route Первая секция sts-base задает общие параметры для соединений site-to-site, т.е. всех GRE и IPIP-туннелей, включая набор шифров, протокол обмена ключами (IKEv2) и режим работы (транспортный). При необходимости любой из этих параметров можно переопределить, указав непосредственно в секции соединения.\nВторая секция gre30 относится к самому соединению и первой строкой загружает параметры из общей секции, а затем уже указывает собственные. Параметры подключения делятся на левые и правые, следует твердо запомнить: левые параметры относятся к локальной системе, а правые - к удаленной. Параметр left задает внешний адрес локальной для IPsec подключения, а параметр leftauth - тип аутентификации с локальной стороны, в нашем случае это psk - предварительный общий ключ. Аналогичные настройки задают внешний адрес противоположной стороны и тип аутентификации удаленной системы.\nТретий параметр auto - указывает на тип запуска соединения, в нашем случае используется route, с такой настройкой strongswan производит мониторинг трафика и устанавливает защищенное соедиенение только при наличии целевого трафика между указанными узлами. Таким образом, как только появится трафик от узла left к узлу right - он будет сразу же зашифрован IPsec, а трафик от right к left соотвественно расшифрован.\nСохраним настройки и перейдем к следующему файлу /etc/ipsec.secrets в котором укажем общий ключ для наших узлов:\n1198.51.100.1 203.0.113.1 : PSK \u0026#34;mySharedKey\u0026#34; Общий ключ обеспечивает безопасность соединения, поэтому позаботьтесь о его секретности, а также не используйте в качестве ключа слабые последовательности и словарные фразы.\nПосле того, как вы внесли все указанные выше изменения strongSwan следует перезапустить, в Debian используйте команду:\n1systemctl restart strongswan В Ubuntu:\n1 systemctl restart strongswan-starter На другой стороне следует выполнить аналогичные настройки, только поменять местами правую и левую стороны, в нашем случае отличаются только внешние адреса узлов.\nПосле того как вы настроите IPsec на одной стороне связь с другой стороной пропадет и появится только после аналогичной настройки удаленного узла, только теперь наш туннель будет работать с защитой IPsec. Чтобы убедиться в том, что это именно так, можно изучить дамп трафика.\nВот так выглядит незащищенный IPIP - мы видим внешний IP-заголовок, внутренний IP-заголовок и полезную нагрузку (ICMP), все как на ладони: После включения IPsec картина будет иной, доступны будут только внешние IP-заголовки, остальное содержимое будет надежно зашифровано протоколом ESP, входящим в состав IPsec: Также следует понимать, что в данном режиме при помощи IPsec будут шифроваться все соединения между узлами, а не только туннели.\nДля нормальной работы защищенного соединения потребуется внести в брандмауэр дополнительные разрешающие правила для протоколов IKE и ESP:\n1iptables -A INPUT -p udp -m multiport --dports 500,4500 -j ACCEPT 2iptables -A INPUT -p esp -j ACCEPT Указанные ранее разрешающие правила для протоколов GRE и IPIP более не нужны (так как они находятся теперь внутри IPsec) и их следует убрать.\nОсобенности настройки туннелей GRE/IPIP между Debian/Ubuntu и Mikrotik Тему соединений GRE и IPIP для роутеров Mikrotik мы не так давно разбирали в отдельной статье, сегодня же поговорим об особенностях настройки туннелей где с одного конца будет Linux, а с другой RouterOS. Основная проблема кроется в том, что при использовании штатного механизма IPsec для туннельных соединений (и L2TP) политики IPsec создаются динамически, на основе политики по умолчанию и нет никакой возможности это поведение переопределить.\nОтсюда следует несколько вариантов. Самый радикальный - не использовать штатные механизмы, а создать отдельное соединение IPsec для нужных узлов и уже поверх него развернуть нужный туннель. Но это требует определенных, причем достаточно глубоких знаний и опыта, в противном случае настроить и отладить такую схему будет затруднительно. Еще один вариант - изменить настройки IPsec по умолчанию, несмотря на то что это несколько проще вам все еще следует четко представлять последствия этого шага, так как изменение настроек по умолчанию может нарушить нормальную работу других служб, использующих IPsес.\nПоэтому оставим описанные варианты для опытных пользователей и настроим IPsec так, чтобы была возможность работать с роутерами Mikrotik из коробки. Что нужно учесть в этом случае? Прежде всего протокол обмена ключами - по умолчанию это IKEv1. Затем шифры, их набор существенно отличается от тех, которые мы использовали в настройках выше. Чтобы ознакомиться с ними перейдем в IP - IPsec и изучим данные на закладках Proposals и Profiles: Таким образом, если отбросить совсем старый и ненадежный 3DES, то для IKE у нас практически не останется выбора: AES-128 - SHA1 - MODP-1024/2048, для ESP выбор немного больше, но только в части алгоритмов шифрования: AES-128/192/256 - SHA1 - MODP-1024. Кроме того, следует учитывать, что многие роутеры Mikrotik имеют достаточно слабый процессор и не поддерживают аппаратное шифрование, поэтому выбор сильных алгоритмов способен привести к высокой нагрузке на CPU и низкой производительности соединения. В большинстве случаев AES-128 будет вполне достаточно.\nВернемся на Linux сервер и добавим в /etc/ipsec.conf секцию для работы с Mikrotik:\n1conn mikrotik 2 also=sts-base 3 ike=aes128-sha1-modp2048 4 esp=aes128-sha1-modp1024 5 keyexchange=ikev1 6 left=198.51.100.1 7 leftauth=psk 8 right=203.0.113.1 9 rightauth=psk 10 auto=route Принципиально она ничем не отличается от приведенных выше секций, мы также загружаем в нее параметры из общей секции sts-base, но переопределяем некоторые из них, которые касаются используемых шифров и протокола обмена ключами.\nКаких-либо особенностей создания туннельного соединения со стороны Linux-сервера нет, а вот при создании туннеля в RouterOS следует убрать опцию Keepalive, в противном случае Mikrotik не будет считать соединение активным пока не получит пакет с противоположной стороны туннеля. В терминале команда будет следующей для GRE:\n1/interface gre 2add allow-fast-path=no ipsec-secret=\u0026#34;My$ecret\u0026#34; !keepalive local-address=203.0.113.1 name=gre-tunnel1 remote-address=198.51.100.1 и IPIP:\n1/interface ipip 2add allow-fast-path=no ipsec-secret=\u0026#34;My$ecret\u0026#34; !keepalive local-address=203.0.113.1 name=gre-tunnel1 remote-address=198.51.100.1 В остальном настройки ничем не отличаются от соединения через туннели GRE и IPIP двух роутеров Mikrotik, и мы не будем рассматривать их в данной статье более подробно.\n","id":"2dfdf7a187213d887f158a4a7df16276","link":"https://interface31.ru/post/nastroyka-tunneley-gre-i-ipip-v-debian-i-ubuntu/","section":"post","tags":["Debian","GRE","IPIP","netplan","Ubuntu Server","VPN","Маршрутизация"],"title":"Настройка туннелей GRE и IPIP в Debian и Ubuntu"},{"body":"Рынок б/у комплектующих существовал всегда, но сегодня на нем выделилось отдельное направление - покупка серверных процессоров Xeon, материнских плат к ним и памяти в Китае. Подобные комплекты прежде всего привлекательны своей стоимостью, так как позволяют собрать достаточно производительную конфигурацию за достаточно небольшую стоимость. Популярность \u0026quot;китайских\u0026quot; Xeon и ажиотаж вокруг них достигла такого уровня, что нас уже несколько раз спрашивали, что лучше: купить новый компьютер или заказать Xeon из Китая. Однозначно ответить на этот вопрос сложно, поэтому давайте разбираться.\nОсновным мотивом покупки б/у процессора в Китае, конечно же, является цена. Ну разве можно устоять, когда вам отдают серверный 10-12 ядерный процессор по цене менее 10 тыс. рублей, а весь комплект с материнской платой и памятью можно собрать тысяч за пятнадцать? Но здесь кроется первая опасность: низкая цена, как и всевозможные скидки и акции, часто отключает критическое восприятие, делая покупку спонтанной. Ведь это же \u0026quot;выгодно\u0026quot;, надо брать!\nРеальность же может быть совсем иной. Продажа б/у Xeon на китайских площадках - это бизнес, а любой бизнес нацелен в первую очередь на получение прибыли, вы же не думаете, что китайские товарищи занимаются благотворительностью? И многие маркетинговые приемы, включая ценообразование, направлены на то, чтобы продать товар нужный продавцу, а вовсе не предложить то, что лучше всего подойдет покупателю.\nПоэтому, увидев любое привлекательное предложение, следует отбросить эмоции и беспристрастно разобраться насколько оно действительно выгодно. Во многих случаях интересы продавца и покупателя могут совпадать и тогда это будет действительно выгодная сделка. А где-то может выйти и совсем наоборот, особенно если покупка была сделана спонтанно.\nСразу же внесем ясность по некоторым аспектам систем на б/у Xeon. Если есть спрос, то всегда будет предложение и китайская индустрия освоила выпуск широкой линейки материнских плат для таких процессоров с учетом интересов обычных пользователей, тут вам и NVMe, и USB 3.0, многое иное, что не нужно на сервере, но без чего сложно представить современный настольный компьютер.\nСправедливости ради скажем, что уровень производства китайских материнских плат за последнее время значительно вырос, появились местные производители и в целом качество продукции вполне соответствует бюджетным моделям известных брендов. Тот же HUANANZHI на рынке б/у XEON вполне себе претендует на роль одного из ведущих производителей, обеспечивая неплохое качество и уровень поддержки своей продукции, но не всегда всё гладко. Поэтому перед приобретением того или иного комплекта всегда следует собрать максимум информации по интересующей модели, благо ее в сети вполне достаточно.\nНаш собственный опыт говорит, что собранные на базе китайских плат системы в своем большинстве работают достаточно стабильно, а уровень брака не превышает средние показатели бюджетного сегмента. Но есть и ряд нерешенных \u0026quot;детских болезней\u0026quot;, многие системы на базе Xeon имеют \u0026quot;стандартные\u0026quot; проблемы с управлением энергопотреблением, спящим режимом, некоторой периферией и т.д. и т.п. Все это неплохо описано на тематических ресурсах, и мы рекомендуем тщательно их изучить, чтобы не столкнуться с неприятными сюрпризами от покупки.\nСледующий вопрос: какой Xeon покупать? Выбор весьма и весьма широк, вплоть до LGA 775 за предельно смешную цену. Но покупка процессоров для устаревших платформ имеет смысл только в одном случае - когда вам нужно увеличить производительность уже существующей системы, которую вы по каким-либо причинам не можете заменить новой. Например, там установлено какое-то специфичное ПО или оборудование. В остальных случаях покупка таких систем не имеет смысла.\nАктуальной платформой для рынка б/у Xeon на сегодняшний день можно считать LGA2011-3, на которую можно поставить процессоры Xeon E5 третьего и четвертого поколения. Именно ее мы и будем рассматривать. Одной из возможностей данной платформы является использование четырёхканальной памяти, что служит источником некоторых заблуждений. Распространено мнение, что четырехканальная память работает в два раза быстрее двухканальной. На самом деле это не так, она имеет ту же самую скорость работы, но вдвое большую пропускную способность.\nЗдесь уместно провести аналогию с шоссе. В час пик четырехполосное шоссе будет двигаться быстрее двухполосного, но если дорога свободна, то ваша максимальная скорость не будет зависеть от числа полос. Так и здесь: четырехканальная память имеет преимущества на высоконагруженных системах, в повседневных настольных задачах какого-либо прироста производительности от четырех каналов вы не получите.\nЗа основу нашего тестирования мы взяли два основных показателя:стоимость процессора и производительность согласно cpubenchmark.net, все значения традиционно нормируются, т.е. выбирается некоторый максимальный показатель, который принимается за 100 баллов, а остальные значения уже рассчитываются относительно него. Это позволяет абстрагироваться от рублей и \u0026quot;попугаев\u0026quot;, абсолютные значения которых могут искажать результаты через призму эмоционального восприятия. Проще говоря, нормированные значения не вызывают реакции \u0026quot;халява, надо брать\u0026quot;, а позволяют достаточно беспристрастно сравнивать необходимые показатели.\nЕще один момент - цены, на китайских площадках они достаточно сильно могут различаться, поэтому мы выбрали средние, отбросив максимальные и минимальные значения. При этом всегда остается возможность купить процессор дешевле, либо дороже, в зависимости от текущей ситуации на рынке.\nЧтобы правильно понять позиционирование б/у Xeon их следует сравнить с актуальными предложениями, для этого мы выбрали два самых недорогих процессора от Intel и AMD, а затем добавили в выборку наиболее популярные и недорогие модели Intel Core 10-серии и AMD Ryzen третьего поколения. Это не самые современные и не самые производительные модели, но именно их наиболее часто покупают в отечественной рознице.\nЦеновую планку обзора мы ограничили значением 30 000 рублей за процессор, хотя в порядке исключения все-таки добавили две более дорогих модели, но сугубо для того, чтобы показать, что исключения только подтверждают правило.\nПредложение на китайских площадках в основном представлено двумя линейками: Xeon E5-1600 и Xeon E5-2600, первая предлагает меньшее количество высокочастотных и производительных ядер, а вторая большее количество более медленных и низкочастотных. Обе линейки поддерживают Intel Turbo Boost, но следует помнить, что максимальная частота достижима только при однопоточной нагрузке.\nПроцессоры Xeon E5-1600 v3/v4 Линейка Xeon E5-1600 представлена процессорами с ядрами Haswell-EP (v3) и Broadwell (v4), что соответствует четвертому и пятому поколению процессоров Intel Core. Тактовые частоты, кроме самой младшей модели, начинаются от 3 ГГц, а в режиме Turbo Boost могут достигать 4 ГГц, количество ядер от 4 до 8. Тепловой пакет всех процессоров составляет 140 Вт.\nДля своего времени это были достаточно производительные процессоры, но сейчас подобными характеристиками никого не удивить, 4 ядра давно стало нормой для процессоров начального уровня, да и ядра сейчас совсем другие. Но в целом платформа все еще достаточно актуальная, если не испытывать иллюзий и хорошо представлять себе недостатки, в частности высокое энергопотребление и тепловыделение.\nКак всегда, начнем с обзора цены и производительности в нормированных единицах, современные процессоры, добавленные для сравнения, выделены зеленым цветом. Что сразу обращает на себя внимание? Разница в производительности между v3 и v4, она достаточно невелика, чего нельзя сказать о разнице в цене. Xeon Е5 v4 стоит дорого, иногда запредельно дорого, как пример E5-1660 v4. Никакого смысла в покупке процессоров четвертого поколения мы не видим, разве что вам нужен именно v4 в серверную систему, в таком случае покупка в Китае может иметь определенный экономический смысл. Далее мы будем рассматривать именно процессоры v3.\nНачнем с младших моделей Е5-1603 и Е5-1607, это четырехядерники с частотами 2,8 ГГц и 3,1 ГГц, Turbo Boost и Hyper-Threading отсутствуют. Производительность их находится где-то посередине между младшим Core i3 и самыми дешевыми Celeron или AMD, сегодня в этой нише находятся процессоры Pentium и Athlon, которые имеют два ядра и четыре потока и вполне способны составить им конкуренцию. Да, вы не ослышались, производительность современных процессоров начального уровня не уступает младшим моделям Xeon произведенным пять-семь лет назад.\nНо есть один важный фактор - цена, эти процессоры можно сейчас купить практически за бесценок, и общая стоимость готового ПК выйдет существенно ниже современного компьютера начального уровня. Звезд с неба такой компьютер хватать не будет, но в ультрабюджетном сегменте получится дешево и сердито. Если вы готовы мириться с очевидными минусами: высокое энергопотребление и тепловыделение, как следствие - уровень шума, потому как тихий кулер на такую рассеиваемую мощность перечеркнет всю выгоду от покупки.\nЕсли же вы не столь ограничены в финансах, то лучше посмотрите в сторону современных платформ, в абсолютном выражении разница в стоимости на этом уровне еще не очень существенна.\nНаиболее интересное предложение в этой линейке - E5-1620, это уже полноценный четырехядерник с Turbo Boost и Hyper-Threading (т.е. 8 потоков), уступающий Core i3-10100F всего около 20% и продающийся за очень смешные деньги, самую малость дороже E5-1603/1607. В итоге очень недорого можно собрать крепкую рабочую машинку, опять-таки без претензий на высокую производительность, но вполне универсальную и комфортную.\nВ принципе тоже самое можно сказать и о E5-1630, но лоты с ним на AliExpress и Ebay оказались существенно дороже. В любом случае это тоже хороший кандидат к покупке, просто возьмите себе за ориентир Core i3-10100F и если вы считаете, что приобрести Xeon будет выгоднее - приобретайте (с оглядкой на высокий тепловой пакет).\nДалее в линейке идут шестиядерный E5-1650 и восьмиядерный E5-1660 (12 и 16 потоков), производительность здесь выше, чем у Core i3-10100F и примерно соответствует Ryzen 3 3100. Цены тоже примерно на уровне современных конкурентов. Здесь уже нужен более взвешенный подход и оценивать следует стоимость конфигурации в сборе. По совокупности факторов это все еще может быть выгодной покупкой.\nТакже не забываем, что современные конкуренты - это 4 ядра / 8 потоков, поэтому снова есть над чем подумать. Если вы четко понимаете, чем грузить ядра и потоки и вам не требуется высокой производительности в однопоточном режиме, то E5-1650/1660 могут показать себя с новой стороны, особенно в сочетании с четырехканальной памятью. Какие это могут быть задачи? Видеомонтаж, рендеринг, разработка, виртуализация - это только часть из них, но, повторимся, вы должны хорошо представлять характер нагрузки и понимать зачем вам нужны эти ядра и пропускная способность памяти. В этом случае вы можете совсем недорого собрать производительную рабочую станцию или сервер начального уровня.\nСтаршие модели линейки, как и вообще старшие модели - продукт более имиджевый, практического смысла в их приобретении нет, современные процессоры дешевле и/или производительнее.\nЕще одним интересным моментом будет сравнение однопоточной производительности, т.е. того, что может одно ядро при максимальной рабочей частоте. Для Intel это особенно актуально, так как Turbo Boost обеспечивает максимальную рабочую частоту только при нагрузке в один поток. Возможно, многие удивятся, что в однопоточном тесте дешевый Celeron не уступает более дорогим процессорам и превосходит или идет на равных с практически всеми Xeon E5-1600. Но ничего удивительного в этом нет, все процессоры одного поколения производятся на одной и той же аппаратной базе. Основу стоимости процессоров составляет далеко не кремний, а затраты на разработку (НИОКР или R\u0026amp;D), поэтому экономически выгодно даже в дешевых процессорах использовать те же ядра, что и в дорогих, просто программно или аппаратно ограничивая их возможности.\nТакже обратите внимание, что с ростом числа процессорных ядер их частота и производительность стали снижаться - это говорит о том, что дальнейший рост производительности платформы уперся в тепловой пакет и рост производительности обеспечивается только за счет увеличения числа ядер. Поэтому если вы не представляете, чем и как будете грузить ядра, то отдавайте предпочтение процессорам с большей производительностью в один поток, это снова E5-1620/1630/1650.\nНо в целом нельзя сказать, что ядра Xeon E5-1600 выглядят слабыми, в моделях, представляющих интерес к покупке производительность на ядро все еще остается достаточно актуальной для современного рынка, да и общая производительность процессоров позволяет им чувствовать себя вполне неплохо, особенно с учетом цен на китайском рынке.\nПроцессоры Xeon E5-2600 v3/v4 Здесь мы все также имеем дело с ядрами Haswell-EP (v3) и Broadwell (v4), т.е. четвертым и пятым поколением Intel Core, но сам подход к построению данной линейки иной, как и ее назначение. Если в E5-1600 мы имели дело с небольшим количеством быстрых (по меркам своего поколения) ядер, то E5-2600 предлагает нам гораздо более медленные ядра, но много. Судите сами, если линейка E5-1600 заканчивалась 8 ядрами, то Е5-2600, по сути, с восьми ядер только начинается, но тактовые частоты гораздо ниже, всего 2 - 2,5 ГГц. Turbo Boost, конечно, умеет вытягивать частоты до 3,5 ГГц, но еще раз напомним, максимальная частота у Intel достигается только при нагрузке на одно ядро.\nВообще данную линейку многие должны хорошо помнить и далеко не у всех эти воспоминания будут приятные. Злую шутку тут сыграла система наименований процессоров, по настольным линейкам пользователи привыкли, что чем выше индекс процессора - тем он производительнее. В общем и целом - так оно и есть. Но серверные процессоры имеют ряд своих особенностей, с которыми мало кто разбирался. Если смотреть на общие результаты тестов, то E5-2600 оказывался мощнее, но для достижения такого результата на практике нужно было найти чем загрузить всё доступное количество ядер и потоков.\nВ глазах многих покупателей E5-1600 представлялась как \u0026quot;младшая\u0026quot; линейка, а E5-2600 - \u0026quot;старшая\u0026quot;, ну и, конечно, если есть деньги, надо брать \u0026quot;старшую\u0026quot;, а разбираться что к чему будем уже потом... Только разборки потом получались довольно неприятные. Дело в том, что эти две линейки не являются \u0026quot;старшей\u0026quot; и \u0026quot;младшей\u0026quot;, а имеют различное назначение: E5-1600 предназначена для систем, требующих высокой производительности на поток, при небольшом количестве таких потоков, а E5-2600 для большого количества параллельных задач, не требующих высокой производительности для каждой отдельной задачи.\nТипичный пример такой задачи - хостинг, для большого количества относительно маломощных виртуальных машин гораздо важнее своевременно получать доступ к процессорным ресурсам, чем иметь высокую производительность вычислений. Непонимание этого момента приводило к покупке серверов на базе E5-2600, например, для 1С:Предприятия, после чего начинались судорожные попытки заставить это все хоть как-то работать, которые заканчивались одинаково плачевно. Добиться приемлемой производительности от сервера 1С на ядрах данной линейки невозможно в принципе. Получались деньги на ветер в прямом смысле этого слова.\nСтоль обширное вступление мы сделали с единственной целью, чтобы глядя на достаточно высокие результаты производительности в тестах вы понимали, что это результат работы всех ядер и если вы не представляете чем их все нагрузить, то реальные результаты будут гораздо скромнее.\nСнова цена и производительность в нормированных единицах, современные процессоры выделены зеленым, оба графика нормированы относительно одних и тех же значений и их можно сравнивать между собой. Если смотреть на график, то может показаться что процессоры данной линейки могут вполне успешно конкурировать с современными процессорами вплоть до Core i7, но это не должно вводить вас в заблуждение, так как такая производительность достижима только при полной загрузке всех ядер. А современный софт все еще не так хорошо оптимизирован для многопоточности, чтобы равномерно грузить десяток другой потоков.\nЕще один момент, который стоит внимания - это ценообразование китайских продавцов, мы специально включили в сравнение E5-2673 v4. Чем примечателен это процессор? Если смотреть на производительность - то ничем, но в нем не 14, а 20 ядер и не 28, а 40 потоков. Этого уже вполне достаточно чтобы продавцы на китайских площадках загнали ценник на него до абсолютно неадекватных значений.\nОднопоточная производительность выглядит тоже на первый взгляд неплохо, но снова вспоминаем, что максимальной частоты процессоры Intel достигают сугубо при загрузке только одного ядра. Хотя даже по нему можно заметить, что общая производительность ядер E5-2600 на максимальной частоте ниже, чем у ядер E5-1600. В реальных же задачах всегда будет нагружено несколько ядер и частота, а следовательно, и производительность отдельного ядра будет ниже. Так как же понять реальную производительность данной линейки в сценарии обычного ПК широкого применения? Мы рекомендуем взять за ориентир Core i7 четвертого поколения (для Xeon v3) из чего можно сделать выводы, что для случая с неполной загрузкой ядер результаты на первом графике нужно уменьшить процентов так на 40.\nСобственно чудес не бывает, слабые ядра не могут обеспечить высокой производительности в повседневных задачах, особенно если ваши приложения преимущественно однопоточные, в этом случае лучше не гнаться за количеством ядер и посмотреть в сторону E5-1600.\nНо даже со скидкой на неполную загрузку ядер мы получаем достаточно приятный расклад: младшие модели находятся по производительности в повседневных задачах неcколько ниже Core i3, старшие между Core i3 и Core i5 и Ryzen 3 третьего поколения. Но учитывая цены на китайских площадках - это очень и очень привлекательное предложение. Интерес к покупке представляет практически вся линейка по E5-2670 включительно, так как вы можете купить 12 ядерный процессор по цене примерно вдвое ниже самого дешевого Core i3, и даже если вы где-то проиграете в однопоточных задачах, то в целом сможете получить от процессора гораздо больше, при гораздо меньшей стоимости.\nНе стоит только повторять уже описанную нами ошибку и покупать процессоры этой линейки для преимущественно однопоточных задач, скажем если вы работаете с 1С:Предприятие, то выбор линейки E5-2600 будет изначально плохой идеей.\nПри более подробном анализе можно выделить несколько групп процессоров. Начнем с E5-2620/2630 - это неприлично дешевые шести и восьмиядерники с тепловым пакетом в 85 Вт, если у вас нет требующих производительности в один поток задач, то это очень неплохой вариант для ПК начального уровня. Не сильно хуже младших Core i3, но значительно дешевле. А невысокое энергопотребление и тепловыделение делает эксплуатацию этих моделей достаточно комфортной.\nДалее идут E5-2640/2650, 8 и 10 ядер соответственно, 90 и 105 Вт потребляемой мощности. При этом, если у вас нет задач, требующих максимального количества ядер, то E5-2640 выглядит интереснее, за счет более высокой производительности на ядро.\nСледующий уровень E5-2660/2670 - 10 и 12 ядер, при должной нагрузке способны обогнать современные Core i5 и приблизиться к Core i7 и Ryzen 5, в качестве ПК широкого применения где-то на уровне между Core i3 и Core i5, но все еще существенней дешевле первого.\nА вот далее нужно уже думать, цены на E5-2680/2690 выходят на уровень современных процессоров уровня Core i3 и Ryzen 3, поэтому если вам нужен просто производительный компьютер, то лучше обратить внимание на современные платформы.\nНо совсем другие перспективы открываются, если вы точно знаете, чем нагрузить все эти ядра и потоки. Для задач видеомонтажа, рендеринга, виртуализации, проектирования линейка E5-2600 позволяет очень недорого собрать высокопроизводительную рабочую станцию, тем более что сейчас можно приобрести и двухпроцессорные материнские платы, также не забываем о четырехканальном режиме памяти.\nИсходя из всего вышесказанного однозначной линейку E5-2600 назвать нельзя. Да, младшие модели интересны к покупке своей ценой, хотя производительными их назвать нельзя, но все равно за эти деньги вы не купите ничего лучше. У более старших процессоров, даже при сопоставимой цене начинают выходить на первый план недостатки семейства: высокое энергопотребление и тепловыделение, низкая производительность ядер. Здесь, при прочих равных, следует подумать. Но все это касается только использования линейки как ПК общего назначения.\nЕсли же говорить о производительных рабочих станциях для виртуализации, работы с графикой и видео, 3D-моделирования, то во многих случаях E5-2600 окажется оптимальным выбором, особенно если ваш бюджет ограничен.\nЭнергоэффективность Мы понимаем, что в нашей стране затраты на электроэнергию считать не принято, благо стоит она недорого. Но за энергоэффективностью, точнее энергонеэффективностью стоят иные проблемы. Большинство современных процессоров обеспечивая высокую производительность укладываются в 65-95 Вт, что позволяет использовать практически любой недорогой кулер с любой попавшей под руку термопастой. С Xeon в большинстве случаев так не выйдет, если вы не хотите проблем с шумом, перегревом, стабильностью - то об охлаждении системы придется позаботиться.\nНачнем с линейки E5-1600, желтым показаны современные процессоры: С энергоэффективностью здесь, мягко говоря, не очень... Ну а что еще можно ожидать от процессоров с потреблением в 140 Вт? Собрать что-то экономичное и тихое на этой платформе не получится, наоборот, вам придется решать задачи по эффективному теплоотводу, что может повлечь за собой дополнительные расходы.\nЛинейка Е5-2600: Здесь картина уже немного получше, хотя энергоэффективность большинства процессоров не превышает уровень дешевых Core i3, тем не менее модели этой линейки в специфических для них задачах способны показывать гораздо более высокую производительность, на уровне Ryzen 5 или Core i7, а учитывая крайне невысокую их цену затраты на эффективное охлаждение все еще укладываются в понятие бюджетного решения. Тем более что в интересной для покупки части линейки потребляемая мощность находится в пределах 85 - 120 Вт, что позволяет обойтись относительно недорогими моделями кулеров.\nВ целом следует понимать, что это изначально серверные процессоры, а там к вопросам охлаждения несколько иной подход, во всяком случае если сервер шумит - то это нормально, а вот шум от рабочего ПК способен резко снизить комфорт работы с ним, особенно если вы используете его дома. Поэтому еще на стадии планирования покупки держите в уме данный вопрос так как эффективный и тихий кулер на большую рассеиваемую мощность может оказаться дороже приобретаемого процессора.\nПри выборе блока питания обращайте внимание на запас мощности по линии +12В, он должен быть не менее 350 Вт, а также крайне желательна поддержка стандарта 24+4+4 (24+8).\nВыводы Любые выводы об обоснованности покупки \u0026quot;китайских\u0026quot; Xeon нужно делать на основании текущей рыночной цены, которая может меняться со временем, причем меняться значительно. Скажем сегодня покупка процессоров v4 лишена экономического смысла, но уже через некоторое время все может измениться.\nНа текущий момент интерес к покупке представляют процессоры поколения v3 обоих линеек. Для E5-1600 однозначный интерес представляют младшие модели до E5-1620/1630 включительно, все что выше следует покупать только в том случае, если вы четко понимаете сценарии использования и сможете использовать все преимущества платформы, в частности большое количество ядер и четырехканальный режим памяти.\nТакже следует учитывать высокое энергопотребление и тепловыделение этой линейки, потому как затраты на эффективную систему охлаждения могут превысить стоимость процессора.\nЛинейка E5-2600 довольно неоднозначна: на одной чаше весов достаточно слабые и низкочастотные ядра, но много, на другой - очень низкая цена и большое количество ядер и потоков. По совокупности факторов приобретение этих процессоров будет экономически оправдано во многих случаях, за исключением тех, когда вам нужна производительность в однопоточных приложениях.\nЕще одно применение этой линейки - это специализированные рабочие станции и сервера: для виртуализации, рендеринга, видеомонтажа и проектирования и т.п., где задачи прекрасно распараллеливаются и выигрыш от количества потоков превышает выигрыш от производительности на поток. С учетом доступности плат на два сокета можно очень недорого собрать производительное решение для определенных задач. В тоже время нельзя рекомендовать такие сборки в качестве обычных ПК, для повседневных задач это деньги на ветер.\nВ целом, не задумываясь можно покупать всю линейку вплоть до E5-2660/2670, в любом случае вы получите неплохую производительность за очень небольшую сумму, разве что отсутствует смысл покупать самые младшие модели, потому как цена с более производительными старшими моделями будет составлять всего лишь сотни рублей.\nПодводя итог: Intel Xeon для платформы LGA2011-3 покупать можно и нужно, но исключительно с оглядкой на цену. По сути, это устаревшая платформа, аналог четвертого и пятого поколения Intel Core, но все еще остающаяся актуальной благодаря низкой цене и большому количеству ядер и потоков. За свои деньги вы получите вполне производительную относительно современных задач машину, но не более, говорить о каком-либо превосходстве над современными CPU здесь неуместно.\nДругое дело если вы знаете куда применить все эти ядра и потоки, особенно это касается линейки E5-2600, которая за действительно небольшие деньги позволяет строить рабочие станции не уступающие, а то и превосходящие по производительности современные решения аналогичного ценового диапазона. Но, повторимся, это касается только специализированных применений.\nНу и не забывайте об известных минусах данной платформы: высоком энергопотреблении и тепловыделении, а также проблемах китайских материнских плат, которые широко известны.\n","id":"ae33f7cbaed6a530346a2541e9121ebb","link":"https://interface31.ru/post/imeet-li-smysl-pokupka-intel-xeon-lga2011-3-iz-kitaya-v-2021-godu/","section":"post","tags":["CPU","Intel","Xeon","Производительность"],"title":"Имеет ли смысл покупка Intel Xeon LGA2011-3 из Китая в 2021 году"},{"body":"С самого основания данного ресурса мы не перестаем придерживаться мнения, что практика всегда должна опираться на необходимый теоретический минимум, давая в своих статьях порой обширные теоретические отступления. Без теории практика превращается в подобие шаманских камланий с бубном, когда вроде сделал все тоже самое, но ничего не работает. В этом плане технология FastTrack в Mikrotik, несмотря на всю свою простоту, держит пальму первенства по количеству возникающих с ней проблем, которые, в большинстве своем, возникают именно от незнания и непонимания работы этой технологии.\nЧто такое Fast Path Основной проблемой роутеров Mikrotik, особенно недорогих моделей, является достаточно слабая вычислительная мощность процессора, являющаяся сдерживающим фактором для реализации многих сложных сетевых сценариев. Причина этого кроется в достаточно сложном процессе обработки трафика роутером, в чем можно убедиться подробно изучив диаграммы Packet Flow, показывающие порядок прохождения пакетов через устройство. Если вы собираетесь серьезно работать с устройствами Mikrotik, то данный раздел документации рекомендуется знать хотя бы на твердую четверку, так как именно здесь находятся ответы на многочисленные вопросы типа: \u0026quot;я все сделал по инструкции, но ничего не работает\u0026quot; или \u0026quot;работает, но как-то не так\u0026quot;.\nБолее подробное рассмотрение данного вопроса выходит за рамки нашей статьи, поэтому вернемся к нагрузке на процессор. Очевидно, что причина этого - сложный путь обработки трафика, который полностью ложится на плечи CPU. Можно ли этого как-либо избежать? Можно, в RouterOS v6 для этого появилась новая технология - Fast Path (быстрый путь), которая позволяет направить трафик по быстрому пути, без обработки ядром ОС, что позволяет существенно снизить нагрузку на систему.\nОсновная мысль, положенная в основу этой технологии такова, что пакеты уже установленных соединений, а также тех участков передачи трафика, где не требуется фильтрация и контроль, можно отправить по быстрому пути, тем самым разгружая процессор и ускоряя передачу данных. Fast Path - это расширение драйвера интерфейса, которое позволяет ему напрямую взаимодействовать с некоторыми подсистемами RouterOS и пропускать остальные.\nВ настоящий момент Fast Path можно использовать для:\nТрафика IPv4 Транзитного трафика IPv4 (FastTrack) Traffic Generator MPLS Мосты (Bridge) Однако использование данной технологии имеет ряд ограничений, так для IPv4 FastPath требуется среди прочего:\nОтсутствие правил брандмауэра Отсутствие списков адресов Отсутствие политик IPsec Отсутствие очередей Отсутствие отслеживания соединений Для мостов требуется:\nОтсутствие правил брандмауэра Отсутствие фильтрации VLAN Это не полный список, с полным списком ограничений вы можете ознакомиться в официальной документации. Но уже этого достаточно, чтобы понять, с Fast Path не все так просто и за производительность приходится расплачиваться возможностями. Если мы хотим использовать быстрый путь, то нам следует отказаться практически от любого контроля и фильтрации трафика.\nТакже помним, что Fast Path - это расширение драйвера интерфейса и оно может поддерживаться не для всех портов и типов интерфейсов. Так в современных моделях серии RB9xx и RB2011/3011/4011 Fast Path поддерживается для всех портов, а вот более старые модели могут иметь ограничения, поэтому советуем снова обратиться к документации. Также Fast Path можно использовать для PPPoE, L2TP, IP-IP, GRE и EoIP, мостов, VLAN и беспроводных интерфейсов.\nПри этом может возникнуть ситуация, когда один из интерфейсов поддерживает Fast Path, а другой нет. В этом случае возможны два варианта: если входящий интерфейс поддерживает Fast Path, то часть пути (насколько это возможно) пакеты пройдут через него, а затем перейдут на Slow Path (медленный путь) с полной обработкой трафика на CPU. Если интерфейс входа не поддерживает Fast Path, то трафик проделает весь путь по Slow Path, вне зависимости от того, поддерживает Fast Path интерфейс выхода или нет.\nЕще один важный момент: Fast Path можно использовать только для IPv4 TCP или UDP соединений. Однако в правилах нет необходимости указывать протокол, для всего неподдерживаемого трафика Fast Path будет игнорироваться.\nПрактическое применение Fast Path Прежде всего перейдем в IP - Settings и убедимся, что флаги Allow Fast Path и Route Cache установлены. В современных моделях это настройки по умолчанию, поэтому данная рекомендация носит чисто академический характер. В данной конфигурации IPv4 TCP и UDP-трафик, удовлетворяющий перечисленным выше условиям, будет автоматически отправлен по быстрому пути. Для мостов по умолчанию активируется опция Fast Forward, включающая для передаваемых пакетов быстрый путь, но при этом помним, что DHCP-snooping не должен быть включен, а также отсутствовать любая фильтрация трафика или VLAN внутри моста. А вот дальше уже становится интереснее. Туннельные соединения и L2TP поддерживают Fast Path, но это лишает нас возможности использовать IPsec, поэтому от Fast Path для данных видов соединений придется отказаться. Тем более что система не даст нам создать интерфейс, сочетающий Fast Path и IPsec. Правда для L2TP-соединений вы можете одновременно установить обе опции, но при включённом IPsec Fast Path будет игнорироваться. Тем не менее мы категорически не рекомендуем использовать такие неоднозначные варианты настройки, потому как при обновлении RouterOS поведение системы может измениться, что способно привести к неожиданным и непредсказуемым результатам. Коротко подведем итоги. RouterOS по умолчанию сама будет использовать Fast Path там, где это возможно, наша задача - понимать, что влияет на возможность использования данной технологии и делать правильный выбор между Fast Path или возможностями дополнительного контроля и защиты трафика.\nПрактическое использование Fasttrack Fasttrack можно без преувеличения назвать самой неправильно настраиваемой опцией. Если выполнить поиск в сети интернет, то можно увидеть множество материалов про то, как решить те или иные проблемы с Fasttrack. Но большинство этих проблем также связаны с непониманием работы данной технологии. Давайте разберемся, что же такое Fasttrack, это сочетание Fast Path + Connection Tracking, проще говоря мы можем отправить все уже установленные и связанные с ними соединения по быстрому пути.\nПри этом нам окажутся недоступны брандмауэр, очереди, IPsec и многое другое. По сути, пакеты, попадающие в Fasttrack проскакивают роутер без обработки, что значительно снижает нагрузку на процессор, но лишает нас возможности гибко управлять трафиком. Насколько это оправдано? Нужно смотреть по задачам, скажем если это выход внутренних устройств в интернет, то Fasttrack тут вполне к месту, позволяя существенно разгрузить роутер. Насколько это безопасно? Безопасность в данном случае не пострадает, так как по быстрому пути идут уже установленные соединения, новый пакет обязательно пройдет по медленному пути с полной обработкой брандмауэром.\nДля включения Fasttrack перейдем в IP - Firewall - Filter Rules и добавим следующее правило: Chain - forward, Connection State: established, related, на закладке Action установим действие fasttrack connection. Это отправит все установленные и связанные соединения по короткому пути, но лишит нас возможности обработки и контроля такого трафика.\nЕще один важный момент, вы обязательно должны указать Connection State для этого правила, если вы этого не сделаете, то получите огромную дыру в безопасности, так как мимо брандмауэра по короткому пути пойдут все пакеты. Мы бы не стали заострять на этом внимание, но в нашей практике были случаи, когда администраторы включали Fasttrack для всего транзитного трафика.\nСразу после него добавим еще одно правило: Chain - forward, Connection State: established, related, на закладку Action можно не переходить, так как accept - действие по умолчанию. Для чего это нужно? Как мы помним, Fast Path работает только для TCP и UDP соединений, остальной трафик пойдет по этому правилу, кроме того, некоторая часть пакетов попадающих под действие Fasttrack направляется по медленному пути и без этого правила они бы были отброшены.\n1/ip firewall filter 2add chain=forward action=fasttrack-connection connection-state=established,related 3add chain=forward action=accept connection-state=established,related Это самая простая реализация Fasttrack, которая приведена в большинстве инструкций, и она же вызывает большинство проблем. Почему так? Да потому, что приведенное выше правило отправляет по быстрому пути все установленные и связанные соединения, без учета их направления и назначения. При этом становятся недоступны фильтрация и маркировка трафика брандмауэром, очереди и политики IPsec. Стоит ли удивляться, что все завязанные на данные технологии настройки перестают работать.\nКак быть? Нужно конкретизировать правила, основная наша цель - снизить нагрузку на устройство, поэтому мы хотим использовать Fasttrack для обычного интернет трафика, но исключим оттуда все остальные соединения. Поэтому вместо одного правила используем два:\n1add action=fasttrack-connection chain=forward connection-state=established,related in-interface=bridge1 out-interface=ether10 2add action=fasttrack-connection chain=forward connection-state=established,related in-interface=ether10 out-interface=bridge1 Где bridge1 - внутренний мост, а ether10 - внешний интерфейс, смотрящий в интернет.\nЧто изменилось? Теперь по быстрому пути идут пакеты только из локальной сети в интернет и обратно. Все остальные соединения полноценно обрабатываются ядром RouterOS и могут полностью использовать все ее возможности.\nЕсли направлений трафика, который мы хотим направить по быстрому пути несколько, скажем, несколько каналов в интернет, либо межсетевой трафик, то создаем для каждого направления свою пару правил, с указанием входящего и исходящего интерфейсов.\nДля IPsec в самое начало цепочки forward (т.е. обязательно выше правил с fasttrack) следует добавить еще два правила:\n1/ip firewall filter 2add action=accept chain=forward ipsec-policy=in,ipsec 3add action=accept chain=forward ipsec-policy=out,ipsec Важно! Важно! Обратите внимание, так как Fast Path - это расширение драйвера интерфейса, то и в качестве критериев в правилах мы должны использовать именно интерфейсы, что позволит максимально корректно обрабатывать потоки трафика и избежать логических ошибок.\nТакже обратите внимание, что Fasttrack применяется именно для транзитных соединений, не влияя на входящие и исходящие соединения самого роутера. Мы бы не заостряли на этом внимание, но в сети нам попадались инструкции, когда пакеты маркировались в цепочках INPUT и OUTPUT, а затем эти метки соединений пытались использовать в цепочке FORWARD, надо ли говорить, что подобные конструкции работать не будут.\nНу и логическое завершение нашей статьи - практическая польза от Fasttrack. Мы провели простой тест, запустили на одном из узлов сети Speedtest от Ookla используя для выхода в интернет RB2011. С включенным Fasttrack роутер прокачал все 100 Мбит/с тарифа при нагрузке на CPU в пределах 30-32%: А теперь выключаем Fasttrack и видим, что роутер полностью лег, но при этом даже не смог прокачать тариф, упершись в планку 80 Мбит/с: Становится очевидно, что Fast Path и FastTrack - важные технологии, позволяющие существенно увеличить производительность Mikrotik, но применять их следует обдуманно, учитывая все плюсы и минусы данного решения. Надеемся, что данная статья окажется вам полезна и вы теперь будете использовать все возможности Fast Path без каких-либо затруднений и будете понимать как именно это работает.\n","id":"10adff31b32414d064918800233b0c75","link":"https://interface31.ru/post/pravilnoe-ispolzovanie-fast-path-i-fasttrack-v-mikrotik/","section":"post","tags":["FastTrack","IPsec","MikroTik","VPN","Сетевые технологии"],"title":"Правильное использование Fast Path и FastTrack в Mikrotik"},{"body":"Время от времени у пользователей Linux возникает необходимость запуска Windows-программ. Чаще всего это какие-либо специализированные утилиты, аналогов которых в Linuх нет. Если же вам требуется запускать крупные коммерческие пакеты, то вы, скорее всего неверно выбрали операционную систему. Для всех остальных случаев подойдет Wine (Wine Is Not Emulator) - свободная реализация Windows API, позволяющая запускать Windows-программы в среде Linux. Сегодня мы расскажем об установке и базовой настройке данного продукта, что позволит сблизить две операционные системы и получить в Linux недостающие возможности Windows-приложений.\nНесмотря на то, что Wine присутствует во всех популярных дистрибутивах, мы советуем устанавливать версию от разработчиков - так вы получите наиболее свежие пакеты и самые последние возможности. Мы будем рассматривать далее Debian и LTS-выпуски Ubuntu, для остальных систем на их базе все сказанное будет справедливо, но с небольшими уточнениями.\nКоманды, приведенные ниже, потребуется запускать в разном контексте, что-то от суперпользователя, что-то с обычными правами, поэтому будьте внимательны.\nНачнем с установки. Откроем терминал и повысим свои права до суперпользователя:\n1sudo -s На 64-битных системах включим 32-битную архитектуру:\n1dpkg --add-architecture i386 Затем скачаем ключ репозитория Wine:\n1wget -nc https://dl.winehq.org/wine-builds/winehq.key И установим его:\n1apt-key add winehq.key Теперь добавим репозиторий, для Debain поддерживаются выпуски 10 и 11, в команде нужно указать имя дистрибутива, ниже приведен вариант для Debian 10 - Buster:\n1apt-add-repository \u0026#39;deb https://dl.winehq.org/wine-builds/debian buster main\u0026#39; Для Ubuntu доступны выпуски начиная от 18.04 LTS и заканчивая 21.04, но мы не рекомендуем использовать промежуточные выпуски и ниже приведена команда для Ubuntu 20.04 Focal Fossa:\n1add-apt-repository \u0026#39;deb https://dl.winehq.org/wine-builds/ubuntu/ focal main\u0026#39; Для Debian 10 и Ubuntu 18.04 LTS добавим еще один репозиторий. Сначала скачаем и установим ключ:\n1wget -nc https://download.opensuse.org/repositories/Emulators:/Wine:/Debian/xUbuntu_18.04/Release.key 2apt-key add Release.key Потом добавим репозиторий:\n1apt-add-repository \u0026#39;deb https://download.opensuse.org/repositories/Emulators:/Wine:/Debian/xUbuntu_18.04/ ./\u0026#39; Обновим список пакетов:\n1apt update И установим WineHQ командой:\n1apt install --install-recommends winehq-stable Теперь можем попробовать запустить какое-нибудь Windows-приложение, в нашем случае это будет Winbox для Mikrotik. При первом запуске Wine попросит докачать недостающие компоненты, с этим следует согласится. После всех скачиваний приложение откроется, вроде бы все хорошо, но сразу обращает на себя внимание неэстетичный внешний вид и плохое качество шрифтов. Для начала включим сглаживание. Для этого используем скрипт за авторством Igor Tarasov. Прежде всего выйдем из режима суперпользователя, для этого введем в терминале:\n1exit И убедимся, что приглашение изменилось с root на обычного пользователя. Также можно просто запустить новый терминал.\nПерейдем в домашнюю директорию и создадим файл скрипта winefontssmoothing_en.sh:\n1cd 2nano winefontssmoothing_en.sh Затем внесем в него следующий текст:\n1#!/bin/sh 2 3# Quick and dirty script for configuring wine font smoothing 4# 5# Author: Igor Tarasov \u0026lt;tarasov.igor@gmail.com\u0026gt; 6 7WINE=${WINE:-wine} 8WINEPREFIX=${WINEPREFIX:-$HOME/.wine} 9DIALOG=whiptail 10 11if [ ! -x \u0026#34;`which \u0026#34;$WINE\u0026#34;`\u0026#34; ] 12then 13 echo \u0026#34;Wine was not found. Is it really installed? ($WINE)\u0026#34; 14 exit 1 15fi 16 17if [ ! -x \u0026#34;`which \u0026#34;$DIALOG\u0026#34;`\u0026#34; ] 18then 19 DIALOG=dialog 20fi 21 22TMPFILE=`mktemp` || exit 1 23$DIALOG --menu \\ 24 \u0026#34;Please select font smoothing mode for wine programs:\u0026#34; 13 51\\ 25 4\\ 26 1 \u0026#34;Smoothing disabled\u0026#34;\\ 27 2 \u0026#34;Grayscale smoothing\u0026#34;\\ 28 3 \u0026#34;Subpixel smoothing (ClearType) RGB\u0026#34;\\ 29 4 \u0026#34;Subpixel smoothing (ClearType) BGR\u0026#34; 2\u0026gt; $TMPFILE 30 31STATUS=$? 32ANSWER=`cat $TMPFILE` 33 34if [ $STATUS != 0 ] 35then 36 rm -f $TMPFILE 37 exit 1 38fi 39 40MODE=0 # 0 = disabled; 2 = enabled 41TYPE=0 # 1 = regular; 2 = subpixel 42ORIENTATION=1 # 0 = BGR; 1 = RGB 43 44case $ANSWER in 45 1) # disable 46 ;; 47 2) # enable 48 MODE=2 49 TYPE=1 50 ;; 51 3) # enable cleartype rgb 52 MODE=2 53 TYPE=2 54 ;; 55 4) # enable cleartype bgr 56 MODE=2 57 TYPE=2 58 ORIENTATION=0 59 ;; 60 *) 61 rm -f $TMPFILE 62 echo Unexpected option: $ANSWER 63 exit 1 64 ;; 65 66esac 67 68echo \u0026#34;REGEDIT4 69 70[HKEY_CURRENT_USER\\Control Panel\\Desktop] 71\\\u0026#34;FontSmoothing\\\u0026#34;=\\\u0026#34;$MODE\\\u0026#34; 72\\\u0026#34;FontSmoothingOrientation\\\u0026#34;=dword:0000000$ORIENTATION 73\\\u0026#34;FontSmoothingType\\\u0026#34;=dword:0000000$TYPE 74\\\u0026#34;FontSmoothingGamma\\\u0026#34;=dword:00000578\u0026#34; \u0026gt; $TMPFILE 75 76echo -n \u0026#34;Updating configuration... \u0026#34; 77 78$WINE regedit $TMPFILE 2\u0026gt; /dev/null 79 80rm -f $TMPFILE 81 82echo ok Сохраним скрипт и сделаем его исполняемым:\n1chmod +x winefontssmoothing_en.sh Затем выполним его:\n1./winefontssmoothing_en.sh После чего перезагрузим компьютер.\nКроме шрифтов, также можно улучшить внешний вид приложений установив стили от Windows XP, для этого вам потребуется файл luna.msstyles который можно найти в C:\\WINDOWS\\Resources\\Themes\\Luna или скачать по ссылке.\nОткроем в консоли с правами обычного пользователя:\n1winecfg И на вкладке Вид и интеграция при помощи кнопки Установить тему загрузим указанный выше файл, после чего нам станет доступна тема Стиль Windows XP. Самое время сравнить: было-стало, визуально приложения Wine стали выглядеть гораздо лучше: Наша статья на этом заканчивается, но запуск Windows-приложений в Wine - это отдельная обширная тема, поэтому дополнительную информацию следует искать на сайте проекта www.winehq.org и связанных ресурсах, где содержится большое количество полезной информации об особенностях запуска тех или иных программ.\n","id":"f91b9d85cbd538dd992541a7b86e2cef","link":"https://interface31.ru/post/ustanovka-winehq-v-debian-i-ubuntu/","section":"post","tags":["Debian","Linux","Ubuntu","WineHQ"],"title":"Установка WineHQ в Debian и Ubuntu"},{"body":"В прошлом материале нашего цикла мы рассмотрели таблицу NAT брандмауэра iptables и основные приемы работы с ней. Данная таблица широко используется для выхода устройств локальной сети в интернет через единственный шлюз или для проброса портов. Достигается это за счет изменения сетевых адресов пакетов и требует определенных теоретических знаний, которые мы привели в предыдущей статье. Теперь же рассмотрим типовые сценарии использования, а также проблемы и тонкости, с которыми вы можете столкнуться.\nВыход в интернет Для выхода устройств, не обладающих собственным выделенным IP-адресом в сеть интернет, используется пограничное устройство, способное маршрутизировать пакеты, т.е. передавать от одного интерфейса к другому. Для его обозначения используют термины: роутер, маршрутизатор, шлюз. Все они обозначают одно и то же устройство. Для того, чтобы включить маршрутизацию в Linux необходимо в файл /etc/sysctl.conf добавить строку:\n1net.ipv4.ip_forward = 1 И перечитать настройки командой:\n1sysctl -p Теперь нам нужно отправить все пакеты из локальной сети с назначением в сеть интернет с внешнего интерфейса маршрутизатора таким образом, чтобы они вернулись назад. В этом нам поможет SNAT, который заменит внутренние адреса источников пакетов, на внешний адрес роутера. Ниже показана условная схема, на которой отображены адреса и интерфейсы, все преобразования адресов производимые SNAT выделены зеленым цветом. Наиболее простым способом будет использование частного случая SNAT - MASQUERADE, он позволяет работать с динамическими внешними адресами и для каждого пакета заново определяет исходящий адрес. В случае остановки интерфейса все установленные соединения разрываются, так как при его включении может быть получен новый IP-адрес. При настройке маскарадинга хорошим тоном будет указать диапазон адресов сети источника, к которому должно применяться преобразование адресов. В противном случае через ваш шлюз смогут выходить в сеть интернет совсем не те, кому бы вы хотели предоставить доступ.\nПоэтому добавим следующее правило:\n1iptables -t nat -A POSTROUTING -o ens33 -s 192.168.100.0/24 -j MASQUERADE Оно достаточно просто и разбиралось нами в предыдущей статье, поэтому не будем на нем останавливаться подробно. Оно предписывает изменить адрес источника на внешний адрес интерфейса ens33 всем пакетам из сети 192.168.100.0/24 выходящим через этот интерфейс.\nЕсли вы являетесь обладателем выделенного IP-адреса, то можете снизить нагрузку на устройство используя SNAT:\n1iptables -t nat -A POSTROUTING -o ens33 -s 192.168.100.0/24 -j SNAT --to-source 203.0.113.15 Обязательными критериями в обоих случаях являются интерфейс выхода и диапазон адресов сети источника.\nВ иных сценариях нужно предоставить доступ к сети интернет VPN-пользователям, которые подключаются непосредственно к маршрутизатору. Проще всего с OpenVPN, в этом случае существует единая сеть /24 для всех клиентов и достаточно просто указать ее в качестве сети-источника пакетов. Если сетей несколько, то можно их перечислить через запятую:\n1iptables -t nat -A POSTROUTING -o ens33 -s 10.8.8.0/24, 10.9.9.0/24 -j MASQUERADE При наличии выделенного внешнего адреса MASQUERADE также рекомендуется заменить на SNAT.\nЕсли у вас несколько исходящих интерфейсов, то настроить SNAT/MASQUERADE нужно для каждого из них.\nПроброс портов Еще одна часто встречающаяся в повседневной практике задача. Проброс портов предназначен для предоставления внешним пользователям доступа к некоторым внутренним службам используя единственный внешний IP-адрес. Как следует из названия задачи для этой цели мы будем использовать порты. Напомним вам, что протокол IP не использует понятия порта, он оперирует только адресами источника и назначения. Порт - понятие транспортного уровня (L4) для протоколов его использующих, например, TCP или UDP. Заголовки сегмента или дейтаграммы не содержат адресов, но зато содержат порты источника и назначения. Иные протоколы, скажем, GRE не используют порты, поэтому они испытывают проблемы с прохождением NAT.\nНиже показана условная схема, преобразования DNAT на ней показаны красным, SNAT - зеленым. Итак, некий узел, совершенно не важно какой, хочет получить доступ к веб-серверу, находящемуся в нашей внутренней сети. Но сервер находится за роутером и не имеет выделенного IP-адреса, поэтому все подключения от внешних клиентов мы будем принимать на внешний адрес роутера и выполнять на нем преобразование адресов назначения - DNAT. В самом простом случае внешний и внутренний порты сервиса совпадают, т.е. мы принимаем соединения на 443 порт и отправляем его на такой же порт внутреннего сервера.\nДля этого добавим следующее правило:\n1iptables -t nat -A PREROUTING -i ens33 -p tcp --dport 443 -j DNAT --to-destination 192.168.100.10 Согласно нему все пакеты, приходящие на внешний интерфейс и имеющие порт назначения в TCP-сегментах 443, будут перенаправлены внутреннему узлу 192.168.100.10. Так как мы не указали порт назначения, то он не будет изменен в заголовках, что и не требовалось. Адресом источника пакета по-прежнему остается некий внешний адрес.\nПолучив такой пакет веб-сервер формирует ответ, с назначением на адрес источника, так как он не принадлежит локальной сети, то такой пакет будет направлен шлюзу, на котором произойдет его обработка в уже существующем правиле SNAT/MASQUERADE, который заменит внутренний адрес источника внешним адресом роутера. Таким образом удаленный узел будет считать, что работает непосредственно с веб-сервером, не получая никакой дополнительной информации о реальной конфигурации сети с противоположной стороны.\nЕсли внешний и внутренний порты отличаются, то правило будет иметь несколько иной вид:\n1iptables -t nat -A PREROUTING -i ens33 -p tcp --dport 443 -j DNAT --to-destination 192.168.100.10:4443 Обратите внимание, что в качестве критерия --dport мы указываем порт, используемый на внешнем интерфейсе, а в параметре --to-destination реальный порт назначения.\nОба указанных правила будут принимать соединения с любого адреса на внешнем интерфейсе ens33, но, если там у нас настроено несколько адресов, но принимать подключения мы хотим только с одного из них? Нужно изменить критерий в условии правила:\n1iptables -t nat -A PREROUTING -d 203.0.113.15 -p tcp --dport 443 -j DNAT --to-destination 192.168.100.10 Теперь, вместо пакетов, приходящих на интерфейс ens33, мы принимаем только те, которые предназначены адресу 203.0.113.15.\nТакже напомним, что TCP и UDP-порты, не смотря на одинаковые номера являются различными и могут без проблем работать одновременно. Допустим у нас в сети есть два OpenVPN-сервера, один с транспортом UDP для большинства клиентов, а второй с TCP, например, на базе Mikrotik. Нам нужно пробросить их оба на внешний интерфейс. Нет ничего сложного:\n1iptables -t nat -A PREROUTING -i ens33 -p udp --dport 1194 -j DNAT --to-destination 192.168.100.14 2iptables -t nat -A PREROUTING -i ens33 -p tcp --dport 1194 -j DNAT --to-destination 192.168.100.15 Один адрес, один порт, но разные протоколы позволяют по-разному обрабатывать трафик.\nВ некоторых случаях бывает нужно пробросить несколько внешних портов на один внутренний. Скажем некоторое время ваш RDP-сервер был проброшен на порт 3390, так как порт 3389 занимал другой сервер. Затем его убрали, но перенастроить большое количество внешних клиентов быстро невозможно, да и не нужно:\n1iptables -t nat -A PREROUTING -i ens33 -p tcp -m multiport --dports 3389, 3390 -j DNAT --to-destination 192.168.100.11:3389 Здесь мы подключили внешний модуль multiport, позволяющий указывать в критерии несколько портов через запятую, но в параметре --to-destination обязательно нужно указать порт назначения, иначе они будут проброшены как есть, без изменения.\nКстати, этим можно воспользоваться для веб-сервера, пробросив сразу порты HTTP и HTTPS:\n1iptables -t nat -A PREROUTING -i ens33 -p tcp -m multiport --dports 80, 443 -j DNAT --to-destination 192.168.100.10 Так как мы не указали порт назначения, то порт 80 будет проброшен на этот же самый порт узла назначения, а 443 на 443.\nПроброс портов с узла, не являющегося основным шлюзом сети Это более редкий и более сложный сценарий, но мы рассмотрим его, максимально приблизив к реальным задачам. Допустим у нас есть филиал, в котором есть собственный маршрутизатор и был собственный внутренний веб-сервер, на работу с которым были настроены внешние клиенты. Затем этот веб-сервер упразднили, перенеся все на сервер в центральном офисе. Чтобы не перенастраивать клиентов решили просто изменить проброс портов с узла внутренней сети филиала на узел центрального офиса. Казалось бы, в чем проблема? Между площадками стабильный VPN-канал, настроена маршрутизация, бегают пинги... Но внезапно ничего не работает! Почему?\nДавайте разберем следующую схему, как и ранее DNAT-преобразования показаны красным, SNAT - зеленым. Некий удаленный узел отправляет пакет веб-серверу 203.0.113.20, указанный узел получает такой пакет и меняет в нем адрес назначения на реальный адрес веб-севера в сети центрального офиса. Адрес источника при этом не меняется. Веб-сервер, получив такой пакет формирует ответ и так как источник находится за пределами внутренней сети и к нему нет отдельного маршрута, то он будет отправлен основному шлюзу своей сети. Т.е. маршрутизатору центрального офиса, а не маршрутизатору филиала! Тот выполнит подмену адреса источника на свой внешний адрес и отправит пакет по назначению, но получатель его отбросит, т.к. он пытался установить связь с узлом 203.0.113.20, а отвечает ему почему-то 203.0.113.15, такой пакет получит статус INVALID и будет заблокирован брандмауэром.\nКак быть? Очевидно, что нам нужно приять меры для того, чтобы ответный пакет был отправлен маршрутизатору филиала, для этого мы снова используем SNAT, заменив адрес источника пакета внутренним адресом маршрутизатора филиала, так как он подключен через VPN, то этим адресом следует указать его адрес в VPN-сети.\nОтлично, пакет вернется в филиал, но, чтобы успешно отправить его по назначению, нам нужно выполнить еще один SNAT, теперь уже для покидающего маршрутизатор пакета, заменив адрес источника - сервера в сети центрального офиса, адресом внешнего интерфейса. Обратите внимание, что адрес назначения ответного пакета будет изменен автоматически, согласно записи в таблице трансляции, которую сделал первый SNAT. Какие правила нам для этого потребуются? Прежде всего выполним DNAT для пришедшего на внешний интерфейс пакета:\n1iptables -t nat -A PREROUTING -i ens35 -p tcp --dport 443 -j DNAT --to-destination 192.168.100.10 На выходе из брандмауэра изменим адрес источника при помощи SNAT, указав внутренний адрес маршрутизатора филиала:\n1iptables -t nat -A POSTROUTING -d 192.168.100.10 -p tcp --dport 443 -j SNAT --to-source 10.8.8.10 Внимательный читатель заметит, что под это правило попадут не только внешние пакеты, но и пакеты локальной сети филиала, направленные веб-серверу. Но ничего страшного в этом случае не произойдет, работа сети на будет нарушена, но между веб-сервером и филиалом появится еще один NAT. На что это может повлиять? Как минимум на то, что вместо реальных адресов клиентов в логи будет попадать внутренний адрес маршрутизатора. Чтобы изменить такое поведение усложним правило:\n1iptables -t nat -A POSTROUTING ! -s 192.168.200.0/24 -d 192.168.100.10 -p tcp --dport 443 -j SNAT --to-source 10.8.8.10 В него мы добавили новый критерий: адрес источника не должен принадлежать диапазону сети филиала, т.е. 192.168.200.0/24.\nТеперь осталось выполнить обратный SNAT для ответных пакетов:\n1iptables -t nat -A POSTROUTING -o ens35 -s 192.168.100.10 -j SNAT --to-source 203.0.113.20 Данное правило для всех пакетов, покидающих роутер с внешнего интерфейса ens35 и источником с адресом веб-сервера, выполняет замену адреса источника на внешний адреса маршрутизатора. Нужно ли здесь учитывать пакеты из локальной сети филиала? Нет, так как для них исходящим интерфейсом будет интерфейс, смотрящий в локальную сеть, а не наружу.\nВ случае динамического внешнего адреса замените SNAT на MASQUERADE:\n1iptables -t nat -A POSTROUTING -o ens35 -s 192.168.100.10 -j MASQUERADE Ну и не забываем при построении всех остальных правил, что DNAT выполняется при входе в брандмауэр, до принятия всех решений о маршрутизации, а SNAT после, на выходе.\nNAT loopback или Hairpin NAT Несмотря на интересное название, это очень распространенный случай. Мобильный клиент, для которого настроен проброс портов на внешнем интерфейсе приходит в офис и у него внезапно все перестает работать. Можно, конечно, настроить несколько вариантов подключения, для нахождения в офисе и для нахождения вне его, но зачем?\nПрежде всего давайте разберемся, почему вдруг все сломалось, для этого внимательно рассмотрим следующую схему: Мобильный клиент, с адресом принадлежащим офисной сети, обращается к серверу в этой же сети, но через внешний интерфейс маршрутизатора. Маршрутизатор привычно выполнит DNAT и отправит пакет серверу, который увидит, что адрес источник находится в одной сети с ним и пошлет обратный пакет напрямую, минуя маршрутизатор.\nНо клиент устанавливал соединение с узлом 203.0.113.15, а получает пакет от узла 192.168.100.10, такой пакет получит статус INVALID и будет отброшен. Понятно, что ничего работать не будет.\nКак избежать этой ситуации? Нужно сделать так, чтобы обратный пакет не отправлялся напрямую клиенту, а был возвращен маршрутизатору, для этого снова используем SNAT. Обратите внимание, что к этому времени пакет уже пройдет цепочку PREROUTING и в критериях нам следует оперировать внутренним адресом и портом назначения.\nПравило DNAT при этом не меняется:\n1iptables -t nat -A PREROUTING -i ens35 -p tcp --dport 443 -j DNAT --to-destination 192.168.100.10 А вот в цепочку POSTROUTING мы добавляем следующее правило:\n1iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -d 192.168.100.10 -p tcp --dport 443 -j SNAT --to-source 192.168.100.1 Что оно делает? Все пакеты, проходящие через маршрутизатор и имеющие в качестве адреса источника диапазон локальной сети и предназначенные серверу 192.168.100.10 в этой же сети, будут подвергнуты преобразованию адреса источника SNAT, который будет заменен на внутренний адрес маршрутизатора. Для обратного пакета будет выполнена автоматическая замена на основании таблицы трансляции NAT, и он будет возвращен клиенту с внешнего адреса маршрутизатора, несмотря на то что клиент находится во внутренней сети.\n","id":"ef72e6c8c7aa66026c4876f4a4bf777b","link":"https://interface31.ru/post/osnovy-iptables-dlya-nachinayushhih-chast-4-tablica-nat-tipovye-scenarii-ispolzovaniya/","section":"post","tags":["Debian","iptables","Linux","MikroTik","NAT","Ubuntu Server","Сетевые технологии"],"title":"Основы iptables для начинающих. Часть 4. Таблица nat - типовые сценарии использования"},{"body":"Количество угроз, с которыми пользователь сталкивается в современном мире неуклонно растет. К откровенно вредоносному ПО прибавились такие программы, которые хотя и не совершают деструктивных действий, но могут незаметно для пользователей устанавливать дополнительные программы, показывать рекламу, выполнять на ПК какие-либо действия или вычисления. Однозначных критериев для такого ПО нет, очень многое зависит от конкретных сценариев применения и конечное слово всегда должно оставаться за пользователем, но часто производители ПО берут это на себя, самостоятельно решая, что нужно, а что нет.\nВ данном случае речь пойдет от технологии блокировки потенциально нежелательных приложений (The Potentially Unwanted Applications, PUA) в Microsoft Defender. Впервые она появилась в версии 1909, управляясь исключительно из Power Shell, а пользовательские настройки появились в 2004, по умолчанию данный способ защиты был деактивирован, но пользователь мог включить его самостоятельно.\nВ статье KB5005496 Microsoft уведомил, что с августа 2021 года поведение защиты будет изменено и она будет активирована по умолчанию. При этом не поясняется, коснется ли это только новых систем, либо изменения будут применены к уже существующим установкам. По факту Microsoft применила изменения для всех систем, включая Корпоративную редакцию. А так как мало кто начинает свое утро с чтения базы знаний Microsoft, то многие были сильно удивлены неожиданным поведением системы.\nПостойте, скажет читатель, но что в этом плохого? На первый взгляд - ничего. Потенциально нежелательное ПО является достаточно серьезной проблемой, особенно для малоопытных пользователей, которые устанавливают в систему программы, полученные из сомнительных источников. Превентивная блокировка таких действий действительно может пойти только на пользу. Но все кроется в реализации, которая, уже в худших традициях отрасли, перечеркивает очень многие плюсы.\nВо-первых, включать какие-либо опции безопасности на работающих системах без уведомления пользователя - это очень и очень плохо. Потому что может привести к весьма неожиданным и нежелательным последствиям, вплоть до нарушения нормальной работы системы. И если корпорация все-таки всерьез озаботилась о безопасности, то следовало бы уведомить пользователя отдельным уведомлением, в котором предложить ему выбрать нужный вариант действий, ну или хотя бы сообщить, что были включены такие-то опции, а отключить их можно здесь.\nНо нет, все произошло максимально тихо и незаметно. А узнавать о нововведениях пользователи начали в самый неожиданный момент. Скажем мы были сильно удивлены, когда система сообщила нам о потенциально нежелательном ПО - qBittorrent. Это открытое программное обеспечение, не содержащее какой-либо рекламы и иных сомнительных функций, поэтому получить такое уведомление было весьма неожиданно. Уведомление о потенциально нежелательном ПО ничем не отличается от иных сообщений антивируса и действие по умолчанию блокирует приложение. При этом никак не поясняется отличие нежелательного ПО от вредоносного, и пользователь с большой вероятностью примет предложенное действие, т.е. заблокирует или удалит приложение.\nВозможно, это было бы и неплохо, если бы не абсолютно непрозрачная политика в отношении того, какое ПО считать нежелательным. Критерии вроде бы даже изложены в официальной документации, но практика показывает, что фактическое решение принимается на основании каких-то иных выводов. Также полностью отсутствует возможность самостоятельно управлять категориями нежелательного ПО, выбирая какие из них блокировать, а какие нет.\nВ качестве критериев в официальной документации указаны: рекламное и маркетинговое ПО (которое отслеживает и передает данные о действиях пользователя), торренты (только для Корпоративной версии), программы для майнинга, программы, устанавливающие стороннее ПО, программы с плохой репутацией.\nПод какое из них попал заблокированный в Pro версии qBittorrent - непонятно. Еще более непонятно то, что на следующий день он перестал определяться защитником как нежелательное.\nПри этом продолжает блокироваться другой популярный торрент-клиент uTorrennt, правда здесь критериев для блокировки может быть больше. Он показывает рекламу, а при установке предлагает поставить дополнительное ПО - программы от Яндекса и Оперу. Честно говоря, мы и сами считаем uTorrennt нежелательным к установке ПО по причине показа не всегда приемлемой рекламы, но в целом это вполне допустимое приложение, которым пользуются многие пользователи и решение о его установке должны принимать именно они.\nМожет быть все дело в репутации? Многие производители защитного ПО также считают его нежелательным: Но как быть с другой программой, обладающей гораздо худшей репутаций, также тянущей за собой всякий хлам и показывающей рекламу, печально известным MediaGet? А никак, Защитник считает данный софт вполне себе приемлемым к установке и никаких мер по его блокировке не предпринимает. Чтобы сложить окончательное мнение о новом инструменте защиты от Microsoft мы походили по заведомо сомнительным источникам, где пытались скачать файлы по запросам типа \u0026quot;скачать фотошоп\u0026quot;, в большинстве случаев Defender достаточно успешно блокировал загрузчики и в целом его работу в этом направлении можно признать удовлетворительной.\nВ остальном его поведение, мягко говоря, непонятно. Блокируя одни приложения определенной категории, он тут же пропускает другие, выполняющие аналогичные действия и обладающие такой-же репутацией. И никаких возможностей как-либо повлиять на такое поведение нет.\nВключение и отключение блокировки потенциально нежелательных приложений (PUA) В графической оболочке откройте приложение Безопасность Windows и перейдите к Управление приложениями/браузером - Защита на основе репутации - Параметры защиты на основе репутации. Затем найдите раздел Блокировка потенциально нежелательного приложения. Кроме возможности включить или выключить данную опцию, доступна настройка действий: мы можем блокировать такие приложения или только запретить их загрузку (работает только в браузере Microsoft Edge). Никаких иных настроек нет, Также это можно сделать в PowerShell, прежде всего выясним состояние данного элемента защиты:\n1(Get-MpPreference).PUAProtection Если в ответ вы получите статус 1, то защита включена, 0 - выключена.\nДля отключения выполните:\n1Set-MpPreference -PUAProtection 0 Для включения, наоборот:\n1Set-MpPreference -PUAProtection 1 Выводы В целом технология защиты от потенциально нежелательного ПО - вещь нужная и полезная, особенно для малоопытных пользователей и мы не советуем ее отключать в этих случаях. Возможная блокировка легального ПО будет меньшим злом, чем возможное заражение или замусоривание системы нежелательными приложениями.\nЕсли же вы опытный пользователь, соблюдающий должную степень осмотрительности и осторожности, а также четко представляющий назначение установленного на компьютере ПО, то в текущем виде этот механизм защиты будет более разумно отключить. Особенно если будут срабатывания на используемый вами в повседневной деятельности софт. Никакой возможности гибко настроить критерии блокировки нет и вам придется разбираться по каждому такому случаю отдельно. Все что вы сможете сделать - это добавить приложение в исключения, но при скачивании обновления, изменения пути к программе или еще каких-либо изменениях срабатывания будут повторяться.\nЕще одной серьезной проблемой является изменение производителем настроек безопасности без явного уведомления пользователя. Если такое произошло сейчас, то нельзя исключить повторения в будущем, кто может дать гарантию что после очередного обновления защита снова не будет включена, и вы неожиданно получите набор проблем на ровном месте. Особенно учитывая туманность критериев, по которым Microsoft классифицирует ПО как нежелательное.\nВедь любой опытный пользователь, не говоря уже об администраторах, получив такое предупреждение должен, как минимум, его проверить, возможно в ПО нашли уязвимость или дистрибутивы были скомпрометированы, что уже не раз бывало в индустрии.\nТаким образом мы не можем однозначно рекомендовать включать или отключать данную возможность. Каждый должен сам взвесить плюсы и минусы и принять обоснованное решение. На наш взгляд, в большинстве случаев блокировку PUA надо включать, для неопытных пользователей плюсов будет больше, чем минусов.\n","id":"0c55ba4aa4027ec9a7e3190382961f09","link":"https://interface31.ru/post/blokirovka-potencial-no-nezhelatel-nyh-prilozheniy-pua-v-microsoft-defender/","section":"post","tags":["Microsoft","MSE","torrent","Windows 10","Антивирус","Безопасность"],"title":"Блокировка потенциально нежелательных приложений (PUA) в Microsoft Defender"},{"body":"Одна из наиболее часто решаемых системным администратором задач - объединение нескольких сетей в единое пространство, для обеспечения совместной работы с общими ресурсами (site-to-site). Обычно для этих целей используется VPN, тип которого большой роли не играет. Но именно для данной задачи более предпочтительно использовать IPIP или GRE-туннели, особенно если вам требуется хорошая пропускная способность соединения. В данной статье мы расскажем об особенностях настройки и использования данного вида подключений.\nСначала коротко о протоколах. GRE (Generic Routing Encapsulation - общая инкапсуляция маршрутов) - протокол инкапсуляции, разработан компанией Cisco и предназначен для инкапсуляции пакетов сетевого уровня (L3) в IP-пакеты. IPIP (IP Encapsulation within IP - инкапсуляция IP в IP) во многом похож на GRE, но работает только с IPv4-трафиком. Наиболее популярным и используемым протоколом является GRE, его поддержка присутствует во всех современных ОС и сетевом оборудовании. Mikrotik поддерживает оба вида туннелей.\nТуннели, созданные с помощью данных протоколов, не имеют никаких механизмов обеспечения безопасности (шифрование, аутентификация), поэтому в чистом виде они практически не используются. Для обеспечения нужного уровня безопасности используется IPsec, поверх которого уже разворачивается GRE или IPIP-туннель (GRE over IPsec, IPIP over IPsec). Далее, говоря о данном типе туннелей мы будем подразумевать ввиду именно их.\nЕще одна особенность указанных протоколов - они работают без сохранения состояния соединения (stateless) и понять в каком состоянии находится туннель невозможно. Мы можем только настроить обе стороны и проверить передачу данных между ними. Кроме очевидных минусов такое решение имеет и свои плюсы, GRE или IPIP-интерфейсы являются статичными и присутствуют в системе вне зависимости от состояния туннелей, что облегчает настройку маршрутизации. А состояние туннеля позволяют контролировать механизмы RouterOS, которые с заданной периодичностью умеют проверять доступность его второго конца.\nНи GRE, ни IPIP не используют порты, поэтому они не могут преодолеть NAT, это требует от обоих узлов иметь выделенные IP-адреса или находиться в одной сети. Проблема NAT частично снимается при использовании IPsec, за счет использования протокола NAT-T, но требование выделенных адресов узлов остается. Кроме того, по этой причине вы не сможете установить более одного GRE или IPIP-соединения между узлами.\nИтак, подведем коротко итог: для использования GRE или IPIP-туннелей вам потребуются выделенные IP-адреса с обоих сторон и для защиты передаваемых данных обязательно использовать IPsec. Что касается оборудования, то предпочтительно использовать роутеры с аппаратной поддержкой шифрования - hEX, RB3011/4011 и все остальные модели на базе процессоров ARM. В этом случае вполне достижима пропускная способность туннеля на уровне 300-400 МБит/с. На остальных моделях роутеров (MIPSBE, SMIPS) вы получите не более 30-40 МБит/с. Подробнее об этом вы можете прочитать здесь.\nДалее мы будем придерживаться следующей схемы: Согласно которой у нас имеются две условные сети: A - 192.168.111.0/24, внешний IP-адрес 198.51.100.1 и B - 192.168.222.0/24, внешний адрес 203.0.113.1. Между ними мы будем поднимать GRE или IPIP-туннель с внутренними адресами 10.10.10.1 и 10.10.10.2.\nНастройка GRE-туннеля Открываем Winbox и переходим в Interfaces - Interface где добавляем новый интерфейс с типом GRE Tunnel, в открывшемся окне заполняем поля: Local Address - внешний IP-адрес этого роутера,Remote Address - внешний IP-адрес противоположного роутера, IPsec Secret - общий ключ IPsec, рекомендуется использовать длинную случайную строку из цифр, букв в обоих регистрах и спецсимволов. Также обязательно снимите флаг Allow Fast Path. 1/interface gre 2add allow-fast-path=no ipsec-secret=MyIP$ecret123 local-address=198.51.100.1 name=gre-tunnel1 remote-address=203.0.113.1 Полностью аналогичную настройку выполняем и на втором роутере, только меняем местами Local Address и Remote Address, после чего туннель должен перейти в рабочее состояние. За отслеживание состояние туннеля отвечает параметр Keepalive, по умолчанию он предполагает десять попыток с интервалов в 10 секунд, если за это время с противоположной стороны не будет получен ответ, то туннель будет считаться неработоспособным.\nВажный момент связан с настройками IPsec, RouterOS использует для туннелей настройки по умолчанию и нет возможности это переопределить, поэтому на обоих роутерах профили default в IP - IPsec - Proposals и Profiles должны иметь одинаковые настройки. В противном случае вы будете получать ошибку при согласовании параметров IPsec: Если все сделано правильно, то в Interfaces - Interface напротив туннеля появится флаг R - running, что означает, что туннель находится в рабочем состоянии.\nНастройка IPIP-туннеля Настройка данного вида туннеля ничем не отличается от GRE, также переходим в Interfaces - Interface и добавляем новый интерфейс с типом IP Tunnel. Указываем все те же параметры: Local Address - внешний IP-адрес этого роутера, Remote Address - внешний IP-адрес противоположного роутера, IPsec Secret - общий ключ IPsec, также снимаем флаг Allow Fast Path. В терминале это же действие:\n1/interface ipip 2add allow-fast-path=no ipsec-secret=MyIP$ecret123 local-address=198.51.100.1 name=ipip-tunnel1 remote-address=203.0.113.1 Затем дублируем настройки на второй роутер, заменяя местами Local Address и Remote Address, также учитываем все то, что было сказано выше о настройках IPsec.\nНастройка маршрутизации Итак, туннель поднят, теперь нужно пустить в него трафик между сетями. Прежде всего присвоим адреса туннельным интерфейсам. Согласно схеме со стороны роутера А это будет 10.10.10.1, а со стороны роутера B - 10.10.10.2. Переходим в IP - Addresses и добавляем новый адрес: Address - 10.10.10.1/24 - именно так, с указанием префикса (/24, что соответствует маске 255.255.255.0), в противном случае сеть у вас работать не будет. В поле Interface указываем имя интерфейса GRE или IPIP-туннеля. В терминале для этого же действия выполните команду:\n1/ip address 2add address=10.10.10.1/24 interface=gre-tunnel1 network=10.10.10.0 Где вместо interface=gre-tunnel1 укажите имя собственного туннельного интерфейса.\nАналогичные настройки следует выполнить и на втором роутере.\nТеперь приступим к указанию маршрутов, для роутера A нам нужно указать маршрут к сети 192.168.222.0/24 через туннель. Переходим в IP - Routes и создаем новый маршрут. В качестве Dst. Address указываем сеть назначения - 192.168.222.0/24, в поле Gateway указываем шлюз в эту сеть - противоположный конец туннеля, который имеет адрес 10.10.10.2, после того как мы нажмем Apply в поле рядом со шлюзом появится исходящий интерфейс, в качестве которого будет выступать наш туннель. В терминале:\n1/ip route 2add distance=1 dst-address=192.168.222.0/24 gateway=10.10.10.2 На втором роутере делаем аналогичные настройки с учетом IP-адреса роутера и сети назначения.\nПосле чего пробуем получить из одной сети доступ к узлу другой. Если все сделано правильно, то попытка увенчается успехом. ","id":"f603aa98bd3b953e3a2d600fc3074f50","link":"https://interface31.ru/post/nastroyka-tunneley-gre-i-ipip-na-routerah-mikrotik/","section":"post","tags":["GRE","IPIP","MikroTik","VPN","Маршрутизация"],"title":"Настройка туннелей GRE и IPIP на роутерах Mikrotik"},{"body":"В качестве продолжения нашего цикла о брандмауэре iptables мы рассмотрим таблицу nat, в которой происходит преобразование сетевых адресов. С этой таблицей, также, как и с filter вы будете часто встречаться, выполняя такие привычные и повседневные задачи, как выход в интернет, проброс портов или перенаправление трафика. При этом действие механизма NAT более сложное и требует более глубокого понимания происходящих процессов, поэтому советуем уделить внимание в первую очередь теоретической части.\nNAT (Network Address Translation, преобразование сетевых адресов) - это механизм работающий в IP-сетях и позволяющий преобразовывать IP-адреса транзитных пакетов. Протокол IP - маршрутизируемый протокол сетевого уровня (L3), предназначенный для передачи данных между сетями. Единицей передачи данных на уровне IP-протокола является пакет.\nСразу с этого места сделаем небольшое отступление, потому как с понятием \u0026quot;пакет\u0026quot; существует изрядная путаница, которая может приводить начинающих в некоторое замешательство. Начнем с того, что понятие пакет применимо только к протоколу IP сетевого уровня (L3). Пакет состоит из заголовка и полезной нагрузки. Заголовок, вместе с иной служебной информацией, содержит два важных поля: адрес отправителя (SRC IP) и адрес получателя (DST IP). Полезной нагрузкой IP-пакета является один из протоколов транспортного уровня (L4): TCP, UDP, GRE и т.д.\nЕдиницей передачи данных в TCP является сегмент, в UDP - дейтаграмма, также оба этих протокола используют порты, порт - это логическая сущность, определяемая целым неотрицательным числом, которая позволяет создавать и поддерживать на одном узле несколько независимых соединений. Часть портов зарезервирована за типовыми службами, так каждый знает, что TCP 80 - это HTTP, а UDP 53 - DNS. Т.е. номер порта является дополнительным идентификатором, позволяющим отделять одни данные от других и направлять их нужным службам. TCP-сегмент или UDP-дейтаграмма также содержат заголовок и полезную нагрузку, заголовок также содержит два важных поля: порт источник (SRC PORT) и порт назначения (DST PORT). Следует четко запомнить: IP-заголовок содержит только адрес отправителя и адрес получателя, понятие порт в протоколе IP отсутствует. Порт появляется в заголовках транспортного протокола L4 (TCP, UDP), но информация об адресах источника и назначения там отсутствует. Но как быть, если где-то говорят о пакете на порт TCP 80? Это выражение следует понимать, как IP-пакет с полезной нагрузкой в виде TCP-сегмента с портом назначения 80. Также следует помнить, что у каждого транспортного протокола свой набор портов и одни и те же порты могут быть использованы одновременно с разными протоколами.\nТеперь перейдем к самому понятию NAT, эта технология возникла тогда, когда потребовалось предоставить доступ к внешней сети узлам сети внутренней, не имеющим выделенного IP-адреса. По мере роста сетей при ограниченном количестве \u0026quot;белых\u0026quot; IP-адресов это становилось все большей проблемой и привело к совершенствованию механизма NAT.\nСуществует несколько видов NAT:\nСимметричный - когда все порты внутреннего адреса транслируются на порты внешнего адреса, при этом устройство становится полностью доступным из внешней сети. Динамический - когда порт внутреннего адреса случайным образом транслируется на порт одного из внешних адресов, причем для каждого нового соединения может быть использован отличающийся адрес Перегруженный - когда порты нескольких внутренних адресов транслируются на случайные порты единственного внешнего адреса. Далее мы будем говорить именно о перегруженном NAT (NAPT, NAT Overload, PAT, маскарадинг), потому что в большинстве реализаций используется именно он, также следует отметить, что PAT (Port Address Translation, Трансляция порт-адрес) требует обязательного наличия открытого порта, что может вызвать проблемы с прохождением NAT для транспортных протоколов не использующих порты, например, GRE.\nВернемся к iptables, функции NAT реализованы в одноименной таблице nat (все таблицы обозначаются строчными буквами), которая содержит цепочки PREROUTING, POSTROUTING и OUTPUT. В первые две цепочки попадает весь трафик узла, в последнюю только собственный исходящий. Обратите внимание, что все преобразования NAT выполняются либо до, либо после принятия решения о маршрутизации и фильтрации трафика брандмауэром, этот момент следует учитывать при построении правил фильтрации.\nВ таблице nat доступно два основных действия:\nSNAT - Source Network Address Translation - изменение адреса и порта источника пакета, доступен в цепочке POSTROUTING DNAT - Destination Network Address Translation - изменение адреса и порта назначения пакета, доступен в цепочках PREROUTING и OUTPUT Таким образом изменить адрес и порт назначения мы можем только перед входом пакета в брандмауэр и до принятия решения о маршрутизации, а изменить адрес и порт источника можем только при выходе пакета из брандмауэра, после принятия решения о маршрутизации. Это еще одно важное правило, которое следует твердо запомнить: DNAT - на входе, SNAT - на выходе.\nБолее подробное знакомство мы начнем со SNAT, как мы уже говорили выше данное действие изменяет адрес и порт источника пакета, одно из основных практический применений - обеспечения доступа локальной сети в интернет. Давайте посмотрим, в чем состоит проблема и как SNAT помогает ее решить. Для использования в локальных сетях используются диапазоны частных или т.н. \u0026quot;серых\u0026quot; IP-адресов, их особенностью является то, что они не маршрутизируются в интернете, т.е. если маршрутизатору попадает такой пакет и для него нет отдельного маршрута - он будет отброшен. При этом внешний адрес у данной сети один и его как-то следует использовать для обращения к внешнему миру всех локальных ПК.\nЧто делает SNAT? Он заменяет адрес источника пакета внешним адресом, также, при необходимости, меняет и порт источника, что позволяет различать запросы, сделанные с одного и того же порта разных ПК, запись о выполненной трансляции заносится в специальную таблицу трансляций (она же таблица NAT). Получив ответ роутер находит запись в таблице трансляций и на ее основании изменяет адрес и порт назначения ответного пакета, после чего он прозрачно доставляется адресату в локальной сети. В общем виде запись в iptables для SNAT будет выглядеть следующим образом:\n1iptables -t nat -A POSTROUTING -o ens33 -j SNAT --to-source 198.51.100.1 Первое, на что следует обратить внимание - это ключ -t, который указывает используемую таблицу, если данный ключ не указан, то по умолчанию используется таблица filter. Запись добавляется в цепочку POSTROUTING и предписывает выполнить действие SNAT для всех пакетов, попадающих под критерий -o ens33, т.е. использующих в качестве исходящего внешний интерфейс ens33. Для SNAT обязательно указывается параметр --to-source, который используется для указания адреса, присваиваемому пакету, теперь именно этот адрес будет указываться в качестве исходящего.\nПриведенное выше правило будет изменять адрес источника для всех исходящих пакетов без разбору, что не всегда корректно и безопасно, поэтому правилом хорошего тона считается явно задавать диапазон адресов для преобразования:\n1iptables -t nat -A POSTROUTING -o ens33 -s 192.168.100.0/24 -j SNAT --to-source 198.51.100.1 Также мы можем выполнять трансляцию адресов не для всего трафика, а выборочно, указывая необходимые порты и протоколы, скажем только для SSH:\n1iptables -t nat -A POSTROUTING -o ens33 -s 192.168.100.0/24 -p tcp --dport22 -j SNAT --to-source 198.51.100.1 Частным случаем SNAT является действие MASQUERADE (маскарадинг), его основным отличием является то, маскарадинг самостоятельно получает IP-адрес от заданного сетевого интерфейса и не требует его явного указания. Это удобно если на внешнем интерфейсе используется динамический IP-адрес. Вторая особенность MASQUERADE в том, что при остановке интерфейса таблица трансляций полностью очищается и все текущие соединения разрываются. Причина такого поведения в том, что при следующем запуске интерфейса имеется возможность получить новый IP-адрес и все текущие записи сразу окажутся неверны.\nМожно ли использовать MASQUERADE со статическим внешним адресом? Можно, но следует учитывать, что данное действие дает более высокую нагрузку на систему, так как определяет адрес внешнего интерфейса для каждого пакета, и в данном случае предпочтительно использовать SNAT.\nМаскарадинг, также, как и SNAT, можно использовать только в цепочке POSTROUTING, и типичная запись будет выглядеть так:\n1iptables -t nat -A POSTROUTING -o ens33 -s 192.168.100.0/24 -j MASQUERADE Оба этих действия также позволяют явно указывать исходящий порт или диапазон портов для трансляции, для SNAT это делается в параметре --to-source через двоеточие, а в MASQUERADE используется специальная опция**--to-ports**:\n1iptables -t nat -A POSTROUTING -o ens33 -s 192.168.100.0/24 -p tcp --dport22 -j SNAT --to-source 198.51.100.1:2222 2iptables -t nat -A POSTROUTING -o ens33 -s 192.168.100.0/24 -p tcp --dport22 -j MASQUERADE --to-ports 2222 Теперь вернемся к порядку прохождения пакетов по таблицам и цепочкам. Как несложно заметить - цепочка POSTROUTING таблицы nat является завершающим этапом обработки трафика, после которого он покидает брандмауэр. Это говорит о том, что в правилах фильтрации следует использовать только исходные адреса и порты источников, до трансляции. Новые адреса в брандмауэр не попадают.\nВторое основное действие в таблице nat - это DNAT - или изменения адреса и порта назначения пакета. Это действие применимо в цепочках PREROUTING и OUTPUT, т.е. на самом входе в брандмауэр, раньше таблицы nat пакеты попадают только в mangle. На практике DNAT применяется в основном для проброса портов, типовой пример:\n1iptables -t nat -A PREROUTING -i ens33 -p tcp --dport 3389 -j DNAT --to-destination 192.168.100.1 Данное правило изменит адрес назначения всех пакетов пришедших на внешний интерфейс ens33 по протоколу tcp с портом назначения TCP-сегмента 3389 на адрес внутреннего сервера 192.168.100.1. Изменение номера порта при этом не производится. Если же вы используете нестандартный порт, то правило будет выглядеть несколько иначе:\n1iptables -t nat -A PREROUTING -i ens33 -p tcp --dport 3390 -j DNAT --to-destination 192.168.100.1:3389 При выполнении проброса портов обязательным критерием должен быть указан входящий интерфейс (как в правиле выше) или адрес этого интерфейса, в противном случае преобразованию будут подвергаться все пакеты, в том числе и проходящие из внутренней сети наружу. При использовании адресов вместо интерфейсов правило будет иметь следующий вид:\n1iptables -t nat -A PREROUTING -d 198.51.100.1 -p tcp --dport 3389 -j DNAT --to-destination 192.168.100.1 А теперь давайте попробуем разобраться как оно вообще работает. Некий узел XXX.XXX.XXX.XXX отправляет пакет на внешний адрес нашего роутера 198.51.100.1, адресом источника будет являться адрес узла, адресом назначения - внешний адрес роутера. Получив такой пакет брандмауэр находит нужное правило и изменяет адрес назначения пакета на внутренний адрес целевого узла, т.е. на 192.168.100.1 и отправляет его в локальную сеть.\nУзел назначения видит, что ему пришел пакет от удаленного узла XXX.XXX.XXX.XXX и он формирует ответный пакет с этим адресом в качестве назначения, а в качестве источника подставляет собственный адрес. Так как удаленный узел не принадлежит локальной сети данный пакет будет направлен основному шлюзу, т.е. назад нашему роутеру. А так как на шлюзе в любом случае включен либо SNAT, либо MASQUERADE, то локальный адрес источника будет заменен адресом внешнего интерфейса и такой пакет будет отправлен назад удаленному узлу. Наблюдательный читатель сделает здесь два вывода. Первый - DNAT не использует таблицу трансляций, второй - уже имеющийся на роутере SNAT или MASQUERADE автоматически выполняет обратное преобразование. Таким образом удаленный узел общается только с внешним адресом роутера и не имеет ни малейшего представления о сети за ним, а локальный узел продолжает считать, что работает с удаленным узлом напрямую, все необходимые трансляции NAT делает прозрачно и на лету.\nЧастным случаем DNAT является REDIRECT, это действие позволяет перенаправлять пакеты на другой порт текущего узла. Это удобно при прозрачном проксировании, либо перенаправлении трафика. Например, перехватим все DNS-запросы и направим их локальному DNS-серверу, развернутому на этом же узле:\n1iptables -t nat -A PREROUTING -i ens34 -p udp --dport 53 -j REDIRECT --to-ports 53 А следующее правило выполнит прозрачное проксирование HTTP-трафика, не предназначенного узлу на развернутый на нем прокси-сервер:\n1iptables -t nat -A PREROUTING -i ens34 ! -d 192.168.100.2 -p tcp --dport 80 -j REDIRECT --to-ports 3128 Где 192.168.100.2 - внутренний адрес нашего роутера, остальные критерии мы сознательно не будем комментировать, если вы внимательно изучили предыдущие статьи цикла, то должны без труда прочитать условие.\nМы же перейдем к не менее интересной теме последующего движения пакетов. Давайте еще раз внимательно изучим схему выше. Действие DNAT в цепочке PREROUTING выполняется до решения о маршрутизации, а, следовательно, пакеты могут претерпевать \u0026quot;чудесные превращения\u0026quot;. Непонимание этого момента приводит ко многим грубым ошибкам в настройке брандмауэра и неработоспособным конфигурациям.\nДопустим у нас с внешнего адреса 198.51.100.1 и порта 3390 сделан проброс на внутренний адрес 192.168.100.1 и порт 3389, но нормально закрытый брандмауэр блокирует подключения. Что нам нужно сделать? Правильно, открыть порт. Если долго не думать, то вырисовывается такой набор правил:\n1iptables -t nat -A PREROUTING -i ens33 -p tcp --dport 3390 -j DNAT --to-destination 192.168.100.1:3389 2iptables -A INPUT -i ens33 -p tcp --dport 3390 -j ACCEPT На первый взгляд все правильно: мы \u0026quot;открыли\u0026quot; порт 3390 для внешних подключений, а затем перенаправили соединения с него на внутренний узел. Однако это грубая ошибка. Почему? Давайте разбираться.\nИ снова схема движения пакетов! Так, что мы видим? А видим мы то, что пакет первым делом попадает в цепочку PREROUTING таблицы nat и именно здесь у него будут изменены адрес и порт назначения. После чего пакет из локального, предназначенного данному узлу, превратится в транзитный и вместо цепочки INPUT таблицы filter пойдет в цепочку FORWARD и приведенное выше правило никогда не сработает.\nА как будет правильно?\n1iptables -t nat -A PREROUTING -i ens33 -p tcp --dport 3390 -j DNAT --to-destination 192.168.100.1:3389 2iptables -A FORWARD -i ens33 -d 192.168.100.1 -p tcp --dport 3389 -j ACCEPT Обратите внимание, что вместе с локальным адресом в качестве критерия мы используем именно локальный порт - 3389, а не проброшенный 3390, так как DNAT изменит как адрес назначения, так и порт.\nАналогично, действие REDIRECT превращает транзитные пакеты в локальные и при возникновении такой необходимости фильтровать мы их должны уже не в цепочке FORWARD, а вINPUT.\nКоротко отдельно коснемся цепочки OUTPUT, вопреки распространенному мнению, это вход в брандмауэр, а не выход. Сюда поступают исходящие пакеты от локальных служб узла и последовательно проходят таблицы mangle - nat -filter. Поэтому если вы фильтруете исходящий трафик после преобразования сетевых адресов, то следует учитывать уже новые адреса и порты назначения. Единственное, что не меняется - это статус пакета, он остается локальным и не при каких обстоятельствах не попадет в цепочку FORWARD, даже если после всех преобразований сетевых адресов он попадает под критерии транзитного.\nВ данной статье мы рассмотрели только базовые возможности таблицы nat в самых простых конфигурациях, но именно прочное усвоение базовых принципов позволяет успешно изучать более сложные схемы, которых мы обязательно коснемся в наших будущих публикациях.\n","id":"083036c73023532c830abe76361de2bc","link":"https://interface31.ru/post/osnovy-iptables-dlya-nachinayushhih-chast-3-tablica-nat/","section":"post","tags":["Debian","iptables","Linux","MikroTik","NAT","Ubuntu Server","Сетевые технологии"],"title":"Основы iptables для начинающих. Часть 3. Таблица nat"},{"body":"Сбор и изучение логов - важная часть работы системного администратора, помогающая разобраться в любой, даже самой сложной и запутанной ситуации. Точно также и если вы обратитесь за помощью, то первым делом от вас попросят предоставить логи. Когда устройств и сервисов в вашей сети немного, то каждый из них может собирать логи самостоятельно, но по мере увеличения количества устройств хочется иметь единую точку сбора информации. И ей вполне может стать сервер The Dude, который хоть и не дотягивает до полноценного сервера сбора логов, но все-таки может оказаться полезен.\nВ первую очередь коснемся особенностей ведения логов на устройствах Mikrotik. В целях экономии ресурсов флеш-памяти лог пишется в оперативную память и ограничен 1000 последних записей. При выключении или перезагрузке устройства логи теряются. В целом, если пользоваться логами грамотно и направлять туда только действительно важные события, то 1000 строк вполне достаточно, а в случае диагностики всегда можно включить подробные логи для нужных служб.\nThe Dude предоставляет функции сервера логов, но в крайне ограниченном виде, какие-либо инструменты поиска и анализа отсутствуют, а сам сервер фактически является только централизованной точкой сбора логов, со всеми присущими Mikrotik особенностями. Собираемые The Dude логи также хранятся в оперативной памяти и ограничены 10 000 записей, при перезагрузке роутера с The Dude они теряются. Также нет никаких настроек, позволяющих изменить такое поведение, даже если вы используете CHR и не стеснены в ресурсах, как по памяти, так и по дисковому пространству.\nНо несмотря на очень и очень ограниченные возможности пренебрегать сервером логов в The Dude не стоит, при грамотном подходе он способен принести вполне ощутимую пользу, да и вообще ситуация, когда есть хоть какой-то сервер логов всегда лучше ситуации, когда никакого сервера логов нет.\nПо умолчанию лог-сервер в The Dude включен, чтобы убедиться в этом перейдем в Settings - Syslog где увидим установленный флаг Enable и порт на котором работает служба - 514, ниже расположено правило, указывающее принимать логи из любого источника и записывать их в syslog. Сам сервер логов по-спартански лаконичен: из возможностей присутствует только поиск и возможность распечатать лог или выгрузить его в CSV. Даже нет возможности наложить фильтр, как это можно сделать в интерфейсе RouterOS. Естественно все это не добавляет привлекательности данному инструменту, но некоторые плюсы становятся видны уже здесь и сейчас. Даже в таком виде сервер логов позволяет удобно отлаживать межсетевое взаимодействие. Вы будете в одном месте видеть в реальном времени и логи клиента, и логи сервера, что гораздо удобнее, чем парсить и сопоставлять два лога.\nЧтобы перенаправить логи на удаленный сервер в Mikrotik перейдем в System - Logging. На закладке Rules представлены правила для логирования различных событий, т.е. какой уровень логов куда следует направить. Как видим критические события выводятся прямо в терминал, а остальные пишутся в память. На закладке Action перечислены возможные действия, нас интересует remote, откроем его и укажем в поле Remote Address адрес нашего The Dude сервера. Теперь мы можем перенаправить лог любого уровня на удаленный сервер, просто изменив Action для него, но в этом случае мы окажемся без локального лога, что тоже неправильно. Поэтому мы вернемся на закладку Rules и скопируем нужное правило, указав поле Action для него remote. Возвращаемся в The Dude и видим, что на наш сервер пошли логи от удаленного устройства: По умолчанию они все пишутся в syslog, в принципе это можно изменить, только практической пользы от этого немного, все, что изменится - это строка Message, что, учитывая отсутствие каких либо инструментов аналитики, практически ничего не даст.\nИсходя из того, что возможности хранения логов в The Dude ограничены 10 000 строк напрашивается вывод, что не следует отправлять на удаленный сервер все подряд, а только те логи, которые представляют практический интерес. Допустим мы хотим передавать на удаленный сервер события, связанные с подключением и отключением SSTP-клиентов. Находим в логе нужное событие и смотрим что указано в поле Topics, затем на основании полученных данных создаем новое правило: Но фильтровать логи можно не только на стороне отправляющего устройства, но и со стороны The Dude. Если мы взглянем на приведенный выше лог, то увидим, что он заполнен событиями о неудачном подключении к некому OpenVPN-серверу, но это тестовый сервер и в настоящий момент он выключен, поэтому избавимся от этих событий в логе. Снова перейдем в Settings - Syslog и создадим нажатием на кнопку \u0026quot;плюс\u0026quot; новое правило. В поле Source Address укажем адрес источника, в поле Regexp - выражение по которому будем осуществлять фильтрацию, в нашем случае это часть строки, но вы можете использовать всю мощь регулярных выражений. И наконец действие с отобранными строками - drop. Создали правило, сохранили и... никакого эффекта... Почему? А потому что правила применяются в порядке их перечисления в списке и более общее правило перекрывает созданное нами более частное. Способа изменить порядок правил в The Dude нет, но можно скопировать вышестоящее правило, после чего оно попадет в самый низ списка, а затем удалить его. После этого, когда правила выстроятся в правильном порядке, фильтр начнет работать. Неудобно? Да. Поэтому основную фильтрацию следует производить на конечных устройствах, которые отправляют логи.\nЧто еще можно делать при помощи сервера логов The Dude? Можно собирать логи с Linux узлов. Для этого откройте файл /etc/rsyslog.conf и перейдите в секцию Rules. Ее содержимое достаточно понятно и в комментариях не нуждается. Допустим, мы хотим передавать на удаленный сервер содержимое syslog, для этого скопируем строку:\n1*.*;auth,authpriv.none -/var/log/syslog И приведем ее к виду:\n1*.*;auth,authpriv.none @192.168.111.154:514 Где после символа @ укажем адрес нашего сервера логов и порт.\nПри этом не забываем, что возможности сервера логов The Dude имеют существенные ограничения и следует стараться максимально фильтровать логи, собирая только действительно нужную и полезную информацию.\n","id":"06283964fb5218f394e4149b3b0b93b8","link":"https://interface31.ru/post/centralizovannyy-sbor-logov-mikrotik-na-server-the-dude/","section":"post","tags":["MikroTik","The Dude","Диагностика","Сетевые технологии"],"title":"Централизованный сбор логов Mikrotik на сервер The Dude"},{"body":"Плохо, когда ошибки возникают во время установки системы, еще хуже, если это такая ответственная вещь как гипервизор. А если проблема связана с железом, то становится совсем тоскливо. Именно с такой ситуацией мы столкнулись буквально на днях, установщик Proxmox VE 6 завершал свою работу с ошибкой на системе с процессором AMD Ryzen содержащим встроенное видеоядро. К счастью, Proxmox - это открытое по на базе Debian, а значит есть, как минимум, несколько вариантов решения проблемы. Один из них - исправить все на месте, прямо здесь и сейчас, именно о нем мы расскажем в данной статье.\nДанной ошибке подвержены все версии Proxmox Virtual Environment 6.х и возникает она на системах, содержащих процессоры AMD со встроенным видеоядром. Причина - установщик не может запуститься в графическом режиме, а текстовый вариант установщика не предусмотрен. Внешне это проявляется так: система получает сетевые настройки по DHCP, затем долго задумывается после сообщения:\n1Starting a root shell on tty3. И наконец \u0026quot;радует\u0026quot; нас сообщением:\n1\\nInstallation aborted - unable to continue (type exit or CTRL-D to reboot) Есть два пути решения этой проблемы. Один из них, который рекомендуют разработчики Proxmox - это установить сначала Debian 10, а затем уже на него Proxmox VE, об этом мы рассказывали в статье: Установка Proxmox VE 6 в Debian 10.\nВторой - попытаться исправить все прямо здесь и сейчас. Предложенный ниже способ не панацея, однако в большинстве случаев способен помочь.\nПрежде всего переключаемся в третью консоль - tty3. Для этого используйте сочетание клавиш Alt + F3. Уже в ней установим необходимые права на директорию временных файлов:\n1chmod 1777 /tmp И обновим систему:\n1apt update \u0026amp;\u0026amp; apt upgrade На все запросы отвечаем положительно.\nТеперь перенастроим графическую подсистему:\n1Xorg -configure Обратите внимание на регистр команд, в Linux это важно. Переместим полученный нами файл настроек в /etc:\n1mv /root/xorg.conf.new /etc/X11/xorg.conf После чего заменим в нем все вхождения amdgpu на fbdev:\n1sed -i \u0026#34;s/amdgpu/fbdev/g\u0026#34; /etc/X11/xorg.conf Затем снова вернемся в первую консольtty1 - Alt + F1 и запустим графическую оболочку:\n1startx В большинстве случаев это должно помочь, и установка успешно продолжится. Иначе следует прислушаться к совету разработчиков и установить сначала Debian 10, а уже на него Proxmox.\nПо материалам: Proxmox 6.2-1 installation fails after DHCP lease obtained.\n","id":"763aac7fd25964e2438e4611dfdea7c4","link":"https://interface31.ru/post/oshibka-ustanovki-proxmox-ve-6-posle-polucheniya-nastroek-po-dhcp/","section":"post","tags":["AMD","Debian","Proxmox","Xorg","Виртуализация","Диагностика"],"title":"Ошибка установки Proxmox VE 6 после получения настроек по DHCP"},{"body":"Сервис проверки скорости интернет-соединения Speedtest by Ookla в представлении не нуждается. Это известный и авторитетный инструмент, располагающий большим количеством серверов по всему миру. Можно без преувеличения сказать, что каждый системный администратор его хоть раз, да использовал. Говоря о Speedtest обычно, мы имеем ввиду одноименный сайт, который позволяет выполнить тестирование, но существует и вариант теста для командной строки, который позволяет использовать его на серверах и в сценариях мониторинга.\nБраузерные приложения всем хороши - не требуют установки, просты в использовании, наглядны, но только вот что делать, если вы работаете на сервере без графической оболочки или хотите использовать предлагаемые приложением функции в скриптах или сценариях? В этих случаях не обойтись без вариантов приложения для интерфейса командной строки - CLI (Command Line Interface).\nSpeedtest предоставляет такую возможность, приложение для командной строки можно получить на официальном сайте, доступны версии для Windows, Linux, macOS и FreeBSD. Далее мы будем рассматривать версию для Linux-дистрибутивов основанных на Debian, но это касается только установки, использование утилиты во всех поддерживаемых системах одинаково.\nВ Linux нам доступно два варианта использования утилиты: установить ее через пакетный менеджер или скачать архив с бинарным файлом. Первый вариант является более предпочтительным, так как правилами хорошего тона в Linux является установка ПО из репозиториев, хотя опытные администраторы могут просто использовать бинарный файл. Этим и хорош Linux - каждый может настраивать систему именно так, как нравится, а не так, как задумал кто-то там.\nИнструкции по установке приведены на официальной странице, но мы все равно повторим их здесь. Установку следует производить с правами суперпользователя или используя sudo. Здесь таятся некоторые различия. С правами root нам достаточно выполнить:\n1curl -s https://install.speedtest.net/app/cli/install.deb.sh | bash А через sudo:\n1curl -s https://install.speedtest.net/app/cli/install.deb.sh | sudo bash Почему именно так? Потому что первая команда производит скачивание скрипта и в повышении прав не нуждается. А при использовании конвейера в Linux повышение прав не наследуется, т.е. все последующие команды будут выполнены с правами пользователя, без учета sudo. Поэтому sudo надо использовать именно перед командой, требующей повышения прав, а не в начале строки.\nПосле выполнения указанных команд в систему будет подключен новый репозиторий и будет произведено обновление списка пакетов, после чего нужно будет просто установить утилиту командой:\n1apt install speedtest Пользоваться ей очень просто, если мы запустим ее без аргументов, то будет выполнен тест с автоматическим выбором ближайшего сервера и выводом результатов в терминал:\n1speedtest Для того, чтобы получить список ближайших серверов наберите команду:\n1speedtest -L Обратите внимание на колонку ID, потому что в утилите командной строки требуется использовать именно идентификатор сервера. Выяснив необходимый идентификатор можно выполнить тест с данным узлом используя для указания сервера опцию -s или --server-id, например, для Ростелекома:\n1speedtest -s 3260 Но возможности Speedtest этим не ограничиваются, утилита способна выводить информацию в различных форматах: несколько вариантов JSON, CSV и TSV (CSV с разделителем Tab). Для этого используйте ключ -f или --format:\n1speedtest -s 3260 -f json-pretty И если JSON вполне удобочитаемый формат, то CSV/TSV просто выводит строку чисел без расшифровки, чтобы правильно их интерпретировать можно использовать опцию добавляющую заголовки колонок --output-header: Важно! Имейте ввиду одну особенность: вывод команд с указанием формата выводит скорость в байтах, чтобы получить привычные Mб/с полученное значение следует разделить на 125 000.\nКак можно заметить, информация в нужном формате продолжает выводиться в терминал, чтобы направить ее в файл используйте:\n1speedtest -s 3260 -f tsv \u0026gt; ~/speedtest.tsv Данная команда перенаправит вывод в файл speedtest.tsv в домашней директории пользователя и перезапишет его.\nЕсли вы хотите дополнять файл, собирая в него информацию, то немного измените команду:\n1speedtest -s 3260 -f tsv \u0026gt;\u0026gt; ~/speedtest.tsv Полученную информацию можно использовать самым разнообразным образом, скажем подключив к системе мониторинга Zabbix, где для этого имеются готовые плагины, либо, не имея иных инструментов, выполнив анализ в табличном редакторе: Надеемся, что данный материал окажется вам полезен, а копилка администратора пополнится еще одним полезным инструментом.\n","id":"000ee4a25330aef649c092cbdbf8746b","link":"https://interface31.ru/post/speedtest-cli---testirovanie-skorosti-soedineniya-v-komandnoy-stroke/","section":"post","tags":["Debian","Linux","Ubuntu Server","Windows Server","Сетевые технологии"],"title":"Speedtest CLI - тестирование скорости соединения в командной строке"},{"body":"Не так давно мы уже рассматривали одну из разрабатываемых версий Windows 11, которая попала в широкий доступ в результате утечки. Кроме того, что это действительно подлинная версия, об утекшей сборке было мало что известно: с какого этапа разработки утекла эта сборка, что из присутствующего в ней попадет в следующие сборки, а что просто экспериментальная функция. И вот 1 июля наша инсайдерская сборка Windows 10 обновилась до инсайдерской версии Windows 11. Теперь уже можно говорить о том, что Microsoft официально выпустила Windows 11 для тестирования всем желающим. Давайте познакомимся поближе.\nМы не будем подробно останавливаться на том, что писали в предыдущем обзоре и настоятельно рекомендуем ознакомиться с ним перед прочтением данной статьи.\nЗагрузочный экран системы не изменился, новый логотип на черном фоне, такой стиль продолжает сохранятся со времен Windows 8. Ну хоть в чем-то сохраняется стабильность... А вот экран подготовки системы выполнен уже в светлой теме, в то время как в утекшей версии была темная, либо это потому, что в инсайдерской Windows 10, на которую устанавливалось обновление, была установлена светлая тема? В любом случае над дизайном поработали, вероятно исходя из принципа \u0026quot;встречают по одежке\u0026quot;. Номер инсайдерской версии 10.0.22000.51, утекшая версия имела номер билда 10.0.21996.1, из чего можно сделать выводы, что предыдущая сборка была достаточно свежей, но представленная официально инсайдерская версия имеет ряд серьезных отличий.\nНо начнем мы с меню Пуск и панели задач, как основной визитной карточки новой системы, тем более про них не писал только ленивый. Меню Пуск в новой версии не изменилось, но было достаточно интересно посмотреть на него в уже достаточно обжитой системе, т.е. не в идеально первозданном виде, а так, как оно будет выглядеть на рабочей системе.\nОбласть прикрепленных приложений так и осталась размером в 18 значков (3 ряда по 6 штук) в видимой части, далее надо использовать прокрутку, блок Рекомендуем в живой системе оказался лишь списком последних открытых файлов. Данный список не имеет никаких настроек и показывает все подряд, по сути являясь бесполезным. Но возможности убрать его и расширить список приложений на все доступное пространство нет. Для доступа к списку установленных приложений потребуется дополнительный клик на кнопку Все приложения, это значительное ухудшение удобства пользования и серьезный шаг назад в развитии данного меню. Обширное неиспользуемое пространство справа поражает своей пустотой, хотя там вполне можно было разместить списки переходов, последние открытые в этом приложении файлы, дать возможность закрепить какие-то местоположения, тем более что в предыдущих версиях Windows те или иные возможности были доступны. За кнопкой Дополнительно в блоке Рекомендуем и вовсе скрывается куча мусора из последних открытых файлов. Там все вперемешку, и то, что нужно, и то, что не нужно, проще и быстрее найти нужный файл поиском, то же касается и программ, но хорошо если вы точно знаете, что вам нужно, в противном случае придется работать с новым меню. Еще один большой минус, раз уж этот блок нельзя отключить, его нельзя быстро очистить. Все файлы, в которыми вы работали будут фигурировать в этом списке, удалить их можно оттуда только по одному. Во многих случаях это может негативно сказаться на безопасности и конфиденциальности работы с новой системой. Ну что тут можно сказать? Представленное меню Пуск, если не провал, то близко к этому, если считать провалом, то плиточное недоразумение, которым попытались заменить меню Пуск в Windows 8. В ответ было представлено множество разработок возвращающий классический Пуск обратно, с выходом Windows 11 мы скорее всего увидим всплеск популярности подобных приложений. Кстати, с историей меню Пуск вы можете ознакомиться в другой нашей статье.\nЕще одна общая негативная тенденция - это усложнение доступа: там где ранее требовался один клик мыши, теперь нужно несколько. Откуда растут ноги этого явления, в общем и целом, понятно - часть концепции интерфейса Windows 11 взяли из закрытого проекта Windows 10X (правда, не пропадать же добру), предназначенного для мобильных устройств.\nВсе эти лишние клики именно оттуда, в мобильном устройстве случайные нажатия - это обычный порядок вещей и лишний клик служит страховкой от случайного выполнения действия. В настольных системах это только усложняет работу с интерфейсом и вызывает раздражение. Но Microsoft с завидным упорством, начиная с Windows 8, пытается скрестить две парадигмы управления (настольную и мобильную) в одной системе, хотя мобильный рынок компанией упущен давно и реальных шансов на возвращение туда немного.\nПоэтому такие попытки скрестить ежа с ужом вызывают только недоумение, зачем тащить явно мобильные принципы построения интерфейсов в настольную систему? Мобильных телефонов с Windows на борту давно уже не видно, а те планшеты, которые еще нет-нет да попадаются, обычно укомплектованы чехлом-клавиатурой и предполагают настольные принципы работы с системой. Да и основной конкурент, компания Apple, будучи широко представлена в обоих сегментах, явно не спешит сливать iOS и macOS в одну систему, мобильное продолжает оставаться мобильным, а настольное - настольным. И мы не слышали, чтобы кто-то на это жаловался.\nСоздается впечатление, что создание универсальной платформы стало каким-то комплексом Microsoft, возможно на фоне провала Windows 8, ничем другим объяснить столь неоднозначные решения в интерфейсе невозможно.\nЗначки на панели задач можно выровнять по центру, либо по левому краю, сама же панель теперь безальтернативно располагается у нижнего края экрана, расположить с любой иной стороны ее больше нельзя, хотя такая возможность присутствовала начиная с Windows 95.\nПравый клик по панели задач также существенно оскудел, если раньше там выпадало достаточно развитое и функциональное меню, позволявшее не только получить доступ к настройкам, но и быстро свернуть все приложения, показав рабочий стол, или запустить диспетчер задач, то теперь там только возможность перехода в приложение Параметры. Хорошо хоть всплывающее меню на кнопке Пуск оставили без изменений. Но все это мы видели в предыдущем релизе, а теперь вот о новом. Нововведения коснулись области уведомления панели задач, теперь календарь объединили с уведомлениями, и вместо выплывающей с правого края панели сделали отдельные окна. Визуально стало лучше, это однозначный плюс. Сеть объединили со звуком и теперь при клике в эту область всплывает панель с регулятором громкости и полным отсутствием сетевых настроек, правда правый клик на том же месте предлагает перейти в раздел сетевых настроек приложения Параметры. Но как быть с быстрым доступом? К тем же VPN или беспроводным подключениям? Для этого следует нажать на значок карандаша и добавить нужную плитку, например, VPN. При появлении в системе Wi-Fi адаптера плитка с беспроводными подключениями появляется автоматически. С одной стороны путь к подключениям снова увеличился, нужно не только нажать на значок сети, но и провалиться в меню с беспроводными или VPN-подключениями. Но в данном случае такое решение пошло на пользу, визуально разгрузив всплывающее окно. Действительно, среди беспроводных подключений обычно используется одно, остальное - чужие сети, каждый раз смотреть на них - сомнительное удовольствие. Да и VPN-подключений может быть много, хотя в отдельный момент будет использоваться только одно из них. При активном подключении плитка меняет цвет на яркий (в данной теме - синий), что позволяет контролировать статус соединения.\nВ целом нам нравится данное изменение, разве что хотелось бы возможность выносить на свои плитки отдельные соединения для быстрого доступа к ним. Интерфейс этой части панели задач избавился от перегруженностии стал более простым и понятным, тем не менее сохранив основную функциональность. Огорчает только достаточно скудная возможность тонкой настройки.\nМного внимания разработчики уделили приложению Параметры, существенно изменив его как визуально, так и функционально. В первую очередь бросается в глаза отказ от одноцветных контурных значков в пользу полноцветных иконок, после чего восприятие приложения сразу изменилось, стало более удобно ориентироваться в настройках, пропало ощущение однообразности.\nМногие разделы серьезно доработали. Так управлять принтерами теперь возможно без переключения в классическую Панель управления, хотя для добавления новых устройств продолжает использоваться классический мастер. Остальные функции полностью реализованы в новом приложении, пользоваться ими достаточно удобно, что не может не радовать, потому что \u0026quot;жить на два дома\u0026quot; между новыми Параметрами и Панелью управления очень и очень неудобно, особенно с учетом того, что многие настройки можно сделать только в каком-то одном месте. Здесь же можно увидеть и прототип нового Диспетчера устройств, да, пока это для реальной работы не пригодно, но сама тенденция задана - перенос всех функций в новое приложение. Серьезно переработали и раздел сетевых настроек, теперь это вполне полноценный инструмент. Все основные параметры сети можно ввести прямо отсюда, из нового - поддержка DNS over HTTPS из коробки. Но если вы захотите настроить что-то большее, чем просто IP-адрес или логин/пароль для VPN подключения - то придется снова возвращаться к классическому представлению сетевых адаптеров, для чего придется проделать достаточно длинный путь. Перейти в раздел дополнительных сетевых параметров и еще раз выбрать Дополнительные параметры сетевого адаптера. Если считать от значка в панели задач, то нужно три клика мыши и две прокрутки экрана в самый низ. Существенные изменения также коснулись Проводника, который получил новый, переработанный интерфейс, ставший более простым и лаконичным. На первый взгляд непривычно, но очень удобно. В том виде, в каком проводник представлен в Windows 10, верхняя часть окна существенно перегружена, при том, что большинство представленных там функций в повседневной эксплуатации не нужны. В самих меню увеличили шрифт и отступы, что сразу устранило эффект тяжеловесности, особенно в тех случаях, когда пунктов меню много. Но Microsoft не будет сама собой, если сделает все сразу и без нареканий. Новый проводник еще один яркий пример отсутствия единого стиля, который преследует Windows начиная с \u0026quot;восьмерки\u0026quot;, где плитки перемешались с элементами интерфейса от Windows 9х. В Windows 11 основной тенденцией прослеживается отказ от плоских однотонных значков и это можно только приветствовать. Цветными стали значки приложения Параметры, что только сделало его лучше, были раскрашены стандартные папки, что можно видеть прямо в области навигации, но по какой-то неведомой причине сам Проводник получил плоские одноцветные, блеклые иконки.\nВ сочетании со светлой темой получилось очень плохо, меню практически сливается с фоном. Хотя даже здесь не смогли выдержать единого стиля и плоские значки всплывающего меню соседствуют с полноцветными, которые сразу выигрышно выделяются на общем фоне. С темной темой новые значки выглядят гораздо лучше, за счет контраста с фоном, но сама темная тема Windows 11, очень, скажем так, на любителя. Выводы В целом инсайдерская версия Windows 11 производит более законченное впечатление, система приобретает собственные черты, отличающие ее от Windows 10, в основном это касается внешнего вида. Что касается работы программ, даже старых, то мы не испытали никаких проблем, все что работало в Windows 10, работает и в новой версии ОС. А вот все, что касается нового дизайна и интерфейса вызывает противоречивые чувства.\nЧто касается нового меню Пуск - то это если не провал, то однозначно очень близко к нему. Основная функция Пуска - быстрый доступ к программам и расположениям фактически перестал быть таковым. Часть полезного пространства занимает откровенный мусор в виде бессистемного нагромождения последних открытых файлов, количество действий, необходимых для доступа к элементам меню увеличилось и практически никаких возможностей настроить все это безобразие под себя.\nОбласть уведомлений на Панели задач стала лучше, пропала перегруженность и это большой плюс, но количество действий для доступа к отдельным пунктам увеличилось, например, к беспроводным или VPN-подключениям, хотя исправить ситуацию довольно легко - следует дать возможность закреплять на панели уведомлений не группы, а отдельные значки, но пока такой возможности нет.\nПроводник - хороший шаг вперед, интерфейс стал гораздо более простым и лаконичным, теперь под рукой именно то, что нужно. Набор действий неплохо сбалансирован, наиболее часто используемые выведены сразу под курсор в виде пиктограмм. Это непривычно, но удобно, поэтому немного поработав с новым Проводником остро начинаешь ощущать недостатки текущей реализации. Но без ложки дегтя не обошлось, визуальное оформление оставляет желать лучшего и сильно выбивается из общего стиля системы. А со стилем у Microsoft давно беда, последней более-менее целостной в плане графического оформления системой была Windows 7, дальше пошел разброд и шатание, который так и не смогли устранить за все время развития Windows 10.\nНо до осени, на которую запланирован выход новой операционной системы еще есть время и все может еще несколько раз измениться. Но следить за развитием Windows 11 теперь станет проще, инсайдерскую версию может скачать и бесплатно установить себе любой желающий.\n","id":"9166c07fc6e858caa7819a5ca94caf5c","link":"https://interface31.ru/post/insayderskaya-versiya-windows-11---teper-uzhe-vpolne-oficial-no/","section":"post","tags":["Microsoft","Windows 11","Рабочее место"],"title":"Инсайдерская версия Windows 11 - теперь уже вполне официально"},{"body":"Mikrotik предоставляет пользователям достаточно широкие возможности, одна из них - создание на роутере собственного центра сертификации (CA), который позволяет управлять собственной инфраструктурой открытых ключей (PKI). Благодаря этому вы можете выпускать, подписывать и отзывать сертификаты, а также поддерживать доверительные отношения без использования дополнительных технических и программных средств. Это удобно, но эксплуатация CA на базе Mikrotik имеет свои особенности и подводные камни, которые нужно четко представлять и учитывать при выборе такого решения.\nКоротко напомним, что такое инфраструктура открытых ключей (PKI), это область доверия, где каждый участник может доверять другому участнику, не имея никаких предварительных данных о нем. В основе PKI лежит центр сертификации (CA), авторитет CA неоспорим, а доверие к нему не подвергается сомнению.\nПри создании CA генерируется ключевая пара из закрытого ключа и корневого сертификата, который содержит открытый ключ. Закрытый ключ является секретным и должен храниться как зеница ока, потому как его компрометация дает возможность злоумышленнику выпускать сертификаты от имени вашего CA, а следовательно, получить доступ к вашей области доверия. Корневой сертификат, наоборот, должен быть широко распространен на узлах вашей области доверия, так как именно он позволяет убедиться в подлинности выпущенных сертификатов.\nПри этом любой пользователь или узел, располагающий корневым сертификатом, может в любой момент времени убедиться в подлинности предъявленного ему сертификата другого пользователя или узла, а так как доверие к CA не подвергается сомнению, то автоматически возникают доверительные отношения с предъявителем действующего сертификата. Также корневой сертификат содержит адрес CRL - списка отозванных сертификатов, что позволяет дополнительно убедиться, что предъявленный сертификат не был отозван.\nСледует понимать, что после того, как CA выпустил сертификат и передал его клиенту, он больше не может его контролировать и в случае компрометации его можно только отозвать. Между тем отозванный сертификат будет успешно проходить проверку подлинности при помощи корневого сертификата и проверить его на отзыв можно только при помощи списка CRL, который должен быть опубликован для общего доступа. Если CRL отсутствует или недоступен, то проверить сертификат на отзыв будет невозможно, а следовательно, такой сертификат будет принят как действительный.\nВ Mikrotik для работы с сертификатами следует перейти в отдельный раздел - System - Certificates. Прежде всего научимся правильно читать информацию о сертификатах, которая сосредоточена в первой колонке и представлена в виде буквенных флагов:\nА - authority - корневой сертификат при помощи которого мы можем подписывать другие сертификаты T - trusted - сертификат с которым установлены доверительные отношения L - crl - корневой сертификат содержит адрес списка отозванных сертификатов (CRL) I - issued - сертификат, выпущенный центром сертификации расположенном на данном устройстве K - private-key - сертификат имеет связанный с ним закрытый ключ E - expired - сертификат с истекшим сроком действия R - revoked - отозванный сертификат Таким образом корневой сертификат CA должен иметь флаги KAT или KLAT в зависимости от того, использует ли центр сертификации списки отзыва CRL. Выпущенный данным CA сертификат будет иметь флаг KI, а будучи импортированным на другом узле в присутствии сертификата CA будет иметь флаги KT, а сам корневой сертификат чужого CA - просто T или LT. Закладка System - Certificates - CRL содержит загруженные списки отзыва для всех сертификатов, имеющих флаг L, кроме корневого сертификата собственного CA. Для работы со списками отзыва следует выполнить некоторые настройки, они расположены в System - Certificates - Settings. Флаг Use CRL включает использование списков отзыва, флаг CRL Download разрешает загрузку списков для сертификатов, содержащих адрес CRL. Если установить первый, но не устанавливать второй, то списки CRL будут работать только для собственного CA. Еще одна важная опция - место хранения CRL -CRL Store, по умолчанию там стоит вариант хранения в оперативной памяти - ram. Но здесь есть первые подводные камни, объем RAM занимаемый списком рассчитывается по формуле:\n14MB + 10 * \u0026lt;CRL_size\u0026gt; Таким образом даже самый небольшой список будет занимать от 4 МБ оперативной памяти, что может быть критично для младших моделей с небольшим объемом оперативной памяти, в этом случае значение CRL Store следует изменить на system.\nСледующий важный вопрос: а что будет, если роутер с ролью CA выйдет из строя? В таком случае вы полностью потеряете контроль над своей PKI и вам потребуется создать новый CA и перевыпустить все сертификаты. Избежать этого можно только одним образом - созданием резервной копии устройства в бинарном формате. Для этого перейдите в Files и нажмите кнопку Backup, укажите имя файла и обязательно задайте пароль (в противном случае закрытые ключи выгружены в резервную копию не будут). Либо выполните в терминале:\n1/system backup save name=backup password=\u0026lt;MY_PASSWORD\u0026gt; Но бинарная копия имеет ряд существенных ограничений, она предназначена для восстановления только на том устройстве, на котором была создана, либо на другом той же модели при окончательном выходе устройства из строя. Это связано с тем, что при восстановлении такой копии будут восстановлены и MAC-адреса, а появление в одной сети двух устройств с одинаковыми MAC-адресами способно привести к серьезным сбоям в ее функционировании. Ну и наконец, вы не сможете восстановить бинарную резервную копию на другой модели роутера.\nЭтих недостатков лишена копия настроек в текстовом формате, которую можно полностью или частично восстановить на любом устройстве с RouterOS. Для ее создания выполните команду:\n1/export file=export_cfg После чего в разделе Files у вас появится файл с указанным именем и расширением .rsc. Но данный файл не содержит ключей и сертификатов и не годится для восстановления CA. Скажем сразу - никаким иным способом, кроме как бинарным бекапом, перенести CA на другой роутер нельзя. Фактически центр сертификации получается в своем роде \u0026quot;одноразовым\u0026quot;, его можно перенести только на точно такое же устройство, в случае апгрейда вам придется создать инфраструктуру PKI заново.\nНо значит ли это, что вам не нужно делать резервную копию ключей и сертификатов? Нет. Никогда нельзя исключать внезапный выход роутера из строя, как и невозможность приобрести ему на замену точно такую же модель. А ситуация, когда все работает, хоть и с ограничениями, всегда лучше ситуации, когда не работает ничего.\nНесмотря на то, что полноценно восстановить CA на другом узле мы не сможем, но работу служб, использующих сертификаты восстановить можно, хотя и с некоторыми оговорками. В некоторых случаях они могут оказаться существенными, почему так мы покажем ниже.\nА пока экспортируем нужные нам ключи и сертификаты. Перейдем в System - Certificates, найдем там корневой сертификат CA и щелкнув на него правой кнопкой мыши выберем Export. Формат не имеет принципиального значения, при выборе PEM вы получите два файла - сертификат и закрытый ключ, при выборе PKCS12 - единственный файл .p12.\nОбязательно укажите пароль в поле Export Passphrase, в противном случае закрытые ключи выгружены не будут. Затем, аналогичным образом, выгружаем сертификаты и ключи для служб, работающих на данном роутере, клиентские и серверные сертификаты, используемые на других узлах, выгружать не имеет смысла. Обратите внимание, так как выгружаемые ключевые пары содержат закрытые ключи, то следует обеспечить их безопасное хранение, особенно закрытого ключа центра сертификации CA.\nПри переходе на другое устройство вам потребуется загрузить сертификаты и ключевые пары, либо файлы p12 в Files. После чего импортировать их в System - Certificates. Последовательность импорта такова: сначала сертификат, потом закрытый ключ, в случае файла p12 все импортируется за одно действие. Глядя на статус импортированного корневого сертификата - KLAT - можно подумать, что все хорошо, но увы. Выпущенный этим же CA серверный сертификат импортируется не как KI, а как KT, это означает, что он будет работать, но отозвать мы его никогда не сможем, это же относится и к клиентским сертификатам, почему мы выше и сказали, что экспортировать их бессмысленно. При этом вы можете продолжать выпускать сертификаты от имени CA и подписывать их корневым сертификатом. Если вы не используете в своей инфраструктуре PKI отзыв сертификатов, то можете продолжать работать. Никаких проблем при этом не возникнет.\nА мы тем временем перейдем к спискам отзыва, так как это самое больное место в этой схеме. При создании корневой ключевой пары CA, в момент подписи запрашивается адрес опубликования CRL - СА CRL Host, именно по этому адресу Mikrotik поднимет веб-сервер и опубликует список отозванных сертификатов. Здесь снова есть подводные камни. Файл списка CRL при каждом изменении меняет свое название на номер итерации, так при первом создании он будет http://192.168.111.1/crl/1.crl, а после следующего отзыва превратиться в http://192.168.111.1/crl/2.crl. Адрес списка CRL содержится в корневом сертификате CA, поэтому, если вы используете несколько узлов, разрешающих доступ по сертификатам выпущенным Mikrotik, то после каждого отзыва вы должны заново экспортировать корневой сертификат СА и распространить его на все узлы вашей области доверия PKI, как минимум на те, которые принимают сертификаты для аутентификации или авторизации.\nПри переносе ключевой пары CA на другой хост RouterOS прочитает из корневого сертификата адрес CRL и попытается его скачать. Но так как старый роутер заменен новым, с тем же адресом, скачивать ему будет нечего. К сожалению, Mikrotik не позволяет импортировать файл списка CRL, поэтому даже имея его на руках вы не сможете загрузить его в устройство. Но ведь мы можем выдавать новые сертификаты и можем их отозвать? Можем. Но новый список CRL при этом не формируется, центр сертификации будет продолжать пытаться загрузить список CRL указанный в корневом сертификате, которого в новом роутере не существует.\nТаким образом, при переносе ключевой пары CA на новый роутер мы имеем возможность выдавать новые сертификаты, но сразу перестают действовать списки отзыва, т.е. клиенты с отозванными сертификатами снова могут подключиться к серверу, а также теряется возможность отзыва вновь выпущенных сертификатов.\nФактически старый CA перестал существовать, но мы можем продолжать поддерживать работоспособность текущей инфраструктуры PKI, хотя и с ограничениями, и планомерно планировать переход на сертификаты нового CA. Такой сценарий гораздо предпочтительнее, чем полный отказ инфраструктуры.\nКак видим, в RouterOS нет возможности полноценно перенести CA на другое устройство, это серьезное ограничение и его следует обязательно учитывать при планировании инфраструктуры, в тоже время, располагая экспортированной ключевой парой CA и собственных сертификатов роутера вы всегда сможете восстановить работоспособность инфраструктуры, хотя и существенными ограничениями.\n","id":"a4627d8e4abfc77b90cd136a8c33828e","link":"https://interface31.ru/post/osobennosti-ekspluatacii-ca-na-routerah-mikrotik-rezervnoe-kopirovanie-eksport-i-import-sertifikatov/","section":"post","tags":["MikroTik","PKI","Криптография","Резервное копирование"],"title":"Особенности эксплуатации CA на роутерах Mikrotik: резервное копирование, экспорт и импорт сертификатов"},{"body":"В условиях постоянно меняющихся требований законодательства в сфере применения контрольно-кассовой техники очень важно своевременно обновлять прошивку онлайн-кассы. Обычно для этого приглашают сторонних специалистов, но их работа далеко не бесплатна и одно дело если касс одна-две, а если десяток, да не один? Но обновить прошивку ККТ несложно и самостоятельно, никаких секретных знаний там нет. Сегодня мы научим вас обновлять прошивку кассовых аппаратов АТОЛ на платформе 5.0.\nПрежде всего подготовим рабочее место. Для этого вам понадобится Драйвер ККТ версии не ниже 10.6.2.0, лучше всего установить последнюю версию. Также потребуется подключить ККТ через USB и убедиться, что она доступна из Драйвера ККТ.\nМожно ли это делать непосредственно на рабочем месте? Да, можно, если соблюдаются указанные выше условия, можно даже обновлять ККТ через удаленный доступ, в этом случае следует убедиться в том, что в рулоне удаленной ККТ остается достаточно бумаги, а лучше всего попросить кассиров вставить новый рулон.\nСледующим шагом нам нужно получить сведения об обновляемой ККТ, в частности версию прошивки и заводской номер ККТ. Для этого откройте Тест драйвера ККТ и перейдите в раздел Работа с json и в поле Задание введите:\n1{ 2\u0026#34;type\u0026#34;: \u0026#34;getDeviceInfo\u0026#34; 3} Нажмите кнопку Выполнить задание и в поле Результат найдите строки с версией прошивки и заводским номером ККТ, последний скопируйте, он нам понадобится на следующем шаге. Внимание! Важно! С октября 2022 года утилиты для обновления прошивки и лицензии может скачать только партнер АТОЛ, за которым закреплен заводской номер кассы. Первичное закрепление проходит без согласования с владельцем, перезакрепление между партнерами - по письменному согласию владельца.\nАктуальной версией прошивки на момент написания статьи (конец июня 2021) является 5.7.20, имеющиеся в эксплуатации ККТ АТОЛ на платформе 5.0 могут иметь прошивки 5.7.0 или 5.7.10 (другие прошивки в широкий оборот не вводились). Для получения актуальной прошивки ККТ следует перейти в Личный Кабинет АТОЛ Сервис - https://as.atol.ru, используя следующие учетные данные:\nЛогин - client@atol.ru Пароль - client В правом верхнем углу расположено меню, выберите в нем пункт Обновить ПО. В появившемся окне следует ввести заводской номер ККТ, если ККТ несколько, то следует создать текстовый файл с номерами, по одному на строку, и загрузить его в поле ниже, это позволит вам получить один апдейтер на все ККТ, а не загружать его для каждой кассы отдельно. Затем выберите нужную версию ПО: После этого появится возможность скачать утилиту обновления для Windows и Linux (поддерживается Ubuntu 16.04 и новее), далее мы будем рассматривать обновление на платформе Windows. Скачав утилиту вернемся на рабочее место и снова запустим Тест драйвера ККТ. Перейдем в Отчеты - 5 - Печать информации о ККТ и распечатаем чек, его следует сохранить вместе с документацией на ККТ, если что-то пойдет не так, то поддержка АТОЛ обязательно потребует от вас этот чек. Затем сохраним текущую прошивку ККТ, чтобы всегда была возможность вернуться назад. Для этого в разделе ПО ККТ нажмите кнопку Считать ПО ККТ и сохраните полученный файл на ПК. Также нам потребуется сохранить настройки ККТ, перейдем в Свойства - Параметры ККТ - Экспорт - Как JSON (для драйвера): Теперь, когда все необходимые данные и настройки сохранены, выполним технологическое обнуление. Это не обязательное действие, но как показывает практика, без него возможны различные \u0026quot;чудеса\u0026quot; при обновлении, поэтому лучше его выполнить. Имейте ввиду, что технологическое обнуление полностью сбрасывает настройки ККТ, поэтому убедитесь, что вы их сохранили.\nПереходим в раздел Сервисные и нажимаем кнопку Тех. обнуление, подтверждаем действие и дожидаемся окончания, после чего перезагружаем ККТ кнопкой Перезагрузка. Закрываем Тест драйвера ККТ и распаковываем самораспаковывающийся архив утилиты обновления. Переходим в распакованную папку и запускаем файл main.exe, появится терминальное окно утилиты и будет выполнен поиск кассы, затем появится предложение обновить ее прошивку. Соглашаемся и ожидаем окончания процесса. После того, как новое ПО будет загружено в кассу, она автоматически перезагрузится и начнет его установку, все это время утилита обновления будет пытаться подключиться к ККТ, но в течении некоторого времени эти попытки будут неудачными. Не нужно переживать, это нормально, после того как ККТ обновит внутреннее ПО она снова появится на связи, для используемой нами АТОЛ 22-ПТК это занимает 9-10 попыток. Снова открываем Тест драйвера ККТ, переходим в Свойства - Параметры ККТ - Импорт и загружаем файл настроек, выгруженный нами ранее. Не забываем потом нажать Сохранить и выйти. На этом процесс обновления прошивки ККТ АТОЛ на платформе 5.0 закончен. Как видим - ничего сложного в этом процессе нет, надо только лишь быть внимательными и не нарушать рекомендуемую последовательность действий.\n","id":"1843458ec373fdc33d1008a0a91b3b28","link":"https://interface31.ru/post/obnovlenie-proshivki-kkt-atol/","section":"post","tags":["1С Предприятие 8.х","Автоматизация","АТОЛ","ККТ"],"title":"Обновление прошивки ККТ АТОЛ"},{"body":"Работа с ЭЦП до сих пор вызывает у многих администраторов существенные затруднения. Мало того, что сама тема является достаточно сложной и требует некоторых базовых знаний, так еще используемые в РФ системы СКЗИ имеют собственные особенности, которые нужно учитывать. Осложняет ситуацию еще и то, что разные типы электронных сервисов используют по умолчанию различные типы СКЗИ и вряд ли смогут оказать качественную поддержку в нестандартной ситуации. В нашем случае все именно так и было, поэтому пришлось во всем разбираться самостоятельно.\nНачнем с Рутокен ЭЦП 2.0 - на первый взгляд это самый обычный токен красного цвета, который широко используется в системе ЕГАИС, вместо показавшей низкую надежность JaCarta. Используется для хранения ЭЦП ГОСТ предприятия или индивидуального предпринимателя и RSA-сертификата для доступа к ЕГАИС. На самом деле Рутокен ЭЦП 2.0 - это не просто токен, а полноценное СКЗИ (средство криптографической защиты информации). В чем разница? Обычные токены являются контейнерами для хранения закрытого ключа (подписи, ЭЦП) и сертификата, при этом закрытый ключ может быть неизвлекаемым, т.е. выполнить его экспорт из токена невозможно. Но для работы с криптографическими функциями требуется специальное приложение - СКЗИ, которое будет шифровать, подписывать, проверять подпись, расшифровывать и т.д. и т.п. Наиболее известными программными СКЗИ являются КриптоПро и ViPNet.\nНо у таких систем есть один серьезный недостаток - закрытый ключ выгружается в оперативную память, и хотя предпринимаются серьезные методы защиты этой области памяти, сам факт такой выгрузки дает возможность осуществления атаки с целью завладения закрытым ключом.\nРутокен ЭЦП 2.0 выполняет все криптографические операции самостоятельно, на собственном контроллере, при этом закрытый ключ никогда не покидает пределов токена. Дополнительный плюс - для работы с Рутокен ЭЦП 2.0 не требуется никакое дополнительное ПО, достаточно самого токена и драйверов в системе к нему.\nЕсли брать область малого и среднего бизнеса, то чаще всего Рутокен ЭЦП 2.0 можно увидеть в составе системы УТМ ЕГАИС, в последние годы он безальтернативно вытеснил с этого рынка JaCarta. А так как токен уже содержит ЭЦП предприятия, то возникает желание использовать эту подпись и для других целей. Желание это вполне здравое, с некоторыми ограничениями ЭЦП из Рутокен 2.0 можно использовать практически для любых целей. К ограничениям относится невозможность работы с шифрованием CBC, это делает невозможным сдачу отчетов в МВД, Росприроднадзор. а также некоторых отчетов в ПФР и ФСС.\nНо обычно этого и не требуется, чаще всего возникает необходимость использовать имеющуюся ЭЦП для ЭДО (электронного документооборота) и интеграции в систему Честный знак (маркировка). Одним из крупнейших провайдеров, предоставляющих услуги ЭДО является СБИС и об интеграции этой системы и подписи размещенной в Рутокен ЭЦП 2.0 у нас сегодня и пойдет речь.\nДля понимания ситуации немного обрисуем диспозицию: имеется небольшой сельский магазин уровня минимаркета, одной из первых в нем была внедрена система ЕГАИС, ЭЦП для которой было получено в одном из региональных УЦ. затем возникла необходимость в ЭДО с поставщиками табачной продукции, которое было предоставлено СБИС, при этом использовалась уже существующая подпись из Рутокен ЭЦП 2.0, мы в этой настройке не участвовали, все было выполнено силами сотрудников СБИС.\nПрошел год, ЭЦП ГОСТ была перевыпущена, с ЕГАИС никаких проблем не возникло, а вот ЭДО работать отказалось, сообщая, что сертификат не соответствует закрытому ключу. Это понятно и логично, если поменялся закрытый ключ, то нужно заменить и сертификат в ЭДО.\nОткроем Панель управления Рутокен и на вкладке Сертификаты выполним экспорт сертификата в формат DER X.509. Здесь мы проявили небольшую слабость и воспользовались опцией \u0026quot;звонок другу\u0026quot;, т.е. в техническую поддержку. Приятная дама из СБИС, пробежав по базовым настройкам сообщила, что скорее всего что-то с подписью, а так как подпись выпустила другая организация, то обращайтесь туда. На наше возражение, что ЕГАИС работает нормально, значит подпись в порядке, дама осталась непреклонна.\nНу за спрос денег не берут, позвонили в УЦ выдавший подпись, там еще раз все проверили, подтвердили, что ЭЦП в порядке, а на вопрос про ЭДО отправили нас туда, где мы это самое ЭДО и приобрели. Ничего другого мы не ожидали, никто не будет помогать разбираться с продуктом конкурентов.\nСнова звонок в СБИС, еще одна обходительная и приятная дама, минут двадцать мы с ней выгружали-загружали сертификаты, сравнивали новый сертификат со старым, проверяли настройки, но безуспешно. В итоге она сказала, что может нам только посочувствовать, мол подпись сделана не у них и, следовательно, они бессильны, а в качестве решения проблемы предложила приобрести еще одно ЭЦП, теперь уже от СБИС.\nВариант рабочий, но ведь до этого все работало, да и вгонять заказчика в дополнительные расходы - это не наш метод. Будем разбираться далее. Логика подсказывает: закрытый ключ на Рутокен ЭЦП 2.0 неизвлекаемый, следовательно, сертификат должен работать с токеном, но почему старый сертификат это может, а новый нет? Дополнительная подсказка таится в этом же старом сертификате, который СБИС настойчиво предлагает импортировать, хотя нигде в системе его нет. Тогда откуда? Логично предположить, что из токена, но Панель управления Рутокен никаких дополнительных сертификатов не показывает. Тем не менее они есть!\nНа помощь здесь придет ресурс cvs.sbis.ru, для работы с ним вам потребуется установленный СБИС Плагин. Перейдем в Криптооперации - Установка сертификата и нажмём в вверху кнопку Заполнить, а затем выберем найденный контейнер. Затем загрузим в него выгруженный на предыдущем шаге сертификат кнопкой Выбрать файл и установим, нажав на Установить. После выполнения данной операции вернемся в СБИС и выполним импорт подписи, для этого перейдите в раздел Подписи - Другие операции - Зарегистрировать имеющуюся, теперь вместо старой подписи вам предложат импортировать новую. Для дополнительной проверки вернитесь в Подписи, выберите импортированную подпись в самой правой колонке внизу вы должны увидеть надпись Рутокен ЭЦП 2.0 Rutoken ECP, это означает что контейнер закрытого ключа на токене привязан к данному сертификату и будет использоваться при криптографических операциях.\nПроверяем ЭДО - все должно работать. Просто? Да. Почему об этом не знают в поддержке СБИС? Хороший вопрос, но мы оставим его без ответа. Надеемся, что данный материал окажется вам полезен.\n","id":"7e4689403f12e0587bddcc5f7845f8dc","link":"https://interface31.ru/post/ispol-zovanie-rutoken-ecp-20-dlya-raboty-s-edo-sbis/","section":"post","tags":["Рутокен","СБИС","ЭДО","ЭЦП"],"title":"Использование Рутокен ЭЦП 2.0 для работы с ЭДО СБИС"},{"body":"О Windows 11 в последнее время не писал только ленивый, высказывая домыслы и предположения одно интереснее другого. Мы, в свою очередь не спешили бросаться освещать \u0026quot;событие\u0026quot;, так как предпочитаем давать своим читателям только достоверную информацию, подкрепленную собственным опытом. И вот, когда Microsoft подтвердила подлинность утекшей в сеть сборки, мы решили познакомиться сами и представить широкой публике наши впечатления и размышления о системе, которая очень скоро будет представлена официально.\nСразу развеем некоторые домыслы, старательно муссируемые некоторыми падкими до сенсаций ресурсами. Ничего принципиального нового в Windows 11 мы не увидим, перед нами все та же система, которую мы привыкли видеть под названием Windows 10, точнее очередная ее версия. Если сравнить ранние и поздние выпуски десятки, то отличаться они будут посильнее, чем десятая и одиннадцатая версии.\nМногое из того, что есть в новой системе успело попасть в инсайдерские выпуски, включая новые иконки. Поэтому лучше сосредоточиться на реальных и видимых изменениях, нежели искать какие-то мифические отличия в глубинах системы. Тем более что разработчики не скрывали, что новая версия Windows получит существенно переработанное меню Пуск и графическое оформление.\nЕсли брать последнюю доступную инсайдерскую версию в канале Dev она имеет номер выпуска 10.0.21390.2025, утекшая сборка Windows 11 - 10.0.21996.1, что говорит о их весьма близком \u0026quot;родстве\u0026quot;. Возможно, к релизу номер сборки изменят, но суть от этого не поменяется, это не новая ОС, а плановое развитие текущей системы. Что касается Windows 11, то здесь, скорее всего соображения сугубо маркетинговые, тем более что существенный редизайн системы как бы провоцировал такой ребрендинг. Тем более что осенью 2020 года Apple впервые повысило версию macOS с 10.х до 11.\nВообще, мы бы на месте Microsoft, вообще отказались бы от номеров, оставив просто Windows, а выпуски называя чем-нибудь красивым и запоминающимся, например, именами собак. А для технических специалистов оставить уже устоявшуюся нумерацию по году и месяцу выпуска 1909 или 2004.\nНо хватит слов, давайте переходить к делу. Инсталлятор системы ничем не отличается от привычного, начиная с Windows 8 там принципиально ничего не менялось, даже цветовая гамма. Гораздо интереснее то, что мы видим после установки. Одним из первых нас встречает новый логотип, теперь это просто синий квадрат, перечеркнутый крест-накрест. Нет, мы понимаем, упрощение дизайна сегодня в моде, но не до такой же степени... А вот дальше гораздо интереснее, на первый взгляд и не скажешь, что это Windows, никаких аналогий с предыдущими версиями и близко не просматривается, выглядит действительно свежо и интересно, особенно если сравнивать с одноцветными экранами с белым текстом в Windows 10. Как и ранее домашнее применение не предусматривает создания локального аккаунта, если есть подключение к сети, то система будет безальтернативно требовать входа через Microsoft Account, в варианте с рабочим или учебным применением доступен локальный вход, если выбрать пункт о присоединении к домену. В общем впервые после Windows 7 первое знакомство с системой выглядит современно и привлекательно. После первоначальной настройки нас встречает новый экран настройки, от однотонных цветов здесь тоже отказались, на наш взгляд стало только лучше. А вот дальше пошли крайне сомнительные решения, это мы о новом меню Пуск. Здесь, на наш взгляд, плохо все. У Microsoft прямо просматривается некая традиция - сначала ломать меню Пуск, а потом снова делать как было. Словно опыт Windows 8 ничему не научил, так что ждем очередного выхода в свет утилит делающих меню Пуск как в Windows 10.\nВерхнюю часть меню составляют закрепленные программы, это то, что предлагается на замену живым плиткам. Но по сравнению с живыми плитками это большой шаг назад. Значки в области закрепленных программ можно перемещать, но их нельзя группировать и нельзя изменять размеры области, в видимой ее части распложены 18 значков, остальное доступно при прокрутке.\nНапомним, что меню Пуск Windows 10 позволяло группировать значки в произвольном порядке, по три в ряд и растягивать размер самого меню практически на весь доступный размер экрана, что позволяло разместить все плитки в видимой области. А перетащив один значок на второй, можно было сгруппировать несколько значков на одной плитке, при нажатии на которые они раскрывались, как это сделано в мобильных устройствах. Все это позволяло удобно \u0026quot;набить\u0026quot; меню Пуск тем, что нужно в повседневной деятельности, распределив значки по группам в зависимости от назначения программ. Список программ при этом органично занимал левую часть меню, находясь в непосредственной близости - только подвинуть курсор. Теперь для того, чтобы попасть в него нужен дополнительный клик, само меню также выглядит убого, обширное пустое пространство справа абсолютно никак не используется, что вызывает ощущение какой-то примитивности. Блок рекомендаций также неотключаемый, из него можно убрать все значки, но он так и останется висеть пустым пространством, хотя на его месте можно было бы отображать закрепленные значки. Надеемся, что это только недоработка и к релизу все-таки дадут возможность более гибко настраивать видимую область меню.\nХорошо хоть поиск по-прежнему работает, достаточно просто начать набирать нужное наименование. В общем, если подвести промежуточные итоги по меню Пуск, то они неутешительные: видимая область стала меньше, возможности произвольной группировки и размещения значков стали сильно ограничены, для доступа к программам требуются дополнительные действия. Непонятно, чем руководствовались разработчики, разве что пошли на поводу у отдела маркетинга, которым нужно к релизу Windows 11 сделать так, чтобы было не похоже на предыдущую версию, ну это им удалось.\nСогласно другому мнению, которое вполне имеет под собой основания, новый Пуск был взят из Windows 10Х - очередного проекта мобильной ОС Microsoft, работы над которой были прекращены. Компания уже один раз попыталась скрестить ужа с ежом (десктоп и мобильные системы) в Windows 8, чем это закончилось напоминать не надо. Похоже здесь имеет место вторая попытка прогуляться по граблям.\nЭту же версию подтверждает и перемещение значков в центр панели задач, о чем уже успели раструбить все сетевые ресурсы. Либо сделано это в подражание доку macOS? Как бы то ни было, но такой подход вступает в противоречие со всем существующим пользовательским опытом, который на уровне мышечной памяти привык к тому, что Пуск - это левый нижний угол. Кроме того, у многих на панели задач закреплены часто используемые приложения, доступ к которым происходит также практически автоматически, так как они занимают одно и тоже место.\nПри выравнивании значков по центру при открытии или закрытии новых программ положение остальных значков будет постоянно смещаться, что приведет к промахам и дополнительным действиям при выполнении повседневных задач. К счастью, это легко решается и значки панели возвращаются на свое привычное место. Также в нижний ряд меню Пуск можно добавить иконки для доступа к настройкам и стандартным расположениям, которые в Пуск Windows 10 располагались слева по вертикали. Панелей управления по-прежнему две: классическая Панель и современное приложение Параметры. Самое плохое, что ни одна из них на сегодняшний день не является самодостаточной, какие-то настройки доступны только в приложении Параметры, а для каких-то нужно переходить в классическую Панель управления. И очень похоже, что с таким положением дел нам придется мириться еще достаточно продолжительное время. Из средств администрирования в системе по умолчанию уже установлен Windows Terminal и добавлен новый пункт меню Пуск - Windows Tools, который предоставляет быстрый доступ к целому набору классических инструментов, аналогов которым в современном интерфейсе нет. Такой подход можно только приветствовать, ранее администраторы самостоятельно формировали в меню Пуск наборы живых плиток с наиболее необходимыми инструментами. Для любителей персонализации в системе установлено сразу 6 тем: три светлых и три темных, хотя, если быть честными, то все вариации светлых или темных тем отличаются только обоями и используемыми цветами. Все это легко меняется стандартными средствами и доступно еще начиная с Windows 8. В этом плане у Microsoft всегда было тяжело с фантазией. А вот альтернативная светлая тема, как говорится - найдите 10 отличий. Также бросаются в глаза новые иконки Проводника, в частности разноцветные значки стандартных папок, хотя пользователи инсайдерских версий с ними знакомы уже довольно давно. Новые значки вызывают противоречивые впечатления: в целом они неплохи, но пестрый маскарад в стандартных папках на наш взгляд совершенно не нужен. Вполне можно было бы реализовать отличающиеся и запоминающиеся иконки в единой цветовой гамме. А так складывается впечатление, что пользователи уже не способны различать пиктограммы и для них, как для дрессированных обезьян, специально раскрасили папки, мол загрузки - это зеленая, а кино - фиолетовая. Не перепутай! Но именно целостность дизайна Windows до сих пор больная тема, если посмотреть на скриншот выше, то мы снова увидим там целый набор разных стилей значков, начиная с Windows 7, а если копнуть глубже, то местами значки и от Windows 9x отыскать можно. Современный дизайн - это хорошо, но может быть стоит пока взять паузу и просто привести всю систему к единому стилю?\nМожно ли поставить в систему русский язык? Можно, для этого нужно всего лишь скачать в настройках нужный языковой пакет, но качество локализации пока оставляет желать лучшего. Но не следует делать из этого никаких далеко идущих выводов, не забываем, что перед нами разрабатываемая версия, не предназначенная для публичного доступа. А вот что нам понравилось, так это новый способ привязки окон на экране, теперь вариантов их размещения гораздо больше, чем просто привязать окно к половине или четверти экрана, чтобы увидеть доступные шаблоны нужно щелкнуть правой кнопкой мыши по значку развёртывания окна, а затем выбрать в какой зоне мы хотим видеть текущее окно. Затем у нас на экране появится вторая зона и список открытых окон в ней, выбираем то окно, которое хотим расположить в этом месте. Точно также и с оставшейся областью, при этом границы областей являются подвижными, позволяя гибко менять пропорции разделения экрана, взаимная привязка окон при этом сохраняется. Такая функция должна понравиться владельцам мониторов с большой диагональю и разрешением, позволяющих одновременно работать с несколькими активными окнами. Одной из новинок Windows 11 является Windows Dashboard, который требует в обязательном порядке подключения Microsoft Account. Возможно, нас ждет что-то интересное? Но увы, это банальный набор виджетов погоды, курсов валют и новостей, без возможности все это гибко настроить, доступно только лишь указание интересующих тематик и возможность скрыть некоторые источники, все в лучших традициях Яндекс Дзен. А всего-то нужно было дать возможность пользователям самостоятельно выводит туда требуемые источники, скажем в виде RSS-лент. Добавить поддержку почтовых клиентов и сервисов, популярных мессенджеров, что позволило получить бы действительно полезный информационный хаб, собрав все входящие сообщения в одном месте. Современный пользователь и так перегружен потоком входящей информации, весь день что-то пиликает, мигает, всплывает и иногда в суете бывает трудно понять откуда пришло сообщение и насколько оно важно.\nЧто еще нового и интересного? Power Automate Desktop, о котором мы писали буквально вчера, стал частью системы, похоже Microsoft решил твердо продвигать роботизацию в массы и, возможно, скоро мы увидим какие-то стандартные потоки для решения повседневных задач. А Internet Explorer окончательно ушел в прошлое, в Windows 11 его нет, но можно включить режим совместимости со старым браузером в Microsoft Edge. В целом - невелика потеря, но до сих пор существует ряд приложений, особенно в корпоративной среде, которые безальтернативно требуют IE (привет личному кабинету ЕГАИС), возможно теперь что-то все-таки сдвинется с места.\nВыводы Перед тем, как делать выводы еще раз вспомним, что перед нами разрабатываемая версия, не предназначенная к публичному распространению. Она может содержать недоработки, ошибки, пробные решения, которые впоследствии будут изменены или вовсе не попадут в релиз. Все что мы пока можем сделать - это составить общее представление о Windows 11, окончательный результат мы увидим только после релиза или опубликования ознакомительной версии.\nЧто уже можно сказать? Революции не будет, изменение номера версии - чисто маркетинговый ход, под капотом остается привычная Windows 10, которая следует полугодовому расписанию выхода новых версий и не столь важно, как они будут называться. А если Microsoft сохранит текущий подход к лицензированию, когда новые версии предоставляются всем хоть раз купившим лицензию бесплатно, то для конечного пользователя вообще мало что изменится.\nЧто понравилось? Новая система привязки окон, как владельцу 2K монитора мне стало гораздо более удобно и комфортно делить рабочее пространство.\nЧто не понравилось? Новое меню Пуск. Это фактическая деградация и значительный шаг назад. На моем домашнем компьютере в меню Пуск 36 плиток, сгруппированных по назначению программ и все они находятся в видимой области. Также нельзя назвать хорошей идеей вынос списка приложений на отдельный экран, для доступа к которому нужен отдельный клик мыши.\nЧто касается дизайна, то в целом он не претерпел кардинальных изменений, да, новые значки, скругленные углы кнопок, но цельного облика системы до сих пор нет. То тут, то там в глаза лезут элементы оформления разных стилей, начиная от Windows 7.\nВ целом перед нами очередная версия Windows с новыми элементами дизайна, насколько они будут правильны и хороши покажет время, которое уже не один раз ставило все по своим местам.\n","id":"b1e2c2b6f1a212ad47536507f1cbffd9","link":"https://interface31.ru/post/windows-11-marketing-i-novye-eksperimenty-s-dizaynom/","section":"post","tags":["Microsoft","Windows 11","Рабочее место"],"title":"Windows 11 - маркетинг и новые эксперименты с дизайном"},{"body":"Не столь давно Microsoft сделала бесплатным для пользователей Windows 10 инструмент для роботизированной автоматизации процессов (RPA, Robotic Process Automation) - Power Automate Desktop. Инструмент, да и сама тема роботизации, для многих в новинку, но это одно из перспективных направлений и его однозначно следует осваивать. Power Automate Desktop предназначен, в первую очередь, для небольшого бизнеса и домашних пользователей, всех тех, кто регулярно делает одни и те же задачи составляющие определенную последовательность действий.\nСкажем сразу, роботизированная автоматизация процессов (RPA) - это совершенно отдельная область автоматизации, не связанная ни написанием скриптов, ни с программированием как таковым. Кому-то она может показаться несерьезной, но сегодня ей занимаются практически все технологические гиганты, включая Microsoft.\nИдея роботизации проста, специальная программа наблюдает за действиями пользователя в графическом интерфейсе, а затем воспроизводит их, руководствуясь некоторым сценарием. Это позволяет легко и без дополнительных затрат получать данные из одних приложений и передавать их в другие, даже если те являются закрытыми системами и не предоставляют никаких программных интерфейсов для взаимодействия. Также роботизация идеально подходит для выполнения сложных цепочек однотипных действий, высвобождая время человека для действительно творческого труда.\nЕще один весомый плюс - низкий порог входа. Для написания скриптов, не говоря уже о программировании, требуются достаточно серьезные знания как языка, так и системы. Для работы с RPA достаточно базовых знаний по информатике в объеме средней школы: переменные, циклы, условия и базовые принципы построения алгоритмов. Это позволяет самостоятельно работать с такими системами опытным пользователям, не прибегая к услугам программистов.\nНо роботизация не заменяет ни скрипты, ни программы, это еще одно направление, призванное облегчить труд человека поручив рутинные действия роботизированному процессу. Как пел в свое время Сыроежкин: \u0026quot;Вкалывают роботы, Счастлив человек!\u0026quot;, и то, что казалось недостижимым будущим еще в 80-х годах прошлого века теперь буднично входит в нашу жизнь.\nУстановка Power Automate Desktop Скачать Power Automate Desktop можно совершенно бесплатно с официальной страницы. Установка проста и не должна вызывать каких-либо затруднений, но отметим и поясним некоторые моменты.\nСегодня веб является важной частью нашей жизни и в браузере мы выполняем не меньшую часть работы, чем в обычных, настольных приложениях, поэтому достаточно важно роботизировать действия и с веб-приложениями. Для этого предназначены специальные драйвера для Microsoft Edge и Google Chrome, в других браузерах ваши возможности по работе с вебом будут несколько ограничены. В завершении установки программа снова предложит установить, но на этот раз расширение, для всех обнаруженных в системе поддерживаемых браузеров. Расширение отличается от драйвера тем, что имеет более скромные возможности, предусматривая работу с веб-приложениями посредством непосредственного взаимодействия с элементами веб-страницы. Советуем сразу перейти по ссылкам и установить необходимые расширения. По окончании установки не забудьте перезагрузить компьютер, инсталлятор сделать это не предлагает.\nСоздаем собственный поток: получаем, сохраняем и выводим данные В основе роботизации лежат потоки (flow), которые содержат определенные последовательности действий, которые должен выполнить робот. Откроем Power Automate Desktop и создадим новый поток, для чего следует нажать на кнопку Создать поток, после чего мы попадем в новое окно конструктора потока. Рабочее пространство организовано достаточно просто, слева представлены доступные действия, разделенные по группам, в центре список действий потока, справа переменные. Все достаточно просто и удобно.\nДля начала работы с программой давайте создадим какой-нибудь простой поток, который будет получать из системы какую-нибудь информацию, сохранять ее в файл и выводить на принтер. Не ищите в ней глубокого практического смысла, мы специально составили ее так, чтобы познакомить вас с основными приемами работы, сосредоточив их в одном задании.\nПрежде всего обратим внимание на группу действий Система, там представлено достаточно много вариантов взаимодействия с ней, мы можем запускать приложения и различные скрипты. В нашем случае выберем работу с классической командной строкой (CMD) для чего выберем действие Выполнить команду DOS и перетащим его в среднюю колонку. Откроется окно настройки действия, где укажем кодировку -cp866 и желаемую команду, в нашем случае это будет вывод таблицы маршрутизации, при необходимости можно указать рабочую папку.\nВнизу окна указаны переменные, которые будут добавлены в поток нашим действием, их три: вывод команды, вывод сообщения об ошибке и код завершения команды. Все они будут доступны в правой колонке. Теперь можно запустить отладку действия нажав кнопку Выполнить в верхнем ряду пиктограмм. После чего можно открыть нужную переменную и посмотреть ее содержимое. Как видим вывод команды получен из консольного приложения и хранится в одной из переменных потока. При создании реальных сценариев мы рекомендуем не создавать сразу больше количество действий, особенно если у вас недостаточно опыта, добавляйте действия одно за другим, проверяя их при помощи отладки, обязательно контролируя переменные. Это поможет лучше понять принципы действия программы и быстрее приобрести необходимый опыт.\nА мы тем временем двинемся дальше, чтобы записать текст в файл нам потребуется его создать, для этого перетащим в поток действие Файл - Получить временный файл, которое добавит новую переменную TempFile с именем временного файла. Затем добавим еще одно действие, Файл - Записать текст в файл, в настройках которого укажем в качествеПути к файлу переменную TempFile, а в качестве Текста для записи переменную CommandOutput. Выполним сценарий и откроем файл, указанный в переменной TempFile, в нем должен оказаться вывод команды. Ну так давайте же отправим его на печать! Но нет, есть одна проблема, он имеет расширение tmp и если мы попытаемся напечатать его, то система сообщит нам, что не знает как его открыть. Поэтому давайте переименуем его в обычный текстовый файл. Для этого используем действие Файл - Переименовать файлы. В качестве Файла для переименования снова укажем переменную TempFile, в Схеме переименования - Изменить расширение, Новое расширение - txt. В поток добавится новая переменная - RenamedFiles, но в отличии от TempFile это не путь к файлу, а список путей к переименованным файлам, пусть и состоящий из единственной строки. Теперь файл можно распечатать, для этого добавим действие Система - Печать документа. Обратите внимание, что переменная RenamedFiles - это список и нам надо напечатать только один его элемент, поэтому рядом с именем переменной списка в квадратных скобках укажем индекс элемента, нумерация начинается с нуля, т.е. для первого (и единственного) элемента следует указать RenamedFiles[0]. Если теперь мы выполним наш поток, то увидим, что откроется Блокнот с содержимым нашего файла и будет выполнена стандартная процедура печати на принтер по умолчанию, в нашем случае использован принтер Microsoft Print to PDF, поэтому идет сохранение результата печати в файл. Таким образом, достаточно несложно, в основном с помощью мыши мы создали первый работающий поток, освоили работу с переменными и списками, а также научились получать данные, сохранять их в файл и выводить на печать.\nУсложняем задачу: взаимодействуем с классическим приложением Наш предыдущий поток выполнял достаточно простые действия, которые легко выполнить скриптом, но мы сознательно не стали включать туда сложные действия, для того чтобы показать основные приемы работы с Power Automate Desktop. Теперь же усложним задачу: подключимся через TeamViewer к определенному узлу, сделаем скриншот рабочего стола и отправим его по электронной почте.\nЧтобы облегчить работу перейдем в меню Инструменты и запустим Средство записи для компьютера, также его можно запустить кнопкой в верхнем ряду пиктограмм. Подготовьтесь к записи: уберите все лишние окна, продумайте порядок действий, после чего нажмите Запись и выполните последовательность действий для повторения роботом. Если что-то пошло не так, остановите запись, нажмите Сбросить и повторите процесс. В нашем случае запустим TeamViewer, подключимся к нужному узлу и переведем фокус на окно подключения (достаточно клика по заголовку). В результате работы Средства записи мы получим список произведенных нами действий, внимательно изучим его и удалим лишние действия, если они имели место. Запустим отладку и убедимся, что поток открывает TeamViewer и подключается к нужному хосту. Теперь сделаем скриншот, также в имя файла скриншота мы включим текущую дату. Поэтому выполним подготовительные действия. Прежде всего получим текущую дату, для этого добавим действие Дата и время - Получить текущие дата и время, которое добавит переменную CurrentDataTime с типом Дата и, содержащую текущую дату и время.\nНо мы не можем добавить дату к строке имени файла, поэтому нам нужно предварительно преобразовать ее в строку нужного формата. Для этого используем действие Текст - Преобразовать дату и время в текст. В поле Дата и время для преобразования укажем переменную CurrentDataTime, а в поле Стандартный формат укажем Краткий формат даты. Результат преобразования будет присвоен новой переменной FormattedDateTime. Теперь перетащим в поток действие Система - Сделать снимок экрана. В настройках укажем, что нам нужно захватить Окно переднего плана, сохранить его в Файл, выберем формат изображения и в поле Файл изображения выберем путь и имя сохраняемого файла, после чего дополним его переменной с текущей датой.\n1СнимокЭкрана-%FormattedDateTime%.png Запустим отладку потока и убедимся, что в указанной папке появился файл скриншота с заданным именем. Теперь немного приберёмся за собой. Выделим последнее действие потока и снова запустим Средство записи для компьютера, включим запись и закроем окно подключения к узлу и сам TeamViewer. Убедимся, что лишних действий в запись не попало, а сами они расположены там, где нужно. Теперь перейдем в группу Эл. почта и добавим действие Отправить сообщение электронной почты. В разделе Сервер SMTP укажем параметры подключения к почтовому серверу. В разделе Общее заполняем само сообщение электронной почты: от кого, к кому, тема письма и т.д. В поле Вложения указываем путь к файлу скриншота точно также как он указан в действии Сделать снимок экрана. Еще раз запускаем наш поток... и получаем ошибку... Ничего страшного, каждая возникшая ошибка содержит всю необходимую информацию, достаточно ее просто просмотреть. В нашем случае сразу становится ясно, что ошибка возникла на стороне сервера, так как указанный пользователь не имеет права отправлять почту через SMTP. В ЯндексПочте внешний доступ по умолчанию отключен и его нужно явно включить в настройках. Теперь еще раз запустим отладку потока и убедимся, что все прошло успешно, а в почтовом ящике получателя появилось нужное письмо. Но что это? Вместо скриншота темный экран. Все просто, робот не человек, он делает строго то, что прописано в алгоритме действий. Сказано подключиться и сделать снимок экрана - подключится и сделает, но при удаленном подключении, в зависимости от качества канала связи, изображение удаленной системы может появиться не сразу, а с некоторой задержкой. Поэтому дадим нашему роботу указание немного подождать, для этого перед действием Сделать снимок экрана добавим действие Ожидание - Ожидать и укажем нужное время паузы в секундах. Теперь все будет как надо, на электронную почту придёт скриншот удаленной системы. Приведенные нами примеры всего лишь малая часть всех возможностей Power Automate Desktop, это действительно очень мощный и удобный инструмент для роботизированной автоматизации, позволяющий успешно решать как простые, так и сложные задачи. Также он прекрасно документирован, а доступ к нужным разделам справки можно получать сразу из приложения.\nА так как данный инструмент для нас новый, то данная публикация играет роль вводной, в дальнейшем, по мере освоения возможностей программы мы будем делиться с вами новыми материалами по роботизации рабочих процессов.\n","id":"50e599b529154ed349799bf9b22bb908","link":"https://interface31.ru/post/power-automate-desktop-robotiziruem-rutinu/","section":"post","tags":["Power Automate","Windows 10","Автоматизация","Рабочее место"],"title":"Power Automate Desktop - роботизируем рутину"},{"body":"Менеджер логических томов (LVM) - мощный и удобный инструмент, позволяющий гибко управлять дисковым пространством в Linux. Он позволяет абстрагироваться от физических носителей, выстраивая поверх них единую логическую структуру, налету изменять размеры разделов, добавлять или убирать диски. Еще одним распространенным сценарием является перенос группы томов LVM на новую систему, в данном материале мы расскажем, как сделать это правильно и безопасно.\nКак мы помним из теории, LVM состоит из трех уровней абстракции:\nPV, Physical volume, физический том - это физический диск, либо раздел на диске, если мы не можем использовать его целиком. VG, Volume group, группа томов - группа томов объединяет в себя физические тома и является следующим уровнем абстракции, представляя собой единое пространство хранения, которое может быть размечено на логические разделы. Эквивалентен обычному диску в классической системе. LV, Logical volume, логический том - логический раздел в группе томов, аналогичен обычном разделу, представляет из себя блочное устройство и может содержать файловую систему. Система и пользователь работают с самым верхним - логическим томом, ниже лежит группа томов, которая объединяет в себя физические носители. Если у нас возникает необходимость переместить структуру LVM в другую систему, то сделать это мы можем только с группой томов (VG, Volume group). Это логично, так как физический том не является самостоятельной единицей хранения данных в LVM, а логический том может располагаться на разных физических дисках.\nВ первую очередь следует выяснить какие физические диски входят в интересующую нас группу томов, это можно сделать командой:\n1pvscan Данная команда покажет все физические тома - PV и группы томов - VG, в которые они входят. В нашем случае есть две группы томов: ubuntu-vg в который входит раздел sda3 и test-vg включающий в себя диски sdb и sdc. Обратите внимание, если группа томов включает в себя разделы, то перенести ее на другую систему мы не сможем, либо придется переместить туда с физическим диском и остальные разделы. Но такая структура - явление достаточно редкое и обычно используется при установке системы для корневого раздела, который обычно никуда переносить не нужно.\nВ данном примере мы будем переносить группу томов test-vg и здесь сразу встает вопрос - как правильно отключить ее от системы? Для этого, прежде всего нужно выяснить какие службы используют логические тома, расположенные на этой группе томов. Это можно узнать при помощи команды:\n1lsof +D /точка_монирования_LV В показанном ниже примере из реально работающей системы логический том смонтирован в /video и его используют службы сервера видеонаблюдения Xeoma и Яндекс.Диск. Если группа томов содержит несколько LV, то выполняем данную команду для каждой точки монтирования.\nВыяснив, какие службы используют группу томов их следует остановить и, возможно, отключить из автозагрузки, по крайней мере до тех пор, пока вы их не перенастроите. Для этого используйте команды:\n1systemctl stop my_service 2systemctl disable my_service где my_service - имя интересующей службы.\nОстановив службы можно попробовать отмонтировать логические тома, для этого выполните:\n1umount /точка_монирования_LV Если операция не удалась, то повторно запускаем lsof и смотрим кто еще использует данный логический том. Не забудьте также удалить или закомментировать записи для монтирования томов в /etc/fstab, в противном случае система не сможет загрузиться после переноса группы томов.\nПосле того как вы отмонтировали все логические тома деактивируем группу томов:\n1vgchange -a n test-vg где vg-test - имя переносимой группы томов. После чего группу томов можно экспортировать:\n1vgexport test-vg Теперь систему можно выключить и физически перенести относящиеся к группе томов физические диски в новую систему.\nВ новой системе убедимся, что все подключенные физические тома определились системой:\n1pvscan В выводе команды мы должны увидеть физические тома, группу томов, к которой они относятся и статус экспортированных. Импортируем группу томов:\n1vgimport test-vg И активируем ее:\n1vgchange -a y test-vg Затем попробуем смонтировать в нужное расположение (указанная директория должна существовать):\n1mount /dev/test-vg/testvolume /test где test-vg - имя группы томов (VG), testvolume - имя логического тома (LV), а /test - точка монтирования. Если все прошло успешно, то можно вносить запись для постоянного монтирования раздела в /etc/fstab и настраивать нужные службы. Перенос группы томов можно считать успешной.\nКак видим, LVM - это просто и удобно. Вы можете не только гибко управлять своими устройствами хранения в рамках локальной системы, но и быстро переносить их между системами с сохранением данных и их структуры.\n","id":"4f552b120335143b3647d06c91183fb7","link":"https://interface31.ru/post/kak-perenesti-gruppu-tomov-lvm-v-druguyu-sistemu/","section":"post","tags":["Debian","Linux","LVM","Ubuntu Server"],"title":"Как перенести группу томов LVM в другую систему"},{"body":"L2TP - один из наиболее популярных VPN-протоколов, обладающий, благодаря IPsec, отличной безопасностью, достаточной простотой и широкой поддержкой со стороны всех современных ОС. Для работы с ним не требуется установка дополнительного ПО и какие-либо сложные настройки. Мы уже рассматривали настройку L2TP VPN-сервера на платформах Windows и Mikrotik, а теперь расскажем, как настроить аналогичный сервер в Linux, дистрибутивах основанных на Debian или Ubuntu.\nПеред тем, как приступать к работе над данной статьей мы внимательно изучили русскоязычный сегмент сети на предмет освещения данной темы и были весьма сильно удивлены. Большинство находящихся на первых страницах поиска ресурсов перепечатывает одну и ту же устаревшую инструкцию, даже в достаточно свежих публикациях. Но наш сайт с самого своего основания принципиально не занимается перепечатками (кроме переводов) и мы всегда проверяем на практике то, что рекомендуем нашим читателям. В этот раз нам пришлось потратить некоторое лишнее время на чтение документации, зато теперь мы можем предложить вам актуальный материал по настройке L2TP в Linux.\nВ качестве систем на тестовом стенде мы использовали Debian 10 и Ubuntu 20.04, но с некоторыми изменениями данная инструкция применима к любым версиям Linux со strongSwan версии 5.0 и выше.\nНастраиваем IPsec Именно с устаревшими настройками IPsec вам придется столкнуться в большинстве опубликованных инструкций. Нет, все даже будет работать, но вот безопасность такого решения окажется довольно низкой, не соответствующей современным требованиям. Поэтому, если у вас уже имеется настроенный экземпляр L2TP-сервера мы настоятельно советуем обновить его настройки.\nДля работы с IPsec мы будем использовать пакет strongSwan, установим его:\n1apt install strongswan Затем откроем файл настроек /etc/ipsec.conf и добавим в его конец следующие две секции:\n1conn rw-base 2 fragmentation=yes 3 dpdaction=clear 4 dpdtimeout=90s 5 dpddelay=30s 6 7conn l2tp-vpn 8 also=rw-base 9 ike=aes128-sha256-modp3072 10 esp=aes128-sha256-modp3072 11 leftsubnet=%dynamic[/1701] 12 rightsubnet=%dynamic 13 leftauth=psk 14 rightauth=psk 15 type=transport 16 auto=add Первая секция задает общие параметры: включает фрагментацию IKE и настраивает протокол обнаружения мертвых узлов (Dead Peer Detection, DPD), отвечающий за обнаружение неактивных клиентов. Вторая относится уже к L2TP-соединениям, указывая использовать транспортный режим IPsec, аутентификацию по общему ключу и задает используемые шифры. Приведенные значения являются рекомендуемыми и взяты из официальной документации strongSwan.\nОбщий ключ следует указать в файле /etc/ipsec.secrets, добавив в него следующую строку:\n1%any %any : PSK \u0026#34;mySharedKey\u0026#34; Где mySharedKey - общий ключ, так как от него зависит безопасность вашей VPN-сети мы рекомендуем использовать в качестве ключа случайно сгенерированную строку из букв, цифр и спецсимволов. Для этого можно воспользоваться командой:\n1openssl rand -base64 18 Результатом ее выполнения станет случайная строка длинной в 18 символов. 1systemctl restart strongswan В Ubuntu имя службы несколько иное - strongswan-starter, поэтому команда будет иметь вид:\n1systemctl restart strongswan-starter Настраиваем L2TP Для реализации функций L2TP-сервера предназначен пакет xl2tpd, для его установки выполните:\n1apt install xl2tpd Затем откройте файл настроек /etc/xl2tpd/xl2tpd.conf, раскомментируйте и приведите к следующему виду опции:\n1[global] 2port = 1701 3auth file = /etc/ppp/chap-secrets 4access control = no 5ipsec saref = yes 6force userspace = yes 7 8[lns default] 9exclusive = no 10ip range = 10.2.2.100-10.2.2.199 11hidden bit = no 12local ip = 10.2.2.1 13length bit = yes 14require authentication = yes 15name = l2tp-vpn 16pppoptfile = /etc/ppp/options.xl2tpd 17flow bit = yes Большая часть опций относится к настройке протокола L2TP и требует понимания его работы, поэтому мы на них останавливаться не будем. Разберем те опции, которые имеют существенное значение. Параметр auth file указывает на файл с данными для аутентификации, а pppoptfile - набор опций для PPP-соединения, которое используется внутри L2TP-туннеля, name - имя сервера, которое будет использоваться для поиска аутентификационных данных в файле chap-secrets.\nОпции local ip и ip range отвечают за локальный адрес сервера в VPN-сети и диапазон адресов для выдачи удаленным клиентам. Здесь можно использовать два подхода: выдавать клиентам адреса из диапазона локальной сети офиса и включить ProxyARP, в этом случае настраивать маршрутизацию на клиентах не требуется, они будут как-бы включены в общую сеть офиса на канальном уровне (L2), либо выдавать адреса из непересекающегося диапазона и использовать маршрутизацию. Автоматизировать создание маршрутов для Windows-клиентов можно с использованием PowerShell.\nДля настройки PPP перейдем в /etc/ppp и скопируем стандартный файл настроек:\n1cd /etc/ppp 2cp options options.xl2tpd Затем открываем файл /etc/ppp/options.xl2tpd на редактирование и приводим к следующему виду. Опции перечислены в порядке их следования, нужно раскомментировать их и указать нужное значение, если опция отсутствует, то ее следует добавить в конце файла.\n1asyncmap 0 2auth 3crtscts 4lock 5hide-password 6modem 7mtu 1460 8lcp-echo-interval 30 9lcp-echo-failure 4 10noipx 11refuse-pap 12refuse-chap 13refuse-mschap 14require-mschap-v2 15multilink 16mppe-stateful Если вы будете использовать ProxyARP то дополнительно раскомментируйте опцию:\n1proxyarp Также для Windows-клиентов можно передать настройку DNS-серверов, для этого добавьте опции:\n1ms-dns 192.168.1.1 2ms-dns 192.168.1.2 Это позволит настроить первичный и альтернативный DNS-сервера в системе.\nСохраним все внесенные изменения и перезапустим службу L2TP-сервера:\n1systemctl restart xl2tpd Строку со следующим сообщением можно проигнорировать, на работу VPN-сервера она не влияет:\n1xl2tpd[843]: setsockopt recvref[30]: Protocol not available Заключительным этапом настройки будет создание учетных записей для удаленных клиентов, для этого откроем файл /etc/ppp/chap-secrets и внесем следующую строку:\n1ivanov l2tp-vpn Pa$$word_1 * Первым указываем логин, затем имя службы, оно должно совпадать с тем, которое мы указали в опции name в xl2tpd.conf, после него идет пароль и IP-адрес клиента, символ * обозначает что можно присвоить любой адрес из выбранного диапазона. Если же требуется выдать клиенту постоянный адрес, то его следует указать явно, и он не должен входить в динамический диапазон указанный в ip range, например:\n1petrov l2tp-vpn Pa$$word_1 10.2.2.99 Для доступа к L2TP-серверу следует разрешить в брандмауэре входящие подключения к портам 500 UDP, 1701 UDP и 4500 UDP.\n","id":"7113ebec968d80cb759a0238a44d0911","link":"https://interface31.ru/post/nastraivaem-l2tp-vpn-server-na-platforme-linux/","section":"post","tags":["Debian","IPsec","L2TP","Strongswan","Ubuntu","VPN"],"title":"Настраиваем L2TP VPN-сервер на платформе Linux (Debian / Ubuntu)"},{"body":"Ошибка формата потока - одна из самых неприятных ошибок в работе 1С и вызывает панический ужас у многих администраторов и пользователей данной учетной системы. Ее появление обычно говорит о серьезных повреждениях базы данных и, чаще всего, наиболее верным решением будет восстановить базу из резервной копии. В случаях, когда это нежелательно или невозможно придется заняться восстановлением базы, но большинство инструкций в сети рассматривают данный вопрос только на примере MS SQL Server, а PostgreSQL если и касаются, то очень вскользь. Поэтому в данной статье мы постараемся исправить данный пробел.\nНачнем с того, что именно обозначает эта ошибка. Разработчики немногословны, никаких подробностей сообщение об ошибке не содержит: Столь же скупа и информация для технической поддержки: К возникновению данной ошибки приводит повреждение основной конфигурации информационной базы. Реже - кеша конфигурации информационной базы, в последнем случае устранить ошибку можно путем очистки кеша, для этого можете воспользоваться нашей утилитой 1:Tools (кто хочет поддержать нас - может скачать ее по ссылке с Инфостарта)\nСкачать 1:Tools (Зеркало на Инфостарте)\nMD5: 448277422B59EFA426CC51E4F3A52F53\nВ остальных случаях придется заниматься восстановлением непосредственно базы. В этом месте мы сразу внесем ясность и разделим сущности: информационная база 1С - это хранилище данных на уровне логики 1С:Предприятия которое описывается конфигурацией информационной базы. Т.е. именно здесь содержатся документы, справочники, регистры и т.д. и т.п., а повреждение конфигурации информационной базы делает невозможной работу с ними на этом уровне абстракции. База данных СУБД - это набор таблиц в которых хранятся как данные, так и конфигурация информационной базы 1С.\nПовреждение основной конфигурации информационной базы происходит именно на уровне логики 1С:Предприятия, база данных СУБД остается работоспособной и не содержит ошибок с точки зрения СУБД. Если это не так, то мы будем иметь дело с повреждением самой базы данных СУБД, а это уже совсем иная ситуация.\nВ зависимости от того, какая именно часть конфигурации ИБ оказалась повреждена база может не загружаться в обычном режиме, но загружаться в Конфигуратор, либо вообще не загружаться никак. Если доступен режим конфигуратора, то можно попробовать снять базу с поддержки и загрузить в нее исправную конфигурацию из файла, в некоторых случаях это приведет к успеху, в других может потребоваться сначала выявить и удалить сбойный элемент метаданных.\nВсе это достаточно сложно и не всегда приносит требуемый результат, поэтому проще и надежнее заменить конфигурацию информационной базы на заведомо исправную используя инструменты СУБД, в нашем случае PostgreSQL. В зависимости от используемой ОС (Windows или Linux) некоторые аспекты работы с PostgreSQL могут отличаться и это будет оговорено отдельно, в остальных случаях указанные команды применяются вне зависимости от платформы.\nПеред тем как начинать работу с PostgreSQL в Linuх последовательно повысим свои права для суперпользователя и затем войдем в систему от имени пользователя postgres:\n1sudo -s 2su postgres Если утилита sudo не установлена (такой вариант может быть в Debian), то:\n1su - 2su postgres В первом случае вам потребуется ввести пароль от текущей учетной записи, во втором - от учетной записи суперпользователя (root).\nЗатем обязательно сделаем копию информационной базы средствами СУБД. Получить список баз данных в кластере СУБД можно командой:\n1psql -l В Windows вам потребуется ввести пароль пользователя postgres. Выяснив имя необходимой базы данных выгрузим ее дамп командой:\n1#Linux 2pg_dump basename \u0026gt; ~/basename.psql 3 4#Windows 5pg_dump basename \u0026gt; D:\\backup\\basename.psql Где basename - имя нужной базы данных. Обратите внимание, что в Windows мы можем явно задать путь выгрузки дампа, а в Linux выгружаем его в домашнюю директорию пользователя postgres, т.е. /var/lib/postgresql.\nДля дальнейших действий нам потребуется развернуть на этом же сервере СУБД еще одну базу с точно такой же конфигурацией информационной базы, это может быть как старый бекап поврежденной базы, так и другая база такой же конфигурации, чистая установка или демо база. Главное, чтобы конфигурация новой базы с точностью до релиза совпадала с конфигурацией поврежденной.\nПосле чего откроем интерактивный терминал PostgreSQL в котором будем производить все последующие действия:\n1psql В Windows вы можете получить сообщение:\n1ПРЕДУПРЕЖДЕНИЕ: Кодовая страница консоли (866) отличается от основной 2 страницы Windows (1251). 3 8-битовые (русские) символы могут отображаться некорректно. В этом случае выполните:\n1 \\! chcp 1251 Теперь подключимся к исправной базе:\n1\\с newbasename где newbasename - имя исправной базы данных. При этом в строке приглашения появится имя подключенной базы.\nИз нее мы выгрузим таблицу config в которой находится основная конфигурация информационной базы.\n1#Linux 2COPY config TO \u0026#39;/var/lib/postgresql/config_OK.txt\u0026#39;; 3 4#Windows 5COPY config TO \u0026#39;D:/backup/config_OK.txt\u0026#39;; Обратите внимание, при указании пути для операционной системы Windows вы также должны использовать прямой, а не обратный слеш. Также служба СУБД должна иметь права на запись в целевую аудиторию, проще всего это сделать выдав полные разрешения для пользователя Все.\nПереподключимся к поврежденной базе:\n1\\с basename На всякий случай, также сохраним содержимое таблицы config:\n1#Linux 2COPY config TO \u0026#39;/var/lib/postgresql/config_ERR.txt\u0026#39;; 3 4#Windows 5COPY config TO \u0026#39;D:/backup/config_ERR.txt\u0026#39;; После чего очистим сбойную таблицу:\n1DELETE FROM config; И загрузим в нее данные из исправной информационной базы:\n1#Linux 2COPY config FROM \u0026#39;/var/lib/postgresql/config_OK.txt\u0026#39;; 3 4#Windows 5COPY config FROM \u0026#39;D:/backup/config_OK.txt\u0026#39;; Для выхода из терминала PostgreSQL введите:\n1\\q Если все сделано правильно, то поврежденная конфигурация информационной базы будет заменена на исправную и ее работоспособность будет восстановлена.\nВ некоторых случаях оказывается повреждена не основная конфигурация информационной базы, а конфигурация, открытая на редактирование в Конфигураторе. Внешне это проявляется как невозможность загрузить информационную базу в этом режиме. Для исправления этой ошибки достаточно очистить таблицу configsave:\n1DELETE FROM configsave; Как видим, устранение ошибки формата потока средствами СУБД PostgreSQL достаточно несложно, однако требует некоторых навыков работы с данной СУБД. Но если вы будете внимательно и вдумчиво следовать нашей инструкции, то проблем у вас возникнуть не должно.\n","id":"4f3996e8f2d0859e58e2c7cef96f6fdb","link":"https://interface31.ru/post/oshibka-formata-potoka-vosstanovlenie-bazy-pri-ispolzovanii-postgresql/","section":"post","tags":["1С Предприятие 8.х","PostgreSQL","Восстановление данных"],"title":"Ошибка формата потока. Восстановление базы при использовании СУБД PostgreSQL"},{"body":"Локальные учетные записи являются слабым звеном в вопросе обеспечения безопасности Active Directory, позволяя получить доступ к системе в обход существующих политик, особенно если это учетные записи группы локальных администраторов. Поэтому, если безопасность для вас играет не последнюю роль, то локальные учетные записи следует отключить, лучше всего сразу после установки ОС. Но если по какой-либо причине это не было сделано, то самое время выполнить отключение централизовано, а поможет нам в этом инструмент групповых политик.\nОтключаем встроенную учетную запись Администратора Открываем оснастку Управление групповой политикой, создаем новую политику и открываем ее на редактирование. Переходим в Конфигурация компьютера - Настройка - Параметры панели управления - Локальные пользователи и группы, где выполняем действие Создать - Локальный пользователь. В открывшемся окне выбираем: Действие - Обновить, Пользователь - Администратор (встроенная учетная запись), а также устанавливаем флаги Отключить учетную запись и Срок действия учетной записи не ограничен. Удаляем учетные записи из группы локальных Администраторов Кроме локального Администратора в группу Администраторов входит как минимум первая созданная на компьютере учетная запись, также там могут быть и другие учетные записи. В целях безопасности правильно будет удалить их из этой группы, т.е. лишить привилегий локального Администратора. Данную настройку можно добавить в уже созданную нами политику.\nПереходим в Конфигурация компьютера - Настройка - Параметры панели управления - Локальные пользователи и группы, где выполняем действие Создать - Локальная группа. Затем указываем следующие настройки: Действие - Обновить, Имя группы - Администраторы (встроенная учетная запись), ниже устанавливаем флаги Удалить всех пользователей-членов этой группы и Удалить все группы-члены этой группы. Затем добавляем в Члены группы группу Администраторы домена и группу техподдержки (если есть). Отключение локальных учетных записей Стандартными средствами GPO отключить произвольные локальные учетные записи нельзя, поэтому для этих целей будем использовать скрипт. Создайте новый файл и внесите в него следующее содержимое:\n1\u0026#39;************************************************* 2\u0026#39; File: Disable Local User Accounts.vbs 3\u0026#39; Author: Andrew Barnes 4\u0026#39; version: 1.0 Date: 07 September 2009 By : Andrew D Barnes 5\u0026#39; Lists local accounts and disables all except local admin and ASPNET 6\u0026#39;************************************************* 7Set objShell = CreateObject(\u0026#34;Wscript.Shell\u0026#34;) 8Set objNetwork = CreateObject(\u0026#34;Wscript.Network\u0026#34;) 9 10strComputer = objNetwork.ComputerName 11 12Set colAccounts = GetObject(\u0026#34;WinNT://\u0026#34; \u0026amp; strComputer \u0026amp; \u0026#34;\u0026#34;) 13 14colAccounts.Filter = Array(\u0026#34;user\u0026#34;) 15 Message = Message \u0026amp; \u0026#34;Local User accounts:\u0026#34; \u0026amp; vbCrLf \u0026amp; vbCrLf 16 17For Each objUser In colAccounts 18 If objUser.Name \u0026lt;\u0026gt; \u0026#34;Administrator\u0026#34; AND objUser.Name \u0026lt;\u0026gt; \u0026#34;ASPNET\u0026#34; Then 19 Message = Message \u0026amp; objUser.Name 20 If objUser.AccountDisabled = TRUE then 21 Message = Message \u0026amp; \u0026#34; is currently disabled\u0026#34; \u0026amp; vbCrLf 22 Else 23 Message = Message \u0026amp; \u0026#34; was enabled\u0026#34; \u0026amp; vbCrLf 24 objUser.AccountDisabled = True 25 objUser.SetInfo 26 End If 27 End If 28Next 29 30\u0026#39; Initialize title text. 31Title = \u0026#34;Local User Accounts By Andrew Barnes\u0026#34; 32objShell.Popup Message, , Title, vbInformation + vbOKOnly Сохраните его с расширением VBS, например, LocalAccountDisable.vbs\nРазместите этот скрипт в общей папке? к которой имеют доступ все компьютеры, для примера будем использовать \\\\fileserver\\share\\LocalAccountDisable.vbs\nЗатем создадим новую или отредактируем уже существующую политику. Переходим в Конфигурация компьютера - Политики - Конфигурация Windows - Сценарии (запуск/завершение), открываем сценарий Автозагрузка и добавляем туда полный путь к нашему скрипту. Данную политику также нацеливаем и линкуем на OU с компьютерами.\nСкачать LocalAccountDisable.zip\nMD5: C3DFAD6A05684CA91C4184737C8B3BAD\n","id":"60ea043bbe83d00a24348d044c6d96b2","link":"https://interface31.ru/post/avtomaticheskoe-otklyuchenie-lokalnyh-uchetnyh-zapisey-cherez-gpo/","section":"post","tags":["Active Directory","GPO","Безопасность"],"title":"Автоматическое отключение локальных учетных записей через GPO"},{"body":"Продолжая тему VPN для удаленного доступа, сегодня мы хотим рассмотреть настройку SSTP-сервера на базе оборудования Mikrotik. Это не самый распространенный и популярный протокол, но имеющий ряд особенностей и преимуществ, главное из которых - использование стандартного протокола HTTPS для установления соединения, что делает SSTP-трафик неотличимым от обычного и дает возможность работать из любой точки, где есть интернет, проходя через NAT, брандмауэры и даже прокси-сервера. При этом его достаточно просто настроить и использовать, о чем мы расскажем в данной статье.\nПрактически все из рассмотренных нами ранее протоколов VPN имеют те или иные ограничения, которые могут помешать установить соединение в условиях ограниченного доступа к сети интернет. Особенно это актуально для публичных и гостиничных сетей, где может быть заблокировано практически все, кроме обычного HTTP/HTTPS. Именно в таких сценариях раскрываются сильные стороны протокола SSTP и отходят на второй план слабые. Как мы уже говорили раньше - нет универсального VPN-решения, каждое из них имеет свои особенности и недостатки, поэтому для каждой задачи надо выбирать именно то, что поможет решить ее наилучшим образом.\nSSTP, как технологию удаленного доступа следует рассматривать в первую очередь для тех клиентов, которые могут работать из самых различных мест и должны всегда иметь возможность быстро подключиться к корпоративной сети соблюдая высокие требования безопасности. К недостаткам следует отнести повышенные накладные расходы и связанную с этим невысокую производительность, но это общий недостаток всех VPN-протоколов поверх TCP.\nВ случае использования оборудования Mikrotik встает вопрос высокой нагрузки на процессор для моделей без аппаратной поддержки AES. При этом вне зависимости от аппаратной поддержки шифрования скорость канала для недорогих моделей вряд-ли превысит 20-25 МБит/с , вне зависимости от доступной ширины канала. Более подробно об этом можете прочитать в нашей статье Производительность младших моделей Mikrotik hEX и hAP. Экспресс-тестирование. Поэтому мы не советуем использовать SSTP для каналов, предполагающих высокую загрузку, но можем рекомендовать как надежное и безопасное средство удаленного доступа для сотрудников, часто работающих вне стационарных рабочих мест.\nСоздание центра сертификации и выпуск сертификатов Так как SSTP использует HTTPS для установления защищенного соединения нам понадобится сертификат сервера, поэтому создадим собственный центр сертификации (CA) и выпустим необходимый сертификат. Если в вашей сети уже имеется развернутая инфраструктура PKI, то можете выпустить сертификат с ее помощью, мы же рассмотрим использование для этих целей собственных возможностей RouterOS.\nПеред тем, как приступить к созданию центра сертификации убедитесь, что на роутере правильно настроено текущее время и часовой пояс, а также включена синхронизация времени через NTP.\nСначала выпустим корневой сертификат, для этого перейдем в System - Certificate и создадим новый сертификат заполнив поля как указано на рисунке, красным обозначены обязательные к заполнению. Перейдем на вкладку Key Usage и оставим только crl sign и key cert. sign, затем сохраним сертификат нажав Apply, и подпишем его кнопкойSign, в открывшемся окне следует указать CA CRL Host, для которого можно использовать один из IP-адресов роутера, в нашем случае это localhost. Если же при помощи данного CA вы собираетесь выпускать сертификаты для других серверов, то следует указать доступный для них адрес, внутренний или внешний. В терминале все это можно быстро сделать командами:\n1/certificate 2add name=CA country=\u0026#34;RU\u0026#34; state=\u0026#34;31\u0026#34; locality=\u0026#34;BEL\u0026#34; organization=\u0026#34;Interface LLC\u0026#34; common-name=\u0026#34;CA\u0026#34; key-size=2048 days-valid=3650 key-usage=crl-sign,key-cert-sign 3sign CA ca-crl-host=127.0.0.1 Затем выпустим сертификат сервера. При этом надо определиться каким образом вы будете подключаться к серверу по IP-адресу или FQDN (доменному имени), второй вариант более предпочтителен, так как при смене адреса вам придется перевыпустить сертификат сервера и изменить настройки всех клиентских подключений.\nЗаполнение полей практически ничем не отличается от предыдущего сертификата, за исключением Common Name и Subject Alt. Name, в них указываем FQDN или IP-адрес сервера, для поля Subject Alt. Name также указываем тип: DNS - для доменного имени или IP для адреса. Срок действия сертификата также имеет смысл сделать достаточно большим, в нашем случае 10 лет. На закладке Key Usage устанавливаем digital-signature, key-encipherment и tls-server и подписываем сертификат сервера, для этого в поле CA выберите ранее выпущенный корневой сертификат. В терминале:\n1/certificate 2add name=sstp.interface31.lab country=\u0026#34;RU\u0026#34; state=\u0026#34;31\u0026#34; locality=\u0026#34;BEL\u0026#34; organization=\u0026#34;Interface LLC\u0026#34; common-name=\u0026#34;sstp.interface31.lab\u0026#34; subject-alt-name=DNS:\u0026#34;sstp.interface31.lab\u0026#34; key-size=2048 days-valid=3650 key-usage=digital-signature,key-encipherment,tls-server 3sign sstp.interface31.lab ca=\u0026#34;CA\u0026#34; При подключении через SSTP клиент прежде всего устанавливает с сервером защищенное соединения, а для этого ему нужно проверить сертификат и убедиться в его подлинности, в противном случае продолжение соединения будет невозможным. Чтобы клиентские системы доверяли нашим сертификатам нам нужно будет установить на них корневой сертификат нашего CA.\nДля этого выберем корневой сертификат в System - Certificate, щелкнем на нем правой кнопкой мыши и нажмем Export, в поле Type ставим PEM, пароль не указываем, так как нам нужен только сертификат, без закрытого ключа. Закрытый ключ центра сертификации является секретным и никогда не должен покидать пределы роутера. В терминале сертификат можно экспортировать командой:\n1/certificate 2export-certificate CA Найти и скачать выгруженный сертификат можно в разделе Files.\nНастройка SSTP VPN-сервера Перед тем как браться за настройку сервера следует определиться со схемой доступа к сети, существуют два основных варианта: Proxy ARP, когда адреса удаленным клиентам выдаются из диапазона основной сети и они получают доступ без дополнительных настроек, и маршрутизация, когда диапазон адресов для VPN-клиентов не пересекается с основной сетью, а для доступа в нее будет необходимо указать маршруты, этот процесс можно автоматизировать с помощью PowerShell.\nПосле этого перейдем в IP - Pool и создадим новый пул адресов для выдачи VPN-сервером, количество адресов в пуле не должно быть меньше предполагаемого количества клиентов. В терминале:\n1/ip pool 2add name=sstp_pool ranges=10.20.0.100-10.20.0.199 Затем перейдем в PPP - Profiles и создадим новый профиль, в поле Local Address введем локальный адрес VPN-сервера, он должен относиться к тому же диапазону что и выделенный выше пул адресов, который следует указать в поле Remote Address, остальные настройки оставляем по умолчанию. Или выполним команду:\n1/ppp profile 2add local-address=10.20.0.1 name=SSTP-profile remote-address=sstp-pool Затем переместимся в PPP - Secrets и создадим учетные записи пользователей, указываем имя пользователя, пароль, в поле Service выбираем sstp, что ограничит действие учетной записи только SSTP-сервером, если оставить any, то учетка сможет подключаться к любому сервису. В поле Profile указываем созданный нами профиль. Эти же действия в командной строке:\n1/ppp secret 2add name=Ivanov password=Pa$$word profile=SSTP-profile service=sstp Теперь, когда все готово, настроим сам сервер. Для этого перейдем в PPP - Interface и нажмем кнопку SSTP Server. Включим его, установив флаг Enabled, в поле Default Profile выберем созданный нами профиль, в разделе Authentication оставим только mschap2, в поле Certificate указываем сертификат сервера. Дальнейшие настройки отвечают за повышение уровня безопасности: TLS Version - only-1.2 не разрешает использование устаревших версий TLS, Force AES - заставляет принудительно использовать алгоритм шифрования AES256, PFS включает совершенную прямую секретность (Perfect forward secrecy), которая формирует уникальный сессионный ключ для каждого подключения, что делает невозможным расшифровку сессии даже при наличии закрытого ключа. В терминале для включения и настройки сервера выполните:\n1/interface sstp-server server 2set authentication=mschap2 certificate=sstp.interface31.lab default-profile=SSTP-profile enabled=yes force-aes=yes pfs=yes tls-version=only-1.2 На этом настройка закончена, сервер готов принимать подключения.\nНастройка подключения клиента в Windows Как мы уже говорили, для того чтобы клиент мог проверить подлинность сервера нам необходимо импортировать корневой сертификат, переместим его на клиента и установим в Расположение хранилища - Локальный компьютер: Хранилище сертификатов - Доверенные корневые центры сертификации: Затем создаем подключение, в котором указываем Тип VPN - Протокол SSTP и Тип данных для входа - Имя пользователя и пароль, здесь же вводим адрес сервера и учетные данные. После чего в свойствах подключения на закладке Безопасность убедимся, что в разделе Проверка подлинности указан только протокол MS-CHAP v2. Настройка клиента закончена, можно подключаться.\nНастройка подключения клиента в Linux В используемых нами дистрибутивах Linux нет штатного SSTP-клиента, однако есть сторонняя разработка, которой мы и воспользуемся. Все нижесказанное будет справедливо для дистрибутивов основанных на Debian и Ubuntu, если у вас иная система обратитесь на страницу проекта.\nПроще всего владельцам Ubuntu, им достаточно просто подключить PPA, ниже приведен пример для Ubuntu 18.04, для других систем просто измените кодовое название дистрибутива:\n1deb http://ppa.launchpad.net/eivnaes/network-manager-sstp/ubuntu bionic main 2deb-src http://ppa.launchpad.net/eivnaes/network-manager-sstp/ubuntu bionic main В Debian процесс немного более сложный, сначала получим и установим ключ репозитория проекта:\n1apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 61FF9694161CE595 Затем создадим файл с указанием источников пакетов:\n1touch /etc/apt/sources.list.d/sstp-client.list И внесем в него следующие строки:\n1deb http://ppa.launchpad.net/eivnaes/network-manager-sstp/ubuntu eoan main 2deb-src http://ppa.launchpad.net/eivnaes/network-manager-sstp/ubuntu eoan main Обновим список пакетов и установим клиент:\n1apt update 2apt install network-manager-sstp После чего появится возможность создать SSTP-соединение штатными средствами Network Manager. Настройки несложные: указываем адрес сервера, учетные данные и сертификат CA, у которого предварительно следует изменить расширение на PEM. Если вы все сделали правильно, то соединение будет установлено.\n","id":"f64c407a076c8fbc243b724aa5d336ee","link":"https://interface31.ru/post/nastroyka-sstp-vpn-servera-na-routerah-mikrotik/","section":"post","tags":["MikroTik","SSTP","VPN","Сетевые технологии"],"title":"Настройка SSTP VPN-сервера на роутерах Mikrotik"},{"body":"Windows 10 - во многом удивительная операционная система. Вот уже на протяжении многих лет разработчики пытаются кардинально пересмотреть пользовательский интерфейс и отказаться от старых инструментов настройки к новым параметрам. В итоге получается затянувшаяся жизнь \u0026quot;на два дома\u0026quot;, когда одни настройки доступны только в панели управления, а другие только в параметрах. Но это еще полбеды, гораздо хуже, когда левая рука не знает, что делает правая и в итоге перестают работать такие мощные и привычные администратору вещи, как групповые политики.\nВзаимоотношения между пользователями и автоматическим обновлением в Windows 10 нельзя назвать безоблачными. Сделав обновления обязательными, Microsoft, несомненно, стремилась сделать как лучше, но получилось, как всегда. Новая система с неочевидным поведением и невнятными настройками вызвала волну всеобщей критики, потому как начать перезагружаться компьютер мог в самый неподходящий момент.\nПозже в настройки добавили рабочие часы, возможность отложить обновления и ряд политик, позволяющих еще более гибко настраивать поведение системы на уровне организации. Одна из таких политик - Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи. Она находится в Конфигурация компьютера - Административные шаблоны - Компоненты Windows - Центр обновления Windows и при ее включении компьютера не будет перезагружен после установки обновлений до тех пор, пока в системе есть выполнивший вход пользователь, безотносительного того, работает он сейчас или нет. Но при этом возникает другая проблема, пользователи Windows 10 перестают получать уведомления о том, что обновления установлены и компьютер требуется перезагрузить. Если рабочая станция не выключается продолжительное время, то это может привести к тому, что установка обновлений начнется при выключении или перезагрузке компьютера в самый неподходящий момент. Еще хуже, если компьютер в принципе не выключается и через месяц на недообновленную систему попытается установиться следующее обновления, последствия могут быть самые разнообразные, которые опять же дадут о себе знать в неподходящее время. Для уведомления пользователя о необходимости перезагрузки существует политика Настройка уведомлений об обязательном автоматическом перезапуске для обновлений, но она не работает. Скорее всего это связано с тем, что настройку уведомлений переместили из классической Панели управления в приложение Параметры, где она располагается в Обновления и безопасность - Центр обновления Windows - Дополнительные параметры. В настоящий момент нет способа включить этот параметр при помощи политик, но можно управлять им через реестр. За включение показа уведомлений отвечает следующий ключ реестра:\nWindows 10 1703 - 1803 включительно\n1HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsUpdate\\UX\\Settings\\RestartNotificationsAllowed Windows 10 1809 и последующие выпуски\n1HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsUpdate\\UX\\Settings\\RestartNotificationsAllowed2 Ключ имеет тип REG_DWORD и значение 1 (десятичное) включает показ уведомлений.\nК счастью, настройки реестра тоже можно распространять через GPO. Для этого создадим новую политику, откроем ее на редактирование, перейдем в Конфигурация компьютера - Настройка - Конфигурация Windows - Реестр, где добавим новую запись со следующими значениями полей:\nДействие - Обновить Куст - HKEY_LOCAL_MACHINE Путь раздела - HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsUpdate\\UX\\Settings Имя параметра - RestartNotificationsAllowed2 Тип параметра - REG_DWORD Значение - 1 База - десятичный. Если ваш парк компьютеров содержит разные версии Windows 10, то создайте две записи с разными ключами реестра, применится только необходимая. Данную политику следует применять к OU (подразделениям) с компьютерами, т.к. применяется она на уровне компьютера.\nСледует отметить - данный способ не блокирует опцию в приложении Параметры и она может быть выключена пользователем, но это не составляет особой проблемы, так как при очередном обновлении групповых политик параметр снова будет активирован.\n","id":"d468e65219fc3c4f4811c345c0d0ada7","link":"https://interface31.ru/post/kak-cherez-gpo-vklyuchit-zapros-na-perezagruzku-posle-ustanovki-obnovleniy/","section":"post","tags":["Active Directory","GPO","Windows 10","Windows Update"],"title":"Как через групповые политики включить запрос на перезагрузку после установки обновлений для Windows 10"},{"body":"Существуют вещи настолько привычные, что кажется все про них знают, но это весьма обманчивое впечатление. Да, о них почти все знают, почти все используют, но мало кто представляет происходящие при этом процессы, скрытые за привычной внешней формой инструмента. При этом те, кто знает не спешат делиться, ведь это \u0026quot;общеизвестно\u0026quot;, а те, кто не знает стесняются спросить по той же самой причине. Но мы не будем стесняться, а подробно расскажем о том, что делает каждая опция данного инструмента, заглянув каждый раз немного глубже простого описания.\nДавно известно: как вы лодку назовете - так она и поплывет. Это в полной мере применимо к такому известному инструменту как Тестирование и исправление информационной базы, название выбрано крайне неудачно, так как предполагает, что использовать представленные в нем возможности следует при возникновении проблем с информационной базой и исправлении ошибок. На самом деле это не так. Любой имеющий опыт работы с \u0026quot;серьезными\u0026quot; СУБД найдет в этом списке привычные ему инструменты обслуживания баз данных, которые следует применять регулярно для поддержания высокой производительности сервера. Но речь сейчас не о них, а о начинающих, либо имеющих к 1С опосредованное отношение. Проверка логической целостности информационной базы проверяет и исправляет логические ошибки в структурах таблиц\nЧто это за ошибки, откуда они берутся, чем чреваты? Кто в теме - тот знает, а кто нет? Спросить? Да как бы неудобно, это же все знают... Вот и сводится большинство \u0026quot;знания\u0026quot; к тому, как правильно расставить в этой форме галочки и не забыть перед этим обязательно сделать резервную копию, а то мало ли...\nПоэтому давайте разбираться, мы специально упростили многие вопросы, постаравшись сделать их понятными даже тем, кто имеет смутное представление о структуре и принципах работы баз данных.\nРеиндексация таблиц информационной базы Начнем с того, что такое индексы и для чего они нужны. Если рассматривать базу данных логически - то это некая совокупность связанных друг с другом таблиц, которые в свою очередь содержат какие-либо данные. Физически таблицы хранятся на диске в виде страниц и чем больше размер таблицы, тем большее количество страниц она будет содержать.\nДопустим у нас есть некая таблица и мы хотим получить из нее все данные, связанные с фамилией Иванов. Для этого программе нужно последовательно считать все страницы, принадлежащие данной таблице и найти в них записи, соответствующие запросу. Но ведь это чудовищно неэффективно, скажет внимательный читатель и будет прав. Что же делать? К счастью, все уже давно придумано. Хранение данных в СУБД можно сравнить с библиотекой, где таблицы - это залы библиотеки, а страницы - стеллажи. И когда вам нужна какая-то книга библиотекарь ведь не обходит физически все стеллажи, а сразу идет куда надо и приносит вам то, что вы просили. Чтобы быстро искать книги в библиотеках существуют каталоги, где книги перечислены в упорядоченном виде, и каждая карточка содержит сведения о том, где именно хранится тот или иной экземпляр.\nВ нашем случае роль такого каталога выполняет индекс. Это - специальный набор записей, связанный с определенным ключом - полем таблицы, в нашем случае фамилией, и указывающий на каких страницах хранятся интересующие записи. После того как мы создали индекс программе больше не нужно последовательно считывать всю таблицу, потому что известно, что записи, связанные с ключом Иванов, хранятся только на первой и третьей страницах. Реиндексация - это простой и достаточно недорогой способ повысить эффективность работы с информационной базой, причем эффект может быть виден сразу, особенно в файловых базах. Поэтому реиндексацию делать нужно и желательно регулярно, включив ее в обязательный план регламентного обслуживания информационных баз.\nПроверка логической целостности информационной базы Если говорить о СУБД, то любая система управления базами данных, в том числе и та, которая используется файловой версией 1С, обеспечивает целостность данных встроенными средствами и вам вряд ли придется заниматься этим вопросом, если только, конечно, не произошло физического повреждения базы данных. Как мы уже говорили выше, база данных - это набор взаимосвязанных таблиц и самой СУБД в общем то все равно что мы храним в этих таблицах, для нее таблица Документа ничем не отличается от таблицы Справочника, кроме состава полей.\nНо на уровне информационной базы 1С существует совсем иной набор объектов: Справочники, Документы, Регистры сведений и накопления и т.д. и т.п. При этом они связаны определенной внутренней логикой. Так элементы справочника могут иметь иерархическую структуру, являться подчиненными для другого справочника, а документы быть основанием для других документов, формировать проводки, записи регистров и т.д. и т.п. В процессе работы данная логика может быть нарушена, как по причине ошибок в программе, так и в результате некоторых действий пользователя.\nДавайте рассмотрим следующую схему, отражающую некоторый набор бизнес-логики. У нас есть два документа: Реализация и Оплата, которые делают движения по некоторым регистрам. Так при реализации мы списываем нужное количество товара со склада и вносим в регистр взаиморасчетов задолженность покупателя. В момент оплаты мы вносим полученную сумму в регистр денежных средств и закрываем задолженность покупателя по отгрузке полностью или частично. Но как мы определим, какую именно задолженность погасил клиент? А для этого мы введем в документе оплата обязательное поле Основание, в котором будем указывать нужную реализацию. При этом документ Оплата будет являться подчиненным к документу Реализация и в случае его отмены также должен быть отменен, так как перестает существовать основание для оплаты. Теперь представим, что в результате какой-то нештатной ситуации или некорректных действий пользователя у нас в документе Оплата пропала ссылка на документ основание, т.е. нарушилась структура подчиненности. Найти такую ошибку будет не так-то просто. Потому что все записи в базе данных останутся, и каждая из них по отдельности будет верная. Так правильным останется количество товаров на складах и суммы денежных средств предприятия, а вот взаиморасчеты враз станут неверны. Внешне это может проявляться так: отчеты по реализациям и оплатам от контрагента совпадают, а вот отчет по взаиморасчетам или акт сверки формируется неправильно. При этом вы можете раз за разом пересчитывать суммы руками, все будет сходиться, но отчет снова и снова будет давать неверный результат.\nПоэтому во всех подобных случаях, когда отчеты показывают неверные результаты или не сходятся друг с другом, следует запускать проверку логической целостности. Но не следует ожидать от нее какого-либо чуда, потому что она способна исправить только некоторые, самые очевидные ошибки (проводка без регистратора, неверный родитель элемента справочника и т.д.), в остальных случаях потребуется анализ ситуации и ручное исправление обнаруженных проблем. При этом нарушение логической целостности очень часто бывает связано с нарушением ссылочной целостности, о которой мы поговорим ниже.\nКак часто нужно запускать эту проверку? Время от времени, особенно в файловых базах с обязательным изучением лога проверки, чем раньше вы узнаете о возможных проблемах в структуре данных и устраните их - тем лучше.\nПроверка ссылочной целостности информационной базы Данная проверка является одним из вариантов проверки логической целостности базы и выявляет проблемы со ссылками на отсутствующие элементы базы данных. Как мы уже говорили, база - это набор связанных между собой таблиц. В одной из них мы можем хранить контрагентов, в другой номенклатуру, в третьей - список складов, а внося запись о реализации товаров просто делаем ссылки на нужные элементы других таблиц. Например, наш условный документ Реализация может ссылаться на справочники Контрагенты, Номенклатура, Склады, выбирая и указывая в документе соответствующие значения мы не создаем дополнительных записей в таблице реализации, а даем ссылки на элементы связанных таблиц. Контроль ссылочной целостности является подмножеством контроля логической целостности и осуществляется на уровне конфигурации. С ним сталкивался каждый, кто пытался удалить какой-либо объект их базы, а в ответ получал сообщение, что это невозможно, так как данный объект используется и приводился список мест использования.\nНо что будет, если используемый объект все-таки удалить? Возникнет битая ссылка. Внешне она выглядит как запись со ссылкой на уникальный идентификатор отсутствующего объекта:\n1\u0026lt;Объект не найден\u0026gt; (95:bc09ecd68a04705d11eb44а671518376) Если подходить с чисто теоретических позиций, то битых ссылок в информационной базе быть не должно. Но не все так просто, если в базе используется РИБ, либо иные технологии обмена с другими базами и внешними источниками, то ряд второстепенных реквизитов может не передаваться. Например, сведения о подключаемом оборудовании. В данном случае это нормально (Конфигурация Розница 2.3), так как конкретный экземпляр оборудования подключен именно к конкретному рабочему месту и передавать эти данные куда-то еще лишено особого смысла.\nНо чаще к этой ошибке приводит повреждение базы или некорректные действия пользователя, скажем, удалившего объекты без контроля ссылочной целостности. В любом случае появление битых ссылок - это серьезный симптом и повод для отдельного разбирательства, рубить с плеча здесь неуместно. Поэтому сами разработчики при активации этой проверки переводят ее в безопасный режим, устанавливая действие Не изменять, по сути проверка лишь проинформирует вас о наличии битых ссылок, не более. А вот после, установив сам факт их наличия следует думать. В ряде случаев, если выявленные ссылки являются второстепенными объектами подчиненных баз не нужно делать ничего. Наоборот, любая попытка \u0026quot;исправления\u0026quot; может привести к нарушению нормальной работы информационной базы. А вот в других надо предпринимать какие-либо действия.\nДавайте посмотрим какие варианты у нас есть. Начнём со ссылок на несуществующие объекты. Здесь все довольно просто, мы можем или очистить ссылку, или создать новый объект нужного типа. Допустим, если запись справочника Номенклатура оказалась повреждена, но мы точно знаем по бумажным документам, что именно реализовывали, то ставим Создавать объекты, после чего переходим к ним и заполняем нужные реквизиты. Если же это какой-то второстепенный реквизит, то можем просто очистить ссылки. Второй вариант довольно часто применяется в тех случаях, когда надо быстро почистить базу и ряд объектов удаляется без контроля ссылочной целостности.\nТеперь о частичной потере данных объектов. К ним могут относиться элемент подчиненного справочника без владельца или движение без регистратора. Мы можем либо удалить такие объекты, либо создать связанные с ними. Чаще всего такие объекты имеет смысл удалять, особенно если это движения, хотя если это элемент справочника, владелец которого потерян, то в ряде случаев имеет смысл создать владельца.\nВнимание! Внимание! Перед любыми исправлениями ссылочной целостности в базе обязательно создайте резервную копию. Помните, что данная операция необратима и может привести к полной или частичной потере данных!\nНо даже имея показания к исправлению некоторых битых ссылок следует иметь ввиду, что данный инструмент применит выбранное действие ко всем ссылкам без разбора, что во многих случаях неприемлемо. Поэтому чаще всего проблему битых ссылок следует решать иными путями, один из них - выгрузка необходимых справочников или документов в XML из резервной копии и загрузка их в целевую базу в тех случаях когда просто восстановиться из бекапа невозможно.\nКогда следует запускать эту проверку? В тех случаях, когда в базе не обнаружены битые ссылки или когда проверка логической целостности выявляет ошибки. Но в любом случае первый запуск следует производить с действиями Не изменять, а последующие решения принимать на основании глубокого анализа ситуации.\nПересчет итогов В составе конфигурации 1С имеются специальные объекты - регистры, которые предназначены для хранения записей в разрезе определенных измерений. Например, регистр сведения Цены хранит сведения о ценах в разрезе измерений Номенклатура и Дата, а регистр накопления Товары хранит сведения об остатках товаров в разрезе Номенклатуры, Вида движения (расход или приход), Количества и Даты.\nНачем с более простого, регистров сведения, допустим мы хотим получить действующие цены на определенную дату. Но если мы просто получим записи за этот день, то увидим, что цены менялись только для некоторых позиций номенклатуры, чтобы получить полный набор цен нам надо прочитать записи регистра на неопределенное количество дней назад, пока мы не получим последние цены для каждой позиции номенклатуры. Чтобы этого не делать регистр сведений имеет специальную виртуальную таблицу - СрезПоследних, которая содержит последние актуальные цены на каждый день. Теперь нам достаточно один раз обратиться к этой таблице, чтобы получить нужные сведения на интересующую дату. Немного сложнее с регистрами накопления, записи в них содержат только сведения о движениях, скажем, такого-то числа в такое-то время на склад пришло 10 позиций некоторой номенклатуры, затем тем же днем продали 1 шт, потом 3 шт, за ней снова 5 шт и после еще 1 шт. При этом ряд вопросов, которые могут нас интересовать гораздо шире. Нас могут интересовать остатки на произвольный момент времени, либо обороты за некоторый период.\nЧтобы не делать глубоких выборок по регистрам накоплений в них предусмотрены виртуальные таблицы Остатки, Обороты, Остатки и обороты. Каждая из них содержит актуальные данные за определенный период, в нашем случае день. И если таблица остатков в особом пояснении не нуждается, то таблица оборотов на нашей схеме может вызвать вопросы, так как ее содержимое полностью совпадает со значениями регистра. На самом деле редко когда регистр содержит единственную запись за день, чаще всего там множество записей движения: утром привезли на склад товар, потом его активно продавали, затем довезли еще немного и продолжили торговлю. При этом таблица обороты отобразит общий оборот за период. Собственно, как и индексы, итоги предназначены для ускорения получения данных из информационной базы, теперь вам не нужно считывать весь или почти весь регистр, чтобы получить данные на определенный момент времени, достаточно обратиться к одной из виртуальных таблиц. Но со временем итоги тоже начинают терять эффективность: в них могут накапливаться мусорные записи, они могут фрагментироваться. Пересчет итогов решает эту проблему, заново создавая нужные виртуальные таблицы.\nПересчет итогов, как и реиндексация, простой и эффективный способ поддержания производительности информационной базы. Следует выполнять его регулярно в рамках обслуживания, а также каждый раз после исправления ошибок логической или ссылочной целостности.\nСжатие таблиц информационной базы По мере работы информационной базы объем добавляемых в нее данных растет, вместе с ним растет и объем файла (файлов) базы данных. Но если мы удалим из базы часть информации, то объем файла базы данных не уменьшится, просто некоторые страницы будут помечены как пустые и снова доступные для записи. Если мы хотим уменьшить физически занимаемый объем, то следует произвести операцию сжатия таблиц информационной базы. В этом случае база переместит текущие данные на место освободившихся страниц, а затем уменьшит файл базы данных на объем освободившегося пространства. Какой практический смысл этой операции? Да особо никакого, фрагментация данных от этого не уменьшится, а скорее всего даже увеличится. Единственный смысл сжатия базы - это если вы удалили из нее значительный объем данных и теперь просто оптимизируете общее занимаемое место.\nКогда следует выполнять данное действие? Только если вы удалили из базы значительный объем данных, ну или если размер файла базы для вас критичен.\nРеструктуризация таблиц информационной базы Если реиндексация только перестраивала индексы, то реструктуризация полностью перестраивает содержимое базы данных, для каждой таблицы создается копия и записывается в отдельное место на диске, затем вся база данных полностью замещается копией. В чем смысл этого действия? Фактически мы произвели дефрагментацию базы данных, если ранее данные таблицы могли быть разбросаны по диску, то теперь они будут расположены последовательно. Есть ли в этом практический смысл? В общем и целом, нет, чтение из страниц таблицы носит преимущественно случайный характер, последовательно считывание все таблицы - это уже ошибка построителя запросов. Но реструктуризация все-таки имеет смысл, скажем если вы добавили в базу собственный набор реквизитов или обновили релиз конфигурации (в этом случае реструктуризация будет выполнена автоматически). В любом случае лучше, чтобы связанные данные лежали рядом. Но следует понимать, что в процессе реструктуризации придется переместить весь объем информационной базы, а это может занять весьма продолжительное время.\nИ как раз-таки после реструктуризации будет уместно выполнить сжатие. Так как данные перемещать уже не надо, а пустое пространство уже сосредоточено в одном месте.\nКак часто следует запускать? По необходимости, в том случае если вы изменили набор метаданных.\nПересоздание автономной конфигурации Достаточно специфическая функция и относится к мобильному клиенту с возможностью автономной работы. Потеряв связь с основной базой данных такой клиент переключается в автономный режим и начинает использовать автономную конфигурацию. Если в данном режиме автономный клиент ведет себя неадекватно, то автономную конфигурацию следует пересоздать.\nПроверка логической целостности расширений конфигурации Не так давно фирма 1С добавила еще один способ доработки конфигураций - расширения. Основное их преимущество, что нет необходимости править код основной конфигурации или снимать ее с поддержки. Но современные расширения позволяют добавлять в базу новые реквизиты, справочники, документы, регистры и организовывать логические связи между ними.\nДанная проверка аналогична проверке логической целостности, только с учетом подключенных расширений, которых может быть и не одно. Если вы используете расширения, то обязательно включайте данную проверку вместе с проверкой логической целостности.\nЗаключение По умолчанию фирма 1С предлагает достаточно сбалансированный набор действий: реиндексация и пересчет итогов благотворно влияют на производительность, а проверка логической целостности позволяет на ранних этапах выявить возможные проблемы. Если вы используете расширения, то добавьте туда проверку логической целостности расширений.\nОстальные проверки и действия следует выполнять только при наличии необходимости. Так обнаружив ошибки в логической целостности следует выполнить проверку ссылочной целостности, а существенно изменив структуру базы данных имеет смысл выполнить реструктуризацию.\nНадеемся, что данный материал окажется вам полезен, а также поможет по-новому взглянуть и глубже понять привычные действия.\n","id":"1a86731433f5cb59678cb7944405526e","link":"https://interface31.ru/post/testirovanie-i-ispravlenie-informacionnoy-bazy-chto-delaet-i-dlya-chego-nuzhno/","section":"post","tags":["1С Предприятие 8.х","Производительность"],"title":"Тестирование и исправление информационной базы - что делает и для чего нужно"},{"body":"Роль терминального сервера пользуется огромной популярностью у системных администраторов самых разных по размеру предприятий, от самых маленьких, до очень больших. Действительно, это достаточно эффективный способ организации работы пользователей и эффективного использования вычислительных ресурсов. Но есть и определенные сложности: начиная с Windows Server 2012 компания Microsoft решила, что для развертывания терминальных служб обязательно нужен домен Active Directory. Но это не всегда приемлемо и уместно. Значит будем обходиться без домена, а как - расскажем в этой статье.\nНо прежде всего сделаем небольшое отступление. Очень часто многие администраторы используют терминальный сервер \u0026quot;по привычке\u0026quot;, не обращая внимания на новые технологии доступа для привычных приложений. А технологии не стоят на месте, делаю работу проще, дешевле и удобнее. В частности это касается популярного пакета программ 1С:Предприятие, современные конфигурации которого отлично работают через тонкий клиент или веб-сервер. Поэтому нужно трезво оценить возможности применяемого ПО и принять взвешенное решение о необходимости терминального доступа.\nКроме очевидных достоинств сервер терминалов имеет ряд недостатков, к самым распространенным можно отнести сложности с организацией печати, особенно для удаленных клиентов, работающих с домашних устройств, а также затруднения в доступе к локальным файлам на сервере и наоборот. Также следует принимать во внимание, что терминальный доступ достаточно дорогое решение: кроме лицензий клиентского доступа CAL каждое подключение должно быть покрыто специальной лицензией Remote Desktop Services CAL.\nЕсли вы, взвесив все за и против, все-таки решили развернуть терминальный сервер, то приступим к установке. Прежде всего откроем Диспетчер серверов и запустим Мастер добавления ролей и компонентовв котором выберем пункт Установка ролей или компонентов. В разделе Выбор ролей сервера выбираем Службы удаленных рабочих столов: Затем пролистываем мастер до раздела Выбор служб ролей, где выбираем Remote Desktop Session Host (Узел сеансов удаленных рабочих столов) и Лицензирование удаленных рабочих столов: Продолжим установку и обязательно перезагрузим сервер. На этом установка необходимых ролей закончена, приступим к настройке. Начнем с Сервера лицензирования. Следует отметить, что это совершенно отдельная сущность, работающая независимо от терминальных служб, могущая располагаться на любом из узлов сети и обслуживать несколько терминальных серверов.\nСнова откроем Диспетчер серверов и перейдем в Средства - Remote Desktop Services - Диспетчер лицензирования удаленных рабочих столов, выберем из списка наш сервер и в меню правой кнопки мыши нажмем Активировать сервер. В открывшемся мастере выбираем Метод подключения - Авто: Заполняем требуемые данные о владельце сервера: Поля на следующем экране можно оставить пустыми и перейти к активации, которая будет выполнена в автоматическом режиме. По завершении работы Мастер активации сервера запустит Мастер установки лицензий с помощью которого можно установить на Сервер лицензирования приобретенные вами Remote Desktop Services CAL.\nПрежде всего следует выбрать программу лицензирования в рамках которой были получены лицензии, скорее всего это будет OpenLicense или пакет лицензий в розницу. В зависимости от выбранной программы следующее окно может выглядеть по-разному, в нем потребуется ввести данные о приобретенной лицензии. Также может потребоваться указать тип (на устройство или на пользователя) и количество приобретенных лицензий. После завершения работы мастера вы увидите в Диспетчере лицензирования установленный пакет лицензий. Если у вас несколько пакетов лицензий, то следует щёлкнуть правой кнопкой мыши на любой пакет лицензий и выбрать в выпадающем меню пункт Установить лицензии, там же можно выполнить Преобразование лицензий изменив их тип (на устройство или на пользователя), если используемая вами программа лицензирования это позволяет. В отличие от Сервера лицензирования Узел сеансов удаленных рабочих столов (другими словами, терминальный сервер) при установке в рабочей группе не имеет никаких инструментов управления и для его настройки нам придется воспользоваться Локальными групповыми политиками. Для этого запустим оснастку gpedit.msc и перейдем в Конфигурация компьютера - Административные шаблоны - Компоненты Windows - Службы удаленных рабочих столов. Если мы войдем внутрь раздела Узел сеансов удаленных рабочих столов, то увидим вполне привычный любому, кто хоть раз настраивал терминальный сервер, набор настроек. Мы не будем рассматривать их все, разберем только самые необходимые. Начнем с раздела Лицензирование, в нем откроем политику Использовать указанные серверы лицензирования удаленных рабочих столов и укажем адрес или имя узла Сервера лицензирования, в нашем случае это этот же самый сервер. Затем перейдем к политике Задать режим лицензирования удаленных рабочих столов и укажем там тип активированных нами лицензий. Будьте внимательны, при несоответствии режима лицензирования и типа активированных лицензий доступ пользователей к серверу может оказаться невозможен. Следующий важный раздел - Безопасность. В нем включаем политику Требовать использования специального уровня безопасности для удаленных подключений где устанавливаем значение SSL. Это отключает использование небезопасного собственного шифрования RDP, но делает невозможным подключение устаревших клиентов. Здесь же включим еще одну политику Требовать проверку подлинности пользователя для удаленных подключений путем проверки подлинности на уровне сети, это принудительно включит проверку подлинности клиента на уровне сети (NLA), т.е. без создания пользовательского сеанса, что увеличивает безопасность и снижает нагрузку на сервер. Если данная политика не задана, то используются локальные политики клиента, начиная с Windows 8 и Server 2012 проверка подлинности на уровне сети используется по умолчанию.\nОстальные политики можете настраивать исходя из собственных потребностей, назначение большинства из них понятно из названия, также каждая из них содержит достаточно подробную справку.\nДля того, чтобы пользователи имели возможность подключаться к терминальному серверу они должны быть участниками группы Пользователи удаленного рабочего стола. Также доступ имеют пользователи группы Администраторы, но есть одна существенная тонкость. Для целей настройки и управления сервером разрешается два нелицензируемых удаленных сеанса, доступных группе Администраторы, выполнять работу на сервере в таких сеансах нельзя, это будет нарушением лицензионного соглашения.\nОтсюда проистекает и правильный ответ на один не самый очевидный вопрос: следует ли включать администраторов в группу Пользователи удаленного рабочего стола? Конечно же нет, в противном случае вы должны будете обеспечить такое подключение лицензией, а в режиме лицензирования на устройство лицензия на компьютер администратора будет выдана автоматически.\nНапоследок немного коснемся лицензий, если мы вернемся в Диспетчер лицензирования, то можем заметить, что количество выданных лицензий может не соответствовать количеству подключений. Поэтому коротко разберем, как происходит этот процесс. В режиме лицензирования на пользователя сервер лицензирования не контролирует количество фактических подключений и выдает каждому подключившемуся в этом режиме пользователю временную лицензию при условии, что активирована хотя бы одна лицензия. В данном случае контроль необходимого количества лицензий ложится на администратора.\nВ режиме на устройство каждый подключившийся первый раз клиент получает временную лицензию сроком на 90 дней, при повторном подключении сервер вместо временной лицензии выдает постоянную на срок от 52 до 89 дней, время действия лицензии выбирается случайным образом. На скриншоте ниже обратите внимание на срок действия выданных в один и тот же день лицензий. Если устройство, на которое выдана лицензия вышло из строя или больше не является частью сети, то лицензию можно отозвать, для этого щелкните на лицензии правой кнопкой мыши и выберите действие Отозвать лицензию. Однако следует принимать во внимание достаточно серьезные ограничения: нельзя отозвать более 20% лицензий в течении 75 дней.\nСуществует достаточно распространенная ошибка - несоответствие режима лицензирования активированным лицензиям. Здесь может быть два варианта развития событий:\nРежим лицензирования на устройство, лицензии на пользователя - каждый подключившийся клиент получит временную лицензию на 90 дней, по истечении этого срока доступ к серверу будет невозможен. Режим лицензирования на пользователя, лицензии на устройство - при наличии активированной лицензии любого типа клиент будет получать каждый раз новую временную лицензию, но такой режим работы будет однозначным нарушением правил лицензирования. Надеемся, что данный материал поможет вам настроить и правильно эксплуатировать терминальный сервер в рабочей группе.\n","id":"aa9d136cee479e55bef8efc2664d0c11","link":"https://interface31.ru/post/nastraivaem-terminalnyy-server-na-windows-server-v-rabochey-gruppe/","section":"post","tags":["RDP","Windows Server","Windows Terminal","Сетевые технологии"],"title":"Настраиваем терминальный сервер на Windows Server в рабочей группе"},{"body":"Многие наши материалы создаются на основе читательского отклика, так произошло и в этот раз, один из читателей спросил нас как преобразовать ознакомительную версию Windows Server в полную. Короткое исследование вопроса показало, что несмотря на то, что он достаточно подробно отражен в официальной документации в сети встречаются самые разнообразные домыслы. Поэтому мы решили не только привести готовое решение, но и немного углубиться в суть вопроса, разобравшись в том, что такое ознакомительная версия Windows Server и для чего она предназначена.\nУже достаточно давно компания Microsoft предлагает всем желающим бесплатно скачать ознакомительные версии серверного ПО со сроком действия 180 дней. Они предназначены для ознакомления, обучения, тестирования и не могут быть использованы в коммерческих целях.\nНа этом моменте стоит остановиться подробнее, так как достаточно распространена практика использования в тестовых целях обычных дистрибутивов Windows Server без активации. Бытует распространенное заблуждение, что использование таких версий в некоммерческих целях не нарушает лицензионного соглашения. Но это неверно. Лицензионное соглашение предусматривает два важных условия: наличие лицензии на каждый запущенный экземпляр ПО и легальность получения данного экземпляра ПО.\nЕсли у вас есть законно приобретенный Windows Server, то запуск экземпляра без наличия необходимого количества лицензий будет однозначным нарушением. В отсутствии приобретенного продукта дистрибутив ПО будет считаться нелегальным, так как пользователь не имеет прав на его законное использование, даже если дистрибутив находится в свободном доступе. Таким образом ознакомительная версия Windows Server является единственным легальным способом использования серверного ПО без приобретения лицензий в некоммерческих целях. Также, как и с обычными версиями Windows Server, доступна установка двух редакций: Standard и Datacenter в вариантах Core и с возможностями рабочего стола. Напомним, что начиная с Server 2016 редакция Datacenter содержит некоторые отсутствующие в Standard компоненты и возможности, которые касаются в основном хранилищ и виртуализации. В остальном возможности обеих редакций совпадают, и мы не рекомендуем устанавливать ознакомительную версию Datacenter без крайней на то необходимости, разве что именно для ознакомления со специфичными для редакции особенностями, потому что Standard всегда можно преобразовать в Datacenter, а вот обратная конвертация невозможна. Ознакомительный период можно легально продлить еще на 180 дней 5 раз. В общей сложности это дает возможность использования системы в течении 3 лет, что более чем достаточно для задач ознакомления и тестирования. Для продления ознакомительного периода воспользуйтесь командой:\n1slmgr /rearm По окончанию ознакомительного периода система начинает требовать активации и выключаться каждый час с сообщением в журнале событий:\n1Истек срок действия лицензии для этой установки Windows. Компьютер завершает работу. Но, даже если у вас есть приобретенная лицензия Windows Server активировать с ее помощью систему не удастся. Почему? Потому что ознакомительная версия - это отдельный продукт, для которого нельзя использовать лицензии от коммерческих версий. В связи с этим распространено еще одно заблуждение о том, что ознакомительную версию нельзя легально преобразовать в полную и поэтому не следует развертывать на ней продуктивные среды. Однако это тоже не так, на странице скачивания Evaluation Center прямым текстом сказано о том, что это сделать можно и приведена ссылка на официальную документацию.\nПосле того как вы завершите оценку, можете преобразовать ваши пробные версии в коммерческие.\nТакже существует ряд ограничений, с которыми следует обязательно ознакомиться.\nВажно! Для выпусков Windows Server 2016 предшествующих 14393.0.161119-1705.RS1_REFRESH преобразование можно выполнить только для установки с возможностями рабочего стола, для Core версий это сделать невозможно. Также невозможно преобразовать Core версии Server 2012. Для более поздних версий Server 2016 и Server 2019 ограничения отсутствуют.\nТакже нельзя преобразовать в коммерческую версию сервер с установленной ролью контроллера домена, перед преобразованием его следует понизить до роли обычного сервера.\nДля преобразования следует воспользоваться командой:\n1DISM /online /Set-Edition:\u0026lt;edition ID\u0026gt; /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX /AcceptEula Где edition ID - идентификатор целевой системы, а ProductKey - ключ продукта. Вы можете использовать розничный ключ продукта для преобразования в розничную версию, либо публичный GVLK ключ, если вы используете корпоративные программы лицензирования, полученные в рамках этой программы ключи использовать нельзя.\nУзнать текущий edition ID можно командой:\n1DISM /online /Get-CurrentEdition А доступные для преобразования:\n1DISM /online /Get-TargetEditions Windows Server 2012 R2 1DISM /online /Set-Edition:ServerStandard /ProductKey:D2N9P-3P6X9-2R39C-7RTCD-MDVJX /AcceptEula 2DISM /online /Set-Edition:ServerDatacenter /ProductKey:W3GGN-FT8W3-Y4M27-J84CP-Q3VJ9 /AcceptEula Windows Server 2016 1DISM /online /Set-Edition:ServerStandard /ProductKey:WC2BQ-8NRM3-FDDYY-2BFGV-KHKQY /AcceptEula 2DISM /online /Set-Edition:ServerDatacenter /ProductKey:CB7KF-BWN84-R7R2Y-793K2-8XDDG /AcceptEula Windows Server 2019 1DISM /online /Set-Edition:ServerStandard /ProductKey:N69G4-B89J2-4G8F4-WWYCC-J464C /AcceptEula 2DISM /online /Set-Edition:ServerDatacenter /ProductKey:WMDGN-G9PQG-XVVXX-R3X43-63DFG /AcceptEula После выполнения команды потребуется обязательная перезагрузка. Также обратите внимание, что использование GVLK-ключей не сделает вашу версию легальной и вам потребуется обязательная активация при помощи корпоративных ключей, либо с помощью корпоративного KMS-сервера. Указанный способ применим также и для преобразования коммерческих версий Windows Server, для розничных версий вы должны использовать розничные ключи, а для корпоративных - публичные GVLK.\n","id":"0a5e19b260732bb1a1b5f5fb4a1b5bb0","link":"https://interface31.ru/post/adminu-na-zametku-28-kak-preobrazovat-oznakomitelnuyu-versiyu-windows-serer-v-polnuyu/","section":"post","tags":["Windows Server","Лицензирование"],"title":"Админу на заметку - 29. Как преобразовать ознакомительную версию Windows Server в полную"},{"body":"Своевременное обновление RouterOS на устройствах Mikrotik очень важно, так как в новых версиях закрываются найденные уязвимости и добавляются новые возможности, улучшается работа уже имеющихся служб. Обновить RouterOS несложно - всего пара нажатий в интерфейсе Winbox или несколько команд в терминале. Это не доставит затруднений если у вас всего несколько устройств, но если ваша инфраструктура включает десятки роутеров, то процесс обновления становится утомительным, в этом случае на помощь нам придет The Dude, который позволяет централизованно управлять обновлением RouterOS.\nПрежде всего убедимся, что все подключенные к The Dude устройства Mikrotik имеют установленный флаг RouterOS, у них правильно указаны учётные данные, а RouterOS Status имеет состояние ok. Затем выберем в левом меню раздел Devices и перейдем на закладку RouterOS. Здесь мы увидим все наши устройства Mikrotik, их модель, архитектуру, версию RouterOS и установленные пакеты: Внимательно изучим этот список, в нашем случае присутствуют архитектуры mmips, smips и mipsbe последняя составляет основной парк устройств. Поэтому идем на сайт Mikrotik и скачиваем версии ROS для указанных архитектур. Затем смотрим, какие дополнительные пакеты установлены и скачиваем для этих архитектур пакет Extra packages.\nСоединяемся с The Dude сервером при помощи любого SFTP-клиента и размещаем в директории /dude/files файлы обновления RouterOS и дополнительных пакетов из состава Extra. Теперь можно переходить к обновлению, выбираем необходимые устройства в списке Devices - RouterOS и через меню правой кнопки мыши выбираем Upgrade и версию RouterOS: Процесс обновления вы можете наблюдать в колонке Upgrade Status, где будет отображаться выполняемая операция и процент ее выполнения, если же роутеру не хватает какого-либо дополнительного пакета, то вы получите сообщение some packages unavailable, в этом случае следует загрузить в The Dude недостающие пакеты и повторить операцию. Но это еще не все, пока что мы показали вам наиболее простой способ, с ручным выбором устройств из списка, в тоже время Тhe Dude позволяет объединять устройства в группы (Devices - RouterOS - Group) и выполнять действия уже над ними. При этом одно и тоже устройство может входить в несколько групп, что предоставляет широкие возможности по управлению. Например, мы можем объединить устройства по архитектуре, создав группу MIPSBE, либо по расположению, разместив их в группах Офис и Магазины. В дальнейшем, в зависимости от ситуации, вы можете обновить либо все устройства одной архитектуры, либо одного расположения. Это удобно, скажем Офис можно обновить на выходных в удобное время, тогда как Магазины следует обновлять строго после рабочего дня. Таким образом The Dude является не только средством мониторинга, но и единым центром управления обновлениями RouterOS, что позволяет освободить администратора от большого объема рутинной работы и использовать появившееся время действительно продуктивно.\n","id":"2ba0ab3f4e48ed1ebe7610e191fb17c1","link":"https://interface31.ru/post/centralizovannoe-upravlenie-obnovleniem-routeros-pri-pomoshhi-the-dude/","section":"post","tags":["MikroTik","The Dude","Безопасность","Сетевые технологии"],"title":"Централизованное управление обновлением RouterOS при помощи The Dude"},{"body":"Атака с полным перебором паролей (брутфорс) - одна из наиболее часто встречающихся угроз в современном интернете. Она базируется не на уязвимостях ПО, а на нарушении политики паролей, что иногда оказывается гораздо более продуктивным. Пользователи не любят сложных паролей и даже когда есть явные требования по сложности стремятся использовать более простые комбинации, либо словарные слова. Многие также используют одну пару логин - пароль для всех учетных записей и при компрометации одной из них эти данные могут попасть в руки злоумышленников. Одним из наиболее часто атакуемых сервисов является RDP и сегодня мы посмотрим, как можно его защитить.\nВ среде администраторов бытует мнение, что выставлять RDP без VPN \u0026quot;наружу\u0026quot; нельзя. На сегодняшний день это не так, современные реализации протокола используют даже по умолчанию SSL-защиту и проверку подлинности на уровне сети (NLA), если использовать поддерживаемые версии ОС и своевременно устанавливать обновления, то RDP будет достаточно надежным для использования без дополнительной защиты.\nНо у него, как и у многих иных сервисов, есть слабое место - пароли, а усугубляется ситуация отсутствием штатных средств защиты от их перебора. Существуют решения, которые устанавливаются прямо на RDP-сервер и добавляют необходимую функциональность, но мы пойдем другим путем и будем использовать более подходящее для этого средство - межсетевой экран.\nНа первый взгляд задача труднорешаемая. Каким образом роутер сможет определить ведется перебор паролей, либо просто подключаются и работают пользователи, ведь через него проходит только транзитный трафик к RDP-серверу, при этом сама сессия шифруется. Но не будем делать скоропалительных выводов. Существует специальный механизм Connection Tracking, который определяет состояние соединения и принадлежащих ему пакетов, всего таких состояний четыре:\nNEW - новый пакет, не принадлежащий ни одному соединению ESTABLISHED - пакет, принадлежащий уже установленному соединению RELATED - пакет нового соединения, порождённого уже существующим соединением, многие протоколы, например, FTP открывают дополнительные соединения для передачи данных INVALID - все что не относится к первым трем состояниям, это пакет, не принадлежащий ни одному соединению и не являющийся первым пакетом нового соединения. Исходя из вышесказанного можно прийти к следующему выводу: у работающего RDP-клиента состояние пакетов будет ESTABLISHED, а NEW будет появляться только в начале соединения, если же мы постоянно получаем NEW от клиента - то с большой долей вероятности он занимается перебором паролей. Давайте рассмотрим, как происходит RDP-соединение, схема предельно упрощенная, на уровне минимально необходимом для понимания происходящих процессов.\nСовременные решения предусматривают проверку подлинности на уровне сети (NLA) и клиент сначала должен пройти процесс аутентификации, прежде чем он сможет подключиться к компьютеру, RDP-сессия при этом не создается. Пакет с запросом аутентификации будет иметь состояние NEW, при неудачной аутентификации каждый новый запрос будет создавать еще один пакет с состоянием NEW.\nПри успешном вводе учетных данных клиент создаст новое RDP-соединение, первый пакет этого соединения также будет иметь состояние NEW, а все последующие ESTABLISHED. Таким образом успешное RDP соединение предусматривает получение двух пакетов с состоянием NEW, каждая попытка аутентификации еще одного. Это дает возможность достаточно легко отличать легальных пользователей от ботов и злоумышленников. Фактически если в течении короткого промежутка времени мы получили более 2 пакетов в состоянии NEW - то это однозначно свидетельствует, что на той стороне ошиблись при вводе учетных данных.\nТак как человеку свойственно ошибаться, то оставим легальным пользователям право на ошибку: три неверных попытки и одна правильная - итого пять пакетов NEW в течении короткого времени, злоумышленник за это время успеет пять раз попробовать ввести учетные данные. Какой промежуток времени взять? Одной-двух минут в целом будет достаточно, даже при ручных попытках ввода. Но не следует устанавливать слишком большой интервал, так как пользователь может случайно отключиться - подключиться снова и попасть под блокировку. Брутфорсом же занимаются преимущественно боты и даже минуты им с лихвой хватит чтобы выйти за пределы лимитов.\nТеперь, когда необходимый теоретический минимум получен, можно переходить к практической реализации и это будет не слепое копирование мануалов из интернета, а вполне осмысленный набор действий. Прежде всего нам надо выявить и занести в отдельный список тех клиентов, которые пытаются прислать нам более пяти новых пакетов на порт RDP-сервера за определенный интервал времени.\nДля этой цели мы будем использовать добавление адреса-источника в Address List и таблицу Mangle. Почему именно Mangle, ведь действие add src to address list доступно и в Filter? Один из основных принципов построения брандмауэра - это читабельность правил конфигурации. В Filter мы ожидаем увидеть действия, производимые с пакетами на основании тех или иных условий. А вот Mangle предназначена для маркировки пакетов и соединений, и, хотя, добавление в списки не совсем маркировка, логически более верным будет разместить эти правила здесь.\nИтак, переходим в IP - Firewall - Mangle и создаем следующее новое правило: Chain - forward, Protocol - tcp, Dst. Port - 3389, Connection State - new. На закладке Action добавляем действие add src to address list и укажем имя списка rdp_stage1 и время действия записи - 1 минута. В терминале можете выполнить:\n1/ip firewall mangle 2add action=add-src-to-address-list address-list=rdp_stage1 address-list-timeout=1m chain=forward connection-state=new dst-port=3389 protocol=tcp Что мы сейчас сделали? Для каждого транзитного пакета на порт 3389 с состоянием NEW мы помещаем его адрес-источник в список rdp_stage1 на 1 минуту. Получив еще один такой пакет, мы должны проверить, нет ли его уже в указанном списке, а если есть, то поместить в список rdp_stage2, для этого создаем еще одно аналогичное правило, но с дополнительным условием, на закладке Advanced указываем Src. Address List - rdp_stage1, а на закладке Action в качестве списка указываем rdp_stage2. Это же действие в терминале:\n1/ip firewall mangle 2add action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m chain=forward connection-state=new dst-port=3389 protocol=tcp src-address-list=rdp_stage1 Затем создаем еще одно правило, где указываем Src. Address List - rdp_stage2, а список на закладке Action - rdp_stage3, и еще два, пока не заполним список rdp_stage5.\n1/ip firewall mangle 2add action=add-src-to-address-list address-list=rdp_stage3 address-list-timeout=1m chain=forward connection-state=new dst-port=3389 protocol=tcp src-address-list=rdp_stage2 3add action=add-src-to-address-list address-list=rdp_stage4 address-list-timeout=1m chain=forward connection-state=new dst-port=3389 protocol=tcp src-address-list=rdp_stage3 4add action=add-src-to-address-list address-list=rdp_stage5 address-list-timeout=1m chain=forward connection-state=new dst-port=3389 protocol=tcp src-address-list=rdp_stage4 И, наконец, последнее правило, с условием Src. Address List - rdp_stage5 и действием Action - add src to address list, Address List - rdp_drop и таймаутом, скажем, 30 минут. Или в терминале:\n1/ip firewall mangle 2add action=add-src-to-address-list address-list=rdp_drop address-list-timeout=30m chain=forward connection-state=new dst-port=3389 protocol=tcp src-address-list=rdp_stage5 Как это все работает? Адрес-источник первого NEW пакета мы помещаем в список rdp_stage1 на одну минуту, если с этого адреса снова придет новый пакет, то адрес источник попадет в список rdp_stage2, тоже на минуту, если в течении этой минуты снова придет новый пакет - то он будет помещен в rdp_stage3 и т.д. Шестой пакет с состоянием NEW попадет в список rdp_drop на полчаса. Время блокировки вы можете выбирать самостоятельно, в зависимости от текущих условий, но следует избегать больших значений, если пользователь таки попадет под блокировку, а администратор случайно не на связи, то полчаса гораздо лучше, чем сутки.\nСледующий момент, после того как вы добавили все эти правила, их следует разместить в обратном порядке, от последнего к первому. Почему? Потому что действие add src to address list не является терминальным и пакет продолжает свое движение по цепочке. И если правила оставить в том порядке, в котором они был добавлены то получится следующее: первое правило добавит новый пакет в список rdp_stage1, второе проверит, нет ли его в этом списке, а оно там есть, и добавит в rdp_stage2. Далее вы поняли, адрес источник с первого же пакета добавится последовательно во все списки включая rdp_drop. Поэтому проверять списки надо в обратном порядке, от rdp_stage5 к rdp_stage1. Если вы работаете в терминале, то правильная последовательность действий будет выглядеть так:\n1/ip firewall mangle 2add action=add-src-to-address-list address-list=rdp_drop address-list-timeout=30m chain=forward connection-state=new dst-port=3389 protocol=tcp src-address-list=rdp_stage5 3add action=add-src-to-address-list address-list=rdp_stage5 address-list-timeout=1m chain=forward connection-state=new dst-port=3389 protocol=tcp src-address-list=rdp_stage4 4add action=add-src-to-address-list address-list=rdp_stage4 address-list-timeout=1m chain=forward connection-state=new dst-port=3389 protocol=tcp src-address-list=rdp_stage3 5add action=add-src-to-address-list address-list=rdp_stage3 address-list-timeout=1m chain=forward connection-state=new dst-port=3389 protocol=tcp src-address-list=rdp_stage2 6add action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m chain=forward connection-state=new dst-port=3389 protocol=tcp src-address-list=rdp_stage1 7add action=add-src-to-address-list address-list=rdp_stage1 address-list-timeout=1m chain=forward connection-state=new dst-port=3389 protocol=tcp Теперь проверим работу наших правил, выполним подключение к RDP одновременно контролируя IP - Firewall - Address Lists. Если все прошло нормально, то мы увидим наш адрес-источник в списках rdp_stage1 и rdp_stage2. Теперь попробуем три раза ошибиться и на четвертый зайти: Как видим, практика полностью совпадает с теорией, следовательно, можно переходить к блокировкам, не опасаясь, что пострадают легальные пользователи. Блокировать мы будем в таблице Raw, почему? Raw содержит \u0026quot;сырые\u0026quot; данные о пакетах, до того, как они будут переданы Connection Tracking, а так как определение состояния пакета достаточно ресурсозатратная операция, то отсекая лишний трафик в Raw мы снижаем нагрузку на процессор роутера, что важно в случае достаточно большого списка.\nПереходим в IP - Firewall - Raw и создаем новое правило: Chain - prerouting, Protocol -tcp, Port - 3389. На закладе Advanced указываем Src. Address List - rdp_drop: И на закладке Action - действие drop. Все тоже самое быстро делается в терминале следующей командой:\n1/ip firewall raw 2add action=drop chain=prerouting dst-port=3389 protocol=tcp src-address-list=rdp_drop Заметьте, мы заблокировали вероятному злоумышленнику только доступ к RDP, хотя, убрав условия о протоколе и порте, мы можем полностью блокировать этот адрес. Но мы не советуем этого делать, так как случаи бывают разные и даже сам администратор может несколько раз неправильно ввести пароль. Если мы блокировали только RDP, то он сможет подключиться к роутеру и разблокировать себя, если мы блокируем источник полностью, то связь с корпоративной сетью будет полностью потеряна.\nНа этом можно считать защиту от брутфорса готовой, на первых порах мы рекомендуем регулярно контролировать содержимое списка rdp_drop на предмет попадания туда легальных клиентов, после чего либо корректировать условия, либо разъяснять пользователям новые правила работы. Кроме того, данный метод может быть применен для любого сервиса, не только RDP, все что вам потребуется - это установить, можно даже эмпирическим путем, схему соединения по нужному вам протоколу и определить, какое количество новых пакетов является допустимым, а какое говорит о попытке подбора паролей.\n","id":"8246c2408bc6eb269b19db86f6785e24","link":"https://interface31.ru/post/zashhita-rdp-ot-perebora-paroley-pri-pomoshhi-obrudovaniya-mikrotik/","section":"post","tags":["iptables","MikroTik","RDP","Сетевые технологии","Уязвимости"],"title":"Защита RDP от перебора паролей при помощи оборудования Mikrotik"},{"body":"Современный интернет таит множество угроз, и каждый администратор задумывается о фильтрации контента отдаваемого пользователям. Однако многое из того, что хорошо работало раньше стало сейчас неактуальным, основная причина этого - массовый переход на защищённые соединения, которые не дают возможности просматривать трафик пользователя в промежуточных узлах. Поэтому в новых условиях следует применять новые подходы, наиболее эффективным методом на сегодняшний день является фильтрация DNS-запросов. И именно этим мы и займемся.\nПрименение фильтрующих DNS-серверов получило широкое распространение в последние годы, существует множество сервисов, преимущественно платных, предоставляющих возможность фильтрации запросов по определенным правилам. Обычно это блокировка рекламы, вредоносных сайтов и сайтов с нежелательным содержимым. Также пользователь может добавлять собственные фильтры. Но используя подобные сервисы следует понимать, что они могут собирать и использовать ваши запросы в собственных целях, например, для показа таргетированной рекламы. Особенно это касается бесплатных служб.\nХорошим выходом из данной ситуации будет использование собственного фильтрующего DNS-сервера, такую возможность предоставляет программное обеспечение с открытым исходным кодом - Pi-hole. Продукт распространяется под лицензией European Union Public License (EUPL) v 1.2, которая совестима с другими видами свободных лицензий, включая GPL. Работа Pi-hole основана на широко известных и проверенных программных продуктах: dnsmasq, lighttpd и SQLite, а сам продукт является по сути удобным высокоуровневым интерфейсом для управления фильтрующим DNS-сервером, включая возможность работать через веб-интерфейс.\nУстановка Pi-hole Pi-hole обладает достаточно скромными системными требованиями и, как можно предположить из названия, изначально предполагалась к установке на Raspberry Pi, это возможно и сегодня. Кроме того, поддерживается гораздо более широкий набор платформ, включая Docker. Из интересующих нас это Ubuntu 16.x/18.x/20.x архитектуры ARM/x86_64 и Debian 9/10 архитектуры ARM/x86_64/i386. Из требований от 2 ГБ свободного пространства (рекомендуется 4 ГБ) и от 512 МБ ОЗУ.\nПеред установкой поднимем права до суперпользователя командой:\n1sudo -s Затем обновим список пакетов и выполним апгрейд системы:\n1apt update 2apt dist-upgrade И установим, если это не было сделано ранее, пакет curl:\n1apt install curl Также обязательно настройте на вашем сервере статический IP-адрес. В последних версиях Ubuntu для этого следует использовать netplan.\nВыполнив все предварительные настройки приступим к установке Pi-hole:\n1curl -sSL https://install.pi-hole.net | bash Данная команда скачает и запустит скрипт установки, после чего вы увидите псевдографический инсталлятор, который последовательно проведет вас через все этапы установки продукта. Сначала вам потребуется указать сетевой интерфейс, на котором DNS-сервер будет принимать запросы, будьте внимательны и указывайте только внутренние интерфейсы. Затем укажите желаемого DNS-провайдера, который будете использовать в качестве вышестоящего сервера, в списке присутствуют основные публичные DNS-сервера, но после установки вы всегда сможете изменить эти настройки, в т.ч. указав собственные адреса. Затем предлагается выбрать списки для блокировки рекламы (основное назначение Pi-hole по задумке разработчиков), в настоящий момент доступен только один список. Соглашаемся с установкой веб-интерфейса: И предлагаемым режимом работы веб-сервера, в качестве которого выбран легковесный, но производительный lighttpd: Разрешаем ведение лога запросов: И выбираем уровень приватности. Доступны несколько значений: от полного логирования (уровень 0), до полной анонимности (уровень 3). Так как у нас сервер будет обслуживать собственную сеть и нам надо видеть кто, куда, зачем и почему - то ставим нулевой уровень. После окончания работы инсталлятора установим пароль для веб-интерфейса:\n1pihole -a -p Командный интерфейс Pi-hole достаточно информативный и наглядно показывает результат той или иной операции. Для нормальной работы веб-интерфейса выполним еще ряд операций. Прежде всего установим владельца и новый набор прав на конфигурационные файлы и базы данных, если этого не сделать, то веб-интерфейс будет работать только на чтение, а при попытке создать любой новый объект вы получите ошибку: Error, something went wrong! While executing: attempt to write a readonly database.\n1chown -R pihole:pihole /etc/pihole 2chmod -R g+rw,u+rw /etc/pihole Затем включим пользователя веб-сервера в группу pihole:\n1usermod -aG www-data pihole На этом установку можно считать законченной.\nНачало работы с Pi-hole Далее мы будем рассматривать работу через веб-интерфейс, который достаточно удобен и позволяет использовать все возможности продукта, не прибегая к командной строке. Чтобы попасть в панель управления наберем в адресной строке браузера http://IP_ADDRESS/admin Начнем с раздела Settings, где расположены общие настройки сервера. Вкладка System содержит информацию о системе, кнопки для ее выключения и перезагрузки, выключения и очистки логов, перезагрузки DNS-сервера и очистки сетевой таблицы, куда помещаются MAC-адреса клиентских устройств. На вкладке DNS можно изменить настройки вышестоящих DNS-серверов, мы можем как выбрать их из списка, так и указать собственные. В списке каждой ячейке соответствует один сервер, а сами ячейки соответствуют основному и дополнительному DNS, если подвести мышку - то появится всплывающая подсказка с адресом сервера. Ниже расположены дополнительные опции, они достаточно хорошо документированы прямо в интерфейсе, и мы не видим смысла дополнительно приводить их описание. Так как Pi-hole содержит под капотом хорошо известный нашим читателям dnsmasq, то кроме функции DNS-сервера он может также выступать DHCP-сервером вашей сети. По умолчанию DHCP-сервер выключен, вы можете включить и настроить его на одноименной вкладке, запутаться там определенно негде, настройки не сложнее чем в бытовом роутере. И наконец на вкладке Teleporter можно выполнить резервное копирование и восстановление сервера, причем восстановление можно производить выборочно, например, восстановить только определенные списки или записи. Если вы будете использовать Pi-hole в качестве основного DNS-сервера сети, то в разделе Local DNS можно добавлять собственные записи типа A или CNAME, после добавления не забывайте перезапустить DNS-сервер. Теперь перейдем к основному назначению нашего сервера - фильтрации. В ее основе лежат списки, это - основная ценность данных систем, для качественной фильтрации списки должны быть актуальными и своевременно обновляться. Ознакомиться с подключенными списками можно в разделе Group Managment - Adlists, по умолчанию там подключен только один список, от разработчиков. Однако, прежде чем браться за фильтрацию, мы советуем отключить все списки и проверить работу сервера в обычном режиме, убедившись, что все работает как надо. Затем можно включить список и оценить результат. Рекламы на страницах практически не станет, в этом плане список достаточно эффективный и его одного будет вполне достаточно. Но вы можете подключить и другие списки. Их в достатке можно найти на просторах сети, существуют даже сборники таких листов: pihole-ads-list. Чтобы добавить лист достаточно внести в соответствующее поле его адрес, также не забывайте давать осмысленные комментарии. Но лист - это всего лишь адрес, чтобы начать работу его содержимое нужно получить и добавить в базу данных Pi-hole. Пока это не сделано - напротив листа будет стоять серый кружок со знаком вопроса, у загруженных листов стоит зеленая галочка. Для обновления следует либо выполнить в консоли команду:\n1pihole -g Либо перейти в раздел Tools - Update Gravity и нажать кнопку Update. Для обновления самого Pi-hole следует выполнить консольную команду:\n1pihole -up Делать это можно даже из-под обычной учетной записи, в этом случае будет запрошен пароль sudo и повышение прав произойдет автоматически. Разделяй и властвуй - создаем и настраиваем списки После того, как сделаны базовые настройки и подключены первые списки обязательно встает вопрос о выборочном применении фильтрации. Следует понимать, что Pi-hole фильтрует DNS-запросы и мы не можем, как в популярных браузерных плагинах, настроить выборочный показ рекламы для определенных доменов, всё чем мы можем оперировать - это доменное имя и адрес источника. Но и это дает многое.\nПрежде всего определимся с политикой по умолчанию, у Pi-hole имеется встроенная группа Default в которую попадают все клиенты, которые явно не отнесены к другим группам. Затем следует выделить отдельные узлы и распределить их по группам. Для этого перейдем в Group Managment - Groups и создадим сами группы, ничего сложного там нет, указываем имя группы и описание (по желанию). Затем перейдем в Group Managment - Clients и выберем нужный адрес из выпадающего списка. Для того, чтобы клиент попал в этот список он должен сделать хотя бы один запрос через наш сервер. Также его можно очистить кнопкой Flush network table в Settings - System. Затем внизу, в списке уже добавленных клиентов, в поле Group assignment укажите членство в желаемых группах. Возможен множественный выбор. Также вы можете просто указать MAC или IP-адрес клиента, имя хоста, подсеть или интерфейс. Например, если у вас подключено несколько сетевых карт, то можно явно указать, что все запросы от клиентов с eth0 попадают в одну группу, а запросы с eth1 в другую. Затем перейдем к подключенным спискам и точно также укажем для каких групп они применяются. Кроме списков в Adlists можно вести собственные белые и черные списки, расположенные в разделах Whitelist и Blacklist соответственно, кроме того, все добавленные в эти списки домены будут отображаться в Group Managment - Domains, где ими можно также управлять. Это открывает широкие возможности по фильтрации не только рекламы, но и любого интернет содержимого.\nДопустим, мы хотим заблокировать соцсети для определенной группы клиентов. Для этого создадим отдельную группу BlockSocial и поместим в нее нужных клиентов. После чего перейдем в раздел Group Managment - Domain management и добавим в черный список - Add to Blacklist - адреса социальных сетей, которые мы хотим заблокировать, при этом не забудьте поставить флаг Add domain as wildcard, в этом случае запись будет добавлена в виде регулярного выражения, включающего как домен, так и все его поддомены. Для созданной записи сразу указываем группы, к которым она будет применяться. Точно также мы можем добавить домены в белый список, который будет исключать их из блокировки вне зависимости от наличия в списках. Добавить домены в списки вы можете также в разделах Whitelist и Blacklist,но для того, чтобы назначить их группам вам все равно придется вернуться в Domain management, поэтому лучше все действия изначально выполнять здесь.\nДобавили, проверяем. Как видим, все отлично работает. На что следует обратить внимание? Все добавляемые записи могут быть двух типов: Regex - регулярное выражение и Exact - точное совпадение. Для составления и проверки первых советуем воспользоваться специальными сервисами, один из которых Regex101.\nСледующий важный момент - наложение списков. Один клиент может одновременно входить в несколько групп и к каждой группе могут быть привязаны различные списки. Каким образом будет происходить фильтрация? В этом случае будет выполнено несколько комбинаций, которые мы перечислим по возрастанию приоритета. Сначала для каждой группы клиента будут получены списки Adlists и объединены, затем они будут дополнены черными списками для каждой группы, а потом к ним будут применены исключения из сопоставленных с группами белых списков. На первый взгляд вроде бы несложно, но мы не советуем делать сложных пересечений, потому как можно получить совершенно неожиданный результат для совершенно неожиданной группы клиентов.\nНе только лишь все - доступ по белому списку Мы уже неоднократно говорили, что современные сайты - это весьма сложные программные комплексы, которые могут подгружать необходимые для своего функционирования ресурсы со сторонних узлов, чаще всего это скрипты, стили, шрифты, изображения и т.д. и т.п. Но в наших реалиях есть ряд сценариев когда доступ к сети следует ограничить строго определенным списком сайтов и Боже упаси, если проверка сумеет выйти за пределы этого списка. Такая политика, например, действует во многих учебных заведениях. Pi-hole и здесь сможет помочь.\nПрежде всего заведем отдельную группу, которая будет выходить только по белому списку, при этом помним, что Pi-hole позволяет включать пользователей в группы по входящему интерфейсу, что в данном случае очень удобно - любое устройство, подключенное к определенной сети, автоматически попадет под ограничения.\nЗатем перейдем в Group Managment - Domain management и на закладке RegEx filter в поле Regular Expression поставим символ * (звездочка), добавим эту запись в черный список и назначим ее созданной группе. После этого для всех участников этой группы будут блокироваться все DNS-запросы, фактически мы отключили ее от глобальной сети.\nРазрешенные домены добавляем в белый список и привязываем к этой же группе. Но не все сайты будут нормально работать в таком режиме. Где-то поедет верстка, где-то пропадет важная функциональность. В этом случае нужно выявить связанные ресурсы и также добавить их в белый список. Например, на нашем сайте используется внешняя система комментариев Disqus, чтобы разблокировать ее перейдем в Query Log и внимательно изучим лог запросов, в котором обязательно обнаружатся связанные с интересующим нас узлом записи. Прямо отсюда добавляем их в белый лист, проверяем работу сайта и снова изучаем лог, последовательно разрешая связанные ресурсы до тех пор, пока сайт не начнет работать так, как нам надо. Работа эта достаточно кропотливая и трудоемкая, но большинство связанных ресурсов находится на крупных международных хостингах и проделав весь труд для одного сайта, вы, скорее всего, получите удовлетворительный результат и для остальных. Но затраченные усилия непременно отобьются - фактически вы получите непробиваемую защиту, ни один пользователь не сможет пройти дальше белого списка.\nЗаключение Как мы могли убедиться, Pi-hole это гораздо больше, чем просто блокировка рекламы. Фактически вам в руки попадает удобный и мощный фильтрующий DNS-сервер, который можно использовать в самых различных сценариях управления доступом к сети интернет, включая самые жесткие. Управлять всем этим полноценно можно из удобной веб-панели, что позволяет значительно снизить порог входа для освоения продукта и не требовать от оператора обязательного знания Linux-систем. В тоже время под капотом находятся понятные и привычные инструменты, а следовательно, опытный администратор будет иметь полный контроль над собственной системой.\n","id":"0061e2aa01aafb7cc7dc1d2cb361ffce","link":"https://interface31.ru/post/sozdaem-sobstvennyy-filtruyushhiy-dns-server-na-baze-pi-hole/","section":"post","tags":["DNS","Dnsmasq","lighttpd","Pi-hole","Безопасность","Сетевые технологии"],"title":"Создаем собственный фильтрующий DNS-сервер на базе Pi-hole"},{"body":"Active Directory предоставляет широкие возможности по централизованному управлению инфраструктурой, один из предназначенных для этого инструментов - групповые политики (GPO), в умелых руках они позволяют легко решать самые разнообразные задачи. Сегодня мы рассмотрим один из таких случаев, задача, в общем и целом, простая, но решение оказалось не столь очевидным и нашему читателю пришлось потратить некоторое время на поиски решения. А затем применить его централизованно при помощи групповых политик.\nОдним из достаточно спорных нововведений в дизайне Windows стал отказ от размещения на рабочем столе навигационных значков, таких как Мой компьютер, Мои документы, Сетевое окружение. Вернуть их не так уж и сложно, для этого потребуется щёлкнуть правой кнопкой мыши на рабочем столе и выбрать Персонализация - Темы - Параметры значков рабочего стола. Но как быть, если компьютеров не один и не два? А пользователей еще больше? Дело в том, что данная настройка выполняется на уровне пользователя и если компьютером пользуется несколько человек, то аналогичную настройку нужно выполнить для каждого. Понятно, что без автоматизации не обойтись, нужно искать подходящее решение. Но если мы начнем с GPO, то не обнаружим там подходящей политики, как быть? Прежде всего следует разобраться, какие еще методы есть в системе, позволяющие скрывать или отображать значки на рабочем столе.\nОдной из альтернатив пользовательскому интерфейсу является реестр, который хранит настройки отображения в ветви:\n1HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\HideDesktopIcons\\NewStartPanel Данная ветвь хранит параметры с некоторым {ID} и значением, где 0 (0х0000000) отвечает за показ значка, а 1 (0х0000001) за скрытие. Для отображения в Windows 10 доступны следующие значки с идентификаторами:\n{20D04FE0-3AEA-1069-A2D8-08002B30309D} - Этот компьютер {59031A47-3F72-44A7-89C5-5595FE6B30EE} - Профиль пользователя {F02C1A0D-BE21-4350-88B0-7367FC96EF3C} - Сеть Теперь дело за малым - распространить эти изменения через групповую политику. Перейдем в Управление групповой политикой и создадим Новый объект групповой политики. Мы советуем заводить по одной политике на каждую настройку и давать им понятные названия. Откроем политику на редактирование и перейдем в Конфигурация пользователя - Настройка - Конфигурация Windows - Реестр, где создадим необходимые записи со следующими значениями полей:\nДействие - Обновить Куст - HKEY_CURRENT_USER Путь раздела - HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\HideDesktopIcons\\NewStartPanel Имя параметра - нужный ID, в нашем случае {20D04FE0-3AEA-1069-A2D8-08002B30309D} Значение - 00000000 База - Шестнадцатеричный. Создав нужные записи для значков сохраним политику и применим ее на OU (подразделение) с пользователями, для этого можно просто перетащить политику в редакторе на нужное OU. Сделанные нами изменения будут применены при следующем входе пользователя в систему или по мере обновления групповых политик, которое происходит один раз в 90 минут с произвольным смещением до 30 минут. Если нужно применить изменения немедленно, то следует произвести ручное обновление политик командой:\n1gpupdate Данный метод применим не только к Windows 10, но и к предыдущим версиям Windows, включая Windows XP. При работе с ними нужно учитывать, что в этих системах может быть включено Классическое меню Пуск (образца Windows 2000), в этом случае изменения нужно вносить в ветвь:\n1HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\HideDesktopIcons\\ClassicStartMenu Также вы можете использовать следующие ID:\n{645FF040-5081-101B-9F08-00AA002F954E} - Корзина {5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0} - Панель управления {450D8FBA-AD25-11D0-98A8-0800361B1103} - Мои документы ","id":"af069eda0bc25123604a5d91d35dd010","link":"https://interface31.ru/post/vklyuchaem-otobrazhenie-znachkov-na-rabochem-stole-windows-10-cherez-gruppovye-politiki/","section":"post","tags":["Active Directory","GPO","Персонализация","Рабочее место"],"title":"Включаем отображение значков на рабочем столе Windows 10 через групповые политики"},{"body":"Любая сетевая инфраструктура требует постоянного контроля и мониторинга и чем больше она становится, тем острее поднимается этот вопрос. Полноценные системы мониторинга достаточно сложны и требуют выделения ресурсов для развертывания, что не всегда возможно в небольших сетях. В этом случае стоит обратить внимание на The Dude от Mikrotik, которая позволяет быстро и без дополнительных затрат поднять простую систему мониторинга, а затем постепенно наращивать ее возможности согласно реальным потребностям.\nThe Dude - это сетевой монитор от известного латвийского производителя, достаточно простой в установке и использовании, но обладающий весьма богатыми возможностями. К его достоинствам следует отнести низкий порог входа - вы можете начать использовать продукт сразу, с настройками из коробки, не разбираясь в тонкостях настройки. Да, в результате получится достаточно простая система, но она будет работать и ее можно будет последовательно усложнять, добавляя те или иные функции. Такой подход кажется нам более предпочтительным, чем попытки реализовать сразу сложную систему, не имея должного опыта работы в данной области.\nДанная публикация будет служить началом серии и в ней мы рассмотрим самые базовые вещи: как установить и быстро начать работу с The Dude, при этом многие возможности сознательно оставлены за рамками статьи, чтобы не перегружать и усложнять материал.\nУстановка The Dude Серверная часть The Dude работает только в RouterOS, это означает, что вам потребуется либо устройство с его поддержкой, либо виртуальная машина с Cloud Hosted Router (CHR). Ознакомиться со списком поддерживаемых архитектур можно наофициальной странице, для них будет доступен для скачивания отдельный пакет The Dude server. Там же можно скачать и клиент для установки на рабочую станцию администратора, ссылка на него находится в шапке, рядом со ссылкой на Winbox. Обратите внимание, что версии клиента и сервера должны совпадать. Работу с The Dude поддерживают следующие архитектуры: TILE, MMIPS, ARM, ARM64 и X86. Самыми доступными роутерами с его поддержкой будут hEX (RB750Gr3) и hAP ac2, первый дополнительно привлекателен тем, что имеет и USB-разъем и слот для SD-карты. Так как сервер Dude хранит данные об опрашиваемых устройствах в собственной базе данных, куда ведет постоянную запись, крайне нежелательно использовать для ее хранения внутреннюю память роутера, используйте для этого SD-карты или USB-накопители. При этом следует приобретать модели с повышенным ресурсом, например предназначенные для видеорегистраторов.\nПри этом наиболее оптимальным, на наш взгляд, является использование для работы с The Dude виртуальной машины с CHR, это позволит в полной мере использовать все возможности приложения без оглядки на аппаратные ограничения платформы.\nДля установки серверной части скачайте пакет The Dude server с официального сайта и поместите его на свой роутер, это можно сделать через Winbox, просто перетащив его в окно раздела Files. Затем просто перезагрузите устройство. Если вы используете CHR, то устанавливать The Dude не нужно, серверный пакет уже включен в образ.\nЗатем подключите к устройству внешний накопитель и отформатируйте его в ext3, затем перейдите в меню Winbox в Dude - Settings, в открывшемся окне установите флаг Enabled и в поле Data Directory укажите путь к папке dude так, чтобы она располагалась на внешнем накопителе. Например, если накопитель у вас определился как disk1, то полный путь будет /disk1/dude. Для CHR оставьте значение этого поля по умолчанию. Шрифты следует поместить в директорию /dude/files, это можно сделать через Winboх, но мы несколько раз сталкивались с тем, что таким способом шрифты загружаются некорректно, поэтому лучше используйте любой SFTP-клиент, например, WinSCP. Также сразу создайте директорию /dude/files/images, куда вы сможете загружать собственные изображения, поддерживаются JPG, GIF и SVG форматы, предпочтение следует отдавать последнему, так как он является векторным, занимает немного места и прекрасно масштабируется.\nПервый запуск The Dude Для работы с сервером мониторинга следует установить клиент, это не должно вызвать затруднений. Окно входа напоминает таковое у Winbox, вам следует ввести адрес сервера, учетные данные (совпадают с учетными данными RouterOS) и, при желании, сохранить параметры подключения. Клиент не хранит никаких данных и позволяет работать с несколькими серверами. При подключении с сервера на клиент передается достаточно большое количество данных и поэтому оно может занять продолжительное время. Если вы используете CHR рекомендуем сразу поднять уровень лицензии до P1.\nПосле первого запуска появляется предложение просканировать сеть и добавить на карту все обнаруженные устройства. Вы можете согласиться с данным предложением, оставить его на потом, либо добавить все устройства вручную. Впоследствии вы всегда можете запустить сканирование кнопкой Discover на верхней панели, это можно делать и при уже заполненной карте, на нее будут добавлены только новые устройства. Мы не видим смысла отказываться от того, что облегчает ручную работу, поэтому рекомендуем использовать эту функцию для начального заполнения карты. Пока наша сеть сканируется выполним одну важную настройку - подключим русские шрифты. Для этого нажмите на кнопку Settings в левой панели и перейдите на закладку Map, последовательно разворачивайте пункты и меняйте встроенный шрифт на загруженный вами на устройство, это же действие следует повторить на закладках Chart и Report. При этом обращайте внимание на то, какой шрифт вы меняете, моноширинный шрифт заменяйте моноширинным. К этому времени сканирование будет окончено, и мы можем ознакомиться с его результатами, расставить найденные устройства по карте, присвоить им понятные имена. Уже сейчас у нас получилась простейшая карта сети, которая отображает ее узлы и показывает их доступность. Но на карту оказались добавлены не все устройства, например, здесь не оказалось нашей рабочей станции с Windows 10. Причина проста - настройки брандмауэра по умолчанию. Поэтому добавим новый узел вручную. Для этого щелкните правой кнопкой мыши на свободном месте карты и в выпадающем меню выберите Add Device. В открывшемся диалоговом окне вводим сетевой адрес или имя устройства, а если оно работает под управлением RouterOS, то устанавливаем соответствующий флаг и вводим учетные данные. Следующим шагом указываем службы, которые мы хотим мониторить у данного устройства, их можно как добавить вручную, так и заполнить автоматически, для чего нажмите на кнопку Discover. Помните, что для того, чтобы The Dude мог мониторить тот или иной сервис доступ к нему должен быть разрешен в брандмауэре узла. В нашем случае разрешим рабочей станции на Windows 10 отвечать на пинг и выполним автоматическое обнаружение служб. После чего у нас на карте появится новое устройство, доступность которого мы также можем контролировать. Если открыть его свойства, то здесь мы увидим достаточно много параметров, которые можно изменить, но не будем спешить, так как рассмотрение многих из них далеко выходит за рамки вводной статьи. Пока что ограничимся вводом понятного имени устройства и выбором его типа. Один из самых популярных вопросов, которые возникают на данном этапе - как сменить картинку устройства. Такое стремление вполне понятно, штатные картинки выглядят довольно блекло и непрезентабельно. Нет ничего сложного, нажимаем на кнопку с одним квадратиком (Edit) рядом с типом устройства и попадаем в его свойства, здесь мы можем установить собственную картинку, которую нужно предварительно загрузить в /dude/files/images. А как быть, если мы хотим отображать разные картинки для одного типа устройств? Скажем, у нас есть несколько моделей роутеров Mikrotik, и мы хотим для каждой из них поставить свою картинку? В этом случае нам придется создать новые типы, для каждой модели роутера, точнее скопировать уже существующий тип и изменить его. Почему скопировать? Потому что тип - это намного больше чем наименование и картинка, и пока мы не умеем самостоятельно создавать новые типы лучше всего копировать существующие.\nДля этого нажмите на кнопку с тремя квадратиками (Edit List) справа от поля типа и скопируйте одну из существующих записей (для этого последовательно нажмите кнопки Copy и Paste), затем дайте типу собственное наименование и установите желаемую картинку. Подведем небольшой промежуточный итог: практически сразу после установке The Dude мы научились добавлять на карту сетевые устройства и отслеживать их доступность. Но для полноценной системы мониторинга этого мало, желательно контролировать большее количество показателей, для этого нам придет на помощь протокол SNMP, включение которого для разных типов устройств мы рассмотрим ниже. Мы не будем вдаваться в подробности функционирования данного протокола, а просто расскажем, как начать собирать данные с устройств с его помощью.\nВключение SNMP в RouterOS Начнем с устройств под управлением RouterOS, подключимся к ним при помощи Winboх и перейдем в IP - SNMP, в открывшемся окне установим флаг Enabled. Затем нажмем на кнопку Communities и откроем свойства имеющейся записи public, в поле Addresses укажем адрес нашего The Dude сервера, это ограничит доступ к информации передаваемой по SNMP только сервером мониторинга. Теперь вернемся в клиент The Dude и перейдем к свойствам устройства с RouterOS, в первую очередь проверим, что флаг RouterOS установлен, если устройство является Dude Server - то дополнительно устанавливаем одноименный флаг. В полях User Name и Password должны быть введены учетные данные, после чего следует убедиться, что RouterOS Status имеет состояние ok. Затем откроем закладку Services, где будут перечислены все контролируемые службы устройства, можно снова выполнить автоматическое обнаружение и The Dude добавит в список вновь обнаруженные службы и датчики. Но давайте подойдем к вопросу с другой стороны: а нужно ли нам такое количество собираемой информации? Очевидно, что нет. Если это единственный роутер небольшой сети, то нам, в принципе, достаточно контролировать его доступность, отслеживать отдельно работающие на нем службы нет особой необходимости. Часть из них вообще обычно отключается в целях безопасности. Поэтому смело убирайте все, что вам в текущий момент без надобности, тем самым вы упростите контроль, так как контролироваться будут только действительно важные параметры, и снизите нагрузку на устройство, что особенно актуально, если вы установили The Dude на роутер (будет экономиться ресурс флеш-накопителя). Зато в этом списке хотелось бы видеть текущую нагрузку на устройство, эта информация как раз поступает к нам по SNMP, и мы теперь можем добавить и отслеживать соответствующие датчики. Для первого раза вы можете заполнить список доступных служб автоматически, нажав Discover, в дальнейшем проще будет формировать необходимый список руками, добавляя только нужное. Через некоторое время, за которое The Dude опросит устройства, значки на карте изменятся, теперь на них будут указаны основные параметры нагрузки на устройство: загрузка ЦПУ, использование памяти и диска. Историю значений вы всегда можете просмотреть в свойствах устройства на закладке History: Сейчас мы не будем углубляться в этот вопрос, для быстрого старта этого вполне достаточно, а перейдем к следующему разделу.\nВключение SNMP в Windows Для Windows Server вам потребуется открыть Диспетчер серверов, затем перейти в Управление - Добавить роли и компоненты и на странице с компонентами включить Служба SNMP: В настольных выпусках Windows есть несколько вариантов, в предыдущих версиях и ранних релизах Windows 10 данная компонента добавляется из оснастки Программы и компоненты - Включение или отключение компонентов Windows, где нужно включить SNMP-протокол: В современных версиях Windows 10 вам нужно перейти в Параметры - Приложения - Дополнительные компоненты, либо Параметры - Приложения и возможности - Дополнительные возможности (в разных версиях Windows эти пункты могут называться по-разному): Там нужно добавить в систему новый компонент - SNMP протокол: Затем откроем оснастку Службы и найдем в ней Служба SNMP, откроем ее свойства и перейдем на закладку Безопасность. В поле Приемлемые имена сообществ добавим сообщество public с правами READ ONLY, а ниже установим переключатель в положение Принимать пакеты SNMP только от этих узлов и добавим в список адрес вашего The Dude сервера. После чего службу необходимо перезапустить, в ряде случаев для того, чтобы компьютер передавал SNMP-информацию его может потребоваться перезагрузить. Затем точно также возвращаемся в The Dude и добавляем для отслеживания Windows-устройствами необходимые службы.\nВключение SNMP в Linux В данном примере мы будем ориентироваться на Debian/Ubuntu и основанные на них системы, однако все сказанное подходит и для других дистрибутивов с поправками на особенности работы с их пакетными менеджерами.\nСначала установим пакет snmpd, это действие следует выполнить с правами суперпользователя или через sudo:\n1sudo apt install snmpd Затем откроем конфигурационный файл службы /etc/smnp/snmpd.conf и закомментируем в нем следующую строку:\n1#agentAddress udp:127.0.0.1:161 А ниже раскомментируем:\n1agentAddress udp:161,udp6: [::1]:161 Если вы не готовы работать с IPv6, то приведите ее к виду:\n1agentAddress udp:161 После чего найдем строку:\n1rocommunity public default -V systemonly И изменим ее на:\n1rocommunity public 192.168.111.154 где 192.168.111.154 - адрес The Dude сервера.\nСохраним файл и перезапустим службу:\n1systemctl restart snmpd Затем снова возвращаемся в The Dude и настраиваем мониторинг для Linux-узлов. Теперь наша система выглядит гораздо более серьезной - мы видим не только доступность узлов, но и контролируем основные показатели нагрузки на каждый из них.\nНастраиваем мониторинг сети Если мы внимательно посмотрим на нашу карту, то увидим, что отсутствует одна важная деталь - схема сетевого взаимодействия. Это отдельный вопрос, и мы решили оставить его напоследок. Управляемое сетевое оборудование мы можем точно также добавить на карту как устройство с типом Switch, включить на нем SNMP (для этого обратитесь к документации на устройство) и начать контролировать необходимые показатели.\nА как быть, если у нас простое неуправляемое устройство? Понятно, что мониторить мы его не сможем, но для визуализации оно нужно, поэтому добавим на карту объект типа Static. В поле Label укажите желаемую подпись устройства, в Shape выберите его форму и выше укажите желаемый цвет, а на закладке Image установите картинку. Теперь можно проводить сетевые связи. Для этого щелкните правой кнопкой мыши на свободной части карты и выберите Add Link, затем проведите линию между двумя устройствами. В открывшемся окне введем параметры подключения. Самое верхнее поле Device определяет с какого устройства мы будем получать информацию о соединении, в нашем случае это будет Router, в поле Mastering Type указываем каким образом получать информацию с устройства - snmp, если вам нужно просто нарисовать линию без контроля состояния канала - укажите simple. Если вы выбрали snmp, то ниже в поле Interface укажите физический интерфейс, к которому подключен данный линк. И в поле Type выберите тип линка, это влияет на характер отображения на карте и визуализацию загрузки с учетом пропускной способности интерфейса. В итоге у вас должна получиться карта, полностью повторяющая топологию вашей сети. При добавлении линков следует учитывать некоторые особенности: если у вас с обоих концов находятся управляемые устройства - то возьмите за правило привязывать линки к какой-либо одной стороне, это позволит правильно определять направления движения трафика, не гадая что в данном случае значит Tx, а что Rx. Хорошим правилом будет привязывать линки к активному сетевому оборудованию - управляемым коммутаторам, роутерам. Если вам нужно соединить два коммутатора, то можно между ними добавить любой объект типа Static и привязать линки с двух сторон к нему.\nВнешние линки также можно привязывать к объектам типа Static или Network, для них также желательно указывать фактическую скорость линка, например, согласно тарифу провайдера, для этого воспользуйтесь полем Speed, значения в нем указываются в десятичной системе, т.е. 50 Мбит/с - 50 000 000. Для мобильных подключений, скажем, LTE, где скорость может зависеть от условий приема, разумно будет указать фактическую скорость канала, измеренную любым тестером (Speedtest от Ookla и т.п.). Зачем это нужно? Для визуализации, чтобы вы при беглом взгляде на карту сразу смогли оценить загруженность линков. Обратите внимание на схему ниже, цвет внешнего линка изменился, показывая высокую нагрузку на канал, для которого мы установили скорость в 50 Мбит/с, в то же время внутренний линк цвет не изменил, потому что для gigabit ethernet какие-то там 35 Мбит/с особой нагрузки не представляют. На этом наша статья подходит к концу. Очень многое мы дали в сжатом виде, еще больше осталось за кадром. Но нельзя пытаться объять необъятное, попытка сразу строить сложную систему обычно ни к чему хорошему не приводит. В нашем же случае вы получите простую, но при этом достаточно эффективную и понятную систему мониторинга, возможности которой можно будет постепенно наращивать.\n","id":"b256f6d7204b0975666e067f5744dca8","link":"https://interface31.ru/post/the-dude-ustanovka-i-bystroe-nachalo-raboty/","section":"post","tags":["MikroTik","The Dude","Мониторинг","Сетевые технологии"],"title":"The Dude. Установка и быстрое начало работы"},{"body":"Технологии постоянно развиваются, внося в нашу жизнь новые инструменты, которые вытесняют и заменяют старые и привычные нам. Но зачастую администраторы не спешат не только применять их на практике, но даже изучать. Нет, здоровый консерватизм безусловно оправдан, но исключительно в разумных пределах. Гораздо хуже, когда внедрение новых технологий тормозится по надуманным или \u0026quot;идеологическим\u0026quot; причинам несмотря на то, что они предоставляют гораздо более широкие возможности. Одна из таких технологий - таймеры systemd, которые позволяют по-новому взглянуть на некоторые классические задачи.\nК systemd можно относиться по-разному, но нельзя отрицать, что данная подсистема вывела на новый уровень управление службами в системе Linux и сделала эту задачу гораздо более простой и удобной. Все ведущие, имеющие промышленное применение дистрибутивы, используют systemd, который стал де-факто стандартом. А поэтому глупо отрицать все преимущества, которые он нам предоставляет и продолжать цепляться за старые технологии.\nСегодня мы поговорим от таймерах, как современной и эффективной замене cron. Cron - один из старожителей, пришедший к нам из мира UNIX и полностью следующий его философии, но современные системы гораздо более сложны, чем классический UNIX и некоторые подходы приходится пересматривать.\nДа, сron многим привычен, но если рассматривать его сильные и слабые стороны, то в плюсы ему можно записать только простоту, все остальное - обратная сторона медали от этой простоты. Что умеет cron? Запускать задачи по расписанию и уведомлять администратора, если такой запуск завершился неудачей. Неудачей в данном случае считается возврат запускаемым приложением или скриптом кода ошибки, все остальное cron не касается, его дело запустить. Уведомление по электронной почте в современных реалиях фактически равноценно его отсутствию, мало кто будет настраивать почтовый сервер ради нескольких уведомлений.\nВ остальном cron является достаточно сложным и недружественным сервисом. Одним из популярных запросов в поисковых системах является \u0026quot;скрипт не работает в cron\u0026quot;, это действительно так, ваш скрипт может прекрасно работать интерактивно, но не работать через планировщик, либо работать, но приводить к неожиданным результатам. И установить причину такого поведения иногда бывает достаточно сложно. Из этого вытекает одна из основных проблем - сложность отладки. Если вы не позаботились о логировании всех действий вашего скрипта, то найти источник проблем может оказаться крайне затруднительно.\nВторая проблема - тонкая настройка расписания. Хорошо, когда условие простое и задание можно проверить, просто уменьшив интервал, а если довольно сложное? Тогда вы все узнаете только по наступлению события.\nТеперь посмотрим, что нам предлагает systеmd. Таймеры - это специальные триггеры, позволяющие запускать любые сервисы периодически, либо по наступлению какого-либо события. Здесь кроется существенное отличие от cron, запись которого содержит и расписание, и действие, в systemd эта логика разделена: таймер отвечает за управление сервисом, который уже выполняет действие. Для таймеров используются юниты с расширением .timer, в то время как для служб с расширением .service. Чтобы управлять каким-либо сервисом вам понадобится создать для него одноименный таймер.\nВ чем плюсы такого подхода? Их много. Давайте рассмотрим работу с таймерами на простом примере. Для начала создадим собственный юнит сервиса, который будет выполнять какое-нибудь простое действие, скажем выводить строку \u0026quot;Hello, world!\u0026quot;. Для этого создадим файл с расширением .service в /etc/systemd/system:\n1touch /etc/systemd/system/hello.service И начнем его заполнять, первой секцией является [Unit], в которую мы помещаем описание нашей службы:\n1[Unit] 2Description=My Hello world service В минимальной конфигурации этого достаточно, но возможности systemd гораздо шире. Здесь же можно указать зависимости, если для работы вашему сервису требуются, либо желательны другие службы. Для указания строгой зависимости используйте Requires, например:\n1Requires=mysql.service В случае если указанные в этой опции службы не получится запустить, запуск нашего сервиса также завершится неудачей. Более мягкую зависимость предполагает директива Wants:\n1Wants=nginx.service Если указанные службы не будут найдены или не смогут запуститься, то это никак не повлияет на работу нашего сервиса. Обе директивы предусматривают параллельный запуск указанных в них служб. Если к моменту запуска собственной службы какие-то сервисы уже должны быть запущены, то следует воспользоваться директивой After, скажем если нам нужно запускать службу после того, как будет поднята сеть, следует указать:\n1After=network.target Это достаточно удобно, так как позволяет сразу указать требуемые условия для запуска сервиса, скажем для скрипта резервного копирования баз данных мы можем указать в зависимостях службу СУБД и, если она недоступна скрипт выполняться не будет. В то время как cron просто запустит задание без всяких проверок. Чтобы реализовать такое условие запуска службы потребуется указать:\n1Requires=mysql.service 2After=mysql.service Такой набор директив указывает, что нашей службе для работы обязательно нужен рабочий MySQL и запуск службы должен осуществляться только после его запуска.\nСледующая секция - [Service], здесь мы описываем нашу службу. Обязательно указываем тип, в нашем случае oneshot - одноразовый запуск и выполняемое действие в директиве ExecStart, для служб с типом oneshot таких директив можно указать несколько.\n1[Service] 2Type=oneshot 3ExecStart=/bin/echo \u0026#34;Hello, world!\u0026#34; Какие еще опции можно указать в данной секции? В рамках нашей задачи могут пригодиться WorkingDirectory - для указания рабочей директории, Environment для задания переменных окружения и User, Group чтобы запустить сервис от указанного пользователя или группы, например:\n1WorkingDirectory=/var/www 2User=www-data 3Group=www-data 4Environment=\u0026#34;PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin\u0026#34; И завершает юнит секция [Install] в которой укажем уровень запуска сервиса:\n1[Install] 2WantedBy=multi-user.target multi-user.target соответствует runlevel=3 или многопользовательский режим без графики.\nВ итоге у нас должно получиться:\n1[Unit] 2Description=My Hello world service 3 4[Service] 5Type=oneshot 6ExecStart=/bin/echo \u0026#34;Hello, world!\u0026#34; 7 8[Install] 9WantedBy=multi-user.target Перезагружаем службу systemd:\n1systemctl daemon-reload И пробуем запустить наш сервис:\n1systemctl start hello Вообще правильно было бы написать hello.service, но если мы не указали расширение юнита, то systemd по умолчанию считает, что мы запускаем именно службу. Состояние службы мы можем посмотреть командой:\n1systemctl status hello Кроме состояния службы - неактивна, мы увидим результат ее прошлого запуска - заветную строку Hello, world!. Но как быть, если что-то пошло не так? И здесь systemd приходит на помощь, весь поток вывода вашего скрипта или приложения автоматически логируется, чтобы просмотреть лог выполните команду:\n1journalctl -u hello.service Перед нами вся история запусков службы, как удачных, так и не очень (мы специально внесли ошибку в команду). Таким образом можно достаточно эффективно проводить отладку сервиса и это еще один большой плюс - сервис всегда работает одинаково, хоть при ручном запуске, хоть через таймер.\nУбедившись, что ваш сервис работает как надо перейдем к созданию таймера, для этого создадим еще один файл юнита:\n1touch /etc/systemd/system/hello.timer Обратите внимание, что его название соответствует файлу юнита сервиса, но имеет другое расширение. Точно также начнём его заполнять, секция [Unit] должна содержать описание:\n1[Unit] 2Description=My Hello world timer За ней следует секция [Timer] в которой мы указываем условия запуска. Таймеры могут быть двух типов, событийные и монотонные. Первые активируются по событию, вторые выполняются периодически. Из событийных таймеров нас будет интересовать OnBootSec, срабатывающий через указанное время после старта системы. Из монотонных следует выделить:\nOnUnitActiveSec - сработает через указанное время после активации целевого юнита OnUnitInactiveSec - все тоже самое, только время будет отсчитываться с момента прекращения работы целевого юнита, хорошо подходит для \u0026quot;долгоиграющих\u0026quot; задач, скажем бекапов. OnCalendar - сработает по условию календаря. Все указанные условия можно сочетать между собой. Например, чтобы указать запуск сервиса через полчаса после загрузки системы, а затем повторять каждые 15 минут укажем:\n1[Timer] 2OnBootSec=30m 3OnUnitActiveSec=15m Но наиболее интересным является таймер OnCalendar, который позволяет указать нужную дату и время срабатывания. В качестве формата используется:\nDOW YYYY-MM-DD HH:MM:SS\nГде DOW - Day Of Week - день недели, это необязательный параметр. За ним следует указание года, месяца и дня через дефис и час, минута, секунда через двоеточие. Для указания любого значения можно использовать *, перечисления делаются через запятую, а диапазоны разделяются .. (двумя точками). Знак тильды ~ можно использовать для указания количества интервалов от конца диапазона, а косую черту / в качестве модификатора. Несколько примеров:\n1*:*:00 - каждую минуту 2*:15:00 - в 15 минут каждого часа 3*-*-1,5,7 *:00:00 каждый час 1, 5 и 7 числа 4Mon *-*~1 если последний день месяца понедельник 5Mon *-*~7/1 последний понедельник месяца Также можно использовать следующие алиасы:\n1minutely - ежеминутно 2hourly - каждый час 3daily - каждый день 4monthly - каждый месяц 5weekly - еженедельно 6yearly - ежегодно 7quarterly - ежеквартально 8semiannually - раз в полгода На первый взгляд несколько сложно, но systemd предоставляет удобный инструмент для проверки таких конструкций, чтобы проверить ваше условие выполните, заключив анализируемые данные в кавычки:\n1systemd-analyze calendar \u0026#34;Mon *-*~7/1\u0026#34; Опять таки очень удобно, не нужно гадать правильно ли вы создали сложное условие, его можно сразу проверить и увидеть планируемое время срабатывания.\nЕще один важный момент - точность. По умолчанию точность таймеров systemd равна одно минуте, это значит, что при наступлении указанного в таймере времени запуск сервиса произойдет в случайный промежуток времени равный одной минуте. Это сделано для того, чтобы разнести срабатывание таймеров, назначенных на одно время и исключить повышенную нагрузку на систему. Изменить это поведение можно при помощи директивы AccuracySec, с ее помощью можно как увеличить, так и уменьшить значение точности. Например, увеличим ее до одного часа:\n1AccuracySec=1h Еще одна полезная опция - Persistent, которая указывает запускать таймер немедленно, если был пропущен предыдущий запуск:\n1Persistent=true И завершает юнит секция [Install] со следующим содержимым:\n1[Install] 2WantedBy=timers.target Итоговый юнит таймера в нашем примере будет выглядеть следующим образом:\n1[Unit] 2Description=My Hello world timer 3 4[Timer] 5OnCalendar=*:*:00 6 7[Install] 8WantedBy=timers.target В нашем случае условие самое простое - запуск один раз в минуту. Сохраним файл юнита и запустим его:\n1systemctl start hello.timer После чего проверим его статус:\n1systemctl status hello.timer Если все сделано правильно, то таймер будет в состоянии активен (ожидание) и ниже будет указано время до следующего запуска. Подождем несколько минут и снова изучим журнал нашей службы:\n1journalctl -u hello.service В котором вы увидите все запуски вашей службы, выполненные таймером.\nЕсли вы внесли какие-либо изменения в файлы юнитов не забывайте перезапустить systemd командой:\n1systemctl daemon-reload Теперь нам остается последний штрих - добавить таймер в автозагрузку, для чего воспользуйтесь командой:\n1systemctl enable hello.timer Для выключения следует использовать:\n1systemctl disable hello.timer Как видим, таймеры systemd открывают перед нами гораздо более широкие возможности, чем классический cron, кроме того, юнит службы всегда можно запустить вручную, будучи твердо уверенным, что запускаете вы именно то, что выполняется по расписанию. Если же что-то пошло не так, вам поможет журнал, который systemd ведет автоматически.\nНадеемся данный материал окажется вам полезным, и вы начнете применять таймеры systemd в своей практике вместо заданий cron.\n","id":"71a88687142fccca2b76006840664b12","link":"https://interface31.ru/post/nastraivaem-taymery-systemd-vmesto-zadaniy-cron/","section":"post","tags":["cron","Debian","Linux","systemd","timer","Ubuntu"],"title":"Настраиваем таймеры systemd вместо заданий cron"},{"body":"Не так давно мы рассказывали о виртуальном роутере Mikrotik CHR (Cloud Hosted Router), который представляет собой специальную версию RouterOS для виртуальных сред. Это дает возможность использовать все возможности Mikrotik без оглядки на производительность и физические ограничения роутеров официальной линейки. Сегодня мы поговорим о том, как установить CHR на виртуальную машину Proxmox, ничего сложного в этом процессе нет и даже есть соответствующая статья в официальной Wiki, но гладко было на бумаге...\nИзначально мы не собирались писать эту статью. Какой смысл переписывать то, что есть в официальной документации, тем более что там представлен готовый скрипт. Как говориться: нажми на кнопку и получи результат. Хотя сами мы его никогда не использовали, предпочитая все делать вручную. На самом деле процесс несложный: скачать и сконвертировать образ диска, затем создать виртуальную машину с ним. Но недавно с таким вопросом к нам обратился коллега и мы дали ему ссылку на официальную документацию.\nА вот дальше все пошло не так. Скрипт оказался фактически нерабочим, кроме того, содержащим достаточно грубые ошибки. Начнем по порядку.\nURL для скачивания образа диска указан неверно, при попытке перехода по нему нас ждет сообщение:\n1\u0026lt;Error\u0026gt; 2\u0026lt;Code\u0026gt;AccessDenied\u0026lt;/Code\u0026gt; 3\u0026lt;Message\u0026gt;Access Denied\u0026lt;/Message\u0026gt; Но скрипт игнорирует ошибку получения образа и продолжает свою работу, создавая виртуальную машину без жесткого диска.\nСледующая ошибка - перед предложением указать свободный VM ID выводится список только виртуальных машин, существующие контейнеры игнорируются. И хотя Proxmox не даст создать еще одну виртуалку с существующим VM ID, но мусор в виде образа диска в системе останется.\nПосле указания VM ID проверка на существование виртуальной машины производится некорректно, проверяется наличие каталога с образом диска, в то время как современные виртуалки могут использовать Thin LVM. Правильно будет проверять наличие конфигурационного файла виртуалки. При этом логика самой проверки неверна, установив наличие существующего образа скрипт предложит ввести новое значение VM ID, но новое значение проверяться никак не будет. Т.е. можно два раза указать неверное значение и скрипт продолжит свою работу.\nС учетом всего вышесказанного мы серьёзно переработали скрипт и добавили в него новые функции. Наш скрипт выполняет следующие действия:\nСкачивает образ Mikrotik CHR указанной версии и проверяет успешность этого действия Выводит список всех виртуальных машин и контейнеров Проверяет введенный VM ID на существование виртуальной машины или контейнера с таким идентификатором Конвертирует образ и изменяет размер виртуального жесткого диска на указанный пользователем (новая функция) Создает виртуальную машину с нужным образом диска При возникновении ошибок на любом из этапов скрипт сообщает об ошибке и завершает свою работу.\n1#!/bin/bash 2 3#vars 4version=\u0026#34;nil\u0026#34; 5vmID=\u0026#34;nil\u0026#34; 6 7echo \u0026#34;############## Start of Script ############## 8 9## Checking if temp dir is available...\u0026#34; 10if [ -d /root/temp ] 11then 12 echo \u0026#34;-- Directory exists!\u0026#34; 13else 14 echo \u0026#34;-- Creating temp dir!\u0026#34; 15 mkdir /root/temp 16fi 17# Ask user for version 18echo \u0026#34;## Preparing for image download and VM creation!\u0026#34; 19read -p \u0026#34;Please input CHR version to deploy (6.38.2, 6.40.1, etc):\u0026#34; version 20# Check if image is available and download if needed 21if [ -f /root/temp/chr-$version.img ] 22then 23 echo \u0026#34;-- CHR image is available.\u0026#34; 24else 25 echo \u0026#34;-- Downloading CHR $version image file.\u0026#34; 26 cd /root/temp 27 echo \u0026#34;---------------------------------------------------------------------------\u0026#34; 28 wget --no-check-certificate https://download.mikrotik.com/routeros/$version/chr-$version.img.zip 29 unzip chr-$version.img.zip 30 echo \u0026#34;---------------------------------------------------------------------------\u0026#34; 31fi 32if [ ! -f /root/temp/chr-$version.img ] 33then 34 echo \u0026#34;-- Error downloading CHR $version image file!\u0026#34; 35 exit 0 36fi 37# List already existing VM\u0026#39;s and ask for vmID 38echo \u0026#34;== Printing list of VM\u0026#39;s on this hypervisor!\u0026#34; 39qm list 40echo \u0026#34;== Printing list of CT\u0026#39;s on this hypervisor!\u0026#34; 41pct list 42echo \u0026#34;\u0026#34; 43read -p \u0026#34;Please Enter free vm ID to use:\u0026#34; vmID 44echo \u0026#34;\u0026#34; 45# Create storage dir for VM if needed. 46if [ -f /etc/pve/nodes/pve/qemu-server/$vmID.conf ] 47then 48 echo \u0026#34;-- VM exists! Try another vm ID!\u0026#34; 49 exit 0 50fi 51if [ -f /etc/pve/nodes/pve/lxc/$vmID.conf ] 52then 53 echo \u0026#34;-- CT exists! Try another vm ID!\u0026#34; 54 exit 0 55fi 56echo \u0026#34;-- Creating VM image dir!\u0026#34; 57mkdir /var/lib/vz/images/$vmID 58# Creating qcow2 image for CHR. 59read -p \u0026#34;Please input image size, GB:\u0026#34; imgsize 60echo \u0026#34;-- Converting image to qcow2 format \u0026#34; 61qemu-img convert \\ 62 -f raw \\ 63 -O qcow2 \\ 64 /root/temp/chr-$version.img \\ 65 /var/lib/vz/images/$vmID/vm-$vmID-disk-1.qcow2 66if [ $imgsize -ne 0 ] 67then 68 echo \u0026#34;-- Resize image to $imgsize GB\u0026#34; 69 qemu-img resize \\ 70 /var/lib/vz/images/$vmID/vm-$vmID-disk-1.qcow2 +${imgsize}G 71fi 72# Creating VM 73echo \u0026#34;-- Creating new CHR VM\u0026#34; 74qm create $vmID \\ 75 --name chr-$version \\ 76 --net0 virtio,bridge=vmbr0 \\ 77 --bootdisk virtio0 \\ 78 --ostype l26 \\ 79 --memory 256 \\ 80 --onboot no \\ 81 --sockets 1 \\ 82 --cores 1 \\ 83 --virtio0 local:$vmID/vm-$vmID-disk-1.qcow2 84echo \u0026#34;############## End of Script ##############\u0026#34; Разберем его работу подробнее.\nСекция ## Checking if temp dir is available...\u0026quot; проверяет наличие временной директории /root/temp и создает ее в случае отсутствия. Затем у пользователя запрашивается номер требуемой версии RouterOS и производится попытка ее скачать. Кроме исправленного адреса мы добавили опцию --no-check-certificate для wget, что позволяет исключить ошибки с проверкой валидности сертификата.\nЗатем производится проверка успешности скачивания и распаковки образа:\n1if [ ! -f /root/temp/chr-$version.img ] Если файл образа не существует - скрипт завершит свою работу. В случае успеха он выведет пользователю список не только виртуальных машин, но и контейнеров:\n1echo \u0026#34;== Printing list of VM\u0026#39;s on this hypervisor!\u0026#34; 2qm list 3echo \u0026#34;== Printing list of CT\u0026#39;s on this hypervisor!\u0026#34; 4pct list После ввода желаемого VM ID происходит проверка наличия конфигурационных файлов, как для виртуалок, так и для контейнеров:\n1if [ -f /etc/pve/nodes/pve/qemu-server/$vmID.conf ] 2then 3 echo \u0026#34;-- VM exists! Try another vm ID!\u0026#34; 4 exit 0 5fi 6if [ -f /etc/pve/nodes/pve/lxc/$vmID.conf ] 7then 8 echo \u0026#34;-- CT exists! Try another vm ID!\u0026#34; 9 exit 0 10fi Если для указанного VM ID будет найден конфигурационный файл, скрипт сообщит что такая машина или контейнер существуют и завершит свою работу. После прохождения всех проверок, казалось бы, можно создавать виртуальную машину, но не будем спешить. По умолчанию образ диска имеет объем всего 64 МБ, что во многих случаях будет явно недостаточно. Поэтому мы добавили в скрипт новую функцию - установку нужного размера виртуального диска. Требуется указать нужное значение в ГБ или ноль, если вы не хотите увеличивать диск.\n1read -p \u0026#34;Please input image size, GB:\u0026#34; imgsize После чего будет выполнена конвертация образа, установка указанного размера и создание виртуальной машины.\nВсе последующие действия требуется выполнять с правами суперпользователя root.\nСначала создадим сам файл скрипта в корневой директории суперпользователя:\n1nano /root/CHR_install.sh И внесем в него приведенный выше текст, также можно скачать готовый скрипт с нашего сайта:\nСкачать CHR_install.sh\nMD5: 47E29D66B33955BCFB94E6149B823CB2\nНапример, это можно сделать командой:\n1cd /root 2wget --no-check-certificate https://interface31.ru/tech_it/files/CHR_install.sh Затем, вне зависимости от того, каким образом вы создали скрипт, сделаем его исполняемым:\n1chmod +x /root/CHR_install.sh Теперь его можно запускать, для этого, если вы находитесь в /root выполните:\n1./CHR_install.sh Из иных расположений:\n1/root/CHR_install.sh В ходе работы скрипта вам потребуется ответить на три вопроса: указать версию RouterOS так как она указана на сайте (6.48.1 или 6.49beta27), номер идентификатора виртуальной машины (VM ID) и желаемый размер виртуального диска в ГБ: Результатом работы скрипта будет созданная виртуальная машина, перед запуском вы можете проверить и изменить ее параметры: Обратите внимание, что скрипт создает единственный сетевой интерфейс, который подключает к vmbr0. Сама же RouterOS настроена таким образом, что на интерфейсе ether1 включен DHCP-клиент и при наличии в сети DHCP-сервера автоматически получит от него адрес. Однако вы можете настроить любую иную сетевую конфигурацию. Более подробно читайте в нашей статье о настройке сети в Proxmox VE. Также не забудьте проверить и включить автоматический запуск виртуальной машины, по умолчанию он выключен: Если же вам нужно расширить виртуальный диск уже существующей машины, то ее следует выключить и выполнить следующую команду:\n1qemu-img resize /var/lib/vz/images/105/vm-105-disk-1.qcow2 +4G В данном случае мы увеличили диск виртуальной машины с идентификатором 105 на 4 ГБ.\n","id":"6ab848bd9679fd4a8db66aad25fa70a2","link":"https://interface31.ru/post/ustanovka-mikrotik-chr-na-virtualnuyu-mashinu-proxmox/","section":"post","tags":["CHR","MikroTik","Proxmox","Виртуализация","Сетевые технологии"],"title":"Установка Mikrotik CHR на виртуальную машину Proxmox"},{"body":"Вот уже достаточно продолжительное время пальму первенства в рейтинге DistroWatch занимает MX Linux. Что это за дистрибутив и в чем причина его популярности? Описание говорит нам, что MX Linux основан на стабильном выпуске Debian и является совместным проектом сообществ antiX и бывшего MEPIS Linux. Основная цель - создать простой, легкий, стабильный, но в тоже время удобный и элегантный дистрибутив, который будет хорошо работать как на современном железе, так и на старых ПК.\nПолучить систему можно на официальном сайте, там же можно прочитать о ее основных особенностях, в том числе и на русском. К этому прилагается активное и отзывчивое сообщество, живой официальный форум, wiki и ряд альтернативных ресурсов. В общем - жизнь кипит и без поддержки пользователи точно не останутся. А лежащий в основе системы Debian позволяет успешно использовать уже имеющийся опыт, если пользователь до этого имел дело с основанными на этом дистрибутиве системами.\nНо хватит слов, приступим к установке. MX Linux загружается в качестве Live-системы, следует отдельно отметить поддержку из коробки популярной системы настольной виртуализации Virtual Box. Данный режим уже привычен для многих Linux-систем, так как позволяет еще до установки познакомиться со всеми особенностями операционной системы, проверить ее совместимость с оборудованием, удобство работы, соответствие требованиям и т.д. и т.п. А вот инсталлятор выполнен несколько непривычно. Обычно первым шагом всегда идет выбор языка, но не здесь. Однако не будем переживать и просто приступим к установке. Она достаточно проста и лаконична. Разметка диска либо производится на автомате, либо вы можете выполнить ее вручную с помощью имеющегося в комплекте GParted. Затем начинается процесс установки, который сопровождается шкалой прогресса в верхней части окна, но снова не все так просто, логично предположить, что она должна заполниться на 100%, прежде чем нам станет доступен следующий этап, но MX снова делает все по-своему. Поэтому внимательно читаем сообщения инсталлятора, иначе ждать завершения процесса можно бесконечно долго. Да, здесь на 94% нужно вручную продолжить установку, а следующим шагом нам предложат выбрать региональные настройки. В целом инсталлятор нельзя назвать ни сложным, ни непонятным. Он прост и логичен, но - непривычен, причем непривычен именно для опытных Linux-пользователей, которые привыкли к определенной последовательности действий. Вызвать затруднения у новичка процесс установки вряд ли сможет.\nПосле перезагрузки нас встречает экран входа в систему, ничего необычного или непривычного, все сделано аккуратно и элегантно. Рабочий стол выполнен на базе XFCE, так как именно это графическое окружение представляет собой золотую середину по производительности, системным требованиям и внешнему виду. К последнему вопросу разработчики подошли основательно, с первого взгляда XFCE можно и не узнать, настолько элегантно он выглядит. Основной фирменной особенностью дистрибутива являются MX-инструменты - набор утилит собственной разработки, упрощающих настройку системы в графическом режиме. Они действительно просты и удобны, а также следуют основной концепции дистрибутива - легковесности не в ущерб простоте и элегантности. Современный пользователь избалован магазинами, которые также представлены и в ведущих дистрибутивах, противоположность им классические системы управления пакетами, скажем, Synaptic. В MX-инструментах, кажется, нашли достаточно оптимальное решение, выведя классику на более простой и понятный уровень. Подобные решения - визитная карточка данного дистрибутива, во многом обеспечившие его популярность и отлично показывающие, что удобно и элегантно - это не обязательно ресурсоемко.\nЗдесь же возможен выбор установки пакетов из нескольких источников, доступны различные репозитории, в том числе Flatpak. Можно по-разному относится к подобным источникам, но следует признать, что их использование для простых пользователей, желающих иметь самые свежие версии ПО, более безопасны, чем прочие альтернативы. А там каждый сам вправе решать, что именно ему использовать. Штатное программное обеспечение не сказать, что самое свежее, но вполне актуальное и, самое главное, работает быстро и стабильно. Хотя есть некоторые шероховатости, такие как неполная русификация некоторых пакетов, того же Libre Office. Однако, при наличии некоторого опыта это исправляется походя. Вообще, работая с MX Linuх основные ощущения - это классическая стабильность Debian и потрясающая отзывчивость при весьма современном графическом окружении. Системой пользоваться просто приятно, в том числе визуально.\nМультимедийные возможности тоже на высоте, мы без каких-либо проблем просматривали IPTV в FHD качестве на не самой производительной виртуальной машине c 2 ГБ RAM и обычным HDD. С поддержкой оборудования тоже не возникло особых проблем, система успешно определила все подключенные нами к ней устройства: флеш карты большого объема, картридеры, фотоаппараты, Bluetooth и Wi-Fi адаптеры. Офисная техника, включая сетевой принтер в другой подсети также были подключены без каких-либо затруднений.\nВыводы MX Linux - не просто очередной дистрибутив с нескучными обоями, хотя они тоже есть, а глубоко продуманная система, где на первый план выведена стабильность и производительность не в ущерб простоте использования и внешнему виду. И у разработчиков все получилось, первое место в рейтинге DistroWatch тому подтверждение.\nНет, это не система для новичков, тут есть свои особенности, шероховатости, недоработки. Но для тех, кто уже имеет некоторый опыт работы с Linux-системами это очень неплохой вариант. Достаточно производительный для старого и слабого железа, но при этом отлично выглядящий визуально и имеющий богатый набор инструментов, чтобы как можно меньше обращаться к консоли.\nОбласть применения для MX Linux достаточно широка, это не только устаревшее оборудование, но и вполне современные системы на базе Atom Z или Celeron N, с 2-4 ГБ оперативной памяти и распаянным 32-64 ГБ eMMC накопителем. Как идущий в комплекте Windows 10, так и аналоги в виде топовых дистрибутивов для данной техники слишком тяжелы, а вот MX придется ко двору.\nПоэтому, если вы ищите что-то легкое, но вместе с тем современное и визуально привлекательное, советуем обратить пристальное внимание на MX Linuх, данный дистрибутив этого стоит.\n","id":"c8f061d11774d2c4fa19de8656f4ba7f","link":"https://interface31.ru/post/mx-linux---samyy-populyarnyy-distributiv-po-reytingu-distrowatch/","section":"post","tags":["Debian","Linux","MX Linux"],"title":"MX Linux - самый популярный дистрибутив по рейтингу DistroWatch"},{"body":"Пожалуй, нет другой такой темы, которая бы была столь заезжена - о резервном копировании не писал только ленивый. Она с завидной постоянностью поднимается во всех технических обсуждениях, про нее слагают анекдоты. Но, парадокс! Как только дело доходит до восстановления, то выясняются очень неприглядные вещи, начиная от отсутствия резервной копии и заканчивая тем, что копия вроде бы как есть, только вот... А работа стоит, предприятие несет убытки... Поэтому сегодня мы предлагаем вам поговорить о резервном копировании: что это вообще такое и как правильно организовать этот процесс, чтобы потом можно было спать спокойно.\nОсновной причиной написания данной статьи стал пожар в датацентре крупнейшего европейского хостинг-провайдера OVH. В ночь на 10 марта 2021 года огонь полностью уничтожил датацентр SBG2, частично выгорел SBG1, еще два датацентра не пострадали, но были отключены. Список пострадавших крайне широк: это правительственные ресурсы Франции, Великобритании, Польши, крупные европейские медиа-ресурсы, промышленные предприятия, спортивные клубы, разработчики ПО и т.д. и т.п. Последствия тоже различные: так, например, шахматный интернет-сервис Lichess.org отделался \u0026quot;легким испугом\u0026quot;.\nВ Twitter-аккаунте шахматного сайта Lichess.org сообщается, что в пожаре сгорело несколько серверов Lichess. Впрочем, благодаря усердию сисадмина, который позаботился о резервном копировании, потери данных удалось минимизировать - утрачена история шахматных задач только за последние 24 часа.\nА вот некоторым повезло меньше, разработчик игр Rust потерял все свои данные:\n\u0026quot;Мы подтверждаем полную потерю серверов из-за пожара в центре обработки данных OVH. Мы изучаем возможность замены оборудования. Восстановление данных невозможно\u0026quot;, - сообщение Rust в Twitter.\nНо это крупная авария, которая у всех на слуху, а сколько инцидентов с потерей данных происходит ежедневно за закрытыми дверями различных организаций? Причем одного такого случая бывает достаточно, чтобы лишиться рабочего места или поставить крест на карьере, независимо от предыдущих заслуг. Поэтому давайте уделим вопросу резервного копирования самое пристальное внимание, а начнем с самого начала.\nРезервная копия, архив и синхронизация - в чем разница? Прежде всего необходимо навести порядок в терминологии и разобраться что такое резервная копия и для чего она нужна. Резервная копия - это копия данных предназначенная для восстановления информации в случае утери рабочей копии по какой-либо причине. Это определение следует крепко-накрепко запомнить и вспоминать всегда, когда будут появляться задачи по резервному копированию данных.\nЕще раз - резервная копия предназначена только для восстановления данных и ни для чего иного. Очень часто резервную копию путают с архивом, но это принципиально разные сущности. Что такое архив? Это срез данных на определенную дату, который предназначен для хранения и контроля, к вопросу восстановления данных он никакого отношения не имеет. Время от времени мы слышим, что нужно делать копии данных каждый квартал, полугодие, год и хранить их в течении трех - пяти лет. Многие администраторы воспринимают это как создание еще одного набора резервных копий, хотя на самом деле фактически речь идет о создании архива.\nВ чем разница? В отличие от резервной копии, архив - это рабочая копия данных, в правильности и достоверности которых мы уверены. Скажем в бухгалтерском учете такой операцией может являться закрытие месяца, квартала, полугодия, года. После чего мы можем быть уверены, что данные в базе соответствуют реальному положению дел и ее можно отправлять в архив. Таким образом копия сделанная 31 марта не будет являться архивом за квартал, так как все необходимые регламентные операции еще не выполнены и в достоверности данных мы не уверены.\nЕще одна популярная технология, которая используется для создания копии данных - синхронизация. Как правило - это быстро и удобно. Но является ли это резервным копированием? Нет! Почему? Для ответа на этот вопрос подумаем, что может произойти с нашими данными. Они могут быть уничтожены, а могут быть повреждены или искажены, в том числе и неумышленно. В случае с использованием синхронизации в копию попадут искаженные или поврежденные данные и восстановить информацию из нее не будет представляться возможным.\nЗначит ли это, что не синхронизацию использовать не следует? Отнюдь, просто нужно понимать, что это не способ резервного копирования, а один из методов повышения отказоустойчивости, как RAID. В случае аппаратного отказа основного узла у нас на руках будет практически на 100% идентичная копия, которая позволит быстро восстановить работу сервиса. Но от ошибочных действий с данными или атаки вируса-шифровальщика синхронизация нас не спасет.\nИсходя из вышесказанного следует понимать: резервная копия - это срез данных на определенный момент времени, который позволяет выборочно или полностью вернуться к этому состоянию. Поэтому важно поддерживать целостность и неизменность резервного набора данных, как правило это достигается помещением его в определенный контейнер: zip-архив, образ системы, теневая копия и т.д. и т.п.\nКак часто и в каком объеме копировать? На первый взгляд тут все просто: копируем всё, как можно чаще и храним как можно дольше. Вроде бы все хорошо? На самом деле не очень. Хотя именно этот подход очень часто используется во многих организациях. А что? Копии есть, копий много, можно спать спокойно. Такие требования могут даже встречаться в договорах и должностных инструкциях. Например, в проект одного из договоров заказчик попытался включить следующее:\nРезервное копирование баз данных исполнитель производит не реже одного раза в день. Резервные копии хранятся не менее трех лет.\nПри этом со стороны заказчика так никто и не смог пояснить, зачем им резервные копии трехлетней давности, просто где-то нашли подобную формулировку, и она показалась им подходящей. Все это приводит к тому, что резервное копирование производится только ради резервного копирования, не учитывая реальных угроз и потребностей предприятия.\nВ данной ситуации следует отталкиваться от следующего тезиса: стоимость резервного копирования не должна превышать возможный ущерб от потери данных.\nПод стоимостью здесь подразумеваются как одноразовые, так и текущие затраты на систему создания и хранения резервные копий. Непонимание этого момента приводит к появлению противоречий между техническим персоналом и владельцами бизнеса, в результате которых последний может остаться без резервного копирования вообще. Если фирма использует базу данных только для вставления счетов и оформления отгрузочных документов, то ее потеря будет, конечно, досадным недоразумением, но не более. Подойдет копия практически любой давности, а остальное можно будет внести заново руками.\nНо это не значит, что такие фирмы следует оставлять без резервного копирования, просто его объем и частота должны быть адекватны характеру бизнеса и реальным угрозам. Вполне достаточно будет делать копию в облако допустим раз в сутки. Так как объем изменения данных небольшой, то мы можем позволить себе откат даже на несколько дней назад, скажем, если возникла ошибка по вине человека, и она не была замечена сразу, потому как внести самим документы за несколько дней для организации может оказаться дешевле, чем услуги специалиста по исправлению ошибок в учете. Поэтому мы можем смело хранить неделю, вряд ли больше. В данном случае глубину может дополнительно ограничивать бесплатный тариф облачного хранилища.\nДанный пример, может показаться кому-то крайностью, но мы специально привели его для того, чтобы показать, что адекватный угрозам процесс резервного копирования можно организовать и при практически полном отсутствии бюджетов.\nЕсли же речь идет о крупной фирме, с большим количеством сотрудников, отделов и филиалов - то даже незначительный простой будет для нее очень болезненным, а потери данных за сутки могут потребовать гораздо большее количество времени на восстановление. Также мы столкнемся с большим объемом данных и высокой скоростью их изменения.\nПростые способы здесь не работают, либо оказываются неэффективными, а чаще всего - и то, и другое. В результате может сложиться очень печальная ситуация, когда на систему резервного копирования были потрачены значительные средства, но в критической ситуации она оказалась бесполезной, при том, что технически все сделано вроде бы правильно. Почему так происходит? Да потому что резервное копирование настроено по одной из типовых инструкций, без учета реальных угроз и требований.\nПоэтому первоначально нужно составить список угроз и только потом выбирать наиболее эффективный механизм для противодействия им. Начнем с наиболее очевидных: потеря рабочей копии данных по каким-либо причинам. При этом под потерей мы подразумеваем не только физическую утрату копии данных, но и необратимое логическое изменение структуры, которое невозможно устранить в короткие сроки (удаление, изменение реквизитов документов и т.д. и т.п.). В этом случае нам нужно как можно скорее восстановить рабочую копию с минимальной потерей информации.\nОт физической потери копии без изменения структуры данных (отказ носителя, выход из строя сервера) нас может подстраховать синхронизация, в этом случае у нас будет запасной экземпляра рабочей копии, на который мы можем переключиться немедленно. Но он не спасет нас в случае логического повреждения рабочего набора данных. Для этого нам нужна резервная копия. Она должна быть полной и позволять быстро восстановить работоспособность рабочей копии.\nКак часто нужно создавать такую копию? Здесь все зависит от того объема информации, который допустимо потерять с одной стороны и затратами на создание и хранение копий с другой. Допустим, в качестве такого интервала мы выбрали час. Сколько копий нам нужно хранить? Немного. По большому счету нам будет нужна только одна копия - последняя, ну может быть одна из предпоследних, если изменения в данных заметили не сразу. Копия давностью в сутки для целей восстановления фактически бесполезна. Хорошим вариантом будет делать резервную копию каждый час в период рабочего времени и перезаписывать их по кругу.\nБудет ли этого достаточно? Нет. Потому что мы создали только один - оперативный контур, который позволит нам быстро восстановить рабочую копию данных при ее критическом повреждении здесь и сейчас. Однако существуют и другие угрозы. Например, изменения данных задним числом, либо их повреждение. Чаще всего такие ошибки не связаны с физическими повреждениями данных, а имеют причиной человеческий фактор и ошибки в ПО. В этом случае нам нужна копия данных за период сравнимый с глубиной повреждения данных, позволяющая развернуть копию с заведомо достоверной информацией. В этом плане нам очень может помочь архив. Как мы помним, туда попадают данные после закрытия соответствующего периода.\nСкажем в мае бухгалтер говорит нам, что поплыли данные за февраль. ОК, разворачиваем архив за первый квартал и анализируем изменения. Однако одного архива может оказаться недостаточно, бывают ситуации, когда данные были изменены в течении более короткого промежутка времени: нескольких дней, недели. Для этого нам потребуется еще один контур резервного копирования, цель которого не быстрое восстановление рабочей копии, а получение ее рабочего экземпляра на предыдущую дату для целей анализа и выборочного восстановления. В этом случае мы можем делать копии каждый день в течении недели, каждое воскресенье за неделю и каждый последний день месяца за месяц.\nПри этом следует понимать, что это две разных задачи по резервному копированию и они должны выполняться полностью самостоятельно и у каждой из них должны быть свои выделенные ресурсы. Например, чтобы закончившееся место на разделе с ежедневными копиями не могло повлиять на возможность создавать оперативные копии каждый час. Или ошибка в скрипте не оставила вас вообще без резервных копий.\nЭто как раз та область, где простота только приветствуется, чем сложнее схема - тем больше ошибок может в ней возникнуть и тем сложнее ее контролировать. Набор простых заданий хорош тем, что даже если сломается одно из них - остальные будут продолжать работать. Ну и не забывайте про ресурсы. Вместо одного общего хранилища выделите под каждый набор данных собственное: отдельные диски, разделы, виртуальные или iSCSI-диски, дисковые лимиты в конце концов. Что именно копировать? На первый взгляд вопрос глупый. Как что? Данные. Но это очень размытое понятие, так как данными является практически все, что хранится на ваших дисках, но разные данные имеют различную критичность, которая может меняться от ситуации к ситуации. Неверное понимание этого вопроса также может привести к ситуации, когда бекапы есть, но воспользоваться ими вы не можете, либо это займет продолжительное время (в ряде случаев это равносильно тому, что бекапов нет). Как так может произойти? Давайте разбираться.\nВозьмем следующий пример: у нас есть виртуальная машина с некоторым сервисов внутри, скажем сервером СУБД. Какие варианты резервного копирования нам доступны? Прежде всего копирование самой виртуальной машины. Вариант хороший, многие на этом и останавливаются, забывая о сценариях, когда восстановить виртуалку будет невозможно. Аптайм серверных систем достаточно велик, а многие ошибки проявляют себя только после перезагрузки, таким образом можно получить копии, которые сняты с работоспособной машины, но загрузиться они не смогут. Да, в большинстве случаев ОС можно восстановить, но это дополнительные затраты времени в и без того критической ситуации, одним словом пожар во время наводнения. Да и все может оказаться гораздо проще - нет запасного гипервизора.\nВ этом случае нам нужно иметь копию данных из виртуальной машины, в случае с СУБД это может быть полный дамп сервера. После чего нам достаточно поднять экземпляр нужной СУБД и загрузить данные в нее. При этом риски что-то забыть или потерять минимальны, что важно если на вашем сервере большое количество баз, с разными владельцами и разными правами доступа.\nНо бывают и иные ситуации, когда нам нужно восстановить одну единственную базу, либо нет возможности поднять новый экземпляр СУБД, но есть уже существующий, в который вполне можно загрузить нужные базы. Для этого нужно иметь дампы баз данных по отдельности. Да, их можно выгрузить располагая полным дампом или образом ВМ, но это снова дополнительное время и необходимость в дополнительных ресурсах.\nИ наконец то, о чем многие забывают. Настройки! Мы многократно были свидетелями возникновения аварийных ситуаций только от того, что администратор пошел вносить изменения в настройки работающего сервиса, не сделав их копии. А теперь представим, что у вас были достаточно сложные персонализированные настройки для СУБД или веб-сервера, без них восстановить работоспособность сервиса в полной мере не удастся, даже при наличии всех остальных данных. Таким образом правильная организация резервного копирования предполагает наличие копий данных на разных уровнях абстракции: виртуальная машина, дамп сервера БД, каждая БД отдельно и т.д и т.п. А также обязательное копирование настроек, для этих целей неплохо подходят системы контроля версий (git и т.п.), что позволяет не только иметь их копию, но и отслеживать всю историю изменений, с возможностью быстрого отката.\nГде и как хранить копии? Когда мы говорим об организации хранения копий, то чаще всего вспоминается правило 3-2-1, которое гласит, что нужно хранить три резервные копии, в двух разных физических форматах хранения, одну из них за пределами офиса (существуют разные формулировки этого правила, но общий смысл от этого не меняется). Любое хорошее правило возникает не на пустом месте, а воплощает в себе пользовательский опыт, зачастую негативный. И если говорят, что правила техники безопасности написаны кровью, то правила резервного копирования созданы опытом потери данных.\nНо не следует воспринимать данное правило, как догму, также как следовать иным распространённым аксиомам, скажем, не хранить резервные копии на самом же сервере, потому как из любого правила допустимы исключения.\nВсе должно следовать той же логике анализа угроз и способов им противодействовать. Резервные копии должны не только храниться в надежном месте, но и быть доступны в случае необходимости. Что толку в копии виртуальной машины на удаленном хостинге если копироваться она оттуда будет несколько часов, а восстановить одну из нескольких СУБД нужно здесь и сейчас.\nВопреки распространённому мнению последний экземпляр копии в несжатом виде можно и нужно хранить на самом сервере, это позволяет приступить к процессу восстановления немедленно, а в ряде случаев такая копия просто необходима, например, если вы решили провести некоторые технические работы. Копировать ее в хранилище нет никакого смысла, так как ее цель - страховка от ошибочных действий здесь и сейчас.\nКопии для оперативного восстановления должны располагаться в пределах сети предприятия, но в отдельном хранилище, желательно физически разнесенном с защищаемыми серверами. Либо хранилищ может быть несколько, одно прямо в серверной, с быстрыми каналами связи, другое, более медленное, в другом корпусе или даже в филиале.\nЧто касается облачных сред и хостинга, то его роль может выполнять хранилище или услуга, предлагаемая самим хостером, что обеспечит высокую скорость восстановления при необходимости.\nТеперь о форматах. Копию для непосредственного восстановления данных лучше всего хранить в родном формате защищаемого приложения, желательно без сжатия, так как наша цель не экономия хранилища, а максимально быстрое восстановление. Для баз данных это может быть дамп средствами самой СУБД. Но могут быть ситуации, когда рабочего экземпляра СУБД нет, а данные восстановить надо. Это важно для приложений, которые могут использовать различные СУБД и платформы для работы. Скажем вместо аварийного сервера с PostgreSQL на Linux у вас есть работающий MS SQL на Windows. Для этих целей нужно иметь выгрузку данных в универсальный формат для восстановления на любой платформе, это может быть как родной формат приложения, так и некоторый универсальный, скажем XML.\nТаким образом мы уже получаем две резервные копии в двух различных форматах хранения. Одна в сыром виде на самом сервере, вторая в двух форматах в локальном хранилище.\nТретья копия должна располагаться удаленно, и она нам потребуется только тогда, когда локальные копии окажутся недоступными, как правило - это какая-то чрезвычайная ситуация (пожар, затопления и т.д.) и здесь уже важен сам факт ее наличия. Скорость доступа и формат особой роли не играют, хотя, если есть такая возможность, хранить следует несколько копий в различных форматах хранения. Хранится они должны у отдельного провайдера и в совершенно иной локации чем ваш остальной хостинг или виртуальные сервера, даже если у текущего провайдера вас все устраивает. Почему? Хороший пример - пожар в датацентре OVH, с которого мы начали статью. Также можно вспомнить \u0026quot;споры хозяйствующих субъектов\u0026quot;, которые привели практически к полной остановке работы хостера Айхор с физическим отключением и вывозом серверов. Также следует иметь ввиду техногенные аварии и природные катаклизмы, которые могут привести к проблемам во всем регионе.\nПромежуточный итог Как мы только что выяснили - резервное копирование - это сложный и многоступенчатый комплекс мероприятий, направленный на противодействие различным угрозам информационной инфраструктуре. Копии не просто должны быть, а соответствовать возможным угрозам и удовлетворять требованиям по быстрому восстановлению информации, что подразумевает различные способы копирования и форматы хранения данных. Кроме того, не следует забывать, что кроме самих данных в резервном копировании нуждаются и настройки.\nНапример, мы неоднократно сталкивались, что при достаточном объеме системы хранения и выделенных гигабитных каналах дампы БД хранились сжатыми неэффективным 7Zip, который долго сжимает, долго распаковывает и сильно нагружает при этом процессор. При этом частота резервного копирования была явно недостаточной, т.к. архиватор тратил на упаковку около 20 минут, и пользователи жаловались на снижение производительности системы. Налицо неверный выбор архиватора, основанный на степени сжатия, а не на эффективности и скорости работы.\nДругой пример: архив 1С: Предприятия хранится в формате дампов СУБД, а не выгрузки самой 1С. В итоге при необходимости развернуть архивную базу локально или на сервере с иной системой управления базами данных администратору сначала потребуется развернуть дамп, подключить базу и сделать из нее выгрузку в формат 1С:Предприятия.\nЗеркальная ошибка - хранение резервных копий только в формате выгрузки 1С (DT-файлы), хотя сам разработчик предупреждает, что данный формат не предназначен для резервного копирования, так как ряд ошибок могут не препятствовать выгрузке, только вот загрузить такую копию уже не удастся. Тоже самое можно отнести и копиям виртуальных машин.\nПоэтому форматов хранения резервных копий должно быть несколько, в расчете на разные сценарии восстановления, пусть даже для этого придется пожертвовать глубиной хранения, которая в большинстве случаев не нужна, а вопрос доступа к данным прошлых периодов должен решать архив. Если же вам требуется большая глубина хранения больших объемов данных - скорее всего вы неверно решаете поставленную задачу.\nКак-то раз мы помогали одному нашему заказчику решать проблему резервного копирования файлового сервера с общим объемом данных около 2 ТБ и весьма серьезными требованиями по глубине хранения копий. Попытка копировать все и сразу вполне ожидаемо не увенчалась успехом, начиная с вопросов, где это все хранить и заканчивая временем необходимым для этой процедуры.\nПоэтому мы предложили зайти с другой стороны и посмотреть, что именно там хранится. Оказалось, что большая часть файлов (по размеру) представляет собой архив конструкторской документации, которую вообще следует перевести в режим только чтение, а любые изменения оформлять как новые версии документов. Далее выяснилось, что определенные наборы документов должны быть доступны для записи только для определенных отделов, скажем договора могут корректировать только юристы, остальным они также должны быть доступны только на чтение. Таким образом удалось разделить одну \u0026quot;неподъемную\u0026quot; задачу на ряд более простых, с гораздо меньшими объемами копируемой информации, а также, в качестве \u0026quot;бонуса\u0026quot;, упорядочить работу с информацией и правила доступа к ней.\nРезервные копии нужно проверять Этого момента мы несколько раз коротко касались выше, говоря о том, что ряд форматов не обеспечивает гарантированного восстановления информации, при этом, не вызывая ошибок при выгрузке. Кроме того, к повреждению копий могут приводить различные внешние факторы, которые вы можете заметить далеко не сразу. Поэтому копии нужно проверять. И делать это не время от времени, а регулярно. К счастью, это несложно автоматизировать. При ошибках восстановления весь лог должен быть отправлен на почту ответственному лицу.\nПо важности такая ситуация превосходит ошибку при создании резервной копии и требует немедленной реакции, потому как может обозначать, что вы остались без резервных копий вообще. Частоту проверок следует выбирать согласно критичности проверяемых данных. Чем критичнее для предприятия хранимые данные - тем чаще нужно делать проверки.\nЕще один важный аспект регулярных проверок - это получение реальных данных о времени и ресурсах необходимых для данной процедуры. Поэтому нужно логировать не только неудачные попытки восстановления, но и успешные, с обязательным регулярным анализом. Именно анализ времени восстановления позволил одному из наших заказчиков своевременно выявить деградацию RAID массива в недорогом NAS, когда резко увеличилось время чтения с устройства хранения, хотя сам NAS продолжал считать, что у него все нормально.\nВ другом случае удалось своевременно выяснить, что текущий размер базы не позволяет загрузить ее на 32-битном сервере, это позволило своевременно спланировать и провести апгрейд, не дожидаясь пока это станет причиной нештатной ситуации.\nА как насчет плана восстановления? \u0026quot;Какие еще планы, - махнет рукой системный администратор, - и так работы выше крыши\u0026quot;. Но будет не прав. Критическая ситуация всегда развивается непредсказуемо и характеризуется высоким уровнем стресса, добавьте сюда еще давление от руководства, глупые вопросы коллег - в такой атмосфере немудрено что-нибудь забыть или сделать не так. А еще все это может произойти в ваше отсутствие.\nЧто такое план восстановления? Это детально и максимально подробно описанная процедура восстановления рабочей копии данных из резервной. Своего рода пошаговая инструкция, дословно выполнив которую любой специалист достаточного уровня сможет произвести восстановление данных. При этом внести в нее нужно всё, в том числе и банальные, очевидные на первый взгляд, вещи. Потому что в условиях стресса это может вылететь из головы, а еще, то что \u0026quot;очевидно\u0026quot; для вас, не всегда является очевидным для ваших коллег.\nПростой пример: вы внедрили в качестве архиватора современный и эффективный Zstandard и поехали в отпуск, когда вы были не на связи вашему коллеге потребовалось восстановить данные из копии. Допустим, даже ничего серьезного, нужно было вернуть все назад после неудачных технических работ. Но тут его поджидал сюрприз в виде неизвестного ему формата zst. В итоге время было потрачено на то, чтобы выяснить что это такое и как с этим работать, работы вышли за рамки технологического окна, возник простой и руководство выразило недовольство работой IT-службы. Но всего этого можно было бы избежать, если бы это было где-то отражено в документации.\nЕще один важный момент - план восстановления всегда должен иметься в виде печатной копии. Потому что ситуации бывают разные и лучше достать из папки бумажную копию, чем судорожно гуглить на телефоне нужные команды и ключи к ним. В любом случае наличие плана позволит начать действовать системно и упорядоченно, что очень важно в условиях общей нервозности или даже паники.\nКроме того, сам процесс составления плана позволяет выявить недоработки в системе резервного копирования, узкие места, потенциальные проблемы. В этом нет ничего зазорного или порочащего, ошибаться, либо неверно оценивать необходимые ресурсы свойственно всем, лучше если это будет исправлено еще на этапе планирования, нежели вы столкнетесь в этим в критической ситуации.\nИ последнее, составив план не забудьте провести по нему \u0026quot;учения\u0026quot;, это не только позволит оценить соответствие теории практике, но и получить практические навыки восстановления данных. И даже если учения закончатся неудачей, то это не повод для уныния, а, наоборот, весьма ценный и полезный опыт, анализ которого позволит устранить выявленные недостатки. Такие учения следует время от времени повторять, как для закрепления навыков, так и для проверки того, что текущие условия позволят вам успешно выполнить план.\nВыводы Данный материал получился достаточно обширным и в то же время обобщенным. Мы не касались конкретных сценариев и примеров, стараясь говорить об общих принципах. Понятно, что все вышесказанное не всегда можно воплотить в жизнь в полном объеме, но данная статья должна стать больше информацией для размышления и оценки текущего состояния дел. Мы будем рады, если вы сможете по-новому взглянуть на процесс резервного копирования и привести его в состояние адекватное возникающим угрозам, а не делать копии ради копий.\n","id":"632358d58b2a46fd08ec6694113d857e","link":"https://interface31.ru/post/kak-pravil-no-organizovat-rezervnoe-kopirovanie-i-spat-spokoyno/","section":"post","tags":["Безопасность","Планирование","Резервное копирование"],"title":"Как правильно организовать резервное копирование и спать спокойно"},{"body":"Почти два года назад мы выпустили обзор на ОС МЦСТ Эльбрус 3.0 от которой остались по большей части в недоумении. С тех пор были выпущены новые версии Эльбрус с четвертой по шестую, которые доступны для скачивания на официальном сайте, и поэтому мы, как только нашлось свободное время, решили ознакомиться с ними и выяснить, что изменилось с тех пор и что представляет из себя ОС МЦСТ Эльбрус сегодня. Тем более что Эльбрус интересен не просто как еще один дистрибутив, а как часть одноименной отечественной процессорной архитектуры.\nСо времени прошлого обзора в семействе ОС произошли некоторые изменения. Из открытого доступа убрали версию 3.0, теперь там присутствуют только защищенная и литерная версии исключительно для архитектур Эльбрус и SPARC, т.е. предназначенные для работы на собственной аппаратной платформе. В то же время появились новые версии для архитектуры x86-64, это собственная архитектура Эльбрус несовместимая с amd64.\nТакже разработчики внесли некоторую ясность в позиционировании дистрибутива x86-64 - это часть PDK (platform development kit, набор разработчика платформы) и его основное назначение - адаптация программ к платформе Эльбрус, первым шагом которой рекомендуется перенос на архитектуру Эльбрус x86-64, а только потом на целевую архитектуру Эльбрус. Т.е. это система для разработчиков и повседневная работа в ней не подразумевается.\nНо и тут есть свои особенности. разработка для Эльбрус достаточно закрытая, PDK - платный, чужих там явно не ждут. В какой-то мере это может быть и оправдано на текущем этапе, когда производятся фактически штучные экземпляры оборудования под конкретного заказчика с четко обозначенным набором ПО. Но если говорить о развитии отечественной разработки и производства процессоров - то здесь нужно массовое производство и широкое привлечение сторонних разработчиков, но видимо такая цель перед МЦСТ не стоит.\nА теперь посмотрим, что предлагает MЦСТ разработчикам и что нового появилось в последних версиях ОС.\nЭльбрус 4.0 Если Эльбрус 3.0 был основан на Debian 8, то четвертая версия имеет в своей основе Debian 9 c ядром 4.9 и заявлена на сайте как свободная и стабильная. Здесь трудно поспорить, Debian 9 - действительно стабильная система, хотя в настоящий момент это уже oldstable, а текущей стабильной версией является десятка.\nДля установки мы использовали виртуальную машину VMWare Workstation с шаблоном Debian 9. Как и прежде, Эльбрус не видит виртуальные диски отличные от SATA, но никак не сообщает об этом, а просто завершает установку с малоинформативной ошибкой.\nПеред нами все тот-же инсталлятор, напоминающий старый инсталлятор Debian или FreeBSD, а в нотках оформления явно проскальзывает нечто напоминающее установщики Windows. Работа с ним не очень удобна, но особых проблем он не доставляет, тем более что установка - процедура разовая. Внешне никаких существенных отличий от тройки мы не заметили, но это вполне понятно: со своей задачей установщик справляется, а принципиальной разницы какой именно выпуск устанавливать для него нет. Набор опций установки тот же, графическую оболочку следует включать самостоятельно, по умолчанию она не устанавливается. Следующий диалог встречается только в Эльбрус 4.0, он довольно любопытный и наводит на размышления о том, что на платформе Эльбрус планировалось выпускать не только ПК, но и планшеты (ВК - вычислительный комплекс, принятое в Эльбрус сокращение). Очередной бестолковый и перегруженный диалог, как вы думаете, сколько человек будет прокручивать список? Сколько просто нажмет Да? А сколько заметит кнопку выбрать и поймет, что это диалог выбора типа ядра? По-хорошему, этот диалог вообще можно убрать в дополнительные настройки, большинство установит систему со стандартным ядром, кому же нужно что-то специфичное - тот скорее всего обладает нужной квалификацией чтобы гибко настроить установку под себя. А вот разметка диска изменилась в лучшую сторону, тройка по умолчанию нарезала диск \u0026quot;лоскутным одеялом\u0026quot;, выделяя отдельные разделы под /var и /tmp, в новой версии все иначе, разделов ровно два: /boot и корневой раздел, даже от раздела подкачки отказались. Это гораздо более удобно и практично, особенно если используется виртуальный диск или небольшой SSD. Процесс установки достаточно долгий, за это время можно успеть сходить сварить и выпить кофе или несколько раз поставить Debian. Настройка сети по-прежнему предлагает нам установить статический IP-адрес, а для автоматического получения настроек нам надо руками переключить режим, хотя логичнее было бы сделать все наоборот. Наконец все этапы установки пройдены, и мы первый раз загружаемся в систему. Здесь нас встречает новый экран приветствия, вместо фотографии Эльбруса теперь тут некая абстрактная картина, система правильно определила отношения сторон монитора и выставила подходящее разрешение. Выбора пользователя из списка по-прежнему нет, все вводим руками, что явно не добавляет удобства. Входим в систему и снова видим, что панель отсутствует в видимой части экрана. Это мы уже видели в предыдущем выпуске, с тех пор к лучшему ничего не изменилось. Лечение простое, переключиться в разрешение с соотношением сторон 4:3, переместить панель на боковую сторону экрана, вернуть разрешение назад, вернуть панель на место. С разрешением также все плохо, система не дает выставить больше, чем 1280 х 720, возможно виной тому виртуальная машина, но у исходной системы - Debian - давно нет никаких проблем с виртуалками. Какие-либо пакеты для работы в виртуальных средах также отсутствуют, по меньшей мере это вызывает недоумение, так как использование виртуальных машин для разработки и тестирования на сегодняшний день является общепринятой практикой. Вряд ли кто-то будет выделять отдельную физическую машину под далеко не самую популярную и востребованную систему. Хотя там, за закрытыми дверями, где обитают основные разработчики Эльбруса все может быть совсем иначе...\nВ качестве оболочки все также используется XFCE, на наш взгляд - это хороший выбор, оболочка достаточно легковесная, но при этом настраиваемая и удобная. Да, из коробки она выглядит не столь привлекательно, как Gnome или KDE, но перед нами рабочий дистрибутив для разработки, красивости здесь в общем-то ни к чему. Но определенную персонализацию дистрибутива все-таки выполнили, по умолчанию установлены собственные обои с абстрактным изображением и логотипом системы в верхнем правом углу, также присутствуют достаточно приятные обои в современном плоском стиле со стилизованным Эльбрусом, которые понравились нам гораздо больше. В остальном это все тот же Debian, только весьма ограниченный по пакетной базе, складывается впечатление, что кроме тех пакетов, что представлены на двух дисках, больше ничего и нет. Репозитории также отсутствуют. Единственный браузер Firefox по-прежнему просит сделать его браузером по умолчанию и не имеет русификации. Вообще-то это вопрос пары минут, но далеко не факт, что в составе Эльбрус 4.0 найдутся необходимые пакеты. На что еще тут можно посмотреть? Да больше не на что. Мы попытались выключить систему и обнаружили, что не можем этого сделать, единственное доступное действие - только выход. Ладно, может что-то с правами, войдем как root, уж он то всё может и даже больше, чем всё. Ага, разбежались, root тоже не может выключить систему из графического интерфейса. Закономерно возникает вопрос: а этот образ кто-нибудь тестировал? Да? И ничего не заметил? И никто из пользователей ничего не сообщил? Или там, где это используют (если используют) все всех устраивает? Ну честное слово, нельзя же выкладывать в публичный доступ образ с такими грубыми ошибками и не исправлять их.\nЭльбрус 5.0 Следующий выпуск Эльбрус основан на актуальном Debian 10 с ядром 4.19, но имеет статус свободный, техноло­гический, ничего страшного в этом нет, портирование на иную архитектуру требует времени и определенное отставание вполне имеет место быть. Как именно связаны статусы данных систем с промышленными дистрибутивами - непонятно, что еще раз подтверждает тот факт, что Эльбрус - это такая закрытая система, где посторонних не очень то и ждут.\nУстановка пятерки ничем ни отличается от предыдущего выпуска. Тот же установщик, те же этапы, в общем - почти ничего нового. Разве только что только осознали бестолковость некоторых диалогов и привели их к гораздо более простому и удобному виду. В данном виде претензий практически нет, не следует грузить пользователя лишними подробностями, а тот, кто знает, что именно ему надо, определенно знает и где это настраивается. В остальном установка ничем ни отличается от установки четверки, по ее окончанию нас ожидает тот же самый экран входа и те же самые проблемы. Панель, как и ранее, не видно, пакетов для работы в виртуальной среде нет, доступные разрешения ограничены 1280 х 720. Зато добавили нескучных обоев, что, конечно же хорошо, но персонализация не самый актуальный для данной системы вопрос. В остальном все тоже самое: список пакетов ограничен содержимым двух дисков, репозиториев нет. Что-то фактически изменилось в новом выпуске? Нет, все старые болезни как были, так и остались, разве что баг с выключением из графической оболочки исправили. Вообще, во время знакомства с Эльбрусом постоянно возникает ощущение какого-то наплевательского отношения в лучших традициях \u0026quot;ненавязчивого советского сервиса\u0026quot;, мол кушайте что дают и радуйтесь, что вам вообще это дали. Второе, не менее сильное ощущение - это закрытость от всех и вся. Все движение вокруг платформы Эльбрус происходит где-то там, в узком кругу за закрытыми дверями, где посторонних совсем не ждут. А вся эта публикация дистрибутивов напоминает чистой воды формальность: надо выложить - выложили.\nЭльбрус 6.0 Самая свежая версия системы основана на ветке testing Debian (будущий Debian 11), имеет ядро 5.4 и заявлена как свободная, открытая разработка. Последнее, учтивая предельную закрытость компании и непрозрачность процессов разработки, звучит как издевательство. Но для отчетов и презентаций пойдет, все равно там все всё прекрасно понимают, просто такие правила игры.\nНичего нового в Эльбрус 6 вы не найдете, все тот же инсталлятор: Все тот же рабочий стол с теми же самыми проблемами и \u0026quot;невидимой\u0026quot; по умолчанию панелью, разве что визуально все выглядит более свежо, но это заслуга новой XFCE. Точно также нет пакетов для работы в виртуальных средах и также все плохо с разрешениями экрана. Набор ПО по-прежнему стандартный, разве что версии более свежие: Ну и новых нескучных обоев добавили: А так, все что вы читали про предыдущие версии можно смело относить и к \u0026quot;шестерке\u0026quot;, никаких существенных сдвигов к лучшему нет. Все старые баги как были, так и остались. Полноценной поддержки виртуальных сред нет, набор ПО ограничен двумя дисками, репозиториев нет. Что это и зачем? Ответов по-прежнему нет.\nВыводы Выводы сегодня будут грустные, сегодня нам из каждого утюга рассказывают о достижениях в импортозамещении и развитии собственной IT-отрасли. Но стоит коснуться чего-нибудь поближе, как красивая информационная картинка разбивается о суровую действительность. Эльбрус - это, на наш взгляд, практически эталонный продукт нынешней чиновничьей системы, где гораздо важнее казаться, а не быть. Реальное положение дел мало кому интересно и заменяется массой красивых и правильных отчетов, по которым у нас все хорошо.\nЖизнь есть там, где присутствует здоровая конкуренция и коммерческий дух, что показывают нам Астра, Альт, Роса. Здесь же веет духом застоя и максимальной закрытости. Что происходит за закрытыми дверями мы не знаем, но по тому, что пробивается наружу - ничего хорошего там нет. Фактического развития платформы мы не видим, как и желания как-то ее развивать.\nС одной стороны, если брать краткосрочные интересы - то заниматься госконтрактами гораздо выгоднее, но в долгосрочной перспективе это тупик. При этом задел действительно неплохой - собственные разработки и доступ к архитектуре SPARC, что позволяет создавать вполне современные вычислительные решения. Но для этого нужно развитие как аппаратных средств, так и платформы. Сегодня тут тоже есть большой плюс - открытое ПО, которое позволяет быстро обеспечить привычную среду практически для любой архитектуры. Тот же Raspberry Pi и многочисленные его аналоги тому пример. Но здесь нужно взаимодействие с разработчиками и комьюнити, хотя бы на базовом уровне.\nТо же, что мы видим сейчас, напоминает очередной ВАЗ, выпускавший практически 40 лет одну и ту же модель (FIAT-124) с незначительными доработками, только в IT. Беда в том, что вычислительная техника устаревает гораздо быстрей, чем автомобили.\n","id":"220217a6b01afcdcdac9d18637c59f4f","link":"https://interface31.ru/post/os-mcst-elbrus-vremya-idet-nichego-ne-menyaetsya/","section":"post","tags":["Linux","Импортозамещение","Эльбрус"],"title":"ОС МЦСТ Эльбрус - время идет, ничего не меняется..."},{"body":"Безопасность - это всегда компромисс между многими показателями, включающими, в том числе, удобство пользования. Современные реалии предусматривают широкое применение удаленного доступа, но при этом не все служебные сервисы администраторы хотят открывать наружу. Одним из вариантов решения проблемы является VPN, но это применимо не всегда и не везде. Хорошей альтернативой в этом случае может являться Port Knocking - специальная технология, позволяющая буквально \u0026quot;постучать\u0026quot; в порты особым образом, после чего вы сможете получить доступ к системе. Стучите и вам откроют.\nВ переводе с английского Port Knocking буквально означает стук в порт, по аналогии стука в дверь. В детстве многие из нас использовали подобный \u0026quot;секретный стук\u0026quot; приходя в гости к другу, домофонов тогда еще не было, и мы просто особым образом стучали или звонили в дверной звонок. Друг сразу понимал, что пришли к нему и бежал открывать.\nПодобный принцип используется и здесь - нужно за определенное время в нужном порядке обратиться к определенным портам системы, после чего вам на некоторое время будет открыт доступ к служебному порту, чтобы вы могли подключиться. Для всех остальных порт будет закрыт.\nПредварительная настройка брандмауэра Чтобы Port Knocking работал в системе должен быть правильно настроен брандмауэр. В рамках данной статьи мы не будем касаться подробностей, всю необходимую теоретическую часть вы можете найти в нашей статье: Основы iptables для начинающих. Часть 2. Таблица filter. В частности, это касается цепочки INPUT, которая отвечает за фильтрацию входящих подключений. Она обязательно должна начинаться с правила, разрешающего уже установленные и связанные соединения, а завершаться правилом, запрещающим любые входящие подключения, между ними должны располагаться правила, разрешающие доступ к отдельным сервисам.\nВ любом случае в минимальной конфигурации должны присутствовать следующие два правила, где ens33 - имя внешнего интерфейса:\n1# Разрешаем установленные и связанные соединения 2iptables -A INPUT -i ens33 -m state --state ESTABLISHED,RELATED -j ACCEPT 3 4#Запрещаем входящие извне 5iptables -A INPUT -i ens33 -j DROP Данные команды можно прямо ввести в консоли, и они начнут действовать сразу. Но будьте внимательны, если вы вполните данные команды удаленно, подключаясь через внешний интерфейс - то полностью потеряете связь с сервером до его перезагрузки. В этом случае добавьте между этими правилами еще одно и не удаляйте до тех пор, пока не убедитесь, что Port Knocking работает как требуется.\n1# Разрешаем подключения по SSH 2iptables -A INPUT -i ens33 -p tcp --dport 22 -j ACCEPT Если вы вводите указанные выше команды в консоли, то разрешающее правило для SSH следует вводить вторым.\nПосле чего установим пакет iptables-persistent для автоматической загрузки правил iptables:\n1apt install iptables-persistent В процессе установки пакета будет предложено сохранить текущие правила, с этим следует согласиться В дальнейшем, если вы внесли какие-либо изменения в правила iptables через консоль их можно будет сохранить командой:\n1iptables-save \u0026gt; /etc/iptables/rules.v4 либо непосредственно откорректировать файл /etc/iptables/rules.v4.\nУстановка knockd Для реализации технологии Port Knocking нам потребуется пакет knockd, установим его:\n1apt install knockd Затем откроем файл /etc/default/knockd и установим следующую опцию:\n1START_KNOCKD=1 Затем создадим файл юнита systemd:\n1nano /etc/systemd/system/knockd.service И внесем в него следующие строки:\n1[Unit] 2Description=Port-Knock Daemon 3After=network.target 4Requires=network.target 5Documentation=man:knockd(1) 6 7[Service] 8EnvironmentFile=-/etc/default/knockd 9ExecStartPre=/usr/bin/sleep 1 10ExecStart=/usr/sbin/knockd $KNOCKD_OPTS 11ExecReload=/bin/kill -HUP $MAINPID 12KillMode=mixed 13Restart=always 14SuccessExitStatus=0 2 15 15ProtectSystem=full 16CapabilityBoundingSet=CAP_NET_RAW CAP_NET_ADMIN 17 18[Install] 19WantedBy=multi-user.target Затем перечитаем изменения и добавим сервис knockd в автозагрузку:\n1systemctl daemon-reload 2systemctl enable knockd Но не спешите запускать саму службу, с большой долей вероятности вы получите ошибку, связанную с неправильными настройками.\nНастройка knockd Откроем файл /etc/knockd.conf и удалим оттуда все, кроме первой секции options, которую приведем к следующему виду:\n1[options] 2 UseSyslog 3 Interface = ens33 Первая опция указывает записывать события в системный лог, вторая задает интерфейс, на котором будет слушать knoсkd.\nТеперь создадим секцию для доступа к SSH:\n1[SSH] 2 sequence = 7000,9000,8000 3 seq_timeout = 5 4 tcpflags = syn 5 start_command = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT 6 stop_command = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT 7 cmd_timeout = 60 Опция sequence задает последовательность \u0026quot;стуков\u0026quot;, по умолчанию используется протокол tcp, если вы хотите использовать udp, то следует указать его через двоеточие, например:\n1sequence = 7000,9000:udp,8000 seq_timeout - время в секундах за которое клиент должен совершить всю последовательность \u0026quot;стуков\u0026quot;, следует сделать его минимальным, но при этом следует учитывать возможные задержки каналов связи как сервера, так и клиента, tcpflags - определяет TCP-флаги пакетов, которые будут участвовать в последовательности, syn рекомендуется использовать совместно с SSH, так как SSH-трафик может мешать knockd, делая последовательность недействительной.\nОпции start_command и stop_command определяют команды которые должен выполнить knoсkd с интервалом указанном в опции cmd_timeout. Принцип действия здесь прост - получив указанную последовательность \u0026quot;стуков\u0026quot; сервис выполняет команду из опции start_command, а по истечении заданного таймаута команду stop_command.\nНаша задача - открыть доступ к порту SSН на время достаточное для установления подключения. Поэтому первой командой мы добавляем самым первым правилом в цепочку INPUT разрешение подключиться к SSH с адреса источника \u0026quot;стука\u0026quot;. Обратите внимание, что для этого мы используем ключ -I, который без указания номера добавляет правило первой строкой, а также подстановочную конструкцию -s %IP%, которая подставит в правило текущий адрес \u0026quot;стучавшего\u0026quot;. Вторая команда удаляет уже добавленное правило.\nТаким образом порт будет открыт на подключение только для адреса клиента и только на время, указанное в таймауте. Этот момент обычно вызывает у начинающих некоторое недоумение: а каким образом будет работать соединение, если мы закрыли порт? Все очень просто, доступ к порту 22 нам нужен только для установления соединения, после чего оно перейдет в состояние ESTABLISHED и будет разрешено первым заданным нами правилом в цепочке INPUT, которое разрешает установленные и связанные подключения.\nСохраним конфигурацию и запустим сервис:\n1systemctl start knockd Теперь постучимся, в Linux для этого можно использовать команду knock, а для Windows можно скачать официальный клиент со страницы разработчика. Перед этим проверим состояние брандмауэра. Мы использовали самый простой набор из двух правил: разрешающего установленные соединения и запрещающего остальное. Как видим - все закрыто, подключиться к серверу невозможно. А теперь стучим:\n1knock IP_сервера 7000 9000 8000 И снова проверяем брандмауэр, самым первым в цепочке INPUT появилось правило, разрешающее доступ к SSH с адреса \u0026quot;стучавшего\u0026quot; клиента. Ровно через указанное в таймауте время, в нашем случае 60 секунд, правило исчезнет, поэтому выбирайте данное значение небольшим, но достаточным для выполнения всех действий по подключению.\nНо возможности knockd не исчерпываются управлением брандмауэром, сама возможность выполнить произвольную команду открывает довольно широкие перспективы, ограниченные фантазией и здравым смыслом. Например, мы можем запустить произвольный скрипт, скажем, для резервного копирования.\nСнова откроем файл /etc/knockd.conf и добавим в него еще одну секцию:\n1[MyScript] 2 sequence = 9000,7000,8000 3 seq_timeout = 5 4 tcpflags = syn 5 command = /path/to/myscript.sh Основным отличием от предыдущей секции является опция command, при верной последовательности стуков служба просто выполняет указанную в ней команду. Таким образом в руки администратора попадает достаточно мощный и удобный инструмент, который может оказаться полезным в некоторых ситуациях.\nНо есть у Port Knocking и существенный недостаток: если кто-то имеет возможность прослушивать ваш трафик (например, на публичной точке доступа), то вполне может перехватить вашу последовательность и чем чаще вы \u0026quot;стучитесь\u0026quot;, тем быстрее это можно сделать. Как быть? В этом случае следует воспользоваться еще одной возможностью knockd - одноразовыми последовательностями.\nДля этого замените опцию sequence в нужной секции опцией one_time_sequences с указанием пути к файлу одноразовых последовательностей:\n1one_time_sequences=/root/ssh-sequences Важно! Важно! Не следует располагать данный файл в директории /etc, в этом случае knockd будет выдавать ошибку при запуске службы.\nВ сам файл внесите выбранные вами последовательности по одной на строку, например:\n17000,9000,8000 29000,7000:udp,8000 3... 48500,7500,9500:udp Затем перезапустите службу:\n1systemctl restart knockd И попробуйте постучаться, после каждого успешного \u0026quot;стука\u0026quot; knockd будет ставить комментарий в начале сработавшей строки. Но будьте внимательны, используя данный метод, если у вас закончатся одноразовые последовательности, то вы рискуете остаться полностью без доступа к серверу.\n","id":"800e2a86b70c62ed2724c9b146d506ad","link":"https://interface31.ru/post/nastraivaem-port-knocking-v-linux-debian-ubuntu/","section":"post","tags":["Debian","iptables","Linux","Port Knocking","Ubuntu Server","Безопасность","Сетевые технологии"],"title":"Настраиваем Port Knocking в Linux (Debian / Ubuntu)"},{"body":"Proxmox VE - система виртуализации с открытым исходным кодом на базе Debian и поэтому может быть установлен не только на выделенный сервер, но и в среде уже существующей установки Debian. Для текущей версии Proxmox VE 6.х - это Debian 10 Buster. Но такая установка имеет свои особенности и ограничения, способные вызвать определенные затруднения, поэтому мы решили посвятить ей отдельную статью, объединив собственный опыт и данные из документации.\nПрежде всего начнем с того, что разработчики советуют устанавливать поддерживаемые системы Proxmox VE именно на выделенное оборудование, но в ряде случаев допускается установка поверх операционной системы, например, если вам требуется нестандартная компоновка разделов, либо вы не можете сразу выделить отдельный сервер и планируете постепенно переносить сервисы в виртуальную среду.\nВ качестве поддерживаемой ОС для установки можно использовать исключительно 64-разрядный Debian 10. Более старые версии Debian необходимо предварительно обновить до \u0026quot;десятки\u0026quot;.\nПеред установкой необходимо выполнить некоторые подготовительные действия. Прежде всего установим все обновления системы:\n1apt update 2apt dist-upgrade Если вы хотите изменить имя хоста, то следует сделать это сейчас, однако будьте осторожны, не все службы нормально реагируют на такое изменение, для некоторых из них может потребоваться дополнительная настройка. Для смены имени компьютера воспользуйтесь командой:\n1hostnamectl set-hostname newname где newname - новое имя хоста, перезагрузка не требуется.\nСервер должен иметь статический IP-адрес, это настраивается в /etc/network/interfaces, ниже показан пример такой настройки:\n1auto enp0s31f6 2 iface enp0s31f6 inet static 3 address 192.168.1.191 4 netmask 255.255.255.0 5 gateway 192.168.1.1 6 dns-nameservers 192.168.1.1 где enp0s31f6 - имя требуемого сетевого адаптера, остальные опции в особых комментариях не нуждаются.\nФайл /etc/hosts должен содержать только одну IPv4 и/или одну IPv6 запись для вашего имени хоста, если у вас добавлены дополнительные записи, то на время установки Proxmoх их следует удалить или закомментировать. Также следует удалить запись для 127.0.1.1, которая обычно создается по умолчанию. Ниже показан пример файла hosts:\n1127.0.0.1 localhost.localdomain localhost 2192.168.1.191 srv-pve-01.local srv-pve-01 3 4# The following lines are desirable for IPv6 capable hosts 5::1 localhost ip6-localhost ip6-loopback 6ff02::1 ip6-allnodes 7ff02::2 ip6-allrouters Затем добавим цифровой ключ репозитория:\n1cd 2wget http://download.proxmox.com/debian/proxmox-ve-release-6.x.gpg 3apt-key add proxmox-ve-release-6.x.gpg И сам репозиторий в список источников:\n1echo \u0026#34;deb http://download.proxmox.com/debian/pve buster pve-no-subscription\u0026#34; \u0026gt; /etc/apt/sources.list.d/pve-no-subscription.list Если у вас включена мультиархитектура, то следует явно указать архитектуру репозитория, иначе вы будете получать ошибки вида Unable to find expected entry 'pve/binary-i386/Packages:\n1echo \u0026#34;deb [arch=amd64] http://download.proxmox.com/debian/pve buster pve-no-subscription\u0026#34; \u0026gt; /etc/apt/sources.list.d/pve-no-subscription.list Обновим список пакетов и приступим к установке:\n1apt update 2apt install proxmox-ve postfix open-iscsi В процессе установки вы получите вопрос о конфигурации почтовой системы, если вы не знаете, что вводить, то выбирайте Только локальное использование, так как неправильно настроенный почтовый сервер способен доставить массу неприятностей. После установки обязательно перезагрузите систему, чтобы она загрузилась с новым ядром Proxmox VE.\nТакже рекомендуется удалить пакет os-prober, который используется для поиска на разделах компьютера других систем и добавления их в меню загрузки GRUB:\n1apt remove os-prober Кроме этого, вы можете удалить старое, дебиановское, ядро, которые теперь не используется:\n1apt remove linux-image-amd64 \u0026#39;linux-image-4.19*\u0026#39; Теперь можно покинуть терминал и переместиться в веб-интерфейс Proxmox, в нем следует перейти в сетевые настройки ноды System - Network и создать новый сетевой мост Create - Linux Bridge, на который следует перенести настройки с сетевого адаптера, настройки самого адаптера следует очистить. Не забудьте в обязательном порядке указать в поле Bridge Ports имя физического сетевого адаптера, который вы включаете в мост. Следующим шагом перейдите в System - DNS и укажите адреса используемых серверов имен. После чего еще раз перезагрузите систему, чтобы убедиться, что сетевые настройки выполнены правильно и узел доступен по сети.\n","id":"413ce1aa7a0793d4d5b787899df4d9a8","link":"https://interface31.ru/post/ustanovka-proxmox-ve6-v-debian10/","section":"post","tags":["Debian","Linux","Proxmox","Виртуализация"],"title":"Установка Proxmox VE 6 в Debian 10"},{"body":"Продолжая актуальную сегодня тему удаленного доступа, сегодня мы рассмотрим настройку роутеров Mikrotik для использования из в качестве PPTP или L2TP VPN-серверов. С одной стороны тема эта, вроде бы простая, с другой, как обычно, имеет свои особенности, которые следует учитывать еще на стадии выбора решения. Ведь хороший специалист выбирает инструмент под задачу, а не пытается делать наоборот, признавая сильные и слабые стороны каждого решения.\nПеред тем, как браться за настройку VPN-сервера на базе Mikrotik мы рекомендуем вам ознакомиться с нашим материалом: Производительность младших моделей Mikrotik hEX и hAP. Экспресс-тестирование. Если коротко: на моделях без аппаратной поддержки AES вы не получите для соединений L2TP/IPsec скоростей более 25-30 МБит/с, на моделях с поддержкой AES скорость упирается в 35-50 МБит/с. В большинстве случаев для сценария удаленного доступа этого достаточно, но все-таки данный момент обязательно следует иметь ввиду, чтобы не получить потом претензию, что Mikrotik работает плохо и этому объективно будет нечего противопоставить.\nЧто касается PPTP, то здесь все достаточно хорошо, даже недорогие модели роутеров позволяют достигать скоростей около 100 МБит/с, но при этом следует помнить, что PPTP имеет слабое шифрование и не считается безопасным в современных реалиях. Однако он может быть неплохим выбором, если вы хотите завернуть в него изначально защищенные сервисы, например, при помощи SSL.\nПредварительная настройка роутера Прежде чем начинать настройку VPN-сервера нужно определиться со структурой сети и выделить для удаленных клиентов пул адресов. Если брать сценарий удаленного доступа, то здесь есть два основных варианта: Proxy ARP, когда клиенты получают адреса из диапазона локальной сети и имеют доступ к ней без дополнительных настроек и вариант с маршрутизацией, когда клиентам выдаются адреса из диапазона не пересекающегося с локальной сетью, а для доступа в сеть на клиентах добавляются необходимые маршруты. В современных Windows-системах это можно автоматизировать при помощи PowerShell.\nПосле того, как вы определились со структурой сети, следует перейти в IP - Pool и создать новый пул адресов для выдачи удаленным клиентам. Количество адресов в пуле должно соответствовать количеству планируемых VPN-клиентов, либо превышать его. Эти же действия в терминале:\n1/ip pool 2add name=vpn_pool1 ranges=192.168.111.141-192.168.111.149 Затем перейдем в PPP - Profiles и настроим профиль для нашего VPN-сервера, который будет содержать базовые настройки. Если вы настраиваете сразу и PPTP и L2TP-сервера, то можете использовать для них как общий профиль, так и создать отдельные. В случае с общим профилем они будут иметь общий адрес сервера и общий пул адресов. В данном разделе уже существуют два стандартных профиля default и default-encryption, поэтому при желании можете не создавать новые профили, а настроить имеющиеся.\nНа вкладке General задаем параметры: Local Address - локальный адрес сервера, должен принадлежать к тому же диапазону, что и пул адресов, который вы задали выше, Remote Address - адреса для выдачи удаленным клиентам, указываем в этом поле созданный пул. Следящая вкладка - Protocols, здесь мы рекомендуем установить параметр Use Encryption в положение required, что будет требовать от клиента обязательного использования шифрования. Чтобы добавить новый профиль в терминале выполните (в данном случае мы создаем профиль с именем vpn):\n1/ppp profile 2add change-tcp-mss=yes local-address=192.168.111.140 name=vpn remote-address=vpn_pool1 use-encryption=required Чтобы изменить существующий default-encryption:\n1/ppp profile 2set *FFFFFFFE local-address=192.168.111.140 remote-address=vpn_pool1 use-encryption=required Для default вместо *set FFFFFFFE укажите *set 0:\n1/ppp profile 2set *0 local-address=192.168.111.140 remote-address=vpn_pool1 use-encryption=required Остальные параметры оставляем без изменений, для удаленных клиентов они не применяются (в том числе сжатие) и работают только при соединении между устройствами с RouterOS. Отсутствие сжатия также следует учитывать, особенно если ваши клиенты используют медленные каналы подключения, скажем 3G-модемы.\nТеперь добавим пользователей, для этого откроем PPP - Secrets и создадим новую учетную запись. Обязательно заполняем поля: Name и Password, а также Profile, где указываем созданный на предыдущем шаге профиль, если профили клиента и сервера не будут совпадать - подключение окажется невозможным. Поле Service позволяет ограничить действие учетных данных только одним сервисом, для этого нужно указать его явно, если же вы хотите использовать одни учетную запись для всех видов подключения - оставьте значение по умолчанию any. 1/ppp secret 2add name=test1 password=123 profile=default-encryption service=pptp При создании учетных данных уделите должное внимание политике паролей, особенно для PPTP.\nНастройка PPTP-сервера Настроить PPTP-сервер в RouterOS просто. Откройте PPP - Interface и нажмите кнопку PPTP Server, в открывшемся окне установите флаг Enabled, в поле Default Profile укажите созданный на подготовительном этапе профиль и в разделе Authentication оставьте только mschap2. Это же действие в терминале:\n1/interface pptp-server server 2set authentication=mschap2 default-profile=default-encryption enabled=yes Следующим шагом следует разрешить подключения к нашему VPN-серверу в брандмауэре, для этого следует разрешить входящие подключения для порта 1723 TCP. Открываем IP - Firewall и создаем новое правило: Chain - input, Protocol - tcp, Dst. Port - 1723, в поле In. Interface указываем внешний интерфейс роутера, в нашем случае ether1. Так как действие по умолчанию - accept то просто сохраняем правило. В терминале создать правило можно командой:\n1add action=accept chain=input dst-port=1723 in-interface=ether1 protocol=tcp На этом настройку PPTP-сервера можно считать законченной, он готов принимать подключения.\nНастройка L2TP/IPsec-сервера Точно также, как и при настройке PPTP-сервера переходим в PPP - Interface и нажмите кнопку L2TP Server. В открывшемся окне ставим флаг Enabled, в Default Profile указываем созданный ранее профиль, а в Authentication оставляем только mschap2. Затем включаем использование IPsec - Use IPsec - yes и в поле IPsec Secret вводим предварительный ключ соединения: Для включения сервера с указанными настройками в терминале выполните:\n1/interface l2tp-server server 2set authentication=mschap2 enabled=yes default-profile=default-encryption ipsec-secret=myIPsecPreKey use-ipsec=yes Обычно на этом инструкции по настройке L2TP-сервера заканчиваются, но если оставить все как есть, то у сервера будут достаточно слабые настройки шифрования, поэтому подтянем их до современного уровня. Для этого нам потребуется изменить параметры IPsec, так как L2TP сервер безальтернативно использует параметры по умолчанию будем менять именно их.\nПереходим в IP - IPsec - Proposal и приводим набор настроек default к следующему виду: Auth. Algorithms - sha1, sha256, Encr. Algorithms - aes-128-cbc, aes-192-cbc, aes-256-cbc, PFS Group - ecp384. Данные настройки в терминале:\n1/ip ipsec proposal 2set [ find default=yes ] auth-algorithms=sha256,sha1 pfs-group=ecp384 Затем откроем IP - IPsec - Profiles и изменим настройки профиля default: Encryption Algorithm - aes256, DH Group - modp2048, ecp256, ecp384. В терминале:\n1/ip ipsec profile 2set [ find default=yes ] dh-group=ecp256,ecp384,modp2048 enc-algorithm=aes-256 Для окончания настройки разрешим подключения к L2TP-серверу в брандмауэре. Для этого нам понадобится создать два правила, первое должно разрешать подключения для протоколов L2TP (порт 1701 UDP), IKE (порт500 UDP) и протокола NAT-T (порт 4500 UDP), второе для протокола 50 ESP (Encapsulating Security Payload). Переходим в IP - Firewall и создаем первое правило: Chain - input, Protocol - udp, Dst. Port - 500,1701,4500, в поле In. Interface указываем внешний интерфейс роутера, в нашем случае ether1. Затем второе: Chain - input, Protocol - ipsec-esp, In. Interface -внешний интерфейс (ether1). Так как действие по умолчанию accept достаточно просто сохранить правила. Для терминала выполните следующие команды:\n1/ip firewall filter 2add action=accept chain=input dst-port=500,1701,4500 in-interface=ether1 protocol=udp 3add action=accept chain=input in-interface=ether1 protocol=ipsec-esp На этом настройка L2TP/IPsec-сервера закончена.\n","id":"17b74e406f4d1297b45a7fef1852e784","link":"https://interface31.ru/post/nastroyka-pptp-ili-l2tp-vpn-server-na-routerah-mikrotik/","section":"post","tags":["L2TP","MikroTik","PPTP","VPN","Сетевые технологии"],"title":"Настройка PPTP или L2TP VPN-сервера на роутерах Mikrotik"},{"body":"pgAdmin -- это приложение с открытым исходным кодом для администрирования и разработки баз данных PostgreSQL которое позволяет выполнять множество задач, начиная от мониторинга и обслуживания и заканчивая выполнением SQL-запросов. pgAdmin 4 можно установить на локальный компьютер, но в наше время, когда доступ может потребоваться в любое время и из любого места, это не очень удобно. Гораздо удобнее установить pgAdmin 4 в режиме сервера и иметь доступ к нему через браузер из любой точки мира. О том как это сделать мы расскажем в данной статье.\nДля установки сервера pgAdmin мы будем использовать платформу Linux и дистрибутив Debian 10, при этом также поддерживаются Debian 9 и Ubuntu 16.04 (Xenial), 18.04 (Bionic), 19.10 (Eoan), 20.04 (Focal).\nМы не рекомендуем устанавливать pgAdmin на сервер с PostgreSQL если вы используете версию СУБД отличную от размещенной в репозитории, например, если вы используете PostgreSQL для 1С, потому что pgAdmin имеет в зависимостях ряд библиотек PostgreSQL, и вы с большой долей вероятности столкнетесь с конфликтом версий. Поэтому мы рекомендуем устанавливать pgAdmin на отдельный сервер, лучше всего виртуальную машину или контейнер. Все приведенные ниже команды следует выполнять с правами суперпользователя (root) или через sudo.\nУстановка и настройка pgAdmin 4 Для начала установим пакет gnupg для работы с цифровыми подписями:\n1apt install gnupg Затем перейдем в домашнюю директорию, скачаем и установим публичный ключ для репозитория pgAdmin:\n1cd 2wget https://www.pgadmin.org/static/packages_pgadmin_org.pub 3apt-key add packages_pgadmin_org.pub Теперь создадим файл со списком источников пакетов и внесем туда запись о репозитории pgAdmin:\n1echo \u0026#34;deb https://ftp.postgresql.org/pub/pgadmin/pgadmin4/apt/$(lsb_release -cs) pgadmin4 main\u0026#34; \u0026gt; /etc/apt/sources.list.d/pgadmin4.list Затем обновим список пакетов и установим сервер pgAdmin для работы в web-режиме:\n1apt update 2apt install pgadmin4-web По окончании установки запустите скрипт начальной настройки сервера:\n1/usr/pgadmin4/bin/setup-web.sh Вам потребуется ответить на ряд несложных вопросов: указать адрес электронной почты, который вы будете использовать в качестве логина, пароль (уделите особое внимание его надежности), а также разрешить настроить веб-сервер Apache и перезапустить его. На этом установка и первичная настройка закончена, для доступа к серверу наберите в браузере http://имя_или_ip_сервера/pgadmin4. Если все сделано правильно, то вы увидите страницу входа. После авторизации вы попадете в привычную среду pgAdmin, можете подключать свои сервера и работать с базами данных. Инструмент поддерживает любые версии PostgreSQL и платформы установки (Windows, Linux и т.п.). В тестовых целях мы подключили сборку PostgreSQL 10 от 1С на платформе Linux и PostgreSQL 11 от Postgres Pro установленную на Windows Server.\nНастраиваем SSL с самоподписанным сертификатом Вроде бы все хорошо, все настроено и работает. Но есть одно но! По умолчанию pgAdmin 4 работает по незащищенному протоколу HTTP, что в начале третьего десятилетия 21-го века неправильно, даже если вы работаете только в пределах локальной сети. Тем более что в случае несанкционированного доступа некто получит полный доступ ко всем вашим базам данных.\nКак быть? Если у вас есть собственное доменное имя, то можно настроить работу с сертификатами от Let's Encrypt, подробнее читайте в нашей инструкции: Настраиваем Apache для работы по HTTPS (SSL) с сертификатами Let's Encrypt\nВ остальных случаях будет вполне достаточно самоподписанного сертификата. Существует расхожее мнение, что шифрование с помощью самоподписанных сертификатов ненадежно, однако это не так. Единственный и существенный недостаток данного вида сертификатов - это отсутствие доверительных отношений. Т.е. мы не знаем кем именно он выпущен и можно ли ему доверять. Для публичных сервисов такой вариант не подходит, так как злоумышленник всегда может подменить такой сертификат своим и перехватить трафик, а пользователь даже не заметит разницы. Но для служебных узлов, когда администратор всегда может убедиться в том, что этот сертификат выпущен именно этим сервером, самоподписанные сертификаты вполне имеют право на существование.\nДля создания такого сертификата выполните команду:\n1openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/pgadm4-selfsigned.key -out /etc/ssl/certs/pgadm4-selfsigned.crt На что здесь следует обратить внимание? На ключ -days, который указывает срок действия сертификата в днях, в нашем случае мы указали 3560 дней или 10 лет,\nВ процессе генерации сертификата вам потребуется ответить на ряд вопросов, в большинстве их них можно указать произвольные данные и только в поле Common Name следует указать IP-адрес сервера или его FQDN-имя. Затем откроем файл /etc/apache2/sites-available/default-ssl.conf в котором найдем и приведем к следующему виду две строки:\n1SSLCertificateFile /etc/ssl/certs/pgadm4-selfsigned.crt 2SSLCertificateKeyFile /etc/ssl/private/pgadm4-selfsigned.key После чего создадим файл с настройками SSL:\n1nano /etc/apache2/conf-available/ssl.conf И внесем в него следующие строки:\n1SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 2SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384 3SSLHonorCipherOrder off 4SSLSessionTickets off 5 6SSLUseStapling On 7SSLStaplingCache \u0026#34;shmcb:logs/ssl_stapling(32768)\u0026#34; Мы не будем в рамках данной статьи подробно разбирать эти параметры, они достаточно сложны, но для получения актуальных настроек SSL вы всегда можете воспользоваться ресурсом ssl-config.mozilla.org, рекомендуемый уровень настроек - Intermediate. Указанный выше блок получен именно оттуда.\nСохраняем изменения и включаем нужные модули, конфигурации и виртуальные хосты:\n1a2enmod ssl 2a2enconf ssl 3a2ensite default-ssl Проверяем конфигурацию Apache на ошибки:\n1apachectl -t И перезапускаем веб-сервер:\n1systemctl reload apache2 Теперь подключимся к серверу pgAdmin 4 через браузер с явным указанием защищенного протокола https://имя_или_ip_сервера/pgadmin4: То, что мы получили предупреждение безопасности - это нормально, с точки зрения браузера наш сертификат выпущен непонятно кем и доверять ему нет никаких оснований, но мы то знаем что к чему, поэтому игнорируем это предупреждение и переходим к целевому узлу. Теперь мы можем проверить параметры подключения. Для этого воспользуемся инструментами разработчика: Несмотря на ряд серьезных ошибок все достаточно неплохо. Первая ошибка сообщает нам, что имя сертификата не соответствует нашему узлу, что действительно так, сертификат мы выпустили для FQDN debian-pgadm4.interface31.lab, а обращаемся к серверу по IP-адресу 192.168.233.142. Вторая ошибка предупреждает о том, что сертификат выпущен центром сертификации (CA), который не является доверенным. Но так как мы знаем кто именно выпустил данный сертификат и что указанный IP-адрес совпадает с FQDN сертификата, то смело игнорируем эти ошибки.\nСледующие пункты сообщают нам о том, что соединение использует протокол TLS 1.3, прямую секретность на базе 128-битной эллиптической кривой Curve25519 и шифрование AES128-GCM, также на странице нет незащищенных элементов. Это очень неплохой результат, соответствующий современным требованиям к безопасности.\nПосле того, как мы убедились, что наш сервер нормально работает по защищенному протоколу, настроим автоматическую переадресацию с HTTP на HTTPS. Откроем файл /etc/apache2/sites-available/000-default.conf и в пределах секции VirtualHost внесем следующие строки:\n1RewriteEngine On 2RewriteCond %{HTTPS} off 3RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} Подключим необходимые модули:\n1a2enmod rewrite И перезапустим веб-сервер:\n1systemctl reload apache2 После чего убедимся, что все запросы к нашему серверу автоматически перенаправляются на защищенную версию. Как видим, настроить pgAdmin 4 в режиме сервера достаточно несложно, получив удобный и безопасный инструмент для управления вашими базами данных.\n","id":"ab68c3b3be554ab1d3098efa30b06697","link":"https://interface31.ru/post/ustanovka-i-nastroyka-pgadmin-4-v-rezhime-servera/","section":"post","tags":["1С Предприятие 8.х","Apache","Debian","pgAdmin","PostgreSQL","SSL","Ubuntu Server"],"title":"Установка и настройка pgAdmin 4 в режиме сервера"},{"body":"Наша жизнь с каждым днем все сильнее уходит в интернет: мы используем его для работы, проводим в нем финансовые операции, делаем покупки, общаемся с коллегами и родными. Поэтому на первый план все более выходят вопросы безопасности и конфиденциальности. Основная тенденция последних лет - переход на защищенные протоколы и уже сегодня использование HTTPS является обязательной нормой, но оставалось еще одно слабое звено - протокол DNS, данные в котором передавались открытым текстом. Устранить этот пробел призван новый протокол DNS over HTTPS (DoH), поддержка которого появилась в RouterOS.\nЧтобы понять суть проблемы незащищенного DNS немного углубимся в историю: на заре формирования глобальной сети интернет в том виде, в каком мы ее знаем встал вопрос использования простых и запоминающихся имен вместо цифровых адресов. Для того чтобы решить эту задачу был создана система DNS, которая должна была хранить соответствия имен цифровым адресам и сообщать их, получив запрос по специальному протоколу. Со временем возможности DNS росли и расширялись, но основной функцией по-прежнему остается сопоставление доменных имен IP-адресам, это одна из ключевых служб современного интернета, обойтись без нее невозможно.\nВ далеком 1987 году, когда принимались первые спецификации DNS вопросы безопасности были далеко не на первом месте и поэтому протокол дожил до наших дней практически в первозданном виде, передавая данные без какой-либо защиты. Чем это чревато? Давайте посмотрим.\nМы развернули в нашей виртуальной лаборатории небольшую сеть, которая выходит в интернет через виртуальный роутер Mikrotik. Вышестоящим узлом для него (читай - провайдером) является наш домашний роутер, с которого мы сняли дамп проходящего трафика. Даже беглого взгляда хватает, чтобы понять - вся интернет жизнь абонента как на ладони. При этом, обратите внимание, абонент не использовал DNS-сервера провайдера, а работал с публичными серверами Google, но все равно провайдер имеет полную картину запросов пользователя. Эта же самая информация доступна каждому промежуточному узлу, через который проходит абонентский трафик.\nПозвольте, - скажет иной пользователь, - но мне нечего скрывать! К сожалению, это не так. Информацию на основе ваших DNS-запросов могут использовать в рекламных целях и далеко не факт, что это будет ненавязчивая реклама в браузере. Кроме того, она позволяет составить достаточно наглядную картину вашей интернет-деятельности и далеко не все ее эпизоды вы захотите сделать общественным достоянием. Причем речь тут даже не о каких-то порочащих моментах, но вряд ли широкой общественности надо знать, что вы храните деньги в банке А и регулярно делаете покупки на площадке Б.\nПоэтому сокрытие данной информации - это вопрос личной цифровой безопасности, а не попытка скрыть какие-либо неприглядные факты, тем более что провайдер может легко сопоставить такие запросы с реальной личностью: IP-адрес - номер договора - ФИО - адрес - паспортные данные.\nЧтобы избежать раскрытия данных о DNS-запросах был реализован протокол DNS over HTTPS (DoH), который осуществляет взаимодействие с DNS-серверами по защищенному HTTPS-каналу, что исключает перехват запросов, теперь о вашей интернет активности будете знать только вы и DNS-сервер.\nВ RouterOS возможность использовать DoH появилась начиная с версии 6.47, но в ней имеется ряд уязвимостей, которые могут привести к утечке DNS, поэтому минимальной версией для DoH следует считать 6.47.1.\nСледующий вопрос - какие сервера DoH использовать? Мы рекомендуем крупных публичных провайдеров, благо есть из чего выбирать, ниже приведены провайдеры и URL-адреса DoH серверов:\n1OpenDNS - https://doh.opendns.com/dns-query 2Quad9 - https://dns.quad9.net/dns-query 3Cloudflare - https://cloudflare-dns.com/dns-query 4Google Public DNS - https://dns.google/dns-query Для настройки DNS over HTTPS перейдем в IP - DNS и внесем в поле Use DoH Server URL-адрес одного из DoH-серверов, в нашем случае это Cloudflare. Также обязательно установим флаг Verify DoH Certificate. Здесь возникает один интересный парадокс: DoH-сервер указан в виде URL, и чтобы достичь его нам нужно будет выполнить разрешение имен на обычном DNS-сервере. Поэтому в настройках выше у вас должен быть указан хотя бы один DNS-сервер. Наиболее правильно будет не трогать текущие настройки DNS, так как при указании DoH все запросы будут автоматически направляться к нему. Таким образом ваш провайдер будет знать, что вы используете DoH, но ваша интернет активность будет от него полностью скрыта.\nВроде бы все настроено правильно, но после применения данных настроек доступ в интернет на клиентах пропадет. А в качестве причины будет указана невозможность разрешения DNS-запросов. В чем же дело? А дело в флаге Verify DoH Certificate, который предписывает роутеру проверить предъявляемый DoH сертификат. Можно, кончено, обойтись и без проверки, но это позволит любому злоумышленнику перехватить запрос и отправить собственный ответ, который будет принят роутером, что сведет на нет весь смысл защиты DNS с помощью HTTPS.\nНо почему сертификат не проходит проверку? Да потому что RouterOS не имеет возможности ее выполнить. Для того чтобы проверить валидность сертификата нам потребуется корневой сертификат центра сертификации (CA), во \u0026quot;взрослых\u0026quot; ОС такие сертификаты хранятся в защищенном системном хранилище и обновляются средствами системы, в RouterOS нам нужно добавить такие сертификаты самостоятельно.\nДля работы с Google Public DNS нам потребуется корневой сертификат GlobalSign Root CA - R2, а для остальных провайдеров - DigiCert Global Root CA, формат скачиваемых сертификатов - PEM.\nСкачать GlobalSign Root CA - R2\nSHA-256: 69:E2:D0:6C:30:F3:66:16:61:65:E9:1D:68:D1:CE:E5:CC:47:58:4A:80:22:7E:76:66:60:86:C0:10:72:41:EB\nСкачать DigiCert Global Root CA\nSHA-256: 43:48:A0:E9:44:4C:78:CB:26:5E:05:8D:5E:89:44:B4:D8:4F:96:62:BD:26:DB:25:7F:89:34:A4:43:C7:01:61\nДанные сертификаты следует скопировать на Mikrotik и находясь в System - Certificates выполнить их импорт. Корневые сертификаты CA не являются секретными, но именно они отвечают за доверие ко всем выпущенным этим удостоверяющим центром сертификатам, поэтому скачивайте их только с официальных источников (на нашем сайте ссылки именно оттуда) и обязательно проверяйте контрольные суммы, которые отображаются в колонке Fingerprint на Mikrotik.\nПосле того, как мы импортируем корневой сертификат доступ во всемирную сеть появится. А что теперь у нас видит провайдер? Снова снимем дамп трафика на промежуточном роутере и изучим его. На этот раз не густо, единственное что можно узнать - это то, что мы используем DoH от Cloudflare. Как видим - настроить DoH не сложно, но это позволить поднять защиту приватной информации на качественно новый уровень. Надеемся, что данный материал окажется вам полезен, также всегда готовы к вашим вопросам в комментариях.\n","id":"506c54e70b8cf8681da2ec85d1ef00ed","link":"https://interface31.ru/post/nastraivaem-ispolzovanie-dns-over-https-doh-na-routerah-mikrotik/","section":"post","tags":["DNS","DoH","MikroTik","SSL","Безопасность"],"title":"Настраиваем использование DNS over HTTPS (DoH) на роутерах Mikrotik"},{"body":"Электронно-цифровая подпись (ЭЦП) давно уже стала неотъемлемой частью нашей жизни, позволяя удаленно взаимодействовать с органами власти, сдавать отчетность, участвовать в системах электронного документооборота (ЭДО). Все это стало особенно актуально в последнее время, когда сложная эпидемиологическая обстановка внесла серьезные коррективы в рабочий процесс, сделав упор на дистанционные технологии. Особый интерес работа с ЭЦП вызывает у пользователей Linux, действительно, данная тема пока не нашла широкого отражения, поэтому постараемся восполнить этот пробел.\nНачнем с того, что в техническом плане представляет электронно-цифровая подпись, а говоря об ЭДО и взаимодействии с государственными органами под этим термином мы будем иметь ввиду усиленную квалифицированную электронную подпись, которая выдается аккредитованным удостоверяющим центром и приравнивается к \u0026quot;живой\u0026quot; подписи.\nЭЦП состоит из двух частей: закрытого и открытого ключей. Закрытый ключ (часто просто \u0026quot;ключ\u0026quot;) является секретным, его утрата ведет к полной компрометации подписи, так как завладевшее им лицо имеет возможность подписывать любые документы от имени владельца ЭЦП. Открытый ключ, вместе с некоторыми сведениями о владельце ключа оформляется в виде сертификата. Он не является секретным и используется для аутентификации владельца ЭЦП на многих ресурсах, а также для проверки подписи, сделанной закрытым ключом.\nСреди обычных пользователей ЭЦП называется \u0026quot;сертификатом\u0026quot;, но если вы являетесь специалистом, то должны различать и понимать разницу между составляющими частями ЭЦП и не путать закрытый и открытый ключ (сертификат). Сертификаты хранятся в системном хранилище ОС, а вот для хранения закрытых ключей есть варианты:\nТокен - аппаратное устройство для хранения ключей, чаще всего без возможности их экспорта, является наиболее безопасным способом хранения, угрозу представляет только физическая утеря ключа. Съемный носитель - обычно флеш-карта на которой расположен контейнер закрытого ключа, менее безопасный способ, так как ключ может быть легко скопирован физически. Реестр или жесткий диск - самый небезопасный способ, но в тоже время самый удобный, особенно когда нужно работать с большим количеством ЭЦП, вполне приемлем на доверенных устройствах, но требует более серьезного подхода в разграничении прав доступа. При этом нельзя сказать, что последние два способа представляют угрозу безопасности, при должном подходе по разграничению доступа и установке нестандартного пароля на контейнер закрытого ключа они также вполне безопасны.\nВторой вопрос - браузеры. Так повелось, что основная разработка средств электронной подписи ориентируется на браузеры на основе WebKit, поэтому мы рекомендуем использовать для работы Google Chrome, для используемого по умолчанию Firefox мы так и не смогли нормально настроить работу с отечественной криптографией. Также можно использовать Яндекс.Браузер или Спутник, хотя последний может нестабильно работать в последних выпусках Linux, например, в Xubuntu 20.04. На этом, пожалуй, закончим вводную часть и перейдем к практическим примерам.\nГосуслуги Основной по своей значимости портал для взаимодействия с государственными органами. Для входа на Госуслуги в Linux можно использовать только аппаратные ключи (токены), криптопровайдеры не поддерживаются. Поэтому если вам нужны только Госуслуги, то Крипто-Про вам устанавливать не нужно. Для работы с Госуслугами вам потребуется IFCPlugin, который можно загрузить со следующей страницы, на нее же вы будете перенаправлены автоматически при попытке входа с помощью электронной подписи без установленного плагина. Система корректно распознает текущую ОС и автоматически предлагает к скачиванию нужную версию плагина в виде DEB-пакета. Но не будем спешить с его установкой, для работы с токенами нам потребуется установить дополнительные библиотеки, в частности pcscd:\n1apt install pcscd Если вы используете токены, то мы рекомендуем установить данную библиотеку вне зависимости от того, будете ли вы использовать Госуслуги или нет, она вам потребуется для работы с аппаратным ключом.\nЗатем откройте терминал в директории со скачанным плагином, повысьте права до суперпользователя и установите его командой:\n1dpkg -i IFCPlugin-x86_64.deb Перезапустите браузер и снова попробуйте войти на портал Госуслуг, в этот раз все должно увенчаться успехом. Установка Крипто-Про Крипто-Про самый распространенный и популярный отечественный криптопровайдер. Это коммерческое ПО и для установки вам понадобится серийный номер, без него будет активирована триальная версия на три месяца. Обычно лицензия на Крипто-Про выдается вместе с ЭЦП, либо использующим его ПО (например, система сдачи отчетности), поэтому если вы затрудняетесь найти лицензию, то обратитесь к своему поставщику ЭЦП.\nТеперь пару слов о ключах, если они располагаются на токене или флеш-карте, то ничего делать не надо, а вот если они находятся в реестре, то их нужно скопировать на переносной носитель (флешку). Для этого откройте Крипто-Про и перейдите на вкладку Сервис, в разделе Контейнер закрытого ключа нажмите Скопировать и в открывшемся окне выберите нужный контейнер из реестра. Затем укажите новый носитель для закрытого ключа, в этом качестве можно использовать любую флеш-карту, в т.ч. с данными, также рекомендуем установить на контейнер ключа надежный пароль. На этом подготовительные моменты закончились и перейдем непосредственно к установке Крипто-Про в среде Linux. Прежде всего нам потребуется получить дистрибутив, это не такая простая задача, как кажется на первый взгляд, проще всего это сделать с главной страницы официального сайта, нажав на ссылку в правой колонке. В этом случае вам не потребуется полноценной регистрации, достаточно будет заполнить несколько полей, сайт корректно определяет ОС клиента и сразу предлагает скачать нужный пакет, обратите внимание, что Крипто-Про для Linux поддерживает только 64-разрядные системы. Распакуйте полученный архив в любое удобное место и перейдите в терминал, этом можно сделать, кликнув правой кнопкой мыши в любом свободном месте и выбрав Открыть терминал. Повысим права до суперпользователя:\n1sudo -s И запустим установку Крипто-Про командой:\n1./install_gui.sh Продукт имеет текстовый установщик, который последовательно проведет вас по всем этапам. Набор установки по умолчанию следует дополнить пунктом Поддержка токенов и смарт-карт, также у вас должна быть установлена библиотека pcscd. При отсутствии лицензионного ключа этап его ввода можно пропустить, впоследствии, для активации лицензии потребуется запустить программу установки еще раз.\nПосле успешной установки запустите графическое приложение Инструменты КриптоПро, при старте оно автоматически находит и отображает все доступные контейнеры, и вы сразу можете выполнить необходимые действия, например, установить сертификат в системное хранилище ОС. Альтернативой хранения ключей на флешке может быть размещение контейнеров на жестком диске, для этого нажмите Скопировать контейнер и выберите в качестве носителя Directory: На этом установку Крипто-Про можно считать законченной.\nУстановка КриптоПро ЭЦП Browser plug-in Но одного криптопровайдера нам будет недостаточно, для работы с ЭЦП на различных государственных порталах нам потребуется плагин для поддержки со стороны браузера, его можно скачать на следующей странице. Распакуем полученный архив в удобное место, он содержит по три пакета для DEB и RPM-систем. Для установки выполним в терминале с правами суперпользователя:\n1dpkg -i cpro*.deb Затем перезапустим браузер и проверим работу плагина. Для этого нажмите на значок плагина на панели браузера и выберите в выпадающем меню Проверить работу плагина, если все сделано правильно вы увидите следующую страницу: Теперь вы можете использовать Крипто-Про для входа по ЭЦП на сайты, поддерживающие работу с данным криптопровадером.\n","id":"099f06591044413da42eba6840fd29c2","link":"https://interface31.ru/post/rabota-s-elektronnoy-podpis-yu-ecp-v-linux-debian-ubuntu/","section":"post","tags":["CryptoPro","Debian","Linux","PKI","Ubuntu","Криптография","ЭЦП"],"title":"Работа с электронной подписью (ЭЦП) в Linux (Debian / Ubuntu)"},{"body":"Время от времени в повседневной практике встречается следующий тип неисправностей - мелкие, но неприятные. Решаются они, как правило, походя, но именно поэтому решение редко запоминается и столкнувшись с такой неисправностью в следующий раз приходится искать способ ее устранения заново. Данная заметка как раз про такой случай. В очередной раз столкнувшись с тем, что Proxmox перестал показывать графики статистики в веб-интерфейсе нам пришлось снова искать решение, хотя мы помнили, что там все очень просто...\nВ один из длинных зимних вечеров мы обратили внимание, что на одном из свежеустановленных серверов Proxmox не показывается статистика. Еще одной характерной деталью является указанное на графиках время - 1 января 1970 года. За отображение графиков статистики в Proxmox отвечают данные RRD (round-robin database), которые хранятся на основе циклического буфера, что обеспечивает постоянный размер базы данных. Указанная дата тоже не случайна, именно с 1 января 1970 года начинается отсчет времени UNIX и текущее время в Linux системах представляет количество секунд, прошедших с этой даты.\nЗная это становится проще понять причину неисправности - при формировании файла базы данных RRD была неверно определена системная дата и он оказался сформирован с нулевой отметкой времени. Что делать в таком случае? Просто удалить неисправный файл, для этого перейдите в директорию\n1/var/lib/rrdcached/db/pve2-node и очистите ее содержимое. Перезапускать какие-либо службы при этом не нужно, новая база данных RRD будет создана автоматически, после чего графики статистики начнут отображаться. Как видим, неисправность действительно мелкая - на работоспособность гипервизора она не влияет - но достаточно неприятная. И способ решения у нее весьма прост. Но поиск решения иногда способен занять определенное время. Поэтому мы и решили создать эту заметку, чтобы было где посмотреть в следующий раз. Надеемся, что для вас она тоже окажется полезной.\n","id":"cb6928f4cd33dfd783dc0cfa5420e00d","link":"https://interface31.ru/post/ne-otobrazhayutsya-grafiki-statistiki-v-proxmox/","section":"post","tags":["Linux","Proxmox","Диагностика"],"title":"Не отображаются графики статистики в Proxmox"},{"body":"В последнее время значительно вырос интерес к технологиям удаленного доступа для обеспечения работы сотрудников из любого места. Ключевую роль здесь играет VPN, как универсальное и безопасное средство для получения доступа во внутреннюю сеть предприятия. Наиболее привлекательно использовать для этого те протоколы, которые штатно поддерживаются в Windows, что позволяет организовать соединение на любом ПК без установки на него стороннего ПО. Но у данного способа есть одна проблема - добавление маршрутной информации, сегодня мы рассмотрим один из штатных способов, позволяющих легко управлять маршрутами для VPN-соединений.\nСтандартные сетевые возможности Windows многим хороши, кроме одного - управление маршрутами для VPN-соединений. Именно это заставляло многих системных администраторов выбирать альтернативные технологии, например, OpenVPN, но это не совсем удобно если речь идет о личных устройствах сотрудников, так как требует установки дополнительного ПО, что, к тому же, не всегда возможно. Кроме того, мы неоднократно сталкивались с ситуациями, когда пользователи удаляли данное ПО, устанавливали конфликтующие приложения, теряли ярлыки для подключения, блокировали его антивирусным ПО и т.д. и т.п.\nПодключение средствами ОС в этом плане более привлекательно, так как позволяет снять большую часть указанных выше проблем и подразумевает единообразие пользовательского интерфейса, что позволяет сделать простые и понятные инструкции.\nНо вернемся к нашему вопросу. Для добавления маршрутов в удаленную сеть традиционно использовали несколько методов:\nСтатическая маршрутизация - на первый взгляд все просто, что прописали руками - то и работает. Но добавление маршрутов требует привилегий администратора, не всегда возможно заранее прописать маршрут из-за отсутствия интерфейса, при переподключении маршруты могут стать недействительными. Маршрутизация на основе классов - требует тщательного планирования адресного пространства, нет возможности прокинуть дополнительные маршруты, сложно работать с сетями 192.168.х.х. CMAK и различные скрипты - требуют административных привилегий, сложны в настройке, непрозрачны. В тоже время начиная с Windows 8 существует штатное решение в виде командлета PowerShell, которое позволяет привязать маршруты к VPN-подключению и добавлять их при его запуске, при отключении соединения маршруты будут автоматически удалены.\nЗапустим консоль PowerShell и прежде всего узнаем имена имеющихся в системе VPN-подключений:\n1Get-VpnConnection Результатом работы команды будет информация обо всех коммутируемых подключениях, нас интересует поле Name: 1Add-VpnConnectionRoute -ConnectionName \u0026#34;L2TP MT\u0026#34; -DestinationPrefix 192.168.111.0/24 -PassThru где в параметр ConnectionName содержит имя подключения, взятое в кавычки, а DestinationPrefix - необходимую сеть назначения или узел. Теперь проверим как это все работает. Проверим таблицу маршрутизации при отключенном VPN-подключении и убедимся, что маршруты в удаленную сеть отсутствуют: Теперь подключимся к VPN-серверу и снова проверим таблицу маршрутизации - в ней появится указанный нами маршрут к удаленной сети: Если нужно добавить несколько маршрутов - выполняем команду несколько раз. При этом можно добавлять маршруты не только к удаленной сети, но и к определенному узлу, что в ряде случаев более предпочтительно по соображениям безопасности, например:\n1Add-VpnConnectionRoute -ConnectionName \u0026#34;L2TP MT\u0026#34; -DestinationPrefix 192.168.111.101/32 -PassThru Данная команда добавит маршрут к узлу 192.168.111.101, к другим узлам удаленной сети доступа у VPN-пользователя не будет.\nЧтобы удалить маршрут следует воспользоваться командой Remove-VPNConnectionRoute, синтаксис которой полностью повторяет команду добавления маршрута:\n1Remove-VpnConnectionRoute -ConnectionName \u0026#34;L2TP MT\u0026#34; -DestinationPrefix 192.168.111.0/24 -PassThru Как видим, современные версии Windows дают нам в руки достаточно простой и удобный инструмент управления маршрутами для VPN-подключений.\nВнимание! Важно! Данные возможности не поддерживаются в Windows 7.\n","id":"5d77d3ed6e00a74dda998bc09133bcc7","link":"https://interface31.ru/post/avtomaticheskoe-dobavlenie-marshrutov-dlya-vpn-soedineniya-v-windows/","section":"post","tags":["PowerShell","VPN","Windows 10","Windows 8","Windows Server","Маршрутизация"],"title":"Автоматическое добавление маршрутов для VPN-соединения в Windows"},{"body":"Взаимоотношения бизнеса и свободного ПО гладкими и безоблачными не назовешь. Это понятно, так как слишком разные интересы сталкиваются с обоих сторон, но в целом сотрудничество выходит обоюдовыгодным. Многие свободные проекты финансово поддерживаются коммерческими компаниями, что позволяет им активно развиваться на благо всего сообщества. Другие проекты уходят под крыло крупных фирм, становясь частью бизнеса, но при этом оставаясь свободными. Но что будет, если новый владелец захочет все изменить? Читайте наш перевод зарубежной статьи на актуальную тему.\nПроект CentOS недавно объявил, что CentOS радикально меняется. Давайте поговорим о том, что нового появилось в этом дистрибутиве.\nЧто такое CentOS? CentOS (Community Enterprise OS) - это нисходящая версия Red Hat Enterprise Linux (RHEL). RHEL - это корпоративная операционная система Linux Red Hat премиум-класса, которая предоставляет стабильность производственного уровня. В течение многих лет проект CentOS брал те же исходники и патчи, из которых состоял RHEL, и перекомпилировал их в CentOS, находящийся в свободном доступе. Таким образом, вы могли бесплатно получить те же двоичные файлы, которые использовались RHEL. Это было совершенно законно и не нарушало лицензии RHEL (преимущественно GPL). Многие пользователи оценили возможность получить RHEL бесплатно и извлечь выгоду из разработок Red Hat по выводу на рынок очень стабильной, хорошо протестированной ОС Linux.\nВ январе 2014 года CentOS объявила, что присоединяется к Red Hat. В июле 2019 года IBM приобрела Red Hat.\nЧто изменилось? Ранее CentOS являлась нисходящей версией Red Hat. Но недавно было объявлено, что они становятся апстримом Red Hat и теперь будут служить испытательной площадкой для разработки RHEL. Новый дистрибутив будет называтсья CentOS Stream.\nКроме того, 5-летний срок долгосрочной поддержки CentOS был сокращен до 2 лет. Это изменяет EOL (End of life) CentOS 8 на 2021 год.\nНа что это влияет? Для многих пользователей это резко меняет ценность предложения CentOS. До этого изменения CentOS считалась такой же хорошей, как RHEL, поскольку это были те же двоичные файлы (фактически, единственная разница заключалась в названии и торговых марках). Даже заказчики, которые покупали RHEL на свои производственные узлы, часто использовали CentOS для систем разработки.\nТеперь CentOS будет совсем другим \u0026quot;существом\u0026quot;, нежели RHEL. И если что-то работает на RHEL, то это больше не означает, что оно будет работать и на CentOS.\nИзменение EOL также стало очень значительным. Отчасти ценность RHEL/CentOS заключалась в том, что вы могли получать исправления безопасности на срок до 5 лет без необходимости обновлять ОС. Установка исправлений безопасности обычно тривиальна, а обновление основных выпусков - нет.\nВ качестве примера рассмотрим Dreamhost, который годами использовал Debian на своих тысячах серверов. Они перешли на Ubuntu исключительно для того, чтобы им не приходилось так часто обновляться. Компании с высокими требованиями к времени безотказной работы и множеством систем часто ценят длительный жизненный цикл обслуживания.\nБольше всего пострадали пользователи, которые только что обновились до CentOS 8, думая, что у них остались годы поддержки. Им можно только почувствовать, так как почва резко ушла из-под их ног.\nПо иронии судьбы CentOS 7 будет поддерживаться до 2024 года - еще три года после того, как прекратится поддержка CentOS 8.\nПочему это было сделано? Думаю, это зависит от вашей точки зрения.\nЕсли принять сторону RedHat, то они:\n...предоставляют платформу для быстрых инноваций на уровне сообщества, но с достаточно стабильной базой для понимания динамики производства. Эти изменения и отзывы можно быстрее направить на производство, в результате чего платформы Linux будут удовлетворять потребности невероятно разнообразной пользовательской базы...\nЕсли вы настроены более цинично, вы можете предположить, что IBM, которая заплатила 34 миллиарда долларов за RedHat, рассматривает CentOS как угрозу продажам RHEL. Изменяя продукт во что-то, что заметно отличается от RHEL, они заставляют пользователей выбирать между использованием не-RHEL или оплатой за RHEL.\nПодождите, а разве Fedora не является испытательной площадкой для RHEL? Чем она отличается CentOS Stream?\nЭто действительно сбивает с толку. Скорее всего, Fedora находится на \u0026quot;переднем крае\u0026quot;, CentOS Stream будет \u0026quot;гораздо более отполирован\u0026quot;, а RHEL по-прежнему будет \u0026quot;хорошо протестирован\u0026quot;, но время покажет.\nМне не нравятся эти перемены! Вы, конечно, можете подписать петицию, чтобы попытаться изменить мнение IBM. Но это их программное обеспечение, и они могут делать с ним все, что хотят.\nЕсть ли надежда вернуться к тому, как все было? Вероятно, да, но уже не с CentOS, если вы имеете в виду \u0026quot;RHEL бесплатно\u0026quot;. Есть три варианта для рассмотрения:\nОдин из основателей CentOS запустил Rocky Linux CloudLinux объявила, что они будут воссоздавать CentOS Всегда есть Oracle Linux. Они выпустили дерзкий веб-сайт под названием centos.rip И наконец, есть и другие качественные дистрибутивы Linux, например, Debian или Ubuntu.\nИсточник: CentOS, RIP...Long Live CentOS Stream?!?\n","id":"dce3631f23867ca73ed958b027e4b1c0","link":"https://interface31.ru/post/centos-umer-da-zdravstvuet-centos-stream/","section":"post","tags":["CentOS","Linux","RHEL"],"title":"CentOS умер... Да здравствует CentOS Stream?!?"},{"body":"Обрабатываемые объемы данных с каждым годом только растут, выдвигая новые и, зачастую, противоречивые требования к информационным системам. В частности? это касается архивации данных, с одной стороны для эффективного использования устройств хранения требуется высокий коэффициент сжатия, с другой стороны важное значение имеет скорость работы. Ранее существовавшие алгоритмы предлагали что-то одно: либо быструю скорость работы, либо отличное сжатие. Zstandard - новый алгоритм, разработанный с учетом современных требований и сегодня мы посмотрим насколько он эффективен.\nНекоторое время назад мы проводили тестирование консольных архиваторов, которое показало что наиболее оптимальным является использование архиваторов на основе алгоритма Deflate, к которым относятся ZIP и gzip. Они обеспечивают высокую скорость архивации при неплохой степени сжатия. Их противоположностью являются использующие алгоритм LZMA продукты, самый известный из которых 7Zip, для них характерна отличная степень сжатия, но за это приходится платить низкой скоростью работы.\nПостоянно растущие объемы данных не позволяют рассматривать LZMA, как эффективный алгоритм, делая его нишевым решением, когда на первый план выходит именно степень сжатия, а время создания и распаковки архивов не имеют значения. Поэтому при разработке Zstandard была поставлена цель добиться степени сжатия сравнимой с Deflate при более высокой скорости работы. Разработкой занимается Ян Колле (фр. Yann Collet) при поддержке Facebook и ему удалось достигнуть действительно отличных результатов. При использовании стандартной степени сжатия Zstandard сжимает лучше и быстрее Deflate, а на высоких степенях может тягаться с LZMA, но распаковка таких архивов происходит практически также быстро, как и архивов с низкой степенью компрессии.\nЭта особенность обусловила переход на Zstandard для сжатия пакетов ведущими дистрибутивами, такими как Ubuntu, Fedora, Arc. Он применяется для сжатия в файловых системах btrfs и OpenZFS, в СУБД MySQL, PostgreSQL, MongoDB, Tarantool. С полным списком применяющих Zstandard проектов можно ознакомиться здесь: facebook.github.io/zstd. Все это заставляет присмотреться к новому алгоритму достаточно внимательно, поэтому мы провели собственное исследование эффективности Zstandard с которым и хотим вас ознакомить.\nТестирование эффективности Zstandard На этот раз мы не стали устраивать полноценного тестирования, а использовали одну из реальных задач - архивирование дампа базы PostgreSQL объемом около 11 ГБ, а в качестве конкурентов использовали gzip (Deflate) и 7Zip (LZMA). Тестирование производилось в среде Debian 10 с установками сжатия по умолчанию. Для измерения времени использовалась команда time, результат представляет среднее от пяти запусков.\nРезультат нас очень сильно удивил: zstd сжал 10,8 ГБ за рекордные 35 секунд, за ним следует gzip с результатом в 2 мин 15 секунд, а замыкает список 7zip, которому потребовалось более получаса. А как обстоят дела со степенью сжатия? Тоже неплохо: 9% - это немного лучше чем у gzip c его 10,4% и немного хуже 7,9% 7Zip. Но в целом разрыв по степени сжатия не столь велик и отходит на второй план по сравнению с разницей во времени. Как можем видеть, LZMA вообще нельзя рассматривать как эффективный алгоритм, полчаса работы - это очень много, учитывая то, что сжатие данных требовательная к процессорным ресурсам операция, тем более что аналогичного результата можно достичь всего за 30 секунд! Да и Deflate тоже пора уступать место новому алгоритму, разрыв на фоне LZMA не так заметен, но все-таки в 4 раза, да и сжимает Zstandard лучше. Но у ZIP и gzip есть большое преимущество - распространенность, данные архиваторы поддерживаются в своих ОС \u0026quot;из коробки\u0026quot;, что в некоторых случаях может быть важно.\nЕще один важный параметр - время распаковки, здесь разница между архиваторами уже не столь велика: 7Zip тратит на извлечение данных чуть больше минуты, gzip и zstd справляются за 30 секунд, разница между ними в погрешности измерений, но мы помним, что zstd сжимает лучше. А теперь сделаем несложные вычисления и подумаем. Zstandard распаковал и записал на диск 10,8 ГБ за 32 секунды, скорость копирования при этом составила около 360 МБ/с, что составляет практически верхнюю планку для нашего массива RAID 10 на котором расположена данная виртуальная машина. Может ли производительность дисковой подсистемы оказаться узким местом для архиватора? Вполне, причем не только при распаковке, но и при сжатии, так как данные с диска нужно прочитать, а с учетом результатов zstd мы получаем примерно такую же скорость обмена данными, близкую к физическим ограничениям подсистемы. Поэтому мы подключили к виртуальной машине еще один диск, расположенный на производительном NVMe SSD ADATA XPG SX8200 Pro и повторили тесты на нем.\nЕсли классические алгоритмы не получили никакой выгоды от смены носителя, то для Zstandard эффект был получен незамедлительно, время сжатия дампа уменьшилось с 35 до 22 секунд, а это около 37%, что очень и очень неплохо. С распаковкой картина аналогичная: Deflate и LZMA снова никак не отреагировали на смену носителя, а zstd обновил результаты, распаковав архив за 19 секунд и уверенно обозначил лидерство. Даже столь небольшое тестирование дает понять, что перед нами очень эффективный алгоритм сжатия нового поколения, а стоящая за его разработкой компания Facebook, как раз работающая с большими объемами данных, обещает хорошие перспективы для дальнейшего развития.\nКак начать пользоваться Zstandard Следующий вопрос, который возникнет у наших читателей, как получить и начать использовать Zstandard? Для пользователей Linux все очень просто, zstd входит в репозитории и установить его можно простой командой (для DEB-based дистрибутивов):\n1apt install zstd Для получения краткой справки наберите:\n1zstd -h а для ознакомления со всеми возможностями программы воспользуйтесь полной справкой:\n1zstd -H Сжать файл можно командой:\n1zstd filename После чего будет создан архив с именем filename.zst, если требуется указать иное имя файла архива воспользуйтесь дополнительным ключом:\n1zstd filename -o archive.zstd Для распаковки воспользуйтесь:\n1zstd -d filename.zst Для сжатия директорий используйте zstd совместно с tar:\n1tar --zst -cf myfolder.tar.zst myfolder Для распаковки такого архива выполните:\n1tar --zst -xf myfolder.tar.zst Пользователи Windows тоже могут использовать Zstandard, для этого нужно скачать архив с официальной страницы разработчиков на Github. Из всего содержимого архива вам понадобится один единственный файл - zstd.exe, синтаксис команд и возможности полностью совпадают с Linux-версией.\n","id":"d6ed0522c9d2df3bb3805569e46f8efc","link":"https://interface31.ru/post/zstandard-novyy-bystryy-i-effektivnyy-algoritm-szhatiya-dannyh/","section":"post","tags":["Linux","Windows Server","Архивация","Производительность"],"title":"Zstandard - новый, быстрый и эффективный алгоритм сжатия данных"},{"body":"Современные ОС предусматривают современные подходы ко многим привычным вещам, отказываясь от многих устаревших технологий. С одной стороны это правильно, с другой - может вызвать и вызывает проблемы в переходный период. Поэтому системный администратор всегда должен интересоваться всеми нововведениями используемых систем, а также уметь применять их на практике. Здоровый консерватизм - это хорошо, но он не должен препятствовать прогрессу. Сегодня мы поговорим об одной часто встречающейся проблеме - не включается сетевое обнаружение в последних версиях Windows 10 и Windows Server.\nДолгое время взаимоотношения систем семейства Windows c сетевой безопасностью были достаточно сложными. Ситуация начала меняться с выходом Windows XP, в которой появился встроенный брандмауэр, начиная с Vista были введены ограничения для учетных записей пользователей и произошло разделение подключенных сетей на домашние, рабочие и общественные.\nПричиной этому стало широкое распространение интернета и широкополосных сетей, когда постоянное подключение к сети стало из роскоши нормой жизни. За ними последовало развитие домовых и личных сетей и сегодня практически каждое устройство так или иначе подключено к какой-либо сети c обязательным выходом в интернет. Это заставило по-новому посмотреть на вопросы безопасности, в частности в сторону ужесточения политик по умолчанию. Вторая проблема - это старые, уязвимые протоколы, многие из которых поддерживались в угоду совместимости, но дальнейшее их применение ставило серьезные проблемы безопасности, обусловленные самой архитектурой этих протоколов.\nВ современных ОС все сети делятся на частные и общедоступные, любая неизвестная сеть по умолчанию определяется как общедоступная и для нее включаются повышенные меры безопасности. Частные сети предполагают больший уровень доверия и позволяют включить Сетевое обнаружение, которое позволяет текущему узлу находить другие компьютеры в сети и быть видному самому. Ранее за этот функционал отвечал протокол NetBIOS over TCP/IP, но он не удовлетворяет современным требованиям безопасности и поэтому от его применения начали отказываться. На смену ему пришел новый протокол SSDP (Простой протокол обнаружения сервисов, Simple Service Discovery Protocol), который является частью более широкого протокола UPnP (Universal Plug and Play).\nНовые протоколы позволяют сетевым устройствам не только обнаруживать и взаимодействовать друг с другом, но и самостоятельно конфигурировать активное сетевое оборудование, например, пробрасывать нужные порты на роутере.\nНо вернемся к озвученной в заголовке проблеме. Достаточно часто можно столкнуться с ситуацией, когда сетевое обнаружение в системах Windows не хочет включаться. При этом нет никаких сообщений об ошибках, вы вроде бы включаете сетевое обнаружение, но оно все равно оказывается отключенным. Причина такого поведения заключается в том, что старые службы (NetBIOS over TCP/IP) оказываются выключенными, а новые (SSDP и прочие) не включенными. Чтобы решить данную проблему нужно включить автоматический запуск и запустить в указанном порядке следующие службы:\nОбнаружение SSDP - включает поддержку протокола SSDP Узел универсальных PNP-устройств - включает поддержку UPnP Хост поставщика функции обнаружения - отвечает за обнаружение других устройств в локальной сети Публикация ресурсов обнаружения функции - обеспечивает видимость компьютера в локальной сети Также удостоверьтесь что у вас работает и настроена на автоматический запуск служба:\nDNS-клиент Теперь можно включить сетевое обнаружение и удостовериться что вам доступны ресурсы локальной сети.\n","id":"ec842efbc639ce6c732661fdd2602116","link":"https://interface31.ru/post/ne-vklyuchaetsya-setevoe-obnaruzhenie-v-windows-10-windows-server/","section":"post","tags":["Windows 10","Windows Server","Диагностика","Сетевые технологии"],"title":"Не включается сетевое обнаружение в Windows 10 / Windows Server"},{"body":"Платформа Windows Server остается одной из наиболее популярных серверных платформ, в том числе и для реализации решений удаленного доступа. Служба маршрутизации и удаленного доступа (RRAS) позволяет быстро и достаточно просто развернуть VPN-сервер практически для любых нужд. Сегодня мы еще раз вернемся к этому вопросу и рассмотрим, как создать на базе Windows Server PPTP или L2TP сервер для удаленного доступа, как наиболее востребованный сценарий на сегодняшний день.\nПочему именно эти типы подключения? Потому что они наиболее просты в реализации и поддерживаются широким спектром клиентов что называется \u0026quot;из коробки\u0026quot;. Однако следует помнить, что PPTP не является на сегодняшний день безопасным и имеет слабые алгоритмы шифрования, но при этом он наиболее производительный из VPN-протоколов и имеет минимальные накладные расходы. Кроме того, его поддержка исключена из операционных систем Apple.\nОптимальным вариантом будет использование L2TP/IPsec подключения, которое сочетает в себе простоту, поддержку практически любыми клиентскими ОС и устройствами вместе с неплохим уровнем безопасности, обеспечиваемым IPsec. А так как настройка сервера для этих видов подключений практически идентична, то мы решили объединить их в одну статью.\nУстановка и настройка службы маршрутизации и удаленного доступа Для начала работы с VPN в среде Windows Server вам потребуется установить роль Удаленный доступ, это делается стандартными средствами и не должно вызвать затруднений. В Службах ролей выбираем Маршрутизация, роль DirectAccess и VPN (RAS) будет добавлена автоматически. После установки роли Удаленный доступ ее следует настроить, проще всего это сделать, нажав на значок с желтым треугольником в Диспетчере серверов и выбрать в появившемся списке пункт Запуск мастера начальной настройки. В появившемся окне выбираем пункт Развернуть только VPN. Затем в оснастке Маршрутизация и удаленный доступ щелкаем правой кнопкой мыши по строке с сервером и выбираем в выпадающем меню Настроить и включить маршрутизацию и удаленный доступ. После чего появится хорошо знакомое окно мастера настройки, предлагающее сразу несколько типовых конфигураций, однако у него есть свои особенности, например, если у вашего сервера всего один сетевой интерфейс, то настроить вариант Удаленный доступ (VPN или модем) мастер вам не даст. Поэтому выбираем самый нижний пункт - Особая конфигурация. В следующем окне достаточно поставить галочку Доступ к виртуальной частной сети (VPN) и завершить работу мастера. После завершения работы мастера служба Маршрутизации и удаленного доступа будет запущена и можно приступить к настройке сервера удаленного доступа. Если же данная служба у вас уже установлена и настроена в иной конфигурации, то щелкните правой кнопкой по строке сервера и выберите Свойства, в открывшемся окне на закладке Общие установите опции: IPv4-маршрутизатор локальной сети и вызова по требованию и IPv4-сервер удаленного доступа.\nНастройка PPTP и/или L2TP сервера удаленного доступа Откроем оснастку Маршрутизация и удаленный доступ и перейдем к свойствам сервера через одноименный пункт в меню правой кнопки мыши, прежде всего убедимся, что настройки на закладке Общие соответствуют приведенным на скриншоте выше. Затем переключимся на закладку Безопасность и убедимся, что в качестве Поставщика службы проверки подлинности стоит Windows - проверка подлинности, а Поставщик учета - Windows-учет, еще ниже установим флаг Разрешить пользовательские политики IPsec для L2TP- и IKEv2-подключения и в поле Общий ключ укажите парольную фразу для предварительного ключа. Нажав на кнопку Методы проверки подлинности откроем окно, в котором выберем только Протокол EAP и Шифрованная проверка (Microsoft, версия 2, MS-CHAP v2), остальные протоколы не являются безопасными и должны быть отключены. На закладке IPv4 укажем опцию Назначение IPv4-адресов - Статический пул адресов и добавим новый пул для выдачи адресов из него удаленным клиентам. Количество адресов должно быть не менее количества клиентов плюс один адрес, так как первый адрес из пула присваивается серверу. Что касается самого диапазона адресов, то его выбор зависит от конфигурации сети, если вы будете использовать маршрутизацию, то он не должен пересекаться с локальной сетью, если же хотите использовать ProxyARP, то наоборот, должны выделить принадлежащий локальной сети диапазон. В нашем случае используется второй вариант. На этом настройка сервера может считаться законченной, следующим шагом следует разрешить подключения нужным пользователям, для этого в свойствах пользователя перейдем на закладку Входящие звонки и в блоке Права доступа к сети укажем Разрешить доступ. Теперь указанный пользователь может подключаться к нашему серверу используя свои учетные данные. Также не забудьте проверить настройки брандмауэра, чтобы убедиться, что правила Маршрутизация и удаленный доступ GRE-входящий, PPTP-входящий (для PPTP) и L2TP-входящий (для L2TP) включены.\nProxy ARP Сетевое взаимодействие в пределах одной IP-сети осуществляется на канальном (L2) уровне, в сетях Ethernet для этого используются MAC-адреса устройств. Для того, чтобы выяснить MAC-адрес узла по его IP применяется протокол ARP (Address Resolution Protocol), использующий широковещательные запросы, на которые отвечает только обладатель указанного IP-адреса. Выдавая удаленным клиентам адреса из диапазона основной сети мы как бы помещаем их в общую IP-сеть, но так как VPN - это соединение точка-точка, ARP-запросы от удаленных клиентов в сеть попадать не будут, единственный узел который их получит - сам VPN-сервер.\nДля решения данной проблемы используется технология Proxy ARP, которая, как понятно из названия, представляет прокси-сервер для ARP-запросов, позволяя удаленным клиентам работать так, как будто бы они действительно находились в одной сети, без каких-либо дополнительных настроек. При использовании RRAS никаких дополнительных действий делать не нужно, Proxy ARP работает по умолчанию.\nVPN-сервер за NAT Так как мы используем Windows Server, то с большой долей вероятности он будет находиться внутри сетевого периметра и нам понадобится настроить проброс портов на маршрутизаторе. Для этого нужно четко понимать, как работает VPN-соединение и какие порты и протоколы следует передавать.\nНачнем с PPTP, прежде всего клиент устанавливает управляющее TCP-соединение на порт 1723, затем, после успешной аутентификации создается соединение для передачи данных с использованием протокола GRE.\nТаким образом для работы PPTP-сервера за NAT нужно:\nпробросить порт 1723 TCP разрешить прохождение GRE-трафика С первым понятно, а вот с GRE могут возникнуть затруднения. Если вы используете маршрутизатор на базе Linux, то обратитесь к следующей нашей статье, если оборудование Mikrotik, настроенное по нашей инструкции, то достаточно пробросить только 1723 TCP, прохождение GRE будет разрешено конфигурацией брандмауэра, в остальных случаях следует обратиться к документации на свою модель маршрутизатора.\nС L2TP сложнее, точнее не с ним самим, а с IPsec, который не поддерживает NAT. Для обхода этих ограничений используется протокол NAT-T, который инкапсулирует пакеты IPsec в UDP, позволяя успешно проходить через NAT. Поддержка данного протокола включена по умолчанию практически во всех ОС, кроме Windows. Для включения поддержки NAT-T следует внести изменения в реестр, найдите ветку:\n1HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\PolicyAgent И создайте в ней параметр DWORD c именем AssumeUDPEncapsulationContextOnSendRule и значением 2.\nЭто можно быстро сделать при помощи PowerShell:\n1Set-ItemProperty -Path \u0026#34;HKLM:SYSTEM\\CurrentControlSet\\Services\\PolicyAgent\u0026#34; -Name \u0026#34;AssumeUDPEncapsulationContextOnSendRule\u0026#34; -Type DWORD -Value 2 -Force После чего систему следует перезагрузить. Данные изменения нужно внести как на сервере, так и на клиенте.\nПри установлении L2TP/IPsec соединения между узлами прежде всего создается зашифрованный IPsec-канал, для этого используется протокол обмена ключами IKE (порт 500 UDP) и протоколNAT-T (порт 4500 UDP), затем уже внутри безопасного IPsec-соединения поднимается L2TP-туннель на порт 1701 UDP и происходит аутентификация пользователя.\nИнформация Обратите внимание, аутентификация пользователя в L2TP, в отличии от PPTP, происходит внутри защищенного IPsec-канала, что делает данный тип соединения более безопасным.\nТаким образом для работы L2TP/IPsec сервера за NAT нужно:\nпробросить порт 500 UDP пробросить порт 4500 UDP внести изменения в реестр для включения NAT-T как на сервере, так и на клиенте (только для Windows) Вопреки распространенному заблуждению порт 1701 UDP пробрасывать не нужно.\nНастройка VPN-подключения в Windows С одной стороны это простой вопрос, с другой - имеются определенные тонкости, на которые мы как раз и обратим внимание. В Windows 10 для первичной настройки VPN-подключения служит современное приложение, которое предельно простое и не охватывает дополнительных настроек. Поэтому после того, как вы создадите в нем подключение, следует перейти к его свойствам и на закладке Параметры - Параметры PPP установить в открывшемся окне все флажки. Это позволит использовать все возможности протокола PPP и получить оптимальное качество связи. Обратите внимание, что данные опции должны также поддерживаться со стороны сервера, в противном случае их использование в одностороннем порядке может привести к ошибкам при установлении связи. Затем на закладке Безопасность установите в Шифрование данных-обязательное, а в пункте Проверка подлинности выберите Протокол расширенной проверки подлинности (EAP). И наконец на закладке Сеть перейдите в свойства протокола IP версии 4 (TCP/IP 4) и нажмите Дополнительно, в открывшемся окне снимите флаг Использовать основной шлюз в удаленной сети, в противном случае весь исходящий трафик будет направлен в туннель. После чего можем подключаться и пробовать получить доступ к ресурсам удаленной сети, если вы все сделали правильно, то проблем возникнуть не должно.\nНастройка VPN-подключения в Linux В данной части нашего материала мы будем рассматривать настройку клиентских Linux-систем при помощи графического окружения и Network Manager, настройка серверных систем выходит за рамки текущей статьи. В качестве примера мы будем использовать Ubuntu, но все сказанное будет справедливо для любых основанных на Debian систем, а с некоторыми уточнениями - для любых дистрибутивов.\nПоддержка PPTP присутствует практически в любом дистрибутиве по умолчанию. Достаточно перейти в Настройки - Сеть и добавить новое VPN-подключение. Заполняем основные настройки: адрес сервера, имя и пароль пользователя. Затем нажимаем кнопку Дополнительно и в открывшемся окне в разделе Аутентификация оставляем только MSCHAPv2, обязательно включаем Использовать шифрование MPPE и выбираем ниже 128 бит (наиболее защищенное), также устанавливаем флаг Включить Stateful Encryption для уменьшения накладных расходов на шифрование. Флаги сжатия оставляем включенными. Закрываем данное окно с сохранением данных и переходим на закладку IPv4, где в разделе Маршрутизация устанавливаем флаг Использовать это подключение только для ресурсов этой сети, в противном случае в туннель пойдет весь трафик узла. На этом настройка подключения завершена, можно подключаться.\nДля работы с L2TP потребуется установить дополнительные пакеты:\n1apt install network-manager-l2tp-gnome После чего в доступных типах подключения появится L2TP. Основные настройки ничем не отличаются от PPTP, также адрес сервера, имя и пароль пользователя. Затем откроем Настройки PPP, в разделе Аутентификация также выберем только MSCHAPv2, а вот опции шифрования оставляем выключенными, так как чистый L2TP шифрования не использует, для защиты канала здесь применяется IPsec. Флаги сжатия также оставляем установленными по умолчанию. Затем переходим в Настройки IPsec, это наиболее сложная и ответственная часть настроек, так как от них напрямую зависит безопасность соединения. В поле Pre-shared key введите Общий ключ, а ниже потребуется указать используемые шифры. Большинство материалов в сети интернет копируют друг у друга откровенно старые и слабые наборы шифров, что не соответствует реалиям сегодняшнего дня, хотя соединение с такими значениями будет работать. Мы же будем использовать максимально безопасные значения, для этого в поле Phase1 Algorithms укажите aes256-sha1-ecp384, а в поле Phase2 Algorithms - aes256-sha1.\nТакже имеет смысл установка флага Enforce UDP Encapsulation, который принудительно включает NAT-T, в случае если вы точно знаете, что ваш сервер находится за NAT, без этой опции протокол включается автоматически при обнаружении первого устройства с NAT. Сохраняем настройки и переходим на вкладку IPv4, где также в разделе Маршрутизация ставим флаг Использовать это подключение только для ресурсов этой сети, чтобы направить в туннель только трафик для сети офиса. На этом настройка закончена, можно подключаться.\n","id":"8ca11a07e078c76e3cc69989d4b10876","link":"https://interface31.ru/post/nastraivaem-pptp-ili-l2tp-vpn-server-pri-pomoshhi-rras-v-windows-server/","section":"post","tags":["L2TP","NAT","PPTP","Proxy ARP","VPN","Windows Server","Windows Server 2012","Windows Server 2016","Сетевые технологии"],"title":"Настраиваем PPTP или L2TP VPN-сервер при помощи RRAS в Windows Server"},{"body":"Многие наши материалы появляются в результате обратной связи с читателями. Так и на этот раз, в обсуждениях возник вопрос об отключении уведомлений об отсутствии платной подписки в продуктах Proxmox. Там же было предложено решение, которое, на наш взгляд, не является оптимальным, и мы предложили свой вариант. А потом подумали, а почему бы не оформить это отдельным материалом, тем более что данный вопрос волнует многих наших читателей. И, как всегда, кроме руководства к действию, будет необходимый теоретический минимум и пояснения по решаемой проблеме.\nProxmox - известный австрийский производитель ПО с открытым исходным кодом, наиболее известным их продуктом является система виртуализации Proxmox Virtual Environment, чуть менее известен пограничный почтовый шлюз Proxmox Mail Gateway. Коммерческая модель компании строится по принципу продажи поддержки на основе подписки, вместе с которой предоставляется доступ к корпоративному репозиторию. При этом никакого разделения между коммерческими и бесплатными пользователями нет, просто в бесплатный репозиторий пакеты попадают с некоторой задержкой, в случае обнаружения уязвимостей и публичного доступа к продукту это может быть чувствительно.\nНо многие используют продукты Proxmox внутри периметра и для них данный вопрос не стоит столь актуально, в этом случае основным преимуществом становится возможность бесплатного коммерческого использования продукта. Это действительно так, никаких ограничений у Proxmox нет, это открытое ПО лицензируемое под GPL, подписка - дело сугубо добровольное.\nИменно здесь наступает первое \u0026quot;непримиримое противоречие\u0026quot;: пользователи хотят всего и бесплатно, разработчики хотят продать подписку. Поэтому они включили в продукт всплывающее окно с уведомлением об отсутствии подписки и предложением ее приобрести. С другой стороны это открытое ПО, со всеми сопутствующими свободами и никто не имеет права вас ограничить в его использовании, модификации и распространении. Поэтому, если вы хотите убрать данное уведомление, то это будет вполне законно и никакого нарушения лицензии здесь нет.\nКоротко подведем промежуточный итог: наличие или отсутствие подписки никак не сказывается на функциональности продукта и никак не ограничивает возможность его коммерческого применения. Отключить уведомление можно на вполне законных основаниях, которые лежат в основе свободной лицензии GPL.\nНу если так, то за работу, тем более что в сети интернет есть масса статей как это сделать. К сожалению, назвать предлагаемый большинством из них способ можно только топорным. Да, он работает, но фактически мы поломали при этом логику программы, что чревато как минимум ошибками в логах. Мы же пойдем иным путем и сделаем все правильно, особых знаний при этом не требуется, достаточно владеть основами программирования.\nОткроем файл /usr/share/javascript/proxmox-widget-toolkit/proxmoxlib.js и найдем в нем участок кода:\n1if (res === null || res === undefined || !res || res 2.data.status.toLowerCase() !== \u0026#39;active\u0026#39;) { Здесь не нужно глубоко вникать в логику программы, достаточно понимать, что это условие и если оно истинно, то будет выполняться одна часть программы, которая показывает нам уведомление, а если ложно - то иная. Решение в данном случае предельно просто - делаем условие всегда ложным, для этого заменяем приведенный выше код на:\n1if (false) { Сохраните файл и выйдите из сессии в веб-консоли Proxmox, также рекомендуем очистить кеш браузера (Ctrl + F5), затем можем снова заходить в панель управления, назойливое уведомление нас больше не побеспокоит.\n","id":"21f2606dee73e3261efc16043f82fad5","link":"https://interface31.ru/post/kak-otklyuchit-uvedomleniya-o-podpiske-v-proxmox/","section":"post","tags":["Linux","Proxmox"],"title":"Как отключить уведомления о подписке в Proxmox?"},{"body":"В одном из наших прошлых материалов мы рассмотрели состав предустановленного ПО в Windows 10, а также некоторые вопросы связанные с его управлением и настройками меню Пуск. Вопреки распространенному мнению большую часть программ можно удалить штатными методами, а использование PowerShell вообще дает полный контроль. Но есть одно но! Все вносимые изменения касаются только локального ПК и локального профиля пользователя, что не подходит если вам нужно развернуть Windows 10 на некоторое число компьютеров, в этом случае лучшим способом будет создание собственного, заранее настроенного образа.\nВ рамках данной статьи мы не предполагаем глубокой модификации установочного образа, ограничившись выбором набора предустановленного ПО, собственными настройками меню Пуск и некоторыми \u0026quot;твиками\u0026quot; в системном реестре. В большинстве случаев этого достаточно, чтобы облегчить жизнь системного администратора и упростить процесс настройки рабочих станций после установки ОС.\nДля работы нам понадобится оригинальный образ Windows 10 содержащий файл install.wim, образы со сжатым и зашифрованным файлом install.esd нам не подойдут. Также скачайте и установите на рабочем ПК Windows Assessment and Deployment Kit (ADK), из всего набора инструментов нам потребуются только Средства развертывания. Кроме образа нам также потребуется шаблон предварительно настроенного меню Пуск. Это можно сделать на любой рабочей станции, но проследите, чтобы в набор плиток не попали отсутствующие в образе приложения. На наш взгляд лучше всего произвести тестовую установку с целевого образа на виртуальную машину, настроить там меню Пуск и выполнить экспорт настроек. Ниже показан один из примеров такой настройки, набор приложений в нем выбран произвольно, поэтому настраивайте меню именно так, как нужно вам. После того, как вы все настроили сделайте экспорт настроек командой PowerShell:\n1Export-StartLayout -Path D:\\LayoutModification.xml Где D:\\LayoutModification.xml - расположение целевого файла.\nТакже, в настройках меню Пуск по умолчанию включена опция Иногда показывать предложения в меню \u0026quot;Пуск\u0026quot;, которая время от времени выводит в самом верху ссылки на приложения Магазина и устанавливает их при клике на значок. Чтобы избежать такого поведения необходимо внести некоторые изменения в реестр. Поэтому подготовим файл импорта: создадим обычный текстовый документ со следующим содержимым и сохраним его как import.reg.\n1Windows Registry Editor Version 5.00 2 3[HKEY_USERS\\TMP\\Software\\Microsoft\\Windows\\CurrentVersion\\ContentDeliveryManager] 4\u0026#34;SubscribedContent-338388Enabled\u0026#34;=dword:00000000 При желании вы можете добавить в этот файл и другие \u0026quot;твики\u0026quot;, однако это выходит за рамки данной статьи. Обратите внимание, что мы импортируем изменения в несуществующую ветку HKEY_USERS\\TMP, куда мы подключим ветвь HKEY_USERS\\.DEFAULT из образа. Если же вам нужно внести изменения в другие ветви реестра образа, то добавьте в файл импорта необходимые псевдонимы. Напомним, что вы можете подключить файл реестра в любое место системного реестра собственной машины, назначив ему уникальное имя.\nТеперь создадим набор рабочих папок, их следует располагать ближе к корню файловой системы и использовать короткие пути. В нашем случае это будут папки:\nD:\\iso - здесь будут располагаться файлы образа D:\\mnt - сюда будет развернут образ при монтировании D:\\tmp - для размещения дополнительных файлов, таких как шаблон меню и файл импорта реестра После чего скопируем в D:\\iso содержимое образа установочного диска. Как правило, образ содержит сразу несколько редакций Windows 10 и нам необходимо выяснить их набор и номер требуемой редакции, для этого выполним в PowerShell с правами администратора (здесь и далее используется среда PowerShell, если не указано иного) следующую команду:\n1Get-Windowslmage -ImagePath \u0026#34;D:\\iso\\sources\\install.wim\u0026#34; Где вам потребуется указать путь к файлу install.wim распакованного образа. В выводе вы получите перечисление всех редакций в образе: В нашем случае нас интересует редакция Pro под номером 4. Выполним ее монтирование:\n1Mount-WindowsImage -ImagePath \u0026#34;D:\\iso\\sources\\install.wim\u0026#34; -Index 4 -Path \u0026#34;D:\\mnt\\\u0026#34; В параметрах команды мы указываем путь к файлу install.wim образа, индекс необходимой редакции и директорию монтирования, в которой появится содержимое по составу, напоминающее системный диск Windows. Теперь, когда образ смонтирован, перейдем к встроенному ПО. Сначала получим список предустановленного ПО образа и выясним имена пакетов, для этого выполним:\n1Get-AppxProvisionedPackage -Path \u0026#34;D:\\mnt\\\u0026#34; | Format-Table DisplayName, PackageName Большинство приложений имеют понятные имена, за исклчением Cortana, которая скрывается за наименованием Microsoft.549981C3F5F10. Чтобы удалить приложение из образа воспользуемся командой:\n1Remove-AppxProvisionedPackage -Path \u0026#34;D:\\mnt\u0026#34; -PackageName Microsoft.549981C3F5F10_1.1911.21713.0_neutral_~_8wekyb3d8bbwe В данном случае мы удаляем Cortana. Мы не будем давать каких-либо рекомендаций по составу предустановленного ПО, каждый решает этот вопрос самостоятельно, с учетом собственных потребностей и предпочтений. В нашем примере мы также удалили приложения Office, OneNote, Sticky Notes и Feedback Hub. Для изменения шаблона меню Пуск нам нужно просто скопировать файл LayoutModification.xml в нужное место образа:\n1copy D:\\tmp\\LayoutModification.xml D:\\mnt\\Users\\Default\\AppData\\Local\\Microsoft\\Windows\\Shell\\LayoutModification.xml И напоследок выполним импорт файла реестра. Прежде всего подключим к реестру рабочей машины ветвь HKEY_USERS\\.DEFAULT образа:\n1reg load HKEY_USERS\\TMP D:\\mnt\\Users\\Default\\NTUSER.DAT В нашем случае мы подключили данную ветвь в HKEY_USERS\\TMP, который указан в нашем файле импорта. После чего импортируем в реестр содержимое файла:\n1reg import D:\\tmp\\import.reg По завершению операции ветвь реестра следует отключить:\n1reg unload HKEY_USERS\\TMP Все необходимые изменения выполнены, поэтому размонтируем образ с сохранением внесенных изменений:\n1Dismount-WindowsImage -Path \u0026#34;D:\\mnt\\\u0026#34; -Save После выполнения данной команды содержимое директории D:\\mnt будет очищено, а все изменения будут применены к файлам распакованного образа в D:\\iso. Все что нам остается - это собрать новый ISO-файл, для этого воспользуемся Средой средств развертывания и работы с образами, запустите одноименную консоль с правами администратора и выполните в ней следующую команду:\n1oscdimg -h -m -o -u2 -udfver102 -bootdata:2#p0,e,b\u0026#34;D:\\iso\\boot\\etfsboot.com\u0026#34;#pEF,e,b\u0026#34;D:\\iso\\efi\\microsoft\\boot\\efisys.bin\u0026#34; -lMyISO \u0026#34;D:\\iso\u0026#34; \u0026#34;D:\\Win10.iso\u0026#34; На первый взгляд - достаточно страшное \u0026quot;заклинание\u0026quot;, но не будем пугаться раньше времени. В параметрах bootdata мы передаем пути к файлам etfsboot.com и efisys.bin в папке образа, которые отвечают за EFI-загрузчик. Ключ**-l** задает имя образа, которое указывается без пробелов, затем перечисляем папку с образом и место расположения итогового ISO-файла.\nЕсли вы используете для установки флеш-накопитель, то просто можете скопировать на него содержимое папки D:\\iso с заменой файлов.\nТеперь можно выполнить пробную установку и убедиться, что все настроено именно так, как мы задумывали: Как видим, собрать собственный образ Windows 10 несложно, у нас все это заняло не более получаса, где основное время заняло монтирование/размонтирование образа и создание ISO-файла.\n","id":"8002eecfe67ed78f98f2e458ae5b5f85","link":"https://interface31.ru/post/sozdanie-obraza-windows-10-s-sobstvennym-naborom-predustanovlennogo-po-i-nastroykami-menyu-pusk/","section":"post","tags":["ADK","ISO","WAIK","Windows 10","Развертывание"],"title":"Создание образа Windows 10 с собственным набором предустановленного ПО и настройками меню Пуск"},{"body":"Для организации удаленного доступа сотрудников к офисной сети широко используется VPN, при этом крайне желательно сделать этот процесс для пользователя максимально простым и удобным. В идеале он должен только указать свой логин и пароль для подключения, все остальное, включая маршрутизацию, должно быть настроено автоматически. И это вполне достижимо, например с помощью технологии Proxy ARP, которая позволяет как-бы поместить клиента в сеть офиса на канальном уровне. Но как быть, если подсети клиента и офиса совпадают?\nОписанная нами во вступлении ситуация не нова, чаще всего она встречается в небольших сетях, где вопросом сетевого планирования никто никогда не занимался. Как это обычно бывает: купили роутер, быстро его настроили и начали использовать, не озадачившись сменить стандартные 192.168.0.0/24 или 192.168.1.0/24 на что-либо иное. До определенной поры такая адресация не вызывает проблем и очень часто переходит \u0026quot;по наследству\u0026quot; в достаточно крупные сети.\nНо все меняется, если требуется обеспечить удаленный доступ сотрудников, у которых дома стоит такое же стандартное оборудование, с теми же 192.168.0.0/24 или 192.168.1.0/24. Если говорить о том, как правильно, то правильно будет сменить адресацию офисной сети, но это не всегда возможно и может быть сопряжено со значительными сложностями. Особенно в текущей ситуации, когда по эпидемиологическим причинам удаленный доступ может потребоваться буквально здесь и сейчас, без времени на преобразования.\nКак быть? Нам снова на помощь придет оборудование Mikrotik и широкие возможности RouterOS. При этом наша задача - сохранить удобство работы пользователя. Будем считать что у вас уже настроен VPN-сервер с использованием ProxyARP, как это описано в нашей статье: Настройка Proxy ARP для VPN-подключений на роутерах Mikrotik. Все хорошо работало, но ровно до тех пор, пока не выяснилось, что часть сотрудников имеют дома подсеть, совпадающую с подсетью офиса.\nЧтобы решить данную проблему мы будем использовать netmap - одну из разновидностей сетевой трансляции адресов (NAT), которая позволяет преобразовывать адреса одной подсети в другую один к одному. Таким образом мы можем отдавать клиенту некую \u0026quot;виртуальную\u0026quot; подсеть, адреса которой затем будут преобразоваться в реальные адреса офисной сети средствами RouterOS.\nПрежде всего нам потребуются некоторые дополнительные действия. Как правило для клиентов удаленного доступа используется динамическое создание интерфейсов, это вполне оправдано, но в нашем случае для каждого из них потребуется выполнить привязку интерфейса. Для этого перейдем в PPP - Interface и создадим новую привязку интерфейса выбрав в выпадающем списке один из пунктов Server Binding, в зависимости от типа подключения, в нашем случае это L2TP Server Binding. В открывшемся окне заполняем поля Name и User. Первое можно оставить и без изменения, оно ни на что не влияет, кроме удобства восприятия, но согласитесь, что запись l2tp-ivanov более информативна, нежели l2tp-in1. В поле User укажите логин того пользователя, к которому будет производиться привязка. Повторите это действие для всех пользователей VPN-сервера.\nПосле чего создадим новый список интерфейсов и поместим в него все привязки. Откройте Interfaces - Interface List - Lists и создайте новый список, назовем его VPN. После чего добавим все привязанные интерфейсы в этот список. Теперь можно заняться изменением адресации. В нашем примере сеть офиса - 192.168.111.0/24, будем считать, что она пересекается с клиентскими сетями и поэтому для VPN-подключений мы будем отдавать виртуальную сеть 192.168.222.0/24. Перейдем в IP - IP Pool и изменим в пуле адресов, выдаваемом клиентам сеть с 111-й, на 222-ю. Вы можете как изменить существующий пул, так и создать новый. Если же адреса клиентов заданы непосредственно в настройках их учетных записей, то переходим в PPP - Secrets и исправляем адреса для каждой учетной записи клиента (при этом может быть задан только один - Remote Address, в этом случае Local Address будет взять из профиля). Потом откроем PPP - Profiles и открыв профиль, указанный для клиентов VPN-сервера, исправим в нем собственно адрес сервера - Local Address, также следует убедиться, что указанный пул адресов в Remote Address соответствует нужной подсети (в нашем случае 222-й). Если теперь мы выполним переподключение удаленного клиента, то он получит адрес из 222-й подсети, но доступа в сеть офиса у него не будет, так как мы еще не выполнили отображение этой сети, на локальную сеть офиса. Для этого перейдем в IP - Firewall - NAT и создадим новое правило. На закладке General укажем: Chain - dstnat, Dst. Address - 192.168.222.0/24, In Interface List - VPN, эти условия говорят, что данное правило будет применяться в цепочке dstnat (PREROUTING) к пакетам, пришедшим из привязанных интерфейсов списка VPN с адресом назначения в сети 192.168.222.0/24. На закладке Action указываем действие Action - netmap и в поле To Addresses - диапазон адресов локальной сети - 192.168.111.0/24, таким образом теперь в каждом пришедшем из VPN-пакете адрес назначения будет прозрачно заменен на соответствующий ему адрес локальной сети. Т.е. 192.168.222.101 -\u0026gt; 192.168.111.101, 192.168.222.202 -\u0026gt; 192.168.111.202 и т.д.\nТеперь можем попробовать на клиенте подключиться к адресу в нашей виртуальной сети, как видим все работает, клиент попал на требуемый узел сети офиса, только уже по новому адресу. Таким образом мы достаточно несложно решили серьезную проблему - организацию прозрачного удаленного доступа в сеть офиса с пересекающимся диапазоном адресов.\n","id":"bf9d6f18d3952bd543ac6cc026249446","link":"https://interface31.ru/post/nastroyka-vpn-podklyucheniya-na-routerah-mikrotik-esli-podseti-klienta-i-ofisa-sovpadayut/","section":"post","tags":["MikroTik","Proxy ARP","VPN","Сетевые технологии"],"title":"Настройка VPN-подключения на роутерах Mikrotik если подсети клиента и офиса совпадают"},{"body":"Midnight Commander - популярный двухпанельный файловый менеджер, широко распространенный в UNIX-like операционных системах, он должен быть знаком каждому, кто хоть раз работал в консоли. Но, как показывает практика, не все администраторы в полной мере используют все возможности данного приложения, ограничиваясь только базовыми, что может приводить к определенным неудобствам. Поэтому сегодня ы расскажем о возможностях Midnight Commander и приемах, способных сделать работу в нем удобной и эффективной.\nMidnight Commander, он же mc, относится к тому ПО, которое ставится на сервер в первую очередь. Если вы подключились к уже настроенному серверу, то он там с очень большой вероятностью уже будет. Установить его также несложно:\n1apt install mc Для запуска выполните простую команду:\n1mc После чего перед вами откроется интерфейс файлового менеджера, состоящий из двух панелей. По умолчанию активна левая панель, она будет показывать содержимое текущей директории, правая панель показывает домашнюю директорию пользователя. Основы навигации должны быть известны всем, но тем не менее повторимся: для перемещения внутри панелей следует использовать клавиши со стрелками, PageUp и PageDown прокручивают содержимое на размер экрана вверх или вниз, а Home и End перемещают в начало или конец списка, для переключения панелей используется Tab, сочетание клавиш Ctrl + o сворачивает панели и дает доступ к консоли, повторное нажатие этих же клавиш восстанавливает панели.\nНижнее меню предлагает ряд часто используемых действий, привязанных к функциональным клавишам Fn, цифра, написанная около пункта меню, обозначает номер функциональной клавиши, например, F5 - копирование, F8 - удаление. Клавиша F9 перемешает нас в верхнее меню менеджера, навигация по которому осуществляется с помощью клавиш со стрелками.\nРазделы Левая панель и Правая панель верхнего меню идентичны и содержат настройки отображения панелей, также отсюда можно инициализировать внешнее FTP или SSH соединение, после чего панель будет отображать содержимое удаленного узла. Меню Файл содержит основные действия над файлами, здесь вы можете выполнить базовые действия над файлами, а также быстро изменить права, владельца, создать жесткую или символическую ссылку. Обратите внимание, около команд практически везде стоят сочетания клавиш, рекомендуем их запомнить, что позволит работать гораздо быстрее, не прибегая каждый раз к навигации по меню. Раздел Команда предоставляет доступ к возможностям самого файлового менеджера, управлению панелями и доступ к некоторым системным функциям: В Настройках находятся собственно настройки, на которых мы остановимся подробнее, потому как ряд опций следует включить практически сразу же, так как они сильно влияют на удобство работы. Большинство пользователей mc используют встроенный редактор mcedit, если вы входите в их число, то сразу включите его использование в разделе Конфигурация. А в разделе Подтверждение включите запрос подтверждения на выход из менеджера, что избавит вас от случайного закрытие приложения при нажатии на клавишу F10. После чего не забудьте сохранить настройки, через одноименный пункт в меню, настройки менеджера индивидуальны для каждого пользователя и хранятся в ~/.config/mc.\nЗакончив с настройками, перейдем к приемам работы. В каждый отдельный момент времени в активной панели у нас выбран какой-либо файл или директория над которыми будут выполняться заданные нами действия. Если нам требуется обработать сразу несколько файлов или директорий, то их следует выделить при помощи клавиши Insert, выделенные файлы подсвечиваются желтым цветом, повторное нажатие снимает выделение. Но это простая задача, гораздо чаще требуется отобрать файлы по какой-то маске, скажем по части имени или расширению. Midnight Commander умеет и это, нажмите в списке файлов клавишу +, после чего укажите маску отбора, допустимо использовать регулярные выражения. Например, указанная выше маска в нашем случае выделит файлы conf1 и file1. Существует также и обратная возможность - снять выделение по маске с части файлов, для этого используйте клавишу -, принцип действия точно такой же, как и в предыдущем примере. Использование этих возможностей достаточно удобно, скажем, быстро выделить группу файлов по широкой маске, затем снять выделение с некоторых по более узкой. Для того, чтобы инвертировать выделение можно использовать клавишу *, но учтите, что это работает только для файлов.\nВ некоторых случаях в текущей директории могут появиться файлы, генерируемые сторонними программами, скажем, файлы логов или закачек. Но панели Midnight Commander не отображают текущих изменений, чтобы принудительно обновить содержимое нажмите Ctrl + r, в других ситуациях на экране может нарушиться отображение или остаться артефакты от других программ, которые вы запускали из среды менеджера, для перерисовки экрана следует использовать сочетание Ctrl + l.\nПерейдем к операциям копирования и перемещения/переименования. Последние две операции с точки зрения файловой системы представляют одно и тоже действие, поэтому нажатием на F6 мы может либо переместить, либо переименовать, либо совместить оба этих действия. А в остальном вроде бы все просто, но не будем делать поспешных выводов. При копировании или перемещении открывается дополнительное окно, которое содержит поля шаблонов исходного и конечного мест назначения. Что это и для чего нужно?\nВ этих полях мы можем использовать подстановочные символы: * - для группы символов и ? - для одиночного в шаблонах источника, а в шаблоне приемника указать \\n - где n - номер символа или группы символов. Самый простой пример: мы хотим переместить файлы conf1 - conf3 и переименовать их в config1 - config3. Нет ничего проще, выделяем все три файла, шаблон источника заполняем маской по числу символов в исходном имени - ?????, а шаблон приемника указываем как config\\5 - т.е. добавить к указанному имени пятый символ из источника. Возьмем задачу посложнее, допустим у нас есть файл myservice.conf и мы хотим при копировании поменять местами имя и расширение. В шаблоне источника разделим исходное имя на группы символов: *.*, а в шаблоне приемника укажем \\2.\\1. Первое выражение указывает, что у нас до точки одна группа символов, а после нее другая. Второе предписывает сначала поставить вторую группу символов, затем точку (она не входит ни в одну группу), а после нее вывести первую.\nЕще сложнее, допустим мы хотим вместо myservice.conf получить servicemy.conf, в этом случае исходный шаблон будет выглядеть так: *s*.*, мы поделили имя на три части, разделители s и точка. Шаблон приемника укажем как: s\\2\\1.\\3- т.е. выводим сначала первый символ разделитель, потом вторую группу символов, за ней первую, точку и третью группу. Как видим - возможности весьма богатые и освоив их вам не составит особого труда скопировать, скажем, фотографии с карты памяти, попутно переименовав их из какого-нибудь DSCN0439.JPG в Poezdka_more_2019_039.jpg.\nСледующая, часто встречающаяся задача - это изменение прав или владельца объекта. Используйте сочетание клавиш Ctrl + x c (набирается как одновременное нажатие Ctrl и х, затем с) для изменения прав. Можно выделить и изменить права сразу нескольким объектам, но при этом вам будут показаны текущие права только первого выбранного файла. Для изменения владельца нажмите Ctrl + x o, как и в предыдущей команде вы можете сделать это для группы объектов, но увидите текущего владельца только у первого выбранного. За поиск отвечает сочетание Ctrl + s, после чего просто начинайте вводить имя файла: Для быстрого создания жесткой или символической ссылки используйте: Ctrl + x l и Ctrl + x s. Учтите, что по умолчанию жесткая ссылка создается в текущем каталоге, а символическая в каталоге неактивной панели. Также у любого системного администратора есть расположения, куда ему нужно переходить достаточно часто, чтобы каждый раз не путешествовать по дереву каталогов можно добавить их в список быстрого доступа, для этого, находясь в целевом каталоге нажмите Ctrl + x h. Чтобы вызвать список быстрого доступа следует нажать Ctrl + \\. Пассивную панель можно использовать для получения информации о текущем файле или отображении его содержимого. Для переключения в режим отображения информации нажмите Ctrl + x i: Чтобы просматривать в пассивной панели содержимое - используйте комбинацию клавиш Ctrl + x q: Чтобы вернуться в обычный режим - выполните указанное сочетание клавиш еще раз.\nЕще одна удобная функция - открыть в пассивной панели каталог под указателем, для этого нажмите Alt + o: Сравнить содержимое двух каталогов можно сочетанием клавиш Ctrl + x d с обоих сторон будут выделены различающиеся файлы, вы сразу можете перейти в нужную панель и выполнить действия над ними, например, копирование или перемещение. Чтобы сравнить содержимое файлов следует последовательно нажать две комбинации клавиш Ctrl + x и Ctrl + d откроется специальный редактор, в котором вы сможете отредактировать сравниваемые файлы или выполнить их слияние. Отдельного разговора заслуживает встроенный редактор - mcedit, его можно использовать как в составе оболочки Midnight Commander, так и отдельно, для редактирования файла в данном редакторе достаточно выполнить команду:\n1mcedit filename где filename - имя требуемого файла. В составе оболочки для редактирования файла под выделением нажмите F4, для создания и редактирования нового файла в текущей директории нажмите Shift + F4.\nОсновные принципы работы в редакторе повторяют работу в оболочке менеджера, внизу расположено меню основных действий, привязанных на функциональные клавиши Fn, нажатие F9 вызывает верхнее меню, где сосредоточено большинство дополнительных действий, рядом с каждым из которых указано соответствующее ему сочетание клавиш. Для перехода в режим выделения нажмите F3, затем при помощи клавиш со стрелками выделите необходимый участок текста, завершив выделение нажмите F3 повторно, чтобы выйти из режима. Затем переместите курсор в нужное место и нажмите F5 чтобы скопировать выделенный участок или F6, чтобы его переместить. Для вставки текста из буфера обмена нажмите Shift + Insert, если вы работаете через SSH, то будет использован буфер локального ПК, это удобно, вы можете копировать команды на своем компьютере и вставлять их в файл на удаленном сервере.\nЕсли же нужно перенести текст между локальными файлами на сервере, то следует использовать файл буфера обмена. Чтобы скопировать в него выделенный участок следует использовать сочетание клавиш Ctrl + F, для вырезки - Shift + Del. Вставить содержимое файла буфера обмена в файл можно сочетанием Shift + F5. Отменить действие можно нажатием Ctrl + u\nНажатие F4 вызывает функцию поиска с заменой: Как видим, Midnight Commander - это достаточно мощный и удобный инструмент, позволяющий значительно упростить работу в консоли, поэтому уметь эффективно работать с ним должен каждый системный администратор. В данной статье мы перечислили далеко не все возможности этого замечательного менеджера, чтобы узнать больше - воспользуйтесь встроенной справкой, она вызывается нажатием клавиши F1. ","id":"1ae25985adf8ed85abd9abc7bd29eef8","link":"https://interface31.ru/post/osvaivaem-effektivnuyu-rabotu-v-midnight-commander/","section":"post","tags":["Debian","Linux","Midnight Commander","Ubuntu","Ubuntu Server"],"title":"Осваиваем эффективную работу в Midnight Commander"},{"body":"Предустановленное ПО в Windows 10 - предмет внимания многих системных администраторов и источник некоторых расхожих мифов. Если верить некоторым из них, то это прямо таки зло в чистом виде, оно засоряет систему, его невозможно удалить, даже если удалить - оно все равно вернется и т.д. и т.п. Понятно, что дыма без огня не бывает, но и верить расхожим штампам тоже не следует. Поэтому мы внимательно изучили состав предустановленного ПО в современных редакциях Windows 10 и постарались дать ответ на самые распространенные вопросы.\nНачнем с того, что предустановленное ПО появилось задолго до Windows 10, еще самые первые версии \u0026quot;Окон\u0026quot; поставлялись с определенным набором программ, которые сегодня воспринимаются как нечто само собой разумеющееся: Калькулятор, Блокнот, Просмотрщик изображений, набор простых игр и т.д. и т.п. Причем удалить их стандартными средствами было невозможно, но особо это никого не волновало и не вызывало возмущения. Так что же изменилось с тех пор?\nОсновным изменением Windows 10 стало появление магазина Microsoft Store и наличие в системе предустановленного ПО из него. Это так называемые современные приложения, которые пришли на смену классическим. В первых версиях Windows 10 набор программ мог отличаться, в зависимости от редакции, плюс не для всех классических приложений были готовы аналоги. Но впоследствии разработчики устранили пробелы и унифицировали состав предустановленного ПО, в настоящий момент начальный экран Домашней и Pro редакций выглядит так (версия 2004): Корпоративная версия выглядит более лаконично: Как видим убрана большая часть развлекательного контента и плитки со стандартными приложениями в виде почты, погоды и т.п. Но не все, что находится на начальном экране является предустановленным ПО. Если, например, мы коснемся блока Развлечения, то представленных там приложений мы не найдем в списке установленных. Но нет, никто ничего от пользователя не прятал, дело в том, что данные плитки - это предложения из магазина и при первом нажатии на них приложение будет скачано и установлено. Их можно просто удалить с начального экрана, если указанные приложения вам не нужны.\nПлитки Office и отдельных приложений пакета ведут на онлайн-версию, в принципе предложение вполне разумное, денег за него не просят и это гораздо лучше, чем WordPad. Сам список предустановленного ПО унифицирован и какого-либо \u0026quot;криминала\u0026quot; мы там не нашли, ну разве что Яндекс.Музыка (в зарубежных редакциях - Netflix). Остальное ПО достаточно адекватно современному положению дел. Трудно сказать, что из этого списка может активно мешать работе, замусоривать систему, потреблять лишние ресурсы и т.д. и т.п. Вполне стандартный набор, мало чем отличающийся от такового в предыдущих версиях. Разве что приложения обновились, ну и немного расширился их список, согласно текущего положения дел, скажем, во времена Windows 7 тот же 3D-принтер был чем то из разряда экзотики, сегодня же это вполне доступная вещь, вот и появились базовые приложения для работы с 3D. В общем, миф о том, что в Windows 10 гораздо большее количество предустановленного ПО можно считать необоснованным, как и утверждение о том, что все оно страшно ненужное. Обычный набор по умолчанию, который поставлялся всегда, естественно с поправкой на актуальные задачи. Предложения магазина предустановленным ПО не являются и нажимать на них никто не заставляет. Просто убираем с начального экрана и больше мы их не увидим.\nТеперь коснемся следующего вопроса, якобы их невозможно удалить стандартными средствами. Легко убедиться, что это не так. Лично я как-то не припомню, чтобы в более ранних версиях можно было удалить Калькулятор. В этом плане Windows 10 предоставляет даже больше свободы, мы специально составили таблицу по предустановленному ПО, что из него можно удалить, а что нельзя.\nМожно удалить Нельзя удалить Microsoft OneDrive Cortana Microsoft Solitare Collection Microsoft Edge Office Microsoft Store OneNote Xbox Game Bar Paint 3D Будильники и часы Skype Ваш телефон Sticky Notes Камера Xbox Карты Xbox Live Люди Запись голоса Расширения для изображений HEIF Калькулятор Расширения для изображений Webp Кино и ТВ Техническая поддержка Музыка Groove Установщик приложений Набросок на фрагменте экрана Фотографии Погода Портал смешанной реальности Почта и Календарь Расширения для интернет-мультимедиа Советы Средства 3D просмотра Центр отзывов Яндекс.Музыка Удалить можно 22 приложения, нельзя - 14. При этом среди доступных приложений есть те, которые удалять в здравом уме и не надо: Калькулятор, Кино и ТВ, Набросок на фрагменте экрана. Из не удаляемых некоторые вопросы вызывает Xbox Game Bar, возможно на него завязаны какие-то иные технологии.\nА теперь подумаем, что из оставшихся приложений способно сильно отравлять жизнь? Да ничего. Если вам не нужны Люди, Карты или Камера - просто не пользуйтесь, кроме как наличием ярлыков в меню Пуск, но и оттуда их можно легко удалить.\nВлияние на производительность системы? Его можно оценить на вкладке Журнал приложений в Диспетчере задач. Несложно увидеть, что ресурсы потребляли только те приложения, которые мы явно запускали. Соседняя вкладка показывает состояние автозагрузки, кроме OneDrive более ничего не включено. А сам OneDrive никто не мешает отключить или даже удалить. Занимаемое место, еще один аргумент тех, у кого все плохо. Следует понимать, что любое ПО будет занимать какое-то место и в разные годы понятие допустимого объема было различным. Во времена Windows 95 пакет размером в сотню мегабайт уже считался большим, сегодня же никого не удивить играми на десятки гигабайт.\nСледует отметить, что Windows 10 позволяет удалить любые современные приложения, включая магазин, и система даже будет после этого работать. Только вот целесообразность такого действия весьма сомнительна. Делается это буквально в пару команд на PowerShell, таким образом мы удалили из системы все современное ПО и дочистили руками то, что осталось (Office, OneDrive и Яндекс.Музыка). И что мы получили? Всего-то около 900 МБ свободного места, сущие брызги по любым современным меркам, даже если говорить о системах с сильно ограниченным объемом накопителя. Радикально кромсать систему ради этого явно не стоит.\nНу и последний вопрос, который обычно звучит так: \u0026quot;они возвращаются\u0026quot;, подразумевая восстановление приложений после обновления. Проверим. Для этого мы установили выпуск 1909, который отличается по составу ПО только отсутствием Cortana, удалили все ПО, кроме магазина и калькулятора, после чего последовательно установили все обновления и произвели апгрейд системы до 2004. Что изменилось? Добавилась Cortana и некий пакет локализации. И снова видим, что никакого самоуправства системы не произошло, все что мы удалили - осталось удаленным, добавились только новые возможности, что вполне логично, собственно, ради них мы и ждем новые выпуски ОС.\nВыводы уже каждый мог сделать самостоятельно, но все равно подведем краткие итоги. Большинство утверждений о наличии в Windows 10 большого количества ненужного ПО не имеет под собой практических оснований. Некоторые проблемы могут возникнуть с предложениями из магазина, если не знать что это не ярлыки приложений, а ссылки на их установку, их можно легко открепить и более никаких неудобств они не доставят.\nСам же состав предустановленного ПО во многом повторяет классический, всегда присутствовавший в Windows, только состав его был изменен согласно современным реалиям. Но это нормально, в Windwos 95 не было видеоплеера, в Windows 7 были приложения для работы с оптическими дисками и DVD, которых нет сейчас. Более того, две трети стандартных приложений можно удалить стандартными методами, а если очень хочется, то при помощи PowerShell можно удалить вообще все современные приложения, включая Магазин, только вот непонятно - зачем вообще это делать.\nСтандартное предустановленное ПО занимает около 900 МБ места, что немного и никак не влияет на производительность, в качестве фоновых процессов эти приложения не запускаются. Также они не предоставляют пользователю никаких новых возможностей, которые бы были нежелательны, скажем, в корпоративной среде. А магазин, при необходимости, легко отключается средствами групповых политик.\nЧто касается мифов, то они будут всегда, также, как всегда будут те, кто негативно воспринимает любые новшества. Так было и при переходе с Windows XP на Windows 7, и тоже самое происходит сейчас. Но хороший специалист должен четко представлять реальное положение дел, а не идти на поводу у необоснованных утверждений.\n","id":"63ef13ea0d09b6ccc39e7d350e4931cf","link":"https://interface31.ru/post/predustanovlennoe-po-v-windows-10-mify-i-real-nost/","section":"post","tags":["Microsoft","Windows 10"],"title":"Предустановленное ПО в Windows 10 - мифы и реальность"},{"body":"Виртуализацией сегодня уже никого не удивить. Эта технология прочно вошла в нашу жизнь и помогает более эффективно использовать имеющиеся ресурсы, а также обеспечивает достаточную гибкость в изменении существующей конфигурации, позволяя перераспределять ресурсы буквально налету. Не обошла виртуализация и локальные сети. Технология VLAN (Virtual Local Area Network) позволяет создавать и гибко конфигурировать виртуальные сети поверх физической. Это позволяет реализовывать достаточно сложные сетевые конфигурации без покупки дополнительного оборудования и прокладки дополнительных кабелей.\nПрежде чем продолжить сделаем краткое отступление о работе локальных сетей. В данном контексте мы будем говорить об Ethernet-сетях описанных стандартом IEEE 802.3, куда входят всем привычные проводные сети на основе витой пары. Основой такой сети является коммутатор (свич, switch), который работает на втором уровне сетевой модели OSI (L2).\nВторой уровень, он же канальный, работает в пределах одного сегмента сети и использует для адресации уникальные физические адреса оборудования - MAC-адреса. Передаваемая между узлами информация разделяется на специальные фрагменты - Ethernet-кадры (*фреймы,*frame), которые не следует путать с IP-пакетами, которые находятся на более высоком уровне модели OSI и передаются внутри Ethernet-кадров. Таким образом коммутатор ничего не знает об IP-адресах и никак эту информацию в работе не учитывает.\nКоммутатор анализирует заголовки каждого входящего кадра и заносит соответствие MAC-адреса источника в специальную MAC-таблицу, после чего кадр, адресованный этому узлу, будет направляться сразу на определенный порт, если МАС-адрес получателя неизвестен, то кадр отправляется на все порты устройства. После получения ответа коммутатор привяжет MAC-адрес к порту и будет отправлять кадры только через него.\nЭтим достигается возможность одновременной передачи данных по нескольким портам одновременно и увеличивается безопасность сети, так как данные будут передаваться только на требуемый порт. Одновременно передавать данные через порт коммутатора может только один узел сети. Попытка одновременно передавать несколько кадров в одном сегменте сети называется коллизией, а такой сегмент - доменом коллизий. Чем больше устройств в домене коллизий, тем медленнее работает сеть.\nКоммутатор позволяет разделять домен коллизий на отдельные домены по числу портов, таким образом каждый порт коммутатора - это отдельный домен коллизий и в каждом из них данные могут передаваться одновременно, не мешая друг другу.\nСовокупность доменов коллизии, соединенных на втором уровне, является широковещательным доменом, если говорить проще, то широковещательный домен - это совокупность всех портов коммутаторов соединенных в один сегмент.\nКак мы уже говорили выше, к широковещанию прибегает сам коммутатор, когда получает кадр MAC-адрес которого отсутствует в MAC-таблице, а также узлы сети, отправляя кадры на адрес FF:FF:FF:FF:FF:FF, такие кадры будут доставлены всем узлам сети в широковещательном сегменте.\nА теперь вернемся немного назад, к доменам коллизий и вспомним о том, что в нем может передаваться только один кадр одновременно. Появление широковещательных кадров снижает производительность сети, так как они доставляются и тем, кому надо и тем, кому не надо. Делая невозможным в это время передачу целевой информации. Кроме того, записи в MAC-таблице имеют определенное время жизни, по окончании которого они удаляются, что снова приводит к необходимости рассылки кадра на все порты устройства.\nЧем больше в сети узлов, тем острее стоит проблема широковещания, поэтому широковещательные домены крупных сетей принято разделять. Это уменьшает количество паразитного трафика и увеличивает производительность, а также повышает безопасность, так как ограничивает передачу кадров только своим широковещательным доменом.\nКак это можно сделать наиболее простым образом? Установить вместо одно коммутатора два и подключить каждый сегмент к своему коммутатору. Но это требует покупки нового оборудования и, возможно, прокладки новых кабельных сетей, поэтому нам на помощь приходит технология VLAN.\nДанная технология описана стандартом 802.1Q и предусматривает добавление к заголовкам кадра дополнительного поля, которое содержит в том числе определенную метку (тег) с номером виртуальной сети - VLAN ID, всего можно создать 4094 сети, для большинства применений этого достаточно.\nДавайте рассмотрим, как работает коммутатор с виртуальными сетями. В нашем примере мы возьмем условный 8-портовый коммутатор и настроим на нем три порта на работу с одним VLAN, а еще три порта с другим. Каждый VLAN обозначается собственным номером, который является идентификатором виртуально сети. Порты, которые не настроены ни для какого VLAN считаются принадлежащими Native VLAN, по умолчанию он обычно имеет номер 1 (может отличаться у разных производителей), поэтому не следует использовать этот номер для собственных сетей. Порты, настроенные нами для работы с VLAN, образуют как-бы два отдельных виртуальных коммутатора, передавая кадры только между собой. Каким образом это достигается?\nКак мы уже говорили выше, каждый кадр 802.1Q содержит дополнительное поле, в котором содержится тег - номер виртуальной сети. При входе Ethernet-кадра в коммутатор с поддержкой VLAN (такой трафик называется входящим - ingres) в его состав добавляется поле с тегом. При выходе из коммутатора (исходящий трафик - egress), данное поле из кадра удаляется, т.е. тег снимается. Все кадры внутри коммутатора являются тегированными. Если трафик пришел на порт, не принадлежащий ни одному VLAN, он получает тег с номером Native VLAN. В порт, принадлежащий определенному VLAN, могут быть отправлены только пакеты с тегом, принадлежащим этому VLAN, остальные будут отброшены. Фактически мы только что разделили единый широковещательный домен на несколько меньших и трафик из одного VLAN никогда не попадет в другой, даже если эти подсети будут использовать один диапазон IP. Для конечных узлов сети такой коммутатор нечем ни отличается от обычного. Вся обработка виртуальных сетей происходит внутри.\nТакие порты коммутатора называются портами доступа или нетегированными портами (access port, untagged). Обычно они используются для подключения конечных узлов сети, которые не должны ничего знать об иных VLAN и работать в собственном сегменте.\nА теперь рассмотрим другую картину, у нас есть два коммутатора, каждый из которых должен работать с обоими VLAN, при этом соединены они единственным кабелем и проложить дополнительный кабель невозможно. В этом случае мы можем настроить один или несколько портов на передачу тегированного трафика, при этом можно передавать как трафик любых VLAN, так и только определенных. Такой порт называется магистральным (тегированным) или транком (trunk port, tagged). Так как кадр 802.1Q отличается от обычного Ehternet-кадра, то работать с ним могут только устройства с поддержкой данного протокола. Если на пути тегированного трафика попадется обычный коммутатор, то такие кадры будут им отброшены. В случае доставки 802.1Q кадров конечному узлу сети такая поддержка потребуется от сетевой карты устройства.Если на магистральный порт приходит нетегированный трафик, то ему обычно назначается Native VLAN.\nКроме указанных двух портов доступа существует еще одна разновидность - гибридный порт (hybrid port), его реализация и наименование у разных производителей сетевого оборудования может быть разным, но суть от этого не меняется. Такой порт передает как тегированный, так и нетегированный трафик. Для этого в его настройках указывается Default VLAN ID и для всех кадров этого VLAN данный порт работает как порт доступа, т.е для исходящего трафика указанного VLAN тег снимается, а входящему кадру без тега, наоборот, присваивается. Трафик остальных VLAN передается с тегами.\nДля чего это нужно? Наиболее частое применение - это IP-телефоны со встроенным коммутатором, которые умеют работать с тегированным трафиком, но не умеют передавать его дальше. В этом случае в качестве VLAN ID по умолчанию устанавливается номер VLAN в котором расположены пользовательские ПК, а для телефона на этот же порт добавляется тегированный трафик VLAN для телефонии. Все это время мы говорили только о VLAN, не поднимая вопроса: как попасть из одного VLAN в другой. Если продолжать рассматривать канальный уровень - то никак. Каждый VLAN мы можем рассматривать как отдельный физический коммутатор, а магистральный канал - как жгут кабелей между ними. Только все это сделано виртуально, на более высоком уровне абстракции, чем L1 - физический уровень, который как раз представлен кабелями и физическим оборудованием.\nЕсли мы соединим два физических коммутатора кабелем - то получим расширение широковещательного домена на все порты этих устройств, а это совсем не то, что нам нужно. В тоже время сетевые устройства работают на более высоких уровнях модели ОSI, начиная с сетевого - L3. Здесь уже появляется понятие IP-адреса и IP-сетей. Если смотреть на VLAN с этого уровня, то они ничем не отличаются от физических сегментов сетей. А что мы делаем, когда нам нужно попасть из одной сети в другую? Ставим маршрутизатор.\nМаршрутизатор или роутер - устройство, работающее на третьем уровне модели OSI и умеющее выполнять маршрутизацию трафика, т.е. поиск оптимального пути для доставки его получателю. И здесь мы говорим уже не о Ethernet-кадрах, а об IP-пакетах. Маршрутизация между VLAN называется межвлановой (межвланной) маршрутизацией (InterVLAN Routing), но, по сути, она ничем не отличается от обычной маршрутизации между IP-подсетями.\nДля обеспечения связи между сетями в нашей схеме появляется новая сущность - маршрутизатор, как правило к нему от одного из коммутаторов идет магистральный канал (транк), содержащий все необходимые VLAN, эта схема называется роутер на палочке (леденец, Router-on-a-Stick). Как работает эта схема? Допустим ПК из синей сети (VLAN ID 40), хочет обратиться к другому узлу синей сети. IP-адрес адресата ему известен, но для того, чтобы отправить кадр нужно знать физический адрес устройства. Для этого ПК источник делает широковещательный ARP-запрос, передавая в нем нужный ему IP-адрес, в ответ на него обладатель этого IP сообщит ему собственный MAC-адрес.\nВсе кадры, попадающие с порта доступа в коммутатор, получают тег с VLAN ID 40 и могут покинуть коммутатор только через порты, принадлежащие этому VLAN или транк. Таким образом любые широковещательные запросы не уйдут дальше своего VLAN. Получив ответ узел сети формирует кадр и отправляет его адресату. Далее в дело снова вступают коммутаторы, сверившись с MAC-таблицей они отправляют кадр в один из портов, который будет либо принадлежать своему VLAN, либо будет являться магистральным. В любом случае кадр будет доставлен по назначению без использования маршрутизатора, только через коммутаторы.\nСовсем иное дело, если узел одного из VLAN хочет получить доступ к узлу другого VLAN. В нашем случае узел из красной сети (VLAN ID 30) хочет получить доступ к узлу синей сети (VLAN ID 40). Узел источник знает IP-адрес адресата и также знает, что этот адрес не принадлежит его сети. Поэтому он формирует IP-пакет на адрес основного шлюза сети (роутера), помещает его в Ethernet-кадр и отправляет на порт коммутатора. Коммутатор добавляет к кадру тег с VLAN ID 30 и доставляет его роутеру.\nРоутер получает данный кадр, извлекает из него IP-пакет и анализирует заголовки. Обнаружив адрес назначения, он сверяется с таблицей маршрутизации и принимает решение куда отправить данный пакет дальше. После чего формируется новый Ethernet-кадр, который получает тег с новым VLAN ID сети-получателя в него помещается IP-пакет, и он отправляется по назначению.\nТаким образом любой трафик внутри VLAN доставляется только с помощью коммутаторов, а трафик между VLAN всегда проходит через маршрутизатор, даже если узлы находятся в соседних физических портах коммутатора.\nГоворя о межвлановой маршрутизации нельзя обойти вниманием такие устройства как L3 коммутаторы. Это устройства уровня L2 c некоторыми функциями L3, но, в отличие от маршрутизаторов, данные функции существенно ограничены и реализованы аппаратно. Этим достигается более высокое быстродействие, но пропадает гибкость применения. Как правило L3 коммутаторы предлагают только функции маршрутизации и не поддерживают технологии для выхода во внешнюю сеть (NAT) и не имеют брандмауэра. Но они позволяют быстро и эффективно осуществлять маршрутизацию между внутренними сегментами сети, в том числе и между VLAN.\nМаршрутизаторы предлагают гораздо большее число функций, но многие из них реализуются программно и поэтому данный тип устройств имеет меньшую производительность, но гораздо более высокую гибкость применения и сетевые возможности.\nПри этом нельзя сказать, что какое-то из устройств хуже, каждое из них хорошо на своем месте. Если мы говорим о маршрутизации между внутренними сетями, в том числе и о межвлановой маршрутизации, то здесь предпочтительно использовать L3 коммутаторы с их высокой производительностью, а когда требуется выход во внешнюю сеть, то здесь нам потребуется именно маршрутизатор, с широкими сетевыми возможностями.\n","id":"390bd197174573d0aef887edf0a5c50c","link":"https://interface31.ru/post/vlan-dlya-nachinayushhih-obshhie-voprosy/","section":"post","tags":["VLAN","Сетевые технологии"],"title":"VLAN для начинающих. Общие вопросы"},{"body":"Во всех случаях, когда вам требуется качественное беспроводное покрытие достаточно большой площади, когда одной точкой доступа не обойтись, встает вопрос роуминга - а именно передачи клиента от одной точки доступа к другой. Желательно сделать этот процесс максимально простым и прозрачным для клиента, без разрыва связи и переподключения, а еще желательно не разориться при выполнении этой задачи. В этом нам поможет оборудование Mikrotik и программный контроллер беспроводной сети CAPsMAN.\nУ некоторых читателей сразу может возникнуть вопрос - а почему нельзя просто купить и наставить недорогих точек доступа, настроив на каждой один и тот же SSID и пароль? Сделать так, конечно же можно, только вот такая сеть не будет управляемой и приемлемого качества связи в ней достигнуть будет трудно. Основная проблема в том, что параметрами соединения всегда управляет клиент и он может держаться за более далекую и слабую точку до самого конца, хотя рядом есть другая, с более лучшими условиями приема. Получается что вроде бы и покрытие есть и сигнал везде вроде бы хороший, а качество связи оставляет желать лучшего.\nУправляемые беспроводные сети работают иначе. Контроллер оценивает взаимное расположение клиента и точек доступа и когда он переходит в область обслуживаемую другой точкой доступа, старая точка его просто отключает, после чего он переподключается к новой, более мощной точке. Это довольно упрощенное изложение, но вполне достаточное для понимания происходящих процессов.\nСразу внесем ясность, настоящим бесшовным роумингом это не является, более правильно это назвать быстрым переключением, часть пакетов, особенно если это был поток UDP, при этом неизбежно потеряется. Но будем честными - бесшовный роуминг предполагает оборудование совсем иного класса и стоимости. А большинство современных сетевых приложений, в том числе и голосовые мессенджеры (Skype, Viber и т.д.) вполне нормально переносят быстрое переподключение, пользователь скорее всего даже ничего не заметит.\nНо термин бесшовный давно устоялся и используется для таких сетей, хотя мы бы назвали его псевдобесшовным, но вы должны иметь представление о том, как все обстоит на самом деле и не питать необоснованных иллюзий.\nСхема построения псевдобесшовной сети - это беспроводная поверх проводной. В качестве точек доступа вы можете использовать любые точки доступа или иные беспроводные устройства Mikrotik, которые могут работать в таком режиме. Контроллером CAPsMAN может быть любое устройство Mikrotik, даже не имеющее беспроводного интерфейса. В нашем примере мы собрали тестовую схему их двух беспроводных роутеров hAP, выполняющих роль точек доступа и роутера hEX, выступающего в роли контроллера. Настройку следует начинать с контроллера. Откроем Winbox и перейдем в раздел CAPsMAN, здесь нам следует создать ряд необходимых шаблонов, из которых потом, как из кирпичиков, мы будем формировать конфигурации для беспроводных устройств. Мы не будем подробно рассматривать беспроводные настройки, обходясь необходимым минимумом, более подробно об этом вы можете прочитать в нашей статье: Расширенная настройка Wi-Fi на роутерах Mikrotik. Режим точки доступа.\nНачнем с рабочих каналов, переходим в CAPsMAN - Channels и создаем новую настройку. В самом простом варианте это будет одна рабочая частота, например, 2412 МГц или 1 канал. Обратите внимание, выпадающего списка частот тут нет, просто указываем значения руками. Затем задаем ширину канала в поле Control Channel Width, если вы указали широкий канал, то укажите и направление его расширения по частоте в поле Extension Channel, если мы говорим о первом канале, то здесь единственным значением будет Ce, либо можете указать ХХ для автоматического выбора.\nВ поле Band указываем необходимые стандарты работы сети, а в поле Tx. Power - мощность передатчика с учетом коэффициента усиления антенн, для hAP это значение равно 17 дБм. Можно поступить и несколько иначе, не указывать рабочую частоту вообще, в этом случае точки будут выбирать ее автоматически, исходя из эфирной обстановки. В этом случае дополнительно ставим флаг Save Selected, что предписывает точке запоминать последнюю выбранную частоту и Reselect Interval - интервал времени с периодичностью которого точка будет анализировать эфир и выбирать рабочую частоту. Еще один вариант - задать список частот доступных точке для выбора, скажем 1 - 6 -11 каналы: Как лучше сделать? Единственно верного ответа на этот вопрос нет, все зависит от топологии вашей сети и эфирной обстановки. Частотное планирование беспроводных сетей - обширный вопрос, заслуживающий отдельной статьи. Если же коротко, то в том хаосе, что творится в многоквартирных домах и офисных центрах оптимальным решением будет автоматический выбор частоты по всему диапазону, либо из заданного списка. В сетях с небольшим количеством клиентов и достаточным разнесением точек друг от друга можно оставить их все на одной частоте, возникающие при этом коллизии (внутриканальные помехи) протокол достаточно хорошо разрешает. В иных случаях чередуем точки на непересекающихся каналах, к этому мы еще вернемся позже.\nЕсли вы используете оборудование для обоих диапазонов - 2,4 ГГц и 5 ГГц, то создайте настройки каналов для обоих. Также никто вас не ограничивает в их количестве. Можете сразу создать все необходимые варианты, а потом быстро их применять к текущим конфигурациям.\nСледующий шаг - настройка шаблонов пересылки данных, для этого перейдем в CAPsMAN - DataPaths. Создадим новую настройку и обязательно укажем: Bridge - интерфейс сетевого моста, куда будет подключен беспроводной интерфейс после его активации. Обратите внимание, что выбранное значение применяется ко всем устройствам. В нашем случае bridge1 должен быть интерфейсом локальной сети для всех настраиваемых устройств. Local Forwarding означает, что передачей данных между беспроводными клиентами управляет точка доступа, в противном случае все данные будут пересылаться контроллеру CAPsMAN, а обратно в беспроводную сеть будут отправляться только пришедшие от него данные. Это серьезно увеличивает нагрузку на проводной сегмент сети и должно использоваться только в тех случаях, когда вы действительно собираетесь фильтровать передаваемые данные на контроллере.\nСlient To Client Forwarding включает передачу данных между беспроводными клиентами, в гостевых сетях, в целях повышения безопасности, имеет смысл отключать.\nЗатем переходим в CAPsMAN - Security Cfg. и создаем новую настройку безопасности, здесь все просто, запутаться решительно негде: После того, как вы выполнили данные настройки самое время создать конфигурацию, это можно сделать в CAPsMAN - Configurations. На вкладке Wireless указываем режим работы - Mode -ap - точка доступа. Имя беспроводной сети - SSID,Country - страна - russia3 (для России). Это основные настройки, но также можно указать и дополнительные, скажем Hw. Protection Mode - защита от скрытого узла. На остальных вкладках указываем уже созданные нами шаблоны, хотя, как альтернатива, можно указать нужные настройки прямо тут. Созданную нами конфигурацию нужно распространить на точки доступа, за это отвечает настройка развертывания CAPsMAN - Provisioning. Самый простой вариант будет выглядеть так: Radio MAC - везде нули, т.е. любая точка доступа, Action - create dynamic enabled - динамическое создание беспроводного интерфейса на точке доступа, Master Configuration - применяемая при создании интерфейса конфигурация. На этом базовая настройка контроллера завершена, осталось только его включить, для этого в CAPsMAN - CAP Interface нажмите кнопку Manager и в открывшемся окне установите флаг Enabled. Теперь перейдем к настройке точек доступа. Прежде всего убедимся, что беспроводной интерфейс не входит ни в один мост, а мост, смотрящий в локальную сеть, имеет имя bridge1, которое мы указали в настройках Datapath контроллера. В Wireless - WiFi Interfaces нажимаем кнопку CAP и в открывшемся окне устанавливаем флаг Enabled, а также указываем: Interfaces - беспроводные интерфейсы, которые управляются CAPsMAN, если их несколько - добавляем все, Discovery Interfaces - сетевой интерфейс, через который осуществляется связь с контроллером, в нашем случае это тот же мост bridge1, но в более сложных сетях точка может работать в одной сети, а управляться через другую, поэтому стоит разделять эти понятия. Bridge - сетевой мост, куда будет подключен беспроводной интерфейс после активации. После активации данного режима точка обнаружит контроллер и получит от него настройки, созданный интерфейс автоматически присоединится к указанному мосту, подключив беспроводную часть сети к проводной. Аналогичную настройку нужно выполнить на всех остальных точках доступа. Вернемся на контроллер, управляемые точки доступа можно увидеть в CAPsMAN - CAP Interface, а подключенных клиентов в CAPsMAN - Registration Table, при этом будет указана точка доступа, к которой подключен клиент. Теперь можете отправить кого-нибудь с клиентским устройством походить между точками доступа и посмотрите, как контроллер производит переключение.\nХорошо, когда все точки одинаковые и к ним можно применить одинаковые настройки, но что делать, если это не так и разные точки должны получать разные конфигурации? Нет проблем, прежде всего создадим необходимые конфигурации, а затем выясним MAC-адреса беспроводных интерфейсов точек, это можно сделать на вкладке CAPsMAN - Radio. Обратите внимание, что нам нужен именно Radio MAC. Теперь возвращаемся на вкладку CAPsMAN - Provisioning и создаем настройки развертывания для каждой точки, указав ее Radio MAC, при этом настройку с нулевым MAC-адресом следует выключить, в противном случае к устройству применится именно она, а не персональные настройки. На что еще стоит обратить внимание? На скриншоте выше есть две опции: Name Format и Name Prefix, они отвечают за формат имени беспроводных интерфейсов в CAPsMAN, по умолчанию это capN, что не слишком информативно, а также по мере изменения настроек номера интерфейсов могут меняться, что добавляет путаницы. Поэтому имеет смысл изменить порядок именования, если мы выберем identity, то имена интерфейсов будут формироваться согласно указанному в System - Identity имени устройства. Если точки доступа двухдиапазонные, то можно выбрать в качестве формата имени prefix identity и указать префикс подключения, скажем, частотный диапазон, после чего имя интерфейса будет содержать не только наименование устройства, но еще и префикс, что позволит сразу идентифицировать устройство и беспроводной интерфейс в интерфейсе управления контроллера. В данном материале мы рассмотрели далеко не все возможности CAPsMAN, ограничившись базовыми настройками для быстрого старта, более глубокая настройка требует более широких знаний и будет являться предметом отдельных статей.\n","id":"3c80afa5b4593253d622e0c5e1c6fff9","link":"https://interface31.ru/post/nastroyka-kontrollera-capsman-na-mikrotik/","section":"post","tags":["CAPsMAN","MikroTik","Wi-Fi","Сетевые технологии"],"title":"Настройка контроллера CAPsMAN (бесшовный Wi-Fi роуминг) на Mikrotik"},{"body":"Рассматривая российские Linux-дистрибутивы, нельзя обойти вниманием Calculate Linux. Это не просто еще один дистрибутив, а разработка, изначально нацеленная на сегмент малого и среднего бизнеса, которая включает в себя не только настольную ОС, но и Calculate Directory Server - открытую службу каталогов с достаточно широкими возможностями. Кроме того, Calculate Linux внесен в Единый реестр российских программ и при этом бесплатен. Казалось бы - бери и внедряй, но на практике далеко не так все гладко, об этом мы сегодня и поговорим.\nНачнем с того, что задумка и реализация экосистемы Calculate Linux действительно неплоха. Связка собственного настольного дистрибутива и службы каталогов позволяет строить централизованное и управляемое окружение с использованием таких привычных и удобный вещей как централизованное управление и установка ПО, перемещаемые профили и т.д. По-хорошему рассматривать Calculate Linux следует именно в связке с Calculate Directory Server, поэтому далее будем постоянно помнить об этом и учитывать, сталкиваясь с теми или иными решениями разработчиков.\nДля ознакомления мы выбрали Cinnamon Edition версию дистрибутива, на текущий момент это выпуск 20.6, хотя говорить о выпусках будет не совсем верно, система имеет модель обновлений rolling release, т.е. будет обновляться на всем протяжении жизненного цикла. Дистрибутив выполнен в виде LiveCD и позволяет проверить совместимость с железом и познакомиться с системой без установки. На первый взгляд еще один обычный Linux. Но это не так. В качестве основы своего продукта разработчики взяли Gentoo Linux. Решение, мягко говоря, спорное, как минимум тем, что администратору придется изучать новую для него систему, при этом полученные знания мало где пригодятся потом, все-таки Gentoo - достаточно специфичный дистрибутив.\nУстановщик тоже способен преподнести некоторые сюрпризы. Обратите пристальное внимание на процедуру разметки дисков, по умолчанию предлагается достаточно причудливая конфигурация. Да и расположение директорий тоже нетиповое. Например, обратите внимание на фактическое расположение домашней директории, зачем так сделано - непонятно, но получить определенный пласт проблем определенно можно, особенно если вы затеяли расширение или еще какое-либо изменение дисковой подсистемы и ожидаете видеть все данные на привычных местах. Пользователь по умолчанию уже заведен и называется также достаточно неожиданно - guest, при необходимости его можно переименовать сразу при установке. В остальном установка каких-либо сложностей не вызывает у уже достаточно скоро вы можете выполнить первый вход в систему. Экран входа в систему выполнен достаточно просто, но аккуратно, без каких-либо графических изысков, в офисе всякие красивости ни к чему, а перед нами, в первую очередь, рабочая система. Рабочий стол тоже прост, оформление выбрано в приглушенной цветовой гамме и настраивает на рабочий лад, а так перед нами типичный Cinnamon, без каких-либо фирменных доработок. В качестве альтернативы также можно использовать KDE, XFCE, Mate или LXQt. Набор ПО из коробки небогат - самый необходимый минимум: офисный пакет, графический редактор, браузер и средства для просмотра документов и мультимедиа. Софт в меру свежий, но без фанатизма, за последними версиями никто не гонится, что для офисной системы достаточно хорошо. Работает система достаточно хорошо, стабильно, быстро. С типичным офисным оборудованием проблем не возникло: принтеры, включая сетевые, сканеры, флешки и внешние жесткие диски, в том числе отформатированные в NTFS и exFAT определялись и работали без проблем. Сетевые настройки предусматривают большое количество готовых шаблонов для разных видов подключений. Пока все было хорошо, но вот дальше начинаются проблемы и сложности. Никаких графических инструментов для управления пакетами в системе нет. Нет вообще, никаких. В принципе, исходя из парадигмы системы, софт должен централизованно управляться администратором, а кому нужно что-то особенное - тоже должны обратиться к нему. С точки зрения идеальной сети в идеальной организации это так. Но существуют разного рода привилегированные пользователи, начиная от руководства и заканчивая узкими специалистами, которым нужно что-то свое и они хотят иметь возможность устанавливать это сами.\nА также есть небольшие организации на три-пять ПК с приходящим администратором, ну не вызывать же его каждый раз, если нужно поставить условный Viber? А установить его можно только вот так, других вариантов нет: Для обновления присутствует графическая утилита, но погоды она не делает. А сам процесс обновления весьма долгое и ресурсоемкое действо, быстренько обновить систему с утра или после работы не получится. А нашу виртуалку, эмулирующую обычный офисный ПК - \u0026quot;два ядра, два гига\u0026quot; - это действие буквально положило на лопатки. Это связано со своеобразным подходом Gentoo к управлению пакетами, более всего напоминающая такую во FreeBSD, а также тем, что вместо готовых бинарных пакетов система занимается их сборкой прямо на клиенте. Нельзя сказать, хорошо это или плохо. Это особенность дистрибутива и ее нужно учитывать. По этим же причинам ПО также ставится гораздо дольше чем в привычных дистрибутивах.\nНо пока были только сложности, настоящие проблемы ждут нас впереди. Трудно представить современный офис без учетных систем, самой популярной из которых является 1С и разного рода систем криптографии. Как минимум будет существовать ЭЦП директора для сдачи отчетности и взаимодействия с различными госслужбами (Госуслуги, Личный кабинет ФНС и т.д. и т.п.).\nЭто требует установки определенного коммерческого софта, которого, по понятным причинам, нет в репозиториях, а их производители и слышать ничего про Gentoo не хотят. В большинстве случаев вам предложат на выбор DEB или RPM. Современные реалии мира Linux таковы, что именно эти две системы управления пакетами задают основной тон, все остальное проходит по части экзотики. В принципе, это решаемо, но требует от администратора определенных знаний и умений, а также на его плечи ложится поддержка всего этого. Хотя для того-же 1С существует созданный энтузиастами репозиторий на Github, но он содержит далеко не все релизы платформ и фактически ставит в зависимость от поддерживающих его участников. Если завтра они забросят это дело, то останетесь без свежих сборок. Но даже если администратор чувствует себя в среде Gentoo, а следовательно и Calculate, как рыба в воде, появляется иная опасность, вся инфраструктура по факту оказывается завязана на одного человека и в случае его увольнения найти замену будет на так просто, большинство Linux-специалистов знают обычно Debian или RHEL системы и не горят желанием искать себе приключений в виде Gentoo.\nЦеленаправленно же изучать Calculate и Gentoo в качестве основной специализации тоже не имеет особого смысла, применять на практике эти знания особо некуда, слишком уж они специфичны.\nВыводы Если смотреть на систему \u0026quot;в общем и целом\u0026quot;, то и задумка, и воплощение достаточно неплохи. Но есть один момент, который практически ставит на всем жирный крест и имя этому моменту - Gentoo. Данный дистрибутив никогда не входил в мейнстрим и достаточно заслуженно считался уделом \u0026quot;красноглазиков\u0026quot;. Делать на него ставку при создании офисной системы - решение достаточно неожиданное и вряд ли удачное. Коммерческого софта для него вы не найдете, да и то, что сейчас создается в рамках импортозамещения выпускается исключительно в виде DEB и RPM.\nСобственно, это мы и видели, шаг вправо, шаг влево от репозитория заканчивается печально. Нет, эти сложности преодолимы, но вот нужно ли их преодолевать? И зачем? Каких-то радикальных преимуществ у Calculate нет.\nЭту ситуацию неплохо иллюстрируют обои из состава дистрибутива. Два пингвина одиноко и без особого энтузиазма ловят рыбу, а вокруг тоска зеленая: Действительно, реальных перспектив у Calculate Linux нет и тут не поможет ни включение в реестр, ни что-либо еще. Проблема одна, но существенная - пакетная база Gentoo, что делает систему сферической ОС в вакууме, вроде бы и все хорошо, только вот что с ней делать - решительно непонятно.\nКорпоративный сектор, хоть коммерческий, хоть бюджетный, это не то место, где согласятся с тем, что работоспособность и поддержка ПО завязана исключительно на одного человека - администратора, которому, к тому же, будет крайне нелегко найти замену.\nА небольшому бизнесу такая система тем более неинтересна, ведь есть гораздо более дружелюбные Ubuntu или Mint, либо ROSA или ALT, если нужно непременно отечественное ПО.\n","id":"87c94121904ed564d7bf93289428c5be","link":"https://interface31.ru/post/calculate-linux-ili-poluchilos-kak-vsegda/","section":"post","tags":["Calculate","Gentoo","Linux","Импортозамещение"],"title":"Calculate Linux или \"получилось как всегда...\""},{"body":"Продолжение цикла статей о брандмауэре iptables начнем с изучения таблицы filter, как наиболее простой и часто используемой. Ее назначение ясно уже из названия и именно в ней выполняются основные действия по фильтрации трафика и именно с этими действиями у многих связано само понятие брандмауэра. Но несмотря на простоту, именно настройки этой таблицы отвечают за сетевую защиту узла или целой сети и поэтому к ее изучению следует подойти предельно внимательно.\nИтак - таблица filter, это одна из пяти таблиц iptables, но при этом имеющая определенные отличия. Ее смело можно назвать таблицей по умолчанию, так как если мы не указываем таблицу, то подразумевается, что мы имеем дело с filter. Данная таблица содержит три цепочки: INPUT, OUTPUT и FORWARD - для входящего, исходящего и транзитного трафика узла. Более подробно о таблицах, цепочках и порядке их прохождения вы можете узнать из предыдущего материала цикла, здесь мы не будем уделять этому повышенного внимания.\nКак мы должны помнить, таблицы содержат цепочки, цепочки - правила, а сами правила состоят из критериев, действия и счетчика. Начнем с действий. Основных действий в таблице filter три, все они терминальные:\nACCEPT - пропускает пакет, прохождение пакета по цепочке прекращается REJECT - блокирует пакет и сообщает источнику об отказе DROP - блокирует пакет, не сообщая источнику об отказе Два последних действия заслуживаю особого пояснения, так как многие часто используют просто DROP. Для чего нужно сообщать источнику об отказе? Чтобы он понимал, что запрашиваемый узел недоступен и прекращал попытки соединения с ним. Если этого не сделать, то хост будет пытаться соединиться с узлом пока не истечет таймаут соединения. Скажем, если мы попробуем обратиться к заблокированному веб-узлу через браузер, то получив сообщение об отказе он практически сразу выведет сообщение, что узел недоступен, в противном случае будет достаточно долго пытаться установить соединение, что не добавит пользователю ясности и понимания происходящего.\nПоэтому для внутренних сетей всегда следует использовать REJECT, а для внешних - DROP, так как это позволяет понизить информативность для злоумышленников, не передавая в их распоряжение лишней информации о работе вашей сети.\nС действиями ясно, перейдем к критериям. Критерии - это логическое выражение которому должен соответствовать пакет, если критериев несколько, то они объединяются с помощью логического И. Также перед критерием может стоять знак отрицания - !, в этом случае критерий объединяется при помощи логического И-НЕ.\nКритерии делятся на универсальные, которые могут быть применены к любым пакетам, специфичные для протоколов и требующие подключения внешних модулей.\nУниверсальные критерии:\n-i, --in-interface имя_интерфейса- определяет входящий сетевой интерфейс, если имя интерфейса указано как ppp+, то подразумеваются все интерфейсы, начинающиеся на указанное имя. -o, --out-interface имя_интерфейса - определяет исходящий сетевой интерфейс, по синтаксису аналогичен критерию -i. -s, --src, --source адрес[/маска], адрес[/маска]... - определяет адрес отправителя пакета, может быть указана в виде IP-адреса, подсети (в формате адрес/маска), в качестве имени из /etc/hosts или DNS-имени. В последнем случае имя будет разрешено в адрес в момент добавления правила. На практике не рекомендуется использовать эту возможность, так как на момент применения правил служба DNS может оказаться недоступной. Начиная с версии 1.4.6 iptables позволяет указывать несколько значений адресов источников, разделяя их запятыми. -d, --dst, --destination адрес[/маска], адрес[/маска]... - определяет адрес получателя пакета, синтаксис тот же. -p, --protocol протокол - определяет протокол транспортного уровня, можно указать номер либо наименование протокола в том виде, в котором они приведены в /etc/protocols. Рассмотрим практические примеры. Начнем с самых простых. Разрешим весь трафик с интерфейса ens33 и запретим с ens34:\n1iptables -A INPUT -i ens33 -j ACCEPT 2iptables -A INPUT -i ens34 -j DROP Команда iptables -A добавляет новое правило в конец указанной цепочки. Обратите внимание, что критерий -i можно использовать только в цепочках INPUT и FORWARD, а -o - в FORWARD и OUTPUT.\nНемного усложним задачу:\n1iptables -A INPUT -i ens33 -s 192.168.0.0/24 -j ACCEPT 2iptables -A INPUT -i ens33 -s 192.168.2.51 -j DROP 3iptables -A FORWARD -i ens33 -d 192.168.1.0/24 -j ACCEPT 4iptables -A FORWARD -o ens34 -s 192.168.1.0/24 -d 8.8.8.8 -j REJECT Первое правило разрешает доступ к хосту через интерфейс ens33 любым пакетам из сети 192.168.0.0/24, второе запрещает доступ от узла 192.168.2.51. Третье разрешает транзитный трафик, который пришел на интерфейс ens33 и предназначен сети 192.168.1.0/24. Последнее запретит трафик из сети192.168.1.0/24 к узлу 8.8.8.8 через интерфейс ens34 и уведомит об отказе источник.\nТаким образом, комбинируя критерии можно строить достаточно сложные правила, позволяющие достаточно гибко управлять трафиком. Отдельно коснемся возможности указывать в критериях -s и -d сразу нескольких IP-адресов. Указанные таким образом адреса объединяются при помощи логического ИЛИ, т.е. запись с несколькими адресами будет эквивалентна нескольким записям с одним адресом. Например:\n1iptables -A INPUT -i ens33 -s 192.168.0.0/24, 192.168.1.0/24, 192.168.2.0/24 -j ACCEPT Эквивалентна набору записей:\n1iptables -A INPUT -i ens33 -s 192.168.0.0/24 -j ACCEPT 2iptables -A INPUT -i ens33 -s 192.168.1.0/24 -j ACCEPT 3iptables -A INPUT -i ens33 -s 192.168.2.0/24 -j ACCEPT При использовании сразу нескольких адресов в обоих критериях следует проявлять разумную осторожность, так как такая запись будет являться набором записей со всеми возможными комбинациями указанных адресов.\nСкажем:\n1iptables -A FORWARD -o ens34 -s 192.168.1.0/24, 192.168.2.0/24 -d 1.1.1.1, 8.8.8.8 -j REJECT Фактически является набором записей:\n1iptables -A FORWARD -o ens34 -s 192.168.1.0/24 -d 1.1.1.1 -j REJECT 2iptables -A FORWARD -o ens34 -s 192.168.1.0/24 -d 8.8.8.8 -j REJECT 3iptables -A FORWARD -o ens34 -s 192.168.2.0/24 -d 1.1.1.1 -j REJECT 4iptables -A FORWARD -o ens34 -s 192.168.2.0/24 -d 8.8.8.8 -j REJECT В ряде случаев, как в данном примере, это удобно. В некоторых иных может приводить к появлению неожиданных комбинаций, которые не предполагались изначально и могут либо нарушить работу сети, либо создать уязвимые участки, предоставляя доступ там, где это не нужно.\nВсе примеры, которые мы рассмотрели выше, являются универсальными и применяются к любому транспортному протоколу. Для указания протокола используется критерий -p, например:\n1iptables -A INPUT -i ens33 -p tcp -j ACCEPT Также это можно записать как:\n1iptables -A INPUT -i ens33 -p 6 -j ACCEPT Используя вместо tcp номер протокола - 6.\nНо само по себе указание протокола обычно не имеет большого значения без использования специфичных для протоколов критериев. Разберем наиболее часто используемые из них:\n--sport, --source-port порт[:порт] - указывает порт или диапазон портов источника.\n--dport, --destination-portпорт[:порт] - аналогично, но для порта или диапазона портов назначения.\nНапример:\n1iptables -A FORWARD -o ens34 -p udp --dport 53 -s 192.168.2.0/24 -d 8.8.8.8 -j REJECT Мы уточнили уже существующее правило, которое теперь блокирует не все соединения к узлу 8.8.8.8 из сети 192.168.2.0/24, а только DNS-запросы (порт 53) по протоколу UDP.\nА вот такое правило:\n1iptables -A INPUT -s 192.168.2.0/24 -p tcp --dport 62000:62200 -j ACCEPT Разрешит любые входящие подключения к диапазону портов 62000 - 62200 по протоколу TCP из сети 192.168.2.0/24.\nА как быть, если нужно указать несколько портов? В этом случае нам понадобится подключение внешнего модуля multiport. Это делается при помощи указания параметра -m. Специфичными для этого модуля критериями являются --sports, --source-ports и --dports, --destination-ports, не путать с --sport и --dport, которые имеют такой же синтаксис, но позволяют указывать порты или диапазоны портов через запятую. Порты внутри критерия объединяются через логическое ИЛИ.\nДля примера приведем типовое правило, разрешающее доступ к веб-серверу:\n1iptables -A INPUT -p tcp -m multiport --dports 80, 443 -j ACCEPT Немного иное правило, запретим доступ к веб-серверу всем, кроме узлов локальной сети:\n1iptables -A INPUT !-s 192.168.2.0/24 -p tcp -m multiport --dports 80, 443 -j DROP Здесь мы использовали критерий с отрицанием, который буквально читается как: запретить доступ к TCP-портам 80 и 443 всем, кроме сети 192.168.2.0/24. Без отрицания нам бы пришлось написать два правила:\n1iptables -A INPUT -s 192.168.2.0/24 -p tcp -m multiport --dports 80, 443 -j ACCEPT 2iptables -A INPUT -p tcp -m multiport --dports 80, 443 -j DROP Указанные нами критерии являются наиболее универсальными, в тоже время существуют критерии, относящиеся к какому-то отдельному протоколу, мы не будем подробно на них останавливаться, при необходимости обратитесь к документации по iptables. Так для TCP это могут быть критерии**--tcp-flags** для проверки TCP-флагов пакета, а для ICMP - --icmp-type, определяющий тип ICMP пакета, скажем правило:\n1iptables -I INPUT -p icmp --icmp-type echo-request -j ACCEPT Разрешит только входящие эхо-запросы (пинги).\nК полезным в повседневной деятельности внешним модулям, кроме multiport, следует отнести iprange и mac, которые позволяют указывать диапазоны IP-адресов не являющиеся сетью и MAC-адреса. Для iprange критериями являются --src-range и --dst-range, которые задают диапазон адресов источника или назначения, а для mac - --mac-source, определяющий MAC-адрес источника.\nНапример:\n1iptables -A FORWARD -o ens34 -p udp --dport 53 -m iprange --src-range 192.168.2.100-192.168.2.199 -d 8.8.8.8 -j REJECT Данное правило запретит DNS-запросы к узлу 8.8.8.8 для устройств с адресами в диапазоне 192.168.2.100-192.168.2.199.\nА вот такое правило:\n1iptables -A INPUT -i ens33 -p UDP --sport 68 --dport 67 -m mac --mac-source 00:0C:29:77:E0:29 -j ACCEPT Разрешает получение сетевых настроек только от доверенного DHCP-сервера с физическим адресом 00:0C:29:77:E0:29.\nЕще одним важным внешним модулем является conntrack, позволяющий контролировать состояние соединения, в частности нас будет интересовать критерий --ctstate, ранее в этом качестве использовался модуль state c с критерием --state, но в современных системах его использование не рекомендуется.\nКритерий --ctstate позволяет отслеживать состояние соединения, которое может принимать следующие значения:\nNEW - пакет является первым в соединении, соединение еще не установлено. ESTABLISHED - пакет относится к уже установленному соединению. RELATED - первый пакет для соединения связанного с уже установленным, например, открытие канала передачи данных для FTP. INVALID - пакет, не принадлежащий ни одному соединению в системе и не являющийся первым пакетом соединения. Также можно дополнительно отслеживать следующие состояния:\nDNAT - соединение подверглось операции подмены адреса назначения SNAT - соединение подверглось операции подмены адреса источника Рассматривать работу этого модуля лучше на реальных примерах, поэтому попробуем создать базовую настройку брандмауэра для некого условного сервера, имеющего на борту веб-сервер, пассивный FTP и SSH для удаленного управления.\nСуществует два варианта настройки брандмауэра: нормально открытый (разрешено все, что не запрещено) и нормально закрытый (запрещено все, что не разрешено). Нормально открытый брандмауэр обычно используется только со стороны доверенных сетей, во всех остальных случаях следует использовать нормально закрытый брандмауэр.\nИсходя из этих соображений на ум приходит достаточно просто набор правил:\n1iptables -A INPUT -i ens33 -p tcp --dport 21 -j ACCEPT 2iptables -A INPUT -i ens33 -p tcp --dport 22 -j ACCEPT 3iptables -A INPUT -i ens33 -p tcp -m multiport --dports 80, 443 -j ACCEPT 4iptables -A INPUT -i ens33 -j DROP Казалось бы, все верно, но FTP-сервер с такой настройкой работать не будет, так как в пассивном режиме он открывает второе соединение на динамических портах, которых в разрешающих правилах нет. Можно, конечно, указать этот диапазон отдельно, но лучше поступить иначе и вспомнить о таком состоянии соединения как RELATED. Второй момент - правил может быть много, а пакет последовательно проходит все правила в цепочке до совпадения условий, вызывая повышенную нагрузку на процессор, что может быть очень актуально для маломощных устройств. Поэтому вспоминаем об еще одном состоянии соединения - ESTABLISHED.\nОбщий смысл следующего действия такой: если соединение уже установлено, следовательно оно было разрешено брандмауэром и дополнительно проверять его на совпадение условий не нужно. Все связанные с уже установленными новые соединения также можно разрешать, дополнительных проверок они не требуют. Поэтому самым первым правилом в цепочке мы должны поставить:\n1iptables -A INPUT -i ens33 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT Это позволит резко снизить нагрузку на систему, так как все относящиеся к установленным соединениям пакеты будут пропускаться этим правилом, без предварительных проверок, также сразу снимется проблема связанных соединений, они также будут разрешаться автоматически.\nВторым после него правилом можно указать:\n1iptables -A INPUT -i ens33 -m conntrack --ctstate INVALID -j DROP Что позволит сразу отбрасывать все не принадлежащие существующим соединениям пакеты, а также исключить некоторые виды атак.\nЕсли следовать данной логике и дальше, то можно изменить разрешающие правила следующим образом:\n1iptables -A INPUT -i ens33 -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT В этом случае будут пропускаться только первые пакеты соединений. На первый взгляд особой разницы с обычной записью, без уточнения состояния тут нет, в любом случае по правилу будет проходить только первый пакет, а остальные пойдут как ESTABLISHED, но в ряде случаев через просто правило может проскочить и соответствующим образом подготовленный INVALID пакет, переведя соединение в ESTABLISHED, с явным указанием соединения такого уже не произойдет.\nЕсли наш сервер является еще и маршрутизатором (роутером), то потребуется настроить также цепочку FORWARD, в простейшем случае это два правила:\n1iptables -A FORWARD -i ens33 -o ens34 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT 2iptables -A FORWARD -i ens33 -o ens34 -j DROP Отдельного разговора заслуживает проброс портов. Многие ошибочно считают, что разрешать такие подключения следует в цепочке INPUT, однако это неверно, так как прежде такой пакет попадет в цепочку PREROUTING таблицы nat и его адрес назначения будет изменен на адрес конечного узла в локальной сети. Поэтому разрешающее правило должно выглядеть так:\n1iptables -A FORWARD -i ens33 -o ens34 -d 192.168.2.220 -p tcp --dport 3389 -j ACCEPT Где в качестве узла назначения указываем внутренний адрес узла, на который мы пробрасываем порт. Также стоит обратить внимание на еще один момент, если мы делаем проброс с изменением номера порта, скажем для 192.168.2.220 делаем проброс 3389 -\u0026gt; 3389, а для 192.168.2.221 3390 -\u0026gt; 3389, то в обоих правилах мы должны будем указать один и тот же порт - порт назначение, т.е. 3389:\n1iptables -A FORWARD -i ens33 -o ens34 -d 192.168.2.220 -p tcp --dport 3389 -j ACCEPT 2iptables -A FORWARD -i ens33 -o ens34 -d 192.168.2.221 -p tcp --dport 3389 -j ACCEPT Либо можно сделать короче:\n1iptables -A FORWARD -i ens33 -o ens34 -d 192.168.2.220, 192.168.2.221 -p tcp --dport 3389 -j ACCEPT Таким образом минимальная конфигурация брандмауэра будет выглядеть так:\n1#Разрешаем уже установленные и связанные соединения 2iptables -A INPUT -i ens33 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT 3 4#Разрешаем входящий SSH 5iptables -A INPUT -i ens33 -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT 6 7#Запрещаем остальные входящие соединения 8iptables -A INPUT -i ens33 -j DROP 9 10#Разрешаем уже установленные и связанные транзитные соединения WAN -\u0026gt; LAN 11iptables -A FORWARD -i ens33 -o ens34 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT 12 13#Запрещаем остальные транзитные соединения WAN -\u0026gt; LAN 14iptables -A FORWARD -i ens33 -o ens34 -j DROP Это тот, необходимый каркас вокруг которого будут выстраиваться все остальные правила. При их создании следует придерживаться следующих принципов: все правила, относящиеся к одной цепочке, должны быть записаны рядом, это облегчает чтение и понимание конфигурации. Правила описывающие более частные случаи должны располагаться выше более общих. При создании правил всегда обращайте внимание на последнее действие в цепочке и действие по умолчанию.\nВ заключение хотелось бы коснуться распространенных ошибок. Одна из них - это правила-пустышки, которые разрешают или запрещают то, что уже разрешено/запрещено. Яркий пример:\n1iptables -A FORWARD -i ens33 -o ens34 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT 2iptables -A FORWARD -i ens34 -o ens33 -j ACCEPT 3iptables -A FORWARD -i ens33 -o ens34 -j DROP Второе правило представляет типичную пустышку. Запрещающего правила для трафика от ens34 к ens33 нет, по умолчанию цепочка FORWARD имеет действие ACCEPT, т.е. мы разрешаем то, что и так разрешено. Особого вреда от этого нет, кроме повышенной нагрузки на оборудование.\nЕдинственная пустышка, которую следует применять - это разрешение доступа к устройству первой строкой конфигурации, даже если это разрешено по умолчанию. Таким образом вы страхуетесь от того, что, изменив какие-либо правила, либо добавив новые вы потеряете контроль над устройством.\nВторая ошибка - лжеправила, обычно это вычитанные где-то в интернете конструкции, содержащие массу непонятных параметров, скажем TCP-флаги и позиционирующиеся как \u0026quot;защита от атак\u0026quot; и т.д. и т.п. В лучшем случае это будет очередная пустышка, в худшем такое правило может нарушить нормальную работу сети. То же самое касается правил с лимитами, квотами и т.п. конструкциями. Общий принцип здесь простой: если вы не понимаете, что делает то или иное правило - оно вам не нужно.\nНу и классика жанра - неверное расположение правил. Часто это происходит не сознательно, а от неправильно или неявно заданных параметров. Допустим:\n1iptables -A FORWARD -i ens33 -o ens34 -j ACCEPT 2iptables -A FORWARD -s 192.168.1.0/24 -j REJECT На первый взгляд все должно работать, но если сеть 192.168.1.0/24 расположена за адаптером ens33, то данная конструкция работать не будет, так как прежде запрещающего правила по адресу у вас стоит разрешающее правило по интерфейсу.\nПоэтому вспоминаем совет: более частные правила ставить выше более общих. Сеть - более узкий критерий, нежели интерфейс (за которым может быть несколько сетей), поэтому такие правила должны быть указаны раньше.\nК этой же категории относится и составление правил без учета последнего правила в цепочке или действия по умолчанию. Допустим перед нами стоит задача разрешить транзитный трафик из сети за ens33 в сеть за ens34 только для подсети 192.168.2.0/24. Для правильного ее решения нам нужно знать тип брандмауэра со стороны исходящей сети и проверить весь набор правил. Если брандмауэр нормально закрытый, т.е. у нас написано что-то наподобие\n1iptables -A FORWARD -i ens33 -o ens34 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT 2... 3iptables -A FORWARD -i ens33 -o ens34 -j DROP То мы просто можем добавить:\n1iptables -A FORWARD -i ens33 -o ens34 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT 2iptables -A FORWARD -i ens33 -o ens34 -s 192.168.2.0/24 -j ACCEPT 3... 4iptables -A FORWARD -i ens33 -o ens34 -j DROP Иначе, если брандмауэр нормально открытый, что в порядке вещей для доверенных сетей, такое правило окажется пустышкой (запрещающего правила нет, а по умолчанию и так стоит ACCEPT) и работать не будет. В этом случае вам понадобится совсем иная конструкция:\n1iptables -A FORWARD -i ens33 -o ens34 ! -s 192.168.2.0/24 -j REJECT Если же применить ее в предыдущей конфигурации, то данное правило тут же станет пустышкой. Это хороший пример того, как работающие в одной ситуации правила в другом контексте полностью теряют свой смысл. Это всегда следует учитывать при копировании правил из чужих конфигурации или примеров в интернете, а также обращаясь за помощью на форумах, потому что рассматривать конфигурацию брандмауэра нужно с учетом всех правил в цепочке и их взаимного расположения.\nВ данном материале мы рассмотрели только базовые возможности таблицы filter, оставив за скобками многие продвинутые вещи, скажем, лимиты. Это обусловлено предназначением статьи прежде всего для начинающих, а применение сложных параметров требует определенного уровня знаний, поэтому мы будем следовать в подаче материала от простого к сложному и непременно коснемся этих параметров в будущих статьях цикла.\n","id":"145e9da2c7a87a5c31d4cea4d4c4ef11","link":"https://interface31.ru/post/osnovy-iptables-dlya-nachinayushhih-chast-2-tablica-filter/","section":"post","tags":["Debian","iptables","Linux","MikroTik","Ubuntu Server","Сетевые технологии"],"title":"Основы iptables для начинающих. Часть 2. Таблица filter"},{"body":"КриптоПро один из наиболее широко используемых криптопровайдеров на территории Российской Федерации, он широко используется в системах электронного документооборота, сдачи отчетности и взаимодействия с государственными органами, поэтому встретить его можно практически в любой организации. По этой причине у системных администраторов часто встает вопрос его переноса на другой ПК. А так как криптография является для многих сложной и непонятной областью, то эта простая задача может вызвать некоторые затруднения.\nЕсли вы ранее не сталкивались с криптографией вообще, то рекомендуем прочитать нашу статью: Введение в криптографию. Общие вопросы, проблемы и решения. Здесь мы не будем углубляться в теорию, но приведем некоторый необходимый ликбез.\nВ повседневной деятельности широко распространено понятие \u0026quot;сертификат\u0026quot;, им оперируют все, от сотрудников удостоверяющих центров, то бухгалтеров, работающих с ЭЦП. Часто можно услышать что-то подобное: \u0026quot;нам купили в бухгалтерию новый компьютер, нужно перенести сертификаты\u0026quot;. Но если подходить с точки зрения криптографии, то слово \u0026quot;сертификат\u0026quot; в данном случае употребляется неправильно. Вся современная криптография строится вокруг инфраструктуры открытых ключей (PKI), которая подразумевает наличие у каждого участника ключевой пары: открытого и закрытого ключа.\nЗакрытый ключ является секретным, с его помощью мы можем подписывать документы, шифровать информацию и т.д. и т.п. Закрытый ключ Усиленной квалифицированной электронной подписи (УКЭП) равнозначен нотариально заверенной подписи и его попадание в чужие руки может привести к самым тяжелым последствиям.\nОткрытый ключ, дополненный некоторыми дополнительными данными, выпускается в форме сертификата и является публично доступным, с его помощью можно проверить действительность цифровой подписи, выполненной закрытым ключом или убедиться в подлинности участника обмена электронными документами.\nПоэтому, когда мы говорим о переносе \u0026quot;сертификатов\u0026quot;, то подразумеваем необходимость перенести ключевую пару: закрытый ключ и сертификат, перенос одних только сертификатов не принесет успеха, криптография на новом узле работать не будет.\nВыяснив этот момент, перейдем к хранилищам закрытых ключей. КриптоПро предполагает в таком качестве токены, флеш-накопители и системный реестр. Токены являются наиболее защищенными устройствами, извлечь закрытый ключ из них невозможно, и вы можете не опасаться несанкционированного копирования (для этого закрытый ключ должен быть помечен как неэкспортируемый). Флеш-накопители представляют некий компромисс между безопасностью и мобильностью, а реестр удобен в тех случаях, когда на одном ПК нужно одновременно работать с большим количеством ключей. И именно с ним связаны определенные сложности при переносе на другой узел.\nЭкспорт ключей и сертификатов Для того, чтобы правильно экспортировать закрытые ключи, нам нужно выяснить идентификатор безопасности (SID) текущего пользователя (который работает с ЭЦП), это можно сделать командной:\n1wmic useraccount where name=\u0026#39;%username%\u0026#39; get sid Затем откроем редактор реестра и перейдем в ветку для 32-битных систем:\n1HKEY_LOCAL_MACHINE\\SOFTWARE\\Crypto Pro\\Settings\\Users для 64-битных систем:\n1\\HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Crypto Pro\\Settings\\Users Найдем и раскроем раздел с SID текущего пользователя и экспортируем оттуда ветку Keys. Обратите внимание, что данная ветка содержит закрытые ключи, поэтому следует принять все меры безопасности и не передавать файл экспорта по открытым каналам связи и вообще исключить к нему несанкционированный доступ посторонних лиц.\nПосле чего скопируем все сертификаты, расположенные по пути\n1%USERPROFILE%\\AppData\\Roaming\\Microsoft\\SystemCertificates\\My\\Certificates Это открытые ключи, никакой секретности они не представляют, поэтому просто копируем их любым доступным способом.\nИмпорт ключей и сертификатов Прежде всего установим на новый узел КриптоПро, обратите внимание, что переносить ключи и сертификаты следует между одинаковыми версиями. В противном случае либо обновите версию КриптоПро на старой системе, либо установите старую версию на новой и обновите ее уже после переноса ключевых пар.\nЗатем снова узнаем SID пользователя, который будет работать с ЭЦП, если это текущий пользователь, то снова выполните:\n1wmic useraccount where name=\u0026#39;%username%\u0026#39; get sid В противном случае:\n1wmic useraccount where name=\u0026#39;Name\u0026#39; get sid где Name - имя пользователя.\nПосле чего откройте на редактирование файл реестра с экспортированными закрытыми ключами и замените в нем все вхождения старого SID на SID нового пользователя. Сохраните файл и импортируйте его в реестр. Закрытые ключи перенесены, файл переноса в целях безопасности следует удалить.\nСледующим шагом скопируйте сохраненные сертификаты в\n1%USERPROFILE%\\AppData\\Roaming\\Microsoft\\SystemCertificates\\My\\Certificates После чего можно устанавливать и настраивать приложения работающие с криптографией, все будет работать.\nКак быть если доступ к старой системе невозможен? Теория - это хорошо, но практика может подкинуть самые неожиданные ситуации. Как быть, если доступ к старой системе невозможен? Скажем вышла из строя материнская плата или серьезно повреждена операционная система?\nВсе что нам нужно в таком случае - это доступ к файловой системе старой системы. Вы можете как напрямую подключить жесткий диск к новой системе, так и загрузиться при помощи консоли восстановления или любого более продвинутого инструмента, скажем MSDaRT.\nС копированием сертификатов проблемы возникнуть не должно, их хранилище простая папка на диске, а вот с хранилищем закрытых ключей в реестре немного сложнее. Но не будем забывать, что системный реестр тоже хранится в файлах на диске. Вам следует любым доступным образом скопировать файл SOFTWARE из C:\\Windows\\System32\\config Затем на целевой системе откройте редактор реестра, перейдите в раздел HKEY_LOCAL_MACHINE и через Файл - Загрузить куст подключите скопированный из старой системы раздел реестра. Дайте ему осмысленное имя, скажем OLD_SOFTWARE. После чего пройдите в раздел с закрытыми ключами (с учетом новой точки монтирования) и выполните экспорт ветки Keys. Дальнейшие действия ничем не отличаются от описанных нами в разделе Импорт ключей и сертификатов.\n","id":"9f1fa2f1daa288a2a75381c04a4d28d1","link":"https://interface31.ru/post/perenos-sertifikatov-i-zakrytyh-klyuchey-cryptopro-hranyashhihsya-v-reestre/","section":"post","tags":["CryptoPro","PKI","Криптография"],"title":"Перенос сертификатов и закрытых ключей CryptoPro хранящихся в реестре"},{"body":"Требования законодательства к ККТ постоянно меняются, объем передаваемых в ОФД данных расширяется, кроме фискальных данных современные ККТ также должны передавать коды маркировки, которая внедряется все шире и шире. Но и разработчики ККТ не стоят на месте, на так давно компания АТОЛ представила принципиально новую платформу ПО для ККТ - 5.0, которая разработана с учетом всех современных требований. Вместе с новой платформой были пересмотрены и некоторые уже привычные решения по взаимодействию с ККТ, о которых мы сегодня и поговорим.\nЧтобы понять, что такое платформа 5.0 и для чего она нужна сделаем краткий экскурс в историю. ККТ старого образца использовали платформу 2.0, предназначенную для работы с ЭКЛЗ, в выходом 54ФЗ и появлением онлайн-касс платформа 2.0 была доработана под новые требования и стала называться платформа 2.5. Именно ее продолжали и продолжают использовать большинство ККТ АТОЛ.\nНо устаревшая платформа несет много ограничений и не позволяет эффективно реализовывать новые требования, поэтому разработчики решили разработать полностью новое ПО только под современные требования. Так появилась платформа 5.0, за счет отказа от поддержки устаревших стандартов и принципиально новой архитектуре она быстрее работает и эффективнее справляется со своими задачами, облегчая жизнь как пользователям, так и разработчикам кассового ПО.\nМногие функции, которые раньше обеспечивались средствами прикладного или дополнительного ПО перешли в саму кассу, например, разбор марки, теперь этим занимается сама ККТ, что значительно упрощает задачу разработчикам и пользователям, которые станут меньше зависеть от реализации поддержки нововведений в их программах.\nВ настоящий момент разработка платформы 2.5 прекращена, а с 2021 года прекратится ее поддержка. В настоящий момент все актуальные ККТ поставляются с платформой 5.0.\nКак узнать платформу ККТ? Узнать версию текущего ПО ККТ можно разными способами, самый простой - распечатать чек информации: Отчеты - 5 - Печать информации о ККТ. Интересующая информация будет напечатана на кассовой ленте: 1{ 2\u0026#34;type\u0026#34;: \u0026#34;getDeviceInfo\u0026#34; 3} Результатом будет набор информации о ККТ включающий в себя номер прошивки: Настройка EoT (EthernetOverTransport) Серьезное изменение коснулось передачи данных в ОФД для касс без прямого сетевого подключения. Платформа 2.5 использовала для этой цели технологию EoU (EthernetOverUSB), которая подразумевала использование стороннего ПО для взаимодействия с кассой и отправке данных из нее в ОФД.\nНесмотря на то, что EoU показала себя достаточно надежной технологией, лишнее ПО в системе - это лишняя точка отказа, да и с точки зрения кроссплатформенности, к которой стремится АТОЛ, это выглядело не самым лучшим решением. Поэтому была реализована новая технология передачи данных EoT(EthernetOverTransport), которая может использовать любое подключение к хосту и не требует дополнительного ПО. Теперь ККТ сама передает данные в ОФД, единственное условие - кассовое ПО должно сохранять постоянное подключение к ККТ. Все настройки подключения к ОФД также выполняются в самой кассе. Это удобно, не нужно никакого дополнительного ПО, достаточно просто установить драйвер ККТ и подключить устройство.\nОтличительной чертой устройств на платформе 5.0 при подключении их к ОС Windows является только один виртуальный COM-порт, который используется для взаимодействия с кассовым ПО, работа с EoU на прошивках 5.7.0 не поддерживается. На Linux ККТ по-прежнему подключается через USB, но работа с EoU также невозможна. Это можно заметить в выпадающем списке выбора канала обмена, теперь там доступны только сетевые способы и EoT. Сама же настройка EoT достаточно проста, вам потребуется указать в пункте 15 параметров ККТ адрес и порт используемого вами ОФД. Будьте внимательны, отмечены случаи, когда порт ОФД сохранялся не с первого раза, поэтому рекомендуем тщательно проверять настройки перед началом эксплуатации кассы. Также можете пробить пробный чек, либо открыть или закрыть смену (проще говоря создать любой фискальный документ), а затем проверить состояние отправки документов в ФН - 1 -Статус информационного обмена. Количество непереданных документов должно быть равно нулю (на скриншоте отчет тестовой кассы с МГМ которая не осуществляет передачу данных). Для проверки связи с ОФД можете выполнить Отчеты - 6 - Тест связи с ОФД, результат диагностики будет распечатан на кассовой ленте. В ряде случаев может быть полезно ознакомиться с логом службы, который находится в:\n1%USERPROFILE%\\AppData\\Roaming\\Atol\\drivers10\\logs\\ofd.log Со стороны кассового ПО, в нашем случае это 1С, требуется поддержка постоянного соединения с кассой, это уже реализовано в последних версиях компоненты, остается убедиться, что вы используете версию не ниже 10.6.2.0. Однако здесь тоже может быть не все так просто, рекомендуем внимательно ознакомиться с нашей статьей: 1С:Предприятие 8. Исправляем ошибку \u0026quot;Некорректный код защиты / лицензия или номер\u0026quot; для ККТ АТОЛ.\nEoU возвращается? Как мы уже говорили, для работы EoT требуется поддержка со стороны кассового ПО, а именно поддержание постоянного соединения с ККТ. Но как показала практика не все разработчики смогли вовремя выпустить обновления и у многих возникли трудности с применением касс на платформе 5.0. Поэтому в прошивке 5.7.10 работа с EoU была возвращена, также обязательным условием является использование драйвера 10.8.0.0. В диспетчере задач ККТ с данной прошивкой снова определяются двумя виртуальными COM-портами: Но говорит ли это о том, что АТОЛ возвращает EoU и отказывается от EoT? Нет, в описании изменений прошивки 5.7.10 прямо указано:\nСписок изменений v. 5.7.10 Добавлен интерфейс EoU для завершения миграции;\nВозвращение EoU временное, для того чтобы пользователи спокойно могли завершить миграцию на платформу 5.0, а у разработчиков было время спокойно выпустить обновления с полноценной поддержкой платформы 5.0.\nПоэтому если ваше кассовое ПО позволяет использовать EoT уже сейчас, то следует использовать именно его, так как переходить на него все равно придется и лучше это сделать спокойно сейчас, чем пытаться все сделать в самый последний момент.\n","id":"361ddd0e1fa7aa4103c7c03aea0f632b","link":"https://interface31.ru/post/osobennosti-podklyucheniya-kkt-atol-na-platforme-5/","section":"post","tags":["1С Предприятие 8.х","Автоматизация","АТОЛ","ККТ","Торговое оборудование"],"title":"Особенности подключения ККТ АТОЛ на платформе 5.0"},{"body":"Внедрение новых технологий всегда вызывает определенные сложности и часто порождает недоверие и отторжение. Отчасти это оправдано, здравый консерватизм в системном администрировании только приветствуется, но при этом нужно идти в ногу со временем, чтобы не остаться на обочине технологий. Сегодня мы разберем базовые основы работы с netplan - новой утилитой для настройки сети в Ubuntu, которая определяет новый подход к управлению сетевыми настройками системы.\nНу вот, очередной \u0026quot;велосипед\u0026quot; - может сказать некто, но будет неправ. Чтобы понять почему нам следует сделать краткое отступление и рассмотреть системы управления сетевыми настройками в современных дистрибутивах Linux. Сегодня основных систем две: systemd-networkd и NetworkManager, также для совместимости везде поддерживается ifupdown с привычными каждому настройками в /etc/network/interfaces.\nМногие по привычке продолжают использовать ifupdown, но это может привести к самым неожиданным последствиям, для примера рекомендуем прочесть заметку нашего коллеги Василия Алексеенко. Нравится нам это или нет, но ifupdown уходит в историю и нужно начинать использовать современные методы управления сетью. При этом systemd-networkd и NetworkManager настраиваются по-разному и в разных местах хранят свои настройки, а завтра появится что-то еще...\nИ вот здесь на сцену выходит Netplan - новый уровень абстракции над сетевыми менеджерами. Он предполагает, что мы описываем нужную нам сетевую конфигурацию в единой унифицированной форме, с применением языка YAML, которая затем, при помощи Netplan, конвертируется в настройки для одного из поддерживаемых менеджеров. Это позволяет один раз описать нужную сетевую конфигурацию, а затем переносить ее между системами не сильно задумываясь что там \u0026quot;под капотом\u0026quot;.\nВ настоящее время Netpaln используется по умолчанию в Ubuntu и может быть установлен в Debian и других, основанных на этих дистрибутивах системах. Это можно сделать командой:\n1apt install netplan при условии, конечно, что данный пакет есть в репозитории вашего дистрибутива.\nКонфигурация Netplan описывается при помощи специального языка разметки YAML, ключевой особенностью которого является использование отступов для формирования структуры полей, поэтому сразу забудьте о табуляции, правилами хорошего тона является использование двух или четырех пробелов.\nСтруктура YAML файла состоит из полей и их значений, которые отделяются двоеточием, в качестве значения могут выступать числа, строки, списки или другие поля. Например:\n1поле0: 2 поле1:значение1 3 поле2: 4 -элементсписка1 5 -элементсписка2 В приведенном выше примере поле0 содержит поля 1 и 2 (структура определяется отступами), которые в свою очередь содержат значение и список значений. Ниже мы рассмотрим описания типовых конфигураций сети в Netplan. Все конфигурационные файлы Netplan хранятся в директории /etc/netplan, имя файла может быть любым, обязательно расширение .yaml, если файлов несколько, то они обрабатываются в алфавитном порядке. Это важный момент если у вас в разных файлах описаны зависящие друг от друга настройки, скажем, основного интерфейса и туннеля через него.\nАвтоматическое получение сетевых настроек по DHCP Самая простая сетевая конфигурация, описывается следующим образом:\n1network: 2 version: 2 3 renderer: networkd 4 ethernets: 5 ens33: 6 dhcp4: true Первое поле указывает, что мы настраиваем сеть, далее указывается версия YAML и рендер, т.е. какой сетевой менеджер будет использоваться, если эта опция не указана, то подразумевается networkd, хотя мы советуем указывать ее явно. Альтернативным значением является NetworkManager, обратите внимание на регистр написания.\nПоле ethernets содержит настройки проводных интерфейсов, в качестве значений выступают поля с именами интерфейсов, которые содержат поля с настройками. Для включения DHCP по протоколу IPv4 используется опция dhcp4, в которой можно указать как true/false, так и yes/no.\nЕсли вы используете в качестве DHCP-сервера Windows Server то следует добавить еще одну опцию:\n1ens33: 2 dhcp4: true 3 dhcp-identifier: mac Данная настройка предписывает использовать в качестве идентификатора узла MAC-адрес.\nНастройка статического IP-адреса Немного более сложная конфигурация, но если помнить о структуре YAML-файла, то она очень легко создается и легко читается.\n1network: 2 version: 2 3 renderer: networkd 4 ethernets: 5 ens33: 6 dhcp4: false 7 addresses: [192.168.233.154/24] 8 gateway4: 192.168.233.2 9 nameservers: 10 addresses: [1.1.1.1, 8.8.8.8] Общие поля мы рассматривать не будем, перейдем сразу к настройкам интерфейса. В поле dchp4 прописываем значение false, так как мы не используем DHCP. Поле addresses подразумевает список значений, которые заключаются в квадратные скобки и перечисляются через запятую, скобки обязательны, даже если значение одно. Формат записи IP-адреса: адрес/префикс, префикс /24 соответствует маске 255.255.255.0.\nДля указания шлюза служит поле gateway4, а для настройки DNS - nameservers, которое содержит вложенные поля, мы должны указать как минимум одно, с адресами DNS-серверов.\nВажно! Важно! В настоящий момент опция gateway4 является устаревшей (deprecated).\nВ современных конфигурациях вместо нее следует использовать поле routes и приведенная выше конфигурация будет выглядеть следующим образом:\n1addresses: [192.168.233.154/24] 2routes: 3 - to: default 4 via: 192.168.233.2 Также можно использовать и альтернативный вариант синтаксиса:\n1ens33: 2 dhcp4: false 3 addresses: 4 - 192.168.233.154/24 5 routes: 6 - to: default 7 via: 192.168.233.2 8 nameservers: 9 addresses: 10 - 1.1.1.1 11 - 8.8.8.8 Оба варианта написания равнозначны, вы можете использовать любой из них.\nЕсли требуется указать несколько IP-адресов для одного интерфейса, то запись будет выглядеть так:\n1addresses: [192.168.233.154/24, 192.168.1.154/24] или\n1addresses: 2 - 192.168.233.154/24 3 - 192.168.1.154/24 Имена интерфейсов типа ens33:0 в Netplan не поддерживаются, все настройки указываются для единого физического (или виртуального) интерфейсов.\nДля доменных сетей (а также некоторых одноранговых) следует указать DNS-суффикс, т.е. имя домена, которое будет дописываться к плоским именам. Для этого используется поле search, которое также подразумевает список, в котором мы можем указать один или несколько DNS-суффиксов.\n1nameservers: 2 addresses: 3 - 192.168.233.100 4 - 192.168.233.101 5 search: 6 - interface31.lab Обратите внимание, что при указании DNS-суффикса вы должны указать те DNS-сервера, которые обслуживают указанную зону, в противном случае эта настройка не будет иметь смысла.\nНастройка Wi-Fi Для успешного подключения к беспроводным сетям вам потребуется пакет wpasupplicant, установить его можно командой:\n1apt install wpasupplicant Затем перейдем к описанию сетевой конфигурации в Netplan:\n1network: 2 version: 2 3 renderer: networkd 4 wifis: 5 wlx8416f91d8de0: 6 dhcp4: true 7 access-points: 8 MyWiFi: 9 password: Pa$$word_1 Настраивается она аналогично проводной, только для описания беспроводных интерфейсов используется отдельное поле wifis. Далее описываются сетевые настройки для каждого беспроводного адаптера, в нашем случае у него длинное непроизносимое имя wlx8416f91d8de0 и включено получение настроек по DHCP. А еще ниже указаны параметры подключения к беспроводной точке доступа, для их указания используется поле access-points где мы указываем имя сети (SSID), в нашем случае MyWiFi. В качестве значения поля с именем сети указываем поле password, которое содержит пароль подключения к беспроводной сети.\nНастройка статических маршрутов Указать статические маршруты в Netplan тоже достаточно просто, для этого используется одно из полей в настройках интерфейса, в простейшем случае это будет выглядеть так:\n1ens33: 2 dhcp4: false 3 addresses: 4 - 192.168.233.154/24 5 nameservers: 6 addresses: 7 - 1.1.1.1 8 - 8.8.8.8 9 routes: 10 - to: default 11 via: 192.168.233.2 12 - to: 192.168.111.0/24 13 via: 192.168.233.101 При необходимости можно указать дополнительно метрику маршрута, для указания его приоритета:\n1routes: 2 - to: 192.168.111.0/24 3 via: 192.168.233.101 4 metric: 100 Отдельно следует остановиться на опции, которая в большинстве русскоязычных материалов приводится неправильно - on-link, обычно ее значение приводят как \u0026quot;активация маршрута при поднятии линка\u0026quot; или что-то подобное. Но это неверно. Само понятие On-link связано с непосредственно присоединенными сетями, которые доступны с указанного интерфейса без маршрутизации. В простейшем случае непосредственно присоединенной сетью является локальная сеть, настроенная на интерфейсе.\nВ более сложных конфигурациях таких сетей может быть несколько и иногда может возникнуть потребность указать шлюз в одной из таких сетей, вне пределов адресного пространства сети, настроенной на интерфейсе. Если просто указать такой шлюз, то он не будет добавлен в таблицу маршрутизации, поэтому в таких случаях требуется дополнительно указывать опцию on-link, пример из официальной документации:\n1ethernets: 2 addresses: [ \u0026#34;10.10.10.1/24\u0026#34; ] 3 routes: 4 - to: 0.0.0.0/0 5 via: 9.9.9.9 6 on-link: true В остальных случаях использовать эту опцию нет необходимости.\nИспользование NetworkManager Если в качестве менеджера сети вы хотите использовать NetworkManager, то вам потребуется изменить всего-лишь одну строчку:\n1renderer: NetworkManager Обратите внимание на регистр написания, в данном случае это важно.\nСоздание и применение конфигурации Netplan Как мы говорили выше, Netplan не является сетевым менеджером, а поэтому следует создать на основании наших описаний сетевых конфигураций настоящие конфигурационные файлы для используемого менеджера сети, для этого выполните команду:\n1netplan generate Если команда завершилась с ошибками - внимательно читаем вывод и исправляем их, чаще всего это синтаксические ошибки или неправильное количество отступов. Здесь проявляется один из плюсов новой системы, если вы ошиблись в файле описания, то сетевые настройки создать не удастся. В классической системе вы узнаете об этом, когда у вас отвалится сеть. Если же все прошло успешно, то сетевую конфигурацию можно применить. Но давайте не будем спешить.\nКак современная система, Netplan предоставляет возможность проверить сетевые настройки перед их применением. Если мы выполним:\n1netplan try то наша новая конфигурация будет применена на две минуты, до истечения которых мы должны подтвердить ее, в противном случае будет возвращена старая конфигурация. Это просто замечательное решение, которое трудно переоценить, особенно если вам приходится настраивать сеть удаленно.\nЧтобы применить сетевые настройки без тестирования выполните:\n1netplan apply Заключение В данной статье мы коснулись только базовых настроек Netplan, оставив в стороне более сложные сетевые конфигурации, так как основная цель данного материала - познакомить читателя с основами новой системы управления сетевыми настройками. Как молодая система Netplan имеет свои особенности и недостатки, но плюсы уже перевешивают минусы, особенно если учесть, что продукт активно развивается и учитывает все современные тенденции и особенности.\nНужно ли изучать и применять Netplan? На наш взгляд - нужно, вне зависимости от того, станет он впоследствии единым стандартом или нет. Уже сегодня он дает отличную читаемость и переносимость сетевых конфигураций, а также предоставляет ряд современных возможностей, делающих работу с сетью проще и безопаснее.\n","id":"861d4dfcdeee539f332823de6c54bf96","link":"https://interface31.ru/post/nastroyka-seti-v-linux-pri-pomoshhi-netplan/","section":"post","tags":["Debian","Linux","netplan","Ubuntu","Ubuntu Server","Сетевые технологии"],"title":"Настройка сети в Linux при помощи Netplan"},{"body":"Wi-Fi в роутерах Mikrotik достаточно неоднозначная тема, с одной стороны количество посвященных ей публикаций достаточно велико, но с другой, большая часть из них является простым перечислением всех присутствующих в роутере настроек с кратким описанием, без пояснений об их назначении, нужности, либо, наоборот, ненужности. Поэтому мы в нашей статье сделаем упор на практическое применение и опции, которые реально могут вам потребоваться в повседневной деятельности. А также дадим необходимый теоретический минимум для понимания смысла отдельных настроек.\nСразу сделаем краткое отступление, чтобы потом ни у кого не было недопонимания и разочарования. В части Wi-Fi большая часть роутеров Mikrotik серьезно уступает даже достаточно недорогим бытовым роутерам, это связано с устаревшей аппаратной платформой, которая не поддерживает многие современные стандарты и технологии. Поэтому если вам нужна действительно производительная Wi-Fi сеть, то следует использовать специально предназначенное для этого оборудование - точки доступа, оставив роутеру его основные задачи.\nТакже следует понимать, что добиться производительной работы от Wi-Fi сетей в условиях плотной городской застройки практически нереально, беспроводные сети, особенно в диапазоне 2,4 ГГц очень сильно перегружены, а большое количество передатчиков, зачастую выкрученных на максимальную мощность, делают эфирную обстановку крайне неблагоприятной. Кроме того, беспроводная связь - это разделяемая среда, если по кабелю каждый потребитель получает собственный канал минимум 100 Мбит/с ширины, то даже работающие в идеальных внешних условиях клиенты будут делить между собой единственный 150 Мбит/с беспроводной канал.\nПоэтому подключать по Wi-Fi требовательные к пропускной способности сети устройства, особенно мультимедийные - это не самая лучшая идея. Везде, где это возможно, следует использовать кабельное подключение. Что касается большинства моделей роутеров Mikrotik, то они неплохо подходят для организации беспроводных сетей рассчитанных на небольшую нагрузку в офисах, компенсируя все недостатки устаревшей беспроводной платформы широкими возможностями RouterOS, позволяющими очень гибко настраивать параметры беспроводной сети и правила доступа к ней.\nВсе настройки беспроводной связи RouterOS расположены в разделе Wireless, открыв который мы увидим список беспроводных интерфейсов, в зависимости от модели роутера их будет один (2,4 ГГц) или два (2,4 ГГц + 5 ГГц). Большинство настроек для обоих диапазонов одинаково, поэтому мы будем рассматривать их применительно к диапазону 2,4 ГГц, делая необходимые отступления там, где появляются специфичные для диапазона 5 ГГц параметры. Для настройки откроем необходимый интерфейс и сразу перейдем на закладку Wireless, на которой включим расширенный режим - Advanced Mode. Теперь перейдем к рассмотрению первого блока настроек, который отвечает за режим работы точки доступа и используемый частотный диапазон. Band - стандарты работы беспроводной сети. Для диапазона 2,4 ГГц доступны B, G и N, для 5 ГГц - A, N и AC. Стандарты A и B уже давно не встречаются, поэтому актуальными являются N и AC, также еще могут быть в эксплуатации устройства с адаптерами стандарта G. Поэтому для диапазона 2,4 ГГц оптимальным выбором будет 2GHz-only-N, для 5 ГГц - 5GHz-only-AC или 5GHz-N/AC, в зависимости от парка пользовательских устройств. Что касается устройств стандарта G, то если есть необходимость их использования, то более правильным выбором будет создание для них отдельной беспроводной сети.\nFrequency - частота канала. Можно, конечно, поставить в Auto и забыть, но в современных условиях это не самое лучшее решение. Давайте поглядим на пример эфирной обстановки в многоквартирном доме. Две наиболее мощные сети на первом канале в расчет не берем, это две наши собственные точки: домашняя и тестовая. Как видим, все не очень хорошо, если не сказать по-другому. Более-менее свободными являются края диапазона, при этом выбрать начало более предпочтительно, как по эфирной обстановке, так и по причинам совместимости, многие устройства, например, продукция Apple не работают выше 11-го канала.\nНу и не будем забывать о классике для 2,4 ГГц: 1 - 6 - 11 (частоты 2412 - 2437 - 2432), именно эти непересекающиеся каналы желательно выбирать для работы. И если даже от этого нам не станет лучше, то мы хотя бы не будем делать хуже всем остальным, хотя в том хаосе что творится в многоквартирных домах и офисных центрах это довольно слабый аргумент.\nНастоящая беда диапазона 2,4 ГГц - широкие каналы 40МГц, которые используют два смежных 20 МГц канала, а так как каналы сдвинуты относительно друг друга на 5 МГц, то получается сдвиг на 4 канала, т.е. 1+5 или 6+10. При этом основным является один 20 МГц канал, в котором передается вся служебная информация, а дополнительный 20 МГц канал используется только тогда, когда пропускной способности основного начинает не хватать. А если у вас основные абоненты умеют работать только с 20 МГц каналом (большинство мобильных устройств), но ваша точка работает на 40 МГц, то вы будете только ставить помехи соседям, без какой-либо выгоды для себя.\nТакже коротко коснемся помех. Разделяют внутриканальные и межканальные помехи. Внутриканальные помехи создают устройства, работающие на том же канале, не важно свои или чужие. Но здесь на помощь приходит стандарт 802.11, основной принцип которого - говорит только один, остальные молчат. Поэтому все работающие в диапазоне устройства, как свои, так и чужие, \u0026quot;договорятся\u0026quot; между собой и начнут делить канал \u0026quot;по справедливости\u0026quot;. Естественно, чем больше устройств работает в канале, тем меньшая полоса пропускания будет доступна каждому из них.\nКогда устройства работают на соседних каналах, то \u0026quot;договориться\u0026quot; они не смогут и будут представлять друг другу межканальную помеху. Чем выше уровень сигнала соседней сети, тем хуже будет соотношение сигнал/шум и меньше доступная канальная скорость. Для примера приведем простую аналогию, попытайтесь продиктовать комбинацию букв и цифр собеседнику в условиях плохой слышимости, вы либо будете произносить буквы гораздо медленнее и отчетливее, либо вообще перейдете на фонетический алфавит, т.е. вместо \u0026quot;эн\u0026quot; и \u0026quot;эм\u0026quot; будете произносить \u0026quot;Николай\u0026quot; и \u0026quot;Михаил\u0026quot;.\nЧто из этого следует? При выборе частоты следует выбирать часть диапазона с наиболее низким уровнем соседних сетей, а если приходится пересечься с широким каналом, то следует выбрать канал, совпадающий с его основной частотой. При нескольких равных вариантах следует выбрать частоту, на которой работает меньшее число клиентов. Все эти данные может предоставить любой сканер сети, в нашем случае это inSSIDer. В диапазоне 5 ГГц для абонентского оборудования доступны только непересекающиеся каналы. Кроме того, данный диапазон не является единой последовательностью частот, как 2,4 ГГц, а состоит из нескольких поддиапазонов: UNII-1, UNII-2, UNII-3 и ISM. Подробнее вы можете прочитать в данной статье. И имеющееся у вас клиентское оборудование может поддерживать только один из этих диапазонов. Доступные для работы непересекающиеся каналы выделены в Mikrotik жирным шрифтом. Channel Width - ширина канала. Самая неоднозначная опция. В диапазоне 2,4 ГГц доступны каналы шириной 20 и 40 МГц, а в диапазоне 5 ГГц к ним добавляются 80 и 160 МГц каналы. С одной стороны, каждый из нас хочет получить максимум за свои деньги, этим умело пользуются маркетологи. Вот вы приносите домой новый роутер с гордой надписью на коробке Wi-Fi 1300 Мбит/с, включаете его и радуетесь жизни. Но основные ваши абоненты - это мобильные устройства, им нужен только интернет, а скорость тарифа у вас не превышает 100 Мбит/с...\nПри таком раскладе широкий канал вам не нужен, но он включен в роутере по умолчанию и эффективно отравляет жизнь соседям, не принося вам никакой пользы. Но даже если у вас и появится оборудование способное эффективно работать с такими каналами, то вряд ли вы добьетесь заявленных скоростей. Почему? Да потому что со всех сторон у вас будут точно такие же соседи, чьи роутеры будут настроены на широкие каналы и будут эффективно ставить помехи друг другу.\nКак быть? Наше мнение - не стоит использовать широкие каналы без явной на то необходимости. Перед этим обязательно стоит оценить эфирную обстановку. В диапазоне 2,4 ГГц мы вообще не рекомендуем использовать широкий канал. Лучше иметь стабильные 75 Мбит/с, чем 150 Мбит/с время от времени. В диапазоне 5 ГГц можно использовать 40 МГц канал, если есть поддерживающие его устройства и эфирная обстановка это позволяет.\nХотя если вы настраиваете Wi-Fi в загородном доме, где нет соседних мешающих сетей и есть много абонентов умеющих работать с широким каналом (ноутбуки), то мы не видим препятствий для их использования даже в диапазоне 2,4 ГГц.\nПри выборе широкого канала вам нужно указать основную частоту, либо разрешить это делать автоматически. В Mikrotik используется следующая аббревиатура: буква C обозначает основной канал, е - дополнительные. Например, Ce обозначает, что дополнительный канал отстоит от основного вверх по диапазону (1+5, основной канал 1), eC - наоборот (5-1, основной канал 5). Не все варианты допустимы, если вы выберете основным первый канал, то единственное допустимое значение будет Ce, так как ниже по диапазону нет разрешенных к использованию частот. В диапазоне 5 ГГц вариантов будет больше, но принцип остается тем же. Следующая пара параметров отвечает за имя беспроводной сети и наименование точки доступа: Что такое SSID, надеемся, пояснять не надо. Это видимое имя беспроводной сети, под одним SSID может работать несколько точек доступа и клиент будет подключаться к той, у которой выше уровень сигнала. Radio Name - это передаваемое имя самой точки доступа, по умолчанию оно формируется на основе MAC-адреса, но если у вас несколько точек, то мы бы порекомендовали сменить его на что-то более понятное, скажем HOME для точки в доме и OUTDOOR для точки на улице.\nСледующий блок настроек достаточно разноплановый, отражающий самые различные параметры работы точки доступа. Scan List - диапазон частот, в котором Mikrotik будет проводить сканирование эфирной обстановки и мониторинг загрузки каналов. По умолчанию - весь доступный согласно региональным настройкам диапазон, вручную можно указать отдельную частоту или диапазон частот, либо список каналов созданный в Wireless - Channels.\nЕще раз обратим ваше внимание, данная настройка никак не ограничивает список доступных частот и каналов, а только ограничивает диапазон, используемый утилитами сканирования и мониторинга. Skip DFS Channels - имеет значение только в диапазоне 5 ГГц, так как он пересекается с частотами используемыми военными, авиационными и погодными радарами. Согласно стандарту при появлении сигнала радара точка доступа обязана уйти с этой частоты. Правило действует при работе в диапазоне частот 5250 - 5710 ГГц (52-144 каналы), в России разрешены к использованию два поддиапазона: 5250 - 5330 ГГц (52 - 64 каналы) и 5650 - 5710 ГГц (132 - 144 каналы). Перед началом работы на этих частотах точка должна в течении минуты слушать эфир, чтобы убедиться в отсутствии сигналов радаров.\nВ диапазоне 5600-5650 ГГц (каналы 120, 124, 128) на которых работают погодные радары аэродромов (в России данные частоты к использованию запрещены) точка должна слушать перед началом работы в течении 10 минут.\nДанная настройка отвечает за сканирование и автоматический выбор этих частот, доступны опции: disabled - не пропускать, all - пропускать все DFS-частоты и 10 min CAC - пропускать только частоты погодных радаров.\nСледует понимать, что данная опция никак не влияет на работу точки доступа на DFS-частотах: точка всегда будет уходить с частот DFS при появлении сигнала радара.\nWireless Protocol - задает набор используемых беспроводных протоколов, кроме стандартного 802.11 в списке присутствуют проприетарные протоколы Mikrotik, для обычной точки доступа они не нужны, поэтому выбираем только 802.11.\nSecurity Profile - профиль безопасности сети, который задается в Wireless - Security Profiles, в настоящий момент безопасным может считаться только протокол WPA2 cAES шифрованием, режим работы Mode - dynamic-keys. WPS Mode - режим работы одноименного протокола, отвечающего за автоматическую настройку беспроводных клиентов. Для этого может использоваться физическая кнопка - push button, либо виртуальная - virtual push button only. Физическая кнопка подразумевает доступ к устройству, виртуальная нажимается в интерфейсе Winbox. Данный протокол может быть полезен для настройки различных периферийных устройств, например, принтеров или специализированного оборудования, но также он известен своими уязвимостями, поэтому лучше всего держать его выключенным.\nНиже расположен достаточно важный блок настроек, который многие предпочитают сознательно игнорировать и совершенно зря. Frequency Mode - порядок использования частотного диапазона. Допустимы опции: regulatory-domain - ограничение доступных частот и максимальной мощности передатчика в соответствии с региональными настройками, manual-txpower - тоже самое, но без ограничения мощности передатчика, superchannel - тестовый режим без ограничений. Правильным выбором для точки доступа будет regulatory-domain.\nCountry - региональные настройки, для России актуальным является выбор russia3, который содержит актуальные частоты для диапазонов 2,4 и 5 ГГц.\nInstallation - место установки точки доступа, имеет значение для тех стран, в которых набор частот и допустимая мощность для применения внутри и снаружи помещений различается, при выборе России ни на что не влияет.\nИ наконец добираемся до последних опций на данной закладке: WMM Support - включает поддержку Wi-Fi Multimedia, если вы используете потоковое вещание - его следует включить. Общая рекомендация: дома включаем, в офисе выключаем, так как при включенной поддержке WMM занять весь канал может один клиент.\nBridge Mode - режим прозрачного моста точки доступа, оставляем включенным.\nОпция Default Authenticate позволяет клиентам подключаться к точке доступа, если ее снять, то подключиться смогут только те клиенты, которые будут заранее включены в Access List. Default Forward разрешает беспроводным клиентам устанавливать связь между собой, рекомендуется снимать в гостевых и публичных сетях. Hide SSID отключает трансляцию SSID точкой доступа, для подключения такой сети SSID потребуется ввести вручную, однако это не сделает вашу сеть скрытой, она будет легко обнаружена любым сканером.\nMulticast Helper - механизм работы с мультикастовым потоком. Значения disabled или default оставляют мультикаст без изменений, full - преобразует мультикаст в юникаст и отправляет клиентам в виде одноадресной рассылки. Рекомендуется к включению при использовании IPTV.\nMulticast Buffering - буферизация широковещательных пакетов для устройств, которые могут отключать беспроводной модуль в целях энергосбережения.\nKeepalive Frames - еще один механизм удержания клиентов на связи, если клиент не поддерживает связь более 20 секунд, то ему отправляется специальный пакет.\nИспользование трех последних опций имеет смысл только при включенной поддержке WMM и наличию потокового вещания (IPTV).\nЗакладка Data Rates содержит канальные скорости для В и A/G режимов, где Basic Rates - скорости передачи служебного трафика, а Supported Rates - канальные скорости, поддерживаемые беспроводным интерфейсом. Особой необходимости что-то менять здесь нет. Хотя существуют рекомендации отключить скорости B-режимов, однако мы не видим в этом особого практического смысла. Аналогичная информация для N и AC режимов приведена на вкладке HT MCS, здесь указаны поддерживаемые системой индексы модуляции и схемы кодирования (MCS). Индекс представляет собой простое число, которое соответствует определенному сочетанию количества пространственных потоков, вида модуляции и схемы кодирования. Чем больше число в индексе, тем более высокую канальную скорость можно достичь. Полностью ознакомиться со списком индексов MCS можно здесь. Что-либо изменять при настройке точки доступа здесь не требуется, особенно если вы не уверены в том, что вы делаете и что хотите получить. На практике иногда бывает необходимость отключить скоростные режимы в тяжелой эфирной обстановке, чтобы получить более стабильную связь, но на меньших скоростях.\nЕсть и еще одна особенность, данная закладка показывает индексы поддерживаемые RouterOS, а не конкретным радиомодулем. Скриншот выше сделан на роутере hAP, который имеет два радиоканала и просто физически не может поддерживать индексы MCS 16 - 23, которые подразумевают три пространственных потока.\nСделаем еще одно небольшое отступление. Для передачи цифрового сигнала в аналоговой среде используется модуляция, когда несущий сигнал определенным образом изменяется в зависимости от передаваемой информации. В современных системах беспроводной связи используется фазовая модуляция, которая основана на сдвиге фазы несущего аналогового сигнала. Индекс MCS 0 использует достаточно простую модуляцию BPSK, которая подразумевает только два возможных состояния сигнала. Уже MCS 1 использует QPSK с 4 состояниями, MCS 3 - 16-QAM, а MCS 5 - 64-QAM с 16 и 64 состояниями соответственно.\nНо чем большее количество состояний может иметь сигнал, тем ниже его помехоустойчивость. Различить два состояния можно даже при очень сильном уровне помех, а вот 64 состояния требуют достаточно высокого соотношения сигнал/шум. Таким образом, чем хуже эфирная обстановка, тем более простые способы модуляции можно использовать и тем ниже будет канальная скорость.\nТеперь вернемся немного назад, на закладку Advanced, где сосредоточены опции для тонкой настройки работы точки доступа. Max Station Count - максимальное количество подключений, оставляем по умолчанию. Distance - дистанция беспроводного соединения, допустимые значения: dynamic - автонастройка, indoors - работа внутри помещения, также можно ввести в это поле расстояние в километрах. Для точки доступа выбираем dynamic или indoors.\nHw. Protection Mode - защита от скрытого узла. Стандарт предусматривает, что клиентские устройства сами договариваются между собой, когда вести передачу, если два устройства передают одновременно - возникает коллизия. При этом может возникнуть ситуация, когда два устройства видят точку доступа, но не видят друг друга, при этом каждый их них станет для другого скрытым узлом. При выборе настройки rts cts точка доступа сама будет определять очередность передачи клиентами, что несколько снизит скорость и увеличит нагрузку.\nAdaptive Noise Immunity -режим адаптивной подстройки приемника, позволяет отфильтровывать некоторые шумы, например, собственный отраженный сигнал. Ставим значение ap and client mode.\nHw. Retries - достаточно интересный и важный параметр - количество повторных посылок кадра в случае сбоя передачи, после чего скорость будет понижена и кадр будет отправлен вновь. После трех неудачных попыток отправить кадр на самой низкой скорости передача будет остановлена на время, указанное в опции On Fail Retry Time. Кадр передается повторно до тех пор, пока не будет успешно доставлен, либо клиент не отключится по таймауту, который задан в опции Disconnect Timeout, либо не истечет время жизни кадра, которое указано в параметре Frame Lifetime.\nЗначения Hw. Retries могут находиться в диапазоне от 0 до 15. Значения 0-5 обеспечивают наиболее высокую скорость передачи, но могут возникнуть проблемы со стабильностью связи у клиентов с неблагоприятной эфирной обстановкой. Если же установить значения 10-15, то это повысит стабильность связи, но ценой понижения скорости. Значения между ними - оптимальный баланс скорости и стабильности. По умолчанию - 7.\nСледующие две закладки, которые нельзя рассматривать отдельно друг от друга - это Tx Power и Current Tx Power. Первая из них управляет мощностью передатчика, вторая показывает реальную излучаемую мощность для разных канальных скоростей. Напомним, что предельно допустимая мощность в России составляет 100 мВт (20 dBm) для диапазона 2,4 ГГц и 200 мВт (23 dBm) для диапазона 5 ГГц.\nПри установке Tx Power Mode в default устройство применит заранее заданные значения мощностей передатчика, специально подобранные для используемого чипа. Если Frequency Mode было выставлено в regulatory-domain, то произойдет ограничение мощности согласно региональным стандартам. Обратите внимание на следующий момент - для высоких канальных скоростей точка доступа снижает излучаемую мощность. Это может показаться странным, но вспомните, о чем мы говорили выше: высокие скорости подразумевают более сложную модуляцию и более требовательны к соотношению сигнал/шум. Если приемник точки не обладает необходимой чувствительностью, то мощность на высоких скоростях следует снизить, чтобы ограничить зону распространения зоной уверенного приема. В противном случае стабильной связи достигнуть не удастся.\nОтсюда же проистекает рекомендация снижать мощность точки доступа для обеспечения лучшего качества работы сети. И, наоборот, увеличение мощности точки может только ухудшить ситуацию. Дело в том, что параметры связи задает клиентское устройство, а не точка доступа. И если клиент видит хороший уровень сигнала от точки, то он выберет режим с высокой канальной скоростью, но в тоже время ни его передатчик, ни приемник точки не смогут обеспечить требуемого соотношения сигнал/шум и такая связь будет нестабильной. Внешне это будет проявляться как хороший уровень приема и высокая канальная скорость в свойствах соединения, но стабильной связи при этом не будет.\nПри сочетании Tx Power Mode - default и Frequency Mode - manual-txpower ограничения мощности производиться не будет, такой режим работы допускать не следует. Как видно ниже, в отдельных режимах излучаемая мощность точки составит 22 dBm или 158 мВт, что в полтора раза превышает допустимую норму. Режим Tx Power Mode - all rates fixed подразумевает единую мощность для всех скоростей, которая задается пользователем вручную. Данный режим имеет свои особенности, которые зависят от числа высокочастотных каналов (антенн), используемая нами hAP имеет два таких канала. В N-режиме точка доступа увеличивает излучаемую мощность на 3 dBm при двух каналах и на 5 dBm при трех. Поэтому на скриншоте выше мы установили мощность передатчика в 17 dBm, что будет соответствовать излучаемой мощности 20 dBm.\nВ AC-режиме точка наоборот будет снижать мощность на 3, 5 и 6 dBm при двух, трех и четырех каналах передачи, поэтому излучаемая мощность всегда будет равна заданной в параметре Tx Power.\nПри выборе Tx Power Mode - manual вы можете выставить мощность для каждого режима передачи самостоятельно, при этом не забывайте о том, что было сказано выше и не забывайте контролировать реальную излучаемую мощность на закладке Current Tx Power. На закладке Status можно увидеть реальные параметры работы точки доступа. Channel показывает частоту и режим работы, ниже можно увидеть количество клиентов.Overall Tx CCQ - средний уровень качества канала на передачу, в данном случае выводится усредненное значение по всем клиентам. Noise Floor - уровень шума на данной частоте, нормальным считается значение от -95 dB и ниже. Если значение шума превышает -90 dB, то следует сменить частоту или уменьшить ширину канала.\n","id":"5c6a292195898bd8f4ca588d1d7e24aa","link":"https://interface31.ru/post/rasshirennaya-nastroyka-wi-fi-na-routerah-mikrotik/","section":"post","tags":["MikroTik","Wi-Fi","Сетевые технологии"],"title":"Расширенная настройка Wi-Fi на роутерах Mikrotik. Режим точки доступа"},{"body":"В нашей прошлой статье мы рассмотрели теоретические основы LVM, в объеме минимально необходимом для начала работы с этой технологией. Сегодня мы перейдем к практическим сценариям и расскажем, как начать использовать LVM и какие задачи можно решать с его помощью. Основной упор при этом будет сделан на базовые действия с привлечением изложенного в предыдущей части теоретического материала, чтобы читатель не только изучил необходимые команды, но и представлял, что именно и на каком уровне абстракции они делают.\nНастраиваем LVM при установке системы Самый простой способ начать использовать LVM - это настроить его при установке системы, для этого следует выбрать соответствующий пункт в меню разметки диска: Дальнейшие действия при автоматической разметке ничем не отличаются от обычной установки, и мы не будем заострять на них внимания.\nВажно! При ручном разбиении диска следует учесть следующий момент: загрузочный раздел /boot или EFI-раздел должны располагаться за пределами LVM-разметки.\nПоэтому сразу создадим в самом начале диска первичный раздел размером не менее 250 МБ (а лучше 500 МБ) с файловой системой ext2 и точкой монтирования /boot, не забываем отметить раздел как загрузочный. Для EFI разметки следует создать первичный радел размером 499 МБ с типом системный раздел EFI, метка загрузочный будет установлена автоматически: Создав загрузочный раздел можно приступать к настройке LVM, для этого выберите Настройка менеджера логических томов (LVM): В котором сразу создаем группу томов (VG), рекомендуем давать группам томов и логическим томам понятные имена с использованием сокращений VG и LV, чтобы в дальнейшем было понятно, с чем именно вы имеете дело. В качестве устройства для группы томов указываем доступное свободное место: Затем создаем нужное количество логических томов, в нашем случае мы сделали тома для корневого раздела и домашней директории: После создания структуры LVM мы возвращаемся в меню разметки дисков и указываем для каждого логического тома используемую файловую систему и точку монтирования: Далее установка продолжается обычным образом, и мы не будем на этом останавливаться.\nНиже мы будем рассматривать разметку, созданную автоматически с выделением /home в отдельный раздел.\nСразу после загрузки посмотрим структуру блочных устройств в системе, для этого воспользуемся командой:\n1lsblk В выводе мы видим загрузочный раздел sda1 размером в 243 МБ, расширенный раздел sda2 в котором располагается логический раздел sda5 используемый под LVM. Также видим три логических тома: root, swap_1 и home. Обратите внимание, что при использовании MBR-разметки система всегда использует расширенный раздел, размещая в нем все остальные разделы, кроме первого. Это связано с ограничением MBR на 4 первичных раздела. При использовании EFI-разметки расширенный раздел не создается и для LVM был бы использован сразу sda2.\nТеперь посмотрим информацию об элементах LVM, начнем с физических томов (PV):\n1pvdisplay Указанная команда выведет информацию обо всех физических томах, здесь мы увидим используемое устройство или раздел, группу томов, которую входит физический том, его размер, размер физического экстента, общее количество экстентов, а также количество используемых (отображенных) и свободных. Вас может удивить необычный размер физического тома \u0026lt;19,76 ГБ, с припиской о неиспользуемых 2 МБ. Но в этом нет ничего необычного, если вспомнить, что физический том в LVM - это набор физических экстентов указанного размера и использовать пространство меньше размера экстента не представляется возможным.\nДля получения информации о группах томов выполните:\n1vgdisplay Здесь мы увидим немного больше информации, кроме размера группы томов и количества физических экстентов в ее составе также указано количество логических и физических томов в группе. И, наконец, для получения информации о логических томах выполните:\n1lvdisplay Кроме уже привычной информации об имени тома, группы томов, в которую он входит, количестве логических экстентов и размере приведены данные о количестве сегментов. Как мы помним, логический том может отображаться на группы физических экстентов, расположенных на разных томах или на разных участках одного тома. Для получения краткой информации о томах LVM можно использовать команды:\n1pvs | vgs | lvs Обращаться к LVM томам можно двумя способами, самый простой по имени устройства группы томов - логического тома, например:\n1/dev/debian-lvm-vg/home Либо через виртуальные устройства:\n1/dev/mapper/debian--lvm--vg-home Обратите внимание, что все одиночные тире в именах устройств заменяются на двойные, а одиночные служат разделителями.\nНастраиваем LVM в установленной системе Перед тем, как производить любые действия с дисками и разделами необходимо получить актуальную информацию о блочных устройствах системы. Выполним уже знакомую команду:\n1lsblk Не ленитесь делать это всегда, как бы вы не были \u0026quot;уверены\u0026quot; в том, что точно знаете какие диски вам нужны. Цена ошибки слишком высока. В нашем случае в системе присутствуют два неразмеченных диска sdb и sdd, которые мы будем использовать для LVM. Прежде всего создадим физические тома, будьте внимательны, это действие уничтожит существующую разметку и все данные на дисках будут потеряны:\n1pvcreate /dev/sdb /dev/sdd Затем создадим группу томов:\n1vgcreate andrey-lvm-vg /dev/sdb /dev/sdd Синтаксис команды очень прост: указываем имя группы томов и входящие в нее диски.\nТеперь можно создавать логические тома. Начнем с самых простых - томов с линейным отображением. Это можно сделать разными методами, например, указав желаемый размер тома:\n1lvcreate -n myvolume1 -L 10G andrey-lvm-vg Данная команда создаст логический том с именем myvolume1 (имя указывается в опции -n) и размером в 10 ГБ из экстентов группы томов andrey-lvm-vg.\nНо указывать размеры в МБ и ГБ не всегда удобно, как мы помним, в основе LVM лежат экстенты и точный размер в байтах не всегда известен. Поэтому можно указывать относительные значения в процентах от емкости группы томов:\n1lvcreate -n myvolume1 -l 60%VG andrey-lvm-vg В нашем случае будет создан логический том размером в 60% от общего размера группы томов. Также можно указывать относительное значение свободного пространства в процентах:\n1lvcreate -n myvolume2 -l 100%FREE andrey-lvm-vg Приведенная выше команда создала новый логический том myvolume2 на оставшемся свободном пространстве в группе томов andrey-lvm-vg.\nПоставим более сложную задачу - создадим том с чередующимся отображением:\n1lvcreate -n myvolume3 -l 100%FREE -i 2 andrey-lvm-vg Как видим, все оказалось просто, за количество полос чередования отвечает опция**-i**, но помните, что количество полос не должно превышать количество дисков в группе томов, а свободного пространства на них должно хватать для создания логического тома выбранного размера.\nПосмотрим информацию о логическом томе, в частности нас будут интересовать сведения о сегментах. Для получения этой информации запустите команду lvdisplay с ключом -m. Данный том состоит из единственного сегмента занимающего логические экстенты от 0 до 10237, которые отображаются в две полосы чередования с размером блока чередования в 64 КБ, этот сегмент отображается на физические экстенты 0 - 5118 каждого из физических томов.\nПри такой структуре данные будут последовательно и равномерно заполнять оба физических диска, что рекомендуется для SSD в целях не допустить полного заполнения накопителей и выравнивания нагрузки на них. Но если мы расширим данный логический том на еще два диска, то получим совершенно иную картину: Теперь у нас имеется два сегмента с набором логических экстентов 0 - 10237 и 10238 - 20475, каждый из которых чередуется в две полосы на дисках sdb, sdd и sde, sdf. Так как логический том выглядит для системы единым пространством, то экстенты будут заполняться преимущественно последовательно и ни о каком выравнивании нагрузки и равномерном заполнении дисков речи не идет, поэтому для SSD таким образом расширять тома не следует.\nСозданные разделы следует отформатировать и смонтировать в нужное место файловой системы. Для форматирования в ext4 воспользуемся командой:\n1mkfs.ext4 /dev/andrey-lvm-vg/myvolume1 После чего раздел можно монтировать, если точка монтирования не существует, то ее нужно создать. Допустим мы хотим смонтировать наш раздел в**/mydata**, поэтому предварительно создаем каталог:\n1mkdir /mydata Для постоянного монтирования раздела внесем соответствующую запись в /etc/fstab, это можно сделать по имени устройства:\n1/dev/mapper/andrey--lvm--vg-myvolume1 /mydata ext4 defaults 0 2 или\n1/dev/andrey-lvm-vg/myvolume1 /mydata ext4 defaults 0 2 Обе записи при этом будут являться верными. Также можно сделать по-современному, указав тома по UUID, для этого сначала узнаем уникальный идентификатор раздела командой:\n1blkid /dev/andrey-lvm-vg/myvolume1 Затем внесем в /etc/fstab строку:\n1UUID=cc0b7e49-3381-4dfb-9772-3184c7026bd8 /mydata ext4 defaults 0 2 Чтобы смонтировать разделы без перезагрузки выполним:\n1mount -a При отключении или удалении раздела не забудьте убрать соответствующую запись из fstab.\nИзменение размеров логических томов LVM Вернемся к конфигурации, созданной при автоматической разметке диска, которую мы рассматривали в начале статьи. Система создала три логических тома: для корневой ФС, подкачки и /home. И вот свободного места в домашней директории стало недостаточно, после чего мы купили и добавили в систему еще один жесткий диск - sdb. Создадим на базе нового диска физический том:\n1pvcreate /dev/sdb И расширим на него существующую группу томов:\n1vgextend debian-lvm-vg /dev/sdb Теперь можно расширять логический том:\n1lvextend -l +50%FREE /dev/debian-lvm-vg/home В нашем примере мы расширили его на 50% свободного пространства в группе томов. Если посмотреть информацию о логическом томе, то мы увидим, что он теперь состоит из двух сегментов, располагающихся на разных физических дисках. После чего следует расширить файловую систему, чтобы она занимала все пространство тома, для семейства ext воспользуйтесь командой:\n1resize2fs /dev/debian-lvm-vg/home Часто возникает и обратная необходимость - перераспределить место между разделами, уменьшив размер одного и увеличив другой. На первый взгляд - ничего сложного, но эта операция таит в себе подводные камни. Структуру LVM можно представить в виде матрешки: VG содержит внутри LV, они в свою очередь файловую систему. Поэтому операцию по уменьшению размера следует производить последовательно, от внутренних структур к внешним. Т.е. сначала мы должны уменьшить размер файловой системы, а только затем логического тома, в противном случае файловая система будет разрушена, а данные потеряны.\nВ данном случае лучше всего оперировать абсолютными значениями в байтах, нежели относительными в процентах, так как при малейшей ошибке вы рискуете потерять все свои данные. Прежде всего уменьшим размер файловой системы раздела /home, в нашем случае до 10 ГБ:\n1resize2fs /dev/debian-lvm-vg/home 10G Затем уменьшим до такого же размера логический том:\n1lvreduce -L 10G /dev/debian-lvm-vg/home Внимание! Обратите внимание! В первую очередь всегда уменьшается размер файловой системы, а только затем содержащего ее логического тома, при этом размер тома должен быть больше или равен размеру содержащейся в нем файловой системы. В противном случае произойдет ее разрушение с потерей данных.\nВ некоторых случаях требуется расширить логический том на вполне определенные физические диски, для этого следует явно их указать в команде расширения:\n1lvextend -l +5118 /dev/debian-lvm-vg/home /dev/sdb Указанная команда расширит логический том home на 5118 экстентов с физического тома**/dev/sdb**, перед выполнением команды следует убедиться, что выбранный том содержит нужное количество свободного пространства, поэтому наиболее удобно использовать свободные экстенты, точное количество которых мы всегда можем узнать получив информацию об указанном физическом томе.\nПеремещение логических томов LVM Еще одна распространенная задача - перемещение томов между физическими дисками. В предыдущем разделе мы расширили логический том home на добавленный нами в LVM диск sdb, при этом его часть так и осталась на sda5. Поставим себе теперь иную задачу: полностью переместить домашнюю директорию на новый диск sdc, а освободившееся пространство на sda5 отдать корневому разделу системы.\nПрежде всего создадим на новом диске физический том и добавим его в нужную группу томов:\n1pvcreate /dev/sdc 2vgextend debian-lvm-vg /dev/sdc Затем переместим экстенты логического тома home на новый диск. Так как sdb не содержит никаких иных логических томов, кроме home, то команда будет проста:\n1pvmove /dev/sdb /dev/sdc Она переместит все физические экстенты диска sdb на диск sdc. Для sda5, который содержит три логических тома такой фокус не пройдет, поэтому добавим конкретики:\n1pvmove -n home /dev/sda5 /dev/sdc Эта команда переместит все физические экстенты тома с именем home с диска sda5 на диск sdc.\nПосмотрим информацию о логическом томе home:\n1lvdisplay -m /dev/debian-lvm-vg/home Как можно видеть из вывода он теперь содержит единственный сегмент, который расположен на диске sdc. Отлично, теперь можно расширить корневой раздел. Но нам следует использовать только пространство sda5 и желательно использовать его по максимуму. Как мы уже говорили выше, лучше всего опираться на число свободных экстентов. Чтобы узнать это значение выполним команду:\n1pvdisplay /dev/sda5 В выводе нас интересует единственный параметр - количество свободных экстентов: Это число, в отличии от размера в байтах, либо процентов, является абсолютным, и мы можем смело его использовать:\n1lvextend -l +2874 /dev/debian-lvm-vg/root /dev/sda5 Данная команда расширит логический том root на 2874 физических экстента принадлежащих разделу sda5. Затем не забудем расширить файловую систему:\n1resize2fs /dev/debian-lvm-vg/root А теперь посмотрим информацию о логическом томе: Теперь корневой раздел состоит из двух сегментов, расположенных в начале и конце физического тома. Почему так? Вернемся в самое начало статьи и вспомним, что автоматически группа томов была размечена на следующие разделы: root, swap_1 и home. Домашний раздел мы переместили, но swap остался на своем месте и теперь root находится по обе стороны от него, если смотреть на физическом уровне, то мы получим схему root - swap_1 - root.\nДля чего мы заостряем внимание на этих моментах? С практической точки зрения не так уж и важно, где именно лежат ваши данные, но это важно для понимания работы LVM, чтобы он перестал быть для вас черным ящиком, и вы могли на практике получить подтверждение теоретическим знаниям из предыдущей статьи.\nУдаление дисков из LVM LVM - это очень гибкая система, которая позволяет как добавлять, так и удалять диски. Такая необходимость не всегда связано с отказами, чаще встречаются ситуации, когда мы установили в систему новые, более емкие диски, а старые хотим использовать где-нибудь в другом месте.\nУдаляемый диск не должен содержать логических томов, их следует переместить, либо удалить. Это можно сделать командой\n1lvremove /dev/andrey-lvm-vg/myvolume1 Которая удалит логический том myvolume1 из группы томов andrey-lvm-vg.\nВ приведенном выше примере у нас освободился диск sdb в группе томов debian-lvm-vg. Удалим его из группы томов:\n1vgreduce debian-lvm-vg /dev/sdb Ну и наконец удалим LVM-разметку с указанного диска:\n1pvremove /dev/sdb После чего диск можно изъять из системы и использовать по собственному усмотрению. Также можно удалив физический том из одной группы томов, включить в другую, таким образом перераспределив имеющиеся аппаратные ресурсы.\nЗаключение Несмотря на то, что в данной статье мы коснулись всего лишь основ управления томами, перед нами открылись богатые возможности LVM, которая в умелых руках предоставляет весьма широкие возможности по управлению дисковой подсистемой, позволяя быстро и без простоя системы изменять ее конфигурацию согласно текущим потребностям.\n","id":"46d49c58358df55945c7fb70ffc5acda","link":"https://interface31.ru/post/lvm-dlya-nachinayushhih-chast-2-osnovy-upravleniya-tomami/","section":"post","tags":["Debian","Linux","LVM","Ubuntu","Ubuntu Server"],"title":"LVM для начинающих. Часть 2. Основы управления томами"},{"body":"Загрузка с флеш-накопителей уже давно стала привычным делом, а найти классический оптический привод с каждым днем становится все труднее и если раньше администратора можно было увидеть со стопкой дисков, то сегодня у него будет россыпь флешек. Смена одного типа носителя на другой не решила главной задачи - мультизагрузочности, которую по-прежнему приходится решать с помощью аппаратных или программных средств. Сегодня мы рассмотрим одно из них - Ventoy, которое позволяет сделать из вашей флешки универсальное мультизагрузочное устройство.\nУже довольно давно в IT-среде заслуженной популярностью пользуются внешние контейнеры Zalman / IODD, позволяющие просто скопировать на них нужные ISO-образы и затем просто выбирать нужный. Устройства без сомнения очень нужные и полезные, в первую очередь тем, что умеют эмулировать внешний ODD-привод, это часто пригождается если устройство не поддерживает загрузку с флеш-накопителя. Но за все это приходится платить достаточно высокую цену, стоимость далеко не самой лучшей модели Zalman ZM-VE350 составляет около 4000 руб.\nНо в большинстве случаев многие возможности таких контейнеров излишни, если компьютер поддерживает загрузку с USB-накопителей, то получить аналог такого устройства можно при помощи обычной флешки нужного объема, а поможет нам в этом программное обеспечение с открытым исходным кодом - Ventoy. Принцип действия остается неизменным - просто копируем на накопитель нужные ISO-образы.\nДля создания такого накопителя следует запустить установщик Ventoy, который доступен как для Windows, так и для Linux: В основной раздел нам потребуется скопировать все необходимые ISO-образы. Их можно располагать как в корне, так и во вложенных директориях, Ventoy выполняет рекурсивное сканирование и подключает все найденные образы. Также никто не мешает хранить на накопителе иные пользовательские данные.\nПри загрузке с устройства вы увидите меню с перечислением всех найденных образов: Затем мы без каких-либо проблем загрузились как с Windows, так и c Linux образов. Windows 7: Windows 10: Debian 10: Единственное, на что следует обратить внимание для комфортной работы - это скорость чтения флешки.\nНадеемся, что эта небольшая утилита окажется вам полезна и позволит обойтись в повседневной деятельности без дорогостоящих устройств.\n","id":"0469f5fc86a7527678ab20628fc34294","link":"https://interface31.ru/post/adminu-na-zametku-27-sozdaem-multizagruzochnuyu-fleshku-pri-pomoshhi-ventoy/","section":"post","tags":["ISO","Ventoy"],"title":"Админу на заметку - 28. Создаем мультизагрузочную флешку с поддержкой ISO при помощи Ventoy"},{"body":"Казалось бы, что может быть более неизменным, нежели Командная строка Windows? Это приложение, словно живое ископаемое, кажется, помнит времена первых версий Windows NT и Windows 95, возможности тоже остались где-то там, в далеких и светлых днях. То, что терминал нужно менять было понятно еще давно, но не было понятно как. Ведь терминальные приложения в современных ОС это не только командная строка, но и PowerShell, и консоли WSL. Но Microsoft отлично справилась с этой проблемой, новое приложение Windows Terminal способно не только объединить все в одном месте, но и существенно расширить возможности привычных оболочек.\nВзаимоотношения Windоws и командной строки долгое время были достаточно прохладными. Основная парадигма управления системой строилась вокруг графических инструментов и мыши, а командная строка рассматривалась как дополнительный атрибут и инструмент восстановления. Ни о каком полноценном управлении системой через терминал речи не шло, даже для автоматизации предлагался отдельный скриптовый язык VBScript.\nВсе стало меняться с выходом PowerShell и появлением Core-версий Windows - постепенно Microsoft стала осознавать важность консольного инструмента для управления системой, и чаша весов снова качнулась в другую сторону, сегодня ряд продуктов не имеют полноценных графических инструментов настройки, зато предлагают для этого PowerShell. Подсистема Windows для Linux также не предполагает никаких графических инструментов, снова напоминая о том, что терминал не пережиток прошлого, а мощный и удобный инструмент.\nWindows Terminal - это современное приложение, демонстрирующее новый взгляд Microsoft на старые вещи, причем не только новый, но и достаточно неожиданный. Это свободное ПО под лицензией MIT исходные коды которого расположены на GitHub и принять участие в его разработке может каждый. Как видим, времена действительно меняются, и компания, еще недавно называвшая открытое ПО \u0026quot;раковой опухолью\u0026quot; теперь выпускает под открытой лицензией один из основных инструментов администрирования.\nПродукт доступен в двух версиях: стабильной Windows Terminal и версии для разработчиков и инсайдеров Windows Terminal Preview. Последняя получает все новые функции непосредственно после их разработки и является наиболее интересной и в дальнейшем мы будем рассматривать именно ее.\nРекомендованным способом получения приложения является Microsoft Store, но также возможны и альтернативные методы установки, более подробно о них можно узнать на странице GitHub. После установки приложении автоматически добавит профили для всех установленных в системе консольных приложений Windows и WSL, а также будет их автоматически регистрировать при добавлении в систему, например, если вы установите новую версию PowerShell или новый экземпляр Linux в WSL. Кроме того, отдельно добавляется профиль для Azure Cloud Shell. Профилем по умолчанию является встроенный в систему Windows Power Shell. Приятные новшества радуют с первых секунд работы с новым терминалом. Во-первых, это вкладки, теперь ничего не мешает удобно организовать рабочее пространство и не путаться в мешанине окон. Во-вторых - это рендеринг текста поддержкой ускорения на GPU, что дает отличную прорисовку шрифтов и делает текст визуально привлекательным. К сожалению графической оболочки для настройки терминала пока нет, при выборе пункта Параметры будет открыт JSON-файл с настройками, однако это не должно пугать любителя командной строки. В конфигурационном файле сначала идут глобальные параметры, а затем описания профилей. Структура достаточно простая и не должна вызвать особых сложностей.\nПрежде всего переопределим командную оболочку по умолчанию. Для этого найдите guid нужного профиля и скопируйте его в опцию defaultProfile:\n1defaultProfile\u0026#34;: \u0026#34;{574e775e-4f2a-5b96-acle-a2962a402336}\u0026#34;, Затем включим привычное Linux-пользователям поведение, когда текст копируется при его выделении и потом может быть вставлен правым кликом мыши:\n1copyOnSelect\u0026#34;: true, Перейдем к самим профилям. Их настройки достаточно просты и очевидны: это guid, наименование, источник или командная строка запуска и видимость. Если вы не хотите видеть профиль в списке выбора, то просто установите опцию hidden в true, мы таким образом скрыли оболочку Azure.\n1hidden\u0026#34;: true, Все изменения применяются налету, перезапускать терминал не нужно.\nЕще одной долгожданной особенностью являются панели, позволяющие разделить окно терминала на несколько областей. Для разделения по горизонтали нажмите Alt+Shift++, для разделения по вертикали Alt+Shift+-, чтобы закрыть панель используйте Ctrl+Shift+W. При этом в новой панели будет открыта командная оболочка по умолчанию. Чтобы открыть в панели другой профиль просто выберите его из списка с зажатой клавишей Alt. Для дублирования текущего профиля нажмите Alt+Shift+D. В заголовке вкладки будет отображаться наименование текущей панели. Для изменения размера панелей используйте клавиши со стрелками одновременно зажав Alt + Shift, при этом будет меняться размер активной панели. Терминал поддерживает практически полную кастомизацию. Можно изменять цвет, шрифт, фоновое изображение, прозрачность панелей, задавать иконки, также поддерживаются темы, включающие множество настроек для различных вариантов отображения. Мы не будем углубляться так далеко, большее количество настроек можно найти в документации: https://docs.microsoft.com/ru-ru/windows/terminal/get-started.\nНо некоторые настройки мы все-же сделаем. По умолчанию все панели выглядят одинаково, что может приводить к некоторой путанице, поэтому есть смысл изменить цвет фона, чтобы быстро понимать, где какая консоль запущена, для этого добавьте в профиль опцию background с шестнадцатеричным кодом цвета, например, \u0026quot;родной\u0026quot; цвет для PowerShell:\n1\u0026#34;background\u0026#34;: \u0026#34;#012456\u0026#34;, Мы указали для разных консолей привычные цвета и сразу стало гораздо удобнее: Также очень легко можно создавать свои профили. Допустим мы хотим добавить в терминал подключение по SSH к одному из своих Linux-серверов. Прежде всего для нового профиля нужно получить guid, для этого в среде PowerShell выполните:\n1[guid]::NewGuid() Теперь добавим в конфигурационный файл секцию нового профиля:\n1{ 2 \u0026#34;guid\u0026#34;: \u0026#34;{437dc877-4e9d-405a-8c86-837093861986}\u0026#34;, 3 \u0026#34;name\u0026#34;: \u0026#34;Debian 1C Server\u0026#34;, 4 \u0026#34;commandline\u0026#34;: \u0026#34;ssh andrey@192.168.233.141\u0026#34;, 5 \u0026#34;icon\u0026#34;: \u0026#34;ms-appdata:///roaming/icons8-console-32.png\u0026#34;, 6 \u0026#34;hidden\u0026#34;: false 7 }, Синтаксис довольно прост, но поясним некоторые параметры. Опция commandline указывает строку запуска, а в опции icon мы задали индивидуальную иконку профиля, для этого можно использовать как ico-файлы, так и обычные png. Иконку следует разместить в специальной директории, для Windows Terminal это:\n1%LOCALAPPDATA%\\Packages\\Microsoft.WindowsTerminal_8wekyb3d8bbwe\\RoamingState Для Windows Terminal Preview:\n1%LOCALAPPDATA%\\Packages\\Microsoft.WindowsTerminalPreview_8wekyb3d8bbwe\\RoamingState После чего к ним можно будет обращаться как:\n1ms-appdata:///roaming/имя_файла Подобным образом можно добавлять неограниченное число профилей на все случаи жизни и практически к любому приложению. Например. мы создали еще один профиль для работы с командной строкой PostgreSQL, для этого мы заглянули в \u0026quot;родной\u0026quot; bat-файл для запуска и позаимствовали оттуда строку запуска:\n1{ 2 \u0026#34;guid\u0026#34;: \u0026#34;{5507e755-60ae-4d8e-aa01-e75da98b95c8}\u0026#34;, 3 \u0026#34;name\u0026#34;: \u0026#34;PSQL Shell\u0026#34;, 4 \u0026#34;commandline\u0026#34;: \u0026#34;C:\\\\Program Files\\\\PostgreSQL 1C\\\\10\\\\bin\\\\psql.exe -h localhost -U postgres -d postgres -p 5432\u0026#34;, 5 \u0026#34;icon\u0026#34;: \u0026#34;ms-appdata:///roaming/PostgreSQL_logo.png\u0026#34;, 6 \u0026#34;hidden\u0026#34;: false 7 } Обратите внимание, если это последний профиль в списке, то запятая после закрывающей фигурной скобки не ставится. В заключение хочется сказать, что новый Windows Terminal нам очень понравился и мы рекомендуем всем, кто еще не пробовал, попробовать работу с ним. Это действительно новый подход Microsoft к старым и привычным вещам и на этот раз у них действительно получилось современное, удобное и динамично развивающееся приложение.\n","id":"70ab2896264de23b9562b9378ef2890b","link":"https://interface31.ru/post/windows-terminal---novyy-vzglyad-na-starye-veshhi/","section":"post","tags":["Microsoft","Windows 10","Windows Terminal","Рабочее место"],"title":"Windows Terminal - новый взгляд на старые вещи"},{"body":"ALT Linux - один из старейших российских дистрибутивов с собственной пакетной базой и достаточно обширным сообществом. Команда ALT принимает активное участие во внедрении Linux в госучреждениях и импортозамещении, не всегда это проходит гладко, но это не вина разработчиков, внедрение СПО чаще всего упирается в иные проблемы, нежели технические. В любом случае данное семейство заслуживает внимания и сегодня мы познакомим вас с его основными представителями.\nALT Linux возник в конце 90-х как русская версия популярного тогда дистрибутива Mandrake Linux, но очень скоро разработчики начали замещать пакеты Mandrаке собственными разработками и к 2005 году полностью перешли на собственную платформу.\nСегодня ALT Linux Team поддерживает собственный репозиторий Sisyphus, который содержит RPM-пакеты собственной сборки и является отдельной ветвью развития Linux, не базируясь ни на каком крупном дистрибутиве. Sisyphus полностью открыт и любой желающий может использовать его в любых целях, в том числе и для создания собственных дистрибутивов.\nКоммерческим продвижением систем на базе Sisyphus долгое время занималась компания \u0026quot;Альт Линукс\u0026quot;, с 2015 года этим занимается \u0026quot;Базальт СПО\u0026quot;.\nАльт Рабочая станция 9.1 Альт Рабочая станция - основной дистрибутив разработки Базальт СПО для использования на рабочих местах, он бесплатен для применения физическими лицами, организации должны приобрести лицензию. Система поддерживает значительное число аппаратных платформ, включая \u0026quot;Байкал\u0026quot; и \u0026quot;Эльбрус\u0026quot;, и входит в Единый реестр российских программ.\nМы скачали самый последний дистрибутив Рабочей станции архитектуры x86_64 и приступили к его установке. Инсталлятор достаточно прост и понятен, но внешний вид и оформление как будто вернули нас обратно в двухтысячные, хотя это рабочий дистрибутив и красота здесь далеко не первична. Отдельный интерес представляют готовые предустановки для различных специфических применений, например, поддержки 1С и Крипто-Про. Каких-либо затруднений при установке возникнуть не должно, буквально все делается методом Далее-Далее-Готово. Все этапы снабжены необходимыми разъяснениями, основным языком установки является русский. После установки нас встречает окно входа в систему, достаточно лаконичное и с тем же фоном, что и инсталлятор. Никаких излишеств, все строго и по делу. Рабочие окружение основано на Mate, вполне обоснованный выбор для рабочего дистрибутива, который может использоваться и на откровенно слабом железе. Внешний вид системы приближен к внешнему виду Windows, а оформление снова вызвало у нас острый приступ ностальгии по нулевым. Некоторые решения разработчиков трудно назвать удачными, особенно стартовое меню, которое вышло достаточно запутанным и неудобным. Оформление системы осталось где-то на уровне первой половины двухтысячных, как по внешнему виду, так и по духу. Так папки для видео, музыки, изображений вложены в папку Документы, как это было в Windows XP, в современных системах все они вынесены на верхний уровень. Также не совсем понятно, в чем отличие между Фильмами и Видео, Фотографиями и Изображениями. Набор софта в системе стандартный, в качестве офисного пакета используется LibreOffice 6, браузер по умолчанию Firefoх и т.д. и т.п. Интересной особенностью всех ALT-систем является то, что не смотря на формат пакетов RPM в качестве пакетного менеджера используется APT, современный apt не поддерживается, но отлично работает классический apt-get, в качестве графической оболочки используется Synaptic. Для обычных пользователей в системе присутствует современный магазин приложений, что выгодно отличает Альт от конкурентов в виде Росы и Астры, хотя для рабочего дистрибутива это не сильно критично. Остальные офисные функции также не вызвали нареканий, мы без проблем подключились к сетевому принтеру и ресурсам локальной сети. Система отлично видит как Windows-системы, так и собственные, в качестве HOST-147 на скриншоте ниже выступает система с Simply Linux. Теперь попробуем установить что-нибудь специфичное, скажем 1С:Предприятие. Выбранный нами пункт при установке уже добавил в систему все необходимые библиотеки и зависимости и нам остается просто установить сам клиент. Это можно сделать даже через графическую оболочку. В случае возникновения каких-либо проблем установщик пакетов выдает вполне информативные сообщения. Для технического специалиста информации более чем достаточно, в нашем случае оказались не установлены зависимости пакета. В остальном каких-либо сложностей не возникло и достаточно быстро мы получили рабочую систему 1С:Предприятия. С криптопровайдерами сложнее, мы попытались настроить вход в личный кабинет Честного знака. Для этого пришлось установить отличный от Firefox браузер (мы выбрали Спутник) и довольно серьезно углубиться в чтение документации. Но будем честны, настройка в Windows также достаточно нетривиальна и требует вдумчивого прочтения документации. В итоге были установлены все необходимые пакеты и плагины, и наша затея увенчалась успехом. Аналогичным образом был настроен доступ к Госуслугам через ЭЦП, нам также пришлось скачать и установить нужный плагин. В процессе настройки мы столкнулись с одной интересной особенностью, многие сайты определяли Альт как DEB-систему и предлагали для скачивания пакеты этого формата, возможно из-за наличия в системе APT, но на самом деле нужно скачивать RPM-пакеты.\nТеперь о том, что не понравилось. При установке нам предлагались достаточно интересные пресеты, один из них - поддержку стороннего ПО мы установили, другой - поддержку Windows программ не стали, рассудив, что всегда сможем это сделать позже. Так вот, позже сделать это будет нельзя. Подход достаточно странный, не сказать, что он критично на что-то влияет, но для начинающих администраторов это было бы неплохим подспорьем.\nА так, чтобы установить рабочий экземпляр Wine нам потребуется открыть консоль и обратиться к документации. Понятно, что такими вещами в организациях будет заниматься администратор, но помочь ему в этом и, одновременно, понизить порог входа было бы очень неплохо. В итоге Wine мы установили и запустили с его помощью специфичные Windows-приложения, каких-либо нареканий по работе самого Wine нет. Еще один момент из этой же серии, клиент удаленного доступа Remmina, был установлен из магазина и к нашему удивлению предложил только подключение по SSH. Но если мне нужен SSH - я запущу консоль, а Remmina обычно ставят совсем ради другого. Проблема легко решается установкой дополнительных плагинов, но это снова лишняя нагрузка на администратора и ощущение некоторой недоработанности системы.\nХотя особых претензий снова нет, будучи один раз настроенным все работает без нареканий. Но, для чего мы поднимаем здесь эти моменты, на волне импортозамещения с Linux вынужденно сталкиваются админы, не имеющие никакого опыта работы с данной системой. И если для опытного линуксоида нет проблемы настроить Wine или установить нужные плагины к Remmina, то для начинающего это будут вполне серьезные затруднения, которые способны сильно испортить впечатление от системы.\nЧто касается мультимедийной составляющей, то здесь тоже все неплохо, система поддерживает все современные аудио и видеоформаты и воспроизводит их из коробки. Это тоже важно, так как сегодня в нашу жизнь все сильнее входят удаленные мероприятия в формате видеоконференций, обучающие видеоматериалы и т.д. и т.п., поэтому поддержка мультимедиа, в том числе и высокой четкости (HD) для рабочей станции сегодня важно.\nНу и посмотреть что-нибудь в обеденный перерыв тоже можно. Система без проблем справилась с воспроизведением IPTV с разрешением 1080p. Для управления настройками системы можно использовать стандартный Центр управления графической оболочки, предоставляющий стандартный набор настроек. Либо собственную разработку ALT - Alterator. Это достаточно удобный инструмент управления, но, к сожалению, пока ограниченный в возможностях. Тем не менее он уже позволяет закрыть некоторые сложные вопросы настройки, так здесь можно без проблем настроить PPTP, PPPoE и OpenVPN-соединения, правила брандмауэра и проброс портов. Но не обошлось и без досадных недоразумений, скажем в разделе Принтеры нет возможности подключить сетевое устройство. Но мы не склонны драматизировать ситуацию, инструмент развивается и уже сейчас есть очень неплохой задел, направленный именно на упрощение работы с системой.\nЕще одна неприятная ситуация возникла с флешками большого объема с файловой системой exFAT, через некоторое время мы стабильно получали ошибки для накопителя объемом 64 ГБ, с менее емкими флешками проблемы не возникало. В целом система произвела на нас положительное впечатление, да, есть определенные нарекания, особенно по внешнему виду и администрированию, но в целом все достаточно стабильно и предсказуемо. Также обращают внимание невысокие системные требования, Альт рабочая станция будет отлично чувствовать себя даже на слабых системах.\nSimply Linux 9 Simply - домашний дистрибутив на базе репозитория Sisyphus, создан в 2009 году разработчиком ALT Linux Team Денисом Корявовым и впоследствии переданный компании. После чего дистрибутивы Simply выпускаются для каждой версии платформы ALT наряду с коммерческими дистрибутивами.\nЭто нормальная практика, позволяющая привлекать к платформе домашних пользователей и давать возможность администраторам работать в привычной им среде. Также домашние дистрибутивы дают возможность обкатывать самый свежий софт и получать обратную связь от пользователей.\nИнсталлятор Simply как две капли воды похож на инсталлятор рабочей станции, только выполнен немного в более современном стиле. Во время установки нам предлагают узнать о 9 преимуществах системы, но ставится она довольно быстро, и мы так и не смогли ознакомиться с полным списком. Как и инсталлятор, окно входа в систему также повторяет Рабочую станцию, но с несколько иным оформлением. Ничего плохого в этом нет, но для домашней системы в 2020 году хотелось бы видеть более современный дизайн. Основу пользовательского окружения составляет рабочий стол XFCE, скажем честно - решение спорное, на наш взгляд KDE Plasma была бы более изящным и современным решением. Хотя следует признать, что настроен XFCE достаточно неплохо, местами его довольно легко спутать с KDE. Дизайн системы достаточно проработан, но снова застыл в где-то в прошлом десятилетии, только уже во второй половине нулевых. В времена Windows 7 это было актуально, сейчас же в тренде плоский дизайн. Также вызывают вопросы некоторые моменты, скажем, зачем-то для Редактора изображений, чью роль выполняет GIMP, поставили абсолютно \u0026quot;левую\u0026quot; иконку. В целом же по набору программ вопросов нет, все достаточно стандартно, версии ПО современные. Для управления системой можно использовать стандартную панель настроек XFCE и Alterator, но снова есть вопросы, из домашней версии зачем-то убрали раздел настройки брандмауэра, также убран ряд настроек системы. Как нам кажется, подобное размазывание функций между версиями дистрибутивов не идет на пользу системе, особенно если есть желание унифицировать подход к администрированию и развитие собственного инструмента, единого для всей экосистемы.\nДля управления пакетами также используется APT и Synaptic, последний используется в качестве штатного инструмента обновления, также не лучший выбор для домашней системы. Мы также поставили из магазина клиент удаленного рабочего стола Remmina и с удивлением обнаружили полный набор необходимых плагинов \u0026quot;из коробки\u0026quot;. Кто мешал сделать тоже самое в Рабочей станции? К мультимедийной составляющей системы также нет вопросов, кроме того, не возникло проблем с флешкой 64 ГБ под exFAT, которая не очень стабильно работала в среде Рабочей станции. Мы без проблем воспроизвели с нее видео и аудио содержимое. Музыку можно не только слушать, но и редактировать, все уже установлено, искать ничего не нужно. В качестве видеоредактора представлен довольно примитивный Shotcut, но с базовыми задачами он справляется, можно быстро отредактировать сырое видео, но большего вы от него не получите. А скрасить минуты досуга помогут простые игры. Их немного, но выполнены они неплохо. Также в отношении Simply справедливо все то, что мы говорили о Рабочей станции, у нас не возникло проблем ни с подключением к сетевому принтеру, ни с работой с ресурсами Windows-сети. У систем очень много общего, что и неудивительно, учитывая общую используемую базу.\nВыводы В целом системы от ALT нам понравились. Рабочая станция достаточно неплохое и стабильное решение для работы в офисе, но начинающим администраторам порой может быть не просто. Имеется впечатление некоторой недоработанности. В умелых руках все недочеты исправляются походя, но при отсутствии опыта многие моменты способны вызвать нешуточные затруднения.\nВторая серьезная претензия - это дизайн. Можно много говорить о том, что для рабочей станции он вторичен, но люди будут работать с этим каждый день и невольно сравнивать с другими системами. Причем не в пользу Рабочей станции. Если брать отечественные дистрибутивы, то Астра имеет привлекательный и современный плоский дизайн, Роса также гораздо более визуально привлекательна.\nЧто касается Simply Linux, то это довольно приятная и сбалансированная система, но как домашний дистрибутив он очень сильно не дотягивает до ведущих представителей мира Linux. Скорее его можно назвать системой для слабых ПК - благодаря XFCE системные требования у него очень невысоки. В свою очередь мы бы рассматривали его не как домашнюю систему, а в качестве замены Рабочей станции в организациях, особенно если нет желания платить за лицензии.\nНадеемся, что платформа ALT и дальше будет развиваться и мы увидим на ее базе новые, современные дистрибутивы как для коммерческого, так и для домашнего применения.\n","id":"c547d670403897f67f1280d0142345aa","link":"https://interface31.ru/post/obzor-rossiyskih-os-alt-rabochaya-stanciya-9-i-simply-linux/","section":"post","tags":["ALT","Linux","Импортозамещение"],"title":"Обзор российских ОС Альт Рабочая станция 9 и Simply Linux"},{"body":"Современные системы хранения предъявляют повышенные требования к гибкости управления дисковым пространством и классических дисковых устройств с размещенными на них разделами становится недостаточно. Это привело к созданию многих высокоуровневых инструментов, одним из которых является Менеджер логических томов (Logical volume management) - LVM в Linux. Это простой и мощный инструмент, позволяющий управлять пространством хранения абстрагировавшись от физических устройств и в данной статье мы начнем знакомство с ним.\nЧто такое LVM и для чего он нужен Давайте начнем с самого начала и посмотрим, как устроена классическая дисковая система, в ее основе лежат физические устройства хранения: жесткие диски, SSD, RAID-массивы и т.д. Каждое физическое устройство содержит логическую разметку - разделы. Каждый раздел может содержать либо файловую систему, либо вложенные разделы. В любом случае общая емкость разделов ограничена емкостью физического устройства. Ниже показана классическая схема такой разметки. Точнее сможем, если смонтируем этот раздел в какую-нибудь вложенную папку, скажем /home/video, но это не решает проблемы, а только добавляет неудобства. Вместо единого дискового пространства мы получаем набор разрозненных сегментов.\nТакже вы можете столкнуться с ситуацией, когда каждого диска в отдельности не хватает для размещения раздела, хотя их суммарной емкости будет достаточно. Можно, конечно, попробовать объединить их в RAID массив, но это резко снизит гибкость модернизации такой системы, просто так добавить еще один диск к емкости массива уже не получится.\nВо всех этих случаях нам на помощь приходит LVM, которая вводит новые уровни абстракции и позволяет работать с логическими томами, не оглядываясь на реальную конфигурацию физических устройств. В LVM существует три уровня абстракции:\nPV, Physical volume, физический том - это физический диск, либо раздел на диске, если мы не можем использовать его целиком. VG, Volume group, группа томов - группа томов объединяет в себя физические тома и является следующим уровнем абстракции, представляя собой единое пространство хранения, которое может быть размечено на логические разделы. Эквивалентен обычному диску в классической системе. LV, Logical volume, логический том - логический раздел в группе томов, аналогичен обычном разделу, представляет из себя блочное устройство и может содержать файловую систему. При этом объединять в группу томов мы можем совершенно разные диски, не испытывая ограничений ни по размеру, ни по скорости. При этом мы можем спокойно добавлять в группу томов новые физические устройства, удалять старые, изменять размеры и расположение логических томов и все это в онлайн-режиме.\nLVM и RAID Теперь о том, чем LVM не является. Как следует из названия, LVM - это менеджер логических томов, т.е. разметки верхнего уровня, максимально абстрагированной от физических устройств. RAID - это избыточный массив независимых дисков, задача которого - обеспечить избыточность и тем самым обеспечить защиту от отказа одного или нескольких физических дисков. О логической разметке RAID не имеет никакого представления, работая исключительно с физическими устройствами или разделами на них.\nМожно ли с помощью LVM реализовать некоторые функции RAID? Можно, но в этом случае либо будут использоваться собственные решения, серьезно уступающие программному RAID Linux (mdraid), либо вызовы будут передаваться модулю md, т.е. тому же самому mdraid.\nПри этом достаточно сильно пострадает простота и прозрачность управления массивами, что может поставить вас в затруднительное (если не хуже) положение в нештатных ситуациях, особенно если вы не обладаете достаточным опытом работы с LVM.\nПоэтому, в строгом соответствии с философией UNIX, мы считаем, что каждый должен выполнять свою задачу и делать это хорошо. Поэтому для создания избыточных дисковых массивов мы будем продолжать использовать программный RAID, а предоставляемые им md-устройства использовать в качестве физических томов LVM. Экстенты и способы их отображения Единицей организации дискового пространства в LVM является экстент - некоторая минимальная область данных, которая может быть организована в составе логического тома. Выделить объем менее одного экстента LVM не может. Размер экстента определяется группой томов и зависит от ее объема, минимальный размер экстента 4 МБ, впоследствии это значение остается постоянным для группы томов на всем протяжении ее существования.\nВсе входящие в группу томов физические тома разделяются на физические экстенты, логические тома в свою очередь содержат логические экстенты, размеры физических и логических экстентов равны.\nПри создании логического тома ему выделяется некоторый непрерывный диапазон экстентов, каждому логическому экстенту соответствует физический экстент одного из физических томов. При этом не обязательно все логические экстенты должны соответствовать экстентам одного физического тома либо идти подряд, одному логическому тому могут соответствовать различные наборы физических экстентов с различных физических томов.\nЕсли снова упростить ситуацию, то LVM можно рассматривать как некую таблицу соответствия, в которой записано какой логический экстент относится к какому физическому. Таким образом мы можем иметь логический том, фактически располагающийся на нескольких физических томах, при этом система будет видеть его как одно непрерывное пространство.\nРазмещение логических экстентов на физических томах называют отображением и существуют разные алгоритмы для этого. Наиболее простым является линейное отображение, при котором логические экстенты последовательно отображаются на свободные физические. Если физических экстентов одного физического тома не хватает для отображения всех логических экстентов, то начинают использоваться экстенты следующего физического тома. Чтение и запись при линейном отображении выполняются последовательно, со скоростью того физического диска, на котором расположен физический экстент. Если в составе группы томов используются диски с разной скоростью доступа, то скорость работы с логическим томом будет меняться, в зависимости от того, на какой диск отображен логический экстент.\nЛинейное отображение является наиболее простым и удобным в работе, так для расширения логического тома нам достаточно добавить в группу один или несколько физических томов, а затем добавить в логический том дополнительные экстенты, отобразив их на свободные физические экстенты новых дисков. Этого вопроса мы еще коснемся позднее.\nНо есть одна серьезная проблема и связана она с SSD, во-первых, твердотельные диски не следует заполнять на 100%, так как это приводит к ухудшению работы сборщика мусора и деградации производительности. Во-вторых, при использовании в составе группы томов нескольких SSD мы получим неравномерную нагрузку на диски и, как следствие, повышенный износ некоторых из них.\nРешить эту проблему можно при чередующемся способе отображения (stripe, \u0026quot;полосатое\u0026quot;). В этом случае логические экстенты отображаются между физическими томами в порядке чередования, количество полос чередования определяет количество физических томов, которые будут для этого использоваться. По понятным причинам количество полос не может превышать количество физических томов. Чередующееся отображение обеспечивает равномерную нагрузку и заполнение физических дисков, поэтому для твердотельных накопителей следует использовать именно его. Также нетрудно заметить, что такая схема чем-то похожа на RAID 0. Это действительно так и операции чтения-записи можно производить параллельно, достигая более высоких скоростей дисковых операций. По этой причине чередующееся отображение может быть использовано и вместе с HDD в целях повышения производительности тома. Чем больше число полос, тем выше производительность.\nОднако данный способ накладывает свои ограничения, для расширения тома мы должны использовать количество дисков кратное числу полос. Кроме того, чередование будет производиться только внутри группы дисков, для лучшего понимания этого момента обратите внимание на схему: Мы расширили существующий логический том с 8 до 16 экстентов. При этом первые 8 экстентов как чередовались между первыми двумя физическими томами, так и продолжили чередоваться. А следующие 8 экстентов стали чередоваться между двумя добавленными физическими томами. Таким образом при заполнении логического тома сначала будут заполнены первые два физических диска, а только затем начнет заполняться вторая пара. Кроме того, если речь идет о твердотельниках, первая пара дополнительно будет испытывать повышенную нагрузку.\nФактически мы получили линейное отображение на две пары физических дисков. Поэтому расширять чередующиеся массивы на твердотельных накопителях не следует. Правильным решением будет создание нового тома с большим числом полос. Несомненным достоинством LVM является то, что при должном опыте и знаниях том можно расширить и с изменением числа полос полностью в онлайн-режиме, т.е. не останавливая работы хранилища.\nУправление томами в LVM Как мы уже говорили, LVM позволяет гибко управлять дисковым пространством без привязки к физическим накопителям, это позволяет добавлять, удалять или менять физические диски без перерыва в работе хранилища, разве что на время физической замены оборудования. Рассмотрим несколько примеров.\nНачнем с наиболее распространенного сценария - расширения. Количество данных обычно только растет и свободного места начинает не хватать. В классической дисковой системе нам потребуется либо заменить текущий диск диском большего объема, либо перенести часть данных на другой раздел. LVM позволяет добавить один или несколько дисков меньшей емкости, расширив логический том за счет их пространства. Прежде всего нам следует добавить новые физические диски - физические тома по терминологии LVM - в группу томов. Таким образом у нас появятся дополнительные свободные физические экстенты. После мы просто добавим в логический том нужное количество экстентов, которые LVM отобразит на физические экстенты новых дисков, тем самым увеличив размер тома. Останется только увеличить размер файловой системы. Другой довольно распространенный сценарий - замена оборудования. При большом объеме хранящихся данных это может быть не простой задачей. Но LVM снова придет на помощь. Точно также добавляем новые физические тома в группу томов и запускаем специальную операцию по переносу физических экстентов с одного физического тома на другие. Единственное условие - группа томов должна содержать нужное количество свободных экстентов, количество и размер новых дисков роли не играют.\nПеремещение может занять длительное время, но хранилище при этом остается доступным, разве что несколько снизится производительность. По окончанию переноса экстентов просто выводим нужный физический том из группы томов и удаляем из LVM, теперь его можно физически изъять из сервера в любое подходящее для этого время. Обратите внимание, что в отличие от дисковых утилит, которые работают на уровне разделов, LVM перемещает именно физические экстенты и изменяет сопоставление отображения для логических томов. Таким образом если на диске sda (по схеме) у нас находился корневой раздел и часть /home, то именно эти части и будут перенесены на новый диск, перемещать раздел полностью нет никакой необходимости, даже если перемещаемые экстенты отображены куда-нибудь в середину логического тома.\nДанный материал является обзорным и предназначен для формирования общего понимания структуры LVM и принципов его работы. Поэтому мы сознательно оставили за кадром многие иные возможности LVM, такие как снимки или тонкие тома. В дальнейших материалах мы будем рассматривать практическую работу с LVM также от простого к сложному, потому как решаемые задачи не должны опережать имеющиеся навыки и знания, особенно в такой ответственной области как системы хранения.\n","id":"a3894686ac309073a785fde6f42c4052","link":"https://interface31.ru/post/lvm-dlya-nachinayushhih-chast-1-obshhie-voprosy/","section":"post","tags":["Linux","LVM","RAID"],"title":"LVM для начинающих. Часть 1. Общие вопросы"},{"body":"Облачные сервисы стали для нас чем-то привычным и повседневным, сделав интернет технологии ближе к простому пользователю. Не стал исключением и бизнес, широко используя облачные сервисы в своей повседневной деятельности. Это удобно и недорого, не требует собственной инфраструктуры, обслуживающего персонала, гибко подстраивается под потребности. В общем одни плюсы и мало кто задумывается об обратной стороне медали - зависимости от владельцев облачного сервиса и степени доверительных отношений с ним. И недавняя ситуация с новым сервисом Яндекс.Телемост еще раз продемонстрировала всю значимость этого вопроса.\nНесмотря о том, что сегодня мы будем говорить о сервисах Яндекса, все сказанное будет справедливо к любому иному облачному провайдеру, так как затрагиваться будут общие вопросы. А Яндекс будет нам живым примером того, во что может вылиться, казалось бы, простая ситуация.\nСервисы Яндекса пользуются заслуженной популярностью и не только у физических лиц и небольших предпринимателей. Для бизнес-клиентов у компании есть отдельный сервис Яндекс.Коннект, который объединяет в себя Почту, Диск, Мессенджер, планировщик задач, внутреннюю Вики и ряд других сервисов. Все это привязывается к собственному домену и дает возможность самостоятельно управлять пользователями. Предложение достаточно привлекательное и не только для самых маленьких, просто прикиньте во что обойдется фирме средней руки организовать полностью собственную почту, облачное хранилище, мессенджер, планировщик и ту же вики? А если еще нужно организовать бесперебойный доступ для удаленных сотрудников? А здесь вы получаете все и сразу, при этом практически бесплатно.\nА теперь начинается самое интересное. Для доступа к отдельным сервисам на ПК требуется установить специальное ПО, в нашем случае это будет приложение Яндекс.Диска. А любое современное приложение подразумевает установку обновлений, чаще всего автоматическую. Это настолько привычно, что мало кто задумывается над этим фактом. А зря.\nЛицензионное соглашение Яндекса достаточно расплывчато обходит этот момент:\n7.1. Программы могут время от времени автоматически загружать и устанавливать обновления, которые направлены на улучшение Программ и могут иметь форму патчей, дополнительных модулей или полностью новых версий Программ. Пользователь настоящим уведомлен и соглашается с автоматическим обновлением Программ, включая запрос, загрузку и установку обновлений Программ на компьютер Пользователя без каких-либо дополнительных уведомлений.\nТ.е. принимая это соглашение вы даете разработчикам право устанавливать на ваш ПК патчи, модули или полностью новые версии программы. Еще раз: вы даете посторонним людям возможность установить на ваш ПК некое ПО без каких-либо дополнительных уведомлений с их стороны.\nНемаловажную роль здесь играет уровень доверия между вами и разработчиками. Яндекс - компания крупная, в разного рода сомнительных акциях не замечена, поэтому вы можете ей доверять. Вы ставите приложение Диска и ожидаете что он будет делать имеенно то, что заявлено - а именно хранить ваши данные в облаке Яндекса.\nСо временем разработчики добавляли к Диску новые функции, выполненные в виде мини-приложений, но они только органично дополняли экосистему Диска. Скриншоты позволяют быстро сделать снимок экрана, снабдить его необходимыми пояснениями (стрелки, надписи, размытие) и разместить его в облаке. Заметки - это довольно простой аналог Evernote или OneNote, который использует Диск для хранения и синхронизации ваших заметок.\nЭти приложения можно было использовать, можно не использовать, но они не выходили за рамки основного назначения Яндекс.Диска - хранения ваших данных, несколько расширяя возможности и добавляя некоторые дополнительные функции.\nЧто произошло потом - непонятно, еще более непонятным стало поведение компании в этой ситуации. Но обо всем по порядку. Не так давно в экосистеме Яндекса появилось новое приложение - Телемост, которое позволяло проводить видеоконференции с приглашением по ссылке. Само по себе это событие никакого негатива не несет, новое средство для видеоконференций в наше время это, скорее, хорошо, чем плохо. Особенно в условиях самоизоляции и вынужденного перехода на удаленную работу, с которыми мы все столкнулись весной.\nУдивил способ распространения этого приложения, компания не нашла ничего лучшего, чем включить его в состав Диска. Казалось бы, причем тут облачное хранение данных? Где они и где видеоконференции? Но не стоит искать логику там, где ее нет. Все становится на свои места, если взглянуть на ситуацию с иной стороны. Яндекс.Диск в данном случае выступил в роли приложения-загрузчика, которое имеет права на установку в систему стороннего софта и может произвести установку Телемоста без лишних телодвижений со стороны Яндекса в рамках обычного обновления.\nНичего не напоминает? Именно так ведут себя всякие непорядочные приложения, которые по-тихому, без явного разрешения снабжают вас разного рода программами сомнительной полезности, как тут не вспомнить пресловутый Майл.ру.\nЕще больше удивило то, что Яндекс.Телемост нельзя удалить. Точнее можно, но вместе с Яндекс.Диском. Но позвольте, мне не нужно приложение для телеконференций, мне нужен только Диск. Поэтому негодование пользователей вполне понятно.\nСама ситуация, конечно, неприятная, но более-менее в рамках приличий. Перестарались, бывает. Достаточно было просто сделать скрипт деинсталляции и раскидать с очередным обновлением Диска, чтобы пользователи могли удалить ненужное им приложение. Ну и извиниться, выписав в качестве морального поощрения какую-нибудь плюшку. На том конфликт был бы исчерпан.\nНо все пошло совсем не так. Разработчики зачем то стали рассказывать какую-то ерунду:\nПочему Телемост появился в Диске. Диск -- не просто облачное хранилище, а среда, в которой собраны разные рабочие инструменты. Например, пять лет назад в нём появилась скриншотилка, а два года назад мы добавили «Заметки». Всё это не самостоятельные программы, а мини-приложения в составе Диска. Таким же приложением является Телемост -- мы поселили его внутри Яндекс.Диска как удобный инструмент для совместной работы.\nЯндекс.Диск - это не инструмент совместной работы и никогда им не был, это именно облачное хранилище и используется подавляющим большинством он именно так. Никакого отношения к видеоконференциям он не имеет, и вся мотивировка явно притащена за уши.\nА дальше еще интереснее:\nМожно ли удалить Телемост. Отвечая на вопросы в социальных сетях, мы поторопились и не совсем точно объяснили ситуацию. Сейчас Телемост -- компонент Яндекс.Диска. Удалить отдельную функцию из программы нельзя, но в любой момент можно убрать иконку с рабочего стола или удалить всё приложение Диска вместе с Телемостом.\nАу? Ребята, вы действительно не понимаете? Мне не нужен Телемост, мне нужен Диск и проблемы с наличием ненужного мне приложения удаление ярлыка с рабочего стола не решает. Да и не в ярлыке проблема.\nПроблема в том, что вы без спросу доставили на ПК пользователя не нужное ему приложение без всякого явного на то согласия, кроме того, вы эту проблему усугубили, не предоставив возможности его удалить. Причем доставили вы его не только домашним пользователям обычного Диска, но и бизнес-пользователям из Яндекс.Коннект. А это уже конкретное свинство, как администратор я совсем не приду в восторг от того, что кто-то удаленно добавил моим пользователям еще одно средство коммуникации, причем - достаточно бесконтрольное.\nТакже не являются правдой слова о том, что Телемост - компонент Яндекс.Диска. В этом несложно убедиться. Если открыть папку приложения, то мы увидим там сам Диск, приложения для скриншотов и заметок, а также библиотеки к ним. Телемост поставляется в отдельной вложенной папке со своими библиотеками и имеет вид отдельного приложения. Между прочим, эту папку можно безболезненно удалить, без всякого ущерба для работы Диска. Правда проблемы это не решает, так как при очередном обновлении все вернется на свои места.\nСделали ли какие-то выводы разработчики? Нет, не сделали, во всяком случае мы услышали только какой-то детский лепет про ярлыки:\nПо итогам этой истории мы ввели для себя правило: создавать ярлыки на рабочем столе только с согласия пользователя. Диск и Телемост продолжат развиваться своим чередом. В Диске будут появляться новые инструменты для совместной работы, а Телемост скоро обзаведётся отдельным клиентом.\nПо итогам этой истории Яндекс нанес удар по репутации всей собственной экосистемы, как для обычных, так и для бизнес-пользователей, для последних в особенности. Если раньше решения от Яндекс могли рассматриваться как основа для бизнес-решений, то сегодня стоит крепко подумать. Сегодня нам притащили Телемост, а что завтра? Всем принудительно поставят Яндекс,Браузер? Или раскидают всем без разбора какие-нибудь Яндекс.Игры, без возможности удаления? Вот корпоративные пользователи обрадуются!\nЕсли брать голые факты, то получается достаточно неприглядная картина: установив Яндекс.Диск вы даете возможность Яндексу производить любые действия на вашем ПК без вашего ведома. Да, это можно сказать о любой программе, но тут важны именно отношения доверия. Когда вы устанавливаете любое ПО от известного производителя вы, основываясь на его авторитете, вполне справедливо ожидаете, что оно будет делать именно то, что заявлено и не делать ничего иного, особенно без вашего ведома.\nА еще хорошим тоном является возможность давать пользователю выбрать состав продукта, отметив галочками нужные пункты в инсталляторе. Захотели что-то поменять - запускаем инсталлятор еще раз. Кто мешает сделать это для Диска?\nВыводы Выводы сегодня будут неутешительные. Миф об облачных сервисах в качестве замены локальной инфраструктуры рассыпается как карточный домик. Ситуация с Телемостом еще раз показала, что вы не только попадаете в зависимость от владельцев сервиса, но и перестаете контролировать собственные системы, что гораздо более неприятно. Ведь вы никогда не сможете точно сказать, чем сейчас занимается то или иное приложение, выполняет оно сугубо свои функции, либо скрытно занимается еще чем-то?\nВсе это заставляет по-новому взглянуть на приложения с открытым исходным кодом, которые могут во многом уступать своим коммерческим аналогам, но обладают одним неоспоримым преимуществом - они делают именно то, что заявлено. Встроить скрытые от пользователя механизмы в них гораздо сложнее, общественный контроль вещь достаточно эффективная, особенно в сфере разработки ПО.\nА организациям не остается ничего, кроме как использовать собственные ресурсы, если они, конечно, хотят полностью контролировать собственную инфраструктуру, тем более что все необходимое можно создать и на базе открытого ПО. К сожалению, с развитием облачных технологий мы снова возвращаемся к тому, чтобы иметь собственные сервисы, на собственном оборудовании, но если раньше облака были недостаточно надежны или функциональны, то теперь они представляют иную угрозу - потери контроля над собственным устройством.\nА что вы думаете по этому поводу?\n","id":"be2c65abd3d64b1ad1d4ab1be6b0daf9","link":"https://interface31.ru/post/o-chem-zastavlyaet-zadumatsya-situaciya-s-yandekstelemost/","section":"post","tags":["Безопасность","Телемост","Яндекс"],"title":"О чем заставляет задуматься ситуация с Яндекс.Телемост"},{"body":"Зачастую выбору сканера штрих-кода не уделяется должного внимания, покупается либо то, что подешевле, либо что посоветовал поставщик. Для многих покупка нового сканера - мера вынужденная, связанная с обязательной маркировкой, что вызывает вполне понятное желание сэкономить. Но двухмерные сканеры - это гораздо более сложное оборудование и работать им приходится совсем с другими видами штрих-кодов, поэтому перед покупкой желательно более подробно ознакомиться с выбранной моделью, чтобы она не стала источником дополнительных затруднений.\nМы тоже решили не оставаться в стороне и протестировали три популярных модели двухмерных сканеров: Datalogic QW2420, Youjie YJ4600 и Mindeo MD6600-HD. Кроме объективных параметров тестирования мы также выскажем свое субъективное мнение, основанное на опыте эксплуатации таких устройств.\nПрежде всего коротко ознакомимся с обозреваемыми устройствами. Начнем с Datalogic QW2420 - это младшая модель в линейке двухмерных сканеров известного итальянского производителя. Бренд давно присутствует на рынке и имеет вполне заслуженный авторитет и доверие со стороны покупателей. Цена на данный сканер по состоянию на июль 2020 года составляет около 4750 руб за модель без подставки и 5450 руб за модель с подставкой.\nСканер обладает узнаваемым фирменным дизайном в серых тонах с синей кнопкой и удобной анатомической рукояткой. Здесь все продумано до мелочей, эргономика у Datalogic заслуживает всяких похвал. Сканер готов к работе из коробки, для маркированного табака следует включить считывание инверсных штрих-кодов. Youjie - дочерний бренд известного производителя Honeywell, ориентированный на азиатский рынок и с некоторых пор присутствующий в России с единственной моделью Youjie YJ4600. Несмотря на то, что данная модель отсутствует в списке рекомендованных Честным знаком, она достаточно активно продвигается многими крупными игроками. Цена за сканер без подставки составляет 4100 руб.\nВнешне сканер ничем не примечателен, выполнен в черном цвете с серой кнопкой, в руке лежит достаточно удобно. А вот дальше не все так радужно. Возможно это какая-то специфика азиатских рынков, но из коробки сканер фактически неработоспособен и требует настройки, которая описана нами в отдельной статье. Не сказать, что это сложный процесс, но сложности возникают из-за недостаточной (если не сказать никакой) адаптации к российскому рынку. В полученных нами экземплярах не было даже инструкции на английском (только китайский). И наконец Mindeo MD6600-HD - новый игрок на рынке от малоизвестного у нас китайского производителя. Тем не менее Shenzhen MinDe достаточно крупная китайская компания, акции которой торгуются на бирже, имеет собственные разработку и производство, поэтому считать данную продукцию очередным \u0026quot;подвальным\u0026quot; брендом не стоит. Поставляемые под маркой Mindeo на российский рынок устройства полностью адаптированы к маркировке, находятся в списке рекомендуемых и не требуют никакой дополнительной настройки.\nПо размерам это самый небольшой сканер, обладает простым дизайном в черной и серой цветовой гамме с желтой кнопкой. Рукоятку анатомической назвать нельзя, Длительная работа со сканером может быть неудобна. Зато это самая недорогая модель, без подставки она обойдется вам около 3600 руб, за подставку придется доплатить еще около 600 руб.\nКак мы тестировали\nДля сравнения мы выполнили каждым сканером ряд считываний различных штриховых кодов и оценили их работу по пятибалльной шкале:\n5 - уверенное считывание с любого направления 4 - не совсем уверенное считывание, требуется позиционирование сканера 3 - неуверенное чтение, требуется подбирать расстояние и/или угол считывания 2 - очень неуверенное чтение, требуется длительное позиционирование сканера 1 - код не читается, либо читается в небольшом количестве случаев Такой подход может показаться достаточно субъективным, но при сравнительном тестировании нескольких моделей позволяет достаточно четко выставить оценки согласно реальному положению дел.\nОдномерные штрих-коды С качественно напечатанными одномерными штрих-кодами ни у одного сканера проблем не возникло, да и было бы странно обратное. Поэтому мы специально подобрали набор штрих-кодов, вызывающих затруднения при считывании: мятые, частично порванные, выцветшие, на бликующей поверхности (блистер лекарств) и запотевшие (замороженная продукция).\nТип ШК Datalogic QW2420 Youjie YJ4600 Mindeo MD6600-HD Мятый 5 5 5 Запотевший 5 5 5 Порванный 4 3 4 Бликующий 3 3 3 Выцветший 4 3 4 ИТОГО 4,2 3,8 4,2 В большинстве тестов сканеры показали себя одинаково, мятые и запотевшие штрих-кода не являются для двухмерных сканеров большой проблемой, в отличие от их одномерных собратьев, а вот с бликующей поверхностью все работают неуверенно. Тем не менее Youjie YJ4600 показал также неуверенное чтение выцветших и поврежденных штрих-кодов, чем уступил не только брендовому коллеге, но и \u0026quot;китайцу\u0026quot;.\nКоды DataMatrix DataMatrix - основной тип штрих-кода, используемый в маркировке. Для тестирования мы использовали страницу 2 документа VMC 2D image scanners test card, которая содержит коды различных размеров.\nРазмер DataMatrix Datalogic QW2420 Youjie YJ4600 Mindeo MD6600-HD 22x22 5 5 5 44x44 5 5 5 64x64 5 5 5 104X104 5 4 5 120X120 4 3 3 144X144 4 2 1 ИТОГО 4,67 4 4 Datalogic уверенно прошел весь тест, чего не скажешь о Youjie и Mindeo, несмотря на общий итоговый балл ведут себя они по-разному. Youjie начал сдавать уже с размера 104х104, но худо-бедно читая самый большой размер кода, Mindeo более уверенно держался до размера 120х120, но вообще не смог прочитать 144x144.\nЧто касается практики, то в большинстве случаев работать с такими размерами кодов приходится редко и в этом случае более выигрышно смотрится Mindeo, уверенно читающий небольшие и средние размеры.\nQR коды Еще один популярный формат. Сегодня он широко используется где только можно, и вы с большой вероятностью столкнетесь с необходимостью его считывать. Для теста мы использовали страницу 3 вышеуказанного документа с разными размерами кодов. Так как размеры кодов не указаны, то мы приведем номера по порядку их увеличения.\n№ п/п Datalogic QW2420 Youjie YJ4600 Mindeo MD6600-HD №1 5 5 5 №2 5 5 5 №3 5 5 5 №4 5 5 5 №5 4 2 4 №6 1 1 1 ИТОГО 4,17 3,83 4,17 Все три модели уверенно считали небольшие и средние QR-коды, проблемы начались с большими, первый из них с большим трудом дался для Youjie YJ4600, второй не был прочитан не одним сканером. Однако, повторимся, такие размеры кодов нетипичны для повседневного применения, но и в этом случае Youjie показал результат хуже китайского Mindeo.\nСигареты (инверсный DataMatrix) Тесты - это хорошо, но гораздо интереснее узнать, как будут вести себя сканеры на реальной маркированной продукции, в данном случае это сигареты. Здесь есть свои особенности: во-первых, код DataMatrix находится под пленкой, во-вторых, на многих тонких пачках он меньшего размера и может находится на под сгибом пленки. Мы протестировали достаточно много табачной продукции, но для теста выделили только некоторые из них, наиболее типичные.\nМарка сигарет Datalogic QW2420 Youjie YJ4600 Mindeo MD6600-HD Camel Yellow 5 3 4 Winston Silver 5 4 5 Parlament Aqua Blue 5 5 5 Milano Superslim 5 3 5 Kent Nanotek 5 3 5 Glamour Amber 5 3 5 ИТОГО 5 3,5 4,83 Как оказалось, у сканеров есть свои собственные предпочтения. Так довольно крупный и четкий код на пачке Camel неожиданно вызвал затруднения у Mindeo (незначительные) и Youjie (более серьезные). Также Youjie YJ4600 несколько неуверенно читает большинство кодов на обычных пачках, не сказать, что все совсем плохо, но требуется некоторое позиционирование пачки, в то время как соперники уверенно производят считывание буквально \u0026quot;на лету\u0026quot;.\nА вот Parlament Aqua Blue неожиданно записался в \u0026quot;любимчики\u0026quot;, несмотря на более мелкий код его уверенно читают все участники нашего тестирования.\nС тонкими пачками у Youjie YJ4600 все неожиданно плохо, сканер нужно тщательно позиционировать. При некотором навыке это начинает получаться довольно быстро, но зачем, если ни Datalogic, ни Mindeo не испытывают никаких затруднений?\nПо итогам этого теста очевиден однозначный провал Youjie YJ4600, что заставляет по-новому посмотреть на его отсутствие в списке рекомендованных Честным знаком. А вот \u0026quot;китаец\u0026quot; Mindeo MD6600-HD неожиданно обрадовал, показав результаты практически на уровне более дорогого Datalogic QW2420.\nВыводы Сегодня у нас будут не только объективные итоги, но и субъективные суждения. Касаются они в основном Youjie YJ4600, данный сканер нам не понравился вообще. Даже если не смотреть на результаты тестов, то все равно негативных моментов будет хватать. В первую очередь бросается в глаза отсутствие адаптации под российский рынок. Создается впечатление, что Youjie тупо решила увеличить продажи пользуясь повышенным спросом на волне маркировки, но при этом совершенно не стала заморачиваться с адаптацией, мол купят и так.\nКупят, во многом за счет бренда Honeywell, но дальше начнутся сплошные сложности, особенно если опыт тонкой настройки сканеров ШК отсутствует. Мы сами потратили достаточно времени, пока нашли английскую инструкцию и описание всех необходимых настроек. Здесь же даже руководство по быстрому старту не удосужились вложить хотя бы английское, не говоря уже о русском. Это вопрос даже не столько к производителю, сколько к российскому дистрибьютору, продвигающему продукцию на рынок.\nНо довольно эмоций, перейдем к объективным итогам. Начнем с несомненного лидера - это Datalogic QW2420, также смело можно покупать и другие сканеры этого бренда, так как тестировали мы самую младшую и дешевую модель. Единственный недостаток - достаточно высокая цена, но если у вас есть деньги, то это оптимальный выбор.\nЕсли же вы стеснены в средствах, либо не видите необходимости переплачивать, то обратите внимание на Mindeo MD6600-HD, который стал приятным открытием. Несмотря на скромную стоимость и китайское происхождение этот сканер произвел на нас очень благоприятное впечатление и в большинстве тестов показал результаты на уровне брендового Datalogic. Это отличный выбор для небольших и средних торговых точек или складов.\nА вот Youjie YJ4600 стал откровенным недоразумением, уступая в большинстве случаев более дешевому \u0026quot;китайцу\u0026quot;. Да и субъективно ощущения от работы с ним хуже, чем от Mindeo MD6600-HD, поэтому рекомендовать его к покупке мы не можем.\nИтоговый вывод будет прост: если нет особых требований к сканеру - берите Mindeo MD6600-HD, отличная и недорогая \u0026quot;народная\u0026quot; модель. Если же есть некоторые лишние деньги и требуется надежность в любых ситуациях, то обратите внимание на продукцию Datalogic, одного из лидеров этого рынка. Но это уже совсем другой ценовой диапазон.\n","id":"7739ea913c41042846979187bf00afb6","link":"https://interface31.ru/post/testirovanie-skanerov-datalogic-qw2420-youjie-yj4600-i-mindeo-md6600-hd/","section":"post","tags":["Автоматизация","Маркировка","Торговое оборудование","Штрих-код"],"title":"Сравнительное тестирование сканеров штрих-кода Datalogic QW2420, Youjie YJ4600 и Mindeo MD6600-HD"},{"body":"Технология дедупликации давно известна пользователям серверных редакций Windows и широко используется системными администраторами, позволяя эффективно использовать дисковое пространство. В клиентских системах данная возможность отсутствует, так как домашние сценарии не предусматривают хранение больших массивов данных, однако может быть легко добавлена, что, несомненно, окажется полезным для специалистов и компьютерных энтузиастов.\nМы уже рассказывали, как включить дедупликацию в Windows 8, что позволило многим, и нам в том числе, сэкономить заметные средства, отложив расширение дискового пространства за счет более эффективного его использования.\nWindows 10 в момент выпуска такой возможности не имела, что легко объясняется: пакеты для дедупликации энтузиасты берут из серверной версии ОС, разработка которой производится с некоторым опозданием от клиентской. Это же следует учитывать и при обновлении ОС на новую версию, так на дату выпуска пакеты для дедупликации могут быть еще не готовы.\nСледует помнить, что в отличии от предыдущих версий под названием Windows 10 скрывается целый ряд операционных систем, для каждой из которых нужны свои пакеты для поддержи дедупликации. На текущий момент существуют следующие стабильные выпуски Windows 10:\nВерсия Сборка Дата выпуска Окончание поддержки Дедупликация 1507 (RTM) 10240 29.07.2015 09.05.2017 НЕТ 1511 10586 12.11.2015 10.10.2017 ДА 1607 14393 02.08.2016 10.04.2018 ДА 1703 15063 05.04.2017 09.10.2018 ДА 1709 16299 17.10.2017 09.04.2019 ДА 1803 17134 30.04.2018 12.10.2019 ДА 1809 17763 13.11.2018 10.11.2020 ДА 1903 18362 21.05.2019 08.12.2020 ДА 1909 18363 12.11.2019 11.05.2021 ДА 2004 19041 27.05.2020 14.12.2021 ДА 20H2 19042 20.10.2020 10.05.2022 ДА 21H1 19043 18.05.2021 13.12.2022 ДА 21H2 19044 16.11.2021 13.06.2023 ДА 22H2 19045 18.10.2022 13.10.2026 ДА Здесь мы говорим об основной основном канале поддержки SAC (Semi-Annual Channel, Полугодовой канал) и не касаемся LTSC-версий, которые не предназначены для широкого использования.\nПервая сборка пакетов для дедупликации в Windows 10 была собрана из пакетов для Windows Server 2012 и предназначалась для сборки 10514, затем стали доступны пакеты на базе Windows Server 2016 (14393) и 2019 (17763). В настоящий момент Windows Server с возможностями рабочего стола переведен в LTSC-канал (не путать с одноименным каналом Windows 10) и новые версии выпускаются раз в два три года. В полугодовом канале обслуживания (SAC) находится просто Windows Server без номера года, который не имеет возможностей рабочего стола и предназначен в первую очередь для быстрого внедрения инноваций в области контейнеров и микрослужб.\nТаким образом все промежуточные версии Windows 10, не имеющие LTSC-аналога серверной системы получают пакеты дедупликации из полугодового канала. Чем это может быть чревато? Прежде всего стабильностью, так как SAC-версии Windows сервер не предполагают использования в системах с возможностями рабочего стола и на текущий момент известно об определенных проблемах с пакетами для версии 20.04, которые на одной системе могут работать, а на другой - не работать.\nC Windows 11 ситуация повторилась, первые выпуски 21H2-23H2 не имели серверного аналога и, следовательно, источника пакетов для дедупликации. Первая версия сервера 2025 на этой платформе основана на выпуске 24H2 и начиная с него мы можем полноценно использовать дедупликацию в Windows 11. На текущий момент существуют следующие стабильные выпуски:\nВерсия Сборка Дата выпуска Окончание поддержки Дедупликация 21H2 22000 14.12.2021 10.10.2023 НЕТ* 22H2 22621 20.09.2022 08.10.2024 НЕТ* 23H2 22631 31.10.2023 11.11.2025 НЕТ* 24H2 26100 01.10.2024 13.10.2026 ДА 25H2 26200 30.09.2025 12.10.2027 ДА Важно! * - несмотря на то, что прямого аналога серверной системы для выпусков 21H2-23H2 нет, пакет дедупликации для них имеется, собранный энтузиастами на базе пакетов от Windows Server 2022, используйте на свой страх и риск.\nОтдельно следует уточнить насчет инсайдерской версии. В ней дедупликация работать не будет. Поэтому выбирайте то, что вам нужнее.\nКроме того, многих интересует вопрос: что будет с дедуплицированными томами при обновлении с Windows 8 или между версиями Windows 10. Отвечаем: ничего страшного не произойдет, но ваши данные окажутся недоступны до тех пор, пока вы не установите пакеты для текущей сборки ОС.\nВнимание! Важно! Дедупликация в Windows 10 не является документированной функцией и может работать некорректно (либо не работать вообще) и, хотя большинство сценариев не несет угроз целостности данных, они могут оказаться недоступными, в т.ч. и на длительное время. Поэтому используйте данную возможность исключительно на свой страх и риск.\nТак как основное обсуждение дедупликации в Windows 10 и размещение пакетов происходят на зарубежном форуме, а многие ссылки ведут на файлообменники мы перепаковали содержимое пакетов и разместили их на собственном сервере.\nСкачать Windows 10 1511 (10586)\nСкачать Windows 10 1607 (14393)\nСкачать Windows 10 1703 (15063)\nСкачать Windows 10 1709 (16299)\nСкачать Windows 10 1803 (17134)\nСкачать Windows 10 1809 (17763)\nСкачать Windows 10 1903/1909 (18362)\nСкачать Windows 10 2004/20H2-22H2 (19041)\nСкачать Windows 11 21H2 (22000)\nСкачать Windows 11 24H2 (26100)\nКаждый архив содержит основные и языковые пакеты, мы оставили только en-US и ru-RU, устанавливать следует какой-то один.\nДля установки откройте командную строку от имени Администратора, перейдите в каталог с распакованными пакетами и выполните приведенные ниже команды, в данном примере мы будем устанавливать пакеты для 2004 русской версии:\n1dism /online /add-package /packagepath:Microsoft-Windows-FileServer-ServerCore-Package~31bf3856ad364e35~amd64~~10.0.19041.1.cab /packagepath:Microsoft-Windows-FileServer-ServerCore-Package~31bf3856ad364e35~amd64~ru-RU~10.0.19041.1.cab 2dism /online /add-package /packagepath:Microsoft-Windows-Dedup-Package~31bf3856ad364e35~amd64~~10.0.19041.1.cab /packagepath:Microsoft-Windows-Dedup-Package~31bf3856ad364e35~amd64~ru-RU~10.0.19041.1.cab 3dism /online /enable-feature /featurename:Dedup-Core /all Для установки других версий или языков соответствующим образом измените команды. Наименования пакетов отличаются только номером сборки и указателем языка. Сразу после установки пакетов дедуплицированные данные снова станут доступны, перезагрузка не требуется. Для управления дедупликацией в Windows 10 нет графических инструментов, поэтому воспользуемся PowerShell.\nЕсли вы впервые включили дедупликацию, то следует импортировать модуль PowerShell, для этого запустите консоль PowerShell от имени администратора выполните следующие команды:\n1Set-ExecutionPolicy ByPass -Force 2Import-Module Deduplication Теперь, например, можно проверить наличие дедуплицированных томов и их состояние:\n1Get-DedupVolume Но не будем забегать вперед и начнем сначала. Для включения дедупликации воспользуйтесь командой:\n1Enable-DedupVolume -Volume E: Запущенная без параметров данная команда установит тип использования тома \u0026quot;по умолчанию\u0026quot;, который подходит для общего применения, однако тип использования можно указывать явно, допустимы следующие значения:\nHyperV - тома для хранения виртуальных машин Hyper-V. Backup -том оптимизирован для виртуализированных серверов резервного копирования. Default- том общего назначения. Это значение по умолчанию. Например, данная команда включит виртуализацию с типом использования Hyper-V или сменит его, если дедупликация для данного тома уже включена:\n1Enable-DedupVolume -Volume E: -UsageType HyperV Обратите внимание, что данная команда только включает дедупликацию, но не производит ее, ваши данные будут оставаться неоптимизированными до тех пор, пока не будет выполнено задание оптимизации (вручную или по расписанию).\nНо перед тем, как запускать задание стоит выполнить более тонкую настройку процесса дедупликации, во-первых, установим минимальный возраст данных для дедупликации, чем он ниже, тем эффективнее процесс, но тем выше нагрузка на систему (задание по оптимизации выполняется каждый час). Например, установим данное значение в 0, т.е. оптимизироваться будут все данные:\n1 Set-DedupVolume -Volume E: -MinimumFileAgeDays 0 Вторая полезная опция - минимальный размер дедуплицируемого файла, на томах с виртуальными машинами имеет смысл установить это значение таким образом, чтобы дедупликации подвергались виртуальные диски, но не затрагивались мелкие файлы конфигурации. Размер устанавливается в байтах, т.е. установить 512 МБ следует командой:\n1Set-DedupVolume -Volume E: -MinimumFileSize 536870912 Опции командлета Set-DedupVolume можно сочетать, т.е. сразу установить и минимальный размер, и минимальное время. Еще одна полезная опция - исключения, например, следующая команда исключит из процесса дедупликации папку E:\\Folder1:\n1Set-DedupVolume -Volume E: -ExcludeFolder E:\\Folder1 Путь следует указывать полностью, несколько значений разделяются запятыми, если путь содержит пробелы, то его следует взять в кавычки. Повторный запуск команды перезаписывает параметры. Важно понимать этот момент, так как если вы позже захотите добавить в исключения еще и E:\\Folder2, то команда должна выглядеть так:\n1Set-DedupVolume -Volume E: -ExcludeFolder E:\\Folder1, E:\\Folder2 В противном случае вы Folder2 в список исключений добавите, а Folder1 удалите.\nАналогичным образом можно задать исключения по типам файлов, для этого укажите нужные расширения (без точки) через запятую, например, исключим временные файлы и сигнальные lck-файлы:\n1Set-DedupVolume -Volume E: -ExcludeFileType tmp, lck После того, как все необходимые настройки выполнены, можно запускать процесс оптимизации, для этого предназначена команда:\n1Start-DedupJob -Volume E: -Type Optimization Проконтролировать ход выполнения задания можно командой:\n1Get-DedupJob Таким образом можно выполнять не только оптимизацию, данный командлет поддерживает следующие виды задач:\nOptimization -запуск процесса дедупликации данных. Garbage Collection - применяется для очистки всех неиспользуемых или удаленных данных. Scrubbing - проверка целостности дедуплицированных данных. Unoptimization - запуск процесса отмены дедупликации данных. Первоначальный процесс оптимизации может занять продолжительное время, создавая при этом достаточно большую нагрузку на диск, учитывайте это. Скорость дедупликации на практике находится в пределах 20-40 МБ/с, так что необходимое время можно достаточно точно рассчитать и спланировать.\nСтоит ли овчинка выделки? Однозначно стоит, ниже приведен результат дедупликации нашего хранилища виртуальных машин: Если бы не данная технология, то нам давно бы пришлось топать за новыми дисками вдвое большего объема.\nЗакончив с дедупликацией, не забудьте проверить и откорректировать расписание регламентных заданий, некоторые из них запланированы на глубокую ночь, когда рабочая станция будет гарантировано выключена, поэтому перенесите их на рабочее время. Если вам потребуется отключить дедупликацию тома, то сначала необходимо выполнить обратный оптимизации процесс, который вернет все данные на свои места. Если свободного места не хватит, то процесс будет приостановлен.\n1Start-DedupJob -Volume E: -Type Unoptimization После того как дедупликация данных будет отменена можно будет выключить этот режим для тома, для этого выполните:\n1Disable-DedupVolume -Volume E: Как видим, благодаря энтузиастам, мы вполне успешно можем использовать все преимущества дедупликации в среде настольных ОС, а некоторая сложность установки и управления с лихвой компенсируется экономией дискового пространства. Да и возможность эта востребована в основном специалистами или энтузиастами, для которых работа в командной строке не является чем-то экзотическим.\n","id":"794556feb95f721f2f7b08ee4354aee4","link":"https://interface31.ru/post/vklyuchaem-deduplikaciyu-v-windows-10/","section":"post","tags":["PowerShell","Windows 10","Дедупликация"],"title":"Включаем дедупликацию в Windows 10/11"},{"body":"Мы уже неоднократно поднимали вопрос важности синхронизации времени, особенно сейчас, когда даже в небольших сетях появляется все больше и больше служб критичных к точному времени. Это криптография, системы контроля доступа и видеонаблюдения, кассовые узлы. В этих условиях точности обычных аппаратных часов начинает не хватать и хотя во многих случаях допускается разбег времени не более пяти минут, лучше не ждать пока это случится (как всегда в самый неподходящий момент), а обеспечить свою инфраструктуру собственным сервером времени. В данной статье мы рассмотрим, как это сделать в системах основанных на Debian.\nПеред установкой сервера времени убедитесь. что в вашей системе правильно настроен часовой пояс, проверить и изменить его можно командой:\n1dpkg-reconfigure tzdata Данную и все последующие команды следует выполнять с правами суперпользователя.\nПосле установки часового пояса обновите список пакетов и установите пакет NTP-сервера:\n1apt update 2apt install ntp Пакет работоспособен сразу после установки и конфигурация из коробки достаточно актуальна, но лучше внести в нее некоторые дополнительные штрихи. Для изменения настроек откроем файл /etc/ntp.conf.\nНачнем с вышестоящих серверов для синхронизации времени, рекомендуется выбирать ближайшие к вам сервера, их адреса можно получить на сайте ntppool.org. Затем найдем в конфигурационном файле следующую секцию: И заменим значения на следующие:\n1pool 0.ru.pool.ntp.org iburst 2pool 1.ru.pool.ntp.org iburst 3pool 2.ru.pool.ntp.org iburst 4pool 3.ru.pool.ntp.org iburst В нашем примере приведены настройки для использования российских серверов времени. Ниже зададим настройку для синхронизации с аппаратными часами на случай отсутствия синхронизации с серверами в интернет:\n1server 127.127.1.0 2fudge 127.127.1.0 stratum 10 Первая строка задает адрес аппаратных часов - 127.127.1.0, вторая указывает приоритет - stratum - он выбран таким образом, чтобы при наличии интернета NTP-сервер не синхронизировался с аппаратными часами. У серверов входящих в пулы ntp.org значение stratum равно двум.\nЗатем перейдем к списку контроля доступа, который состоит из сетевых адресов отсортированных по возрастанию адресов и масок. Запись по умолчанию - default соответствует адресу 0.0.0.0 с маской 0.0.0.0, если в записи не указана маска, то автоматически подставляется значение 255.255.255.255, что соответствует конечному хосту.\nКроме адресов строки списка содержат флаги, флаги указывают на те или иные ограничения, если строка не содержит флагов - это означает полный доступ к серверу. По умолчанию список контроля доступа, следующий: Разберем его подробнее. Первые две строки задают значения по умолчанию, т.е. для любых клиентов, в сетях IPv4 и IPv6:\n1restrict -4 default kod notrap nomodify nopeer noquery limited 2restrict -6 default kod notrap nomodify nopeer noquery limited Перечисленные флаги имеют значения:\nkod - отправка клиенту, посылающему нежелательные запросы, пакета KoD (Kiss O'Death), получатель такого пакета обязан выполнить предписанную ему проверку и изменить свое поведение, в противном случае такой клиент будет отключен от сервера. notrap - запрет приема управляющих сообщений nomodify - запрет приема сообщений, изменяющих состояние сервера nopeer - запрет установки одноранговых отношений с другими NTP-серверами noquery - запрет любых запросов для синхронизации времени поступающих с других серверов limited - запрет обслуживания, если интервал между пакетами от клиента превышает разрешенные значения Под ними расположены строки, дающие полный доступ к серверу локальной системе:\n1restrict 127.0.0.1 2restrict ::1 Отсутствие маски указывает на то, что это конечный узел, а отсутствие флагов предоставляет полный доступ.\nПри необходимости мы можем добавить свои записи, скажем для клиентов собственной сети с меньшим числом ограничений:\n1restrict 192.168.111.0 mask 255.255.255.0 nomodify notrap Если нужно запретить доступ к серверу времени, то следует использовать флаг ignore. Допустим, мы хотим запретить доступ для всех клиентов доменной сети, кроме эмулятора PDC:\n1restrict 192.168.122.0 mask 255.255.255.0 ignore #доменная сеть 2restrict 192.168.122.101 nomodify notrap #PDC Расположение строк не имеет значения, так как при запуске сервера все адреса будут отсортированы по возрастанию адреса/маски.\nПосле внесения изменений следует перезапустить службу:\n1systemctl restart ntp Проверить ее статус можно командой:\n1systemctl status ntp Состояние синхронизации с вышестоящими серверами можно узнать командой:\n1ntpq -p Которая выдаст нам следующий вывод: На что следует обратить внимание? Прежде всего на символы слева от адреса сервера:\n* - сервер выбран для синхронизации + - сервер пригодный для синхронизации - - синхронизация с этим сервером не рекомендуется x - сервер недоступен Затем на колонку refid - показывающее вышестоящий сервер синхронизации и колонку offset, которое показывает расхождение ваших часов с эталоном, при положительном значении наши часы спешат, при отрицательном отстают.\nВ колонке st указывается stratum - приоритет сервера, аdelay содержит задержку ответа от сервера. Как видим, в нашем случае служба времени выбрала для синхронизации сервер с приоритетом 1, который синхронизируется от GPS-часов, несмотря на более высокий уровень задержки при работе с ним.\nНу и не забудьте разрешить доступ к вашему NTP-серверу в брандмауэре, добавив в правила iptables строку:\n1iptables -A INPUT -p udp --dport 123 -j ACCEPT При необходимости можно ограничить доступ сетевым интерфейсом:\n1iptables -A INPUT -i ens33 -p udp --dport 123 -j ACCEPT Либо подсетью:\n1iptables -A INPUT -s 192.168.111.0/24 -p udp --dport 123 -j ACCEPT Как видим, настроить собственный сервер времени очень и очень просто, можно просто установить пакет и работать. Но гораздо лучше разобраться с настройками, хотя бы на базовом уровне, после чего для вас конфигурация NTP перестанет быть \u0026quot;китайской грамотой\u0026quot; и вы будете понимать, как именно работает ваш сервер.\n","id":"7d8c93ce02c836ba4d5f62768e2d805c","link":"https://interface31.ru/post/nastroyka-ntp-servera-v-debian-ili-ubuntu/","section":"post","tags":["Debian","NTP","Ubuntu Server"],"title":"Настройка NTP-сервера в Debian или Ubuntu"},{"body":"Маркировка шагает по стране, с 1 июля она стала обязательна для табака, обуви и лекарств. Для работы с кодами маркировки требуются специальные 2D-сканеры штрих-кода, которые в достаточно большом ассортименте представлены на рынке. Устройства от разных производителей могут быть в разной степени подготовлены к работе с маркированным товаром и к этому нужно быть готовым, торговое оборудование часто требует дополнительных настроек. Но может оказаться и так, что устройство из коробки будет практически полностью неработоспособным, как это произошло со сканером Youjie YJ4600.\nПри покупке торгового оборудования вполне уместно желание сэкономить, особенно если устройств нужно много. Поставщики идут навстречу этому желанию, предлагая большой выбор устройств бюджетного сегмента. Довольно большую популярность получила модель Youjie YJ4600, которую можно сегодня купить, начиная от 4100 руб, дешевле только Китай. Youjie дочерний бренд известного производителя Honeywell, созданный для восточного рынка, а с некоторых пор выведенный и на рынок России. Известный производитель, невысокая цена, рекомендации продавцов - все это способствует выбору именно этой модели. А вот дальше начинаются сложности. Модель достаточно плохо адаптирована под российский рынок, в комплекте нет даже нормальной инструкции, та, что идет - на китайском языке. И это при том, что из коробки сканер практически неработоспособен.\nМы уже привыкли, что сканеры обычно не требуют особой настройки: подключил и работай. Сложности могут возникнуть со специфическими видами штрих-кодов, например, с инверсными****DataMatrix сигарет. Но с Youjie YJ4600 все по-другому, возможно это специфика восточного рынка, но в наших реалиях без дополнительной настройки вы не сможете использовать его даже в качестве одномерного сканера для обычных ШК.\nНастройка сканера осуществляется считыванием специальных управляющих штрих-кодов, а начать ее следует со сброса устройства к заводским параметрам: На этом основные настройки закончены, но мы рекомендуем добавить еще несколько. Для ускорения передачи информации на ПК для сканера, подключенного в режиме USB-HID можно включить Турбо-режим: Если после включение данного режима штрих-коды стали передаваться не полностью (теряются отдельные символы), либо перестали передаваться вообще, то Турбо-режим следует отключить: Следующая настройка сугубо сервисная, на наш взгляд громкость сканера сильно высокая, поэтому будет лучше сделать его тише: На этом настройку сканера можно считать законченной. Теперь он будет работать как с линейными штрих-кодами, так и со всеми видами кодов маркировки.\n","id":"c70e15a24e241a8a4525dd8af85ce8f4","link":"https://interface31.ru/post/nastroyka-skanerov-youjie-yj4600-dlya-raboty-s-markirovannoy-produkciey/","section":"post","tags":["Автоматизация","Маркировка","Торговое оборудование","Штрих-код"],"title":"Настройка сканеров Youjie YJ4600 для работы с маркированной продукцией"},{"body":"Так как наша деятельность плотно связана с автоматизацией и встраиваемыми системами, то любые подходящие для этих целей устройства представляют для нас профессиональный интерес, особенно если они компактные и имеют низкое энергопотребление. Поэтому мы не могли пройти мимо серии ThinkCentre M Tiny от Lenovo, которые соответствуют всем предъявляемым нами требованиям и весьма привлекательны по цене. Остается только оценить их возможности, о чем мы и хотим рассказать в данной статье.\nПоследние требования законодательства приводят к необходимости автоматизации даже небольших торговых точек. Перед их владельцами встает выбор: либо использовать готовые устройства наподобие ЭВОТОР, либо смотреть на более-менее полноценные системы на базе 1С. На первый взгляд ЭВОТОР имеет свою привлекательность, но бизнес-модель таких систем построена на подписке, за любую дополнительную возможность надо платить и чем дальше - тем больше. Также отсутствует какая-либо возможность апгрейда, технические возможности самих устройств при этом достаточно ограничены.\nДля \u0026quot;взрослой\u0026quot; автоматизации идеально подходят POS-моноблоки, наиболее популярные модели от компании АТОЛ мы уже рассматривали, но есть один сдерживающий момент - цена. Так даже младшая модель АТОЛ Optima обойдется вам на начало июля 2020 года около 30 000 руб. А ведь кроме моноблока еще потребуется набор торгового оборудования. Поэтому есть определенный запрос не более недорогие варианты и компьютеры ThinkCentre M Tiny - один из них.\nМы будем рассматривать модель LENOVO ThinkCentre M625q, точнее целое семейство моделей. Они построены на процессорах AMD A-серии 7-го поколения Stoney Ridge относящиеся к архитектуре Zen. В продаже имеются компьютеры на базе двухъядерных E2-9000e 1,5 / 2,0 ГГц + Radeon R2 и A9-9420e 1,8 / 2,7 ГГц + Radeon R5, оба чипа имеют TDP в 6 Вт, но A9-9420e выглядит гораздо интереснее, особенно учитывая незначительную разницу по цене между моделями линейки.\nУ нас в руках оказалась модель ThinkCentre M625q, AMD A9 9420E, DDR4 4ГБ, 128ГБ(SSD), AMD Radeon R5, noOS, черный [10tf001lru] стоимостью 12 890 руб (цены на начало июля 2020). Это достаточно недорого, остается докупить лишь недорогой монитор, и общая стоимость комплекта получится в районе 18 000 руб. В комплект устройства входят проводные клавиатура и мышь, а также VESA-крепление, позволяющее разместить компьютер на задней стенке монитора.\nУстройство выполнено в металлическом корпусе строгого классического дизайна. На лицевой панели выведены разъемы аудиоустройств и два USB-порта, один из которых имеет возможность зарядки устройств при выключенном ПК. На задней панели расположены 4 разъема USB, 2 Display Port и VGA, также антенна Wi-Fi, Ethernet и фирменный разъем питания Lenovo. Важно! Обратите внимание, что в линейке M625q есть модели, отличающиеся только артикулом, но имеющие разный набор разъемов задней панели, например, без VGA, поэтому уточняйте этот вопрос перед покупкой,\nТеперь заглянем внутрь. Сделать это достаточно просто, нужно открутить всего лишь один винт на задней панели, он там единственный, перепутать не получится. На верхней стороне платы расположен процессор с пассивным алюминиевым радиатором, турбина для выброса горячего воздуха за пределы корпуса и посадочное место для дополнительного 2,5\u0026quot; SATA накопителя слева. Под ним расположен разъем M2 в который вставлен комбинированный адаптер RTL8822BE 2 x 2 AC WiFi + Bluetooth 4.1. С нижней стороны находится слот оперативной памяти SO-DIMM с поддержкой до 8 ГБ DDR4 и еще один M2 для PCIe / SATA-накопителей. Штатно установлен KBG30ZMT128G от Toshiba типоразмера 2242 с поддержкой NVMe, также имеется возможность установки накопителей 2280, производитель предусмотрительно расположил на плате дополнительную термопрокладку. В целом устройство, не смотря на компактность, производит хорошее впечатление как ремонтопригодностью, так и широкими возможностями апгрейда.\nПерейдем к экспресс-тестированию производительности. Для сравнения возьмем широко используемый в POS-системах и достаточно популярный SoC Celeron J1900, обзор на который можно прочитать здесь.\nНо прежде всего обратим внимание на дисковую подсистему, потому что она этого заслуживает. Несмотря на бюджетный статус данного компьютера Lenovo установили в него хороший PCI-e x2 SSD, который показал следующие характеристики: Понятно, что это TLC и за пределами SLC-кеша у него будут несколько иные параметры, для этого мы провели еще один тест: Ну что тут можно сказать? Для бюджетного ПК диск просто отличный, показывающий достаточно высокую производительность и за пределами SLC-кеша. А с учетом того, что такие операции в повседневной деятельности встречаются нечасто, то дисковая подсистема явно не будет здесь узким местом.\nЗатем мы запустили на данном ПК пакет PCMark 8, что позволит сравнить результаты с Celeron J1900.\nТест Home accelerated - 1340 баллов против 1313 у Celeron 1900. В общем и целом паритет, но у AMD двухядерник, против 4 ядер Intel. В тесте Work accelerated данный ПК набрал 2573, против 1388 у Intel, продемонстрировав отрыв практически в два раза. Это еще раз показывает возможности архитектуры Zen, которая обеспечивает высокую производительность не только в настольном сегменте, но и в таких специфических областях. Напомним, что тепловой пакет данного процессора всего 6 Вт, у Celeron 1900 - 10 Вт. Еще один тест, показывающий производительность современных веб-приложений в браузере WebXPRT 2015. И снова отрыв: 209 против 150 баллов. Хотя этот тест показателен еще и в другом. В нашем исследовании мы тестировали Celeron J1900 вместе с IE11, где он набрал 104 балла, сегодня мы повторили тест на новой системе с Edge Chromium, где получили 150. Можете сами оценить разницу между веб-движками. Теперь перейдем к специфике - тесту Гилева, который позволяет оценить производительность 1С:Предприятия. Здесь мы получили неожиданно низкий результат, мы несколько раз повторили тест с разными настройками режима энергосбережения, но принципиальной разницы это не дало. Однако сказать, что все плохо нельзя, во многих случаях ситуацию вытягивает скоростной SSD. Понятно, что работу с тяжелыми конфигурациями, вроде Бухгалтерии 3.0 данный ПК не обеспечит, но в среде Розницы 2.3 повседневные операции, такие как ввод приходных накладных, работа с карточками номенклатуры, продажи через РМК не вызывали каких-либо затруднений и неудобств. Для торговых точек с небольшой проходимостью производительности будет вполне достаточно.\nЕсли же использовать данный ПК в качестве тонкого клиента, то производительности будет вполне достаточно для работы с любыми конфигурациями 1С:Предприятие, все равно основные вычисления выполняются на сервере. Это позволяет организовать на базе этого компьютера недорогие и эффективные рабочие места.\nВыводы Перед нами недорогой, но отлично сбалансированный компьютер от известного производителя. Основное его назначение - рабочие места и встраиваемые системы. Он отлично подойдет для автоматизации торговых точек с небольшой проходимостью, а также в качестве основы для рабочих ПК в организациях. А вот для малого бизнеса мы бы выбрали что-нибудь иное, для использования в качестве универсального ПК данная платформа недостаточно производительна.\nТакже хочется отметить технологичность данной линейки, доступ внутрь устройства предельно прост, поэтому обслуживание не вызовет затруднений. Также достаточно легко расширить возможности устройства установкой дополнительного SATA-накопителя, заменой памяти или диска в разъеме M2. Производитель не только не препятствует этому, но подразумевает подобный сценарий, об этом говорит, например, дополнительная термопрокладка на случай установки диска типоразмера 2280.\nСетевые возможности устройства тоже на высоте: Ethernet, двухдиапазонный Wi-Fi стандарта AC и Bluetooth 4.1 предоставляют широкие возможности коммуникаций, а при необходимости беспроводной адаптер также можно заменить.\nЧто касается домашнего, мультимедийного применения, то платформа на это не рассчитана, например, не предусмотрен HDMI-разъем, хотя сама по себе она является достаточно привлекательной в этом плане, а проблему вывода видео можно решить при помощи переходников.\nЭнергопотребление и нагрев компьютера невелики, штатную турбину практически не слышно во всех режимах эксплуатации устройства, а пассивного охлаждения процессору вполне достаточно. Это еще один плюс, так как отказ турбины не приведет к каким-либо серьезным последствиям, естественной циркуляции воздуха будет вполне достаточно.\nПоэтому мы рекомендуем присмотреться к линейке ThinkCentre M Tiny всех, кому нужен недорогой, компактный и эффективный ПК для рабочих задач или автоматизации.\n","id":"8aa332e8d05f97839dc2853191cd8ca3","link":"https://interface31.ru/post/vzglyad-na-vozmozhnosti-kompaktnogo-pk-lenovo-thinkcentre-m625q/","section":"post","tags":["AMD","CPU","Рабочее место"],"title":"Взгляд на возможности компактного ПК LENOVO ThinkCentre M625q"},{"body":"1С:Предприятие в Linux это уже давно не только сервер, но и клиент. Разработчики проделали большую работу, сделав приложение действительно кроссплатформенным, не так быстро, как хотелось бы подтягиваются и производители торгового оборудования, систем криптографии, интернет-банков. Поэтому интерес к использованию 1С:Предприятие на платформе Linux только растет и мы неоднократно поднимали эту тему. Но время не стоит на месте, появляются новые версии ОС, которые имеют свои особенности установки, о которых мы и поговорим в данной статье.\nИнформация Начиная с платформы 8.3.20 1С:Предприятие переходит на единый дистрибутив для Linux, о работе с ним читайте в нашей статье: Единый дистрибутив 1С:Предприятие для Linux. Установка клиента\nНа момент написания данной статьи младшей актуальной версией платформы является 8.3.15, а последней 8.3.17, поэтому мы будем ориентироваться последнюю версию и учитывать официальные рекомендации фирмы 1С по зависимостям и дополнительным библиотекам.\nВнимание! Важно! Мы не рекомендуем устанавливать на новые ОС версии платформы ниже 8.3.16, так как они могут работать нестабильно.\nВ качестве ОС мы будем использовать Debian10 и Ubuntu 20.04, также все описанное будет справедливо для всех производных от них систем. Для установки на более ранние версии рекомендуем воспользоваться нашей предыдущей статьей: Установка клиента 1С:Предприятие 8.3 на Debian / Ubuntu\nПрежде всего разберемся с зависимостями. Основная проблема - это пакет webkitgtk-3.0.0, который в новых версиях отсутствует, поэтому для его получения нам придется подключить репозитории от прошлого выпуска ОС. Также начиная с версии 8.3.17 не требуются библиотеки Libgsf и Glib. На наш взгляд, разработчики пошли порочным и неправильным с точки зрения философии UNIX путем - все свое ношу с собой, включая данные библиотеки в состав дистрибутива. Более правильно было бы указать нужные пакеты в качестве зависимостей, тем более что у всех основанных на Debian дистрибутивах пакетная база практически полностью унифицирована.\nВсе последующие действия следует выполнять с правами суперпользователя, для этого выполните в консоли:\n1sudo -s Начнем с репозиториев. В Debian прежде всего подключим разделы с несвободным ПО, для этого откроем /etc/apt/sources.list и добавим после main в каждую строку contrib и non-free. В Ubuntu подобных действий производить не нужно. После чего добавим репозиторий от предыдущей версии. Сначала создадим файл для списка источников:\n1touch /etc/apt/sources.list.d/1c.list И внесем в него следующее содержимое.\nДля Debian 10:\n1deb http://deb.debian.org/debian/ stretch main Для Ubuntu 20.04:\n1deb http://ru.archive.ubuntu.com/ubuntu/ bionic universe 2deb http://security.ubuntu.com/ubuntu bionic-security main Затем обновим список пакетов:\n1apt update И установим основные зависимости:\n1apt install libwebkitgtk-3.0-0 libodbc1 ttf-mscorefonts-installer Для 8.3.16 также в системе должен присутствовать пакет libgsf-1-114, проще всего это проверить попробовав установить его:\n1apt install libgsf-1-114 Если система сообщит, что пакет уже установлен - то все порядке, иначе будет произведена его установка.\nТеперь скачаем с сайта 1С два архива: Клиент 1С:Предприятия (64-bit) для DEB-based Linux-систем и Сервер 1С:Предприятия (64-bit) для DEB-based Linux-систем, обратите внимание, что разрядность архива должна соответствовать разрядности ОС. В настоящий момент мы не видим смысла использовать 32-разрядные системы, поэтому здесь и далее речь будет идти о 64-разрядных системах.\nКоротко разберем состав архивов, в поставку клиента входят пакеты:\nclient - клиентские приложения (толстый клиент и тонкий клиент) «1С:Предприятия» thin-client - тонкий клиент «1С:Предприятия» (не поддерживается работа с файловым вариантом информационной базы) В состав сервера:\ncommon - общие компоненты «1С:Предприятия» server - компоненты сервера «1С:Предприятия» ws - адаптер для публикации Web-сервисов «1С:Предприятия» на веб-сервере на основе Apache HTTP Server 2.0, 2.2 или 2.4 Также в поставке присутствуют пакеты с суффиксами -nls, они содержат языковые ресурсы, кроме русского и английского языков, поэтому если они вам не нужны, то их установка необязательна.\nСоздадим отдельную папку и скопируем туда пакеты client, common и server, а также, при необходимости, nls-пакеты. Затем снова перейдем в терминал, для этого в меню правой кнопки мыши выберите Открыть в терминале. Поднимем права до суперпользователя и установим пакеты командой:\n1dpkg -i 1c*.deb После чего можем попробовать запустить 1С с ярлыка в системе. В 8.3.17 при отсутствии лицензии платформа, как и в Windows, предложит вам выполнить получение лицензии. Если же этого не произошло, то просто запустите платформу в режиме Конфигуратора.\nНадеемся, что после прочтения данной статьи у вас не возникнет проблем с установкой клиентской платформы 1С на базе современных версий Debian / Ubuntu, также мы всегда готовы ответить на ваши вопросы в комментариях.\n","id":"667ff6aa813a9621782fbf61fa7b9397","link":"https://interface31.ru/post/ustanovka-klienta-1spredpriyatie-83-na-debian10-ubuntu2004.html/","section":"post","tags":["1С Предприятие 8.х","Debian","Ubuntu","Развертывание"],"title":"Установка клиента 1С:Предприятие 8.3 на Debian10 / Ubuntu 20.04"},{"body":"Работа с торговым оборудованием обычно вызывает у начинающих определенные затруднения, во многом это связано с тем, что данная тема традиционно является достаточно закрытой. Но не от того, что кто-то намеренно зажимает информацию, а от довольно высокого порога входа. Многие ошибки и проблемные ситуации для специалистов таковыми не являются и на специализированных форумах не обсуждаются, а новички зачастую просто не знают где спросить совета. А сопряжение торгового оборудования с 1С:Предприятие вообще является отдельной темой, со своими особенностями и проблемами.\nСегодня мы рассмотрим одну их таких ситуаций, с которой может столкнуться большая часть пользователей программ 1С:Предприятие использующих ККТ фирмы АТОЛ. Как известно в нашей стране широко внедряется маркировка отдельных видов товаров, на сегодня это лекарства, обувь, табак. С 1 июля 2020 года маркировка для этих товаров становится обязательной, что требует приведения в соответствие торговых систем тех, кто до сих пор этого не сделал.\nДля того, чтобы правильно работать с маркированным товаром нужно обновить прошивку ККТ, актуальная текущая версия для платформы 2.5 АТОЛ - 8541, а также установить драйвер ККТ не ниже 10.6.2.0, в нашем случае использовался драйвер 10.7.0.0.\nПри этом идеально бы было, конечно, обновить и саму конфигурацию прикладного решения 1С до актуальной, но это не всегда возможно и экономически оправдано, особенно если ваша конфигурация сильно доработана и на текущий момент удовлетворяет всем предъявляемым требованиям. В нашем случае это оказалась Розница 2.2.13.12.\nНа первый взгляд все было хорошо, все необходимые реквизиты в чеке печатаются и все необходимые данные передаются, но при проверке подключения оборудования в 1С возникла ошибка Некорректный код защиты / лицензия или номер. В чем дело? А дело в том, что производитель ККТ АТОЛ начиная с прошивки 8502 изменил механизм защиты с кодов защиты на лицензии. Процитируем официальную документацию:\nЛицензия 1 и Лицензия 2 работают совместно и описанный ниже функционал не доступен, если одна из лицензий удалена!\nЛицензия 1 является основной, и, помимо основных фискальных функций (выполнение регистрации/перерегистрации ККТ, открытие/закрытие смены в ККТ и т.д.), позволяет работать ККТ в соответствии с Федеральным законом № 303-ФЗ «О внесении изменений в отдельные законодательные акты российской федерации о налогах и сборах» (в части введения ставки НДС 20%, использования термина «безналичными» (формами расчета) вместо «электронными»), допускает работу с маркированным товаром с проведением ФЛК кодов товара для записи в ФН, работу с некоторыми реквизитами фискальных документов (теги 1227-1231, значения 14..26 тега 1212), а также допускает программирование и печать картинок и штрихкодов (см. раздел «Команды печати» на странице 54), и использование пользовательских шаблонов.\nЛицензия 2 позволяет печатать отчеты без гашения (кроме отчета о состоянии расчетов), программировать клише чека и шаблоны чеков, выполнять инициализацию ЭЖ.\nТехподдержка АТОЛ также достаточно однозначно высказалась на форуме (сохранена орфография и пунктуация автора):\nбез лицензий/кодов защиты не будет работать функционал, которые эти самые лицензии/коды защиты лицензируют/защищают\nС одной стороны вроде бы все работает, но подобные ошибки имеют нехорошее свойство приводить к самым неожиданным результатам в самый неподходящий момент, а учитывая что неисправность ККТ фактически делает невозможной работу торговой точки, что влечет не упущенную прибыль, а вполне конкретные и измеряемые убытки, то с такими вещами лучше не шутить.\nА теперь давайте разбираться, как следует из документации АТОЛ нам требуется минимально версия драйверов 10.6.2.0 с версией к требованию разработки драйверов 3.1. Но позвольте, у нас же стоит 10.7.0.0, о чем написано прямо в окне свойств подключаемого оборудования. Но не все так просто, давайте перейдем в Подключаемое оборудование - Драйверы оборудования и откроем свойства встроенного в конфигурацию драйвера АТОЛ:ККТ с передачей данных в ОФД (54-ФЗ) 10.Х, где мы увидим достаточно интересную картину: Из чего следует, что хотя мы и обновили драйвер ККТ до 10.7.0.0, версия интеграционной компоненты в составе 1С осталась старой 10.5.1.3, которая не умеет работать с новыми лицензиями ККТ АТОЛ.\nДля того, чтобы исправить ситуацию нам потребуется новая интеграционная компонента, которая поставляется вместе с драйверами ККТ, нужно просто выбрать соответствующий пункт при установке, если вы уже установили драйвер, то выполните установку еще раз, дополнительно выбрав нужные компоненты. После чего нужный нам архив можно найти по пути C:\\Program Files (x86)\\ATOL\\Drivers10\\KKT\\1Cv83. Загрузим его в 1С, для избежания путаницы мы советуем изменить предлагаемое имя драйвера с АТОЛ:ККТ с передачей данных в ОФД (54-ФЗ) 10.Х на АТОЛ:ККТ с передачей данных в ОФД (54-ФЗ) 10.7, в этом случае вы всегда будете видеть с каким именно драйвером работаете.\nВажно! Важно! Если вы используете РИБ, то загружать файл драйвера следует в центральном узле и распространять его на узлы РИБ через синхронизацию.\nПосле чего создайте новый экземпляр оборудования с новым драйвером. В большинстве случаев этого будет достаточно, но не всегда. Что не так на этот раз? Снова вернемся в Подключаемое оборудование - Драйверы оборудования и посмотрим в свойства загруженного драйвера. Как видим, несмотря на то что мы загрузили новую интеграционную компоненту 1С продолжает использовать старую, входящую в состав конфигурации. Для исправления этой ситуации перейдем в расположение %USERPROFILE%\\AppData\\Roaming\\1C\\1cv8\\ExtCompT и найдем там файл registry.xml, который содержит сведения обо всех подключенных к 1С интеграционных компонентах. За интеграцию с ККТ АТОЛ отвечают компоненты fptr10_1c_win32_10_х_х_х.dll, где 10_х_х_х - версия драйвера. Удаляем из этого файла все записи, кроме относящейся к последней версии драйверов. Сохраняем его и перезапускаем 1С, сразу проверяем свойства драйвера. На этот раз все нормально, версия основной поставки и интеграционной компоненты совпадают. Проверяем тест связи с кассой - тоже все работает: После этого не забываем перейти в НСИ - Кассы ККМ и подключить нужной кассе новый экземпляр оборудования. Как видим, никаких особых сложностей в исправлении данной ошибки нет. Но только в том случае, если вы четко знаете что, вам нужно делать и куда смотреть, в противном случае все это может вылиться в шаманские камлания с бубном и очень сомнительными результатами.\n","id":"1289d702e914251069841293a0f08887","link":"https://interface31.ru/post/nekorrektnyy-kod-zashhity-licenziya-ili-nomer-dlya-kkt-atol/","section":"post","tags":["1С Предприятие 8.х","Автоматизация","АТОЛ","ККТ","Торговое оборудование"],"title":"1С:Предприятие 8. Исправляем ошибку \"Некорректный код защиты / лицензия или номер\" для ККТ АТОЛ"},{"body":"Последнее время значительно увеличилось число вопросов связанных с Windows 10 LTSB/LTSC, которая достаточно активно продвигается на различных околотехнических ресурсах, как альтернатива обычным выпускам Windows. При этом реальные технические отличия и возможные проблемы как правило обходятся стороной, что впоследствии вызывает массу вопросов от пользователей этих выпусков. Поэтому мы решили внести ясность и разобраться чем является, а чем не является эта версия Windows.\nДля начала немного разберемся с терминологией. Начнем с того, что внятной системы именования собственных продуктов у Microsoft нет и метания продолжаются уже не первый год, поэтому не ищите логику в отдельных моментах, ее там нет, просто принимайте это как данное.\nС выходом Windows 10 Microsoft отказалась от традиционной модели выпуска операционных систем и перешла на модель Windows как услуга (WaaS), которая предполагает выход новых выпусков два раза в год, весной и осенью, кроме того, отдельные компоненты и приложения могут обновляться самостоятельно, без привязки к выпускам операционной системы. Хорошим примером может служить новый Edge, который распространяется через Windows Update и не привязан к конкретному выпуску Windows.\nТакже изменилась и схема обслуживания. Ранее предлагались основные выпуски, пакеты обновлений (Service Pack), и еженедельные (далее ежемесячные) обновления. Теперь предполагаются обновления компонентов (читай - новые выпуски ОС), которые происходят раз в полгода и накопительные ежемесячные обновления, которые содержат как обновления безопасности, так и исправления, а также новые функции. Подробнее о новой модели обновлений вы можете прочитать здесь.\nВместе с этим ввели понятие канала обслуживания, который подразумевает, каким образом пользователю будут доставляться обновления, в течении какого срока и какие именно. Сегодня существуют два канала обслуживания:\nПолугодовой - Semi-Annual Channel (SAC) - получает обновления компонентов, т.е. новые выпуски два раза в год Канал долгосрочного обслуживания - Long Term Servicing Channel (LTSС) - не получает обновления компонентов и имеет расширенную поддержку до 10 лет, ранее данный канал назывался Long Term Servicing Branch (LTSB) Поддержка версий в канале SAC осуществляется в течении 18 месяцев, для Корпоративной (Enterprise) и Образовательной (Education) редакций срок поддержки, начиная с выпуска 1903, отличается для выпусков по временам года. Весенние выпуски имеют поддержку в 18 месяцев, осенние - 30 месяцев. Также дополнительную поддержку в 30 месяцев имею выпуски 1703 и 1803.\nВ канале LTSC предполагается срок основной поддержки - 5 лет, плюс 5 лет дополнительной поддержки, в течении которых система будет получать только обновления безопасности.\nТаким образом LTSB/LTSC не являются отдельной редакцией Windows 10, а представляют собой отдельный канал обслуживания.\nДо сих пор все было достаточно логично, а вот дальше пойдут довольно интересные вещи. В канале LTSC доступна единственная редакция Windows - Корпоративная и она имеет технические отличия от редакции, распространяемой в канале SAC. Причем отличий между каналами наберется гораздо больше, чем отличий между Enterprise и Pro.\nУ редакции Enterprise в канале LTSC отсутствуют: Windows Store, Store UX, Cortana, Edge и приложения, обслуживаемые через Windows Store (включая приложения для просмотра изображений, видео и т.д.), также для нее имеется собственный дистрибутив.\nОднако, если мы установим такую систему, то в строке выпуска будет значиться не Корпоративная, а Корпоративная с долгосрочным обслуживанием. Если заглянуть в реестр, то мы увидим там в EditionID значение EnterpriseS, вместо Enterprise и другое значениеProductName: Также данная позиция имеет свой SKU в прайс листе Microsoft, что дает возможность говорить, что де-факто мы имеем дело с отдельной редакцией, хотя официально это одна и та же редакция в разных каналах обслуживания.\nЕще больше путаницы доставляет Windows 10 IoT Enterprise, предназначенная для встраиваемых устройств. Она доступна только в канале LTSC и представляет собой отдельную редакцию в рамках линейки IoT (Internet of Things). В реальности редакции Windows 10 Enterprise LTSC и Windows 10 IoT Enterprise LTSC не имеют технических различий, фактически представляя одну и ту же редакцию, все отличия находятся в способах лицензирования.\nWindows 10 Enterprise LTSC доступна только конечным корпоративным пользователям в рамках программы корпоративного лицензирования, эти лицензии предназначены только для внутреннего использования и их перепродажа невозможна. Таким образом у домашних пользователей нет никаких законных оснований для использования систем канала LTSC, это же касается и бизнеса не использующего программы корпоративного лицензирования. Windows 10 IoT Enterprise LTSC доступна только сборщикам систем и производителям устройств, она может быть перепродана вместе с устройством, но при этом не допускает переноса на другие устройства, т.е. используется как OEM-система. Также предполагается три варианта лицензии в зависимости от мощности процессора, стоимость лицензий для устройств класса Atom или Celeron J1900 может составлять всего 30% от стоимости полной лицензии, что позволяет значительно снизить цену готовых устройств. Также существуют дополнительные ограничения, если Windows 10 Enterprise LTSC можно установить на любой компьютер, то Windows 10 IoT Enterprise LTSC - только на специализированное, встраиваемое (Embedded) устройство. К последним относятся банкоматы, торговые автоматы и терминалы, промышленные и медицинские компьютеры. Исходя из этого можно сделать вывод, что легальное использование IoT редакции возможно только в комплекте со специализированным устройством.\nСогласно официальной позиции Microsoft системы из канала LTSC не предназначены для установки на устройства общего назначения, а предназначены только для специализированных устройств. Это означает, что данные версии ОС не будут получать обновления драйверов и компонентов системы на всем продолжении жизненного цикла, ограничившись исправлениями и обновлениями безопасности. Поэтому, если вы попытаетесь установить LTSC версию на более новый компьютер, то можете столкнуться с отсутствием драйверов и хорошо, если производитель позаботился выпустить драйвера под вашу версию, в противном случае обновлений можно не ждать.\nТакже в рамках поддержки в LTSC канале системы будут получать только исправления критических багов и исправления безопасности, новых функций, которые появляются в SAC-канале можете не ожидать, также можно очень долго ждать исправлений незначительных багов, многие из них могут быть исправлены только в новом выпуске.\nНовые выпуски также выходят гораздо реже - один раз в два-три года. Автоматическое обновление системы не предусмотрено, и вы должны загрузить и установить новую версию вручную.\nТак в чем же смысл использования канала LTSC? Как мы уже говорили выше - это специализированные ПК со специализированным оборудованием и ПО, для которых может оказаться критичным изменение каких-либо подсистем, а получение новых возможностей не требуется. Поэтому мы можем настроить все один раз и быть уверенными, что в течении следующих 10 лет у нас ничего не поломается после обновления.\nНо есть и обратная сторона медали, современный мир очень быстро меняется, особенно там, где дело касается безопасности. Появляются новые угрозы, которые требуют новых решений, многие из которых подразумевают изменения на уровне архитектуры системы. Такие обновления LTSC-версии получать не будут, они могут быть включены только в следующий выпуск, который выходит один раз в два-три года.\nДля специализированных устройств это не имеет большого значения, так как они находятся внутри периметра и могут иметь ограниченный доступ в интернет. А вот для ПК общего назначения это может оказаться критичным.\nВ заключение пройдемся по некоторым распространенным мифам. Один из них гласит, что LTSC-версии не собирают телеметрию - это неверно, они ее собирают, также как и другие редакции. Другой миф приписывает большее быстродействие, отчасти это так, потому что из коробки данная ОС имеет весьма скромный набор софта, ниже представлено меню Пуск свежеустановленной Windows 10 Enterprise 2019 LTSC. Для встраиваемых систем, которые часто ограничены в ресурсах, это имеет значение. Но ПК общего назначения достаточно быстро обрастут дополнительным софтом, который сведет на нет данное преимущество.\nЕще одно сомнительное достоинство - отсутствие Магазина Windows и приложений из него. Да, в современных системах присутствует достаточно много \u0026quot;мусора\u0026quot; из магазина, но он достаточно легко удаляется штатными средствами, да и каких-либо неудобств не доставляет. В то время как LTSC системы не имеют из коробки даже просмотрщика изображений, по умолчанию они открываются в Paint.\nВыводы Следует признать, что вопреки муссируемому на различных околотехнических ресурсах мнению, поддерживаемому авторами различных кустарных сборок, распространяемые в канале LTSC версии не являются тем, чем их пытаются представить. Это не свободные от телеметрии и производительные версии Windows 10. Это системы для специализированных устройств со своими особенностями и ограничениями, слабо подходящими для ПК общего назначения.\nНадо понимать, что база драйверов LTSC системы будет заморожена на момент ее выпуска и если производитель железа не выпустил нужный драйвер, то надеяться вам не на что. Также вы не будете получать новые функции и возможности, включая новые механизмы безопасности. Многие несущественные баги могут не исправляться годами, особенно те, которые касаются пользовательского интерфейса, так как на специализированных устройствах пользователь вообще может не видеть ОС, когда сразу загружается специализированное приложение, а по его закрытию завершается работа ОС.\nКроме того, легальное использование LTSC-систем сильно ограничено системой корпоративного лицензирования, либо покупкой специализированного устройства. Да и фактически не имеет практического смысла, так как вместе с мнимыми преимуществами вы получите достаточно серьезные ограничения, тем самым только добавив насущных проблем и не получив реальных преимуществ.\n","id":"75d87e998f2dccc2c3148fd678410506","link":"https://interface31.ru/post/chem-yavlyaetsya-i-chem-ne-yavlyaetsya-windows-10-ltsbltsc/","section":"post","tags":["LTSC","Microsoft","Windows 10"],"title":"Чем является и чем не является Windows 10 LTSB/LTSC"},{"body":"Довольно часто встречаются ситуации, когда контроллер домена оказывается удален без понижения роли, это может быть связано как с ошибками при понижении, так и с физическим выходом из строя, после чего в структуре Active Directiry остается информация (метаданные) несуществующего контроллера, что может приводить к различным ошибкам. Поэтому, если у вас произошла такая ситуация, следует обязательно выполнить очистку связанных с удаленным контроллером метаданных в базе Active Directory.\nДля выполнения данной задачи могут быть использованы различные инструменты: оснастки MMC графической оболочки и утилиты командной строки, в данной статье мы рассмотрим оба способа.\nОчистка метаданных с помощью средств графического интерфейса Данный способ доступен начиная с Windows Server 2008 и предполагает использование оснасток MMC либо на самом сервере, либо на компьютере администратора с установленным пакетом RSAT. Для того, чтобы очистить метаданные запустите оснастку Active Directory -- пользователи и компьютеры (dsa.msc) и подключитесь к любому работающему контроллеру домена, при запуске оснастки на самом контроллере это будет сделано автоматически.\nЗатем раскройте нужный домен и перейдите в контейнер Domain Controllers, выберите контроллер, метаданные которого нужно очистить и выполните для него команду Удалить (через меню правой кнопки мыши). Подтверждаем удаление, в следующем окне с предупреждением установите флаг Все равно удалить этот контроллер домена. Он постоянно отключен, и его невозможно удалить с помощью мастера удаления и нажмите кнопку Удалить. Будьте внимательны, чтобы по ошибке не удалить действующий контроллер. Если удаляемый контроллер содержал роли хозяев операций, то они будут переданы оставшимся контроллерам произвольным образом, о чем вы получите еще одно предупреждение. Таким образом вам не потребуется захватывать роли вручную. После удаления контроллера откроем оснастку Active Directory сайты и службы (dssite.msc), перейдите в контейнер Servers и убедитесь, что контроллер домена, который вы удалили не содержит вложенных объектов NTDS, после чего сам объект контроллера следует удалить. На этом очистка метаданных для удаленного контроллера домена завершена.\nОчистка метаданных с помощью командной строки Вы также можете очистить метаданные при помощи командной строки, для этого используется утилита ntdsutil, которая автоматически устанавливается на каждом контроллере домена, а также входит в состав пакета RSAT. Все последующие действия нужно выполнять, обладая правами Администратора домена.\nОткроем командную строку и наберем в ней:\n1ntdsutil Все последующие действия будут производиться в контексте этой утилиты. Затем выполним для перехода в режим очистки метаданных:\n1metadata cleanup Теперь соединимся с любым работающим контроллером домена:\n1connections В данном контексте наберите:\n1connect to server ServerName и вернитесь в режим очистки метаданных:\n1quit Теперь перейдем в режим выбора цели:\n1select operation target Первым делом получим список доменов:\n1list domains В полученном выводе находим номер нужного нам домена, если домен один, то это будет ноль и указываем его в следующей команде:\n1select domain # Где # - номер выбранного домена. Аналогичным образом выберем и укажем сайт:\n1list sites Затем:\n1select site # После чего получим список контроллеров в сайте и выберем нужный из них:\n1list servers in site и\n1select server # Будьте внимательны, не удалите работающий контроллер домена! Выбрав необходимый контроллер, вернемся в режим очистки метаданных:\n1quit И удалим метаданные контроллера командой:\n1remove selected server В окне предупреждения еще раз внимательно изучим всю информацию и подтвердим удаление. После удаления откройте оснастку Active Directory сайты и службы (dssite.msc) и убедитесь, что удаленный контроллер не содержит вложенных объектов NTDS, после чего его следует удалить.\nТакже обратите внимание, что роли хозяев операций при этом способе перенесены не будут и их потребуется захватить вручную. Это можно сделать как при помощи ntdsutil, так и с помощью PowerShell.\n","id":"4ad7b35a33161f4cbd5ca0e66694c5d0","link":"https://interface31.ru/post/ochistka-metadannyh-kontrollera-domena-v-active-directory/","section":"post","tags":["Active Directory","ntdsutil","Windows Server","Службы каталогов"],"title":"Очистка метаданных контроллера домена в Active Directory"},{"body":"Если попробовать вспомнить современные операционные системы, то на ум сразу приходят Windows и Linux, кто-то еще вспомнит BSD, отдельно в своем мире существует MacOS. Вот, пожалуй, и весь список. Можно, конечно, начать перечислять дистрибутивы Linux, которым нет числа и где встречаются иногда весьма и весьма оригинальные экземпляры. Но это все-таки Linux, а иногда хочется настоящей экзотики. И такая экзотика есть, сегодня мы рассмотрим два полностью самостоятельных проекта: наследника BeOS - Haiku и свободный аналог Windows - ReactOS.\nПервый вопрос, который могут задать читатели - а зачем вообще это нужно? Действительно, зачем тратить свое время на изучение того, что вряд-ли пригодится в повседневной деятельности? Ответ прост - для расширения собственного кругозора. Ровно с той же целью люди путешествуют в экзотические уголки планеты или смотрят научно-популярные фильмы про космос. Ведь совершенно понятно, что в обычной жизни знания о галапагосских черепахах вряд ли кому пригодятся. Поэтому если вам интересно что происходит в отдаленных и малоисследованных уголках мира операционных систем - то смело продолжайте чтение.\nHaiku Свободная операционная система, являющаяся дальнейшим развитием идей BeOS и обеспечивающая двоичную совместимость с ней. Десять лет назад мы писали про эту операционную систему и даже кратко касались Haiku, тогда это была одна из первых альфа-версий. На тот момент практического смысла в ней не было, система являлась практически точной копией BeOS со всеми ее достоинствами и недостатками.\nСледует сказать, что в свое время BeOS была достаточно продвинутой операционной системой: настоящая 64-битность, вытесняющая многозадачность, 64-битная файловая система BeFS, способная вместе с файлами хранить мета-атрибуты, система трансляторов, когда для того, чтобы научить приложение работать с новым форматом файлов не нужно было вносить в него изменения, достаточно добавить в систему еще один транслятор, высочайшая производительность в работе с мультимедиа. И все это во времена Windows 98.\nВсе это омрачалось практически полным отсутствием программного обеспечения, не было даже собственного офисного пакета, а также серьезными ошибками менеджмента. Фактически BeOS стала жертвой того, что серьезно опередила свою эпоху, домашнее мультимедиа, которое являлось сильной стороной системы, только-только входило в нашу жизнь, а обычные повседневные задачи решать в среде BeOS было нечем.\nHaiku образца 2009 года являлась открытой реализацией BeOS практически один к одному, точно также не было актуального софта и не было понятно откуда его брать, а все сильные стороны системы в начале десятых годов нашего века уже не являлись таковыми.\nНо тем не менее процесс разработки Haiku шел все это время и сейчас нам предлагается бета-версия системы и большое количество ночных сборок. Мы скачали 64-битную версию R1/beta1 с достаточно скромными на сегодняшний день требованиями: 2 ГБ оперативной памяти, 16 ГБ дискового пространства, процессор начиная с Intel Core i3 или AMD Phenom II.\nВнешне инсталлятор не сильно изменился, но была проведена определенная работа по его упрощению, добавилась поддержка мультиязычности. Каких-либо затруднений установка не вызывает и происходит достаточно быстро. Встречает нас также достаточно узнаваемое оформление, тщательно следующее традициям BeOS. Определенный шарм и очарование в этом есть, но также очевидно, что графическая часть системы требует серьезной переработки. Нет, не следует отказываться от собственного оригинального стиля, просто нужно его привести к современным требованиям, те же значки выпадающего меню смотрятся на FullHD экранах с высокой плотностью пикселей очень мелко, да и стиль их далек от современного. Да и само меню требует переосмысления.\nПроще говоря, в 2020 году система смотрится также как и двадцать лет назад, в то время как все основные ОС существенно пересмотрели собственное оформление, не потеряв при этом оригинальности. В общем есть над чем работать.\nА вот что не может не радовать, так это появление репозитория и привычных современному пользователю инструментов обновления системы. Появился полноценный пакетный менеджер, работать с которым можно не только в графической оболочке, но и через терминал: Для пользователей появился графический инструмент для управления программным обеспечением, конечно, это не современный магазин, но вполне удобное приложение уровня Synaptic, позволяющее искать нужное ПО не только по именам пакетов, но и просто по описанию. И что действительно радует, так это появление в нем современного софта, да, это портированные версии открытого ПО, но это и хорошо. Пользователи получают в свои руки привычный и удобный инструмент, вместо собранного на коленке очередного аналога.\nНа самом деле не все так гладко, в бета-версии один из репозиториев оказался недоступен, а после подключения их актуальных версий большая часть ПО отказалась устанавливаться, требуя обновить ядро системы. Но в принципе это мелочи, вполне решаемые походя, во всяком случае это не заняло у нас много времени, учитывая, что до этого мы видели систему последний раз десять лет назад.\nВ итоге мы обновили систему до последней ночной сборки, это также достаточно просто, нужно установить новую копию поверх старой и докачать все необходимые обновления. Сразу бросаются в глаза некоторые изменения, в частности существенно улучшена русификация системы. Магазин приложений, называемый в русской редакции Склад, также стал более дружелюбным к пользователю, по умолчанию предлагается набор рекомендуемого ПО, откуда убрали все служебные пакеты, снабдив оставшиеся крупными картинками и более подробным описанием. Вышло действительно неплохо. В этот раз никаких проблем с установкой ПО у нас не возникло. Пакетный менеджер корректно определил требуемые зависимости и произвел их установку. Сам же LibreOffice в Haiku ничем не отличается от того, к которому мы привыкли в традиционных системах.\nЗдесь же мы столкнулись с несколько необычным поведением пользовательского интерфейса, когда мы захотели запустить второй экземпляр LibreOffice, то привычным образом, через стартовое меню нам сделать это не удалось, система переключала нас на уже запущенное окно. Для создания нового экземпляра приложения потребовалось создать новый документ через меню Файл самого приложения. Это неудобно и противоречит уже устоявшемуся пользовательскому опыту в других системах.\nНо есть и интересные решения, например, можно простым перетаскиванием с зажатой кнопкой Win объединять несколько окон в одно со вкладками. Объединять можно абсолютно любые окна без всяких ограничений. Это удобно, особенно если вы работаете сразу над несколькими проектами. Аналогичная возможность была заявлена в Windows 10 еще несколько лет назад, но так и не реализована до сих пор. Для работы в интернете предназначен собственный браузер WebPositive, который переведен на WebKit и позволяет полноценно взаимодействовать с современными сайтами. Что касается системных требований, то они вполне адекватны, установленная нами система со установленным дополнительным ПО занимала где-то около 5 ГБ, недостатка оперативной памяти в размере 2 ГБ тоже не ощущалось, за исключением случая, когда мы открыли в браузере много вкладок, но и при этом система оказалась достаточно управляемой, позволив ненужные вкладки закрыть. Но это трудно поставить в вину системе, современные веб-приложения достаточно требовательные к объему ОЗУ, такова данность и ее нужно учитывать.\nВ целом Haiku произвела на нас приятное впечатление, видна последовательная, кропотливая работа разработчиков. Да, их немого и процесс движется медленно, да есть определенные шероховатости, но уже в текущем виде система вполне пригодна к повседневному применению. Понятно, что не для всех и с определенными оговорками, но базовый набор современного ПО в ней есть и с тем же потреблением контента проблем возникнуть не должно.\nСтабильность системы, хоть мы и обновились до ночной сборки, тоже на высоте, серьезных проблем или ошибок мы не заметили. Да, есть некоторые проблемы и шероховатости, есть не очевидное поведение отдельных элементов интерфейса, но это все решаемо и впечатления от использования не портит.\nЕсть ли у Haiku перспективы? Еще десять лет назад мы в этом сомневались, но теперь вполне видим определенные ниши, которые она может занять. В первую очередь это системы наподобие нетбуков и хромбуков, достаточно слабые в аппаратном плане и ограниченные в дисковом пространстве, без возможности расширения. Ну что можно поставить на 16 ГБ и нормально пользоваться, да чтобы не тормозило и позволяло смотреть видео в HD? Haiku прямо так и просится в эту нишу, особенно учитывая ее отличные мультимедийные возможности и очень скромные аппаратные требования.\nПоэтому пожелаем разработчикам успехов и продолжим следить за этим интересным проектом. Текущий курс на соединение сильных сторон BeOS со всем многообразием мира открытого ПО нам нравится и если дальнейшая разработка пойдет в этом направлении, вместе с переосмысливанием интерфейса с учетом современных требований, то Haiku имеет вполне реальные шансы занять свою нишу. А почему бы и нет? Десять лет назад Linux на декстопе казался какой-то экзотикой, а сегодня это вполне нормальное явление.\nReactOS ReactOS - открытая и свободная операционная система, имеющая своей целью обеспечить бинарную совместимость c Windows не только на уровне приложений, но и драйверов. Идея, безусловно интересная, особенно учитывая распространенность Windows, но ее реализация, как это бывает у небольших проектов без крупного источника финансирования, продвигается достаточно медленно. Тем не менее проект не стоит на месте и совсем недавно была выпущена версия 0.4.13, которую мы и решили рассмотреть.\nЛюбая система начинается с инсталлятора, также как театр с вешалки, здесь нас встречает уже основательно позабытый текстовый инсталлятор в стиле Windows NT. В качестве поддерживаемых файловых систем доступны FAT32 и BTRFS, выбор, честно говоря, сомнительный, учитывая сомнительные перспективы BTRFS, но последняя по любому лучше, чем FAT, имеющая свойство сыпаться при простом нажатии на Reset. Текстовый этап установки сменяет графический, в полном соответствии с оригиналом, для чего так сделано - непонятно, тем более что по заверениям разработчиков ReactOS полностью независимая от Windows система. Или цель не двоичная совместимость, а полное копирование первоисточника? Это подражание сквозит буквально везде: и там, где надо, и там, где не надо. Хотя это дело вкуса, но копировать в 2020 году откровенно устаревшие интерфейсы не лучшая, на наш взгляд, идея. Интерфейс уже установленной системы старательно копирует классический интерфейс Windows Server 2003 (совместимость с которым заявлена разработчиками) с несколько иным набором значков. Инструменты управления также вполне аутентичны, та же Панель управления или Диспетчер оборудования. На первый взгляд выглядит вполне неплохо. А что у нас с программным обеспечением? Из коробки софта в системе практически нет, даже браузера, но есть Менеджер приложений, который должен помочь нам в этой ситуации. Только вот версии браузеров в нем откровенно старые. Ну на безрыбье и это сойдет, а там выберемся в интернет и скачаем что-нибудь более актуальное. Действительно, Firefox обновился, но до еще одной древней версии, а всему виной здесь текущая совместимость ReactOS c NT 5.2, т.е. уровнем давно снятых с поддержки Windows XP и Server 2003 со всеми вытекающими. В 2020 году это даже уже не смешно, а очень и очень печально. Но даже то, что есть нормально не работает. При попытке зайти на Яндекс браузер намертво подвисает, кроме того, обратите внимание на отсутствие органов управления у окна. Единственный вариант - снять процесс диспетчером задач, при этом браузер не понимает, что был завершен аварийно и при следующем запуске снова восстановит проблемную вкладку. Единственный вариант вернуть его к жизни - вручную удалить профиль. Аналогичная ситуация сложилась и при посещении нашего сайта и многих других. К счастью, Google оказался рабочим, может быть попробуем скачать Chrome? Но увы... С учетом того, что интернет сегодня одна из ключевых потребностей пользователя становится вообще печально. Здесь по всемирной сети нужно ходить да оглядываться, дабы не забрести ненароком на неподдерживаемый сайт, который быстро положит браузер на лопатки. При том, что никакой альтернативы Firefox нет, не будем же мы считать таковой древнюю Оперу...\nОстальной предлагаемый к установке софт тоже не блещет новизной, а что, если попробовать скачать что-нибудь поновее? LibreOffice просто отказался устанавливаться: Телеграм установился, но отказался работать: Но это еще полбеды, поработать можно и на старом софте, если только он будет нормально работать. Но нормально - это не про ReactOS. Жуткие глюки поджидают нас на каждом шагу, в лучшем духе старинных анекдотов времен Windows 9x.\nНапример, у нас было открыто два окна для одного и того же расположения, в одном из них мы произвели некоторые действия с файловой системой, теперь догадайтесь какое из них отображает актуальную информацию? Если открыть несколько окон для одной папки и выполнить в каждом из них какое-то действие - то мы получим несколько разных окон. Здесь это нормально, как и артефакты отображения и прочие чудеса. При очередной перезагрузке полностью слетела графика и глубина цвета. Причем система полностью забыла о возможности работать с широкоформатными разрешениями, хотя никаких изменений в виртуальную машину мы не вносили и обновлений не устанавливали. Может быть попробуем поработать? Нет, честно, мы ничего еще не делали, просто открыли два окна LibreOffiсе, получив загрузку процессора в 100% и жуткие графические артефакты по экрану. Про мультимедиа мы просто промолчим, аппаратное ускорение графики в системе отсутствует и даже скромные 720p снова укладывают систему на лопатки. А теперь немного подумаем. ReactOS имеет бинарную совместимость на уровне Windows XP, что сегодня само по себе плохо, но даже не в этом беда. По меркам XP конфигурация виртуальной машины просто сказочная: два ядра, два гига! А ядра то не простые, а от современного Ryzen 7 2700X. Но увы, тормоза и глюки - это суровая действительность, хотя та же Haiku на такой же конфигурации вполне бодро крутила FullHD ролики.\nМожет быть попробуем установить VMWare Tools для Server 2003? Ведь заявлена бинарная совместимость с драйверами. Уже в процессе установки мы поняли, что это затея обречена на провал. После перезагрузки выяснилось, что сломалось даже то, что работало, пропали звук и сеть. Удаление пакета ничем в данной ситуации не помогло, система была завалена окончательно и бесповоротно.\nЗнакомство с ReactOS оставило после себя гнетущее впечатление. Мы много работаем с разным софтом разной степени готовности, включая альфа и бета версии, но еще не разу нам не попадалось настолько сырой и неработоспособной системы. Плохо буквально всё, чего не коснись. Система готова по любому действию нагрузить процессор на 100% и зависнуть, либо порадовать очередным неадекватным поведением в самых обычных местах.\nВсе это тем более странно, учитывая то ReactOS активно использует достижения Wine, свободной реализацией Windows-подсистемы в Linux. Современный Wine давно ушел далеко вперед и позволяет запускать в среде Linux достаточно сложные и современные Windows -приложения, включая игры. Так в чем же проблема? А проблема, очевидно, в ядре. Как признавались сами разработчики, просто так использовать Wine они не могут, так как он рассчитан на работу с ядром Linux, а не ReactOS. В тоже время проект уже разменял второй десяток, но просвета что-то не видно. Может лучше было бы взять за основу ядро Linux и собрать на ней что-то типа WineOS? На наш взгляд, толку было бы больше.\nВыводы Экзотика - это всегда интересно, особенно когда на календаре отпуск или хотя бы выходной день и не нужно никуда спешить. Но экзотика бывает разная, одно дело посмотреть выступления некоего фольклорного ансамбля, а совсем другое побывать в гостях у племени застрявшего на уровне первобытнообщинного строя. Сегодня так оно и вышло. С одной стороны, у нас есть Haiku, технически вполне современная система, но внешне подражающая канувшей в историю BeOS.\nС другой реально первобытная ReactOS, где ничего не работает, а глюки и чудеса поджидают вас на каждом шагу. При этом даже завяленный уровень NT 5.2 достигнут разве что формально, Windows XP к закату своего жизненного цикла была очень стабильной и производительной системой, недаром у нее до сих пор остается армия фанатов.\nИ если у Haiku есть вполне реальные перспективы и уже видна потенциальная ниша, то рассматривать ReactOS более чем академический проект мы не можем. Да, технически это все может быть интересно и полезно, подобный опыт не будет лишним специалистам-разработчиком, но практическим применением там и не пахнет, какой-либо минимальной стабильности до сих пор не достигнуто, а технологический уровень проекта отстает как минимум лет на пятнадцать.\nТак нужны ли нам подобные проекты? Наше мнение - нужны! Самое страшное в любой технической отрасли - застой, поэтому всегда нужны свежие мысли, идеи, проекты. И как уже, бывало, даже не найдя практического применения многие из них оказывали значительное влияние на индустрию.\n","id":"0fd86b9fb7738c163a538716d9a1eb1e","link":"https://interface31.ru/post/haiku-reactos-ekzoticheskie-operacionnye-sistemy/","section":"post","tags":["BeOS","Haiku","ReactOS"],"title":"Haiku и ReactOS - экзотические операционные системы"},{"body":"Как известно - все контроллеры домена в Active Directory равнозначны, но у некоторых из них есть особые функции, которые должны быть уникальны в пределах домена или леса. Это хозяева операций или FSMO-роли, которые отвечают за ряд критически важных операций, но при этом практически не участвуют в повседневной жизни службы каталогов. Для управления хозяевами предусмотрены различные инструменты, начиная от оснасток MMC и заканчивая инструментами PowerShell, о которых сегодня и поговорим.\nПочему именно PowerShell? На наш взгляд - это наиболее удобный способ управления ролями FSMO на сегодняшний день. К недостаткам можно отнести разве что непривычный русскоязычному администратору многословный синтаксис. В остальном - только плюсы, PowerShell позволяет передать, либо захватить, роли буквально одной командой.\nДля начала немного освежим память и вспомним какие бывают роли FSMO, заодно приведем их наименования в PowerShell.\nНа уровне леса это:\nХозяин именования домена - DomainNamingMaster - отвечает за уникальность доменных имен в лесу Хозяин схемы - SchemaMaster - отвечает за уникальность и непротиворечивость схемы. На уровне домена:\nХозяин инфраструктуры - InfrastructureMaster - отвечает за обеспечение информации об объектах иного домена леса входящих в состав локальных групп текущего домена. Хозяин относительных идентификаторов - RIDMaster - отвечает за выдачу уникальных идентификаторов безопасности - SID Эмулятор первичного контроллера домена - PDCEmulator - достаточно важная роль, отвечает за репликацию паролей, изменения GPO и DFS, а также служит эталоном времени домена. Отдельного замечания стоит роль Хозяина инфраструктуры, если у вас только один домен в лесу или все контроллеры являются глобальными каталогами, то данная роль становится бесполезна. В противном случае она не должна располагаться на глобальном каталоге, так как в этом случае окажется неработоспособной.\nЛюбую работу с хозяевами следует начинать с выяснения их текущего расположения. Для этого используем команды:\n1Get-ADForest interface31.lab | ft DomainNamingMaster, SchemaMaster которая покажет хозяев операций уровня леса для домена interface31.lab и команду:\n1Get-ADDomain interface31.lab | ft InfrastructureMaster, PDCEmulator, RIDMaster для выяснения расположения хозяев уровня домена. Для передачи роли выполните:\n1Move-ADDirectoryServerOperationMasterRole -Identity \u0026#34;SRV-DC-20-02\u0026#34; -OperationMasterRole DomainNamingMaster, SchemaMaster Где в опции -Identity укажите имя нового хозяина, а в -OperationMasterRole перечислите через запятую все передаваемые роли. Данную команду можно выполнить на любом контроллере домена, в том числе на том, который не является ни старым, ни новым хозяином. Указанной выше командой мы передали контроллеру SRV-DC-20-02 роли Хозяина именования домена и Хозяина схемы. Передача ролей используется в штатных ситуациях, если же старый хозяин вышел из строя, либо по иной причине оказался недоступным, то роли следует захватить, для этого используйте ту же самую команду, но с ключом -Force, например, для захвата сразу всех ролей:\n1Move-ADDirectoryServerOperationMasterRole -Identity \u0026#34;SRV-DC-20-02\u0026#34; -OperationMasterRole DomainNamingMaster, SchemaMaster, RIDMaster, PDCEmulator, InfrastructureMaster -Force Внимание! Важно! После захвата ролей их старый хозяин ни в коем случае не должен снова появляться в сети!\nКак видим, PowerShell действительно позволяет выполнять задачи по управлению ролями FSMO гораздо быстрее и проще, чем утилита Ntdsutil, не говоря уже об оснастках MMC.\n","id":"30a199995625b5097f7ece80fbdc36dc","link":"https://interface31.ru/post/active-directory-upravlenie-rolyami-fsmo-s-pomoshhyu-powershell/","section":"post","tags":["Active Directory","FSMO","PowerShell","Windows Server","Службы каталогов"],"title":"Active Directory. Управление ролями FSMO с помощью PowerShell"},{"body":"Network Manager - удобная утилита для управления сетевыми подключениями в Linux, используется по умолчанию во всех основных графических оболочках, что предоставляет пользователю простой и единообразный интерфейс настройки сети. Также Network Manager поддерживает Wi-Fi, 3G и VPN подключения, позволяя легко создавать их в графическом режиме. Но бывают ситуации, когда Network Manager неожиданно ломается, оставляя непривычного к консоли пользователя буквально без связи с внешним миром. В данной статье мы рассмотрим некоторые типовые проблемы, которые достаточно легко устраняются, но при этом могут серьезно испортить жизнь начинающим.\nNetwork Manager - устройство не управляется Достаточно простая неисправность, точнее даже не неисправность, которая проявляется в том, что Network Manager не может управлять вашим сетевым устройством. Другое дело, что такие настройки могут возникнуть без прямого умысла пользователя: неудачное повторение инструкции в сети, запуск стороннего скрипта и т.д. и т.п. После чего Network Manager отказывается работать, а навыки ручного управления сетью отсутствуют. Но такое поведение легко исправить. Откроем консоль и выполним:\n1sudo nano /etc/network/interfaces Удалим из этого файла все строки кроме:\n1# interfaces(5) file used by ifup(8) and ifdown(8) 2auto lo 3iface lo inet loopback После чего перезапустим службу командой:\n1sudo service network-manager restart либо\n1sudo systemctl restart NetworkManager.service После чего Network Manager снова возьмет контроль над сетевым интерфейсом. Network Manager не видит сеть Более сложная неисправность, которая заключается в том, что Network Manager вообще не видит сетевых адаптеров, причины ее возникновения нам неизвестны, но приходилось достаточно часто сталкиваться с ней на промежуточных выпусках Ubuntu. 1sudo touch /etc/NetworkManager/conf.d/10-globally-managed-devices.conf И перезапустить службу:\n1sudo service network-manager restart или\n1sudo systemctl restart NetworkManager.service Для дальнейшей работы Network Manager наличие данного файла необязательно, т.е. вы можете его удалить, но Network Manager продолжит работать нормально. Как видим, предложенные нами способы восстановления здоровья Network Manager просты и, надеемся, помогут вам сэкономить время и нервы, когда вы столкнетесь с подобной проблемой.\n","id":"63c19538eb2c043bcc16e60e06fd1481","link":"https://interface31.ru/post/network-manager-ne-vidit-set-v-ubuntu/","section":"post","tags":["Debian","Network Manager","Ubuntu"],"title":"Network Manager не видит сеть в Ubuntu или Debian"},{"body":"Выбор центрального процессора - важная и ответственная задача, во многом определяющая все остальные параметры ПК, поэтому отнестись к ней стоит со всей серьезностью. Когда к нам очередной раз обратились за помощью, то, чтобы дать обоснованный совет, пришлось провести небольшое аналитическое исследование, которое затем было расширено до данной статьи. В ней мы попытались отбросить все маркетинговые уловки и субъективные мнения и построить своеобразный рейтинг, ориентируясь на производительность, стоимость и энергоэффективность представленных на рынке процессоров.\nПодобный анализ мы уже проводили три с половиной года назад, но ситуация с тех пор достаточно сильно изменилась, вышли новые поколения процессоров Intel, появились новые игроки в команде AMD. Но обо всем этом позже. Сначала коротко обсудим основные критерии выбора центрального процессора.\nСуществует две основные стратегии, когда мы исходим из производительности или бюджета. В первом случае мы сначала выбираем процессор, исходя из требуемой производительности ПК, затем вокруг него формируем остальную конфигурацию. Этот способ обычно применяется для производительных систем, когда экономия, мягко говоря, неуместна. Ведь мощный процессор потребует достаточно производительного окружения, которое не должно стать узким местом.\nДля бюджетных ПК применяется иной принцип - от бюджета, когда мы первоначально подбираем комплектующие (корпус, накопители, память), а уже потом смотрим, что из имеющихся в продаже процессоров можем себе позволить. Также очень часто данные методы комбинируют, например, часто можно слышать: \u0026quot;мне нужно хотя бы Core i3, но не дороже такой-то суммы\u0026quot;.\nТеперь поговорим о том, на чем можно экономить, а на чем нет. Сразу предупредим, брать младшую модель процессора с целью заменить потом на что-то более мощное - идея, изначально обреченная на провал. Если только вы не связаны с торговлей компьютерным железом или ремонтом ПК, то продать процессор на вторичном рынке будет достаточно затруднительно. Также не стоит экономить на охлаждении или блоке питания, это может оказаться в прямом смысле вредно для здоровья вашего ПК.\nЗато можно сэкономить на видеокарте, поработав некоторое время на встроенной или купив простейшую \u0026quot;заглушку\u0026quot; начального уровня. Также можно отложить на потом покупку накопителей или дополнительного объема памяти. Эти комплектующие легко докупаются и устанавливаются, да и оставшиеся лишними не будут.\nЧто касается выбора процессора, то сейчас это далеко не такой простой вопрос, как раньше. Когда-то давно, основным мерилом производительности процессора была частота, а продуктовые линейки были просты и понятны, скажем Celeron и Pentium, или Athlon и Duron.\nСейчас все значительно сложнее, современные процессоры обладают многоядерностью, а тактовые частоты давно уже не растут, достигнув верхней планки около 4 ГГц, кроме того, различные поколения процессоров имеют различную архитектуру, которая может существенно влиять на производительность, поэтому новые процессоры с такими же частотами и количеством ядер будут производительнее чем старые.\nЕдинственный принципиальный момент, с которым нам придется столкнуться - это выбор количества ядер при общей близкой производительности процессоров. Здесь придется ответить на вопрос, что лучше - меньше более быстрых ядер или больше менее быстрых. Дать однозначный ответ на этот вопрос нельзя, все сильно зависит от характера нагрузки.\nЕсли ваши задачи хорошо распараллеливаются, что лучше большее количество ядер, иначе - меньше, но более производительных. Последнее обычно касается игр и типично однопоточных приложений, таких как 1С:Предприятие. Производительность последнего сильно зависит от тактовой частоты ядра, поэтому при прочих равных следует отдавать выбор процессору с более высокой частотой.\nВ данном исследовании мы не стали ограничиваться актуальными линейками процессоров, а проанализировали всё текущее предложение для актуальных платформ, это Intel LGA1151 и AMD Socket AM4. В него вошли сразу несколько поколений процессоров, что явно не вносит ясности и только усложняет правильный выбор.\nПродукция Intel сейчас представлена 6, 7, 8 и 9 поколениями Intel Core, которые ведут свою родословную от первых процессоров Core увидевших свет в начале 2006 года. Именно процессоры Core позволили Intel вновь вырвать пальму первенства у AMD и лидировать на рынке процессоров последующие годы. Кодовые названия поколений: Skylake-S, Kaby Lake, Coffee Lake и Coffee Lake Refresh. Девятое поколение не получило нового кодового имени и это неспроста, как мы увидим далее отличия от восьмого поколения там незначительны.\nAMD последнее время был аутсайдером с неудачной архитектурой Bulldozer, сейчас на рынке представлены несколько младших моделей последнего поколения этой архитектуры Excavator со встроенным GPU и кодовым названием Bristol Ridge. Как мы помним из предыдущей статьи, процессоры AMD могли конкурировать с Intel только ценой, обладая при этом чудовищно низкой энергоэффективностью: при равной производительности процессоры AMD были примерно вдвое горячее (а то и более чем вдвое). В последних моделях AMD провела большую работу в этом направлении и Bristol Ridge если не стали быстрее, то стали значительно холоднее.\nВсе поменялось с выходом архитектуры Zen, первое ее поколение было представлено двумя семействами: Summit Ridge - без встроенной графики и Raven Ridge с GPU. За ней последовала архитектура Zen+, также делящаяся на два семейства:Pinnacle Ridge - без видеоядра иPicasso с ним. Третье поколение - Zen2 пока представлено единственным семейством Matisse без видеоядра.\nНовое семейство процессоров уверенно вышло на лидирующие позиции и теперь в роли догоняющего выступает Intel, дела которого последнее время не очень хороши.\nПерейдем к нашей аналитике. За основу мы взяли два показателя:текущую цену в российской рознице (май 2020) и производительность согласно cpubenchmark.net, все значения были нормированы, те самые высокие значения цены и производительности были приняты за условные 100 баллов, а остальные значения рассчитаны относительно их.\nНачнем с Intel, так как количество процессоров достаточно велико, то мы разбили графики на две части: начального уровня, включающие в себя семейства Celeron, Pentium и Core i3 и производительные процессоры Core i5 - Core i9. Наиболее бюджетный сегмент представлен двухъядерными процессорами Celeron, никакой интриги там нет, все они примерно как стоят, так и работают, да и никто не будет ожидать большего от процессоров за 2500 рублей. Хотя там представлены процессоры разных поколений: G3900 - Skylake-S, G3930 - Kaby Lake, остальные - Coffee Lake.\nА вот дальше уже интереснее, семейство Pentium также содержит два ядра и представлено поколениями Skylake-S - G4xxx и Coffee Lake - Pentium Gold. Шестое поколение - первый кандидат на выбывание в нашей подборке, имея производительность близкую к младшим Celeron, они стоят дороже гораздо более производительных Gold G54xx. Старшие \u0026quot;золотые\u0026quot; Pentium тоже имеют непонятное позиционирование, для своей производительности они дороги, особенно G5600F, не имеющий встроенного видео.\nПроцессоры с индексом F - новинка девятого поколения, которые не содержат встроенного видеоядра. Есть мнение, что это не от хорошей жизни, видеоядро занимает около 30% кристалла процессора и выпуск моделей без видеоядра позволяет существенно снизить уровень брака (по факту можно продавать CPU с бракованным видеоядром), также это позволяет существенно понизить цены на эти процессоры, что актуально для конкуренции с AMD. Многие имеющиеся сейчас в продаже модели фактически являются перемаркированными процессорами 8-го поколения с отключенным видеоядром.\nНо Pentium без видеоядра вызывает только недоумение, так как после доукомплектации его дискретной видеокартой, самые недорогие экземпляры которых обойдутся в 2500 - 3000 руб, его цена выйдет на уровень гораздо более производительных Core i3, что делает покупку лишенной практического смысла.\nВот мы и дошли до Core i3, начиная с 8 поколения вместо двух ядер данные процессоры получили четыре, что сразу сказалось на производительности. Одновременно с этим на свалку истории отправились 6-е и 7-е поколения, текущая цена на них явно неадекватна, тем более что по производительности их практически догнали Pentium Gold.\nЧто касается 8 и 9, то разница между ними несущественна, девятое немного дороже, но и немного производительнее, хотя разница не носит принципиального характера. Но среди этого семейства есть одна отличная модель - Core i3-9100F и отлична она прежде всего своей ценой, которая даже немного дешевле старших \u0026quot;золотых\u0026quot; Pentium, а разница с \u0026quot;таким же\u0026quot; CPU, но с видеоядром составляет более 4000 руб. Это делает эту модель действительно интересным предложением, особенно если в пару к этому процессору подразумевается видеокарта уровня GTX 1050, получается достаточно сбалансированное решение без переплаты за встроенное видеоядро, которое все равно будет простаивать без дела.\nТеперь посмотрим, как обстоят дела в производительном сегменте: Начиная с 8-го поколения Core i5 получили шесть ядер вместо четырех, что сразу сказалось на производительности. Сделав покупку старых четырехядерников полностью лишенной смысла затеей, по производительности они уступают не только новым i5, но и i3, превосходя последние по цене.\nЧто касается двух последних поколений - то там вполне ожидаемо наблюдается полный паритет. Производительность процессоров примерно одинакова и на первый план выходят несколько иные критерии. Модели с индексом K отличаются более высокой ценой, которая обусловлена разблокированным множителем и более высокий тепловой пакет. Покупать такие процессоры имеет смысл только тогда, когда вы собираетесь заниматься их разгоном, в остальном случае вы просто переплатите за разблокированный множитель.\nТакже как и младшем семействе среди i5 есть и \u0026quot;народная\u0026quot; модель - 9400F, которую отличает очень привлекательная цена при достаточно высокой производительности. Вторая интересная модель - 9600KF, которая более подойдет энтузиастам, а отсутствие видеоядра здесь только плюс.\nВ более старшем семействе Core i7 мы снова наблюдаем ставшую привычной картину, процессоры 7-го поколения не выдерживают сегодня никакой конкуренции. А среди 8-го и 9-го поколений наблюдается интересная картина: количество ядер увеличилось с 6-и до 8-и, но производительность примерно осталась на одном уровне, что говорит о понижении производительности на ядро, скорее всего это сделано для удержания процессоров в рамках теплового пакета и чтобы не создавать конкурентов топовым процессорам i9, которые также имеют по 8-м ядер.\nВ целом, в отличии от \u0026quot;рабочих лошадок\u0026quot; i5, Core i7 уже относится к топовым линейкам, когда цена начинает расти быстрее производительности и перед их покупкой следует серьезно подумать, сможете те ли вы на полную использовать данную модель или просто переплатите за марку. Покупка i7 с прицелом на более долгую эксплуатацию, мол они будут более долго оставаться актуальными, тоже не выдерживает критики. Отличный пример этому четырехядерный i7-7700, который застрял по производительности где-то между современных i3 и i5.\nВообще 8-е поколение можно назвать на данном этапе ключевым, если смотреть на производительность, то именно на нем, с прибавлением ядер всем старшим семействам процессоров произошел качественный рост, чего не наблюдалось у предыдущих поколений. Да модели росли по производительности, но говорить о том, что с выходом нового поколения имело смысл менять процессор не приходилось. Стоимость апгрейда явно не соответствовала росту производительности. Сейчас же покупка новой системы явно имеет смысл.\nНу и топовые Core i9, самая высокая производительность в линейке и самая высокая цена. Процессоры на наш взгляд более имиджевые, ну или когда вы точно знаете, зачем вам нужна такая производительность.\nЕсли в итоге посмотреть на актуальную линейку (мы исключили все откровенно устаревшие модели и процессоры 8-го поколения, которые практически ничего не отличаются от 9-го), то получим вполне логичную картину: Младшая линейка начинается с недорогих Celeron и продолжается более производительными Pentium, где разница в цене примерно соответствует разнице в производительности, кроме старших G5500 и G5600F, стоимость которых делает их неконкурентноспособными, особенно при наличии \u0026quot;народного\u0026quot; i3-9100F.\nСледующая ступень производительности - среднее звено i3 и i5, здесь снова рост производительности идет пропорционально росту цены, каких-либо существенных перекосов нет, и вся линейка довольно неплохо сбалансирована. Некий разлад в эту идиллию вносят процессоры с индексом F, которые готовы предложить тот же уровень производительности за более низкую цену, а наличии видеоядра в данной категории редко имеет решающее значение.\nПрежде всего выделим две \u0026quot;народные\u0026quot; модели i3-9100F и i5-9400F, которые действительно интересны к покупке и позволяют создать на своей основе сбалансированные и относительно недорогие конфигурации для своего уровня. Энтузиастам могут быть интересны модели с индексами KF, которые позволят получить разблокированный множитель дешевле.\nИ если от i3 к i5 производительность росла плавно, но i7 снова задает новую ступень и по цене тоже, аналогичная ситуация и с i9, где цены устремляются к новым высотам гораздо быстрее, чем производительность. Поэтому покупка данных процессоров должна производиться осознанно, а не просто исходя из наименования на коробке.\nСейчас мы не будем давать конкретных рекомендации по покупке, так как еще не видели на что способны конкуренты от компании AMD, которая вернула себе утраченные лидерские позиции и явно не собирается их сдавать.\nЛинейка AMD немного меньше и поместилась вся на одну диаграмму: Начинается она процессорами начального уровня предыдущего поколения, от двухъядерного A6-9500 и продолжаясь четырехядерными A8, A10 и Athlon X4. В целом, кроме младшей модели, линейка выглядит вполне достойно и адекватно стоимости. Но противопоставить новой архитектуре Zen им нечего,Athlon 2xxGE первого поколения Zen - Raven Ridge,имея всего два ядра и тепловой пакет в 35 Вт уверенно обгоняют процессоры предыдущего поколения по производительности, не отстает от них и единственный представитель второго поколения Zen+ - Picasso с двухядерником Athlon 3000G. Все эти процессоры содержат встроенное видеоядро и являются хорошим выбором для бюджетных ПК начального уровня.\nНемного более дорог начальный процессор следующей линейки - Ryzen3 1200, несмотря на принадлежность к первому поколению он показывает достаточно неплохую производительность, а главное имеет привлекательную цену. Рядом с ним расположились также модель первого поколения, несмотря на двойку в индексе - Ryzen 3 2200G четырехядерник со встроенным видео. Рядом с ним модель второго поколения 3200G, предлагающую более высокую производительность по схожей цене.\nВообще, линейку процессоров с индексами G следует рассматривать отдельно, это достаточно сбалансированные процессоры со встроенным видеоядром для рабочих ПК, не претендующие на высокую производительность, но позволяя создавать сбалансированные и недорогие ПК. Все они имеют по 4 ядра и встроенное видео ядро RADEON RX Vega 8 у Ryzen 3, и RADEON RX Vega 11 у Ryzen 5. Если рассматривать их отдельно от других представителей семейства Ryzen, то вырисовывается достаточно четкая картинка и данные процессоры прекрасно находят свое место.\nА вот четырехядерному Ryzen 5 1400 повезло не так сильно, на фоне шестиядерников Ryzen 5 1600, 2600 и 2600Х его покупка лишена смысла, Ryzen3 1200 существенно дешевле и не сильно слабее. Что касается шестиядерников то разница между Zen и Zen+ достаточно невелика, как и разница по цене, второе поколение немного производительнее и немного дороже. Эта же тенденция прослеживается и среди восьмиядерных Ryzen 7 1700, 2700 и 2700Х. При этом младший восьмиядерник Ryzen 7 1700 по производительности и цене примерно равен старшему шестиядернику Ryzen 5 2600Х. Это как раз тот случай, когда следует выбирать: либо больше менее мощных ядер, либо меньше - но более мощных. При этом помним, что процессоры AMD с литерой X имеют разблокированный множитель и могут быть разогнаны.\nТретье поколение Zen2 задает новую планку производительности. Старшие шестиядерники Ryzen5 3600, 3600Х уверенно превосходят не только процессоры своей линейки предыдущего поколения, но и старые Ryzen 7, при этом оставаясь доступными по цене.\nНовые восьмиядерники Ryzen7 3700X, 3800Х - однозначный топ, к сожалению, и по цене тоже. Ну и наконец Ryzen 9: 12-ть и 16-ть ядер, высочайшая производительность и не отстающая от нее цена. Как и с топами Intel покупка этих процессоров будет обоснована только в том случае, если вы точно знаете, чем вы будете его грузить. В остальных случаях это чаще всего деньги на ветер.\nЕсли теперь окинуть рынок общим взглядом, то можно заметить, что AMD снова заняла лидирующие позиции, как по производительности, так и по цене. Но также нельзя сказать, что Intel абсолютно нечего противопоставить, их процессоры все еще обладают более высокой производительностью на ядро, нежели модели от AMD, что может иметь значение при работе с преимущественно однопоточными приложениями или играми. Так в сети можно найти тесты, когда более слабый Core i5 9400F идет в играх на одном уровне с топом второго поколения Ryzen 7 2700X, а то и превосходит его.\nПоэтому если вы собираете ПК для игр, то следует обращать внимание не на общую производительность, а на результаты тестирования процессоров в играх, это же касается и рабочих станций для специальных применений, здесь также нужно смотреть тесты для интересующего приложения.\nВ остальных случаях общие рейтинги вполне адекватно отражают расклад сил. В среднем ПК на Ryzen 7 2700X будет существенно производительнее чем Core i5 9400F, хотя на отдельных задачах последний может его и догонять.\nТак как такой график достаточно неудобен для анализа мы разбили его на несколько более мелких. Сначала рассмотрим процессоры начального уровня. Начальная часть диаграммы интересна разве что с академической точки зрения, вряд ли кто-то будет всерьез сравнивать производительность самых младших и недорогих моделей. Но вполне можно сравнить предыдущее поколение архитектуры AMD со своими основными конкурентами - два младших Celeron это как раз 6-е и 7-е поколения. И даже тут все довольно печально, производительность на ядро у AMD существенно ниже, а старшие модели получают преимущество исключительно из-за четырех ядер. При этом старые-новые процессоры Bristol Ridge были существенно доработаны, особенно это касается теплового пакета, который теперь укладывается в 65 Вт, что горячее чем ближайшие конкуренты от Intel 51-54 Вт, но все-таки в пределах нормы. Противопоставить восьмому поколению старой архитектуре нечего и два ядра Pentium Gold уверенно опережают четыре от Bristol Ridge.\nВсе изменилось с приходом архитектуры Zen, новые Athlon GE не оставляют шансов конкурентам, обеспечивая сравнимую с Pentium Gold производительность, они дешевле и холоднее, тепловой пакет этих процессоров всего 35 Вт. Поэтому если вы хотите собрать недорогой и эффективный компьютер начального уровня, то альтернативы новым Athlon нет.\nНо именно в этом сегменте позиции Intel остаются наиболее сильными, так как основное назначение данных процессоров - это офисные компьютеры, то закупается обычно Intel из того, что есть в наличие. На производительность здесь мало кто смотрит, цена в абсолютном выражении невелика, и покупая Intel покупают зарекомендовавшую годами надежность, поставил и забыл. И это вполне обосновано, прошлые модели младших линеек AMD были хотя и неплохи по отношению цена/производительность, но имели огромный для своей группы тепловой пакет в 95 Вт, что делало их достаточно проблемными в отношении температуры, шума и дальнейшего обслуживания.\nНадеемся новым процессорам от AMD постепенно удастся изменить ситуацию к лучшему.\nПерейдем в среднюю категорию, где представлены основные \u0026quot;рабочие лошадки\u0026quot; как для дома, так и для офиса: Здесь представлены четырех и шестиядерные процессоры семейств Core i3 - Ryzen 3 и Core i5 - Ryzen 5. Современная четырехядерная линейка AMD представлена исключительно процессорами семейства - G, это отдельная архитектура со встроенным видеоядром. Она отлично сбалансирована как по цене, так и по производительности, а старшие модели этой линейки идут вровень с младшими шестиядерными процессорами Intel. При этом даже младшая модель встроенного видеоядра Vega 8 значительно превосходит по производительности Intel UHD Graphics 630, представленный даже в топовых моделях Intel.\nПоэтому если речь идет о рабочем ПК со встроенным видео, то альтернатив AMD G-серии нет, данные процессоры дешевле и производительнее аналогов от Intel, как по производительности самого процессора, так и видеоядра.\nДля ПК с внешней видеокартой интерес представляют Ryzen 3 1200 и Core i3-9100F, а среди шестиядерников Core i5-9400F и Ryzen 5 2600/2600X. При этом для игровых ПК более интересными будут процессоры от Intel, так как благодаря технологии Turbo Boost они могут достаточно существенно поднимать производительность ядра при однопоточной загрузке, аналогичная технология от AMD Precision Boost менее эффективна. Тем не менее в общем зачете снова побеждает AMD, позволяя собрать производительный ПК за достаточно небольшие деньги, а на сэкономленную сумму можно купить более мощную видеокарту, например.\nНу и наконец высшая лига: Здесь в первую очередь выделяются Ryzen 7 2700/2700X, показывающих уровень производительности между i7 и i9 по цене сравнимой с Core i5, не даром это одни из самых популярных процессоров в линейке AMD. Затем обращают внимание процессоры на ядре Matisse поколения Zen2, шестиядерные Ryzen 5 3600/3600X превзошли не только собственные восьмиядерники, но и Core i7 став в один ряд с представителями i9. Если до этого по общей производительности между Intel и AMD был паритет, а последняя выигрывала за счет цены, при том, что в однопотоке Intel мог оказаться производительнее, то Zen2 окончательно закрепила лидерство AMD.\nЭто подтверждают и Ryzen 7 3xxx и Ryzen 9 - сегодня это самые производительные процессоры в потребительском сегменте и не самые дорогие (если не брать топ). Однако назвать доступными эти процессоры уже нельзя и как в случае с Core i7 и i9 к их покупке нужно подходить осознанно.\nИ, пожалуй, давно уже за долгое время в старшем сегменте Intel нечего противопоставить AMD. Если старшим AMD прошлых поколений стать \u0026quot;i7 для бедных\u0026quot; мешало огромное энергопотребление, то сейчас с этим, как и с производительностью, все в порядке, да и конкурируют они уже не только с i7, но и с i9, причем успешно. А там, где присутствует паритет по производительности все портит цена, на фоне процессоров AMD, решения от Intel неоправданно дороги.\nЕсли прибавить к этому определенные сложности которые возникли у Intel при производстве процессоров 9-го и нового, 10-го поколений, то становится очевидно, что компания вышла из \u0026quot;зоны комфорта\u0026quot; и осваивается в новом статусе догоняющего. Об этом свидетельствует выпуск процессоров с индексом F, которые успешно конкурируют не только с процессорами конкурента, но и с собственными решениями, сделав половину линейки Intel в принципе неинтересной к приобретению.\nТеперь рассмотрим еще один важный показатель - энергоэффективность, в данном случае мы вычислили его как количество \u0026quot;попугаев\u0026quot; производительности на Ватт потребляемой мощности, чем выше значение - тем лучше. Красным цветом показан Intel, оранжевым - AMD. В этот раз все достаточно ровно, по мере роста производительности растет и энергоэффективность. Отдельно выделяются процессоры Athlon GE, показывающие отличную производительность на Ватт мощности и являющиеся лучшими процессорами начального уровня на сегодняшний день. В остальном все достаточно предсказуемо, процессоры с разблокированным множителем (литеры K у Intel и X у AMD) имеют более низкую эффективность, но более высокий разгонный потенциал.\nЧто касается топов, то у нас есть некоторые сомнения в заявленных цифрах, особенно в пакете 65 Вт для Ryzen 7 3700X, но следует помнить, что потребление указывается для штатных частот, при разгоне, даже автоматическом, оно будет выше. В любом случае потребление всех представленных на рынке процессоров находится в пределах нормы и не требует каких-то особенных мер по охлаждению. Что касается процессоров с разблокированным множителем, то при выборе системы охлаждения для них не стоит ориентироваться на заявленный тепловой пакет, а следует выбирать систему охлаждения с полутора-двукратным запасом, особенно если вы собираетесь его разгонять.\nВыводы За три с половиной года прошедшего с прошлого обзора ситуация на рынке процессоров кардинально изменилась. Тогда во всех сегментах уверенно лидировал Intel, сейчас все с точностью до наоборот. Если вам нужна эффективная и производительная офисная машинка, то это безальтернативно Athlon GE. Рабочий ПК со встроенной графикой, который тем не менее позволяет поиграть в современные игры - Ryzen 3 G или Ryzen 5 G. Для игровых или рабочих ПК со внешней видеокартой более интересны Ryzen 3 1200 и Core i3 9100F, либо более производительные Core i5 9400F и Ryzen 5 2600/2600X. И если брать именно игровое применение, то процессоры Intel выглядят более выгодно, за счет более высокой производительности в однопотоке.\nА вот в старшей лиге у Intel дела обстоят неважно, уверенный лидер здесь Ryzen 7 2700/2700X, либо Ryzen 5 3600/3600X. Здесь, как мы уже говорили, придется выбирать: либо больше ядер, либо выше производительность на ядро.\nВ топовом сегменте также лидирует AMD, но покупка этих процессоров должна иметь под собой реальные основания, иначе это будет просто бесполезная трата средств.\n","id":"776ad60f538dc54083273f1cf108f957","link":"https://interface31.ru/post/pravilnyy-vybor-cpu-2020-chitaem-prays-mezhdu-strok/","section":"post","tags":["AMD","CPU","Intel","Производительность"],"title":"Правильный выбор центрального процессора 2020. Читаем прайс между строк"},{"body":"Синхронизация времени - важный и во многом достаточно критичный аспект работы Active Directory, особенно сегодня, когда широко используется взаимодействие с внешними системами и работа с сотрудниками, которые могут находиться в различных часовых поясах. Применение систем виртуализации вносит дополнительные особенности, которые также следует учитывать. Поэтому данный вопрос может оказаться не столь простым, как кажется, а синхронизация с внешним источником точного времени становится одной из актуальных задач.\nПрежде всего вспомним, как происходит синхронизация времени в Active Directory. В качестве эталона времени выступает контроллер, владеющий ролью эмулятора PDC. Это FSMO-роль и эмулятором PDC может являться только один контроллер в каждом домене. С ним синхронизируют время остальные контроллеры домена. Доменные ПК и рядовые серверы сверяют часы с ближайшим контроллером домена. Сам эмулятор PDC в качестве источника точного времени может использовать либо аппаратные часы материнской платы, либо внешний источник точного времени, при нахождении в виртуальной среде также может быть использовано время хоста виртуализации.\nО последней поговорим более подробно. Раньше все было довольно просто, источником времени в домене обычно служили аппаратные часы эмулятора PDC, ну отстали или убежали на пару минут, в конце концов можно и подвести. Когда добавилось требование взаимодействия с внешними системами критичными к точному времени (например, использующих криптографию), то в качестве источника времени стал выступать внешний сервер. От него получал время эмулятор PDC, с ним синхронизировались контроллеры, а от них точное время расходилось на остальных участников домена.\nС приходом виртуализации все изменилось, появился еще один источник времени - время хоста виртуализации. Многие гипервизоры по умолчанию имеют включенной настройку синхронизации времени гостевых систем и при попадании в виртуальную среду контроллера может возникнуть следующая коллизия: контроллер синхронизирует время с хостом, но сам хост, являясь членом домена, в свою очередь синхронизируется с контроллером.\nЕще хуже, если в виртуальную среду попадает эмулятор PDC, в силу особенностей таймера виртуальных машин, время внутри может достаточно сильно плавать, поэтому виртуальный эмулятор PDC всегда должен синхронизировать время с внешним источником, а синхронизация времени с хостом должна быть отключена, последнее касается и всех остальных виртуальных членов домена.\nДавайте перейдем от теории к практике. Начнем с того, что выясним кто из контроллеров является эмулятором PDC и эталоном времени для домена. Это можно сделать на любом контроллере домена командой:\n1 netdom query fsmo В выводе будут показаны все хозяева операций, нас интересует только эмулятор PDC. Затем перейдем на указанный контроллер и узнаем источник времени для него, для этого выполните команду:\n1w32tm /query /source Если в выводе вы увидите:\n1Local CMOS Clock то источником времени являются аппаратные часы. А если там будет:\n1VM IC Time Synchronization Provider то вы имеете дело с виртуальной машиной, которая синхронизирует время с хостом.\nДанную настройку следует исправить, это можно сделать в настройках виртуальной машины, отключив синхронизацию времени с хостом, либо в самой системе, для этого откройте ветвь реестра:\n1HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\W32Time\\TimeProviders\\VMICTimeProvider и установите для параметра Enabled значение 0. После данного изменения следует перезапустить Службу времени Windows или перезагрузить компьютер.\nСледующим шагом будет настройка нашего эмулятора PDC на работу с внешними источниками точного времени. Все изменения также будут вноситься через реестр. Прежде всего изменим тип сервера на NTP, для этого откроем ветку\n1HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\W32Time\\Parameters и для параметра Type укажем строковое значение NTP. А для параметра NtpServer зададим адреса серверов точного времени, после каждого из которых, через запятую укажем 0x8, если мы хотим работать как стандартный NTP-клиент или 0x1 если будем использовать собственные параметры, например:\n10.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1 После чего в\n1HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\W32Time\\TimeProviders\\NtpServer Параметр Enabled установим в значение 1.\nЗатем перейдем в\n1HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\W32Time\\Config и установим для параметра AnnounceFlags значение A.\nСледующие параметры будут работать, только если мы при указании серверов добавили 0x1, иначе будут использоваться настройки, предлагаемые сервером. Чтобы задать период синхронизации откройте ветку\n1HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\W32Time\\TimeProviders\\NtpClient и для параметра SpecialPollInterval укажите десятичное значение в секундах.\nВернемся в\n1HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\W32Time\\Config и зададим максимальное время опережения и отставания часов, после которых синхронизация производиться не будет. Для этого используются параметры MaxPosPhaseCorrection (опережение) и MaxNegPhaseCorrection (отставание) для которых также следует задать десятичное значение в секундах. По умолчанию стоит 48 часов. Это значит, что если время на эмуляторе PDC уйдет от точного источника более чем на 48 часов в любую сторону, то синхронизация производиться не будет.\nЕсли вы хотите, чтобы время синхронизировалось всегда, то установите в оба параметра шестнадцатеричное значение FFFFFFFF.\nВыполнив настройки перезапустите Службу времени Windows, это также можно сделать в командной строке:\n1net stop w32time 2net start w32time После чего еще раз выполним\n1w32tm /query /source и убедимся, что источником времени для эмулятора PDC является внешний сервер. Затем выполним данную команду на рядовых контроллерах домена, в качестве источника времени там должен быть указан эмулятор PDC, и на обычных ПК, где в выводе будет присутствовать любой из контроллеров домена. Обязательно выполните контроль для виртуальных машин, чтобы быть уверенным, что они используют время домена, а не хоста виртуализации.\n","id":"c4823848b35d8636abf364444792e41e","link":"https://interface31.ru/post/sinhronizaciya-vremeni-active-directory-s-vneshnim-istochnikom/","section":"post","tags":["Active Directory","NTP","Windows Server","Службы каталогов"],"title":"Синхронизация времени Active Directory с внешним источником"},{"body":"Довольно часто коллеги и читатели обращаются к нам с просьбой создать руководство по быстрому практическому развертыванию минимально работоспособной конфигурации Active Directory и сопутствующих служб. Хотя у нас на сайте уже есть цикл по развертыванию AD, вполне актуальный, несмотря на дату написания, он рассчитан прежде всего на пошаговое изучение вопроса как в теоретической, так и практической областях. Поэтому создание именно руководства нацеленного на быстрое получение результата имеет смысл и дает хороший повод еще раз обобщить и обновить информацию по этому вопросу.\nДля полноценного функционирования Active Directory вам потребуется не менее двух контроллеров домена, это не обязательно должны быть именно физические компьютеры, вполне подойдут и виртуальные машины, но мы советуем иметь хотя бы один \u0026quot;физический\u0026quot; контроллер. В качестве операционной системы будет использоваться Windows Server 2019, но все сказанное будет справедливо для серверных ОС Microsoft начиная от Server 2012.\nПрежде чем приступать к настройке следует выполнить некоторые подготовительные действия: переименуем компьютеры и присвоим им статические IP-адреса. Мы категорически не рекомендуем использовать сети 192.168.0.0/24, 192.168.1.0/24 и т.п., потому что они используются по умолчанию в массовом оборудовании и впоследствии, при соединении офисов, либо подключении удаленных клиентов вы можете столкнуться с серьезными затруднениями из-за пересечения адресного пространства. Закончив с подготовкой, приступим к настройке первого контроллера. Откроем Диспетчер серверов и перейдем в Управление - Добавить роли и компоненты, где выберем Доменные службы Active Directory и добавим предлагаемые дополнительные компоненты. После чего завершаем установку выбранных компонентов и нажимаем на ссылку Повысить роль этого сервера до уровня контроллера домена. В открывшемся мастере укажем Добавить новый лес и введем корневое имя нашего домена. Обратите внимание, что не следует использовать в качестве корневого домена доменное имя, которое используется для внешних ресурсов, например, сайта. Допустим у вас есть доменное имя example.com, правильным решением будет создание отдельного домена в данном пространстве имен, например, office.example.com. Либо используйте несуществующие доменные зоны, такие как local или office. И, конечно, не допускайте наиболее грубой ошибки - выбора имени в существующей зоне, даже если оно в текущий момент никем не зарегистрировано. Следующим шагом выберите режим работы леса и домена, максимальный уровень на текущий момент - Server 2016, если у вас подразумевается использование контроллеров домена на Server 2012, то режим работы следует понизить. Далее введите пароль для режима восстановления служб каталогов, остальные параметры оставляем по умолчанию. Текущая практика подразумевает, что каждый контроллер дополнительно несет роль DNS-сервера и становится глобальным каталогом. Игнорируем предупреждение на следующем шаге: Остальные параметры оставляем по умолчанию, затем дожидаемся итогов проверки предварительных требований, по итогам которого вы получите два предупреждения, которые являются информационными и не мешают продолжить установку. После чего нажмите Установить. По окончании работы мастера сервер будет перезагружен.\nПосле перезагрузки перейдем в оснастку Active Directory - пользователи и компьютеры в которой создадим нового пользователя, для которого укажем членство в группах: Администраторы, Администраторы домена, Администраторы предприятия, Администраторы схемы, Владельцы-создатели групповой политики, Пользователи домена. Выйдем из системы и войдем созданным пользователем, проверим что мы можем выполнять все административные задачи. После чего учетную запись встроенного Администратора следует отключить. Указанный выше набор прав обеспечивает полноценное управление всей структурой Active Directory и для других администраторов может быть избыточна, большинству из которых для повседневных задач будет вполне достаточно: Администраторы, Администраторы домена и Пользователи домена.\nЗатем откроем оснастку Диспетчер DNS и откроем пункт Серверы пересылки, это список вышестоящих DNS-серверов, которым будет отправлен запрос на разрешение имен, которые локальный сервер разрешить не в состоянии, здесь следует указать DNS провайдера или публичные DNS. Так как все члены домена должны использовать только доменные DNS функцию DNS-сервера на роутере (если была включена) следует отключить. Затем следует создать Зону обратного просмотра, в большинстве случаев это необязательно, но некоторые службы могут требовать ее наличия, либо работать некорректно в ее отсутствие, поэтому лучше потратить немного времени на создание зоны, чем потом потратить гораздо больше времени на диагностику некорректной работы. Для создания новой зоны щелкните правой кнопкой на папке Зоны обратного просмотра и выберите Создать новую зону. В открывшемся мастере укажите Тип зоны - Основная зона. Область репликации - Для всех DNS-серверов, работающих на контроллерах домена в этом домене: И наконец укажем идентификатор сети - первые несколько октетов IP-адреса в зависимости от размера маски: Остальные параметры оставляем по умолчанию. На этом настройка первого контроллера завершена и уже можно заводить новых пользователей и вводит в домен компьютеры. Мы же, тем временем, перейдем к настройке второго контроллера.\nСразу коснемся одного популярного мифа. В Active Directory все контроллеры равнозначны, нет ни \u0026quot;основных\u0026quot;, ни \u0026quot;резервных\u0026quot; контроллеров. За исключением глобального каталога и FSMO-ролей. Глобальный каталог требуется некоторым службам, таким как Exchange и его недоступность может привести к неработоспособности последнего, но современные практики рекомендуют включать роль глобального каталога на каждом контроллере домена.\nFSMO-роли или хозяева операций могут существовать только в единственном числе, два на уровне леса и три на уровне домена. По умолчанию владельцем всех FSMO-ролей является первый контроллер, но это не делает его каким-то особенным, для повседневного функционирования домена наличие хозяев в подавляющем большинстве случаев не требуется, а становится важно только при выполнении административных процедур.\nНа втором сервере снова переходим в настройки сетевого адаптера и указываем в качестве DNS-сервера первый контроллер домена: После чего вводим компьютер в домен и входим в систему под учетной записью доменного администратора. Точно также устанавливаем роль Доменные службы Active Directory и повышаем компьютер до контроллера домена. Никаких существенных отличий от первого контроллера здесь нет, разве что отвечать придется на меньшее число вопросов. Точно также включаем роли DNS-сервера иглобального каталога. По завершении установки сервер будет перезагружен. После чего еще раз обратимся к сетевым настройкам и приведем список DNS-серверов к следующему виду: основной DNS-сервер - адрес другого контроллера, вторичный DNS-сервер - адрес петлевого интерфейса 127.0.0.1. Данный вариант на текущий момент времени является официально рекомендуемым. После всех указанных манипуляций контроллеры домена желательно перезагрузить.\nУбедившись, что Active Directory функционирует нормально перейдем к настройке следующего по важности сервиса - DHCP, начиная с Server 2012 имеется возможность создавать отказоустойчивую конфигурацию DHCP из двух узлов, в качестве которых вполне логично использовать наши контроллеры домена.\nСнова откроем Диспетчер серверов и установим роль DHCP-сервер на каждом из контроллеров. По окончании установки роли перейдите по ссылке Завершение настройки DHCP. После чего выполните авторизацию DHCP-сервера в домене при помощи простейшего мастера, если вы вошли в систему как доменный администратор, то никаких данных вводить не требуется, просто пройдите все шаги с настройками по умолчанию, в противном случае потребуется указать учетную запись администратора и ввести пароль от нее. Данные действия следует выполнить на обоих контроллерах домена.\nЗатем на одном из них приступим к настройке DHCP-сервера, в качестве минимальной конфигурации следует указать диапазон адресов к выдаче: Шлюз сети: И DNS-сервера, в качестве которых указываем адреса наших контроллеров домена: После того как DHCP-сервер настроен следует отключить DHCP на роутере или иных узлах сети. Убеждаемся, что все работает нормально и переходим к созданию отказоустойчивой конфигурации. Для этого щелкаем правой кнопкой мыши на области и выбираем Настройка обработки отказа. В открывшемся мастере выбираем сервер-партнер: И настраиваем режим работы. В пределах одной локальной сети имеет смысл выбрать Балансировку нагрузки и распределить ее процент, в большинстве случаев 50/50 будет вполне оптимальной настройкой. Для дополнительной безопасности включим проверку подлинности и укажем Общий секрет в виде парольной фразы. Настройка второго сервера не требуется, она будет выполнена автоматически при завершении работы мастера. При этом помните, что между серверами реплицируются только сведения о выданных IP-адресах, при изменении настроек сервера или создании резервирования следует выполнить репликацию вручную, для этого снова щелкните правой кнопкой мыши по области и выберите Репликация области. В том случае, когда роли контроллера домена и DHCP-сервера совмещены на одном узле следует выполнить дополнительную настройку. Для этих целей заведем служебного пользователя, которого сделаем членом единственной группы DnsUpdateProxy. Затем откроем оснастку DHCP, перейдем с свойства IPv4 на закладку Дополнительно и нажмем Изменить рядом с надписью Учетные данные для регистрации динамических обновлений DNS и в открывшемся окне введем данные созданного нами пользователя. Эту настройку следует выполнить для обоих серверов. На этом базовую настройку инфраструктуры Active Directory можно считать законченной, мы получили рабочую конфигурацию с базовой отказоустойчивостью, которая допускает временное отключение любого из узлов.\n","id":"245e289b5c042e5ca959483228522a67","link":"https://interface31.ru/post/bystroe-razvertyvanie-active-directory-s-otkazoustoychivoy-konfiguraciey-dhcp/","section":"post","tags":["Active Directory","DHCP","DNS","Windows Server","Развертывание","Службы каталогов"],"title":"Быстрое развертывание Active Directory с отказоустойчивой конфигурацией DHCP"},{"body":"Можно без преувеличения сказать, что своей популярности Mikrotik добились благодаря RouterOS. Именно она сделала из достаточно рядовых и ничем особо не примечательных в аппаратном плане устройств настоящий хит со своей армией поклонников и фанатов. Действительно, Mikrotik сделал возможным используя устройства начальной ценовой категории реализовывать многие функции, которые ранее были доступны только в дорогом профессиональном оборудовании. А с выходом Cloud Hosted Router не нужно даже покупать роутер, теперь Mikrotik работает в виртуальных средах и может быть развернут на любом гипервизоре или в облаке.\nИдея использовать совместно с RouterOS обычное компьютерное железо не нова, существует версия x86 для установки на ПК, но она имеет ряд серьезных ограничений по используемым ресурсам и определенные проблемы совместимости. Дальнейшее развитие данная идея нашла в выпуске Cloud Hosted Router (CHR) - специализированной версии RouterOS для запуска в средах виртуализации, что позволяет решить многие вопросы по поддержке железа и полноценно использовать все возможности современных систем.\nMikrotik CHR поддерживает все основные гипервизоры и поставляется в виде образа жесткого диска нужного формата. Установка системы в большинстве случаев будет сводиться к созданию новой виртуальной машины с указанием в качестве жесткого диска скачанного образа с CHR. А также, при помощи небольших ухищрений Cloud Hosted Router можно установить на VPS использующих технологию KVM.\nСхема лицензирования также подверглась изменению, вместо разделения лицензии на уровни с различным уровнем ограничений на каждом из них, здесь применяется ограничение скорости на порт, количество портов не ограничено. Рядом с официальными долларовыми ценами мы указали текущие (на конец апреля 2020) цены в рублях.\nЛицензия Ограничение скорости Цена Free 1 Мбит/с 0 USD P1 1 Гбит/с 45 USD / 2247 руб P10 10 Гбит/с 95 USD / 4320 руб P-Unlimited Без ограничений 250 USD / 12051 руб Прежде всего радует наличие вполне вменяемой бесплатной лицензии, у Router OS x86 бесплатная лицензия была очень и очень серьезно ограничена, что по сути делало ее применение бессмысленной и многие искали не совсем легальные пути получения рабочей лицензии. Теперь можно использовать Router OS вполне легально, что важно в случае корпоративных применений.\nОсновной интерес данная лицензия представляет для лабораторных и образовательных задач. Вы можете спокойно собрать и проверить интересующую вас схему на стенде, а только потом приступать к ее внедрению. Либо заниматься самообразованием, либо обучением коллег. Для данных применений ограничение в 1Мбит/с не является критическим.\nСледующий уровень лицензии - P1 - это то, что подойдет подавляющему большинству пользователей. Ограничение скорости в 1 Гбит/с соответствует массовому сетевому оборудованию, а стоимость лицензии находится на очень невысоком уровне, за эти деньги вы сможете купить только самые младшие модели роутеров Mikrotik.\nБолее дорогие лицензии - это уже продукт нишевого применения, тем не менее цена на них остается очень демократичной, во всяком случае дешевле 10 Гбит/с сетевого оборудования.\nНо это еще не все, пробный период для CHR лицензий составляет 60 дней и по его окончанию скорость портов не ограничивается, а только пропадает возможность получения обновлений RouterOS. Для получения пробной лицензии вам понадобится учетная запись Mikrotik, количество пробных лицензий на один аккаунт не ограничено. Также остается еще одна лазейка, которая позволяет выгрузить бекап с системы с истекшей пробной лицензией и загрузить на новую установку, тем самым продлив доступ к обновлениям еще на два месяца.\nТеперь пару слов как это все выглядит на практике. После установки система автоматически получает бесплатную лицензию. В остальном это самая обычная и привычная RouterOS, именно за это единообразие мы и любим Mikrotik. Просмотреть сведения о лицензии можно в System - License, а для получения пробного периода следует нажать на Renew License и указать желаемую лицензию и учетные данные от аккаунта Mikrotik. После чего данные о лицензии появятся в вашем личном кабинете, для покупки постоянной лицензии следует воспользоваться кнопкой Upgrade. Но в этом случае вы оплатите полную стоимость лицензии в долларах, гораздо разумнее будет приобрести ее у региональных представителей за рубли, а затем привязать в личном кабинете к требуемой системе.\nВ целом Mikrotik CHR - достаточно интересное предложение, особенно если в основе вашей сетевой инфраструктуры лежат решения на базе продукции этой фирмы. Покупка лицензии CHR и переход на виртуальную машину во многих случаях может обойтись дешевле, чем покупка нового, мощного роутера. А бесплатная лицензия идеально подходит для тестирования и обучения.\n","id":"8ff606a8e73b24275aa6b37092260f81","link":"https://interface31.ru/post/mikrotik-chr-virtualnyy-oblachnyy-router/","section":"post","tags":["MikroTik","Виртуализация","Сетевые технологии"],"title":"Mikrotik CHR - виртуальный облачный роутер"},{"body":"phpMyAdmin давно стал де-факто стандартным инструментом для управления базами данных MySQL, поэтому в Debian 10 многих ждало неприятное открытие - данный пакет был исключен из репозитория. Но не стоит отчаиваться, phpMyAdmin - это обычное PHP-приложение, такое же как движок сайта и не составит никакого труда установить его самостоятельно. Более того, таким образом вы получите самую последнюю версию продукта от разработчиков. Также вы можете воспользоваться данной инструкцией и для иных дистрибутивов, в случае если хотите иметь актуальную версию утилиты.\nВажно! Важно! Если вы хотите использовать данную инструкцию в среде отличной от Debian 10 и у вас уже установлена версия из репозитория, то перед тем, как приступать к описанным ниже действиям ее следует удалить.\nПрежде всего установим зависимости и рекомендуемые пакеты, часть из них уже может быть установлена в вашей системе, но это никак не повлияет на дальнейшие действия, просто в процессе установки вы получите сообщение, что данный пакет уже установлен:\n1apt install php-mbstring php-zip php-gd php-curl php-json php-gettext php-xml php-phpseclib Затем создадим необходимые директории:\n1mkdir -p /var/lib/phpmyadmin/tmp 2mkdir /usr/share/phpmyadmin И установим нужного владельца:\n1chown -R www-data:www-data /var/lib/phpmyadmin Перейдем в домашнюю директорию и скачаем архив с официального сайта:\n1cd 2wget https://files.phpmyadmin.net/phpMyAdmin/5.0.2/phpMyAdmin-5.0.2-all-languages.tar.gz В нашем случае это версия 5.0.2, если вы хотите скачать иную версию - просто поменяйте цифры в ссылке, структура URL остается неизменной.\nРаспакуем архив сразу в целевую директорию:\n1tar xvf phpMyAdmin-5.0.2-all-languages.tar.gz -C /usr/share/phpmyadmin --strip-components 1 Ключ**--strip-components 1** предписывает не создавать вложенную папку первого уровня.\nИзменим рабочую директорию и скопируем файл настроек из шаблона:\n1cd /usr/share/phpmyadmin 2cp config.sample.inc.php config.inc.php Затем откроем файл config.inc.php на редактирование. Первым делом найдем директиву blowfish_secret и установим для нее парольную фразу длинной 32 символа:\n1$cfg[\u0026#39;blowfish_secret\u0026#39;] = \u0026#39;!KzD8t^2L2e6AxFSDqM#%5voCuNquJKW\u0026#39;; Затем раскомментируем блок User used to manipulate with storage и в опции controlpass установим пароль для служебного пользователя pma:\n1/* User used to manipulate with storage */ 2$cfg[\u0026#39;Servers\u0026#39;][$i][\u0026#39;controlhost\u0026#39;] = \u0026#39;\u0026#39;; 3$cfg[\u0026#39;Servers\u0026#39;][$i][\u0026#39;controlport\u0026#39;] = \u0026#39;\u0026#39;; 4$cfg[\u0026#39;Servers\u0026#39;][$i][\u0026#39;controluser\u0026#39;] = \u0026#39;pma\u0026#39;; 5$cfg[\u0026#39;Servers\u0026#39;][$i][\u0026#39;controlpass\u0026#39;] = \u0026#39;ibuQKE!6RGL$2Ph!\u0026#39;; Еще ниже полностью раскомментируем секцию Storage database and tables:\n1/* Storage database and tables */ 2$cfg[\u0026#39;Servers\u0026#39;][$i][\u0026#39;pmadb\u0026#39;] = \u0026#39;phpmyadmin\u0026#39;; 3$cfg[\u0026#39;Servers\u0026#39;][$i][\u0026#39;bookmarktable\u0026#39;] = \u0026#39;pma__bookmark\u0026#39;; 4$cfg[\u0026#39;Servers\u0026#39;][$i][\u0026#39;relation\u0026#39;] = \u0026#39;pma__relation\u0026#39;; 5$cfg[\u0026#39;Servers\u0026#39;][$i][\u0026#39;table_info\u0026#39;] = \u0026#39;pma__table_info\u0026#39;; 6$cfg[\u0026#39;Servers\u0026#39;][$i][\u0026#39;table_coords\u0026#39;] = \u0026#39;pma__table_coords\u0026#39;; 7$cfg[\u0026#39;Servers\u0026#39;][$i][\u0026#39;pdf_pages\u0026#39;] = \u0026#39;pma__pdf_pages\u0026#39;; 8$cfg[\u0026#39;Servers\u0026#39;][$i][\u0026#39;column_info\u0026#39;] = \u0026#39;pma__column_info\u0026#39;; 9$cfg[\u0026#39;Servers\u0026#39;][$i][\u0026#39;history\u0026#39;] = \u0026#39;pma__history\u0026#39;; 10$cfg[\u0026#39;Servers\u0026#39;][$i][\u0026#39;table_uiprefs\u0026#39;] = \u0026#39;pma__table_uiprefs\u0026#39;; 11$cfg[\u0026#39;Servers\u0026#39;][$i][\u0026#39;tracking\u0026#39;] = \u0026#39;pma__tracking\u0026#39;; 12$cfg[\u0026#39;Servers\u0026#39;][$i][\u0026#39;userconfig\u0026#39;] = \u0026#39;pma__userconfig\u0026#39;; 13$cfg[\u0026#39;Servers\u0026#39;][$i][\u0026#39;recent\u0026#39;] = \u0026#39;pma__recent\u0026#39;; 14$cfg[\u0026#39;Servers\u0026#39;][$i][\u0026#39;favorite\u0026#39;] = \u0026#39;pma__favorite\u0026#39;; 15$cfg[\u0026#39;Servers\u0026#39;][$i][\u0026#39;users\u0026#39;] = \u0026#39;pma__users\u0026#39;; 16$cfg[\u0026#39;Servers\u0026#39;][$i][\u0026#39;usergroups\u0026#39;] = \u0026#39;pma__usergroups\u0026#39;; 17$cfg[\u0026#39;Servers\u0026#39;][$i][\u0026#39;navigationhiding\u0026#39;] = \u0026#39;pma__navigationhiding\u0026#39;; 18$cfg[\u0026#39;Servers\u0026#39;][$i][\u0026#39;savedsearches\u0026#39;] = \u0026#39;pma__savedsearches\u0026#39;; 19$cfg[\u0026#39;Servers\u0026#39;][$i][\u0026#39;central_columns\u0026#39;] = \u0026#39;pma__central_columns\u0026#39;; 20$cfg[\u0026#39;Servers\u0026#39;][$i][\u0026#39;designer_settings\u0026#39;] = \u0026#39;pma__designer_settings\u0026#39;; 21$cfg[\u0026#39;Servers\u0026#39;][$i][\u0026#39;export_templates\u0026#39;] = \u0026#39;pma__export_templates\u0026#39;; А после нее добавим следующую опцию:\n1$cfg[\u0026#39;TempDir\u0026#39;] = \u0026#39;/var/lib/phpmyadmin/tmp\u0026#39;; Еще ниже найдем и раскомментируем опцию, отвечающую за язык по умолчанию:\n1$cfg[\u0026#39;DefaultLang\u0026#39;] = \u0026#39;ru\u0026#39;; В нашем случае это русский, посмотреть доступные языки и их коды можно в директории /usr/share/phpmyadmin/locale.\nТеперь создадим пользователя СУБД и назначим ему необходимые права, для начала войдем в консоль MySQL (MariaDB):\n1mysql -u root и выполним там следующие команды:\n1GRANT SELECT, INSERT, UPDATE, DELETE ON phpmyadmin.* TO \u0026#39;pma\u0026#39;@\u0026#39;localhost\u0026#39; IDENTIFIED BY \u0026#39;ibuQKE!6RGL$2Ph!\u0026#39;; Обратите внимание, что в опции IDENTIFIED BY мы должны указать тот же пароль, который был задан в controlpass конфигурационного файла.\nСбросим кеш привилегий и выйдем из консоли:\n1FLUSH PRIVILEGES; 2QUIT После чего создадим служебную базу данных и произведем ее начальное заполнение:\n1mysql -u root \u0026lt; sql/create_tables.sql На этом установка phpMyAdmin закончена. В целях безопасности удалим служебную директорию setup:\n1rm -rf /usr/share/phpmyadmin/setup Далее мы рассмотрим подключение утилиты к популярным веб-серверам.\nНастройка Apache 2 для работы с phpMyAdmin Создадим файл конфигурации Apache:\n1touch /etc/apache2/conf-available/pma.conf И внесем в него следующие директивы:\n1# phpMyAdmin default Apache configuration 2Alias /phpmyadmin /usr/share/phpmyadmin 3\u0026lt;Directory /usr/share/phpmyadmin\u0026gt; 4 Options SymLinksIfOwnerMatch 5 DirectoryIndex index.php 6 \u0026lt;IfModule mod_php.c\u0026gt; 7 \u0026lt;IfModule mod_mime.c\u0026gt; 8 AddType application/x-httpd-php .php 9 \u0026lt;/IfModule\u0026gt; 10 \u0026lt;FilesMatch \u0026#34;.+\\.php$\u0026#34;\u0026gt; 11 SetHandler application/x-httpd-php 12 \u0026lt;/FilesMatch\u0026gt; 13 php_value include_path . 14 php_admin_value upload_tmp_dir /var/lib/phpmyadmin/tmp 15 php_admin_value open_basedir /usr/share/phpmyadmin/:/var/lib/phpmyadmin/:/usr/share/php/php-gettext/:/usr/share/php/php-php-gettext/:/usr/share/php/phpseclib/ 16 php_admin_value mbstring.func_overload 0 17 \u0026lt;/IfModule\u0026gt; 18\u0026lt;/Directory\u0026gt; 19 20# Disallow web access to directories that don\u0026#39;t need it 21\u0026lt;Directory /usr/share/phpmyadmin/templates\u0026gt; 22 Require all denied 23\u0026lt;/Directory\u0026gt; 24\u0026lt;Directory /usr/share/phpmyadmin/libraries\u0026gt; 25 Require all denied 26\u0026lt;/Directory\u0026gt; Сохраним файл и подключим конфигурацию:\n1a2enconf pma Проверим конфигурацию Apache на ошибки:\n1apachectl -t И перезапустим веб-сервер:\n1service apache2 restart Теперь можно набрать в браузере http://example.com/phpmyadmin, и вы попадете в интерфейс утилиты (где вместо example.com - адрес вашего сайта): Настройка NGINX для работы с phpMyAdmin Будем считать, что у вас уже установлен NGINX и PHP-FPM по нашей инструкции, в противном случае вам потребуется откорректировать пути в соответствии с собственными настройками.\nСоздадим новый шаблон:\n1touch /etc/nginx/templates/phpmyadmin.conf И внесем в него следующий текст:\n1location /phpmyadmin { 2root /usr/share/; 3index index.php; 4 5location ~ ^/phpmyadmin/(.+\\.php)$ { 6 try_files $uri =404; 7 root /usr/share/; 8 fastcgi_pass unix:/var/run/php/php7.3-fpm.sock; 9 fastcgi_index index.php; 10 include fastcgi_params; 11 fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; 12 } 13 location ~* ^/phpmyadmin/(.+\\.(jpg|jpeg|gif|css|png|js|ico|html|xml|txt))$ { 14 root /usr/share/; 15 expires 1M; 16 } 17} Сохраним его и подключим к нужным сайтам добавим в конце их конфигурационных файлов директиву:\n1include /etc/nginx/templates/phpmyadmin.conf; Проверим правильность конфигурации NGINX:\n1nginx -t И перезапустим службы:\n1service php7.3-fpm restart 2service nginx restart Затем точно также наберем http://example.com/phpmyadmin и убедимся в работоспособности утилиты: Как видим, установить phpMyAdmin вручную достаточно просто. Для обновления вам потребуется просто скачать архив с новой версией и распаковать поверх существующей установки, не забыв удалить потом директорию setup. В ряде случаев потребуется обновить служебную базу данных, скрипты для этого находятся в директории sql, подробности вы сможете узнать в официальной документации к новой версии.\n","id":"2345d70477bce06eee9d5b83df965273","link":"https://interface31.ru/post/ustanovka-phpmyadmin-v-debian-10/","section":"post","tags":["Apache","Debian","Linux","Nginx","phpMyAdmin","Сайт"],"title":"Установка phpMyAdmin в Debian 10"},{"body":"Сейчас, когда многие настраивают VPN для работы удаленных сотрудников, выбор протокола становится как никогда актуальным. С одной стороны стоят поддерживаемые современными ОС протоколы PPTP и L2TP, которые имеют ряд существенных недостатков и ограничений, с другой OpenVPN, который всем хорош, но требует установки стороннего ПО. При этом как-то забывают о быстром и безопасном IKEv2, основанном на IPsec новом протоколе, также поддерживаемом всеми современными ОС.\nПочему именно IKEv2? Данный протокол входит в группу протоколов IPsec и обеспечивает высокий уровень безопасности, включая аутентификацию клиента с использованием сертификата, а также проверку подлинности сервера клиентом, что исключает атаки типа \u0026quot;человек посередине\u0026quot;. При поддержке аппаратного ускорения IPsec со стороны оборудования показывает хорошую скорость соединения относительно других типов VPN в RouterOS и весьма прост в настройке с клиентской стороны, не требует добавления маршрутов.\nК недостаткам можно отнести достаточную сложность настройки серверной части, которая требует выполнения определенных условий и наличия базового объема знаний о работе IPsec. В данной статье мы не будем углубляться в теорию, сделав упор на практическую сторону вопроса, ограничившись краткими пояснениями необходимости тех или иных настроек.\nСоздание центра сертификации и выпуск сертификатов Когда мы говорим об использовании сертификатов для аутентификации, то подразумеваем наличие инфраструктуры открытых ключей (PKI), образующей область доверия, за счет чего появляется возможность проверки подлинности любого субъекта инфраструктуры без привлечения третьих служб и списков пользователей. В основе PKI лежит центр сертификации - CA, выпускающий сертификаты и дающий возможность убедиться в их подлинности при помощи корневого публичного сертификата.\nВ нашем случае центр сертификации будет создан средствами RouterOS прямо на маршрутизаторе. Для этого перейдем в System - Certificate и выпустим корневой сертификат нашего CA. Выделенный зеленым блок не является обязательным, но мы советуем его заполнять, дабы в дальнейшем не пришлось угадывать, что это за сертификат и кому и кем он выдан.\nЗатем перейдем на закладку Key Usage и оставим только crl sign и key cert. sign, затем нажмем Apply, чтобы применить изменения, после чего подпишем сертификат. нажав кнопку Sign, в открывшемся окне укажем CA CRL Host, в качестве которого следует использовать один из IP-адресов роутера. В терминале эти же действия можно выполнить командой:\n1/certificate 2add name=ca country=\u0026#34;RU\u0026#34; state=\u0026#34;31\u0026#34; locality=\u0026#34;BEL\u0026#34; organization=\u0026#34;Interface LLC\u0026#34; common-name=\u0026#34;ca\u0026#34; key-size=2048 days-valid=3650 key-usage=crl-sign,key-cert-sign 3sign ca ca-crl-host=192.168.103.1 Следующим шагом выпустим сертификат сервера. Обратите внимание, что сервер обязательно должен иметь выделенный IP адрес и, желательно, доменное имя. Последнее условие не является обязательным, но предпочтительно, так как позволит отвязаться от использования адреса и в случае изменения IP вам не придется перевыпускать сертификаты и менять настройки клиентских подключений. Заполнение полей в целом повторяет предыдущий пример, за исключением Common Name и Subject Alt. Name. Здесь мы указываем IP-адрес или FQDN по которому клиенты будут подключаться к серверу. Если вы используете IP-адрес, то тип записи в поле Subject Alt. Name нужно сменить на IP. Важно! Обратите внимание, если вы выпустили сертификат с указанием FQDN, а подключить клиента попытаетесь по IP-адресу, либо наоборот, то такое соединение окажется невозможным.\nНа закладке Key Usage укажем единственное значение tls server и подпишем наш сертификат закрытым ключом центра сертификации CA. Эти же действия в терминале:\n1/certificate 2add name=vpn.interface31.lab country=\u0026#34;RU\u0026#34; state=\u0026#34;31\u0026#34; locality=\u0026#34;BEL\u0026#34; organization=\u0026#34;Interface LLC\u0026#34; common-name=\u0026#34;vpn.interface31.lab\u0026#34; subject-alt-name=DNS:\u0026#34;vpn.interface31.lab\u0026#34; key-size=2048 days-valid=3650 key-usage=tls-server 3sign vpn.interface31.lab ca=\u0026#34;ca\u0026#34; Теперь можно выпускать клиентские сертификаты, это можно сделать как сразу, так и потом. Никаких особых требований здесь нет, в качестве имени указывайте максимально понятное значение, скажем, ФИО сотрудника или наименование офиса. Потому как понять кому принадлежит сертификат с CN IvanovIA не составит особого труда, в отличие от какого-нибудь безликого client3. Также обратите внимание на опцию Days Valid, не следует выдавать клиентские сертификаты на большой срок. В Key Usage также указываем единственное назначение сертификата - tls client и подписываем его закрытым ключом CA. Команды для терминала:\n1/certificate 2add name=SmirnovaMV country=\u0026#34;RU\u0026#34; state=\u0026#34;31\u0026#34; locality=\u0026#34;BEL\u0026#34; organization=\u0026#34;Interface LLC\u0026#34; common-name=\u0026#34;SmirnovaMV\u0026#34; key-size=2048 days-valid=365 key-usage=tls-client 3sign SmirnovaMV ca=\u0026#34;ca\u0026#34; Для использования на клиентских устройствах сертификаты следует экспортировать, наиболее удобно использовать для этого формат PKCS12, который в одном файле содержит закрытый ключ клиента, его сертификат и корневой сертификат CA. Для этого выберите сертификат в списке и в меню правой кнопки мыши укажите действие Export. В поле Type укажите PKCS12, а в Export Passphrase следует указать пароль (не менее 8 символов), в противном случае закрытый ключ выгружен не будет. Это же можно сделать командой:\n1/certificate 2export-certificate SmirnovaMV type=pkcs12 export-passphrase=0123456789 Скачать экспортированные сертификаты можно из раздела Files. Настройка IKEv2 VPN-сервера Здесь мы вступаем в достаточно сложную область настройки IPsec, объем статьи не позволяет подробно останавливаться на назначении каждой настройки, поэтому если вы не уверены в своих действиях, то мы не рекомендуем отклоняться от указанных ниже настроек.\nПерейдем в IP - IPsec - Profiles и создадим новый профиль, который задает параметры для установления соединения. Все параметры оставляем по умолчанию, кроме наименования, которому следует дать осмысленное имя. Либо выполните команду в терминале:\n1/ip ipsec profile 2add name=IKEv2 Затем перейдем на закладку Proposals - предложения, который содержит параметры криптографии предлагаемые для соглассования подключающимся клиентам. Создадим новое предложение, которое сформировано с учетом используемых современными ОС алгоритмов и изменение его состава может либо ослабить безопасность, либо сделать подключение некоторых клиентов невозможным.\nПараметры по умолчанию нам не подойдут, поэтому в блоке Encr. Algorithms убираем 3des и добавляем aes-128-cbc, aes-192-cbc, aes-256-cbc. В терминале достаточно простой команды:\n1/ip ipsec proposal 2add name=IKEv2 pfs-group=none Здесь мы сталкиваемся с одной особенностью: создаваемые через терминал и Winbox предложения содержат различный набор параметров. То, что создается в терминале полностью соответствует приведенным выше на скриншоте требованиям.\nДля выдачи VPN-клиентам нам потребуется отдельный диапазон адресов, перейдем в IP - Pool и создадим новый пул, в нашем случае будет использован диапазон адресов 10.20.0.100 - 10.20.0.199: Снова вернемся к настройкам IPsec и создадим конфигурацию, передаваемую клиенту для настройки его сетевых параметров, для этого перейдем на в IP - IPsec - Mode Configs. При создании новой конфигурации установим флаг Responder, в поле Address Pool укажем имя созданного нами пула, в поле Address Prefix Lenght укажем префикс адреса - 32, поле Split Include указываем подсети, запросы к которым следует направлять в туннель, здесь следует указать одну или несколько внутренних сетей, доступ к которым должны получать удаленные клиенты. В нашем случае это сеть условного офиса - 192.168.111.0/24. Наконец флаг System DNS предписывает клиенту использовать DNS сервера указанные в IP - DNS роутера. Если передавать DNS-сервера не требуется, то данный флаг следует снять. Это же действие в терминале:\n1/ip ipsec mode-config 2add address-pool=ikev2-pool address-prefix-length=32 name=IKEv2-cfg split-include=192.168.111.0/24 Если же вам нужно, чтобы клиенты использовали внутренние сервера имен, например, в Active Directory, то флаг System DNS также следует снять и указать адреса требуемых DNS-серверов. Команда для терминала будет выглядеть так:\n1/ip ipsec mode-config 2add address-pool=ikev2-pool address-prefix-length=32 name=IKEv2-cfg split-include=192.168.111.0/24 static-dns=192.168.111.101,192.168.111.201 system-dns=no На закладке Groups создадим новую группу, никаких настроек здесь нет, просто укажите уникальное имя: 1/ip ipsec policy group 2add name=ikev2-policies Затем на закладке Policices создадим шаблон политики, которая будет указывать какой именно трафик будет подвергаться обработке IPsec и отправляться в туннель. В поле Src. Address оставляем 0.0.0.0/0, в поле Dst. Address указываем выделенный для VPN-сети диапазон: 10.20.0.0/24, устанавливаем флаг Template и указываем созданную нами ранее группу в поле Group. На закладке Action в поле Proposal укажите созданный нами ранее набор предложений. Эти же действия в терминале:\n1/ip ipsec policy 2add dst-address=10.20.0.0/24 group=ikev2-policies proposal=IKEv2 src-address=0.0.0.0/0 template=yes После чего перейдем в IP - IPsec - Peers создадим новый пир для приема подключений. Сразу установим флаг Passive, в поле Address указываем 0.0.0.0/0 (разрешаем подключаться из любого места), в поле Profile указываем созданный нами профиль, а в поле Exchange Mode укажем протокол обмена ключами - IKE2. В терминале для получения аналогичного результата выполните:\n1/ip ipsec peer 2add exchange-mode=ike2 name=IKEv2-peer passive=yes profile=IKEv2 На закладке Identities создадим новую настройку идентификации подключающихся клиентов. Здесь много настраиваемых полей и нужно быть предельно внимательными, чтобы ничего не упустить и не перепутать. В поле Peer - указываем созданный нами пир, Auth. Method - способ аутентификации - digital signature, Certificate - сертификат сервера. Policy Template Group - группа шаблонов политик - выбираем созданную нами группу, Mode Configuration - указываем созданную нами конфигурацию для клиентов, Generate Policy - port strict. Команда для терминала:\n1/ip ipsec identity 2add auth-method=digital-signature certificate=vpn.interface31.lab generate-policy=port-strict mode-config=IKEv2-cfg peer=IKEv2-peer policy-template-group=ikev2-policies На этом настройка сервера завершена, осталось лишь добавить правила брандмауэра, разрешающие работу с ним. Для того, чтобы клиенты могли подключаться к серверу перейдем в IP - Firewall - Filter Rules и добавим правило: Chain - input, Protocol - udp, Dst. Port - 500, 4500, In. Interface - ваш внешний интерфейс (в нашем случае это ether1). Действие не указываем, так как по умолчанию применяется accept. Для добавления правила в терминале:\n1/ip firewall filter 2add action=accept chain=input dst-port=500,4500 in-interface=ether1 protocol=udp Но это еще не все, чтобы VPN-клиенты могли получить доступ к внутренней сети, следует добавить еще одно правило. На закладке General укажите Chain - forward и Interface - внешний интерфейс, затем на Advanced: IPsec Policy - in:ipsec. 1/ip firewall filter 2add action=accept chain=forward in-interface=ether1 ipsec-policy=in,ipsec Оба правила следует расположить выше, чем запрещающие в каждой из цепочек.\nНастройка подключения клиента в Windows Прежде всего импортируем сертификат, для этого можно просто выполнить двойной клик на файле сертификата, в открывшемся Мастере импорта в качестве Расположения хранилища укажите Локальный компьютер, остальные параметры принимаются по умолчанию. Затем создадим новое подключение штатными инструментами. А качестве Типа VPN укажем IKEv2, а в качестве Типа данных для входа - Сертификат. Также обратите внимание, что в строка Имя или адрес сервера должно совпадать с Common Name сертификата сервера, в противном случае подключение установить не удастся. После чего откроем свойства созданного подключения и перейдем на закладку Безопасность, где установим переключатель Проверка подлинности в положение Использовать сертификаты компьютеров. Теперь можно подключаться, если все сделано правильно - подключение будет успешно. Проверим таблицу маршрутов: Как видим, маршрут к нашей внутренней сети 192.168.111.0/24 был добавлен автоматически и никаких ручных настроек клиента не требуется.\nНастройка подключения клиента в Linux Точно также начнем с сертификата, но в данном случае нам потребуется немного больше действий. Будем считать, что сертификат находится в корневой директории пользователя, для которого мы настраиваем подключение. Все последующие команды также следует выполнять от его имени.\nПерейдем в домашнюю директорию и создадим скрытую папку для хранения ключей и сертификатов:\n1cd ~ 2mkdir .ikev2 Теперь нам нужно экспортировать из PKCS12 файла корневой сертификат CA, а также ключ и сертификат пользователя. Начнем с корневого сертификата:\n1openssl pkcs12 -in cert_export_SmirnovaMV.p12 -out .ikev2/IKEv2_CA.crt -nodes -nokeys -cacerts Затем экспортируем сертификат клиента:\n1openssl pkcs12 -in cert_export_SmirnovaMV.p12 -out .ikev2/SmirnovaMV.crt -nodes -nokeys И его закрытый ключ. При экспорте закрытого ключа нас попросят установить для него пароль, минимальная длинна пароля 8 символов. Пропустить этот шаг нельзя.\n1openssl pkcs12 -in cert_export_SmirnovaMV.p12 -out .ikev2/SmirnovaMV.pass.key -nocerts На каждом из этих этапов нам нужно будет вводить парольную фразу, указанную при экспорте сертификата пользователя на роутере.\nИ наконец уберем пароль с закрытого ключа пользователя:\n1openssl rsa -in .ikev2/SmirnovaMV.pass.key -out .ikev2/SmirnovaMV.key Во время этого действия вы должны будете ввести пароль, который указали при создании ключа.\nДля того, чтобы иметь возможность создавать VPN-подключения в графическом интерфейсе установим необходимый плагин для Network Manager:\n1sudo apt install network-manager-strongswan После чего вам станут доступны настройки VPN IKEv2 соединения. Настройки соединения достаточно просты. В секции Gateway указываем адрес сервера и путь к корневому сертификату CA. В секции Client устанавливаем Authentication: Certificate/private key и указываем пути к сертификату и закрытому ключу клиента. И в секции Option обязательно устанавливаем флаг Request an inner IP address. На этом настройка соединения окончена, можно подключаться. Если мы после подключения проверим таблицу маршрутизации, то не обнаружим маршрута к офисной сети, но при этом она будет доступна: Но никакой ошибки здесь нет. Просто Linux в данной ситуации поступает более правильно, вместо маршрута в системе создается соответствующая политика IPsec, которая направляет трафик к внутренней сети в туннель согласно тому, что мы указали в конфигурации клиента (Mode Configs) на роутере.\n","id":"8ed8da8200613750eeb189b2aa113f56","link":"https://interface31.ru/post/nastraivaem-ikev2-vpn-server-na-routerah-mikrotik/","section":"post","tags":["IKEv2","IPsec","MikroTik","VPN","Сетевые технологии"],"title":"Настраиваем IKEv2 VPN-сервер на роутерах Mikrotik с аутентификацией по сертификатам"},{"body":"OpenVPN пользуется заслуженной популярностью у системных администраторов, находя широкое применения в самых разнообразных сценариях. Но очень часто внедрение OpenVPN происходит посредством повторения инструкций, без глубокого понимания смысла выполняемых действий. Особенно это касается \u0026quot;генерации ключей\u0026quot;, эта простая с виду операция имеет достаточно глубокий скрытый пласт, формируя собственную инфраструктуру открытых ключей. Отсутствие понимания структуры PKI, как показывает отклик наших читателей, способно приводить к различного рода затруднениям и проблемам при использовании OpenVPN.\nВообще-то PKI - тема достаточно сложная и обширная, требующая глубоких теоретических знаний. Но мы не будем углубляться в дебри, а постараемся простым языком, с максимальным упрощением, дать тот необходимый минимум знаний, который должен быть у любого администратора, работающего с OpenVPN.\nВсем известно, что для аутентификации пользователей OpenVPN использует вместо паролей сертификаты. Что это дает? Это дает существенное повышение безопасности. Мы сейчас не будем говорить о том, что пароль можно перехватить. Современные системы не передают пароли в открытом виде, используя вместо них достаточно хорошо защищенные сложными криптографическими алгоритмами хеши. Но пароль всегда можно подобрать и это одно из наиболее уязвимых мест.\nСертификат подобрать невозможно, его можно либо иметь, либо не иметь. Но само по себе наличие сертификата еще ничего не дает, он не является секретным и вы вполне можете его получить, но чтобы установить защищенное соединение с сервером вам потребуется закрытый ключ, который хранится в надежном месте и (в идеале) никогда не покидает пределы клиентского ПК.\nНо как сервер определит, что именно этот клиент имеет право доступа? Существует ошибочное мнение, что сертификаты выдает именно сервер и поэтому он знает, кто из клиентов имеет право подключаться, а кто нет. Однако это не так и данное заблуждение часто приводит к разного рода затруднениям при работе с OpenVPN.\nЗдесь мы вплотную подходим к понятию инфраструктуры открытых ключей. Основная цель PKI - это обеспечение области доверия, в которой каждый участник может однозначно доверять другому участнику, не имея никакой предварительной информации о нем.\nЕсли проводить аналогию, то это можно сравнить с пропускной системой на проходной. Охранник лично вас не знает в лицо, вы тоже, возможно, первый раз его видите, но вы предъявляете ему пропуск установленного образца, и он открывает вам турникет. За счет чего это происходит? За счет доверия. Пропуска выдаются специальным отделом - Бюро пропусков, авторитет и доверие, к которому неоспоримы.\nВ нашем случае таким \u0026quot;бюро пропусков\u0026quot; служит Центр сертификации (CA, Certification authority), вокруг которого складывается инфраструктура открытых ключей. Авторитет CA неоспорим и доверие к нему не подвергается сомнению. Именно CA осуществляет всё управление сертификатами, как для клиентов, так и для серверов.\nЭто абсолютно отдельная сущность, хотя физически она может находиться на одном узле с сервером OpenVPN. Чаще всего в роли центра сертификации используется Easy-RSA, хотя можно использовать любое другое ПО, скажем, в роли CA вполне может выступать Mikrotik. Но общий смысл от этого не меняется, создав центр сертификации мы вместе с ним создаем область доверия, которая называется инфраструктурой открытых ключей.\nДавайте рассмотрим следующую схему: При создании центра сертификации мы генерируем ключевую пару из открытого и закрытого ключей. Открытый ключ, вместе с другой информацией о нашем CA содержится в корневом сертификате ca.crt, который должен иметь самое широкое распространение в нашей инфраструктуре, так как именно он составляет основу доверительных отношений. Имея на руках корневой сертификат, мы можем проверить сертификат любого другого субъекта и убедиться, что он выдан нашим CA и следовательно мы можем ему доверять.\nЗакрытый ключ центра сертификации представляет самую большую ценность и должен храниться в надежном месте, а также никогда не покидать пределы CA. Компрометация закрытого ключа фактически уничтожает область доверия, так как мы не можем быть уверенны, что предъявленный нам сертификат выпущен именно CA, а не завладевшим ключом злоумышленником.\nПри помощи центра сертификации мы формируем ключи и сертификаты для OpenVPN-серверов и их клиентов. Если быть строго последовательными - то это неправильно, так как закрытый ключ клиента (под клиентами CA подразумеваются как сервера OpenVPN, так и их клиенты) формируется на узле CA, а потом передается на узел клиента, что является нарушением безопасности, так как закрытый ключ не должен покидать пределы собственного узла.\nВ теории мы должны на каждом клиенте центра сертификации создать открытый и закрытый ключи, сформировать запрос на сертификат и отправить его CA, который в свою очередь выпустит нужный нам сертификат и подпишет его своим открытым ключом. Таким образом никакая критически важная для безопасности информация (закрытые ключи) по каналам связи не передается.\nНа практике схема, когда и ключи, и сертификаты формирует CA вполне допустима, так как все это контролируется системным администратором, который может принять разумные меры для недопущения несанкционированного доступа к закрытым ключам.\nТаким образом на каждом из узлов нашей OpenVPN-сети должен присутствовать закрытый ключ, сертификат узла и корневой сертификат CA. При этом ни клиенты, ни сервера не знают кому именно выпущены сертификаты и в каком количестве.\nЭто очень важный момент. OpenVPN-сервер не имеет списка клиентов и готов предоставить доступ любому, кто предоставит валидный сертификат. Почему? Потому что все они входят в область доверия, созданную центром сертификации в рамках инфраструктуры открытых ключей.\nЧтобы получить доступ клиент предъявляет серверу собственный сертификат, сервер, при помощи корневого сертификата CA убеждается, что данный сертификат действительно выдан нашим центром сертификации и ему можно доверять, затем проверяется срок его действия и при успешной проверке начинается процесс установления защищенного соединения.\nСрок действия является одним из наиболее важных параметров сертификата и его можно успешно использовать в свою пользу. Скажем для сотрудника на испытательном сроке можно выпустить сертификат на 30 дней, а затем просто перевыпустить на больший срок. Это гораздо безопаснее, чем потом забыть отозвать сертификат у не прошедшего испытательного срока работника.\nСо своей стороны клиент точно также проверяет действительность сертификата сервера, после чего устанавливает с ним связь. При этом любой клиент с сертификатом текущего CA может без проблем подключиться к любому серверу в рамках инфраструктуры PKI.\nЧто касается CA, что обычно он размещается на одном из серверов OpenVPN, но в более сложных схемах имеет смысл вынести его на отдельный узел, лучше всего на виртуальную машину, которую даже можно большую часть времени держать выключенной, включая только для того, чтобы выпустить или отозвать очередной сертификат.\nИ если мы говорим о доверии, то самое время вспомнить об его утрате. В каком случае субъект может утратить доверие? Вариантов тут может быть несколько: это и увольнение сотрудника, и возможная компрометация его закрытого ключа (например, устройство было украдено). В этом случае сертификат требуется отозвать. В процессе отзыва сертификата CA формирует список отозванных сертификатов - CRL. Данный список публикуется на заранее известном узле, и любой участник PKI может проверить предъявленный ему сертификат на предмет отзыва.\nНо OpenVPN так не умеет, что влечет за собой некоторые дополнительные действия. Рассмотрим еще одну схему: После того, как CA обновил список отозванных сертификатов (CRL) его нужно распространить на все сервера OpenVPN в нашей инфраструктуре, после чего они будут понимать, что данный сертификат отозван и отказывать в соединении. Если мы не выполним данное условие, то те сервера, которые не получили обновленный CRL будут по-прежнему разрешать доступ клиенту сертификат которого отозван.\nЧто касается практики, то правильный сценарий предусматривает в пределах одной организации один центр сертификации, создание для нескольких OpenVPN-серверов нескольких CA является достаточно грубой ошибкой. Единственный CA позволяет иметь одну точку управления доверием для всей вашей сети вне зависимости от количества серверов и клиентов в ней.\n","id":"92ea96f836106171cc808d7a4e2f1761","link":"https://interface31.ru/post/openvpn-i-infrastruktura-otkrytyh-klyuchey-pki/","section":"post","tags":["OpenVPN","PKI","Безопасность"],"title":"OpenVPN и инфраструктура открытых ключей (PKI)"},{"body":"Мы все привыкли к онлайн-установщикам, действительно, зачем занимать место инсталляционными пакетами и образами, когда всегда можно получить все это из сети, причем самую последнюю версию. Практически все популярные Linux-дистрибутивы также предлагают образы для сетевой установки, но дистрибутивов может быть много, а еще нужно учитывать разрядности, архитектуры, версии релизов и как-то поддерживать это в актуальном состоянии. Но что, если всё заменить единственным образом размером менее 1 МБ?\nЧто представляет из себя netboot.xyz? Это открытый проект, который позволяет выполнить сетевую загрузку практически любого дистрибутива с использованием iPXE - открытой реализации ПО для загрузки по сети. Все что вам нужно для начала работы проектом - это загрузить с официального сайта загрузочный образ размером около 1МБ. Доступны два варианта загрузчика: Legacy (BIOS) и UEFI, что позволяет работать как с современными, так и устаревшими системами. Сам образ также доступен в нескольких вариантах: ISO, образ для флешки или флоппи-диска, либо для PXE-сервера.\nПри загрузке с него нас встречает следующее меню: Уже на этом этапе можно оценить все богатство возможностей. Утилита автоматически определяет оптимальную архитектуру, но в случае необходимости ее можно переключить на любую доступную используя одноименный пункт: Основная задача проекта - сетевая установка Linux и Unix-like систем, перейдем в пункт Linux Network Installs, где нас встретит обширный список поддерживаемых дистрибутивов: Но это лишь та часть из них, которые имеют официальные образы для сетевой установки. Они же наиболее удобны в работе, позволяя максимально быстро установить систему с минимально возможным объемом скачиваемых данных.\nДругая часть дистрибутивов доступна в пункте Live CDs, но в этом случае по сети будет скачан практически полный образ системы и на вашем ПК должно быть достаточное количество оперативной памяти для размещения образа и его запуска.\nВернемся к сетевой установке, по умолчанию нам предлагаются актуальные релизы, особых сложностей тут нет, выбираем что нам нужно и переходим к установке: Что важно - дистрибутивы скачиваются из официальных источников, и вы можете быть спокойны, это не чья-то самодеятельность, а полностью оригинальный дистрибутив. Ну а далее все просто и стандартно, как будто мы загрузились с обычного установочного образа: Но это еще не все, как быть, если нам требуется что-то нестандартное, допустим достаточно старый дистрибутив. Не вопрос, переходим в пункт Older Releases - Set release codename... И просто вписываем имя необходимого нам дистрибутива, допустим это будет Debian 5 - Lenny: Немного подождем, пока будут скачаны необходимые компоненты и действительно перед нами Lenny: Налицо значительная экономия сил и средств, вам не нужно искать, качать, размещать, записывать и т.д. и т.п. Можно просто выбрать нужный дистрибутив и сразу приступить к установке.\nПри этом поддерживается не только Linux и Unix-like системы, можно также выполнить сетевую установку Windows, но для этого вам потребуется собственная Служба развертывания Windows, адрес сервера которой вы должны явно указать. Также рекомендуем заглянуть в раздел Utilites, там собраны различные образы служебных и восстановительных дисков практически на все случаи жизни. А ситуации бывают разные, иногда возможность таким образом загрузить нужный образ может дорогого стоить. Скажем можно спокойно проверить ОС на вирусы, особенно если в самой ОС явные признаки заражения и нет возможности даже запустить портативную антивирусную утилиту: Кому может быть интересен данный проект? Да практически любому IT-специалисту. В качестве применения мы видим несколько основных направлений. Одно из них - универсальная загрузочная флешка, причем можно использовать даже старую модель малой емкости. Второе - использование в системах виртуализации. В этом случае вы можете заменить коллекцию образов, занимающую место и требующую поддержания в актуальном состоянии на один единственный образ. Но возможные применения этим не исчерпываются, и вы без труда найдете собственные варианты для использования netboot.xyz.\n","id":"26a6722a313b430d4ddaa6aef75a6952","link":"https://interface31.ru/post/adminu-na-zametku-26-kak-ustanovit-lyuboy-populyarnyy-linux-distributiv-po-seti-ispolzuya-netboot/","section":"post","tags":["Linux","Автоматизация","Развертывание"],"title":"Админу на заметку - 27. Как установить любой популярный Linux по сети используя netboot.xyz"},{"body":"Сегодня интернет плотно проник во все сферы нашей жизни и превратился в столь же привычный и необходимый предмет, как электричество или водоснабжение. И это не преувеличение: работа, обучение, онлайн-сервисы - все это требует доступа в сеть, что не только открывает новые возможности, но порождает новые проблемы. Одна из них - защита детей от неподходящей для их возраста информации, а также контроль времени, проводимого ими в сети. При том, что решать данную задачу следует гибко, с учетом возраста и реальных потребностей детей, не ограничивая при этом возможности родителей.\nБольшинство статей в сети интернет рассматривают отдельные инструменты или методики родительского контроля, в то время как это сложный и многогранный вопрос, особенно если есть несколько детей разного возраста. Действительно, ограничения для ученика начальной школы и подростка могут и должны быть разными. Мы не сторонники жесткого закручивания гаек, стремление оградить ребенка от всего чего только возможно также плохо, как и бесконтрольный его доступ ко всем ресурсам сети. Во всем нужен разумный баланс.\nТакже не будем забывать об устройствах общего доступа. Это может быть семейный компьютер, доступ к которому имеют все члены семьи, при этом часть времени он остается бесконтрольным, когда родители еще на работе, а дети уже пришли со школы. В эту категорию также можно добавить умные телевизоры, игровые и телевизионные приставки и т.д. и т.п. Для этой категории устройств доступ должен быть выборочным, применяя ограничительные меры на те периоды времени, когда родителей нет дома.\nВ данной статье мы рассмотрим комплекс мер, который основан на собственном опыте и отражает наше видение политики гибкого родительского контроля, который будет реализован на базе RouterOS.\nРаспределение устройств по группам В основе любых ограничительных мер лежат списки объектов, к которым данные меры применяются. И чем более гибкие политики мы хотим создать, тем более точным должно быть разделение на группы. Да, можно создать единственную группу - Дети, но вряд ли вы сумеете настроить ограничения таким образом, чтобы они подходили и ребенку 7-8 лет и 14-15 летнему подростку. Поэтому далее будем предполагать, что у нас есть условный младшеклассник Иван, подросток Маша и некоторое количество устройств общего пользования, такие как умный телевизор или компьютер в зале.\nКаждый из детей имеет собственные устройства и все эти устройства нам нужно учесть и распределить по группам, здесь нам поможет резервирование DHCP.\nПерейдем в раздел DHCP Server - Leases и зарезервируем за каждым устройством сетевые настройки. Для этого выбираем нужное устройство в списке, открываем его свойства и нажимаем Make Static. После чего на закладке General станут доступны дополнительные настройки, нам нужно указать для каждого устройства свой список адресов. В нашем случае мы создадим свой список для каждого ребенка и еще один для устройств общего пользования. Внизу закладки найдите поле Address List и выберите нужный список, если он отсутствует, то просто укажите его название, он будет создан автоматически. В итоге у вас должен получиться набор динамических списков, каждый из которых содержит адреса нужной группы устройств: Не забывайте снабжать комментариями объекты, добавляемые в списки, это поможет сохранять удобочитаемость настроек и облегчит дальнейшее сопровождение.\nБлокировка нежелательных ресурсов Один из самых сложных и ответственных вопросов. Мы уже обсуждали вопрос блокировки на основе списковв наших статьях, но в данном случае это поможет мало. Одно дело - заблокировать наиболее популярные ресурсы-пожиратели времени в офисе и совсем иное - оградить детей от всего возможного объема нежелательной информации. Здесь нам на помощь придут специализированные DNS.\nПервое, что приходит на ум, это Яндекс.DNS Семейный и аналогичные сервисы других DNS-провайдеров. Но, на наш взгляд, для детей младшего возраста такой фильтрации недостаточно, так как Яндекс Семейный фильтрует только явные материалы 18+, оставляя очень много неоднозначного контента за бортом.\nПоэтому для наиболее полной фильтрации мы используем сервис SkyDNS, который представляет гораздо более специализированное коммерческое решение, тариф SkyDNS.Домашний обходится всего в 395 руб/год, что по силам любому семейному бюджету. Сервис имеет гибкие настройки и позволяет достаточно тонко управлять блокируемыми тематиками. Мы будем использовать оба DNS-сервиса, Яндекс для более взрослых детей, которых уже не требуется ограждать от всего и вся и SkyDNS для младших, которым пока требуется более безопасная выдача.\nПеренаправлять запросы клиентских устройств на нужные нам DNS можно сделать различными способами, мы будем использовать перехват пакетов на роутере, что позволит одновременно организовать защиту от ручного изменения настроек на клиенте. Для этого перейдем в IP - Firewall - NAT и добавим новое правило. Закладка General : Chain - dstnat, Protocol - udp, Dst.Port - 53. На закладке Advanced в поле Src. Address List выбираем нужный нам список устройств. И на закладке Action укажем действие: Action - dst-nat, To Addresses - 193.58.251.251, где в качестве адреса укажем IP-адрес нужного нам сервиса DNS, в данном случае приведен адрес SkyDNS. Затем сделаем копию этого же правила для протокола tcp.\nВ консоли добавить правила можно командами:\n1/ip firewall nat 2add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address-list=IVAN to-addresses=193.58.251.251 3add action=dst-nat chain=dstnat dst-port=53 protocol=tcp src-address-list=IVAN to-addresses=193.58.251.251 Аналогичным образом добавляем перенаправление для других групп устройств к своим DNS-серверам. Отдельного разговора требует группа общих устройств, для них мы укажем дополнительное условие. Для этого перейдем на закладку Extra, развернем блок Time и в полях Time и Days укажем расписание, по которому будем применять ограничения. В указанное время все запросы будут идти к безопасным серверам, а в остальное - к основному DNS-серверу и фильтрация производиться не будет. Это же действие в терминале:\n1/ip firewall nat 2add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address-list=COMMON time=8h-18h,mon,tue,wed,thu,fri to-addresses=77.88.8.7 3add action=dst-nat chain=dstnat dst-port=53 protocol=tcp src-address-list=COMMON time=8h-18h,mon,tue,wed,thu,fri to-addresses=77.88.8.7 В результате у вас должен получиться набор правил для каждой группы устройств, обратите внимание, что правило для группы общих устройств выделено красным и снабжено комментарием # inactive time, в данный момент указанные нами условия не выполняются и такое правило применено не будет. При использовании общих устройств учитывайте такой момент, как локальный DNS-кеш и DNS-кеш браузера. Что может привести к тому, что блокировки не будут работать, несмотря на то что правило активно. Как правило, в большинстве случаев, достаточно перезапустить браузер, но это помогает не всегда. Поэтому имейте это ввиду при посещении ресурсов на общих устройствах.\nПроверим работу фильтров в действии, начнем со SkyDNS, попробуем посетить сайт одного неоднозначного шоу: Отлично, все работает. Кроме фильтрации сайтов данный сервис принудительно включает безопасный режим для Youtube и эффективно контролирует содержимое его роликов. Сравним выдачу по одному и тому же запросу через SkyDNS и обычный DNS-сервер: Как видим, фильтр работает весьма эффективно, отсекая практически весь нежелательный контент, при этом возможность изменить параметры фильтров в браузере будут заблокированы, даже при наличии прав локального администратора. А что будет, если на нежелательный ролик кто-то пришлет ссылку? Ничего страшного: Разблокировать такие ролики локально также невозможно. Дополнительно можно включить безопасный поиск, когда все поисковый запросы будут перенаправляться на Безопасный поиск SkyDNS.\nВ общем, за два года использования данный сервис подтвердил свою эффективность и гибкость в использовании, по мере взросления ребенка часть фильтров можно отключать, предоставляя ему больше свободы в сети, не отказываясь при этом от контроля по тематикам ресурсов.\nЯндекс.DNS Семейный подобной гибкостью похвастаться не может, он фильтрует преимущественно ресурсы, явно относящиеся к категории 18+. Неоднозначное шоу имея более низкий возрастной рейтинг (16+) будет спокойно доступно к просмотру. Тем не менее явные сайты категории \u0026quot;для взрослых\u0026quot; будут однозначно заблокированы. На наш взгляд, сервисы Яндекса хорошо подходят для более старших детей и использования на устройствах общего пользования, возможно даже на постоянной основе. Вместе с категорией 18+ блокируются явно нежелательные сайты: фишинг, мошенничество, варез и т.д., что неплохо подходит и для остальных членов семьи, особенно технически малограмотных.\nКроме Семейного у Яндекса есть безопасный Безопасный режим, который блокирует большинство небезопасных сайтов, но пропускает сайты 18+, его можно использовать, например, для старших членов семьи, которые не обладают достаточными навыками безопасного поведения в интернете.\nОграничение времени доступа в интернет при помощи функции Kid Control Ограничение времени пребывания в сети - вторая по актуальности задача родительского контроля. В актуальных версиях RouterOS для этой цели есть специальный инструмент. Для его настройки перейдем в IP - Kid Control и на вкладке Kids добавим записи для каждого ребенка и группы устройств общего пользования, если доступ нужно ограничивать и к ним. В открывшемся окне добавляем промежутки времени для каждого дня недели в которые будет разрешена работа, таких промежутков может быть несколько. Затем к каждой записи ребенка нужно привязать устройства, принцип здесь аналогичен резервированию DHCP - точно также привязываем MAC-адрес. Для этого на закладке Devices создаем новую запись и указываем там нужный MAC, его можно скопировать из динамической записи, которая исчезнет после привязки устройства. Таким образом получим еще один список, содержащие записи детей и расписание доступа в сеть для них, заблокированная запись обозначается в списке флагом B. Блокировка устройств, связанных с записью, осуществляется при помощи динамически формируемых правил брандмауэра, которые запрещают прохождение транзитных пакетов от устройства и к нему. Кроме блокировок мы можем задавать ограничение скорости интернета, для этого придется в первую очередь заполнить время доступа, если этого не сделать, то будет считаться, что работа пользователя запрещена, затем выше, в полях Unlimited Rate для каждого дня недели указываем промежутки, когда возможен доступ без ограничения скорости, таких промежутков может быть несколько. И наконец в самом низу, в поле Rate Limit указываем ограничение скорости, в нашем случае 1 Мбит/с. При указании даты есть свои особенности, формат записи не поддерживает значение секунд отличное от нуля, поэтому для окончания суток вместо 23:59:59 используйте запись вида 1d 00:00:00.\nСледующий момент - ограничение скорости не работает при включенном Fasttrack, отключение которого может привести к высокой нагрузке на процессор, поэтому для слабых роутеров такой вариант скорее всего будет неприменим. Да и скажем честно, ограничение скорости - нетипичный сценарий для домашнего использования.\nТакже мы неоднократно наблюдали высокую нагрузку на CPU просто при включении ограничения времени доступа, что может сделать применение Kid Control на слабых устройствах невозможным. Но это не является серьезной проблемой, ограничение по времени можно без особых проблем реализовать обычными правилами брандмауэра.\nОграничение времени доступа в интернет при помощи брандмауэра По сути, Kid Control не делает ничего нового или уникального, он является всего лишь высокоуровневым интерфейсом для управления правилами брандмауэра и очередями. А значит все это можно сделать руками и в некоторых случаях это будет еще гораздо проще.\nЕсть два сценария реализации поставленной задачи: либо мы указываем диапазоны времени когда доступ клиента разрешен и запрещаем его в остальное время, либо запрещаем определенный временной промежуток и разрешаем вне его пределов.\nДля начала рассмотрим первый вариант. Допустим мы хотим разрешить доступ с 10:00 до 23:00 вы выходные и с 17:00 до 23:00 в рабочие дни. Переходим в IP - Firewall - Filter и создаем новое правило. На закладке General указываем цепочку для транзитного трафика: Chain - forward. На закладке Advanced в опции Src. Address List указываем список адресов устройств ребенка. На закладке Extra в разделе Time выбираем нужные дни и указываем требуемый временной диапазон (ниже указано расписание для выходных дней). После чего сохраняем правило. Затем делаем его копию и настраиваем расписание для рабочей недели. Если требуется задать несколько диапазонов, то создаем необходимое количество правил копированием, в каждом из которых меняем время действия правила на закладке Extra.\nИ завершаем наш набор правил запрещающим, для него мы заполняем закладки: General - указывая цепочку Chain - forward, Advanced - задав список адресов в Src. Address List и Action - reject.\nВ терминале это можно сделать командами:\n1/ip firewall filter 2add action=accept chain=forward src-address-list=IVAN time=10h-23h,sun,sat 3add action=accept chain=forward src-address-list=IVAN time=17h-23h,mon,tue,wed,thu,fri 4add action=reject chain=forward reject-with=icmp-network-unreachable src-address-list=IVAN Другой вариант предусматривает запрет только в определенный период времени, для этого мы создаем новое правило, как и в предыдущем примере заполняя закладки General, Advanced и Extra, после чего на закладке Action добавляем действие reject. Разрешающего правила в комплект с ним не нужно, так как политика по умолчанию разрешает все исходящие транзитные соединения.\nВ терминале выполните (для примера мы запретили доступ с 08:00 до 17:00):\n1/ip firewall filter 2add action=reject chain=forward reject-with=icmp-network-unreachable src-address-list=MASHA time=8h-17h,mon,tue,wed,thu,fri Данные правила следует разместить в самом начале цепочки FORWARD (т.е. выше всех остальных правил), также не забывайте снабжать правила понятными комментариями. Неактивные правила также будут выделены красным цветом и комментарием # inactive time. Подобные наборы правил фактически делают все тоже самое, что и Kid Control, но не создают при этом лишней нагрузки на устройство.\nКак видим, роутеры Mikrotik предоставляют достаточно широкие возможности по родительскому контролю, которые, к тому же, можно настроить несколькими разными способами.\n","id":"a880853a2f8be0770ccd3fe5b66a2deb","link":"https://interface31.ru/post/nastraivaem-roditelskiy-kontrol-na-routerah-mikrotik/","section":"post","tags":["DHCP","DNS","Kid Control","MikroTik","Безопасность","Сетевые технологии"],"title":"Настраиваем родительский контроль на роутерах Mikrotik"},{"body":"OpenVPN достаточно широко применяется системными администраторами как для объединения сетей офисов и филиалов, так и для доступа корпоративных клиентов. В последнем случае процесс настройки может доставить некоторые неудобства, особенно если таких клиентов много. Действительно, на удаленный компьютер нужно скачать ключи и сертификаты, разместить их в определенном месте, прописать пути к ним в конфигурацию. К счастью, можно значительно облегчить себе работу, достаточно объединить ключи и настройки клиента в один файл.\nКлассический способ настройки клиента, описанный во всех руководствах, наших в том числе, подразумевает что мы передаем на клиента и располагаем там целый ряд файлов: сертификат удостоверяющего центра - CA, закрытый ключ и сертификат клиента, файл конфигурации. Также еще может использоваться дополнительный ключ для TLS-аутентификации. Все это подразумевает ручную настройку и при большом числе клиентов может оказаться утомительным.\nПоэтому облегчим жизнь и себе и пользователям, объединив все в единственный OVPN-файл. Прежде всего откроем файл конфигурации клиента и закомментируем в нем строки содержащие пути к ключам и сертификатам (пути даны сугубо условно):\n1#ca C:\\\\Users\\\\Andrey\\\\OpenVPN\\\\keys\\\\ca.crt 2#cert C:\\\\Users\\\\Andrey\\\\OpenVPN\\\\keys\\\\ivanov.crt 3#key C:\\\\Users\\\\Andrey\\\\OpenVPN\\\\keys\\\\ivanov.key Если вы используете TLS-аутентификацию, то дополнительно закомментируйте:\n1#tls-auth C:\\\\Users\\\\Andrey\\\\OpenVPN\\\\keys\\\\ta.key 1 Теперь перейдем в самый конец файла и создадим там несколько секций в которые скопируем содержимое ключей и сертификатов:\n1\u0026lt;ca\u0026gt; 2-----BEGIN CERTIFICATE----- 3... 4-----END CERTIFICATE----- 5\u0026lt;/ca\u0026gt; 6 7\u0026lt;key\u0026gt; 8-----BEGIN PRIVATE KEY----- 9... 10-----END PRIVATE KEY----- 11\u0026lt;/key\u0026gt; 12 13\u0026lt;cert\u0026gt; 14-----BEGIN CERTIFICATE----- 15... 16-----END CERTIFICATE----- 17\u0026lt;/cert\u0026gt; В секцию ca мы копируем содержимое корневого сертификата ca.crt, в секцию key - содержимое ключа клиента, а в секцию cert - открытый ключ из его сертификата, обратите внимание, что копируется содержимое начиная от строки BEGIN и заканчивая строкой END включительно, как есть, без каких либо изменений. Открыть сертификаты и ключи можно обычным Блокнотом, либо любым иным текстовым редактором. Если вы используете TLS-аутентификацию, то добавьте секцию tls-auth и скопируйте в нее содержимое ключа ta.key:\n1\u0026lt;tls-auth\u0026gt; 2-----BEGIN OpenVPN Static key V1----- 3... 4-----END OpenVPN Static key V1----- 5\u0026lt;/tls-auth\u0026gt; И добавьте в файл опцию:\n1key-direction 1 Теперь файл конфигурации можно сохранить и передать на клиентское устройство. А дальше все достаточно просто и практически не требует вмешательства администратора, многие пользователи вполне способны сделать все самостоятельно. Щелкаем правой кнопкой на значок графической оболочки OpenVPN в системном лотке, выбираем Импорт конфигурации и указываем на полученный файл. Если все сделано правильно, то вы получите сообщение об успешном импорте. Поздравляем, OpenVPN-клиент успешно настроен, можно переходить к следующему. Разница между традиционным способом существенная, мы радикально уменьшили число необходимых действий и теперь настройка клиента может быть выполнена руками самого пользователя, нужно только лишь подготовить подробную инструкцию. Хотя и подробностей там будет немного: установить OpenVPN c настройками по умолчанию и выполнить импорт конфигурации.\n","id":"2972575ac87d0aafaad2f74b6a36a3ce","link":"https://interface31.ru/post/openvpn-ob-edinyaem-klyuchi-i-konfiguraciyu-klienta-v-odin-fayl/","section":"post","tags":["OpenVPN","VPN","Безопасность"],"title":"OpenVPN объединяем ключи и конфигурацию клиента в один файл"},{"body":"В продолжение темы iSCSI в среде Linux мы затронем тему инициатора, которого мы ранее не касались, рассказывая о подключении iSCSI-дисков исключительно к Windows-системам. Несомненно, это наше упущение, и мы постараемся его исправить. Перед тем как приступать к настройке инициатора мы советуем хотя бы по диагонали прочитать одну из наших статей по iSCSI или иную справочную информацию, чтобы иметь базовое представление о терминологии и назначении отдельных частей системы.\nЕще раз коротко напомним, сервер iSCSI называется портал, он содержит цели (таргет, Target), каждая цель предоставляет доступ к одному или нескольким блочным устройствам. Клиент iSCSI называется инициатор (Initiator), одна цель может быть подключена только к одному инициатору, исключения - кластерные системы.\nВ качестве инициатора в Linux системах используется Open-iSCSI, установим его, перед установкой не забудем обновить список пакетов. Здесь и далее все команды выполняются от имени суперпользователя или через sudo.\n1apt update 2apt install open-iscsi Затем перейдем в /etc/iscsi и откроем файл iscsid.conf. Найдем и раскомментируем опцию:\n1node.startup = automatic Ниже обязательно закомментируем:\n1node.startup = manual Затем зададим параметры аутентификации инициатора, раскомментировав опции:\n1node.session.auth.authmethod = CHAP 2 3node.session.auth.username = username 4node.session.auth.password = password Если предполагается работа только с одной целью, то можно сразу указать здесь используемые логин и пароль, можно же оставить как есть, указав нужные данные уже при настройке подключения к цели.\nСохраним файл и перезапустим службу:\n1service open-iscsi restart Теперь попробуем подключиться к порталу и получить список доступных целей:\n1iscsiadm -m discovery -p 192.168.111.153 -t st Это короткая запись команды, полная будет выглядеть так:\n1iscsiadm --mode discovery --portal 192.168.111.153 --type sendtargets Из чего становится понятно, что мы должны подключиться к порталу 192.168.111.153 в режиме обнаружения и получить него все доступные цели.\nПосле успешного выполнения данной команды в /etc/iscsi появятся две директории nodes - которая содержит вложенные каталоги для каждого IQN - и send_targets - с вложенными каталогами для каждой цели. Перейдем в nodes и провалимся в каталог с IQN нашей цели, в нем откроем еще один каталог с адресом и портом, в котором обнаружим файл default. Откроем его на редактирование.\nПрежде всего убедимся, что\n1node.startup = automatic Если же вам нужно, чтобы указанная цель не подключалась автоматически при загрузке, то измените automatic на manual.\nЗатем найдите:\n1node.session.auth.username = username 2node.session.auth.password = password И укажите там логин и пароль для подключения к вашей цели.\nТеперь можно подключить цель, для этого можно использовать команду:\n1iscsiadm -m node --login Которая подключит все цели, конфигурационные файлы которых находятся в каталоге nodes, если требуется подключить только отдельную цель, то укажите ее явно:\n1iscsiadm -m node --targetname \u0026#34;iqn.2009-02.lab.interface31:deban-test-target\u0026#34; --login Для отключения выполните, данная команда отключит все цели:\n1iscsiadm -m node --logout Для отключения только определенной:\n1iscsiadm -m node --targetname \u0026#34;iqn.2009-02.lab.interface31:deban-test-target\u0026#34; --logout Для проверки можем выполнить:\n1lsblk Которая покажет все подключенные блочные устройства, среди которых должен оказаться и предоставляемый целью диск, в нашем случае на скриншоте ниже виден 2 ГБ диск sdb. Также можно посмотреть все текущие подключения iSCSI:\n1 iscsiadm -m session Для удаления ненужных целей воспользуйтесь командой:\n1iscsiadm -m discovery -p 192.168.111.153 -o delete Которая удалит все связанные с указанным порталом (опция -p) цели.\n","id":"8cd083a4f94e40d625e205e8901fe8fc","link":"https://interface31.ru/post/nastroyka-iscsi-iniciatora-v-debian-ili-ubuntu/","section":"post","tags":["Debian","High availability","iSCSI","Ubuntu Server"],"title":"Настройка iSCSI-инициатора Open-iSCSI в Debian или Ubuntu"},{"body":"Количество Linux-дистрибутивов давно не поддается счету, с одной стороны, это плохо, силы разработчиков распыляются на очередной проект, в котором будут очередные \u0026quot;нескучные обои\u0026quot;. С другой - это приводит к появлению достаточно интересных и оригинальных решений, где каждый может найти что-то подходящее именно ему. Одним из таких дистрибутивов является Elementary OS, система на базе Ubuntu c собственным рабочим столом, разработчики которого явно вдохновлялись идеями MacOS.\nПри этом у создателей дистрибутива не только собственное видение \u0026quot;прекрасного\u0026quot;, но и собственный подход к монетизации и с первого взгляда не сразу можно сообразить, как скачать дистрибутив бесплатно. \u0026quot;Платите сколько хотите\u0026quot; - это все таки \u0026quot;платите\u0026quot;, да и кнопка Купить ниже не добавляет энтузиазма. На самом деле все достаточно просто, нажимаем кнопку Другая сумма и вводим в открывшемся поле ноль, после чего предложение купить сменится предложением скачать. Запомним этот фокус, он нам еще пригодится в дальнейшем. А вообще такая навязчивая монетизация с самого начала несколько напрягает. Нет, мы нисколько не против того, что разработчик хочет получить вознаграждение за собственный труд, нам не нравится сама постановка вопроса, где возможность бесплатного получения как-бы делается неочевидной. Как говорится - осадочек остался.\nТак как система основана на Ubuntu, то установщик штатный, хорошо знакомый всем, кто устанавливал эту ОС: А вот дальнейшее оформление подкачало, можно было бы хотя бы свой логотип на сером фоне нарисовать. Но все меняется, когда мы входим в установленную систему. Нас встречает собственное окружение рабочего стола Pantheon, сразу скажем - выглядит красиво, изящный минимализм в стиле MacOS. Основными элементами рабочего пространства являются панель в верхней части экрана - WingPanel, и док - Plank - внизу. В зависимости от цвета обоев панель меняет цвет текста и значков со светлого на темный. Но все это благолепие сохраняется только на входящих в состав дистрибутива обоях. При установке собственного рисунка панель вполне может потерять прозрачность, причем причины такого поведения достаточно неочевидны. Поэтому, если вы хотите прозрачности, с выбором обоев придется основательно постараться. Хотя, скажем честно, непрозрачная панель также смотрится достаточно стильно.\nДля доступа к приложениям используется собственное меню - Slingshot. Набор приложений из коробки невелик, все что есть поместилось на скриншоте ниже. Скажем так, немного и негусто. В комплекте браузер и минимальный комплект ПО, нет даже офисного пакета. В то же время все родные приложения достаточно проработаны и выглядят просто отлично, полностью вписываясь в стиль системы.\nФайловый менеджер с поддержкой вкладок: Есть достаточно интересная возможность выделять файлы и папки цветными метками: В целом все продумано и удобно, в недостатки можно записать неполную русификацию, вроде бы мелочь, но режет взгляд.\nМузыка, Видео и Фотографии выполнены в едином, лаконичном стиле, различаясь разве что цветовой гаммой. В данном случае такое однообразие подходов можно только приветствовать. Параметры системы не блещут изобилием настроек, но все что нужно рядовому пользователю там есть. А в ряде случаев и просто порадовало обилием возможностей, например, при настройке VPN (из коробки поддерживаются OpenVPN и PPTP). При этом достаточно тонко соблюден баланс, между количеством настроек и простотой восприятия. Для установки приложений существует собственный AppCenter, который особенно ничем ни отличается от аналогичных магазинов в других системах, кроме одной особенности. В самом начале обзора мы советовали запомнить вам один фокус с ценой. Сейчас он снова нам пригодится. В магазине есть платные приложения, которые легко становятся бесплатными, если самостоятельно установить им нулевую цену. Повторим, мы не против монетизации, но используемые методы оставляют какой-то неприятный осадок. Может показаться, что у Elementary OS все хорошо и перед нами чуть ли не идеальный дистрибутив. Но нет, здесь хватает своих проблем. Одна из них - низкая интерактивность. Рабочий стол как таковой отсутствует. Мы не можем разместить на нем ничего, правый щелчок мышью также не работает, хотя это привычный сценарий если мы хотим попасть в настройки рабочего стола или экрана. Аналогично обстоит дело и с панелью задач, и с доком. Хотите настроек - идите в Параметры системы.\nВыпадающий из верхней панели календарь не позволяет создать в нем событие, для этого нам нужно самостоятельно открыть приложение Календарь. И таких моментов достаточно много, что порождает ощущение какой-то \u0026quot;деревянности\u0026quot;, там, где привычно ожидаешь от системы интерактивного взаимодействия - его нет. Да, можно пойти, найти, открыть... Но зачем, если в других системах и окружениях рабочего стола все это есть?\nПопробуем что нибудь установить, допустим Libre Office, как один из пакетов первой необходимости. Но тут же получили достаточно пугающее предупреждение, несмотря на то что в качестве основных репозиториев системы используются официальные репозитории Ubuntu. Из всего этого мы, если честно, оставили бы только предупреждение об интеграции в систему, ибо тут все достаточно печально. Обычно все пользователи Linux привыкли, что, устанавливая метапакет с ним вместе будут установлены и все связанные компоненты. Однако здесь это не так и нужные приложения офисного пакета придется устанавливать самостоятельно. Только вот сделать это смогут не только лишь все... Установили, запускаем, но что это? Вся целостность концепции системы рассыпается как карточный домик. Приложение выглядит откровенно чужеродно, настолько плохо, насколько это вообще возможно. С локализацией тоже беда... Хотя в репозитории обнаружилась \u0026quot;фирменная\u0026quot; тема для офисного пакета libreoffice-style-elementary, которая, будучи установленной, вместе с увеличением размера значков несколько исправила ситуацию, но до идеала тут далеко. Все это вызывает только недоумение, потому как Libre Office с высокой долей вероятности будет установлен практически на каждом первом компьютере. Для разрешения проблем с локализацией нужно было \u0026quot;додуматься\u0026quot; заглянуть в Язык и региональные настройки параметров системы. Где нам \u0026quot;радостно\u0026quot; сообщили, что поддержка языка установлена не полностью, но это легко исправить, Ubuntu умела показывать подобные сообщения прямо на рабочем столе еще очень много лет назад. Неужели трудно было сделать хотя бы оповещение? Ведь локализация - это очень чувствительный для большинства пользователей вопрос. Но если вы думаете, что Libre Office какое-то исключение из правил, то спешим вас разочаровать. Точно такая же ситуация с любым приложением кроме штатных, какие-то из них выглядят в среде окружения Pantheon вполне прилично, тот же VLC: А какие-то просто ломают всё визуальное восприятие системы: При том, что обеспечить визуальную привлекательность основных приложений не так уж и сложно, достаточно взглянуть на то, как выглядят эти же пакеты в стандартном окружении Gnome3 Debian 10, и это с учетом того, что Debian никогда особенно не заморачивался графическим окружением, оставляя практически все с настройками по умолчанию. Недоумения добавляет и то, что Pantheon построен на основе Gnome и GTK+. В принципе, привести это все в приличный вид не очень сложно, достаточно лишь найти, скачать и установить нужные стили и темы, к примеру мы по-быстрому оформили GIMP и это далеко не самый качественный стиль для него, просто первый попавшийся. Выводы А выводы у нас неоднозначные, в базовой поставке и при поверхностном ознакомлении система достаточно хороша, мы бы даже назвали ее одной из лучших, особенно если вы, как и разработчики, симпатизируете MacOS. Но стоит несколько поближе познакомиться с ней, как наружу выходят различные огрехи, в частности недостаточная интерактивность, окружение рабочего стола не спешит взаимодействие с пользователем, представая в большинстве случаев статичной картинкой.\nЭто особенно непонятно если ориентироваться на источник вдохновения разработчиков, можно по-разному относиться к продукции Apple, но нельзя не признать, что их пользовательские интерфейсы одни из наиболее удобных и интуитивно понятных. Если выбирать MacOS за источник идей и вдохновения, то повторять нужно не только внешний вид, но и поведение системы. Хотя и с внешним видом тоже есть проблемы.\nМы не даром отметили в заголовке статьи, что Elementary OS - дистрибутив для эстетов. Действительно, если внешний вид имеет для вас решающее значение, и вы готовы мириться с некоторыми неудобствами, а также готовы потратить некоторое время для оформления сторонних приложений в стиле системы, то Elementary будет неплохим выбором. Для остальных... Ну даже не знаю, рекомендовать бы ее не стал. Тем более что есть не менее проработанные графические окружения и дистрибутивы, на любой вкус и цвет.\n","id":"5a0f7c2530d1e58b1c92d8f3eb6ee50d","link":"https://interface31.ru/post/elementary-os---distributiv-dlya-estetov/","section":"post","tags":["Linux","Ubuntu"],"title":"Elementary OS - дистрибутив для эстетов"},{"body":"Протокол iSCSI получил широкое распространение как простой и недорогой способ организации сетей хранения данных (SAN) поверх обычных Ethernet-сетей. iSCSI не требует приобретения дополнительного оборудования и существенного изменения инфраструктуры, тем не менее позволяя более эффективно использовать пространство в хранилищах и увеличить надежность хранения данных. В данном материале мы рассмотрим создание iSCSI-хранилища в среде современных ОС семейства Debain или Ubuntu, включая многочисленные их производные.\nНачиная с Debian 9 Stretch и Ubuntu 18.04 LTS пакет iSCSI Enterprise Target (iscsitarget) был удален и ему на смену пришел Linux SCSI target (tgt), работу с которым мы и будем рассматривать. Все указанные ниже команды следует вводить с правами суперпользователя или используя sudo. В нашем случае использовалась OC Debian 10, но все сказанное будет справедливо для любого основанного на нем дистрибутива, а с некоторыми поправками для любых Linux-систем.\nПрежде всего установим Linux SCSI target, не забыв перед этим обновить список пакетов:\n1apt update 2apt install tgt Серверная часть в iSCSI называется порталом, который содержит цели (таргет, Target), каждая из которых предоставляет клиенту - инициатору (Initiator) доступ к одному или нескольким блочным устройствам. В качестве блочных устройств могут использоваться физические диски, логические тома, файлы (виртуальные диски) и т.д. и т.п. В нашем примере мы будем использовать файл. На наш взгляд это наиболее удобно, так как позволяет достаточно гибко управлять системой хранения - файлы виртуальных дисков можно легко перемещать между серверами или физическими дисками, а также управлять их размерами.\nВиртуальные диски могут иметь фиксированный размер или быть динамическими. Диск фиксированного размера сразу занимает все выделенное пространство, но при этом обеспечивает наиболее высокое быстродействие и практически не подвержен фрагментации. Динамический диск увеличивает свой размер по мере записи на него данных, файл диска при этом может фрагментироваться, особенно если активная запись ведется сразу в несколько таких дисков.\nКакой же тип выбрать? Здесь все зависит от решаемых задач, если вы заранее знаете объем хранимых данных, и он не будет существенно изменяться - то выбирайте диск фиксированного размера, в иных случаях более предпочтителен динамический диск, как позволяющий более оптимально использовать дисковое пространство.\nДля хранения файлов виртуальных дисков мы будем условно использовать директорию /storage, поэтому вам потребуется откорректировать пути в соответствии с реальным расположением данных.\nДля создания диска фиксированного размера используйте команду:\n1dd if=/dev/zero of=/storage/lun0.img bs=1M count=2048 Она создаст файл размером 2 ГБ, так как мы указали размер блока - bs - равным 1 MБ и количество таких блоков - count - 2048.\nДля создания динамического диска:\n1dd if=/dev/zero of=/storage/lun0.img bs=1 count=0 seek=200G Данная команда создает разреженный файл с максимальным размером 200 ГБ, разреженными называются файлы, которые вместо последовательности нулей на диске хранят информацию об этих последовательностях в специальной таблице.\nДля преобразования обычного файла в разреженный выполните команду:\n1cp --sparse=always filename newfilename Где filename и newfilename - старое и новое имя файла.\nБудем считать, что файлы виртуальных дисков вами созданы и перейдем к настройке Linux SCSI target. Для этого перейдем в /etc/tgt где мы увидим файл targets.conf и директорию conf.d. Предполагается что для каждой цели мы будем использовать отдельный конфигурационный файл, которые следует снабдить расширением .conf и размещать в указанной директории.\nСледует помнить, что так как iSCSI-диск является аналогом обычного диска, то с одной целью может работать только один инициатор, исключение - кластерные системы, где одна цель может быть сразу подключена к нескольким узлам.\nСоздадим новый файл конфигурации:\n1touch /etc/tgt/conf.d/debain-test.conf Затем откроем созданный файл и внесем в него следующее содержимое:\n1\u0026lt;target iqn.2009-02.lab.interface31:deban-test-target\u0026gt; 2 backing-store /storage/lun0.img 3 initiator-address 192.168.111.150 4 incominguser andrey secretpass12 5\u0026lt;/target\u0026gt; В начале секции после директивы target указывается IQN - полностью определенное имя цели, которое имеет следующий формат:\n1iqn.\u0026lt;year-mo\u0026gt;.\u0026lt;reversed_domain_name\u0026gt;:\u0026lt;unique_name\u0026gt; где:\nyear-mo - год и месяц регистрации домена reversed_domain_name - доменное имя, записанное в обратном порядке unique_name - уникальное имя цели Внутри секции цели мы указали следующие опции:\nbacking-store - указывает путь к блочному устройству или файлу initiator-address - IP-адрес инициатора, , если он не указан, то доступ сможет получить любое устройство. incominguser - имя пользователя и пароль, необязательная опция, используется для дополнительной безопасности, по требованию стандарта длина пароля должна быть равна 12 символам. Если вы хотите предоставлять в одной цели два и более блочных устройства, то для каждого из них добавьте отдельной строкой опцию backing-store, это же касается и initiator-address, их тоже можно указать несколько.\nСохраним файл конфигурации и перезапустим службу Linux SCSI target:\n1service tgt restart Проверить работу портала можно командой:\n1 tgtadm --mode target --op show Которая покажет все подключенные к нему цели и предоставляемые ими блочные устройства. На этом настройку цели можно считать законченной. Как видим, никаких особых сложностей в создании iSCSI хранилища в Linux-системах нет.\n","id":"3edb4c10383a33ae64a4682a96522cb0","link":"https://interface31.ru/post/nastroyka-iscsi-hranilishha-v-debian-ili-ubuntu/","section":"post","tags":["Debian","High availability","iSCSI","Ubuntu Server"],"title":"Настройка iSCSI-хранилища Linux SCSI target в Debian или Ubuntu"},{"body":"Значение интернета в повседневной жизни и деятельности предприятий всех форм и размеров с каждым днем только растет, особенно сейчас, когда весь мир переходит на дистанционные методы работы в связи с пандемией короновируса. Но этот вопрос актуален также и для торговых предприятий, платежные карты используются практически каждым вторым покупателем и отсутствие интернета мгновенно скажется на выручке предприятия. В данной статье мы рассмотрим, каким образом можно организовать резервный канал и обеспечить быстрое переключение на него и обратно штатными средствами RouterOS.\nКак показывает читательский отклик, маршрутизация для многих администраторов является достаточно сложной темой. Тем не менее если вы внимательно выполните все инструкции данной статьи, то всё будет работать. Однако слепое выполнение инструкций не добавляет понимания происходящих процессов и, если что-то пойдет не так вы окажетесь в весьма затруднительном положении, поэтому перед тем, как перейти к практике мы выполним небольшой теоретический ликбез.\nТеория Действительно, маршрутизация достаточно сложная тема, поэтому мы сознательно упростили многие моменты для того, чтобы обеспечить понимание процессов начинающими в объеме необходимом для решения поставленной задачи.\nЧто такое маршрутизация? Это процесс определения пути следования данных в сетях связи. Его можно сравнить с прокладкой маршрута с использованием навигатора, вы задаете начальную и конечную точку и получаете несколько вариантов проезда с указанием всех промежуточных точек. В некоторых точках маршрут может разделяться на несколько вариантов, из которых вы можете выбрать наиболее оптимальный, исходя из оценки текущей дорожной обстановки.\nДля каждого узла маршрута, а наш роутер является одним из них, решение о маршрутизации принимается на основании таблицы маршрутизации. Рассмотрим ее простейший вариант, за основу мы взяли стандартный вывод в терминале Mikrotik и добавили дополнительные данные, сейчас они могут быть непонятны, но ниже мы будем к ним обращаться.\n1Flags: X - disabled, A - active, D - dynamic, C - connect, S - static 2 # DST-ADDRESS PREF-SRC GATEWAY DISTANCE SCOPE TARGET SCOPE 3 0 DAS 0.0.0.0/0 192.168.3.1 1 30 10 4 1 DAC 192.168.3.0/24 192.168.3.113 ether5 0 10 10 5 2 DAC 192.168.186.0/24 192.168.186.1 bridge1 0 10 10 Прежде всего разберемся как заполняется таблица маршрутизации. Это может происходить несколькими способами:\nНепосредственно присоединенные сети - в данном случае они имеют флаг С - connect - это сети к которым физически подключен маршрутизатор, они добавляются при подключении интерфейса и удаляются при его отключении. Статические маршруты - добавляются системным администратором, либо динамически, при подключении коммутируемого соединения или получения сетевых параметров по DHCP. В этом случае к флагу S -static, добавляется флаг D - dynamic. Динамические маршруты - маршруты добавляемые при помощи протоколов динамической маршрутизации, таких как OSPF, RIP и т.д. Не следует путать их с динамически добавляемыми статическими маршрутами и маршрутами непосредственно присоединенных сетей. Флаг D - dynamic в Mikroitk обозначает только то, что маршрут добавлен автоматически, без участия пользователя. А динамические маршруты обозначаются флагами r - rip, b - bgp, o - ospf, m - mme, однако их рассмотрение выходит за рамки данной статьи. К одной цели могут вести несколько маршрутов, приоритетом их выбора является значение административной дистанции, чем ниже это значение, тем выше приоритет у маршрута. Если вернуться к нашей аналогии с навигатором, то он может проложить нам несколько маршрутов, но приоритет получит самый короткий. Но если на этом маршруте возникнут серьезные затруднения, скажем, пробка или авария, то мы можем выбрать более длинный маршрут. Также и здесь, если маршрут с наименьшей административной дистанцией недоступен, то выбирается маршрут с более высокой дистанцией.\nТеперь разберемся как все это работает. Допустим мы хотим обратиться к узлу 8.8.8.8, роутер берет таблицу маршрутизации и осуществляет в ней поиск наилучшего маршрута к запрашиваемому узлу. В нашем случае искать особо нечего и это будет \u0026quot;нулевой\u0026quot; маршрут со шлюзом 192.168.3.1. Но маршрутизаторы крупных сетевых узлов могут содержать тысячи и десятки тысяч маршрутов и поэтому поиск может оказаться совсем не простым и дешевым действием.\nКоротко напомним о том, что такое \u0026quot;нулевой\u0026quot; маршрут или шлюз по умолчанию, он используется в том случае, если в таблице для узла назначения не было найдено ни одного подходящего маршрута. Проще говоря, если роутер не знает куда отправить данные, он отправляет их шлюзу по умолчанию. Особой записи для узла 8.8.8.8 в нашей таблице нет, поэтому будет использоваться \u0026quot;нулевой\u0026quot; маршрут.\nХорошо, адрес шлюза мы определили, но это не решило основной задачи - куда отправить данные. Почему? Вернемся к нашей аналогии, вы решили поехать из Белгорода в Москву, карта показывает, что сначала вам нужно приехать в Курск. Отлично, но как именно в него попасть? Навигатор услужливо подскажет нам, что требуется ехать на север по федеральной трассе М2 «Крым».\nВ нашем случае основной задачей маршрутизатора будет определить интерфейс выхода, т.е. куда именно физически нужно направить данные, чтобы они добрались до требуемого места назначения. Поэтому роутер снова начинает поиск в таблице маршрутизации чтобы определить каким образом следует добраться до искомого адреса шлюза 192.168.3.1, согласно таблице, будет найден маршрут к сети 192.168.3.0/24 через интерфейс ether5. Так как интерфейс выхода определен, то поиск прекращается и роутер формирует необходимый тип данных для передачи на канальном уровне.\nЗдесь тоже следует дать краткие пояснения, если интерфейс выхода является сетью Ethernet, то роутер выполнит ARP-запрос для адреса шлюза и сформирует Ethernet-кадр, а если это туннельный интерфейс точка-точка (VPN, PPPoE), то выполнит инкапсуляцию IP-пакета и отправит его на другую сторону туннеля.\nИ здесь мы приходим к следующим соображениям: таблица маршрутизации может быть большая и поиск по ней может быть затратным, в тоже время шлюз будет располагаться в одной из непосредственно присоединенных сетей, возможно следует ограничить поиск только по ним?\nДля решения этой проблемы в Linux, а следовательно, и в RouterOS, введены понятия области маршрута - Scope, и области поиска - Target-scope. Теперь вернемся к нашей таблице маршрутизации, \u0026quot;нулевой\u0026quot; маршрут имеет область - 30 и область поиска - 10. Следовательно дальнейший поиск будет вестись только среди маршрутов с областью 10.\nПо умолчанию данные опции имеют следующее значение:\nНепосредственно присоединенные сети: Scope - 10, Target Scope не имеет смысла, так как данный маршрут указывает на интерфейс выхода Динамические маршруты - OSPF, RIP, MME: Scope - 20, Target Scope - 10 Статические маршруты: Scope - 30, Target Scope - 10 Таким образом область поиска существенно снижается и маршрут к шлюзу ищется только среди непосредственно присоединенных сетей. Теперь самое время перейти к рекурсивной маршрутизации.\nMikrotik имеет возможность проверять доступность шлюза, используя для этого пинг, если шлюз оказывается недоступным, то маршрут становится неактивным. Это хорошо, но позволяет выявлять только проблемы в сети провайдера, и если шлюз остается доступным, то маршрут будет продолжать оставаться активным, несмотря на остуствие доступа в интернет. Но что, если указать в качестве шлюза удаленный высокодоступный узел?\nДавайте рассмотрим следующую таблицу маршрутизации:\n1Flags: X - disabled, A - active, D - dynamic, C - connect, S - static 2# DST-ADDRESS PREF-SRC GATEWAY DISTANCE SCOPE TARGET SCOPE 3 0 AS 0.0.0.0/0 1.1.1.1 1 30 10 4 1 AS 1.1.1.1/32 192.168.3.1 1 10 10 5 2 DAC 192.168.3.0/24 192.168.3.113 ether5 0 10 10 6 3 DAC 192.168.186.0/24 192.168.186.1 bridge1 0 10 10 В качестве шлюза по умолчанию мы указали адрес одного из DNS-серверов Cloudflare, обратите внимание, что такой адрес не должен использоваться в вашей сети, потому что после отказа связанного с ним провайдера он окажется недоступен. Теперь мы можем проверять наличие интернета за пределами сети провайдера и своевременно переключать маршруты в случае его недоступности.\nТеперь разберемся как это работает. Когда мы хотим связаться с каким-либо узлом в сети интернет маршрутизатор выполнит поиск по таблице маршрутизации и, если не указано иных маршрутов, выберет \u0026quot;нулевой\u0026quot; в котором указан шлюзом 1.1.1.1, так как найден адрес, то поиск будет продолжен, чтобы определить интерфейс выхода. Так как указанный нами шлюз не находится ни в одной из непосредственно присоединенных сетей, то сделать это не удастся и такой маршрут работать не будет.\nПоэтому мы \u0026quot;подскажем\u0026quot; маршрутизатору как достичь указанного нами узла и добавим маршрут к 1.1.1.1 через сеть провайдера, а чтобы он участвовал в поиске его область должна быть меньше или равна области поиска \u0026quot;нулевого\u0026quot; маршрута, т.е. 10. Это очень важный момент, если вы неправильно укажете область второго маршрута - рекурсивная маршрутизация работать не будет.\nИтак, роутер находит адрес первого шлюза - 1.1.1.1 и начинает искать маршрут к нему с среди маршрутов с областью 10, там он находит второй маршрут и получает из него новое значение шлюза - 192.168.3.1 - который является шлюзом нашего провайдера, затем еще раз выполняет поиск и находит связанный с ним интерфейс выхода - ether5. После чего пакет отправляется провайдеру, а удаленный узел 1.1.1.1 используется нами только как способ проверки наличия интернета через данный канал. Это и есть рекурсивная маршрутизация.\nПрактика Будем считать что на вашем роутере уже настроен доступ к двум провайдерам и мы не будем останавливаться на этапе базовой настройки, если вы испытываете затруднения с этим, то обратитесь к нашей статье: Базовая настройка роутера MikroTik.\nВ нашем примере будут использоваться два условных провайдера, основной и резервный, подключенные к интерфейсам ether5 и ether4, тип интерфейса и подключения в данном случае никакой роли не играют. Откроем таблицу маршрутизации IP - Routes, в простейшем виде она будет выглядеть приблизительно так: У нас есть два нулевых маршрута с разными административными дистанциями (1 для основного провайдера, 2 для резервного) и три маршрута для непосредственно присоединенных сетей, где 192.168.3.0/24 - сеть основного провайдера, а 192.168.16.0/24 - резервного.\nПеред тем, как переходить к дальнейшим настройкам нам нужно выяснить и запомнить адреса шлюзов провайдеров, для этого можно заглянуть на закладку Nexthops, для коммутируемых подключений (VPN, PPPoE) следует проверить свойства соответствующего соединения. Внимание! Внимание! Дальнейшие действия следует производить имея физический доступ к устройству!\nПрежде всего отключим автоматическое создание нулевых маршрутов для сетей провайдеров, для этого следует снять флаг Add Default Route в свойствах подключения, либо установить одноименную опцию в значение - no. После этого доступ в интернет по обоим каналам пропадет. Имейте это ввиду при планировании работ.\nТеперь начнем добавлять собственные маршруты, но сначала выберем два высокодоступных узла для первого и второго провайдера. Допустим это будут 1.1.1.1 (Cloudflare DNS) и 9.9.9.9 (Quad9 DNS). Каких-либо ограничений по их выбору нет, это могут быть как ваши собственные, так и публичные узлы, единственное условие - они не должны использоваться в вашей сети, потому как при отказе одного из провайдеров окажутся недоступными.\nВ первую очередь создадим маршруты к этим узлам. Для этого снова перейдем в IP - Routes и создадим новый маршрут: Где Dst. Address - 1.1.1.1 - узел для проверки первого провайдера, Gateway - 192.168.3.1 - шлюз первого провайдера, Distance - 1, Scope - 10. Обратите внимание на значение области (Scope), если вы оставите там значение по умолчанию - 30, то рекурсивная маршрутизация работать не будет! Затем добавим второй аналогичный маршрут, но уже к узлу 9.9.9.9 через шлюз второго провайдера.\nЭти же действия через терминал:\n1/ip route 2add distance=1 dst-address=1.1.1.1/32 gateway=192.168.3.1 scope=10 3add distance=1 dst-address=9.9.9.9/32 gateway=192.168.16.2 scope=10 Затем добавим два рекурсивных \u0026quot;нулевых\u0026quot; маршрута. Для первого провайдера: Dst. Address оставляем по умолчанию - 0.0.0.0/0, Gateway - 1.1.1.1 - высокодоступный узел для первого провайдера, Check Gateway - ping - указываем проверку доступности шлюза, Distance - 1.\nДля второго провайдера: Dst. Address - 0.0.0.0/0, Gateway - 9.9.9.9, Check Gateway - ping , Distance - 2. Обратите внимание на значение административной дистанции второго маршрута, она должна быть больше, чем у основного провайдера, в нашем случае - 2.\nТо же самое быстро в терминале:\n1/ip route 2add check-gateway=ping distance=1 gateway=1.1.1.1 3add check-gateway=ping distance=2 gateway=9.9.9.9 Теперь таблица маршрутизации будет выглядеть следующим образом: Наши маршруты добавились как рекурсивные и активным является маршрут через основного провайдера. Теперь имитируем аварию у первого провайдера, буквально через 10-20 секунд таблица маршрутизации изменится и рабочим станет маршрут через резервный канал: После того, как первый провайдер устранит неисправность снова произойдет изменение маршрутов и рабочим снова станет основной канал.\nКак видим на практике все оказалось достаточно просто, но мы уверены, что слепое повторение инструкций без понимания сути производимых действий никого и никогда ни к чему хорошему не приводило, поэтому настоятельно советуем не пренебрегать теоретической частью материала.\nРекурсивная маршрутизация и PPPoE При использовании PPPoE подключения вы рано или поздно столкнетесь с проблемой изменения адреса шлюза провайдера, это может произойти даже при наличии выделенного IP адреса. После чего маршрут к высокодоступному узлу перестает работать, что приводит к полной неработоспособности этого провайдера. Диагностика такой неисправности может оказаться весьма затруднительной если вы не сталкивались с данной проблемой ранее и недостаточно четко представляете себе принципы работы рекурсивных маршрутов.\nЧтобы этого избежать используем одну небольшую хитрость. Вспомним, о чем мы говорили в теоретической части. При использовании PPPoE соединения адрес шлюза провайдера роутеру как таковой не нужен. Он используется только для определения интерфейса выхода. Для работы протокола PPP, который лежит в основе PPPoE, IP-адреса не требуются. Это дает возможность самостоятельно присвоить произвольный адрес для удаленного конца туннеля и использовать его в качестве шлюза.\nДля этого перейдем в PPP - Profiles и создадим новый профиль, укажем для него понятное имя и зададим параметр - Remote Address, адрес можно указать любой, единственное условие - он не должен пересекаться с вашими внутренними сетями, в нашем случае это 10.253.252.251. Также установите переключатель Change TCP MSS в положение yes. В терминале это можно сделать так:\n1/ppp profile 2add change-tcp-mss=yes name=pppoe-rt remote-address=10.253.252.251 После чего назначим этот профиль вашему PPPoE соединению: И после его перезапуска убедимся, что удаленный адрес соединения теперь соответствует назначенному нами: Теперь можно использовать данный адрес как шлюз для этого провайдера, не беспокоясь о возможных изменениях.\nРекурсивная маршрутизация и DHCP Описанная выше проблема актуальна и для провайдеров, выдающих настройки по DHCР, в том случае если у клиента нет выделенного IP-адреса, текущий адрес может быть назначен из нескольких диапазонов, а следовательно, будет изменен и адрес шлюза. В отличие от PPPoE здесь мы не сможем задать произвольный адрес, поэтому нам на выручку придут скрипты.\nПрежде всего добавим к маршруту для высокодоступного узла через шлюз провайдера уникальный комментарий, например, ISP1. Затем перейдем в настройки DHCP-клиента - IP - DHCP Client - и на закладке Advanced внесем в соответствующее поле короткий скрипт:\n1/ip route set [find comment=\u0026#34;ISP1\u0026#34;] gateway=($\u0026#34;gateway-address\u0026#34;) disabled=no Теперь при каждом новом получении адреса по DHCP скрипт будет находить наш маршрут и изменять в нем значение шлюза на реально полученный адрес. Попробуем смоделировать данную ситуацию и выдадим нашему роутеру адрес первого провайдера из другого диапазона. Как видим, все автоматически изменилось согласно вновь полученных настроек: Таким образом мы снова успешно решили задачу поддержания маршрутной информации в актуальном состоянии несмотря на ее возможные изменения со стороны провайдера.\n","id":"bdadcef2d70daadeca5e87b7a964a595","link":"https://interface31.ru/post/rezervirovanie-kanalov-v-mikrotik-pri-pomoshhi-rekursivnoy-marshrutizacii/","section":"post","tags":["MikroTik","Маршрутизация","Сетевые технологии"],"title":"Резервирование каналов в Mikrotik при помощи рекурсивной маршрутизации"},{"body":"Система клиентского доступа в OpenVPN построена вокруг инфраструктуры открытых ключей (PKI) и основным средством идентификации пользователя является сертификат. Располагая действительным сертификатом клиент может подключиться к любому серверу, использующему сертификаты вашего центра сертификации (CA). Если доступ пользователя необходимо прекратить, то выданный ему сертификат следует отозвать. В данной статье мы рассмотрим процесс отзыва сертификатов для различных версий Easy-RSA на платформах Windows и Linux, а также настройку OpenVPN севера для проверки сертификатов на отзыв.\nEasy-RSA 2 Linux Вторая версия Easy-RSA наиболее часто используется совместно с OpenVPN, так как входит в состав большинства актуальных на данный момент дистритбутивов. В нашем случае будет рассматриваться Ubuntu 18.04, но серьезных отличий с иными Linux системами нет, так как Easy-RSA это просто набор скриптов, облегачающий работу с OpenSSL.\nОбычно корневая директория PKI находится в каталоге настроек OpenVPN - /etc/openvpn/easy-rsa, здесь и далее примем такое расположение как умолчание. Прежде чем выполнять отзыв, Easy-RSA потребуется немного настроить, откройте файл @openssl.conf и приведите к следующему виду строку:\n1RANDFILE = /etc/openvpn/easy-rsa/keys/.rnd Ниже найдите опцию, которая задает срок действия списка отозванных сертификатов, по умолчанию это 30 дней, после чего его нужно будет перевыпустить, имеет смысл установить более длительный срок:\n1default_crl_days= 30 Сохраните изменения, после чего создайте указанный файл:\n1touch /etc/openvpn/easy-rsa/keys/.rnd Теперь можно приступать к отзыву, для этих целей используется скрипт revoke-full. Перейдем в директорию Easy-RSA:\n1cd /etc/openvpn/easy-rsa Загрузим переменные:\n1source ./vars И выполним отзыв, для этого нам нужно знать CN (Commom Name) сертификата, в нашем случае это ivanov:\n1./revoke-full ivanov Сообщение:\n1error 23 at 0 depth lookup: certificate revoked не является ошибкой! Оно сообщает о том, что проверка сертификата не увенчалась успехом по причине его отзыва.\nПосле выполнения данной команды впервые в каталоге /etc/openvpn/easy-rsa/keys появится файл crl.pem - список отозванных сертификатов. Данный файл будет обновляться после каждого успешного отзыва.\nEasy-RSA 2 Windows В Windows никаких дополнительных настроек производить не нужно, однако также рекомендуется увеличить срок действия CRL. Каталог Easy-RSA обычно располагается внутри каталога установки OpenVPN, по умолчанию это C:\\Program Files\\OpenVPN\\easy-rsa. Для измненения срока действия откройте файл openssl-1.0.0.cnf и измените опцию, указав нужное количество дней:\n1default_crl_days= 30 Затем перейдем в каталог Easy-RSA (так как он является системным, то командная строка должна быть запущена от имени Администратора):\n1cd \u0026#34;C:\\Program Files\\OpenVPN\\easy-rsa\u0026#34; Загрузим переменные:\n1vars Отзовем сертификат:\n1revoke-full ivanov Результатом выполнения команды также будет создание или обновление файла списка отозванных сертификатов - crl.pem.\nEasy-RSA 3 Linux Новая версия Easy-RSA пока не имеет широкого распространения и присутствует в ограниченном количестве новых дистрибутивов, в частности в Debian 10. Приемы работы с ней значительно отличаются от Easy-RSA 2 и мы посвящали этому отдельную статью, в которой рассматривали в том числе и отзыв сертификатов.\nВ Easy-RSA 3 для отзыва сертификатов и создания/обновления списка отозванных сертификатов предназначены разные команды, поэтому вы можете сформировать CRL заранее и подключить его к конфигурации OpenVPN не дожидаясь отзыва.\nБудем также считать, что директория Easy-RSA расположена в /etc/openvpn/easy-rsa, сразу перейдем в нее:\n1cd /etc/openvpn/easy-rsa Откроем файл vars, найдем и раскомментируем в нем следующую опцию, которая задает срок действия CRL, по умолчанию установлено 180 дней, укажите нужное вам значение:\n1set_var EASYRSA_CRL_DAYS 180 Затем сформируем список отозванных сертификатов:\n1./easyrsa gen-crl Итогом выполнения данной команды будет появление файла crl.pem в директории pki.\nДля отзыва сертификата выполните (предварительно перейдя в директорию Easy-RSA):\n1./easyrsa revoke ivanov В данном случае вам потребуется явно подтвердить отзыв, введя yes на запрос утилиты. После отзыва сертификата вам потребуется обновить список CRL, для этого еще раз выполните:\n1./easyrsa gen-crl Еще раз напомним, что для отзыва сертификатов мы должны указать их CN, поэтому при их создании задавайте им осмысленные имена, чтобы потом не пришлось угадывать, как называется сертификат Иванова: client123, client231 или client321. Также помните о том, что отзыв сертификата - действие необратимое, даже если вы повторно выпустите сертификат с этим же именем (CN), это будет совсем другой сертификат, который придется заново выдать пользователю.\nНастройка OpenVPN для работы со списком отозванных сертификатов (CRL) После того, как вы создали или обновили CRL (файл crl.pem) его следует скопировать в директорию с ключами OpenVPN сервера, это действие следует повторять после каждого отзыва сертификата (и обновления файла crl.pem).\nЗатем откроем конфигурацию сервера OpenVPN и добавим туда директиву, отвечающую за проверку отозванных сертификатов. В Linux:\n1crl-verify keys/crl.pem В данном случае подразумевается, что ключи и CRL находятся в директории /etc/openvpn/keys.\nВ Windows:\n1crl-verify \u0026#34;C:\\\\Program Files\\\\OpenVPN\\\\keys\\\\crl.pem\u0026#34; Здесь мы также подразумеваем расположение каталогов по умолчанию, если это не так, то пути следует отредактировать.\nПри обновлении списка отозванных сертификатов достаточно просто скопировать с заменой файл crl.pem, если серверов несколько, то это нужно сделать на каждом из них.\nПосле чего обязательно перезапустите службу OpenVPN сервера. Это нужно сделать потому, что OpenVPN перечитывает CRL один раз в час и в течении этого времени клиенты с отозванными сертификатами смогут продолжать подключаться и работать. В Linuх для этого выполните:\n1service openvpn restart В Windows воспользуйтесь штатной оснасткой Службы.\nДля клиента с отозванным сертификатом процесс подключения будет \u0026quot;зависать\u0026quot; на этапе согласования ключей и через 60 секунд выдавать в лог сообщение:\n1TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) 2TLS Error: TLS handshake failed При этом клиент будет продолжать попытки подключения в соответствии со значениями опции keepalive. Если используется GUI, то клиент будет \u0026quot;вечно\u0026quot; висеть в желтом цвете. 1connect-retry-max 25 Которая задает максимальное количество переподключений, в данном случае 25, однако вы должны указать ее заранее, передать на клиента с отозванным сертификатом вы ее не сможете. Мы рекомендуем всегда использовать эту опцию, когда вы настраиваете OpenVPN клиент на узлах, которые вы не контролируете, например, на домашних ПК или ноутбуках сотрудников.\n","id":"d5048bb147156c3f1d2b7b45df64c649","link":"https://interface31.ru/post/otzyv-sertifikatov-pol-zovateley-v-openvpn/","section":"post","tags":["Easy-RSA 3","OpenVPN","PKI","VPN","Безопасность"],"title":"Отзыв сертификатов пользователей в OpenVPN"},{"body":"Достаточно часто системные администраторы сталкиваются с дилеммой: необходимо иметь возможность подключиться к собственным системам из любой точки мира, но при этом не выставлять открытыми наружу служебные порты. Отчасти это решается использованием VPN, но такая возможность присутствует не всегда, а в некоторых ситуациях единственной возможностью может оказаться только прямое подключение к системе. Но есть и другой способ, называемый Port Knocking, дословно обозначающий \u0026quot;постучать в порт\u0026quot;, но не просто постучать, а особым образом, после чего вы сможете получить доступ, стучите - и вам откроют.\nНо сначала хочется предупредить вас о некоторых заблуждениях относительно этой технологии. Являясь инструментом, обеспечивающим дополнительную безопасность, Port Knocking никак не повышает безопасность защищаемого им сервиса. Это всего лишь способ получить доступ, причем далеко не самый надежный.\nЕсли вы хотите закрыть таким образом, скажем, терминальный сервер со слабой политикой паролей или приложение, работающее по незащищенному протоколу - то это плохая идея. Лучше займитесь обеспечением безопасности основных сервисов.\nКроме того, стучащийся клиент может находиться в публичной сети, за VPN-сервером или прокси, да даже за NAT провайдера, в этом случае доступ к сервису, хоть и кратковременно, могут получить все пользователи, находящиеся с ним на одном IP-адресе.\nТакже трафик может быть перехвачен и проанализирован, что позволит вычислить правильную последовательность \u0026quot;стука\u0026quot; и чем чаще вы будете использовать Port Knocking, тем быстрее можно будет это сделать.\nПоэтому мы не рекомендуем этот способ для активно используемых сетевых сервисов, кроме дополнительных сложностей вы получите достаточно призрачную защиту, а вот как инструмент сокрытия служебных портов и получения доступа к ним только в случаях крайней нужды данная технология очень даже подходит.\nPort Knocking с использованием портов Этот метод можно назвать классическим, его суть сводится к обращению в определенном порядке к ряду закрытых портов за ограниченный период времени. Если мы выполнили необходимые условия - получаем доступ.\nПри реализации данного метода следует соблюдать правильную последовательность правил в цепочке INPUT межсетевого экрана и основным правилом, вокруг которого будет строиться наша система будет разрешение уже установленных и связанных соединений (ESTABLISHED, RELATED) и если вы настраивали роутер по нашей инструкции, то данное правило будет стоять вторым в цепочке, после \u0026quot;правила-пустышки\u0026quot; разрешающего доступ из локальной сети.\nВ нашем примере для получения доступа мы выберем последовательное обращение к портам 7890 и 9870, данные значения выбраны исключительно из удобочитаемости, на практике желательно разносить порты подальше друг от друга, так как такое сочетание достаточно легко \u0026quot;простучать\u0026quot; любым сканером сети, но к этому мы вернемся позже.\nА пока добавим новое правило. На закладке General укажем: Chain - input, Protocol - tcp, Dst. Port - 7890. На закладке Action добавим действия: Action - add src to address list, Address List - KNOCK-1, Timeout - 00:00:30 Данное правило при обращении к порту 7890 добавит адрес источника в список KNOCK-1 на 30 секунд, в течении этого времени мы должны успеть обратиться к следующему порту, чтобы получить доступ. Поэтому не следует указывать слишком высокие значения, на наш взгляд 30 секунд вполне достаточно для выполнения нужных команд в терминале, в ряде случаев можно незначительно увеличить таймаут.\nТеперь добавим еще одно правило. Закладка General: Chain - input, Protocol - tcp, Dst. Port - 9870. Закладка Advanced: Src. Address List - KNOCK-1. Закладка Action: Action - add src to address list, Address List - KNOCK-ACCEPT, Timeout - 00:01:00.\nДанное правило добавит в лист KNOCK-ACCEPT адрес того источника, который обратится к порту 9870 и при этом находится в списке KNOCK-1, время жизни записи в новом листе - 1 минута, за это время мы должны будем установить соединение с устройством.\nТоже самое в терминале:\n1/ip firewall filter 2add action=add-src-to-address-list address-list=KNOCK-1 address-list-timeout=30s chain=input dst-port=7890 protocol=tcp 3add action=add-src-to-address-list address-list=KNOCK-ACCEPT address-list-timeout=1m chain=input dst-port=9870 protocol=tcp src-address-list=KNOCK-1 Оба этих правила следует расположить выше правила, разрешающего уже установленные соединения. Ниже этого правила добавим разрешающее для подключения к целевому порту, в нашем случае это будет порт Winbox - 8291.\nНа закладке General укажем: Chain - input, Protocol - tcp, Dst. Port - 8291, на Advanced: Src. Address List - KNOCK-ACCEPT, вкладку Action не трогаем, так как accept действие по умолчанию. В терминале для этого выполните:\n1/ip firewall filter 2add action=accept chain=input dst-port=8291 protocol=tcp src-address-list=KNOCK-ACCEPT Данное правило следует расположить ниже разрешающего установленные и связанные подключения. Теперь пару слов о том, как это работает. Первые два правила заполняют листы с адресом источника, чтобы попасть в последний - KNOCK-ACCEPT - нам нужно в течении 30 секунд обратиться к последовательно к портам 7890 и 9870. Затем в течении минуты мы должны подключиться к целевому порту, в нашем случае это Winbox. После чего все пакеты этого соединения пойдут по правилу, разрешающему уже установленные соединения. Таким образом по истечении минуты новых соединений установить не удастся, а уже установленные будут продолжать работать до отключения.\nЧто же, правила есть, теперь попробуем постучаться. В Linux для этого можно использовать команду netcat - nc, для того чтобы постучаться на TCP-порт используйте:\n1nc -zw 1 XXX.XXX.XXX.XXX 7890 2nc -zw 1 XXX.XXX.XXX.XXX 9870 Где XXX.XXX.XXX.XXX - IP-адрес вашего роутера. Ключ -z указывает сканировать порт без посылки данных, ключ -w задает таймаут в 1 секунду.\nДля UDP-портов используйте:\n1nc -zu XXX.XXX.XXX.XXX 7890 2nc -zu XXX.XXX.XXX.XXX 9870 В Windows постучаться немного сложнее, из стандартных средств можно использовать PowerShell:\n1Test-NetConnection XXX.XXX.XXX.XXX -Port 7890 2Test-NetConnection XXX.XXX.XXX.XXX -Port 9870 Но данная команда будет ожидать ответа от узла в течении таймаута около 20 секунд и указанного нами времени для обращения ко второму порту может не хватить, в этом случае имеет смысл увеличить время ожидания. Также таким образом можно постучать только на TCP-порт. Другой вариант - использование утилиты tcping, которая проще и удобнее в использовании, но позволяет опять таки стучать только в TCP-порты:\n1tcping -n 1 XXX.XXX.XXX.XXX 7890 2tcping -n 1 XXX.XXX.XXX.XXX 9870 Ключ -n указывает количество посылаемых пакетов, в нашем случае один. Также существуют специальные утилиты, позволяющие автоматизировать этот процесс, например, PortKnock, которая умеет работать как с TCP, так и с UDP портами и может обращаться последовательно к 4 портам. Подведем небольшие итоги, Port Knocking с использованием портов достаточно прост в реализации, позволяет строить цепочки с нужным количеством портов и времени обращения к ним, но также имеет ряд недостатков. Прежде всего это ограниченность возможностей Windows, а ситуации бывают разные и не всегда есть время и возможности искать дополнительное ПО и качать его. Также близко расположенные порты без особых проблем можно простучать сканером.\nМы провели небольшой эксперимент, простая утилита Advanced Port Scanner без проблем простучала последовательности 7890-9870 и более сложную 7890-9870-8790, но не смог справиться с 17890-9870. Поэтому не используйте близко расположенные порты и устанавливайте минимальное время действия адресов в списках.\nКроме того, подобные последовательности достаточно легко выявляются при возможности перехвата и анализа трафика, что вполне возможно при использовании публичных сетей и сторонних VPN-сервисов. Имейте это ввиду и уделите должное внимание безопасности основного сервиса, доступ к которому вы ограничиваете данной технологией.\nPort Knocking с использованием ICMP Данный вариант отличается от классического тем, что вместо определенных портов мы будем использовать ICMP-пакеты различного размера. Это проще сделать стандартными средствами ОС и труднее поддается анализу при перехвате трафика, так как не столь бросается в глаза.\nНесмотря на стандартный размер MTU в 1500 байт, это значение может быть уменьшено при использовании VLAN, VPN и т.д., поэтому мы не советуем использовать пакеты размером более 1000 байт, также учтите размер заголовков ICMP-пакета в 28 байт.\nПросто выберите два (или более) произвольных числа до 1000, которые и будут вашими ключами для Port Knocking, в нашем случае это будут 250 и 209. Точно также, как и в предыдущем способе правила будут строиться относительно разрешения для уже установленных соединений.\nНам снова понадобится создать два правила для добавления адреса источника в соответствующие листы. В первом правиле укажем на General: Chain - input, Protocol - icmp, а на Advanced: Packet Size - 278 (250 + 28) - размер нашего первого пакета, на Action: Action - add src to address list, Address List - KNOCK-1, Timeout - 00:00:30. Во втором зададим следующие значения: General: Chain - input, Protocol - icmp, Advanced: Src. Address List - KNOCK-1, Packet Size - 237 (209 + 28) - размер второго пакета, на Action: Action - add src to address list, Address List - KNOCK-ACCEPT, Timeout - 00:01:00.\nЛибо выполним в терминале:\n1/ip firewall filter 2add action=add-src-to-address-list address-list=KNOCK-1 address-list-timeout=30s chain=input packet-size=278 protocol=icmp 3add action=add-src-to-address-list address-list=KNOCK-ACCEPT address-list-timeout=1m chain=input packet-size=237 protocol=icmp src-address-list=KNOCK-1 Данные правила следует расположить выше правила разрешающего установленные и сопутствующие соединения. Остальные настройки полностью повторяют предыдущий способ.\nЧтобы постучаться таким образом из Linux выполним:\n1ping XXX.XXX.XXX.XXX -s 250 -c 1 2ping XXX.XXX.XXX.XXX -s 209 -c 1 Где ключ -s задает размер пакета (без учета заголовка), а ключ -с количество посылаемых пакетов, в нашем случае один.\nВ Windows синтаксис будет немного иной:\n1ping XXX.XXX.XXX.XXX -l 250 -n 1 2ping XXX.XXX.XXX.XXX -l 209 -n 1 Здесь за размер пакета отвечает ключ -l, а за количество пакетов -n.\nПринцип работы не отличается от предыдущего метода, получив ICMP-пакет размером в 250 байт адрес источника будет занесен в первый список. Затем в течении 30 секунд мы должны прислать второй пакет размером в 209 байт, в этом случае адрес будет занесен в список KNOCK-ACCEPT и в течении минуты с устройством можно будет установить соединение.\nНа наш взгляд данный способ более удобен, так как позволяет использовать только штатные инструменты операционных систем и более сложен для выявления при анализе трафика. Также можно сочетать сразу оба способа, скажем, сначала постучать на выбранный порт, а затем прислать ICMP-пакет нужного размера. В любом случае выбор остается за вами и ограничивает вас только ваша фантазия и здравый смысл.\n","id":"257a8cff86f6c33985874eb54ad23127","link":"https://interface31.ru/post/nastraivaem-port-knocking-v-mikrotik/","section":"post","tags":["MikroTik","Port Knocking","Безопасность","Сетевые технологии"],"title":"Настраиваем Port Knocking в Mikrotik"},{"body":"Популярность решений с использованием платформы 1С:Предприятие на базе Linux только растет, при этом растет и количество вопросов по администрированию и обслуживанию данной связки. Наиболее остро стоит вопрос обновления платформы, потому как ручное обновление пакетов на большом количестве машин вряд ли можно назвать приемлемым в наше время. Также не работают многие привычные по платформе Windows механизмы. К счастью, в Linux есть свои методы, позволяющие автоматизировать этот процесс, один из них - это создание собственного репозитория.\nКак мы уже обсуждали в статье нашего курса для начинающих, современные Linux системы подразумевают, что весь софт находится в репозиториях и управляется с помощью менеджеров пакетов, это позволяет устанавливать, удалять или обновлять приложения из различных источников при помощи одних и тех же инструментов, доступных в том числе и в пользовательском режиме. Т.е. обновить платформу до необходимого релиза сможет и сам пользователь с помощью привычных ему инструментов, что актуально для мобильных или удаленных сотрудников.\nЧто нам для этого понадобиться? Linuх сервер под управлением любого дистрибутива из семейства Debian/Ubuntu и достаточное количество свободного места на диске для размещения всех необходимых пакетов. В нашем случае использовался сервер под управлением Debian 10.\nСразу поставим себе приближенную к реальности задачу. Допустим у нас есть две условные категории клиентов: Бухгалтерия, которая требует частого обновления платформы на последние версии, и Производство, где требования более консервативны, и платформа обновляется гораздо реже и, возможно, на совсем иные релизы. Такое деление условно, но хорошо отражает часто встречающуюся ситуацию, когда разные клиенты должны работать с разными версиями платформы.\nВсе приведенные ниже команды выполняются с правами суперпользователя.\nЕсть много способов организовать собственный репозиторий в Linux, но так как нам нужен быстрый результат с минимальным погружением в подробности, то мы будем использовать специально предназначенные для этого высокоуровневые утилиты. Одной из лучших, на наш взгляд, является Aptly, которая позволяет достаточно просто создавать репозитории и управлять ими без необходимости заглядывать глубоко под капот.\nОбновим список пакетов и установим утилиту:\n1apt update 2apt install aptly Следующим шагом нам потребуется создать конфигурационный файл, при установке утилиты не создается ни файла конфигурации, ни структуры репозитория, но есть одна небольшая хитрость, выполним:\n1aptly config show В ответ на нашу просьбу показать настройки утилита сообщит нам что файл не найден и создаст конфигурацию с настройками по умолчанию в корневой директории пользователя, от имени которого была выполнена команда.\n1Config file not found, creating default config at /root/.aptly.conf Как видно из вывода, в нашем случае путь к файлу /root/.aptly.conf, переместим его в более привычное расположение - /etc:\n1mv /root/.aptly.conf /etc/aptly.conf Важно! Обратите внимание, что в исходном расположении имя файла начинается с точки (скрытый файл) при перемещении в /etc точку следует убрать.\nЗатем откроем его и изменим следующую настройку:\n1\u0026#34;rootDir\u0026#34;: \u0026#34;/opt/aptly\u0026#34;, Она задает расположение репозитория и по умолчанию предлагает разместить его в домашней директории, мы не считаем это хорошим решением, поэтому изменили путь на /opt/aptly, но вы можете использовать любое иное расположение, главное - чтобы там было необходимое количество свободного места.\nНа этом настройки утилиты закончены, можно приступить к созданию собственного репозитория. Точнее двух. В одном мы будем держать самые новые пакеты для условной бухгалтерии, в другом - более старые, для условного производства.\nДля создания репозитория выполним:\n1aptly repo create --comment=\u0026#34;1C Enterprise\u0026#34; --distribution=\u0026#34;stable\u0026#34; --architectures=\u0026#34;i386,amd64\u0026#34; --component=\u0026#34;non-free\u0026#34; stable Параметры команды следует рассмотреть подробнее: comment - комментарии, тут все понятно, необязательный параметр, distribution - выпуск или релиз, обычно здесь указывается кодовое наименование дистрибутива для которого предназначен репозитории или тип выпуска (стабильный, тестовый и т.д.), architectures - архитектура пакетов, так как 1С содержит пакеты только двух архитектур - указываем их, component - указывает ветку репозитория, согласно принятому в Debian соглашении пакеты делятся на свободные - free, с включением закрытых компонентов - contrib и несвободные - non-free. Последним параметром в строке идет внутренне имя репозитория.\nПри этом все значения, кроме architectures, вы можете задать на собственное усмотрение. Но мы советуем придерживаться следующих соображений, параметр distribution должен давать представление о назначении репозитория, поэтому мы решили выбрать значение stable для первого репозитория с последними версиями пакетов, и oldstable для второго. Также есть еще один момент, в некоторых командах Aptly требуется указывать имя репозитория, а в некоторых - distribution, чтобы уменьшить путаницу внутреннее имя и distribution стоит сделать одинаковыми.\nТочно также создадим второй репозиторий:\n1aptly repo create --comment=\u0026#34;1C Enterprise\u0026#34; --distribution=\u0026#34;oldstable\u0026#34; --architectures=\u0026#34;i386,amd64\u0026#34; --component=\u0026#34;non-free\u0026#34; oldstable Репозитории созданы, теперь в них нужно добавить пакеты. Скачаем с сайта 1С пакеты клиента и сервера для обеих архитектур (если вам не нужны пакеты какой-либо архитектуры, скажем i386, можете их не добавлять и вообще создать репозиторий без их поддержки). Мы скачали пакеты платформы 8.3.15 для stable и 8.3.14 для oldstable, эти архивы следует передать на сервер и распаковать, каждую платформу в свою директорию, в нашем случае это будут условные 1С14 и 1С15, которые предварительно нужно создать.\nБудем считать, что скачанные архивы находятся в домашней директории пользователя root, там же создадим каталоги.\n1cd /root 2mkdir 1C14 1C15 Для распаковки архивов воспользуйтесь командой:\n1tar -xzvf deb_8_3_14_1993.tar.gz -C 1C14 Ее необходимо выполнить для каждого архива, соответственно изменив имя в команде, а опция -С - указывает целевую директорию назначения. Пакеты обоих архитектур можно спокойно распаковывать в одну и ту же папку.\nПосле того, как вы распаковали все архивы, добавим пакеты из наших директорий в репозитории:\n1aptly repo add stable /root/1C15 2aptly repo add oldstable /root/1C14 Синтаксис команды прост, в качестве параметров указываем внутреннее имя репозитория и каталог с пакетами.\nТеперь мы вплотную подошли к одному важному моменту - публикации репозитория. Вы можете добавлять или удалять пакеты, но все изменения будут применены только тогда, когда вы опубликуете репозиторий (или обновите публикацию). Это позволяет, например, спокойно добавить пакеты в рабочее время, а публикацию выполнить вечером, не создавая неудобств работающим коллегам и сэкономив при этом свое личное время.\nТак как наш репозиторий является сугубо внутренним и полностью нами контролируется, то мы не будем использовать цифровую подпись, а также ограничимся для доступа протоколом HTTP.\nДля публикации следует выполнить:\n1aptly publish repo -skip-signing stable 2aptly publish repo -skip-signing oldstable Ключ -skip-signing обозначает публикацию репозитория без цифровой подписи, также в этой команде следует использовать не имя репозитория, а его distribution.\nВ выводе команды обратите внимание на адрес вашего репозитория, следует его запомнить или записать. Репозитории опубликованы, но клиенты все еще не могут получить к ним доступ, для этого нам потребуется соответствующим образом настроенный веб-сервер. Так как репозиторий может быть размещен совместно с сервером 1С, то логично будет использовать для этих целей Apache. Установим его, если это не было сделано ранее:\n1apt install apache2 Создадим новый файл виртуального хоста для репозитория:\n1touch /etc/apache2/sites-available/aptly.conf И внесем в него следующий текст:\n1\u0026lt;VirtualHost *:80\u0026gt; 2 3ServerName repo.lab 4ServerAdmin webmaster@localhost 5DocumentRoot /opt/aptly/public 6 7ErrorLog ${APACHE_LOG_DIR}/aptly_error.log 8CustomLog ${APACHE_LOG_DIR}/aptly_access.log combined 9 10 \u0026lt;Directory /opt/aptly/public\u0026gt; 11 Options +Indexes +FollowSymLinks +MultiViews 12 AllowOverride All 13 Require all granted 14 \u0026lt;/Directory\u0026gt; 15 16\u0026lt;/VirtualHost\u0026gt; В качестве ServerName укажем желаемое доменное имя репозитория, можете указать любой FQDN, при этом нежелательно использовать не принадлежащие вам доменные имена в реальных зонах, используйте несуществующие зоны, например, loc или lab. В доменных сетях используйте имя в адресном пространстве вашего домена. Опция DocumentRoot содержит путь к папке public репозитория, расположение которого было задано нами ранее при настройке Aptly.\nДля указанного имени узла следует добавить A-запись на вашем DNS-сервере, либо строку следующего вида в /etc/hosts каждого узла, который будет работать с репозиторием:\n1192.168.111.200 repo.lab где 192.168.111.200 - IP адрес вашего сервера.\nЗатем включим виртуальный хост и проверим правильность конфигурации веб-сервера:\n1a2ensite aptly 2apachectl -t Если проверка не выявит ошибок - перезапустим Apache:\n1service apache2 restart Чтобы проверить работоспособность репозитория просто наберите в браузере http://repo.lab, если вы увидите следующую картину - то все работает правильно. 1touch /etc/apt/sources.list.d/1cv83.list Файл может иметь произвольное имя, но обязательное расширение .list, откроем его и внесем следующую строку:\n1deb [trusted=yes] http://repo.lab/stable non-free В данном случае мы подключили репозиторий stable, для oldstable адрес будет:\n1deb [trusted=yes] http://repo.lab/oldstable non-free Эти адреса были указаны при публикации репозитория, и мы советовали запомнить их или записать. Опция [trusted=yes] означает что данный репозиторий является доверенным и проверять подпись для него следует.\nСохраним файл и обновим список пакетов, теперь обновить 1С можно штатными инструментами, например, apt в командной строке или графическими утилитами из состава окружения рабочего стола. Как видим, одной головной болью стало меньше, теперь пользователи смогут обновить 1С самостоятельно, привычными инструментами из состава дистрибутива. Более того, при наличии обновлений система сама будет им сообщать об этом с предложением установить их.\nТеперь добавим в наш репозиторий новые пакеты. Скажем мы хотим добавить в stable дистрибутив версии 8.3.16 и в oldstable 8.3.15, будем считать, что дистрибутивы уже скачаны и распакованы. Снова воспользуемся командами:\n1aptly repo add stable /root/1C16 2aptly repo add oldstable /root/1C15 Но никаких изменений пока не произойдет, для этого нужно обновить публикацию:\n1aptly publish update -skip-signing stable 2aptly publish update -skip-signing oldstable Обратите внимание, что при добавлении мы указываем внутреннее имя репозитория, а при публикации - его distribution.\nПо мере того, как вы будете добавлять в репозитории новые пакеты там будут скапливаться старые версии, которые имеет смысл эпизодически удалять, в том числе и для экономии свободного места. Скажем, мы решили удалить пакеты платформы 8.3.14. Прежде всего удалим их из репозитория, для этого выполните команду:\n1aptly repo remove stable \u0026#39;(Name (~1c), Version (\u0026lt;=8.3.14.1993))\u0026#39; В качестве опций укажем фильтры по имени и версии пакетов, при указании версии можно использовать следующие операторы: \u0026gt;=, \u0026lt;=, =, \u0026gt;\u0026gt;, \u0026lt;\u0026lt; (последние два обозначают \u0026quot;строго больше\u0026quot; и \u0026quot;строго меньше). В нашем случае мы удаляем все пакеты, имеющие в имени 1С и версией ниже или равной 8.3.14.1993. Для применения изменений публикацию репозитория необходимо обновить.\nНесмотря на то, что мы удалили пакеты из репозитория физически они остаются храниться на диске и удалить их можно будет только после того, как они перестанут использоваться во всех опубликованных репозиториях. Поэтому если мы удалили пакеты платформы 8.3.14 из репозитория stable, но оставили их в oldstable, либо не опубликовали изменения, то удалить с диска эти пакеты нельзя. Для удаления неиспользуемых пакетов используйте команду:\n1aptly db cleanup После этого ненужные пакеты будут удалены, а место на диске освобождено.\nКак видим, создать и использовать собственный репозиторий несложно, даже не располагая глубокими знаниями Linux, мы намеренно ограничились самыми необходимыми действиями, чтобы не перегружать и не усложнять статью.\n","id":"182e9a9ed0196350835fce6040fc82df","link":"https://interface31.ru/post/sozdaem-sobstvennyy-repozitoriy-dlya-1spredpriyatie-v-srede-linux/","section":"post","tags":["1С Предприятие 8.х","APT","Aptly","Debian","Ubuntu","Ubuntu Server","Развертывание"],"title":"Создаем собственный репозиторий для 1С:Предприятие в среде Linux"},{"body":"PostgreSQL приобретает все большую популярность как СУБД для использования в связке с 1С:Предприятие. При этом одним из самых частых нареканий является низкая производительность этого решения. Во многом это связано с тем, что настройки PostgreSQL по умолчанию не являются оптимальными, а обеспечивают запуск и работу СУБД на минимальной конфигурации. Поэтому имеет смысл потратить некоторое количество времени на оптимизацию производительности сервера, тем более что это не очень сложно.\nСуществуют разные рекомендации по оптимизации PostgreSQL для совместной работы с 1С, мы будем опираться на официальные рекомендации, изложенные на ИТС, также можно использовать онлайн-калькулятор для быстрого расчета некоторых параметров. Если данные калькулятора и рекомендации 1С будут расходиться - то предпочтение будет отдано рекомендациям 1С.\nДля тестирования мы использовали систему:\nCPU - Core i5-4670 - 3.4/3.8 ГГц RAM - 32 ГБ DDR3 Системный диск - SSD WD Green 120 ГБ Диск для данных - 2 х SSD Samsung 860 EVO 250 ГБ - RAID1 СУБД - PostgresPro 11.6 Платформа - 8.3.16.1148 ОС - Debian 10 x64 Прежде всего выполним тестирование с параметрами по умолчанию: Полученный результат - 22,32 по Гилеву высоким не назовешь, для субъективного контроля мы использовали конфигурацию Розница 2.2 с базой реального торгового предприятия объемом в 8 ГБ, в целом работу можно было признать удовлетворительной, но местами наблюдалась некоторая \u0026quot;задумчивость\u0026quot;, особенно при открытии динамических списков.\nПерейдем к оптимизации. Все изменения следует вносить в файл postgesql.conf, который располагается в Linuх для сборки от 1С по пути /etc/postgres/1x/main, а для сборки от PostgresPro в /var/lib/pgpro/1c-1x/data. В Windows данный файл располагается в каталоге данных, по умолчанию это C:\\Program Files\\PostgreSQL 1C\\1х\\data. Все параметры указаны в порядке их следования в конфигурационном файла.\nОдним из основных параметров, используемых при расчетах, является объем оперативной памяти. При этом следует использовать то значение, которое вы готовы выделить серверу СУБД, за вычетом ОЗУ используемой ОС и другими службами, скажем, сервером 1С. В нашем случае будет использоваться значение в 24 ГБ.\nЗатем рассчитаем значения отдельных параметров с помощью калькулятора, для чего укажем ОС и версию Postgres, тип накопителя, количество доступной памяти и количество ядер процессора, а также количество соединений их же потом потребуется указать в клонфигурационном файле. 1С рекомендует указывать от 500 до 1000 соединений. В поле Application profile указываем DataWare house and BI Applications, также по рекомендациям вендора. Теперь можно приступать к редактированию файла конфигурации. Многие значения в нем закомментированы и содержат значения по умолчанию, при изменении таких параметров данные строки следует раскомментировать.\nМаксимальное число соединений, 1С рекомендует указанные выше значения, мы установили 1000.\n1max_connections = 500..1000 Объем памяти для совместного кеша страниц, разделяется между всеми процессами Postgres, рекомендуемое значение - четверть доступного объема памяти, в нашем случае 6 ГБ.\n1shared_buffers = RAM/4 Верхний лимит для временных таблиц в каждой сессии, рекомендуется фиксированное значение.\n1temp_buffers = 256MB Указываем объем памяти, который может быть использован для запроса прежде, чем будут задействованы временные файлы на диске. Применяется для каждого соединения и каждой операции, поэтому итоговый объем используемой памяти может существенно превосходить указанное значение. Это один из тех параметров, вычисляемое значение которого калькулятором существенно отличается от рекомендаций 1С. Для объема памяти в 24 ГБ рекомендуемыми значениями будут 375 - 750 МБ, мы выбрали 512 МБ.\n1work_mem = RAM/32..64 Объем памяти для обслуживающих задач (автовакуум, реиндексация и т.д.), указываем рекомендованный калькулятором объем, в нашем случае 2 ГБ.\n1maintenance_work_mem = RAM/16..32 или work_mem * 4 Максимальное количество открытых файлов на один процесс, в сборке от PostgresPro для Linux это значение по умолчанию.\n1max_files_per_process = 1000 Параметры процесса фоновой записи, который отвечает за синхронизацию страниц в shared_buffers с диском.\n1bgwriter_delay = 20ms 2bgwriter_lru_maxpages = 400 3bgwriter_lru_multiplier = 4.0 Допустимое число одновременных операций ввода/вывода. Для жестких дисков указывается по количеству шпинделей, для массивов RAID5/6 следует исключить диски четности. Для SATA SSD это значение рекомендуется указывать равным 200, а для быстрых NVMe дисков его можно увеличить до 500-1000. При этом следует понимать, что высокие значения в сочетании с медленными дисками сделают обратный эффект, поэтому подходите к этой настройке грамотно.\nВнимание! Важно! Параметр effective_io_concurrency настраивается только в среде Linux, в Windows системах его значение должно быть равно нулю.\n1effective_io_concurrency = 2 для RAID, 200 для SSD, 500..1000 для NVMe Настройки фоновых рабочих процессов, выбираются исходя из количества процессорных ядер, берем значения из калькулятора. Выше указаны настройки для четырехъядерного СРU.\n1max_worker_processes = 4 2max_parallel_workers_per_gather = 2 3max_parallel_workers = 4 4max_parallel_maintenance_workers = 2 Следующий параметр заставляет сервер добиваться физической записи изменений на диск. Выключение данной опции хотя и позволяет повысить производительность, но значительно увеличивает риск неисправимой порчи данных при внезапном выключении питания.\n1fsync = on Альтернатива отключению fsync, позволяет серверу не ждать сохранения данных на диске, прежде чем сообщить клиенту об успешном завершении операции. Позволяет достаточно безопасно повысить производительность работы. В случае внезапного выключения питания могут быть потеряны несколько последних транзакций, но сама база останется в рабочем состоянии, также, как и при штатной отмене потерянных транзакций.\n1synchronous_commit = off Задаем размер буферов журнала предзаписи (WAL, он же журнал транзакций), если оставить эту настройку без изменений, то сервер будет автоматически устанавливать это значение в 1/32 от shared_buffers, но не менее 64 КБ и не более размера одного сегмента WAL в 16 МБ.\n1wal_buffers = 16MB Указываем задержку в мс перед записью транзакций на диск при числе открытых транзакций, указанных во второй опции. Имеет смысл при количестве транзакций более 1000 в секунду, на меньших значениях эффекта не имеет.\n1commit_delay = 1000 2commit_siblings = 5 Минимальный и максимальный размер файлов журнала предзаписи. Указываем значения из калькулятора, в нашем случае это 4 ГБ и 16 ГБ.\n1min_wal_size = 512MB..4G 2max_wal_size = 2..4 * min_wal_size Скорость записи изменений на диск, рассчитывается как время между точками сохранения транзакций (чекпойнты) умноженное на данный показатель, позволяет растянуть процесс записи по времени и тем самым снизить одномоментную нагрузку на диски. В нашем случае использовано рекомендованное калькулятором максимальное значение 0,9.\n1checkpoint_completion_target = 0.5..0.9 Стоимость последовательного чтения с диска, является относительным числом, вокруг которого определяются все остальные переменные стоимости, данное значение является значением по умолчанию.\n1seq_page_cost = 1.0 Стоимость случайного чтения с диска, чем ниже это число, тем более вероятно использование сканирования по индексу, нежели полное считывание таблицы, однако не следует указывать слишком низких, не соответствующих реальной производительности дисковой подсистемы, значений, иначе вы можете получить обратный эффект, когда производительность упрется в медленный случайный доступ.\n1random_page_cost = 1.5..2.0 для RAID, 1.1..1.3 для SSD Так как это относительные значения, но не имеет смысла устанавливать random_page_cost ниже seq_page_cost, однако при применении производительных SSD имеет смысл понизить стоимость обоих значений, чтобы повысить приоритет дисковых операций по отношению к процессорным.\nДля производительных SSD можно использовать значения:\n1seq_page_cost = 0.5 2random_page_cost = 0.5 А для NVme:\n1seq_page_cost = 0.1 2random_page_cost = 0.1 Но еще раз напомним, данные значения не являются панацеей и должны устанавливаться осмысленно, с реальным пониманием производительности дисковой подсистемы сервера, бездумное копирование настроек способно привести к обратному эффекту.\nОпределяем эффективный размер кеша, который может использоваться при одном запросе. Этот параметр не влияет на размер выделяемой памяти, не резервирует ее, а служит для ориентировочной оценки доступного размера кеша планировщиком запросов. Чем он выше, тем большая вероятность использования сканирования по индексу, а не последовательного сканирования. При расчете следует использовать выделенный серверу объем RAM, а не полный объем ОЗУ. В нашем случае это 18 ГБ.\n1effective_cache_size = RAM - shared_buffers Включение автовакуума, это очень важный для производительности базы параметр. Не отключайте его!\n1autovacuum = on Количество рабочих процессов автовакуума, рассчитывается по числу процессорных ядер, не менее 4, в нашем случае 4.\n1autovacuum_max_workers = NCores/4..2 но не меньше 4 Время сна процессов автовакуума, большое значение будет приводить к неэффективно работе, слишком малое только повысит нагрузку без видимого эффекта.\n1autovacuum_naptime = 20s Отключаем политику защиты на уровне строк, данная опция не используется платформой и ее отключение дает некоторое повышение производительности.\n1row_security = off Максимальное количество блокировок в одной транзакции, рекомендация от 1С.\n1max_locks_per_transaction = 256 Данные опции специфичны для 1С и регулируют использование символа ** для экранирования.\n1escape_string_warning = off 2standard_conforming_strings = off Сохраним файл конфигурации и перезапустим PostgreSQL, в Linux это можно выполнить командами:\n1pg-setup service stop 2pg-setup service start В Windows штатными средствами операционной системы, либо скриптами из поставки сборки PostgreSQL: После чего снова выполним тестирование производительности, на этот раз мы получили следующий результат: Как видим, достаточно несложные действия по оптимизации добавили серверу около 30% производительности, субъективные ощущения от работы с конфигурацией Розница также повысились, исчезло ощущение \u0026quot;задумчивости\u0026quot;, повысилась отзывчивость системы.\nУказанные выше настройки и параметры являются базовым набором для оптимизации PostgreSQL при совместной работе с 1С:Предприятие и доступны даже начинающим администраторам. Для выполнения этих действий не требуется глубокого понимания работы СУБД, достаточно просто правильно рассчитать ряд значений. Данные рекомендации основаны на официальных и рекомендуются в качестве базовой настройки сервера СУБД сразу после инсталляции.\n","id":"9e3b7ecd6d5d76feb1ae0052e0061f58","link":"https://interface31.ru/post/optimizaciya-proizvoditel-nosti-postgresql-dlya-raboty-s-1spredpriyatie/","section":"post","tags":["1С Предприятие 8.х","PostgreSQL","Производительность"],"title":"Оптимизация производительности PostgreSQL для работы с 1С:Предприятие"},{"body":"Не так давно мы рассказывали о бесплатном предложении от Oracle, в рамках которого предоставлялось два достаточно неплохих виртуальных сервера бесплатно и навсегда. Но конкуренты не дремлют и теперь уже Google делает аналогичное предложение в рамках своей облачной платформы Google Cloud Platform. Правда сервер здесь предлагается только один, зато его гораздо легче получить, хотя и здесь есть свои подводные камни и особенности. Тем не менее, если что-то полезное раздают бесплатно - то нужно брать. В этой статье мы сделали краткий обзор этого бесплатного предложения и некоторых его особенностей.\nСледует сказать, что бесплатное предложение от Google - это не только бесплатный VPS, в рамках пакета предоставляется достаточно большое количество бесплатных услуг и сервисов облачной платформы Google, с полным объемом вы можете ознакомиться на странице https://cloud.google.com/free, ниже на скриншоте показана лишь небольшая часть. Никаких сложностей с получением этого предложения нет, Google-аккаунт есть сегодня практически у каждого, а следовательно все что вам потребуется - это привязать банковскую карту. С этим тоже никаких сложностей не возникло. Как нам кажется, если ваша карта нормально работает с другими сервисами Google, скажем Google Pay, то проблем с привязкой возникнуть не должно.\nКроме пакета Бесплатно и навсегда вам также предоставляется 12-месячная пробная версия с кредитом в размере 300$, вы можете тратить эти средства на любые облачные продукты Google в течении указанного срока. По истечении 12 месяцев, либо по окончании кредитных средств (смотря что произойдет ранее) все платные услуги будут приостановлены и заморожены на срок в 30 дней. Если в течении этого периода вы не перейдете на платный аккаунт, то все услуги будут прекращены, а все пользовательские данные удалены. В любом случае никаких списаний с вашей карты без вашего явного согласия не произойдет. Большинство же наших читателей в первую очередь заинтересует бесплатный VPS, поэтому рассмотрим его более подробно. В отличие от Oracle, где услуги в рамках пакета бесплатно и навсегда отмечены специальным значком, у Google нужно внимательно читать условия и выбирать бесплатные опции самостоятельно.\nИз регионов бесплатно нам доступны только:\nOregon: us-west1 Iowa: us-central1 South Carolina: us-east1 Все три локации находятся в США, а это означает, что придется мириться с достаточно высокими задержками, пинг к американским серверам в пределах 150-200 мс - это норма жизни. Затем выбираем Семейство машин - Стандартное, Серия - N1, Тип машины - f1-micro (1 ВЦП, 614 МБ памяти). В качестве диска мы можем выбрать Стандартный постоянный диск (HDD) объемом до 30 ГБ и одну из бесплатных операционных систем. В списке доступных к установке операционных систем присутствуют также Premium OS, использование которых оплачивается отдельно, к ним относятся RHEL, SLES и образы с продуктами Microsoft. По сути, весь выбор сводится к классическому набору: CentOS, Debian и Ubuntu. На наш взгляд большего и не нужно, есть возможность использовать пользовательские образы, но как это работает в рамках пакета Бесплатно и навсегда мы не проверяли.\nДля управления виртуальными машинами доступна неплохая браузерная SSH-консоль, это достаточно удобно, вы можете получить доступ к своему серверу откуда угодно, все что вам потребуется - это браузер и Google-аккаунт. Что же ждет нас внутри? Мы создали бесплатную виртуальную машину с Debian 10 и выполнили на ней тот же набор тестов, что и на серверах Oracle:\n1Processor: Intel(R) Xeon(R) CPU @ 2.20GHz 2CPU cores: 1 3Frequency: 2200.000 MHz 4RAM: 583Mi 5Swap: - 6Kernel: Linux 4.19.0-8-cloud-amd64 x86_64Disks: 7sda 29G HDD 8 9CPU: SHA256-hashing 500 MB 10 3.246 seconds 11CPU: bzip2-compressing 500 MB 12 5.684 seconds 13CPU: AES-encrypting 500 MB 14 1.235 seconds Google выделяет для данной виртуальной машины всего одно ядро от Intel Xeon поколения Broadwell счастотой 2,2 ГГц и всего 583 МБ оперативной памяти. Памяти по сегодняшним меркам мало, не то, чтобы совсем мало, но во многих сценариях это будет серьезным сдерживающим фактором.\nА вот сам CPU гораздо более производительный, на уровне недорогих VPS провайдеров первого эшелона и опережает VPS от Oracle в три - три с половиной раза. При этом однозначно говорить о превосходстве мы бы не стали. Обе конфигурации имеют свои сильные и слабые места. У Google это более производительный CPU при небольшом объеме памяти, у Oracle большее количество RAM и два ядра, при более слабых вычислительных ресурсах.\nТест дисковой подсистемы:\n1ioping: seek rate 2 min/avg/max/mdev = 373.5 us / 3.82 ms / 36.8 ms / 3.14 ms 3ioping: sequential read speed 4 generated 2.46 k requests in 5.00 s, 614.2 MiB, 491 iops, 122.8 MiB/s 5 6dd: sequential write speed 7 1st run: 35.95 MiB/s 8 2nd run: 35.95 MiB/s 9 3rd run: 35.95 MiB/ 10 average: 35.95 MiB/s В общем и целом здесь паритет. Большее время доступа, но более высокая скорость чтения, хотя показатели записи откровенно слабы и немного уступают Oracle (49 МБ/с против 36 МБ/с в нашем случае).\nА вот с сетью немного повеселее:\n1IPv4 speedtests 2 3Cachefly CDN: 101.32 MiB/s 4 Leaseweb (NL): 11.89 MiB/s 5 Softlayer DAL (US): 23.09 MiB/s 6 Online.net (FR): 12.66 MiB/s 7 OVH BHS (CA): 24.59 MiB/s Если не брать во внимание CDN, то скорость канала на Европу составляет около 100 Мбит/с, по Штатам около 200 Мбит/с, что достаточно неплохо, во всяком случае сеть не окажется узким местом для этого VPS.\nНо не обошлось без ложки дегтя, которая способна качественно отравить бочку меда, бесплатный месячный трафик ограничен значением в 1 ГБ, что существенно ограничивает возможный спектр применений.\nЧто можно сказать в заключение? Предложение от Google достаточно неплохое, но со своими ограничениями, которые следует учитывать и не испытывать завышенных ожиданий. В первую очередь это небольшое количество оперативной памяти, во вторую - низкая производительность дисковой подсистемы. Тем не менее данный VPS прекрасно подойдет для разработки, тестирования и размещения низконагруженных проектов, особенно если бюджет не позволяет арендовать даже недорогой VPS. Ведь несмотря на ограничения, у вас будет 12 месяцев и 300$ чтобы оплачивать возможный выход за пределы лимитов, этого времени вполне хватит, чтобы понять выйдет ли ваш проект на самоокупаемость и во что будет обходиться его содержание.\n","id":"9232e3ec2fc5737035f8256041799ece","link":"https://interface31.ru/post/besplatnyy-vps-ot-google-navsegda/","section":"post","tags":["Google","VPS","Бесплатно","Производительность","Сайт"],"title":"Бесплатный VPS от Google навсегда"},{"body":"Продолжая тему настройки защищенного соединения для веб-сервера, мы сегодня рассмотрим работу с Nginx. Данный сервер может применяться как самостоятельно, а также в виде фронтенда для Apache, либо вообще, как обратный-прокси. Это позволяет эффективно использовать его для защиты посредством SSL даже тех узлов и сервисов, настроить работу которых по защищенному протоколу может быть проблематично. В данном материале мы будем рассматривать настройку SSL в связке с Let's Encrypt - бесплатным центром сертификации, сделавшем шифрование доступным действительно каждому.\nМы не будем касаться первоначальной настройки, будем считать, что веб-сервер уже настроен вами и работает. Наш экземпляр был настроен по следующей инструкции и мы в дальнейшем будем придерживаться его конфигурации:\nРекомендуем к прочтению [Настраиваем веб-сервер на базе Nginx + PHP-FPM в Debian / Ubuntu Server] В данном примере используются Nginx 1.19.5, PHP 7.3 и MariaDB 10.3 в среде Debian 10, но с небольшими поправками данная статья может использоваться для любого основанного на Debian дистрибутива.\nБудем считать, что все конфигурационные файлы сайтов располагаются в /etc/nginx/sites-available, символические ссылки на активные сайты в /etc/nginx/sites-enabled, а шаблоны настроек в /etc/nginx/templates. Если вы используете иное расположение конфигурационных файлов, то это следует учитывать при выполнении описанных ниже действий.\nВ качестве примера будем рассматривать некий сайт example.org для которого будет настроена минимальная конфигурация следующего вида и установлена популярная CMS Wordpress:\n1server { 2 3 listen 80; 4 5 server_name example.org; 6 charset utf-8; 7 root /var/www/example.org; 8 index index.php; 9 10 access_log /var/log/nginx/example.org_access.log; 11 error_log /var/log/nginx/example.org_error.log; 12 13 include /etc/nginx/templates/php-fpm.conf; 14} 15 16server { 17 listen 80; 18 server_name www.example.org; 19 return 301 http://example.org$request_uri; 20} Прежде всего создадим новый шаблон для работы с Let's Encrypt:\n1touch /etc/nginx/templates/le.conf Откроем его и внесем следующий текст:\n1location ^~ /.well-known/acme-challenge/ { 2 default_type \u0026#34;text/plain\u0026#34;; 3 root /var/www/letsencrypt; 4} 5 6location = /.well-known/acme-challenge/ { 7 return 404; 8} И подключим его в конфигурационный файл нашего сайта, добавив в самый конец основной секции server строку:\n1 include /etc/nginx/templates/le.conf; Также не забудем создать указанную нами в шаблоне директорию и сделать ее владельцем веб-сервер:\n1mkdir /var/www/letsencrypt 2chown -R www-data:www-data /var/www/letsencrypt Проверим правильность конфигурации nginx:\n1nginx -t и перезапустим веб-сервер:\n1nginx -s reload Затем установим certbot, в современных дистрибутивах достаточно выполнить:\n1apt install certbot Важно! Более подробную информацию по установке и работе с certbot вы можете получить в нашей статье: Получаем сертификаты Let's Encrypt при помощи Certbot\nПакет не требует установки и сразу готов к работе. Перед тем как получать сертификаты следует убедиться, что к серверу есть доступ из сети интернет и доменное имя вашего сайта указывает именно на этот сервер. В любом случае сначала лучше произвести пробное получение сертификата:\n1certbot certonly --dry-run --webroot -w /var/www/letsencrypt -d example.com -d www.example.com Ключ --dry-run указывает на тестовый режим, --webroot задает используемый плагин, в данном случае работающий с уже имеющимся веб-сервером. Опция -w указывает рабочую директорию, которую мы настроили ранее, а через опцию -d задаются домены и поддомены, для которых мы хотим получить сертификат. Если все прошло успешно, то вы получите лаконичное сообщение: 1certbot certonly --webroot -w /var/www/letsencrypt -d example.com -d www.example.com Символические ссылки на полученные сертификаты хранятся в /etc/letsencrypt/live, это позволяет использовать один и тот же путь несмотря на постоянное обновление сертификатов раз в 90 дней. Настройки продления для каждого сайта расположены в /etc/letsencrypt/renewal, откроем файл с настройками нашего домена /etc/letsencrypt/renewal/example.com.conf и внесем в секцию [renewalparams] следующую опцию:\n1[renewalparams] 2... 3renew_hook = nginx -s reload Порядок расположения опций значения не имеет, данная настройка задает действие при успешном обновление сертификата, в данном случае это перезапуск веб-сервера nginx.\nПосле получения сертификата настроим наш виртуальный хост на работу с ним. Для этого вернемся к конфигурационному файлу /etc/nginx/sites-available/example.org.conf и создадим в нем новую секцию server, внеся в нее следующие строки:\n1server { 2 listen 443 ssl http2; 3 server_name example.org; Здесь мы задаем обязательно использовать ssl и протокол HTTP/2 (если такая возможность поддерживается клиентом).\nНиже добавим пути к сертификатам и настройки SSL-сессии:\n1ssl_certificate /etc/letsencrypt/live/example.org/fullchain.pem; 2 ssl_certificate_key /etc/letsencrypt/live/example.org/privkey.pem; 3 ssl_session_timeout 1d; 4 ssl_session_cache shared:SSL:50m; 5 ssl_session_tickets off; Для обеспечения режима прямой секретности нам понадобится файл параметров Диффи-Хелмана, создадим его:\n1openssl dhparam -out /etc/ssl/private/dhparam.pem 2048 В данном случае мы используем криптостойкость ключа в 2048 бит, это минимальный размер для современных условий, для повышения криптостойкости можно использовать ключ длинной 4096 бит. Генерация ключа может занять длительное время в зависимости от вычислительной мощности вашего сервера. Добавим путь к нему в наш конфигурационный файл:\n1ssl_dhparam /etc/ssl/private/dhparam.pem; Теперь один из наиболее важных шагов - указание используемых шифров, это достаточно сложная тема, поэтому воспользуемся для генерации актуального и современного набора алгоритмов шифрования сервисом moz://a SSL Configuration Generator, из предлагаемых им вариантов наиболее оптимальным является вариант Intermediate.\n1ssl_protocols TLSv1.2 TLSv1.3; 2 ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384; 3 ssl_prefer_server_ciphers off; Первая строка указывает допустимые протоколы, вторая - шифры и, наконец, третья, включает приоритет клиента в выборе протокола и алгоритма шифрования.\nСледующую опцию пока следует закомментировать:\n1#add_header Strict-Transport-Security \u0026#34;max-age=63072000\u0026#34; always; Данный заголовок включает режим HSTS, который принудительно включает режим HTTPS для сайта, если он хотя бы единожды был загружен по этому протоколу, до тех пор, пока вы не отладите сайт данную опцию включать не следует.\nСледующие строки отвечают за поддержку OCSP Stapling, что позволяет ускорить проверку сертификата клиентом и ускорить загрузку сайта.\n1ssl_stapling on; 2ssl_stapling_verify on; 3ssl_trusted_certificate /etc/letsencrypt/live/example.org/chain.pem; 4resolver 8.8.8.8; Ниже скопируем из основной секции сервер оставшиеся параметры и немного отредактируем их:\n1charset utf-8; 2root /var/www/example.org; 3index index.php; 4 5access_log /var/log/nginx/example.org_ssl_access.log; 6error_log /var/log/nginx/example.org_ssl_error.log; 7 8include /etc/nginx/templates/php-fpm.conf; 9include /etc/nginx/templates/le.conf; 10} Проверим конфигурацию и перезапустим веб-сервер:\n1nginx -t 2nginx -s reload После чего убедимся, что сайт работает по защищенному протоколу HTTPS: При переводе уже существующего сайта вы можете столкнуться с ошибкой небезопасного включения, когда изображения или скрипты подключены к коде сайта по незащищенному протоколу. Во всех этих случаях такие вхождения следует найти и исправить на использование протокола HTTPS.\nПосле того, как вы убедились, что ваш сайт отлично работает в защищенном режиме, внесем последние штрихи. Прежде всего включим режим HSTS, раскомментировав опцию:\n1add_header Strict-Transport-Security \u0026#34;max-age=63072000\u0026#34; always; Затем приведем к следующему виду секции бывшие ранее основной на 80 порту и отвечавшую за перенаправление запросов с www:\n1server { 2 listen 80; 3 server_name example.org; 4 return 301 https://$host$request_uri; 5} 6 7server { 8 listen 80; 9 listen 443 ssl; 10 server_name www.example.org; 11 ssl_certificate /etc/letsencrypt/live/example.org/fullchain.pem; 12 ssl_certificate_key /etc/letsencrypt/live/example.org/privkey.pem; 13 return 301 https://example.org$request_uri; 14} Которые обеспечат перенаправление всех запросов на HTTPS версию сайта без www.\nВ исходной инструкции мы настраивали дополнительный серверный блок по умолчанию, который обрабатывал запросы по IP и к несуществующим узлам, блокируя такие соединения. Для этого мы использовали штатную конфигурацию по умолчанию в /etc/nginx/conf.d/default.conf или /etc/nginx/sites-available/default, если вы ставили nginx из стандартного репозитория. Изменим содержимое файла на:\n1server { 2 listen 80 default_server; 3 listen 443 default_server ssl; 4 server_name _; 5 ssl_certificate /etc/nginx/nginx.crt; 6 ssl_certificate_key /etc/nginx/nginx.key; 7 ssl_reject_handshake on; 8 return 444; 9} Так как мы обслуживаем теперь еще и защищенные соединения, то должны указать какой-нибудь сертификат, можно любой, но лучше самоподписанный, чтобы в ответе сервера нельзя было понять какие сайты на нем расположены, выпустить такой сертификат можно командой:\n1openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/nginx/nginx.key -out /etc/nginx/nginx.crt В данном случае мы выпустили самоподписанный сертификат на 10 лет и разместили его по путям указанным в конфиге выше.\nТеперь еще раз проверим конфигурацию и перезапустим веб-сервер:\n1nginx -t 2nginx -s reload На этом настройка Nginx для работы по защищенному протоколу с использованием сертификатов Let's Encrypt закончена, но приведенная нами конфигурация не является истиной в последней инстанции, технологии развиваются и то, что еще сегодня считалось отличным, завтра может оказаться недостаточным. Поэтому советуем время от времени изучать последние рекомендации и обновлять конфигурацию собственного сервера.\n","id":"b688761820de9cbb1271f5513e91786c","link":"https://interface31.ru/post/nastraivaem-nginx-dlya-raboty-https-s-sertifikatami-lets-encrypt/","section":"post","tags":["Certbot","Debian","Let's Encrypt","Nginx","SSL","Ubuntu Server","Web-сервер","Безопасность","Сайт"],"title":"Настраиваем Nginx + SSL для работы по HTTPS с сертификатами Let's Encrypt"},{"body":"Одним из основных назначений VPN-соединений служит организация доступа удаленных клиентов в локальную сеть. И несмотря на то, что данная тема достаточно широко освещена многие администраторы продолжают сталкиваться со сложностями. Наибольшие затруднения, как правило, вызывает маршрутизация. Отчасти это связано с относительной сложностью данной темы, требующей достаточного уровня теоретических знаний, а отчасти с техническими возможностями реализуемого решения. В некоторых сценариях можно обойтись и без маршрутизации, использовав для доступа в сеть иные технологии, сегодня мы расскажем об одной из них.\nСуществует два основных сценария построения VPN: обеспечение доступа удаленных клиентских устройств и соединение между собой удаленных сетей. В последнем случае проще, администратор настраивает устройства с обоих сторон туннеля именно так, как считает нужным, а вот клиентские устройства, тут может быть самый разнообразный зоопарк. Установка стороннего ПО, добавление собственных маршрутов, все это может быть достаточно затруднительно, особенно если это личное устройство клиента. Поэтому удаленное подключение желательно выполнять стандартными средствами, с минимальным вмешательством в клиентскую систему.\nОписываемый нами способ применим именно для подключения клиентских устройств, применять для объединения сетей его не следует. Его отличительной особенностью является выдача VPN-клиентам адресов из диапазона локальной сети. Давайте рассмотрим следующую схему: При этом важно соблюдать ряд правил. Во-первых, диапазон локальной сети клиентов не должен пересекаться с диапазоном сети офиса, поэтому мы настоятельно не рекомендуем использовать в корпоративных сетях диапазоны 192.168.0.0/24, 192.168.1.0/24 и т.д. из-за их широкого применения в устройствах бытового класса. Во-вторых, выделенный для удаленных клиентов диапазон следует исключить для выдачи и назначения устройствам локальной сети. И наконец, локальный адрес VPN-сервера должен быть выделен из локального диапазона и не должен использоваться иными устройствами или интерфейсами роутера.\nСам тип VPN не имеет принципиального значения, но рекомендуется использовать те варианты подключения, стандартные клиенты для которых имеются на целевых клиентских устройствах, это может быть PPTP или L2TP/IPsec.\nВ нашем примере это будет L2TP-клиент, который успешно подключился к нашему роутеру и получил адрес 192.168.111.148: На первый взгляд все хорошо, клиент получил адрес из диапазона локальной сети и вроде бы должен взаимодействовать с ней без маршрутизации, но если мы попытаемся получить доступ к указанному нами на схеме серверу, то нас постигнет неудача. Когда мы хотим соединиться с узлом 192.168.111.101 хост посылает широковещательный ARP-запрос:\n1У кого IP-адрес 192.168.111.101 ответьте 192.168.111.148 Его получают все узлы сети, но отвечает только обладатель адреса:\n1192.168.111.101 мой MAC-адрес 00:26:57:00:1f:02 Причем обмен практически именно так и происходит, ниже реальный пример ARP-запросов и ответов в локальной сети. Получив MAC-адрес хост помещает его в ARP-таблицу и в дальнейшем может общаться с данным узлов, не посылая каждый раз ARP-запросы.\nНо что же пошло не так в нашем случае? VPN-клиент 192.168.111.148 считая себя частью сети 192.168.111.0/24 для доступа к 192.168.111.101 пошлет соответствующий широковещательный ARP-запрос, чтобы выяснить его MAC-адрес. Но VPN-соединение - это не IP-сеть, а структура точка-точка и единственным узлом, который получит ARP-запрос будет VPN-сервер 192.168.111.140, а так как он не является искомым адресом, то \u0026quot;скромно\u0026quot; промолчит. Клиент не получит на свой запрос ответа и с целевым узлом связь установить не удастся.\nЧтобы выйти из этой ситуации можно использовать Proxy ARP, эта технология представляет прокси-сервер для ARP-запросов, позволяя связать на канальном уровне разные сети. Теперь, получив от клиента ARP-запрос сервер ответит MAC-адресом, на который клиент может посылать Ethernet-фреймы.\nСуществуют разные варианты ARP-прокси, в простейшем случае, который реализован в Mikrotik, роутер ответит на ARP-запрос собственным MAC-адресом, а получив Ethernet-фрейм передаст его на интерфейс, на котором включен Proxy ARP. Таким образом удаленный клиент и узлы локальной сети смогут общаться между собой на канальном уровне без привлечения маршрутизатора (как им кажется).\nДля того, чтобы включить Proxy ARP в роутере Mikrotik перейдите в настройки интерфейса, обслуживающего вашу локальную сеть, чаще всего это будет мостовой интерфейс bridge, в нашем случае это один из ether-портов, и в поле ARP установите значение proxy-arp. После чего снова попробуем получить доступ к серверу и на этот раз все получится: Как видим, все достаточно несложно и мы полностью стандартными средствами со стороны клиента получили полноценный доступ в локальную сеть за VPN-сервером без настройки маршрутизации и прочих \u0026quot;лишних\u0026quot; движений.\n","id":"8b9ad8633ada43ecb5e028ee2e33d1fe","link":"https://interface31.ru/post/nastraivaem-proxy-arp-dlya-vpn-podklyucheniy-na-routerah-mikrotik/","section":"post","tags":["ARP","MikroTik","Proxy ARP","VPS","Сетевые технологии"],"title":"Настройка Proxy ARP для VPN-подключений на роутерах Mikrotik"},{"body":"Отношения производителей ПК и Linux все еще продолжают оставаться напряженными, особенно на российском рынке. Хотя есть и исключения, скажем, DELL уже достаточно давно поставляет вполне неплохие ноутбуки с Ubuntu Linux на борту. Остальные же производители либо ограничиваются консольным Linux, что для конечного покупателя примерно соответствует отсутствию ОС (как и в случае с FreeDOS), либо идут дальше и тогда мы получаем такие недоразумения как устройства с Endless OS. Почему недоразумения? Да потому что трудно сказать иначе, когда на предназначенный для работы инструмент ставят абсолютно не подходящее для этого ПО.\nС Endless OS можно столкнуться на ноутбуках Acer и ASUS, причем не только начальной ценовой категории, ASUS поставляет с этой системой и достаточно топовые устройства. Действительно, на первый взгляд все выглядит достаточно неплохо, в визуальной привлекательности системе не отказать. Но вот попытка понять, как же этим чудом пользоваться на практике обычно приводила к полному недоумению с последующей заменой данной ОС на что-то более вменяемое и пригодное для работы. У новичков в мире Linux подобное знакомство вызывает также неправильное восприятие этого семейства ОС, несколько раз нам приходилось слышать: \u0026quot;да покупали мы ноутбук с Linux, ерунда какая-то\u0026quot;.\nВсе это заставило нас изучить вопрос немного подробнее, чтобы понять, что же такое Endless OS и с чем ее нужно есть. Уже беглый поиск и чтение таких далеких от техники источников как Википедия рисует совершенно иную картину. Endless OS, разрабатываемая вместе с одноименными компьютерами, предназначена в первую очередь для рынков развивающихся стран со слабой или отсутствующей инфраструктурой доступа в интернет.\nВ качестве целевых пользователей разработчики видят пользователей с полным отсутствием опыта эксплуатации ПК и принимают во внимание возможные проблемы с обеспечением поддержки и сопровождения. Поэтому архитектура данной ОС более напоминает мобильные системы, нежели полноценные настольные ПК. В частности, система поставляется в атомарном виде, более напоминающем прошивку, и предоставляет весьма ограниченный доступ к настройкам. Доступ к корневой ФС возможен только на чтение. И хотя под капотом у нас Debian и Gnome 3, про привычные навыки и приемы работы с системой можете забыть. Как и в мобильном телефоне настроить вы можете только пользовательскую часть и только в той мере, в которой это предусмотрели разработчики.\nЕсли вы захотите поставить Endless с нуля, то вы не сможете даже разметить диск, система использует все доступное пространство, затирая содержимое при установке. Лишних вопросов, кроме выбора языка, вам также задавать не будут. Установка прикладного софта осуществляется из магазина, на первый взгляд он мало чем отличается от аналогичного в современных дистрибутивах, но это только внешнее сходство: Endless не использует пакетную базу Debian, вместо этого используя Flatpack. Это независимый от дистрибутива способ доставки приложений в виде собственного формата пакетов, который полностью обеспечивает все необходимые зависимости и использует для запуска изолированную среду, которая не требует дополнительных разрешений и не оказывает влияния на другие процессы. Фактически для каждого запущенного приложения создается собственная виртуальная среда, которая изолирует их друг от друга и от системы.\nРабочий стол, да и вообще само понятие настольного окружения как таковые отсутствуют. Сам интерфейс более всего напоминает мобильные ОС - начальный экран содержит ярлыки запуска установленных приложений и само взаимодействие с системой более напоминает работу с планшетом. Также мобильно-планшетными остаются все приемы работы с системой: группировка ярлыков, удаление приложений и т.д. и т.п. Обновление системы и приложений также следует этим традициям, здесь нет привычного пользователю Linux обновления пакетов, можно только целиком обновить систему и/или приложения: Наличие неудаляемых системных приложений еще более добавляет сходства с мобильными ОС: В общем, устройство под управлением Endless OS представляет собой фактически \u0026quot;планшет-переросток\u0026quot; со всеми вытекающими отсюда плюсами и минусами. Также нельзя однозначно сказать хорошо это или плохо. Если брать изначальное назначение системы - то это, пожалуй, хорошо. Такой системой легко пользоваться и ее крайне тяжело поломать.\nВсе это вполне соответствует основным сценариям использования неопытными пользователями: потребление контента, общение в соцсетях и мессенджерах и какие-то простейшие действия в виде создания текстовых документов и электронных таблиц. Многочисленные ограничения также играют здесь в плюс - отсутствие необходимости в квалифицированном техническом персонале и поддержке.\nЕще одна отличная ниша для подобной системы - обучение, причем обучение не профессиональное, а начального уровня, всевозможные кружки, секции, клубы. Очень часто такие услуги предоставляются энтузиастами и волонтерами, которые не имеют лишних средств и возможностей по полноценному администрированию компьютерных систем. Endless OS легко установить, легко поддерживать и смело можно давать в руки далеких от IT пользователей без боязни что они что-то сломают.\nА набор приложений во Flatpack вполне позволяет использовать систему для образовательных целей. Основы программирования? Не вопрос, доступен самый широкий диапазон IDE, включая Visual Studio Code, NetBeans, PyCharm, IntelliJ IDEA и т.д. и т.п. Есть инструменты для работы с микрокомпьютерами: Arduino или Raspberry Pi. Конечно, все это есть и в обычных дистрибутивах Linux, но именно здесь можно установить нужные приложения в \u0026quot;два щелчка\u0026quot; и не думать о том, кто будет все это сопровождать.\nТакже ко двору Endless OS придется в публичных системах: почта, библиотеки и прочие публичные места, вандалоустойчивости системы для этого вполне хватает.\nНо все это остается теорией, на практике мы видим совершенно иной расклад. Ноутбуки, в своем большинстве, никак не относятся ни к обучающим устройствам, ни к потребителям контента, роль последних прочно заняли мобильные устройства: телефоны и планшеты. Ноутбук сегодня - это либо рабочий инструмент, который всегда с тобой, либо универсальный ПК для стесненных условий или мобильных слоев населения: молодые семьи, студенты. Вряд ли кого из них устроит \u0026quot;планшет-переросток\u0026quot;. Поэтому назвать установку Endless OS на такие устройства кроме как недоразумением нельзя.\nТак почему же производители продолжают продажу устройств с Endless OS? На наш взгляд это просто еще один способ продать устройство без ОС. Традиционно на отечественных просторах платить за ПО не принято, особенно для домашнего использования. И выбирая между двумя одинаковыми моделями с Windows и без, многие выберут модель \u0026quot;без\u0026quot;, сэкономив пару тысяч рублей.\nНо почти каждый такой покупатель хочет удостовериться в работоспособности устройства в момент покупки и черный экран FreeDOS или консольного Linux тут плохой помощник, ну не ассоциируется командная строка в глазах обывателя с нормально работающим устройством, скорее наоборот. Зато Endless позволяет продемонстрировать устройство во всей красе: вот вам картинка, вот вам звук, а вот здесь интернет! Все работает!\nДальнейшая судьба системы производителя волнует мало, по большому счету это устройство без OS, главное - продать, а там пользователь сам разберется что поставить. Как всегда, маркетинг побеждает все.\nПлохо в этой ситуации другое. Во-первых, сама Endless OS, примененная не по назначению она радикально теряет свой смысл, хотя, если разработчики что-то получают от производителей, то такая бизнес-модель вполне имеет право на жизнь. Во-вторых, у далеких от мира Linux пользователей может сложиться превратное представление об этой системе, мол что-то примитивное, как на планшете...\nНо тем не менее, что имеем - то имеем. Как-то повлиять на производителей мы не можем, а отказываться от покупки хорошего устройства из-за \u0026quot;не той\u0026quot; ОС - глупо. Поэтому просто нужно повышать уровень компьютерного кругозора, как своего, так и окружающих, чтобы Linux не ассоциировался исключительно с командной строкой или Endless OS, но и не перегибать палку, выдавая его за единственную панацею. Помните, что ОС - это всего лишь инструмент для запуска необходимого вам прикладного ПО, а не объект поклонения.\n","id":"c3dda740c5f8640fcc864ab1e376fa59","link":"https://interface31.ru/post/endless-os-kak-lishit-smysla-neplohuyu-ideyu-ispolzovav-ee-ne-po-naznacheniyu/","section":"post","tags":["Debian","Linux"],"title":"Endless OS - как лишить смысла неплохую идею использовав ее не по назначению"},{"body":"Старая сисадминская примета гласит: \u0026quot;удаленная настройка брандмауэра - к выезду на объект\u0026quot; и в большинстве случаев это действительно так. С другой стороны реалии современной жизни подразумевают преимущественно удаленную работу. Как быть? С одной стороны тратить время на дорогу в десятки или сотни километров ради пяти минут на месте, с другой - ехать, возможно, все равно придется, только уже экстренно. Но есть и третий вариант: спокойно работать удаленно, используя возможности безопасного режима RouterOS, о чем мы и расскажем в этой статье.\nПотерять связь с удаленным роутером можно по множеству причин. Все мы люди и всем нам свойственно ошибаться. Это могут быть как ошибки в сетевой конфигурации, так и просто ошибочные действия, чаще всего непреднамеренные, например, один мой коллега случайно отключил внешний интерфейс на роутере случайно нажав на кнопку с крестиком. Поэтому, насколько бы вы не были уверенны в правильности своих действий, даже если вы уже много раз так делали, никогда нельзя сбрасывать со счетов возможность возникновения нештатных ситуаций.\nХорошо если роутер находится в относительной доступности или на той стороне есть кто-то, кто может исправить вашу ошибку хотя бы в телефонном режиме, в противном случае придется готовится к незапланированному выезду и, как оно обычно происходит, не в самое удобное время. При этом далеко не все администраторы знают, что RouterOS предоставляет достаточно эффективный инструмент для исключения подобных ситуаций и называется он - Safe Mode или безопасный режим.\nЕго смысл заключается в том, что внесенные изменения не сразу записываются в память устройства, а только после явного подтверждения администратором, которым является ручной выход из безопасного режима. В случае потери связи с устройством через некоторое время будет выполнен откат настроек. Это время определяется тайм-аутом TCP и не превышает 9 минут.\nЧтобы включить безопасный режим следует нажать кнопку Safe Mode в Winbox: или использовать сочетание клавиш Ctrl+x в терминале, после чего в приглашении командной строки появится : Теперь можно выполнять потенциально опасные действия не опасаясь потерять связь с устройством. Если после выполнения очередной операции связь с устройством все-таки прервалась, то у вас будет некоторое время, чтобы выпить кофе и подумать над тем, что именно вы сделали не так. Хотя, скорее всего, кофе выпить вы не успеете.\nТакже к отмене всех сделанных изменений приведет закрытие окна Winbox или терминала с включенным безопасным режимом. Этим можно воспользоваться, если вы просто хотите быстро откатить все внесенные изменения.\nЧтобы выйти из безопасного режима с сохранением внесенных изменений следует явно отжать кнопку Safe Mode в Winboх или еще раз выполнить сочетание клавиш Ctrl+x в терминале, также изменения сохраняются при выходе из терминала командой:\n1/quit Работа в безопасном режиме имеет свои особенности, которые нужно обязательно учитывать. Количество хранимых шагов ограничено, согласно документации, роутер может сохранять в памяти не более 100 действий, если вы превысите это количество, то сеанс автоматически выйдет из безопасного режима и изменения не смогут быть отменены. Поэтому рекомендуется вносить изменения небольшими порциями, каждый раз выходя из безопасного режима и входя в него повторно. В терминале для этого можно использовать двойное нажатие Ctrl+x.\nПри совместной работе нескольких администраторов может возникнуть ситуация, когда одна из сессий уже находится в безопасном режиме, попытка включить безопасный режим еще в одной сессии через Winbox не увенчается успехом: Если же выполнить аналогичную попытку в терминале, то получим совершенно иной результат: Здесь нам доступны следующие действия:\nu - unroll - откатить изменения и перевести текущий сеанс в безопасный режим r - release - принять изменения и перевести текущий сеанс в безопасный режим d - don't take - оставить без изменений О результатах первых двух действий другой администратор получит уведомление, но только в том случае, если безопасный режим использовался в терминале. Если же один из администраторов включил безопасный режим через Winbox, а второй забрал его через терминал, то никаких уведомлений первый администратор не получит и визуально кнопка Safe Mode будет оставаться нажатой. Это может привести к опасным ситуациям, когда первый администратор будет считать, что безопасный режим у него включен, но на самом деле все изменения будут применяться непосредственно на устройстве. Поэтому мы категорически не рекомендуем перехватывать безопасный режим при многопользовательской работе без непосредственного согласования с коллегами, потому как это может создать неоднозначную ситуацию, чреватую серьезными проблемами.\nЧтобы обезопасить себя от перехвата безопасного режима следует перед внесением очередных изменений выключить безопасный режим и снова включить. Если вы работаете через Winbox, то столкнетесь с описанной выше ошибкой, а в терминале получите запрос на захват режима. При возникновении подобной ситуации мы рекомендуем сразу связаться с коллегами и согласовать последующие действия.\nЕще одной особенностью безопасного режима является его реакция на выключение питания устройства или его аварийную перезагрузку, в этом случае все изменения внесенные в безопасном режиме будут применены. Поэтому если ваше оборудование находится в местах, где возможны перебои с энергоснабжением, то рекомендуем обязательно позаботиться о бесперебойном питании.\nОбрыва интернет-соединения указанная особенность не касается, такая ситуация будет обработана как обрыв связи с последующим откатом изменений. Аналогичная реакция будет и на аварийное завершение работы клиентского устройства, где был запущен Winbox или терминал.\n","id":"ff749c8a154d48963397afccc2a75ffc","link":"https://interface31.ru/post/bezopasnyy-rezhim-v-mikrotik-ili-kak-vsegda-ostavatsya-na-svyazi/","section":"post","tags":["MikroTik","Безопасность","Сетевые технологии"],"title":"Безопасный режим в Mikrotik или как всегда оставаться на связи"},{"body":"Роутеры Mikrotik отлично зарекомендовали себя для системных администраторов и продвинутых пользователей, позволяя создавать достаточно сложные сетевые конфигурации на сравнительно недорогом оборудовании. Но у такой популярности есть и обратная сторона, многие считают данные устройства чуть ли не \u0026quot;серебряной пулей\u0026quot;, один факт применения которых способен решить все текущие сетевые задачи. Однако это не так, как и любое другое сетевое оборудование, Mikrotik имеет свои ограничения и сегодня мы попробуем выявить их путем небольшого экспресс-тестирования.\nПричиной проведения данного эксперимента стали многочисленные обращения в комментариях и личном общении, когда наши коллеги сообщали нам о невысокой производительности отдельных сетевых конфигураций на Mikrotik и спрашивали \u0026quot;что делать?\u0026quot; В большинстве случаем правильным ответом на этот вопрос была рекомендация купить более производительную модель, но при этом хотелось какой-то конкретики, чтобы можно было сослаться на собственные измерения и показать фактические возможности устройств.\nПоэтому, как только у нас появилось свободное оборудование мы сразу же провели серию экспресс тестов, с результатами которых и хотим познакомить наших читателей. Сразу внесем некоторую ясность - чудес не бывает и покупая недорогое сетевое оборудование не стоит ожидать от него чудес производительности, оно будет работать на уровне своих \u0026quot;бытовых\u0026quot; коллег ценой на ступеньку ниже. За что же мы тогда платим деньги? За возможности RouterOS, которые ставят данные устройства на ступень выше всех \u0026quot;бытовых\u0026quot; роутеров и позволяют реализовывать достаточно сложные сетевые конфигурации без применения дорогого профессионального оборудования.\nПроще говоря, если вам не нужны возможности RouterOS, то лучше приобрести за эти деньги продвинутый \u0026quot;бытовой\u0026quot; роутер и вы получите гораздо большую производительность, но возможности такого устройства будут ограничены тем, что соизволил реализовать в прошивке производитель, либо можете на свой страх и риск попробовать установить на него что-то вроде OpenWRT и попытаться настроить его под собственные нужды.\nКак мы тестировали Скажем сразу, мы не ставили целью провести полноценное тестирование, ограничившись экспресс-тестами, позволяющими понять общий уровень производительности популярных устройств. Для этого мы соединили два одинаковых роутера витой парой и использовали встроенный в RouterOS Bandwidth Test. Согласно рекомендациям Mikrotik все измерения мы проводили с использованием протокола UDP, так как именно в этом случае тест подсчитывает не только данные UDP, но и UDP и IP заголовки, что дает наиболее близкое значение к реальной пропускной способности канала.\nКонфигурация роутеров была сброшена, а RouterOS обновлена до последней стабильной версии, на момент проведения тестирования это 6.46.3. Никаких дополнительных настроек роутеров не производилось, правила брандмауэра отсутствуют. Далее производилась настройка нужного типа соединения между устройствами и измерялась пропускная способность канала. Тест позволяет как передавать трафик в одном из направлений (прием/передача), так и сразу в обоих. Результат первых двух режимов в усредненном виде представлен в виде столбца Tx/Rx, а результат передач сразу в оба направления - столбцом Both.\nhAP (RB951UI-2nD) Популярная и недорогая модель начального уровня, имеет чуть более дорогую версию hAP ac lite (RB952Ui-5ac2nD), которую отличает наличие модуля Wi-Fi 5 ГГц. Официальная стоимость $45/49,95, в российской рознице на конец февраля 2020 года их можно купить за 2860/3230 руб (Ситилинк). Понятно, что ждать высокой производительности от данного устройства не стоит, но тем не менее хочется понимать его возможности в реальных цифрах, а не отвлеченных попугаях. Для удобства восприятия результаты тестирования мы разделили на две части: прямое и туннельные соединения и различные варианты VPN. Начнем с туннелей: Напрямую роутер стабильно прокачивает заявленные 100 Мбит/с, также близка к этому значению и пропускная способность туннелей всех типов (EoIP, IP-IP, GRE) без использования шифрования. При включении IPsec результат сразу падает до 25-30 Мбит/с.\nТеперь посмотрим на результаты VPN: Сразу бросается в глаза L2TP без шифрования, который позволяет практически полностью использовать 100 Мбит/с канал, за что он был любим в свое время многими провайдерами, а кое где используется до сих пор. За ним следует PPTP, который позволяет получить вполне приличные 70-80 Мбит/с, это наиболее производительный тип VPN с шифрованием, однако по меркам сегодняшнего дня шифр PPTP является слабым и данный протокол нельзя считать надежным.\nL2TP/IPsec ожидаемо уперся в 25-30 Мбит/с, очевидно, что это предел платформы по работе с данным протоколом. SSTP - аутсайдер по производительности, выдавая всего лишь 18-20 Мбит/с, но у этого протокола есть и свои плюсы - он практически неотличим от HTTPS-трафика, что позволяет его использовать даже в сильно ограниченных условиях.\nOpenVPN в RouterOS имеет не самую лучшую реализацию, но и здесь его производительность упирается в возможности роутера работать с шифрованным трафиком. В зависимости от типа шифра мы получили скорости от 20 до 26 Мбит/с, при этом четко видно снижение пропускной способности по мере увеличения сложности шифра.\nНа первый взгляд результаты теста достаточно слабые, но давайте будем честными. Это устройство начального уровня и использовать его в сети на несколько десятков узлов будет, мягко говоря, неуместно. Зато оно прекрасно подойдет для небольшого филиала или торговой точки, позволяя организовать постоянный доступ в интернет с использованием резервного канала, VPN-соединения с центральным офисом, динамическую маршрутизацию и многие \u0026quot;взрослые\u0026quot; вещи, существенно повышающие уровень управляемости сети.\nДа и редко где, за пределами крупных городов, для организаций есть возможность недорого провести относительно быстрые каналы, скорее всего вы будете довольствоваться скоростью интернета в единицы - единицы десятков мегабит и тут даже пропускной способности SSTP будет вполне достаточно для полной утилизации выделенного канала.\nЕсли же вы хотите использовать роутер для выхода в интернет через VPN для обхода возможных региональных ограничений, то следует обратить внимание на протокол PPTP, который обеспечивает достаточный уровень производительности при какой-никакой защите канала.\nhEX (RB750Gr3) Еще одно популярное устройство начального уровня, является \u0026quot;чистым\u0026quot; роутером, без Wi-Fi модуля и предоставляет пять 1 ГБ/с портов с возможностью питания через PoE, служить источником питания для других PoE устройств данный роутер не может. hEX отличает более высокая производительность процессора и поддержка The Dude, который можно установить на SD-карту. При этом стоимость устройства также относительно невысока: рекомендуемая производителем цена - $59.95, в рознице его можно купить за 3910 руб (Ситилинк). Кроме возможности использования SD-карт также имеется порт USB2.0 с поддержкой LTE-модемов и все это реализовано в компактном корпусе.\nПосмотрим на что способен этот роутер, прямое соединение и туннели: При прямом соединении и односторонней передаче трафика через туннели роутер практически полностью использует гигабитный канал, при двусторонней передаче трафика туннельные соединения немного не дотягивают до гигабита, но 800-850 Мбит/с - это тоже, очень неплохо.\nПри использовании IPsec пропускная способность падает до 300-350 Мбит/с, что на порядок (в 10 раз) выше производительности hAP и практически полностью, с большим запасом, перекрывает все возможные потребности пользователей данных устройств.\nТеперь поглядим на VPN: Здесь не все так радужно, результат выше hAP где-то всего в 1,5 раза, на наш взгляд это связано с особенностями реализации данных протоколов в RouterOS, но опять-таки будем честными. Для своей ценовой категории результат отличный и вряд ли вы столкнетесь с реальными ограничениями именно со стороны VPN-соединений, те же 20 Мбит/с SSTP во многих случаях будут примерно равны ширине канала. А если вам реально нужно гонять сотни мегабит трафика через VPN, то вам потребуется что-то более серьезное, чем роутер за $60.\nВыводы С одной стороны, результаты тестирования могут кого-то разочаровать. Но следует понимать, что чудес не бывает и покупая устройство за $50-60 вы не получите \u0026quot;Cisco для бедных\u0026quot;, тем не менее в своем сегменте оба роутера имеют вполне достаточную производительность, чтобы соответствовать основным сценариям применения, а hEX еще имеет неплохой запас вычислительной мощности, что позволяет его использовать в качестве VPN-сервера или роутера центрального офиса, с оглядкой на количество клиентов, разумеется. Тем более что за относительно небольшую цену вы получаете практически неограниченные возможности RouterOS, которые позволяют реализовать достаточно сложные сетевые конфигурации не хуже, чем на гораздо более дорогом профессиональном оборудовании.\n","id":"5fa06126b0ba9ad15fdd40be4c36d578","link":"https://interface31.ru/post/proizvoditel-nost-mladshih-modeley-mikrotik-hex-i-hap-ekspress-testirovanie/","section":"post","tags":["MikroTik","Производительность"],"title":"Производительность младших моделей Mikrotik hEX и hAP. Экспресс-тестирование"},{"body":"За последние годы системы хранения данных сделали качественный рывок в производительности. Если еще совсем недавно производительность SSD с интерфейсом SATA казалась нам просто отличной, то сегодня NVMe диски достигли невиданных ранее скоростей и похоже не собираются останавливаться на достигнутом. Не отстает от них и интерфейс USB, последние стандарты которого предполагают скорости обмена данными до 20 Гбит/с. Поэтому мы решили вернуться к вопросу производительности SATA-накопителей при подключении их через USB в современных условиях.\nПрежде всего попробуем разобраться во всем текущем многообразии стандартов USB. Раньше все было просто: USB 1.1 - USB 2.0 - USB 3.0, если нужны более высокие скорости - выбираем более современный стандарт. Пропускная способность интерфейсов, согласно спецификации, составляла:\nТеоретически USB 3.0 на порядок превосходил своего предшественника, обещая потрясающую для своего времени производительность. Напомним, стандарт 3.0 был представлен в 2008 году, а его широкое внедрение началось с 2011, после начала поддержки фирмой Intel в своих чипсетах.\nРеальность оказалась гораздо скромнее, наши тесты 2012 года показали фактическую производительность интерфейса на уровне 1 Гбит/с, но даже этого значения полностью хватало чтобы полностью раскрыть потенциал актуальных на тот момент дисков 2,5\u0026quot;, а об установке SSD во внешние боксы и речи тогда не шло.\nС тех пор прошло много времени, скорости твердотельных накопителей существенно выросли, а цены на них значительно упали. Сегодня SSD во внешнем боксе не роскошь, а средство пристроить высвободившийся в результате апгрейда твердотельный накопитель.\nНе стоял на месте и интерфейс USB, новый стандарт USB 3.1 предусматривал в качестве стандартного разъема для периферийных устройств USB Type-C и использовал вместо схемы кодирования 8/10 (80% эффективность) схему 128/132 (97% эффективность), что позволяло достичь скорости передачи до 10 Гбит/с.\nВроде бы все хорошо и понятно, но отвечающая за развитие стандарта некоммерческая организация USB Implementers Forum (USB-IF) решила навести \u0026quot;тень на плетень\u0026quot; и переименовать привычный USB 3.0 в USB 3.1 Gen 1, а новый стандарт с пропускной способностью до 10 Гбит/с в USB 3.1 Gen 2.\nНо путаница на этом не закончилась, в 2017 году вышел стандарт USB 3.2, который предусматривал использование только разъема USB Type-C с обоих сторон кабеля и скорости до 20 Гбит/с. А следом пошла волна переименований. USB 3.0, он же USB 3.1 Gen 1 стал USB 3.2 Gen 1, а USB 3.1 Gen 2 превратился в USB 3.2 Gen 2, собственно же устройства стандарта 3.2 стали называться USB 3.2 Gen 2x2.\nВидимо поняв, что такая терминология ничего кроме путаницы вызвать не может USB-IF дополнительно ввела торговые названия, в общем и целом шаг логичный, но маркетологам больше пришлись по душе новые-старые наименования стандартов. Ведь можно крупными буквами написать на коробке, что устройство поддерживает новейший стандарт USB 3.2 Gen 1, хотя это всем давно знакомый и привычный USB 3.0.\nНо и с USB 3.0, которые USB 3.x Gen 1 тоже не все так просто, контроллеры разных лет выпуска демонстрируют разную производительность. Все это мы и решили проверить в небольшом практическом тесте. В нем приняли участие накопители:\nHitachi Travelstar 7K1000 1ТБ, 2,5\u0026quot; жесткий диск со скоростью вращения 7200, одна из наиболее производительных моделей \u0026quot;ноутбучного\u0026quot; формата. GOODRAM Iridium Pro 240 ГБ, классический MLC-диск на Phison S10 обеспечивающий скорости чтения и записи около 500 МБ/с по всей поверхности. Со стороны внешних боксов мы использовали:\nКонтроллер от Seagate Backup Plus Slim Portable Drive с поддержкой USB 3.0 (вместо родного диска были подключены вышеуказанные накопители) Внешний корпус AGESTAR 3UB2A8-6G на контроллере JMicron JMS578, на коробке заявлено соответствие спецификации USB 3.2 Gen1 Все это тестировали на ПК с материнской платой MSI X470 GAMING PLUS MAX и процессором AMD Ryzen 7 2700X.\nНачнем, на всех скриншотах ниже слева HDD, справа SSD, прежде всего мы подключили устройства в порт USB 2.0, так как данный стандарт все еще широко распространен, особенно на старых ПК: Как видим, все ожидаемо уперлось в ограничения интерфейса. По сегодняшним меркам пропускная способность USB 2.0 не удовлетворяет даже минимальным требованиям для комфортной работы, учитывая, что средний фильм стандартной продолжительности в Full HD качестве занимает около 10 ГБ. А если потребуется перебросить сотню-другую гигабайт, что в наши дни совсем не редкость, то ждать придется достаточно долго.\nТеперь USB 3.0 с контроллером от Seagate: Что касается жесткого диска, то производительности контроллера вполне достаточно чтобы полностью реализовать его возможности, чего не скажешь о SDD. Данный контроллер имеет пропускную способность около 2,5 Гбит/с, что для современных SATA SSD явно недостаточно, фактически мы получаем только 50% от реальной производительности накопителя.\nИ наконец AGESTAR 3UB2A8-6G на новом JMicron JMS578: Если для жесткого диска практически ничего не изменилось (все отличия лежат в пределах погрешности измерений), то SSD с данным внешним боксом просто раскрылся во всей красе и показал производительность сравнимую с прямым подключением по шине SATA. При этом протокол передачи не изменился, мы использовали все тот же USB 3.0, он же USB 3.2 Gen1, просто технологии не стояли на месте, а продолжали развиваться и совершенствоваться.\nВ данном случае такой прирост производительности достигнут поддержкой со стороны контроллера JMicron JMS578 нового протокола UAS (USB Attached SCSI), который реализует прямую передачу команд SCSI поверх USB. Это позволяет, в отличие от старого протокола BOT (Bulk-only transport), работать с внешним диском как с блочным устройством, снижает нагрузку на систему и позволяет серьезно повысить производительность. Результаты тестирования говорят тут сами за себя.\nВыводы Данное тестирование показало реальный прогресс, который прошли внешние боксы для USB 3.0, если в 2012 году они обеспечивали около 1 ГБит/с, то более поздние модели приблизились к планке 2,5 Гбит/с и этой производительности с запасом хватало для самых производительных жестких дисков. С распространением SSD произошел новый виток развития и современные USB 3.0 контроллеры вплотную подошли к заявленной отметке в 5 Гбит/с.\nДля накопителей SATA это фактически верхний предел, так как при использовании более новых и быстрых интерфейсов USB 3.2 Gen2 и USB 3.2 Gen2x2 узким горлышком окажется именно интерфейс SATA. Очевидно, что задел новых стандартов рассчитан на новые интерфейсы, один из которых NVMe, который уже сейчас обеспечивает скорости обмена свыше 20 ГБит/с.\nКакие практические выводы мы можем сделать? Если вы используете в качестве внешнего диска HDD, то можете использовать текущий контроллер, никаких существенных преимуществ от покупки нового вы не получите. Но все меняется, если вы хотите использовать во внешнем накопителе SSD, в этом случае покупка бокса на современном контроллере, с поддержкой UAS оправдана и при этом даже не потребуется существенно переплачивать. Например, использовавшийся в этом тестирование бокс AGESTAR 3UB2A8-6G стоил на февраль 2020 года всего около 900 руб.\n","id":"f34690c1069b5009ea9448db95b258cc","link":"https://interface31.ru/post/proizvoditelnost-sata-nakopiteley-pri-podklyuchenii-cherez-usb-31/","section":"post","tags":["HDD","SSD","USB"],"title":"Производительность SATA-накопителей при подключении через USB 3.1/3.2"},{"body":"Когда говорят о брандмауэре в Linux-системах в первую очередь вспоминают iptables, однако это не совсем верно, брандмауэром в Linux является netfilter, а iptables - одна из утилит для его настройки. Тем не менее именно iptables является стандартом интерфейса брандмауэра в Linux, а также созданных на его основе системах, например, RouterOS от Mikrotik. Поэтому знание iptables является обязательным для Linux-администраторов несмотря на то, что в новых дистрибутивах осуществляется постепенный переход на более новый инструмент управления - nftables, который, тем не менее, сохраняет совместимость со своим предшественником.\nИзначально iptables может показаться довольно сложным, особенно если браться за него без достаточной теоретической подготовки. Многие начинающие администраторы раз за разом допускают одни и те же типовые ошибки, что и побудило нас к написанию данной статьи.\nЕсли подходить к вопросу упрощенно, то можно рассматривать iptables как брандмауэр - специализированное ПО для фильтрации сетевого трафика и нас прежде всего должна интересовать практическая сторона, а именно сам процесс фильтрации. Поэтому многие моменты мы оставим за кадром, уделив больше внимания практическому применению инструмента. Но любая практика должна основываться на твердой основе теоретических знаний, необходимому минимуму которых мы посвятим эту статью.\niptables структурно состоит из таблиц, в которые входят цепочки, в свою очередь содержащие наборы правил. Существует распространенное заблуждение, что цепочки содержат в себе таблицы, но это неверно и в ряде случаев может привести к ошибочному пониманию принципа действия тех или иных наборов правил. Следует помнить, что верхний уровень иерархии составляют именно таблицы, каждая из которых предназначена для своей цели. Всего имеется пять таблиц, рассмотрим их подробнее: raw - предназначена для обработки пакетов прежде, чем они будут переданы системе conntrack, которая занимается отслеживанием состояния соединений и принадлежностью пакетов этим соединениям. Содержит встроенные цепочки PREROUTING и OUTPUT. mangle - используется для модификации некоторых заголовков (TTL, TOS) и маркировке пакетов и соединений, содержит цепочки PREROUTING, INPUT, FORWARD, OUTPUT и POSTROUTING. nat - предназначен для преобразования адресов и портов источника и назначения пакетов, встроенные цепочки: PREROUTING, OUTPUT, POSTROUTING. filter - применяется, собственно, для фильтрации пакетов, является таблицей по умолчанию, т.е. если таблица не указана явно, то используется filter, имеет цепочки INPUT, FORWARD и OUTPUT. security - используется для работы совместно с системами принудительного контроля доступа, такими как SELinux. Встроенные цепочки INPUT, FORWARD, OUTPUT. Важно! Обратите внимание, что названия таблиц всегда пишутся в нижнем регистре, а цепочек - в ВЕРХНЕМ.\nНа практике вы обычно будете использовать таблицы filter и nat, в некоторых случаях - mangle, поэтому таблицы raw и security мы далее рассматривать не будем.\nВнутри таблиц находятся цепочки. Существуют встроенные и пользовательские цепочки. Последние создаются непосредственно пользователями и могут применяться для построения сложных конфигураций обработки трафика. В отличие от встроенных цепочек их названия также принято писать в нижнем регистре.\nВнутренних цепочек также пять:\nPREROUTING - используется для всего входящего трафика до принятия первого решения о маршрутизации INPUT - применяется для входящего трафика текущего узла FORWARD - через нее проходит транзитный трафик узла OUTPUT - применятся для исходящего трафика текущего узла POSTROUTING - используется для всего исходящего трафика после принятия всех решений о маршрутизации После инициализации все цепочки пустые и не содержат никаких правил. Но каждая цепочка имеет действие по умолчанию (стандартно - ACCEPT), которое будет применено к пакету, если он прошел всю цепочку и не попал под действие ни одного правила.\nЗадача администратора - наполнить цепочки правилами. Каждое правило состоит из трех составляющих: критерия, действия и счетчика. Если пакет удовлетворяет критериям, то к нему применяется действие и он учитывается счетчиком. Если не указан критерий, то действие применяется ко всем пакетам. В отсутствии критерия и действия будет работать только счетчик, который считает не только количество пакетов, но и их размер в байтах. Критериев может быть несколько, они комбинируются по принципу логического И, допускается также условие с отрицанием - И-НЕ, такое выражение будет истинным, если истинными являются все условия. Таким образом правило сработает если пакет удовлетворяет всем перечисленным критериям. В качестве критериев используются различные свойства пакетов и/или соединений, наиболее часто используются интерфейсы, IP-адреса источника и назначения, порты.\nДействие выполняет какую-либо одну операцию с пакетом, разные таблицы допускают применение разных наборов действий, например, действие MARK используется в таблице mangle, а MASQUERADE - в таблице nat. Наиболее общими действиями являются ACCEPT, DROP и REJECT. Первое из них пропускает пакет, а два последних блокируют, при этом REJECT сообщает источнику об отказе, а DROP нет, поэтому его чаще всего используют для блокировки внешних пакетов, чтобы не давать потенциальному злоумышленнику лишней информации о работе сети.\nВсе действия делятся на две категории: терминальные и нетерминальные. Терминальные действия прекращают прохождение пакета по цепочке, к ним относятся все специфичные действия для таблиц filter и nat, нетерминальными являются действия специфичные для таблицы mangle.\nПопав в цепочку пакет последовательно проходит правила в порядке их перечисления до первого срабатывания. Дальнейшее его движение зависит от типа действия, если действие нетерминальное - пакет продолжит движение по цепочке, иначе - покидает ее. При построении последовательности правил важно понимать, что первична именно таблица, внутри которой находится цепочка, в которой мы уже выстраиваем нужную последовательность правил. При этом правила разных таблиц, но одинаковых цепочек могут идти вперемешку, но выполняться они все равно будут в последовательности таблица - цепочка - набор правил.\nМежду тем правилом хорошего тона в администрировании является группировка правил согласно их логическому смыслу и порядку прохождения через брандмауэр, это повышает читабельность правил и позволяет легко разобраться в конфигурации брандмауэра даже увидев ее в первый раз.\nЗдесь мы подошли к еще одной важной теме - стандартному порядку прохождения пакетов через брандмауэр, именно эта схема часто является источником многих заблуждений, но исторически сложилось изображать ее именно так. Глядя на нее, можно подумать, что таблицы находятся внутри цепочек, это неверно, но стандартный порядок прохождения таков, что одноименные цепочки таблиц проходятся последовательно, поэтому на схеме их объединяют для лучшего понимания логики процесса.\nИтак, входящий пакет прежде всего попадает в цепочку PREROUTING таблицы mangle, затем передается в PREROUTING таблицы nat. Здесь мы можем выполнить маркировку пакетов и преобразование адреса назначения - DNAT. Затем принимается решение о маршрутизации, в зависимости от того предназначен пакет хосту или является транзитным будут задействованы либо цепочки INPUT, либо FORWARD таблиц mangle и filter.\nВсе основные действия по фильтрации пакетов производятся именно в таблице filter, при этом фильтрация локального и транзитного трафика производится отдельно. При составлении правил фильтрации следует учитывать, что у пакета может быть изменен адрес и порт назначения вследствие прохождения цепочки PREROUTING таблицы nat. Это актуально при пробросе портов на нестандартные номера, скажем, пришедший на адрес внешнего интерфейса и нестандартный порт пакет после выполнения над ним действия DNAT попадет в таблицу filter уже со стандартным портом и адресом внутреннего узла в качестве адреса назначения.\nЛокальные пакеты после таблицы filter передаются локальным процессам, на этом путь входящего пакета в системе заканчивается. В ответ локальный процесс формирует исходящий пакет и после решения о маршрутизации передает его в цепочки OUTPUT таблиц mangle, nat и filter. И если таблицы mangle и filter понятны, то наличие между ними таблицы nat требует отдельных пояснений.\nОбычно для преобразования сетевых адресов в таблице nat используются цепочки PREROUTING и POSTROUTING, которые закрывают большинство типовых задач. Но бывают ситуации, когда преобразование сетевых адресов нужно выполнить отдельно для исходящих пакетов по критериям, которым могут удовлетворять и пакеты транзитные. В этом случае можно и нужно использовать цепочку OUTPUT таблицы nat. Хотя это достаточно редкий сценарий и в большинстве типовых случаев цепочки OUTPUT могут совсем не содержать правил.\nПосле принятия всех решений о маршрутизации как локальные, так и транзитные пакеты попадают в цепочки POSTROUTING таблиц mangle и nat, здесь производятся окончательная обработка исходящих пакетов. Наиболее часто используется таблица nat и действия SNAT и MASQUERADE, используемые для изменения адреса источника пакета. Никакой фильтрации пакеты после этого не проходят. Это также важно понимать при построении правил.\nВне зависимости от типа и направления трафика следует помнить, что преобразование адресов назначения всегда производится до того, как пакет попадает в таблицу filter брандмауэра, а преобразование адресов источника после ее прохождения. Непонимание этого момента приводит к использованию неправильных критериев и неработоспособности на первый взгляд \u0026quot;верных\u0026quot; правил.\nИ еще раз закрепим стандартный порядок прохождения пакетов через брандмауэр, для транзитного трафика он выглядит так: Самое важное, что следует понять из этой схемы, что транзитный трафик никогда не попадает в цепочки INPUT и OUTPUT, а преобразование адреса назначения (DNAT) выполняется перед фильтрацией.\nДля локальных пакетов стандартный порядок будет следующим: Прежде всего следует запомнить, что локальный трафик никогда не попадает в цепочки FORWARD. Также, в отличии от транзитного трафика, локальный представлен двумя видами пакетов: входящими и исходящими. Путь входящего пакета ограничивается цепочками PREROUTING и INPUT, а исходящего OUTPUT и POSTROUTING, т.е. если нам нужно выполнить преобразование адреса назначения (DNAT) для локального пакета, то мы должны сделать это в цепочке OUTPUT, потому что в PREROUTING такой пакет никогда не попадет.\nТоже самое касается и маркировки пакетов, если мы хотим обрабатывать ответы на входящие пакеты по каким-то собственным критериям, то маркировать нужно не пакеты, а соединения. Потому как путь локального пакета заканчивается локальным процессом, однако и входящий и исходящий пакет будут принадлежать одному соединению. Это же касается и транзитного трафика, маркировка пакета будет учитываться только при прохождении в одну сторону, маркировка соединения - для прохождения в обоих направлениях.\nНесмотря на то, что приведенная нами схема является упрощенной, надеемся, что она поможет получить базовые знания о работе iptables и не допускать грубых ошибок при составлении правил, а также лучше понимать уже готовые конфигурации брандмауэра, которые мы приводим в наших решениях.\n","id":"85e3e093e7dd6b41d563e7bd677efc31","link":"https://interface31.ru/post/osnovy-iptables-dlya-nachinayushhih-chast-1/","section":"post","tags":["Debian","iptables","Linux","MikroTik","Ubuntu Server","Сетевые технологии"],"title":"Основы iptables для начинающих. Часть 1. Общие вопросы"},{"body":"Вопрос контроля изменений конфигурации сервера остро стоит перед любым системным администратором, а если не стоит - то до первого случая, когда нужно откатить изменения, а исходного варианта конфигурации не осталось. Обычно рекомендуется всегда делать резервную копию файлов конфигурации перед их правкой, но все мы люди и часто пренебрегаем этим требованием, поэтому все что может быть автоматизировано - должно быть автоматизировано. В данной ситуации на помощь нам придет утилита etckeeper, которая в связке с системой контроля версий git поможет поставить любые изменения в конфигурации под полный контроль.\nПри общении с коллегами-администраторами часто можно услышать, что \u0026quot;git - это для программистов\u0026quot;, однако это не так. Действительно, git - как система контроля версий, в первую очередь востребована программистами, но она может быть полезна не только лишь им. Так как конфигурационные файлы Linux представляют из себя простой текст, то система контроля версий так и напрашивается для применения, позволяя отслеживать и управлять любыми изменениями.\nА если добавить к этому облачные git-репозитории, то мы можем не только контролировать изменения, но и хранить актуальную конфигурацию и всю ее историю за пределами предприятия, что позволит быстро восстановить систему в случае каких-либо аварий. Внешний репозиторий можно рассматривать как резервную копию с неограниченной глубиной хранения.\nВ принципе настроить контроль за /etc при помощи git можно и руками, но это потребует изучения данного продукта хотя бы на базовом уровне. Облегчить ситуацию способна утилита etckeeper, которая берет большинство вопросов на себя.\nВсе дальнейшие действия мы будем производить в среде Debian 10, затем данная инструкция была проверена на Ubunutu 18.04, в этих системах etckeeper по умолчанию использует git, в более старых системах могут использоваться иные системы контроля версий, которые потребуется изменить на git, о чем будет сказано ниже.\nПрежде всего установим необходимые пакеты:\n1apt install etckeeper git Сразу при установке будет произведена инициализация локального репозитория системы контроля версий. В первую очередь нам необходимо узнать какая именно система используется. Для этого выполните:\n1cat /etc/etckeeper/etckeeper.conf | grep ^VCS Если вы получили в ответ строку:\n1VCS=\u0026#34;git\u0026#34; то следующие действия можно пропустить. Иначе выполним:\n1etckeeper uninit Затем откроем файл /etc/etckeeper/etckeeper.conf и закомментируем текущую строку VCS и раскомментируем VCS=\u0026quot;git\u0026quot;. После чего выполним:\n1etckeeper init При инициализации в локальный репозиторий попадет текущее состояние директории /etc и начнется отслеживание любых изменений в ней. Но отслеживать мы будем не все файлы, некоторые из них являются вспомогательными или временными и не влияют на конфигурацию системы. Стандартный список таких файлов и директорий перечислен в файле /etc/.gitignore. Обратите внимание, что конфигурация по умолчанию подразумевает передачу в репозиторий файлов c хешами паролей, а также SSL и SSH-ключей, если это нежелательно, то дополните данный файл строками:\n1shadow* 2gshadow* 3ssh/ssh_host_* 4ssl/private/* Если вы используете Let's Encrypt и не хотите чтобы ваши сертификаты и ключи попадали в репозиторий, то добавьте следующие строки:\n1letsencrypt/accounts 2letsencrypt/archive 3letsencrypt/csr 4letsencrypt/keys 5letsencrypt/live После чего следует перестроить кеш репозитория, иначе внесенные в список исключения файлы все равно попадут в первый коммит (коммит - это фиксация изменений в системе контроля версий). Обратите внимание, что все команды git следует выполнять, находясь в корне локального репозитория, т.е. /etc:\n1cd /etc 2git rm -r --cached . 3git add . Теперь самое время создать и подключить внешний репозиторий, чтобы все изменения конфигурации копировались за пределы сервера. Среди популярных git-сервисов наиболее известны GitHub, GitLab и Bitbucket, особой разницы в работе с ними нет, в нашем примере будет использоваться GitHub. Для хранения изменений конфигурации создадим в нем приватный репозиторий. Обратите внимание - тип репозитория должен быть обязательно приватным, в противном случае доступ к нему сможет получить каждый, кому станет известен его адрес. В нашем примере мы условно назвали репозиторий myetc, для практического применения мы советуем давать репозиториям осмысленные имена, например, по имени севера, чтобы в последствии было понятно какие именно данные в нем хранятся.\nДля доступа к внешнему репозиторию будем использовать аутентификацию по SSH-ключу, это позволит делать коммиты автоматически, без участия администратора. Прежде всего сгенерируем ключевую пару, так как задания cron выполняются от имени суперпользователя, то обязательно повысим свои права до root с помощью sudo или su.\n1ssh-keygen -t rsa -b 4096 При создании закрытого ключа не устанавливаем парольную фразу (просто нажимаем Enter), это в определенной мере снижает безопасность, но позволяет полностью автоматизировать процесс. В итоге в папке /root/.ssh должно появиться два файла: закрытый ключ id_rsa и открытый id_rsa.pub. Откроем последний и скопируем его содержимое.\nЗатем перейдем в настройки сервиса GitHub и откроем раздел SSH and GPG keys, в котором добавим новый ключ нажав на кнопку New SSH key. Ключам также стоит давать осмысленные имена, чтобы было понятно для какого из серверов он предназначен. В поле ключа внесите содержимое id_rsa.pub. После чего возвращаемся к нашему репозиторию и получаем строку подключения к нему по SSH, выглядеть она будет примерно следующим образом:\n1git@github.com:login/repo.git где login - ваш логин на GitHub, а repo - имя репозитория. Для его подключения выполним:\n1git remote add origin git@github.com:login/repo.git Для того, чтобы использовать его как вышестоящий репозиторий введем следующую команду:\n1git push -u origin master Она же выполнит первый коммит зафиксировав текущее состояние директории /etc. Снова откроем /etc/etckeeper/etckeeper.conf и в самом конце откорректируем строки:\n1PUSH_REMOTE=\u0026#34;origin\u0026#34; Теперь при каждом коммите все изменения будут также отправляться во внешний репозиторий. Сохраним изменения и выполним свой первый коммит:\n1etckeeper commit \u0026#34;My first commit\u0026#34; Все что требуется от вас задать - это комментарий, делайте его максимально подробным и осмысленным, чтобы потом вам легче было находить те или иные изменения. Изменения удобно отслеживать во внешнем репозитории. Вернемся на GitHub и посмотрим содержимое нашего коммита: Как видим, все изменения прекрасно видны, причем не только внесенные нами, но и автоматически. Еще один частый вопрос - это история изменений тех или иных параметров, особенно если они делались давно и вы уже не помните, то ли это значение по умолчанию, то ли его кто-то изменял. С системой контроля версий вы всегда можете пробежаться по истории изменения файла и быстро выяснить этот вопрос.\nЕще одна вечная проблема - это ошибки и опечатки, особенно если вы случайно стерли часть конфига или изменили его и заметили это только при перезапуске службы. Нет проблем - делаем коммит и сравниваем изменения. В принципе git позволяет сравнит текущее содержимое с любым состоянием ветки и без коммита, но это требует определенных знаний, поэтому мы пойдем самым простым путем. В нашем примере мы корректировали файл /etc/hosts и допустили в нем опечатку. После коммита это стало сразу видно: Вместо одной пустой строки мы добавили две, одну с записью и вторую с опечаткой (точка), при этом вопрос была ли эта строка в файле раньше и в каком виде больше не стоит, все предельно ясно. Ошибку можно исправить как вручную, так и восстановив предыдущее состояние файла. Это удобно, если нужно разом откатить большое количество изменений. Прежде всего получим список коммитов, для этого выполните:\n1etckeeper vcs log --pretty=oneline Теперь выберем из списка коммитов тот, который содержит нужную нам версию файлов, это не обязательно должен быть последний коммит, вы можете восстановить и версию из глубины, при этом состояние других файлов затронуто не будет. Нам потребуется хеш коммита, точнее первые семь его цифр. Допустим мы хотим вернуть исходное состояние файла и выберем для этого Initial commit - 6e96fd5. Эти же данные можно получить и через веб-интерфейс внешнего репозитория. Затем выполним:\n1etckeeper vcs checkout 6e96fd5 /etc/hosts В качестве параметров команде передается хеш коммита и файл, который мы хотим восстановить. После исправления ошибок не забудьте зафиксировать состояние, выполнив еще один коммит.\nКроме того, утилита автоматически фиксирует изменения после установки, удаления или обновления пакетов, а также выполняет ежедневный коммит по расписанию. Мы не советуем отключать данные возможности, так как это дополнительная страховка от того, что вы или кто-то еще внесет изменения и забудет выполнить коммит вручную. Если же вы боитесь, что таким образом получите много однотипных коммитов в которых потому будет тяжело разобраться, то поспешим вас успокоить. Коммит делается только при наличии изменений, если же их нет, то выполнен он не будет. Первоначально хранение изменений конфигурационных файлов в системе контроля версий может показаться неудобным и излишне сложным, но начав работу с git вы очень скоро оцените по достоинству все его возможности и выведете на новый уровень работу с изменениями в вашей инфраструктуре.\n","id":"5c11618438d4a8181886a128c1802fb0","link":"https://interface31.ru/post/etckeeper-stavim-pod-kontrol-izmeneniya-konfiguracii-servera/","section":"post","tags":["Debian","Git","Ubuntu Server","Документация","Резервное копирование"],"title":"Etckeeper - ставим под контроль изменения конфигурации сервера"},{"body":"В прошлом материале нашего цикла мы рассмотрели теоретические аспекты системы управления пользователями в Linux и теперь, располагая багажом необходимых знаний, можно переходить к практике. Несмотря на то, что мы традиционно рассматриваем работу в системах основанных на Debian, данный материал будет полезен пользователям любого Linux-дистрибутива, так как работа с учетными записями пользователей везде построена одинаково. Именно поэтому мы будем рассматривать только работу в командной строке, так как она предоставляет единый и универсальный интерфейс вне зависимости от используемого окружения.\nСоздание пользователей Для создания пользователей используется команда useradd, но не будем спешить с ее применением, сначала ознакомимся с используемыми по умолчанию параметрами, для этого выполните:\n1useradd -D Также обратите внимание на параметр:\n1GROUP=100 Но как нам известно в Debian пользовательские группы начинаются с 1000, а в RHEL c 500, поэтому в современных системах этот параметр игнорируется. Все параметры, кроме SKEL, могут быть изменены, но практический смысл это имеет только для HOME и SHELL.\nСкажем вы настраиваете многопользовательский веб-сервер и хотите создавать домашние директории в каталоге веб-сервера, в этом случае можно выполнить:\n1useradd -D -b /var/www/home А для изменения командной оболочки:\n1useradd -D -s /bin/bash Чтобы добавить нового пользователя введите:\n1useradd -m ivan Ключ -m предписывает создать домашний каталог пользователя. Это самый простой вариант использования, но при использовании дополнительных ключей мы можем сразу задать или переопределить многие параметры пользователя. Получить их список можно командой:\n1useradd -h Приведем некоторые из них:\n-b - задает домашний каталог пользователя -c - комментарий к учетной записи -g - задает основную группу пользователя -G - задает дополнительные группы -m - создать домашний каталог пользователя -N - не создавать группу с именем пользователя -k - путь к каталогу шаблона домашней директории (по умолчанию /etc/skel) -s - командная оболочка Например:\n1useradd -m -b /var/www/ivanov -g webuser -G www-data -k /etc/myskel -s /sbin/nologin ivanov Этой командой мы создадим пользователя ivanov, которому назначим домашнюю директорию в /var/www/ivanov, для которой будет использован шаблон из /etc/myskel, включим его в основную группу webuser и дополнительную www-data. Также запретим ему интерактивный вход в систему, назначив оболочкой /sbin/nologin.\nСозданная учетная запись будет заблокирована до тех пор, пока мы не установим для нее пароль, это можно сделать следующей командой:\n1passwd ivan которая установит пароль к учетной записи ivan. Для блокировки пароля используйте:\n1passwd -l ivan Но учтите, что данная блокировка распространяется только на вход по паролю, если у пользователя настроены иные способы входа, скажем по SSH-ключу, то доступ в систему с их помощью сохранится. Поэтому данный способ следует использовать в тех случаях, когда есть подозрение на компрометацию пароля, но в полной блокировке учетной записи нет необходимости. Для разблокировки потребуется заново установить пароль.\nИзменение пользователей Для того, чтобы изменить параметры уже существующей учетной записи используется команда usermod, для ознакомления с ее возможностями получим список ключей командой\n1usermod -h Приведем некоторые из них:\n-c - изменить комментарий -d - новый домашний каталог -g - новая основная группа -G - новые дополнительные группы -a - добавить пользователя в дополнительные группы, не удаляя из других групп, используется совместно с ключом**-G** -l - новое имя учетной записи -L - блокировать учетную запись -m - переместить содержимое домашнего каталога, используется только вместе с -d -U - разблокировать учетную запись Например:\n1usermod -c \u0026#34;Ivanov Ivan\u0026#34; -aG sudo ivan Данная команда создаст новый комментарий к учетной записи и добавит пользователя ivan в дополнительную группу sudo.\nУдаление пользователей Для удаления учетной записи пользователя используется команда userdel, например:\n1userdel vasya которая удалит учетную запись vasya.\nКоманда имеет дополнительные ключи, которые также можно просмотреть, запустив ее с ключом -h, практическую пользу представляют два из них:\n-r - удалить домашний каталог пользователя -f - удалять файлы, даже если они не принадлежат пользователю На практике оба ключа обычно используются совместно, но будьте осмотрительны и перед удалением убедитесь, что удаляемые данные не нужны другим пользователям. Чтобы удалить пользователя вместе со всеми данными выполните:\n1userdel -rf vasya При этом будет удален не только рабочий каталог, но и сообщения электронной почты пользователя, если таковые были в системе.\nУправление группами пользователей Для управления группами используется аналогичный набор команд: groupadd, groupmod и groupdel. Их ключи также можно посмотреть, запустив их с параметром -h.\nДля создания группы используйте:\n1groupadd office Из дополнительных ключей имеют практический смысл:\n-g - использовать указанный GUID -f - завершить команду без ошибки если группа с таким именем уже существует и отменить действие -g, если указанный GUID уже используется. При помощи команды usermod мы можем изменить GUID и наименование группы, скажем:\n1groupmod -n sales office Данная команда переименует группу office в группу sales. Используемые ключи:\n-g - изменить GUID группы -n - изменить наименование группы Ну и наконец groupdel, который используется для удаления групп:\n1groupdel office Из параметров можно использовать:\n-f - удалить группу, даже если она является основной для пользователя При удалении групп всегда нужно проявлять осмотрительность и не следует удалять группы, в которых состоят пользователи. Если же такая необходимость существует, то следует предварительно вывести из группы пользователей и изменить группу для всех объектов, которыми владела удаляемая группа.\nУправление членством пользователей в группах Управлять членством пользователей в группах можно различным образом. Выше мы уже приводили примеры с использованием usermod, для изменения основной группы пользователя используйте:\n1usermod -g office ivan Данная команда изменит основную группу пользователя ivan на office. Для добавления в дополнительные группы следует выполнить команду:\n1usermod -aG office, sales ivan Которая добавит пользователя ivan в группы office и sales.\nТакже существует и другая команда gpasswd, которая позволяет не только добавлять, но и удалять членство пользователей в группах. Для добавления пользователя в группу используйте:\n1gpasswd -a ivan office Данная команда добавить пользователя ivan в группу office. Для удаления членства выполните:\n1gpasswd -d ivan office Для того, чтобы проверить членство пользователя в группах используйте команду:\n1groups ivan где ivan - имя пользователя.\nЧтобы быстро удалить пользователя из всех дополнительных групп используйте:\n1usermod -G \u0026#34;\u0026#34; ivan Как видим, управление пользователями и группами в Linux не такое уж и сложное дело, особенно когда вы понимаете, что значит тот или иной параметр и для чего вы это делаете.\n","id":"31cee3dca95fc0c60f69878d08752788","link":"https://interface31.ru/post/linux-nachinayushhim-chast-6-upravlenie-polzovatelyami-i-gruppami-praktika/","section":"post","tags":["Debian","Linux","Ubuntu","Ubuntu Server"],"title":"Linux - начинающим. Часть 6. Управление пользователями и группами. Практика"},{"body":"WebDAV - расширение протокола HTTP предназначенное для редактирования и управления файлами, размещенными на веб-серверах. К его достоинствам относится работа по стандартным протоколам, что дает возможность работать практически из любого места, где есть доступ в интернет. В настоящее время WebDAV часто используется в качестве сетевой файловой системы предоставляя доступ к удаленным файлам стандартными средствами ОС как будто бы они являлись локальными. В данной статье мы рассмотрим настройку WebDAV на базе популярного веб-сервера Apache.\nПрежде всего обозначим некоторые особенности и ограничения. В современных условиях мы не видим смысла использовать WebDAV поверх небезопасного протокола HTTP, разве что в пределах периметра локальной сети. Также не следует использовать Basic-аутентификацию, которая предает пароль по сети в открытом виде, особенно в связке с HTTP, тем более что современные Windows-системы не поддерживают такое сочетание.\nДля нормальной работы нам понадобится веб-сервер на базе Apache с настроенным SSL и валидным сертификатом, как настроить такой сервер мы рассказывали в статье: Настраиваем Apache для работы по HTTPS (SSL) с сертификатами Let's Encrypt. В дальнейшем мы будем опираться на приведенную там конфигурацию.\nПрежде всего определимся с местом хранения, так как WebDAV является расширением веб-сервера, то и данные логично разместить в /var/www, создадим там директорию webdav и назначим ее владельцем веб-сервер:\n1mkdir /var/www/webdav 2chown www-data:www-data /var/www/webdav Затем откроем файл конфигурации виртуального хоста, который будет обслуживать WebDAV, в нашем случае это /etc/apache2/sites-available/example.com-ssl.conf и добавим в самый его конец, перед закрывающим тегом \u0026lt;/VirtualHost\u0026gt; следующие строки:\n1Alias /webdav /var/www/webdav 2 3\u0026lt;Directory /var/www/webdav\u0026gt; 4 DAV On 5 AuthType Digest 6 AuthName \u0026#34;dav\u0026#34; 7 AuthUserFile /etc/davpasswd 8 Require valid-user 9\u0026lt;/Directory\u0026gt; Директива Alias позволяет связать запросы к ресурсу https://example.com/webdav с папкой /var/www/webdav несмотря на то, что она находится вне корневой директории сайта. Секция Directory задает настройки, применяемые к данной директории.\nDAV On - включает WebDAV AuthType Digest - задает тип аутентификации. Digest-аутентификация не использует пароли в открытом виде, храня и передавая MD5-хеш. AuthName \u0026quot;dav\u0026quot; - имя области аутентификации, можно выбрать на собственное усмотрение AuthUserFile /etc/davpasswd - файл с паролями пользователей Require valid-user - разрешать доступ только прошедшим аутентификацию пользователям. Теперь заведем пользователей WebDAV ресурса. Для этого используем утилиту htdigest, первого пользователя заводим командой:\n1htdigest -c /etc/davpasswd dav ivan Ключ -с указывает на необходимость создать файл паролей, если файл существует, то он будет удален и создан заново. После имени файла паролей указывается область аутентификации, в нашем случае - dav, и имя пользователя. После чего ему будет необходимо задать пароль. Второго и следующего пользователя создаем командой:\n1htdigest /etc/davpasswd dav maria Файл паролей имеет следующую структуру:\n1ivan:dav:4cd22d3cb72753862alc7310533eb371 2maria:dav:a96fIa2e753cd337d63408324720bb7f Первой частью строки идет имя, затем область аутентификации и затем MD5-хеш пароля. Для удаления пользователя просто удалите относящуюся к нему строку.\nПосле чего подключим необходимые модули Apache:\n1a2enmod dav 2a2enmod dav_fs 3a2enmod auth_digest Проверим конфигурацию на ошибки и перезапустим сервер:\n1apachectl -t 2service apache2 restart Для проверки наберите в любом браузере https://example.com/webdav и вы должны увидеть форму аутентификации, после которой вы увидите листинг директории. Для подключения WebDAV ресурса в файловую систему Windows просто выполните подключение сетевого диска с адресом сервера, не забудьте установить флаги Восстанавливать подключение при входе в систему и Использовать другие учетные данные. В Linux настраиваем подключение к серверу, при необходимости протокол указываем как davs (либо dav при доступе через http), например? так выглядит подключение в Gnome 3: Теперь об особенностях эксплуатации. Внутри WebDAV ресурса нет возможности разграничивать права доступа для разных пользователей, так как в реальности владельцем всех файлов является веб-сервер. Но можно создать несколько WebDAV ресурсов со своим набором пользователей каждый (используем разные имена области аутентификации).\nЕще более серьезной проблемой является блокировка открытых файлов, что может приводить к потере данных при совместном редактировании. Несмотря на то, что WebDAV поддерживает блокировки открытых файлов, не все клиенты корректно с ними работают, например, Nautilus Gnome3 корректно обрабатывает такие ситуации, выдавая предупреждение: А Проводник Windows позволяет перезаписывать файлы без предупреждения. Поэтому используйте WebDAV для совместной работы с большой осторожностью, убедившись, что ваш клиент или приложение корректно работают с блокировками.\nТакже учтите, что несмотря на то, что все файлы хранятся удаленно, файловый менеджер воспринимает их как локальные, а следовательно листинг папок, содержащих большое количество файлов может оказаться замедленным, особенно если они содержат мультимедийное содержимое, для которого система будет создавать эскизы, поэтому для WebDAV ресурсов лучше использовать представление в виде списка или таблицы, но не значков и, тем более, эскизов.\nКак видим, настройка WebDAV на базе веб-сервера Apache очень проста и не занимает много времени.\n","id":"b65345426d3dd68029c0ac09aaabf84c","link":"https://interface31.ru/post/nastroyka-webdav-na-baze-apache/","section":"post","tags":["Apache","Debian","Ubuntu Server","Web-сервер","WebDAV","Сайт"],"title":"Настройка WebDAV-сервера на базе Apache"},{"body":"OpenVPN является одной из самых популярных технологий для построения VPN-сетей и это вполне справедливо, данный продукт сочетает в себе безопасность с простой настройкой и мощными возможностями конфигурирования и управления сетью. В роутерах Mikrotik возможности OpenVPN существенно ограничены, что требует серьезно взвесить все за и против перед развертыванием, тем не менее в ряде случаев настройка OpenVPN выглядит оправданной и сегодня мы расскажем как это сделать.\nИнформация Данная статья предназначена для RouterOS 6.x, для настройки OpenVPN сервера в RouterOS 7.x воспользуйтесь обновленным материалом.\nПодготовка роутера OpenVPN, как и любой другой использующий SSL-шифрование продукт, чувствителен к расхождению времени между клиентом и сервером. Поэтому в первую очередь правильно настроим время на Mikrotik. Прежде всего откроем System - Clock и установим правильное значение часового пояса, его автоматическое определение лучше отключить. 1/system clock 2set time-zone-autodetect=no time-zone-name=Europe/Moscow В качестве параметра опции time-zone-name следует указать наименование вашего часового пояса согласно tz database.\nЗатем установим пакет NTP, для этого вам потребуется скачать с официального сайта архив Extra packages для вашей архитектуры и версии RouterOS, оттуда следует извлечь пакет ntp и поместить его на роутер, для установки достаточно перезагрузить устройство. После чего перейдем в System - NTP Client, включим его и укажем адреса NTP-серверов, в нашем случае это сервера из пула ru.pool.ntp.org. 1/system ntp client 2set enabled=yes primary-ntp=185.209.85.222 secondary-ntp=37.139.41.250 Обратите внимание, что вместо доменных имен серверов следует указать их IP, имейте ввиду, что адреса pool.ntp.org указывают на случайно выбранные из пула сервера, которые меняются каждый час, поэтому полученные вами адреса могут отличаться от указанных нами.\nАналогичные манипуляции следует выполнить на всех роутерах-участниках VPN-сети. Для ПК и других устройств-клиентов также следует настроить синхронизацию времени.\nСоздание ключей и сертификатов Некоторые руководства в сети предполагают создание ключей и сертификатов при помощи сторонних утилит, например, Easy-RSA, мы же будем использовать собственные средства Mikrotik. Перейдем в System - Certificate и создадим новый корневой сертификат нашего центра сертификации (CA). Затем перейдем на закладку Key Usage и укажем только crl sign и key cert. sign и нажмем кнопку Apply, теперь подпишем сертификат нажав Sign. В появившемся окне заполним поле CA CRL Host адресом локальной петли - 127.0.0.1, после чего нажимаем Start и дожидаемся окончания подписи сертификата. Эти же действия в консоли:\n1/certificate 2add name=ca country=\u0026#34;RU\u0026#34; state=\u0026#34;31\u0026#34; locality=\u0026#34;BEL\u0026#34; organization=\u0026#34;Interface LLC\u0026#34; unit=\u0026#34;IT\u0026#34; common-name=\u0026#34;ca\u0026#34; key-size=2048 days-valid=3650 key-usage=crl-sign,key-cert-sign 3sign ca ca-crl-host=127.0.0.1 Следующим создадим сертификат и закрытый ключ сервера. Закладка General нового сертификата заполняется аналогично, только в полях Name и Common Name указываем ovpn-server (можете выбрать на собственное усмотрение). На вкладке Key Usage укажите digital-signature, key-encipherment и tls-server. Затем подпишем сертификат ключом нашего CA, для этого в поле CA выберите только что созданный нами сертификат ca. Для выпуска сертификата в консоли выполните:\n1/certificate 2add name=ovpn-server country=\u0026#34;RU\u0026#34; state=\u0026#34;31\u0026#34; locality=\u0026#34;BEL\u0026#34; organization=\u0026#34;Interface LLC\u0026#34; unit=\u0026#34;IT\u0026#34; common-name=\u0026#34;ovpn-server\u0026#34; key-size=2048 days-valid=3650 key-usage=digital-signature,key-encipherment,tls-server 3sign ovpn-server ca=\u0026#34;ca\u0026#34; Теперь создадим клиентские сертификаты, в полях Name и Common Name на закладке General указываем имя сертификата, его следует давать осмысленно, чтобы всегда можно было определить какому клиенту принадлежит сертификат. Также следует подумать над сроком действия сертификата, если клиентом будет роутер в удаленном офисе, то можно также выпустить сертификат на 10 лет, а вот если клиентом будет ноутбук сотрудника на испытательном сроке, то лучше выдать его на срок испытательного срока. Выпустить новый сертификат не представляет проблемы, в то время как не отозванный вовремя сертификат может привести к несанкционированному доступу и утечке данных.\nНа вкладке Key Usage указываем только tls-client и также подписываем сертификат ключом нашего CA. Можно сразу выпустить все необходимые клиентские сертификаты, можно создавать из по мере необходимости. Получение клиентского сертификата в консоли:\n1/certificate 2add name=mikrotik country=\u0026#34;RU\u0026#34; state=\u0026#34;31\u0026#34; locality=\u0026#34;BEL\u0026#34; organization=\u0026#34;Interface LLC\u0026#34; unit=\u0026#34;IT\u0026#34; common-name=\u0026#34;mikrotik\u0026#34; key-size=2048 days-valid=365 key-usage=tls-client 3sign mikrotik ca=\u0026#34;ca\u0026#34; Обратите внимание, в данном случае мы выпустили сертификат со сроком действия в 1 год: days-valid=365.\nЕсли все сделано правильно, то у вас будут следующие сертификаты, обратите внимание, что корневой сертификат должен иметь флаги KLAT, остальные KI: Для использования на клиента нам необходимо экспортировать закрытый ключ и сертификат клиента, а также корневой сертификат центра сертификации. Удобнее всего использовать для этого формат PKCS12, который содержит все необходимые компоненты в одном файле (сертификат, ключ и сертификат CA). Для этого щелкните на нужном сертификате правой кнопкой и выберите Export, в открывшемся окне укажите формат Type - PKCS12 и парольную фразу для экспорта (минимум 8 символов) в поле Export Passphrase. Без указания пароля закрытые ключи выгружены не будут, и вы не сможете использовать такой сертификат для клиента. Либо используйте команды:\n1/certificate 2export-certificate mikrotik type=pkcs12 export-passphrase=12345678 В данном случае мы использовали парольную фразу 12345678. Экспортированные сертификаты можно скачать в разделе Files. Как видим, возможности RouterOS легко позволяют управлять сертификатами без привлечения дополнительных инструментов.\nНастройка OpenVPN сервера Начнем с создания пула адресов для выдачи OpenVPN клиентам, так как назначать адреса вручную во втором десятилетии 21 века - дурной тон. Для этого перейдем в IP - Pool и создадим новый пул: Name - ovpn_pool0 - произвольное имя пула, Addresses - 10.8.8.100-10.8.8.199 - диапазон адресов для выдачи клиентов, также можете выбрать по собственному усмотрению. Эти же действия в консоли:\n1/ip pool 2add name=ovpn_pool0 ranges=10.8.8.100-10.8.8.199 Теперь перейдем в PPP - Profiles и создадим новый профиль. Укажем его имя Name - ovpn, локальный и удаленный адреса:Local Address - 10.8.8.1, Remote Address - ovpn_pool0. На всякий случай напомним, что локальный адрес должен принадлежать той-же /24 сети, что и диапазон пула адресов. Быстро создать профиль в терминале:\n1/ppp profile 2add local-address=10.8.8.1 name=ovpn remote-address=ovpn_pool0 Затем перейдем в PPP - Secrets и убедимся, что включена аутентификация по пользователю. Для этого нажмем PPP Authentication\u0026amp;Accounting, где должен стоять флаг Accounting: Хотя гораздо быстрее выполнить команду:\n1/ppp aaa 2set accounting=yes Здесь же создадим учетные записи для клиентов. Особенностью реализации OpenVPN в RouterOS 6 является обязательное использование аутентификации по имени и паролю. При создании учетной записи указываем ее имя - Name, рекомендуем дать ей то же самое имя, которое вы использовали при создании сертификата, чтобы избежать путаницы. Password - пароль, так как основная аутентификация производится по сертификату особых требований к нему нет. Service - какие службы могут использовать данную учетную запись - ограничиваем только OpenVPN выбрав ovpn, затем указываем созданный нами профиль Profile - ovpn. В терминале для создания учетной записи выполните:\n1/ppp secret 2add name=mikrotik password=123 profile=ovpn service=ovpn В данном случае мы создали запись для пользователя mikrotik с паролем 123.\nПосле создания пользователей перейдем в PPP - Interface и нажмем на кнопку OVPN Server, в открывшемся окне включим службу установив флаг Enabled, Default Profile - ovpn, в поле Certificate укажем созданный нами сертификат сервера. Для дополнительной безопасности включим Require Client Certificate, в этом случае сервер будет проверять сертификат клиента на принадлежность к цепочке сертификатов локального CA. Затем укажем параметры шифрования: Auth - безальтернативно sha1, Cipher - здесь есть возможность выбора, для роутеров с аппаратной поддержкой AES следует выбирать шифры только из этого семейства, однако чем сильнее шифр - тем больше он нагружает оборудование. В терминале эти же действия выполняются командами:\n1/interface ovpn-server server 2set auth=sha1 certificate=ovpn-server cipher=aes256 default-profile=ovpn enabled=yes require-client-certificate=yes Также не забудьте разрешить входящие подключения к вашему OpenVPN серверу. Откроем IP - Firewall и добавим правило: Chain - input, Protocol - tcp, Dst. Port - 1194. Действие можно не указывать, так как по умолчанию применяется accept. В терминале выполните:\n1/ip firewall filter 2add action=accept chain=input dst-port=1194 protocol=tcp Данное правило должно располагаться выше запрещающего в цепочке INPUT. На этом настройка OpenVPN сервера на базе роутера Mikrotik закончена.\nНастройка OpenVPN клиента на роутере Mikrotik Прежде всего закачаем на устройство файл сертификатов в формате PKCS12, который мы экспортировали на сервере. Для этого перейдем в System - Certificate и воспользуемся кнопкой Import, в открывшемся окне укажем файл сертификата и парольную фразу, которую мы установили при экспорте. В консоли выполните:\n1/certificate 2import file-name=mikrotik.p12 passphrase=12345678 В результате у вас появятся два сертификата: сертификат клиента с закрытым ключом, о чем говорит флаг KT, и корневой сертификат удостоверяющего центра с флагом LAT (K - означает наличие ключа). Запомним наименование сертификатов, либо переименуем их. Затем перейдем в PPP - Interface и создадим новый интерфейс типа OVPN Сlient. В поле Connect To указываем адрес или FQDN-имя вашего OpenVPN сервера, Port - 1194, Mode - ip. Ниже указываем учетные данные, созданные для этого пользователя на сервере в полях User и Password, еще ниже указываем параметры шифрования: Auth - sha1, Cipher - аналогично тому, что вы указали на сервере. В поле Certificate выберите сертификат клиента, флаг Verify Server Certificate следует снять. В терминале следует выполнить:\n1/interface ovpn-client 2add certificate=mikrotik.p12_0 cipher=aes256 connect-to=192.168.3.115 name=ovpn-out1 password=123 user=mikrotik Если все было сделано правильно, то соединение будет установлено сразу как вы создадите интерфейс.\nЧтобы клиенты сети за клиентом имели доступ в сеть за сервером и наоборот необходимо настроить маршрутизацию. Перейдем в IP - Routes и добавим новый маршрут. В поле Dst. Address укажем сеть за сервером, в нашем случае это 192.168.186.0/24, в поле Gateway укажем интерфейс нашего OpenVPN подключения - ovpn-out1. Либо выполните команду:\n1/ip route 2add distance=1 dst-address=192.168.186.0/24 gateway=ovpn-out1 Теперь перейдем на сервер и посмотрим каким образом выглядит подключение данного клиента. Как видим, был создан динамический интерфейс ovpn-mikrotik, настраивать маршрутизацию с таким интерфейсом нельзя, так как маршрут \u0026quot;сломается\u0026quot; при отключении клиента. Поэтому создадим для этого клиента постоянный интерфейс. Перейдем в Interfaces и создадим новый интерфейс типа OVPN Server Binding. В настройках укажем имя, рекомендуется давать интерфейсам понятные имена, Name - ovpn-mikrotik, в поле User - укажем пользователя, подключение которого будет привязано к этому интерфейсу - mikrotik. Это же можно сделать командой:\n1/interface ovpn-server 2add name=ovpn-mikrotik user=mikrotik После чего можно добавить на сервере маршрут к сети за клиентом, настройки здесь аналогичные, Dst. Address - сеть за клиентом, Gateway - интерфейс OpenVPN подключения. В нашем случае 192.168.111.0/24 - сеть за клиентом. В терминале следует выполнить:\n1/ip route 2add distance=1 dst-address=192.168.111.0/24 gateway=ovpn-mikrotik После чего можем проверить связь. Узлы различных сетей должны видеть друг друга.\nНастройка стандартного клиента OpenVPN на ПК Немного изменим задачу, будем считать, что у нас есть ноутбук сотрудника с установленным клиентом OpenVPN, которому необходимо обеспечить доступ в корпоративную сеть через OpenVPN сервер на роутере Mikrotik. Будем считать, что OpenVPN установлен в C:\\OpenVPN, а для хранения ключей используется директория C:\\OpenVPN\\keys.\nПрежде всего разместим файл сертификатов в формате PKCS12 в директории для хранения ключей, а также создадим файл с учетными данными C:\\OpenVPN\\auth.cfg и разместим в нем в разных строках логин и пароль:\n1win10 2123 Где win10 - имя пользователя, 123 - пароль которые мы задали для этой учетной записи на сервере.\nТеперь создадим файл C:\\OpenVPN\\keypass.cfg в котором разместим парольную фразу для сертификата:\n112345678 За основу конфигурационного файла мы примем стандартный шаблон client.ovpn, который расположен в C:\\OpenVPN\\sample-config. Его следует скопировать C:\\OpenVPN\\config, ниже будут приведены только ключевые опции, а также те, которые мы изменяем или добавляем.\nУкажем, что у это клиент, тип туннеля - tun и протокол tcp:\n1client 2dev tun 3proto tcp Адрес и порт сервера:\n1remote 192.168.3.115 1194 Убедимся в наличии опций:\n1persist-key 2persist-tun Затем заменим весь блок с указанием путей к ключам и сертификатам:\n1ca ca.crt 2cert client.crt 3key client.key единственной строкой:\n1pkcs12 C:\\\\OpenVPN\\\\keys\\\\win10.p12 где укажем путь к нашему файлу сертификатов в формате PKCS12.\nНиже добавим две строки с указанием, где брать учетные данные для дополнительной аутентификации и парольную фразу:\n1auth-user-pass C:\\\\OpenVPN\\\\auth.cfg 2askpass C:\\\\OpenVPN\\\\keypass.cfg Проверим наличие опции:\n1remote-cert-tls server и закомментируем:\n1#tls-auth ta.key 1 Сразу добавим маршрут к сети за сервером:\n1route 192.168.186.0 255.255.255.0 10.8.8.1 Укажем выбранный нами на сервере шифр:\n1cipher AES-256-CBC и отключим сжатие:\n1#comp-lzo Теперь можно пробовать подключаться. Если все сделано правильно, то клиент подключится к серверу и ему будут доступны ресурсы сети за сервером. Никаких дополнительных настроек на сервере производить не нужно.\nЕсли за данным ПК у вас находится сеть и нужно обеспечить связь между сетями, то нужно выполнить настройки на сервере аналогичные предыдущей части: создать интерфейс для подключения клиента и добавить маршрут для сети за клиентом. На клиентском ПК не забудьте включить службу маршрутизации.\nДанная инструкция также полностью подходит для ПК на Linux, вам потребуется только откорректировать пути в конфигурационном файле и раскомментировать в нем опции:\n1user nobody 2group nogroup Как видим, настройка OpenVPN сервера на роутерах Mikrotik достаточно проста, но требует учитывать особенности и ограничения реализации этой технологии в RouterOS.\n","id":"7c83a509a494f34170f3e473fa4cf0a5","link":"https://interface31.ru/post/nastroyka-openvpn-servera-na-routerah-mikrotik/","section":"post","tags":["MikroTik","OpenVPN","VPN","Сетевые технологии"],"title":"Настройка OpenVPN-сервера на роутерах Mikrotik. RouterOS 6"},{"body":"Пользователи окружают нас всюду, в современных информационных системах это одно из ключевых понятий, вокруг которого строится вся система разграничения прав доступа и безопасности. Поэтому умение управлять пользователями и группами - это один из основных навыков необходимых любому администратору. Базовые механизмы управления пользователями и доступом в Linux достаточно просты и некоторым могут показаться грубыми, но нельзя осваивать более сложные механизмы, не обладая базовыми навыками, поэтому давайте начинать изучение этой непростой темы с самых ее азов.\nЧтобы понять современную систему пользователей в Linux сделаем небольшой экскурс в историю. Как известно, Линус Торвальдс создавал ОС по образу и подобию UNIX и поэтому в основе Linux лежат многие простые и изящные решения этой системы. Одна из замечательных абстракций UNIX - это все есть файл, т.е. файлами также являются устройства, процессы, сетевые сокеты и т.д. и т.п. Это позволяет делать при помощи достаточно простых инструментов довольно сложные вещи, например, чтобы сделать образ диска достаточно просто скопировать файл блочного устройства в файл образа, а для работы с последовательным портом достаточно прочитать или записать что-либо в файл устройства ввода-вывода.\nУ каждого файла обязательно есть владелец и группа, которой он принадлежит. На этой схеме строится классическая система прав в Linux и UNIX: владелец, группа и остальные. Более подробно о ней вы можете прочитать в предыдущих частях нашего цикла:\nLinux - начинающим. Часть 4. Работаем с файловой системой. Теория Linux - начинающим. Часть 4. Работаем с файловой системой. Практика Таким образом пользователи и группы определяют доступ не только к файлам в привычном нам понимании, но и ко всему спектру объектов операционной системы: процессам, устройствам, сокетам. Просто запомните, что все есть файл, а каждый файл имеет владельца и группу.\nУсловно всех пользователей можно разделить на специальных, служебных и обычных, но повторимся еще раз - деление это условное, все различие между ними заключается в предоставляемых им правах и некоторых иных возможностях. Чтобы получить список пользователей системы откроем файл /etc/passwd: Давайте рассмотрим его структуру подробнее. Каждая строка соответствует одному пользователю и имеет следующий формат:\n1имя пользователя:пароль:UID:GID:комментарий:домашняя директория:командная оболочка С именем пользователя все понятно, а вот второй параметр может вызвать некоторое недоумение. Когда-то давно пароли хранились в открытом виде, о чем намекает само название файла, но затем от этой практики отказались и современные системы не хранят пароли в каком-либо виде вообще, хранится только сформированный по специальному алгоритму хеш, такие пароли в Linux называются затененными (shadow). Для такого пароля во втором поле всегда ставится символ x.\nUID (User identifier) и GID (Group identifier) - числовые идентификаторы пользователя и группы. Важно понимать, что система различает пользователей именно по UID, а не по наименованиям и многие системы имеют возможность создать несколько пользователей с одинаковым UID, с точки зрения системы это будет один и тот же пользователь.\nЭтим часто пользуются злоумышленники, один из типовых сценариев проникновения предусматривает создание пользователя с неприметным именем, но идентификаторами root, что позволяет действовать в системе от имени суперпользователя не привлекая ненужного внимания.\nВ реальных сценариях данную возможность использовать не следует, так как наличие таких пользователей может вызвать конфликты в системе. Например, Gnome 3 в Debian 10 просто отказался загружаться после того, как мы создали такого пользователя.\nВ поле комментарий можно написать все что угодно, определенного формата в современных системах нет, но исторически данное поле называетсяGECOS и подразумевает перечисление через запятую следующих опций:\n1Полное имя пользователя, адрес офиса или домашний адрес, рабочий телефон, домашний телефон Следующие два поля указывают на домашнюю директорию пользователя и его командную оболочку. Разным пользователям можно назначить разные командные оболочки, скажем, ваш коллега предпочитает zsh, то вы можете без проблем назначить ему любимую оболочку.\nРассмотрение командных оболочек Linux выходит за рамки данной статьи, поэтому мы оставим эту тему, но расскажем о двух специализированных \u0026quot;оболочках\u0026quot;, которые указывают, когда пользователю запрещен интерактивный вход в систему. Это обычно применяется для служб и пользователей от имени которых исполняются некоторые скрипты. Даже если такая учетная запись будет скомпрометирована войти в консоль с ней не удастся.\nОбычно для этой цели используется:\n1/usr/sbin/nologin или просто\n1/sbin/nologin В современных системах директория /sbin является символической ссылкой на /usr/sbin. Реже используется \u0026quot;оболочка\u0026quot;:\n1/bin/false Разница между ними заключается в том, что /bin/false просто запрещает вход в систему, а /sbin/nologin выдает сообщение:\n1This account is currently not available. Мы думаем, что следующая команда известна каждому, а некоторым - печально известна:\n1rm -rf / Внимание! Предупреждение! Данная команда уничтожает корневую файловую систему, что приводит к ее полной неработоспособности и потере всех данных. Приведена сугубо в качестве примера.\nСовременные дистрибутивы по умолчанию блокируют выполнение явно деструктивных команд, но не запрещают их, все это выглядит как предупреждение: \u0026quot;так делать опасно, но если ты настаиваешь...\u0026quot; С учетом вышесказанного есть ряд сложившихся правил работы с этим пользователем. Во-первых, не следует выполнять из-под учетной записи суперпользователя повседневную работу. Для разовых действий используйте sudo, для административных работ допустимо временно повышать привилегии с последующим обязательным выходом. Во-вторых, доступ к данной учетной записи должен быть тщательно ограничен, потому как утеря контроля над root равносильно полной потере контроля над системой.\nХорошая практика - сделать учетную запись root недоступной для интерактивного входа (как в Ubuntu) используя для повышения прав исключительно sudo, особенно это касается серверов с доступом к SSH из сети интернет.\nПользователь nobody (никто) - имеет наибольший идентификатор - 65534 и не может являться владельцем ни одного файла в системе, не состоит ни в одной привилегированной группе и не имеет никаких полномочий кроме стандартных. Используется для запуска от его имени процессов с низким уровнем доверия, чтобы ограничить их доступ к системе в случае возможной компрометации. Фактически к nobody будут всегда применяться права для \u0026quot;остальных\u0026quot; и при стандартных наборах привилегий 644 на файлы и 755 на директории он будет иметь возможность исключительно чтения и просмотра содержимого каталогов. Для чувствительных конфигурационных файлов, ключей и сертификатов используются более ограниченные наборы прав 640 или 600, к таким файлам nobody доступа не имеет.\nСледующая условная группа - системные пользователи, которые используются для запуска служб и доступа к устройствам, например, www-data для веб-сервера или systemd-network для управления сетью через systemd. Первоначально для них выделялись идентификаторы от 1 до 100, но в связи с большим количеством служб в современных системах этот диапазон расширен до 499 в RHEL и производных от него, и до 999 в системах основанных на Debian.\nСуществует соглашение, что этот диапазон идентификаторов используется только системными службами и в нем не должно быть обычных пользователей. Однако никто не мешает назначить службе UID выше 1000, а пользователю менее 999, но никаких последствий это иметь не будет и никак не скажется на привилегиях. Это разделение чисто условное и предназначено для повышения удобства администрирования. Встретив в незнакомой системе пользователя с UID до 999, вы будете с большой долей вероятности предполагать, что это служба.\nКроме того, для многих стандартных пользователей идентификаторы зарезервированы, так во всех Debian и основанных на нем дистрибутивах www-data имеет UID и GID - 33, а proxy - 13. Это удобно, скажем вместо:\n1chown -R www-data:www-data /var/www быстрее набрать:\n1chown -R 33:33 /var/www Но это тоже условность, скажем в отсутствии установленного веб-сервера мы можем назначить \u0026quot;зарезервированный\u0026quot; UID другому пользователю без каких-либо последствий, веб-сервер при установке возьмет ближайший свободный UID, но такие действия безусловно являются дурным тоном.\nМногое стороннее ПО, например, сервер 1С и сборки PostgresPro занимают ближайшие свободные идентификаторы с верхнего конца диапазона: 999, 998 и т.д.\nИз всего изложенного выше вы должны понимать, что система определяет пользователей по идентификаторам, а не по именам, а присвоение идентификаторов регулируется определенными правилами, но никакие из них, кроме двух специальных (0 для root и 65534 для nobody), не дают каких-либо дополнительных прав или привилегий.\nДля более гибкого управления пользователями предназначены группы, они позволяют объединять пользователей по любому произвольному принципу и назначать им дополнительные права. Если мы хотим разрешить пользователю повышение прав, то мы включаем его в группу sudo, при этом мы всегда можем легко узнать, кто именно обладает такой возможностью, достаточно посмотреть участников группы.\nПосмотреть список групп можно в файле /etc/group Он имеет следующий формат:\n1наименование группы:пароль:GID:пользователи группы Большая часть полей аналогична записям в файле /etc/passwd и мы не будем подробно останавливаться на них. Разберем последний параметр - пользователи группы. При создании пользователя в Linux, если не указано иное, ему автоматически создается основная группа с повторяющим имя названием. Такой пользователь в последнем поле не указывается. Это хорошо видно на скриншоте выше. Но мы можем создать и отдельную группу, которая первоначально не содержит пользователей, и она будет иметь точно такой же вид записи с пустым последним полем.\nПосле того как мы добавим пользователей в группу они будут перечислены в последнем поле через запятую. Давайте внимательно посмотрим на скриншот и проанализируем членство созданного при установке пользователя andrey в дополнительных группах. Практически все они связанны с доступом к оборудованию или дают возможность использовать некоторые системные механизмы, скажем группа plugdev предоставляет возможность монтировать съемные устройства.\nВ современных системах, при работе в графических средах доступ к оборудованию часто предоставляется механизмами рабочей среды, которые не используют разделение прав на основе членства пользователя в соответствующих группах. Поэтому, если вы используете стандартные механизмы дистрибутива, то для полноценного использования оборудования вам нет необходимости включать пользователя в дополнительные группы. Однако это может потребоваться при работе в консоли или при использовании нестандартных или специализированных устройств в графической среде.\nТеперь о паролях, как мы уже говорили, современные системы не хранят пароли в открытом виде, а используют для этого хеши - односторонние криптографические функции, при вводе пароля система вычисляет его хеш и сравнивает с уже сохраненным, если хеши совпадают - то пароль введен верно. Такие пароли в Linux называются \u0026quot;затененными\u0026quot; и хранятся в отдельных файлах. Для пользователей это файл /etc/shadow: Синтаксис этого файла предусматривает девять полей, содержащих следующую информацию:\nИмя пользователя Хеш пароля, если поле содержит ! или *, это означает, что учётная запись заблокирована и этот пользователь не сможет войти в систему. Дата последней смены пароля -- Количество дней, прошедших с 1 января 1970 г. Число дней, которое должно пройти до смены пароля -- Минимальный срок (в днях), который должен пройти, прежде чем пользователь сможет сменить пароль. Число дней, после которого необходимо сменить пароль -- Максимальный срок (в днях), по истечении которого необходимо сменить пароль. Число дней до предупреждения о необходимости смены пароля -- Число дней до истечения срока действия пароля, в течение которых пользователь получает предупреждение об окончании его срока действия. Число дней до отключения учётной записи -- Число дней после окончания срока действия пароля до отключения учётной записи. Дата отключения учетной записи -- Количество дней, прошедших с 1 января 1970 г. Зарезервированное поле Наибольший интерес представляет второе поле, содержащее хеш пароля, оно имеет структуру:\n1$ID$SALT$ENCRYPTED Где ID - применяемый тип шифрования, могут использоваться следующие значения:\n$1 - MD5, самый слабый хеш, в настоящее время не используется $2 - Blowfish, использовался в BSD-системах $5 - SHA-256 $6 - SHA-512 В современных системах используется наиболее стойкий хеш SHA-512.\nСледующая часть строки - SALT - это соль (модификатор), генерируется случайно для каждого пользователя и используется для увеличения стойкости пароля. Хеш - это односторонняя криптографическая функция, которая позволяет быстро вычислить результат, но сделать обратное преобразование хеша невозможно. Единственный возможный вариант атаки - это подбор. Существуют уже вычисленные значения хеша для наиболее часто используемых сочетаний и словарных слов, т.н. радужные таблицы, с их помощью атака на хеш производится поиском по уже готовой базе.\nСоль позволяет исключить атаки при помощи заранее вычисленных значений и при ее случайном значении позволяет скрыть наличие у пользователей одинаковых паролей. На скриншоте выше пользователям ivan и maria были установлены одинаковые пароли, но за счет различной соли они имеют различный хеш.\nНу и наконец ENCRYPTED - это, собственно, хеш. Кроме того, данное поле может содержать спецсимволы: *, ! и !!. Все они обозначают, что учетная запись заблокирована для входа с паролем, но не запрещают иные варианты входа (по SSH-ключу). Символ * обычно используется для системных учетных записей, которым вход в систему запрещен, ! ставится для записей пользователей без пароля или заблокированных администратором (тогда ! ставится перед содержимым поля). Иногда используется символ !!, означающий что данной учетной записи никогда не присваивался пароль (также для такой записи может использоваться просто !).\nДля групп используется аналогичный по назначению файл /etc/gshadow Его структура более проста, а поля имеют следующее назначение:\nИмя группы Хеш пароля, если пароль установлен, не члены группы могут войти в нее, выполнив команду newgrp и указав пароль. Если это поле содержит * или !, ни один пользователь не сможет войти в неё указав пароль. Администраторы группы -- Перечисленные здесь (через запятую) члены группы могут добавлять или удалять членов группы с помощью команды gpasswd. Члены группы -- Здесь перечисляются (через запятую) обычные члены группы, не администраторы. Поле пароля также может содержать спецсимволы и также как для пользователей символ * используется преимущественно для системных групп, а ! для групп пользователей. По умолчанию пароли групп отсутствуют и вход в них заблокирован, т.е. никто, кроме членов группы, не может войти в группу, а членам пароль не нужен.\nФайлы shadow и gshadow содержат важную учетную информацию и должны быть хорошо защищены. Владельцами этих файлов является root:shadow и права доступа для них установлены как 640. Это означает, что вносить изменения в них может только владелец - root, а читать только члены специальной группы shadow. Это дополнительный уровень безопасности, позволяющий исключить доступ к этим файлам добавлением пользователя в группу root (что даст доступ на чтение к другим конфигурационным файлам). Так как данные о пользователях являются критичными для системы, то указанные выше файлы крайне не рекомендуется изменять вручную, а для управления пользователями и группами следует использовать специальные утилиты, о которых мы поговорим в следующей части. При любом изменении информации в них штатными инструментами система создает резервную копию предыдущей версии файла с добавлением в конце имени символа ~:\n1passwd 2passwd~ Поэтому даже если что-то пойдет не так, всегда есть возможность (при условии физического доступа к системе) восстановить состояние этих файлов на момент перед внесением изменений в конфигурацию. В качестве примера приведем следующую ситуацию: вы случайно удалили единственного пользователя с административными правами из группы sudo, root при этом заблокирован, после завершения сеанса в системе не останется ни одного привилегированного пользователя.\n","id":"383ab8f34901325a59fa2d121c31aced","link":"https://interface31.ru/post/linux-nachinayushhim-chast-6-upravlenie-pol-zovatelyami-i-gruppami/","section":"post","tags":["Debian","Linux","Ubuntu","Ubuntu Server"],"title":"Linux - начинающим. Часть 6. Управление пользователями и группами. Теория"},{"body":"В одной из наших прошлых статей мы поднимали вопрос надежности SSD, где делали упор на такие параметры, как гарантированный объем записи - TBW и допустимое количество перезаписей в день - DWPD. Для оценки оставшегося ресурса вашего накопителя нужно знать несколько параметров: суммарный записанный объем данных и суммарное время работы, что позволит вычислить необходимые показатели и оценить режим работы диска. В Windows это сделать достаточно просто - к вашим услугам масса утилит любой сложности, но что делать пользователям Linux? Сегодня мы расскажем об этом.\nСледует понимать, что любая утилита, даже от производителя диска, не обладает никакими \u0026quot;тайными знаниями\u0026quot; и всего лишь выводит в удобочитаемой форме некоторые из параметров S.M.A.R.T. накопителя. Но не все так просто, в отличие от набора атрибутов S.M.A.R.T. для жестких дисков, твердотельные накопители не имеют единого стандарта и многое зависит от конкретного производителя. Однако, кроме самых запущенных случаев с китайскими полуподвальными \u0026quot;производителями\u0026quot;, вся нужная информация так или иначе в S.M.A.R.T. содержится, поэтому будем учиться ее получать.\nПрежде всего следует установить утилиту для работы с атрибутами S.M.A.R.T., если вы, конечно, не сделали этого раньше:\n1apt install smartmontools Теперь выясним какие дисковые устройства установлены в вашей системе, для этого выполните:\n1lsblk В выводе нас интересуют только устройства с типом disk, в нашем случае это sda: 1smartctl -a /dev/sda где /dev/sda - имя нашего диска, которое мы выяснили на предыдущем шаге.\nВ полученном выводе прежде всего изучим общие данные о диске, в частности обратим внимание на размер логического сектора: Потом спустимся немного вниз и изучим таблицу S.M.A.R.T.-атрибутов: Колонки Value, Worst и Threshold содержат значения каждого из показателей в \u0026quot;попугаях\u0026quot;: Value - текущее значение, Worst - наихудшее за все время. RAW_value - колонка с абсолютными значениями показателя. Атрибуты могут быть двух типов: Old_age - это параметры, которые просто растут (изменяются) со временем, критический порог отсутствует, например, это время работы диска в часах; Pre-fail - это параметры имеющие критическое значение, которое указано в колонке Threshold и приближение к ним указывает на предаварийное состояние диска. На скриншоте выше к таким параметрам относится Available_Reservd_Space - доступная резервная область, снижение значения которой указывает на износ диска.\nНо вернемся к показателям ресурса. Western Digital заботится о своих пользователях и выводит подробную информацию, в частности атрибут 241 Total_Host_GB_Written содержит количество записанной на диск информации в гигабайтах, а атрибут 9 Power_On_Hours хранит количество отработанных часов.\nТакже интересно изучить показатели 233 NAND_GB_Written_TLC и 234 NAND_GB_Written_SLC, где показано количество записи в TLC и SLC ячейки соответственно. Как видим, работа SLC-кеша у современных дисков построена эффективно, количество данных, записанных непосредственно в TLC крайне мало. Второй момент - это мультипликация записи, как мы уже знаем, нельзя просто так записать данные в занятую ячейку, ее предварительно нужно очистить, но очистить отдельную ячейку также невозможно, это можно сделать только для блока, поэтому на одну операцию записи внутри SSD может потребоваться несколько, что мы и видим в данном случае.\nНо для оценки износа мы всегда должны принимать объем данных, записанный хостом (241 Total_Host_GB_Written), так как именно на это значение ориентируется производитель, указывая TBW, внутренние параметры представляют в основном академический интерес.\nК сожалению, не все производители включают в S.M.A.R.T. подробные и удобочитаемые данные, во многих случаях вы найдете тот же самый атрибут, но несколько в ином виде 241 Total_LBAs_Written. Это наследство жестких дисков, RAW-значение этого атрибута показывает количество записанных LBA-секторов (ниже показан S.M.A.R.T. от HDD): Но даже этой информации может не быть, к примеру Toshiba A100 отличается предельной лаконичностью, сообщить еще что-либо кроме времени работы, количества включений и температуры посчитали излишним: Но не будем впадать в уныние, получим расширенный набор информации из S.M.A.R.T.:\n1smartctl -x /dev/sda В этот раз информации будет гораздо больше, в ней необходимо найти раздел Device Statistics в котором содержится искомый параметр Logical Sector Written, значение которого аналогично 241 Total_LBAs_Written и показывает количество записанных LBA-секторов: Для дальнейших расчетов нам нужно знать размер логического сектора, его можно получить из общей информации о диске в самом начале вывода: А дальше нам поможет несложная математика уровня \u0026quot;дружим с калькулятором\u0026quot;, для получения суммарного объема записанных данных умножим количество секторов на размер сектора:\n1Total Host Written = Logical Sector Written * Sector Size Для размера сектора в 512 байт, как в нашем случае, результат также будет в байтах, для размера сектора в 4 КБ - в килобайтах. Для перевода в единицы более высокого порядка результат нужное количество раз нужно разделить на 1024:\n1Total Host Written KB = Total Host Written / 1024 2Total Host Written MB = Total Host Written KB / 1024 3Total Host Written GB = Total Host Written MB / 1024 Для показанного выше диска путем таких несложных вычислений мы получим значение:\n1Total Host Written GB = 83290439828 * 512 / 1024 /1024 /1024 = 33 778 ГБ Теперь можно оценить ресурс и условия эксплуатации диска, для данной модели TBW = 30 TB, а DWPD = 0.23. Как видим, гарантированный ресурс записи диск выработал, общее время работы составило 979 дней или 2,68 года, т.е. немного менее гарантийного срока. Ежедневный объем записи на диск составил 34,5 ГБ, а реальный DWPD равен 0,29. В целом условия эксплуатации диска можно назвать удовлетворительными, но на замену рекомендуется выбрать модель с более высоким TBW.\nКак видим, ничего сложного в получении информации об оставшемся ресурсе SSD в Linux нет, даже в тех случаях, когда такую информацию производитель явно в S.M.A.R.T. не выводит, максимум что вам понадобится - это калькулятор.\n","id":"2619b3d378ec237456eb78ced3e57d5c","link":"https://interface31.ru/post/kak-uznat-ostavshiysya-resurs-ssd-v-linux/","section":"post","tags":["Debian","Linux","SMART","SSD","Ubuntu","Ubuntu Server","Диагностика"],"title":"Как узнать оставшийся ресурс SSD в Linux"},{"body":"OpenVPN - популярная технология для создания защищенных частных сетей (VPN), использующих аутентификацию и шифрование на основе протокола SSL/TLS. Для упрощения процедуры создания необходимых ключей и сертификатов традиционно используется утилита Easy-RSA, которая позволяет легко управлять локальным центром сертификации (CA) инфраструктуры открытых ключей (PKI). Сегодня мы поговорим о работе с новой версией утилиты Easy-RSA 3, которая серьезно отличается по синтаксису от используемой ранее Easy-RSA 2 и входит в состав новых дистрибутивов Debian и Ubuntu.\nНа первый взгляд может показаться, что разработчики Easy-RSA серьезно все поменяли, но это не так, если вы понимаете, как устроена инфраструктура открытых ключей, то вам будет ясно, что работа утилиты изменилась только по форме, но не по сути. Она стала более целостной и простой в использовании, но в тоже время приобрела ряд новых функции, свойственных более \u0026quot;взрослым\u0026quot; продуктам. В настоящий момент Easy-RSA 3 входит в состав Debian 10, а также Ubuntu 18.10 и новее.\nУстановка Easy-RSA и создание центра сертификации Для установки Easy-RSA 3 выполним:\n1apt install easy-rsa После чего убедимся, что установлена именно третья версия утилиты:\n1dpkg -l easy-rsa Обычно затем директорию с easy-rsa копируют в конфигурационную папку OpenVPN, но на наш взгляд CA лучше располагать отдельно, поэтому мы скопируем директорию просто в /etc, однако это ни не что не влияет, и вы можете поступить по своему разумению.\n1cp -r /usr/share/easy-rsa /etc Затем изменим рабочую директорию на скопированную нами папку:\n1cd /etc/easy-rsa Если вас устраивают параметры по умолчанию, то следующий шаг можно пропустить и сразу перейти к созданию инфраструктуры PKI. Однако мы советуем потратить немного времени на тонкую настройку вашего CA.\nПрежде всего скопируем шаблон файла настроек:\n1cp vars.example vars и откроем файл vars на редактирование. Строки вида**#set_var** содержат значения по умолчанию, для их именения строку нужно раскомментировать и указать собственное значение. Начнем с опции EASYRSA_DN, она предусматривает два режима: упрощенный cn_only, при котором сертификат содержит только CN (имя того, кому выдан сертификат) и традиционный org, при котором заполняются все реквизиты организации. Для OpenVPN можно использовать любой режим. Мы установим традиционный:\n1set_var EASYRSA_DN \u0026#34;org\u0026#34; После чего раскомментируйте и заполните блок ниже своими данными (в примере указаны наши):\n1set.var EASYRSA_REQ_COUNTRY \u0026#34;RU\u0026#34; 2set.var EASYRSA_REQ_PROVINCE \u0026#34;31\u0026#34; 3set.var EASYRSA_REQ_CITY \u0026#34;BELGOROD\u0026#34; 4set.var EASYRSA_REQ_ORG \u0026#34;Interface LLC\u0026#34; 5set_var EASYRSA_REQ_EMAIL \u0026#34;admin@example.org\u0026#34; 6set.var EASYRSA_REQ_OU \u0026#34;IT\u0026#34; Заметьте, что если вы оставили cn_only, то редактировать вышеуказанные опции не имеет смысла.\nПараметр EASYRSA_KEY_SIZE указывает размер ключа, на сегодняшний день безопасным считается размер начиная с 2048, если вы ставите на первое место безопасность, то можете увеличить его до 3072 или 4096. Если криптографическая стойкость не играет роли, например, туннель будет использован для доступа в интернет и предполагается использование слабых устройств, то можно уменьшить размер ключа до 1024.\nОпции EASYRSA_CA_EXPIRE и EASYRSA_CERT_EXPIRE задают срок действия корневого сертификата CA и сертификатов пользователей (сервера и клиентов), их значения установлены в днях как 3650 (10 лет) и 1080 (5 лет), опция EASYRSA_CERT_RENEW задает количество дней до истечения сертификата, когда становится доступным его продление, по умолчанию это 30 дней. При необходимости вы можете изменить эти значения. Сохраним внесенные изменения. Теперь инициализируем наш CA и выпустим корневую пару ключей. Обратите внимание, что данные действия следует выполнять единожды, повторное выполнение указанных команд уничтожит существующий CA и потребует повторного создания всех ключей и сертификатов.\n1./easyrsa init-pki Данная команда инициализирует новую структуру центра сертификации с очисткой всех данных. После чего создадим файл для генерации случайных данных:\n1touch pki/.rnd и активируем наш CA:\n1./easyrsa build-ca При создании закрытого ключа центра сертификации вам будет предложено ввести пароль, не следует пренебрегать этой возможностью, так как закрытый ключ - основа вашей инфраструктуры открытых ключей и его компрометация приведет к компрометации всех выпущенных ключей и сертификатов. Также не забудьте указать собственное наименование центра сертификации в опции Common Name. После выполнения этих команд будет выполнено создание структуры директорий CA, публичный сертификат центра сертификации ca.crt вы сможете найти в директории pki, а закрытый ключ ca.key в pki/private. Закрытый ключ является секретным и не при каких обстоятельствах не должен покидать свое расположение и тем более не должен передаваться по открытым каналам связи, доступ третьих лиц к закрытому ключу также следует ограничить.\nТакже не забудем сформировать файл параметров Диффи-Хеллмана dh.pem, он также будет расположен в директории pki:\n1./easyrsa gen-dh На этом создание центра сертификации (CA) можно считать законченным.\nСоздание ключа и сертификата для сервера В Easy-RSA 3 все \u0026quot;по-взрослому\u0026quot;, сначала нам нужно создать запрос на сертификат:\n1./easyrsa gen-req ovpn-server nopass где ovpn-server - имя вашего сервера, nopass означает, что закрытый ключ следует создать без пароля. При выполнении данной команды будет создан запрос на сертификат и сгенерирован закрытый ключ сервера ovpn-server.key, который будет располагаться в pki/private. Закрытый ключ является секретным и не должен передаваться по открытым каналам связи и доступ к нему также должен быть ограничен.\nДля выпуска сертификата выполните:\n1./easyrsa sign-req server ovpn-server Опция server обозначает выпуск сертификата для сервера. Для подтверждения выпуска вам нужно будет явно выразить свое согласие указав yes в ответ на соответствующий запрос, любый иные действия приведут к отмене действия. Затем потребуется ввести пароль закрытого ключа центра сертификации. Выпущенные сертификаты будут располагаться в pki/issued.\nТеперь скопируем необходимые сертификаты и ключи в конфигурационную директорию OpenVPN, предварительно создав там папку keys:\n1mkdir /etc/openvpn/keys 2cp pki/ca.crt pki/dh.pem /etc/openvpn/keys 3cp pki/private/ovpn-server.key pki/issued/ovpn-server.crt /etc/openvpn/keys Дальнейшая настройка OpenVPN-сервера ничем не отличается от описанной нами ранее, и вы можете воспользоваться любой нашей инструкцией.\nСоздание ключа и сертификата для клиента Точно также начнем с формирования запроса на сертификат:\n1./easyrsa gen-req ivanov_ivan nopass где ivanov_ivan - имя клиента, а nopass предписывает создать закрытый ключ без пароля. Мы рекомендуем давать клиентам осмысленные имена, чтобы потом не пришлось долго гадать, кто именно скрывается под псевдонимом типа client123.\nНа основании запроса выпустим сертификат:\n1./easyrsa sign-req client ivanov_ivan В данном случае используется опция client для указания формирования клиентского сертификата, вам также потребуется явно подтвердить действие и указать пароль от закрытого ключа CA.\nДля передачи на клиент вам потребуется скопировать в доступную пользователю директорию закрытый ключ, сертификат клиента и сертификат CA. В нашем случае файлы будут скопированы в домашнюю директорию пользователя andrey.\n1cp pki/ca.crt pki/private/ivanov_ivan.key pki/issued/ivanov_ivan.crt /home/andrey Затем изменим их владельца, чтобы файлы можно было скопировать, подключившись к системе с правами пользователя:\n1chown andrey:andrey ca.crt ivanov_ivan.key ivanov_ivan.crt Закрытый ключ пользователя также является секретным и следует исключить его передачу по открытым каналам.\nСписки отзыва и отзыв сертификатов Если вы используете OpenVPN для организации связи между офисами или доступа в интернет, то вряд ли у вас возникнет потребность в отзыве сертификата. Другое дело, если вы предоставляете удаленный доступ к корпоративной сети с домашних ПК сотрудников, подрядчикам или аутсорсерам. Здесь может возникнуть масса ситуаций, когда доступ отдельных лиц следует прекратить: сотрудник уволился, истек срок договора с подрядчиком, сменили аутсорсера и т.д. и т.п.\nПрежде всего создадим список отозванных сертификатов (CRL):\n1./easyrsa gen-crl Затем создадим символьную ссылку на список в директории с ключами OpenVPN:\n1ln -s /etc/easy-rsa/pki/crl.pem /etc/openvpn/keys/ И внесем в конфигурационный файл сервера OpenVPN следующую строку:\n1crl-verify keys/crl.pem После чего сервер OpenVPN потребуется перезапустить.\nТеперь отзовем какой-либо сертификат:\n1./easyrsa revoke horns_and_hooves Где horns_and_hooves - имя сертификата клиента (СN), после отзыва следует повторно опубликовать список отозванных сертификатов:\n1./easyrsa gen-crl Посмотреть список сертификатов можно командой:\n1cat pki/index.txt Действующие сертификаты имеют статус V в начале строки, отозванные - R.\nКак видим, работа с Easy-RSA 3 не представляет каких-либо сложностей и надеемся, что данная статья будет вам полезна.\n","id":"b6dc0c0c89ac0af8ff92aded523e2fc4","link":"https://interface31.ru/post/sozdanie-klyuchey-i-sertifikatov-dlya-openvpn-pri-pomoshhi-easy-rsa-3/","section":"post","tags":["Debian","Easy-RSA 3","OpenVPN","PKI","Ubuntu Server","VPN","Безопасность"],"title":"Создание ключей и сертификатов для OpenVPN при помощи Easy-RSA 3"},{"body":"То, что SSD стали сегодня основным типом накопителя, уже очевидно: низкие цены и неплохие показатели производительности и надежности не оставляют HDD никаких шансов, прочно вытесняя последние в область хранения \u0026quot;холодных\u0026quot; данных. Рынок твердотельных накопителей сегодня переживает настоящий бум, есть модели на любой вкус и кошелек, как от именитых производителей, так и никому не известных новичков, а от различных аббревиатур и технологий просто идет кругом голова. Что из этого действительно важно, а что представляет обычный маркетинговый ход? Давайте разбираться.\nТипы ячеек: SLC, MLC, TLC, QLC Всем известно, что в основе твердотельных накопителей лежит технология флеш-памяти, минимальной физической единицей которого является ячейка. Ячейки хранят определенный электрический заряд, уровень которого соответствует определенному двоичному значению, в простейшем случае это логический ноль (нет заряда) и логическая единица (есть заряд).\nТакая ячейка называется одноуровневой или SLC (single-level cell), она обладает прекрасными скоростными характеристиками, высокой надежностью и помехоустойчивостью, но имеет один значительный недостаток - высокую стоимость. Это обусловлено тем, что стоимость чипа напрямую зависит от его площади, которая в свою очередь ограничивает количество физических элементов, которые можно разместить на кристалле при текущем технологическом процессе.\nТаким образом имеется некоторая нижняя граница стоимости, перешагнуть которую можно только увеличением количества информации, хранимой в одной ячейке, что достигается использованием нескольких уровней заряда. Четыре уровня заряда позволяют хранить в одной ячейке уже два бита информации, такие ячейки называются многоуровневыми или MLC (multi-level cell), уступая SLC в скорости и надежности, они позволили снизить стоимость готовой продукции и вывести ее на массовый рынок.\nДальнейшее развитие технологий привело к созданию трех и четырехуровневых ячеек: TLC (triple-level cell) и QLC(quad-level cell). При этом требуемое количество уровней заряда растет пропорционально степени двойки, для TLC это 8 уровней, а для QLC - 16. В настоящее время разрабатываются пятиуровневые ячейки - PLC, которым потребуется уже 32 уровня заряда. К чему ведет такое увеличение? Прежде всего к снижению скорости доступа и надежности. Чем больше уровней заряда, тем меньше разница между ними, а следовательно, ниже уровень помехоустойчивости, так как даже небольшой уровень помехи будет способен изменить состояние ячейки, то падать помехоустойчивость также будет кратно степеням двойки. Это в свою очередь потребует дополнительных мер коррекции ошибок, таких как ECC, что будет негативно сказываться на скорости доступа.\nТакже чем больше информации мы храним в ячейках, тем чаще нам потребуется их перезаписывать, а так как технология флеш-памяти позволяет писать только в очищенные ячейки, то будут расти накладные расходы на каждую операцию записи. Ситуация усугубляется еще тем, что в силу конструктивных особенностей NAND-памяти SSD не может очистить отдельно взятую ячейку, а только некоторое минимальное количество - блок.\nФизически каждая запись в ячейку связана с воздействием электронов на слой диэлектрика, которые приводят к необратимым изменениям его структуры, этот процесс называется деградацией и выливается в невозможности сохранения ячейкой постоянного уровня заряда. И чем больше уровней заряда мы храним, тем более критичны требования к его стабильности. Так ячейка, уровень заряда которой может изменяться всего на 10% от максимального уровня уже будет непригодна для QLC, ограниченно годна для TLC, но будет прекрасно работать с MLC, не говоря уже о SLC.\nПроще говоря, чем большее количество уровней заряда мы храним в ячейке - тем выше требования к ее качеству и ниже допустимый порог деградации. На практике это выливается в допустимое количество перезаписей: для SLC оно равно около 100 тыс., для MLC уже 10 тыс., от 3 тыс. до 5 тыс. перезаписей у TLC и около 1 тыс. у QLC.\nНо несмотря на гораздо более низкую надежность именно TLC-память позволила сделать SSD действительно массовым продуктом, тем более что основные пользовательские сценарии не предусматривают постоянной записи данных на диск.\nВ настоящее время MLC-память можно встретить преимущественно в корпоративных моделях дисков и моделях с высокой производительностью, но и там она уже практически уступила место более дешевой TLC. Последняя представляет основной тип памяти для современных дисков, при этом производители неплохо постарались скрыть ее слабые стороны, так низкая скорость доступа компенсируется использованием SLC-кеша, когда часть ячеек накопителя работают как одноуровневые, обеспечивая отличную скорость доступа.\nQLC-память в первую очередь направлена на конкуренцию с традиционными HDD на их нынешнем поле хранения больших объемов данных. Учитывая самую низкую стоимость хранения, QLC-диски выглядят привлекательно в сценариях, когда нам нужно редко писать и часто читать, обеспечивая высокую скорость доступа (файловые сервера, хранилища медиаконтента и т.д.).\nЕще один момент, на который хотелось бы обратить внимание - это расплывчатость формулировки MLC, сегодня ею принято обозначать именно двухуровневые ячейки, хотя сама аббревиатура расшифровывается как многоуровневые. Поэтому можно встретить следующие формулировки, например, V-NAND 3-bit MLC (Samsung), но они не должны вводить вас в заблуждение, ключевой момент здесь - 3 bit, т.е. TLC, трехуровневая ячейка тоже является многоуровневой.\nПоказатели надежности: TBW и DWPD Так как надежность SSD напрямую связана с количеством циклов записи/стирания (P/E Cycles), то на первый взгляд логично было бы оценивать диски по этому показателю, но на практике крайне трудно увязать это значение с реальными физическими показателями, скажем объемом данных, которые можно записать на диск. Это связано с тем, что производители применяют различные технологии по выравниванию износа и балансировки нагрузки, что позволяет значительно продлить срок жизни устройства и поэтому основной единицей оценки надежности стал TBW (Total Bytes Written) - суммарный объем данных, который можно гарантированно записать на накопитель.\nЭто вполне понятная и осязаемая единица, которая позволяет достаточно точно оценить надежность диска при заданном сценарии использования. Еще более показательной характеристикой является DWPD (Disk Write per Day) - допустимое количество перезаписей объема накопителя в день. И если TBW обычно приводится в документации, то DWPD несложно вычислить, для этого следует воспользоваться формулой:\n1DWPD = TBW [TB] / (Capacity [TB] * 365 * 3(5) Years) Проще говоря нам следует разделить TWB на емкость диска в ТБ, умноженную на количество дней за 3 года (5 лет) в зависимости от гарантийного срока диска.\nДанный показатель удобнее тем, что он не зависит от емкости диска. Скажем, одна и та же модель SSD с емкостями в 120/240/480 ГБ может иметь TBW в 40/80/160 ТБ, но DWPD у всех их будет один и тот-же - 0,3. Это логично, так как ресурс памяти не меняется, отличается только ее объем.\nНиже мы собрали в таблицу значения для некоторых популярных дисков объемом 240-250 ГБ, так как не все модели имеют срок гарантии в 5 лет, мы вычислили DWPD для обоих промежутков времени. Если в столбце для 5 лет стоит прочерк - значит диск не имеет пятилетней гарантии.\nМодель SSD TWB, ТБ Емкость, ГБ DWPD (3 года) DWPD (5 лет) Тип памяти Цена, руб Smartbuy Ignition Plus 262 240 1 - MLC 4350 A-Data SU900 200 256 0,71 0,43 MLC 3600 Samsung PM883 341 240 1,3 - TLC 6400 Samsung 860 EVO 150 250 0,55 0,33 TLC 3500 Kingston UV500 100 240 0,38 0,23 TLC 2900 SmartBuy Revival 3 180 240 0,68 - TLC 2200 Crucial BX500 80 240 0,3 - TLC 2100 A-Data SU630 50 240 0,19 - QLC 2100 Начнем с MLC дисков, которые сегодня встретить в продаже становится все сложнее. Достаточно дорогой по меркам данного сегмента Smartbuy Ignition Plus имеет DWPD для трех лет равный единице, это достаточно неплохое значение. Более бюджетный A-Data SU900 показывает 0,71 за три года или 0,43 для пяти лет. Это вполне сравнимо с наиболее популярной и производительной TLC-моделью Samsung 860 EVO - 0,55 и 0,33 соответственно.\nЕсли вам нужна более высокая надежность, то TLC также может ее предоставить, Samsung PM883 имеет DWPD 1,3 для трех лет, что даже лучше чем у имеющихся в продаже MLC дисков, но все упирается в цену, это самый дорогой диск в нашей подборке. Это вполне объяснимо, TLC чипов для обеспечения такого TWB потребуется больше, отсюда и более высокая цена.\nА дальше нужно смотреть и сравнивать. Например, достаточно недорогой Kingston UV500 имеет всего лишь 0,38 и 0,23 (для 3 и 5 лет), а более дешевый и менее производительный SmartBuy Revival 3 - 0,68. Другой популярный бюджетник Crucial BX500 имеет скромные 0,3 на три года, так и цена у него самая низкая, при достаточно неплохих пользовательских параметрах. В общем есть о чем подумать, то ли покупаем производительность, то ли жертвуем скоростью в угоду надежности.\nЧто касается QLC, то там ожидаемо гораздо более низкие значения, для A-Data SU630 это 0,19, что при одинаковой цене с Crucial BX500 делает покупку этого диска сомнительным мероприятием.\nВ связи с этим встает вопрос, а какой объем данных реально записывается на диски в течении дня при различных сценариях работы? Это несложно выяснить, если у вас уже стоит SSD, для этого можно использовать штатные утилиты от производителей, либо сторонние, например, SSD-Z. Мы, не претендуя на истину в последней инстанции, собрали некоторую статистику по доступным нам системам и вот что у нас вышло:\nТип системы Особенности Объем записи Компьютер класса SOHO Универсальная система для дома и офиса. Windows 10, браузер, офис, клиентская часть 1С, простые игры. 35 ГБ Кассовый терминал Работа в 1С:Розница в режиме РМК, около 200 чеков в день. Windows 10 LTSB 7-10 ГБ Сервер 1С:Предприятие 8.3 Конфигурации 1С:Бухгалтерия 3.0, 1С:Розница, 5-10 пользователей. Windows Server 2019 98 ГБ Мини-Сервер 1С для ЕГАИС Отдел ЕГАИС сети пивных магазинов. 1С:Розница, Мини-Сервер 1С, 2 пользователя, около 300 документов ЕГАИС в день. Windows 10. Совмещен с офисным ПК. 260 ГБ Терминальный сервер 1С:Предприятие 7.7 Отраслевая (самописная) конфигурация на базе 1С:Торговля и Склад 9.2, 20 пользователей, Windows Server 2012 R2 125 ГБ Еще раз повторим, что это сугубо наша статистика и у вас могут быть совершенно иные цифры, поэтому не следует использовать эти данные для подбора дисков в вашу систему, но данная информация будет полезна при оценке приблизительных объемов записи в различных сценариях.\nВозьмем самый щадящий сценарий - кассовый терминал. Большой объем диска там не нужен, достаточно самых недорогих моделей, сегодня это 60 ГБ или 120 ГБ. В таком случае требования к надежности будут как 0,16 и 0,08 DWPD и фактически подойдет любой, даже QLC-диск.\nДля домашнего или офисного ПК наиболее ходовым является объем в 240 ГБ, для него необходимый DWPD составит ~0,15, что также позволяет использовать практически любые модели дисков, но если мы решим немного сэкономить и возьмем 120 ГБ диск, то получим уже 0,3, что уже отсекает QLC-диски, но в рамках трехлетнего периода допускает применение любых TLC-дисков, начиная от самых недорогих.\nА вот с серверными применениями все уже гораздо интереснее. Классика жанра - сервер для 1С на 5-10 пользователей. Для 240 ГБ диска мы получаем требования DWPD в 0,4 и 0,2 для 480 ГБ модели. Для популярного Samsung 860 EVO это практически впритык. Так может быть стоит взять Samsung PM883, который хоть и дороже, но гораздо более надежен? Наш ответ - нет. Почему?\nSSD - это одна из активно развивающихся в настоящее время областей и даже если брать период в 3 года, купленные сегодня диски за этот срок успеют полностью морально устареть. Но при этом Samsung 860 EVO честно отработает каждую вложенную в него копейку, а при покупке Samsung PM883 вы серьезно переплатите за ресурс, который останется невостребованным.\nНо не стоит экономить там, где это действительно нужно и Samsung PM883 придется к месту в отделе ЕГАИС, потому как 260 ГБ ежедневной записи - это 1,08 DWPD для диска объемом 240 ГБ, самая подходящая для него нагрузка.\nТрехмерная память 3D-NAND, V-NAND и т.д. Как мы уже говорили выше, стоимость чипа находится в прямой зависимости от размера кристалла, который в свою очередь накладывает ограничения по количеству ячеек, которые мы можем там разместить. Один из выходов из этой ситуации - это понижение норм техпроцесса, но там вступают в силу иные законы физики и возникают проблемы с перетеканием заряда между ячейками и их решение приведет так или иначе к повышению стоимости хранения единицы данных.\nЗдесь можно провести аналогию с жилищным строительством. Имея ограниченную площадь участка, мы можем как угодно пытаться оптимизировать стройку, но более чем определенное количество стандартных квартир вместить не сможем просто физически. Строители давно нашли выход - строить многоэтажные дома. Этим же путем пошли и производители памяти, но не следует думать, что многослойный NAND это просто помещенные друг на друга обычные пластины.\nДля трехмерной памяти разработаны специальные вертикальные структуры, которые позволяют добиться наиболее эффективного использования площади кристалла. Мы не будем углубляться в данную тему, так как она далеко выходит за рамки нашей статьи, а отметим то, что приобрести сегодня диск на основе плоской (одномерной) памяти практически невозможно. Наиболее распространены 64-слойные структуры, а производители во всю осваивают производство 120 и 128-слойной памяти.\nПоэтому все заявления об использовании трехмерной памяти и разных связанных с ней красивых аббревиатур следует отнести сугубо к маркетинговым, обратив внимание при выборе диска на иные, действительно важные параметры.\nM.2 и NVMe И вот мы подошли к самому интересному разделу нашей статьи, потому что именно в это области чаще всего допускаются ошибки, которые могут привести к серьезной потере денежных средств и хорошо, если вы купите несовместимый диск себе домой, на не партию на работу.\nНачнем с того, что такое M.2 - это разъем для компактных компьютерных карт расширения, ранее также известный как NGFF (Next Generation Form Factor), точнее даже группа разъемов на которые могут быть разведены самые разные интерфейсы. Применительно к устройствам хранения данных используется два типа разъемов шириной 22 мм: B key и M key. Для B key могут быть разведены интерфейсы PCIe x2 и SATA, а для M key PCIe x4 и SATA.\nSSD с интерфейсами SATA и PCIe x2 выпускаются с ключами B и M и могут быть вставлены в любой разъем, а диски с интерфейсом PCIe x4 - только с ключом M. Но сам факт совместимости диска с разъемом еще не говорит о том, что он будет работать, почему так - мы разберем немного позднее. Кроме различных ключей платы M.2 имеют различную длину, которая отражается в типоразмере, он состоит из двух последовательных чисел: ширины и длинны платы в мм. Так один из самых ходовых типоразмеров 2280 обозначает плату длинной 80 мм и шириной 22 (все SSD выпускаются только с шириной 22 мм). В продаже можно встретить диски следующих типоразмеров: 2230, 2242, 2260, 2280, 22110. Наиболее популярны из них 2280 - основной типоразмер SSD и 2242 - платы для портативных устройств. Ниже в одном масштабе показаны платы наиболее ходовых типоразмеров. Модули M.2 могут быть также одно и двухсторонние, для последних, кроме длинны, еще вводятся параметры, отражающие высоту элементов с тыльной части. И если материнские платы разводятся так, чтобы ничего не мешало установке плат M.2, то в портативных устройствах под ними могут быть расположены какие-либо элементы. В этом случае лучше не рисковать и выбирать диск из списка совместимости для вашего портативного устройства.\nКак видим, даже с размерами уже не все так просто. Но дальше будет только интереснее. Как мы уже говорили для каждого типа разъема предусмотрен свой набор интерфейсов, но это не говорит о том, что они будут разведены именно на вашей модели материнской платы. Так на разъем может быть выведен только SATA или только PCIe, также вместо 4 линий PCI Express в разъеме типа M key может оказаться только две.\nПочему так? Потому что количество линий PCIe или портов SATA для материнской платы - число конечное и зависит от используемых контроллеров и CPU, а возможных потребителей для них может быть много, поэтому и приходится идти на разумные компромиссы, чаще всего разъемы M.2 делят линии и порты с другими разъемами платы и в ряде случаев вам придется выбирать между разными вариантами конфигурации ПК.\nЧтобы не быть голословными, давайте рассмотрим реальный пример, перед нами материнская плата ASRock B450 Pro4: Данная плата относится к дорогому сегменту и на ней разведено сразу два разъемаM.2 M key, первый допускает установку плат типоразмера 2242/2260/2280, второй 2230/2242/2260/2280/22110. На первый взгляд все замечательно, но только на первый взгляд.\nНа верхний разъем, помеченный как Ultra M.2 выведены только 4 линии PCI Express, которые разъем делит с нижним слотом PCIe x16, при установке платы в разъем М.2 этот слот работать не будет. В самом M.2 будут работать только SSD с интерфейсом PCIe, SATA диски в нем работать не будут.\nНижний M.2 имеет интерфейсы SATA и PCIe x2, при этом SATA делит порты с двумя разъемами на материнской плате, при установке платы в М.2 два SATA-порта работать не будут. Это может быть критично, если вы собираете систему с большим количеством дисков, в этом случае покупка SATA M.2 диска может оказаться не лучшей идеей.\nА что будет, если мы поставим в нижний разъем диск с интерфейсом PCIe x4? Он будет работать, но только в режиме PCIe x2 и, по сути, вы выбросите деньги на ветер, потому как не сможете использовать все преимущества купленного диска.\nТакже при покупке PCIe дисков всегда обращайте внимание на версию протокола, так две линии PCIe 2.0 обеспечивают пропускную способность в 1 ГБ/с, а две линии PCIe 3.0 уже 1,97 ГБ/с. Если ваша система не поддерживает PCIe 3.0 то нет смысла приобретать диски со скоростями доступа свыше 1000 МБ/с.\nПри покупке младших моделей процессоров также обращайте внимание на количество предоставляемых им линий PCIe, так на рассматриваемой нами плате при установке процессоров Athlon 2xxGE в верхнем разъеме M.2 вместо 4 линий PCIe будет доступно только 2, что делает покупку дисков PCIe x4 в данной конфигурации бессмысленной.\nНу и наконец NVMe - это новый протокол NVM Express (Non-Volatile Memory Host Controller Interface Specification) предназначенный для работы с твердотельными дисками подключенными по шине PCI Express. Это позволяет достичь более высокой производительности по сравнению с доставшимся в наследство от SATA протоколом ACHI.\nДля нормальной работы NVMe требуется поддержка со стороны накопителя и операционной системы. Поддержка NVMe реализована в популярных ОС начиная с Windows 8.1, Linux kernel 3.3 и FreeBSD 10.2. Если установить NVMe диск в систему без поддержки данного протокола, то он будет работать в режиме ACHI. Так как NVMe полностью программный протокол, то от материнской платы его поддержка не зависит.\nНо погодите, скажет иной читатель, но почему тогда на коробках с материнскими платами пишут - поддерживает NVMe? Все просто, с такими накопителями нужно не только работать в среде ОС, нужно еще уметь с них грузиться. А первоначальный этап загрузки выполняется низкоуровневым ПО системной платы - UEFI. Именно возможность UEFI выполнять загрузку с дисков NVMe и подразумевают при указании совместимости материнской платы с этим протоколом. При этом аппаратной зависимости нет, многие модели приобретают такую поддержку после обновления версии BIOS (точнее ПО UEFI).\n","id":"b504c998ebda50b33467f9f1ccf7f509","link":"https://interface31.ru/post/tverdotelnye-nakopiteli-abbreviatury/","section":"post","tags":["SSD"],"title":"Твердотельные накопители: что такое SLC, MLC, TLC, QLC, NVMe и прочие аббревиатуры?"},{"body":"Сегодня защищенное соединение перестало быть уделом сайтов, работающих с пользовательскими данными, а стало насущной необходимостью для всех, даже если у вас простой блог о личном увлечении. Большинство современных браузеров при заходе на простой HTTP-сайт уже указывают в адресной строке, что подключение не защищено, но в скором будущем начнут помечать такие сайты как небезопасные. Тем более что с приходом Let's Encrypt шифрование стало доступно каждому и настроить его несложно, о чем мы и расскажем в данной статье.\nНачнем мы с наиболее популярного веб-сервера Apache, первоначальная настройка которого выполнена по нашей статье: Настраиваем веб-сервер на базе Apache в Debian / Ubuntu Server. В данной статье будет использоваться Apache 2.4 установленный в среде Debian 10, но все сказанное ниже будет справедливо для любого основанного на Debian или Ubuntu дистрибутива, а с некоторыми поправками - для любой Linux системы.\nБудем считать, что у нас уже настроен как минимум один виртуальный хост, на котором работает сайт, допустим, example.com, минимальная конфигурация виртуального хоста должна выглядеть примерно так:\n1\u0026lt;VirtualHost *:80\u0026gt; 2 ServerName example.com 3 ServerAdmin mail@example.com 4 ServerAlias www.example.com 5 DocumentRoot /var/www/example.com 6 CustomLog ${APACHE_LOG_DIR}/example.com.access.log combined 7 ErrorLog ${APACHE_LOG_DIR}/example.com.error.log 8 \u0026lt;Directory /var/www/example.com\u0026gt; 9 Options -Includes -Indexes -ExecCGI 10 AllowOverride All 11 \u0026lt;/Directory\u0026gt; 12\u0026lt;/VirtualHost\u0026gt; Мы не будем подробно описывать значение опций, это сделано в указанной нами статье, а конфигурация приведена для примера, на который мы будем опираться в дальнейшем по ходу статьи.\nПрежде всего нам потребуется настроить веб-сервер для работы с Let's Encrypt, сделав так, чтобы сертификаты можно было легко получать для любого обслуживаемого сервером сайта без дополнительных настроек. Создадим для этого специальную директорию:\n1mkdir /var/www/letsencrypt И сделаем ее владельцем веб сервер:\n1chown -R www-data:www-data /var/www/letsencrypt Затем создадим файл конфигурации для Аpache:\n1touch /etc/apache2/conf-available/le.conf и внесем в него следующий текст:\n1Alias /.well-known/acme-challenge/ /var/www/letsencrypt/.well-known/acme-challenge/ 2 3\u0026lt;Directory \u0026#34;/var/www/letsencrypt/.well-known/acme-challenge/\u0026#34;\u0026gt; 4 Options None 5 AllowOverride None 6 ForceType text/plain 7 Require all granted 8 RedirectMatch 404 \u0026#34;^(?!/\\.well-known/acme-challenge/[\\w-]{43}$)\u0026#34; 9\u0026lt;/Directory\u0026gt; Эта настройка будет перенаправлять все запросы к /.well-known/acme-challenge любого сайта в созданную нами директорию /var/www/letsencrypt.\nПодключим конфигурационный файл:\n1a2enconf le и проверим конфигурацию на ошибки:\n1apachectl -t Затем перезапустим веб-сервер\n1service apache2 restart Следующим шагом установим certbot, в современных дистрибутивах он включен в репозитории, поэтому достаточно выполнить:\n1apt install certbot Важно! Если вы используете более старые дистрибутивы, то обратитесь к нашей статье: Получаем сертификаты Let's Encrypt при помощи Certbot\nПакет не требует начальной настройки и готов к работе сразу после установки. Перед тем, как получать сертификат, убедитесь, что к вашему серверу есть доступ из интернета. В любом случае советуем сначала выполнить пробное получение:\n1certbot certonly --dry-run --webroot -w /var/www/letsencrypt -d example.com -d www.example.com За тестовый режим отвечает ключ --dry-run, ключ --webroot указывает используемый плагин, в нашем случае отвечающий за работу с уже имеющемся веб-сервером. Опция**-w** указывает корневую директорию для Let's Encrypt, которую мы создали и настроили ранее, а через ключи**-d** перечисляются домены и поддомены, для которых требуется получить сертификат. Если все прошло успешно вы получите лаконичное сообщение: 1certbot certonly --webroot -w /var/www/letsencrypt -d example.com -d www.example.com Теперь вы получите более информативное сообщение, содержащее информацию о расположении полученных сертификатов и сроков их действия: 1[renewalparams] 2... 3renew_hook = service apache2 reload Порядок расположения опций значения не имеет. Параметр renew_hook позволяет указать действие, которое следует выполнить при успешном продлении сертификата, в нашем случае это перезапуск веб-сервера Apache.\nСертификат получен, можно переходить к настройке виртуального хоста для работы сайта по защищенному протоколу, рекомендуем скопировать текущий файл конфигурации и вносить настройки в него:\n1cp /etc/apache2/sites-available/example.com.conf /etc/apache2/sites-available/example.com-ssl.conf Затем откроем его и сразу изменим порт с 80 на 443:\n1\u0026lt;VirtualHost *:443\u0026gt; Также советуем изменить имена файлов логов:\n1CustomLog ${APACHE_LOG_DIR}/example.com-ssl.access.log combined 2ErrorLog ${APACHE_LOG_DIR}/example.com-ssl.error.log Ниже добавим:\n1SSLEngine on 2 3SSLCertificateFile /etc/letsencrypt/live/example.com/cert.pem 4SSLCertificateChainFile /etc/letsencrypt/live/example.com/fullchain.pem 5SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem 6SSLCACertificateFile /etc/letsencrypt/live/example.com/chain.pem Эти опции включают SSL и указывают пути к сертификатам. В теории этого достаточно, но в современных условиях такие настройки не будут надежными, так как разрешают использование устаревших протоколов и нестойких шифров. Для получения современной и актуальной конфигурации SSL мы советуем воспользоваться сервисом moz://a SSL Configuration Generator, который предлагает несколько вариантов настроек, оптимальным является использование опции Intermediate.\nНо не следует добавлять сразу все опции, ряд из них могут иметь достаточно \u0026quot;неожиданное\u0026quot; действие на неподготовленного пользователя. Поэтому сначала разберемся с шифрами и протоколами:\n1SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 2SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384 Первая опция отключает устаревшие и небезопасные протоколы SSLv3, TLS 1.0 и TLS 1.1, вторая задает доступные к использованию шифры. Создание набора шифров - это наиболее сложная задача, поэтому лучше довериться специалистам Mozilla, нежели изобретать велосипед самостоятельно.\nЗатем добавим:\n1SSLHonorCipherOrder off 2SSLSessionTickets off Первая строка определяет приоритет при выборе шифра, включенная опция отдает приоритет серверу, выключенная - браузеру клиента. В целях совместимости следует отдавать приоритет выбору клиента, а выбор сервера использовать только тогда, когда требуется принудительно использовать максимально стойкое шифрование. Вторая отключает использование сессионных билетов SSL, что требуется для обеспечения режима совершенной прямой секретности.\nТакже разрешим использование протокола HTTP/2, если это возможно:\n1Protocols h2 http/1.1 Сохраним файл конфигурации и подключим его:\n1a2ensite example.com-ssl Также нам потребуется модуль SSL:\n1a2enmod ssl Проверим конфигурацию и перезапустим веб-сервер:\n1apachectl -t 2service apache2 restart После чего откройте сайт, явно указав протокол https://example.com На этом этапе вы можете столкнуться с проблемой смешанного содержимого, когда определенные ресурсы сайта, например, изображения или скрипты загружаются по незащищенному протоколу HTTP. Если к первым браузеры относятся относительно лояльно, просто убирая \u0026quot;замочек\u0026quot; в адресной строке, то вторые по умолчанию блокируются. Поэтому внимательно изучите код вашего сайта и замените везде, где это возможно, получение ресурсов на защищенный протокол HTTPS. Если это невозможно, то от таких ресурсов следует отказаться.\nДобившись идеальной работы сайта по HTTPS, двинемся дальше, сначала включим технологию HSTS, которая принудительно активирует защищенное соединение, если сайт хоть один раз был успешно через него загружен. При использовании данного механизма браузер будет принудительно переключаться на HTTPS даже если в строке подключения пользователь явно укажет протокол HTTP, это позволяет успешно бороться с атаками на понижение степени защиты.\nДля этого добавим в конфигурацию виртуального хоста строку:\n1Header always set Strict-Transport-Security \u0026#34;max-age=63072000\u0026#34; Также включим механизм OCSP Stapling, который позволяет ускорить проверку сертификата клиентом, что особенно важно для мобильных пользователей. Добавим строку:\n1SSLUseStapling On Однако этого недостаточно, сохраним настройки виртуального хоста и снова откроем файл /etc/apache2/conf-available/le.conf, куда добавим:\n1SSLStaplingCache \u0026#34;shmcb:logs/ssl_stapling(32768)\u0026#34; Для работы вышеперечисленных опций нам потребуется модуль Headers:\n1a2enmod headers Снова проверяем конфигурацию и перезапускаем сервер:\n1apachectl -t 2service apache2 restart Самое время проверить HSTS в действии: перейдите на сайт по защищенному протоколу, а затем попробуйте открыть его HTTP версию, если HSTS работает, то у вас это не получится.\nИ в завершение настроим перенаправление клиентов с HTTP версии сайта на HTTPS, для этого откроем настройки виртуального хоста HTTP версии /etc/apache2/sites-available/example.com.conf и удалим из него все строки кроме:\n1\u0026lt;VirtualHost *:80\u0026gt; 2 ServerName example.com 3 ServerAdmin mail@example.com 4 ServerAlias www.example.com 5\u0026lt;/VirtualHost\u0026gt; А затем добавим:\n1RewriteEngine On 2RewriteCond %{HTTPS} off 3RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} Сохраним файл конфигурации и подключим модуль Rewrite:\n1a2enmod rewrite И еще раз перезапустим сервер, не забыв проверить конфигурацию:\n1apachectl -t 2service apache2 restart Теперь наш сервер настроен с учетом всех современных методик, проверить это можно на сайте SSL Labs, с текущими настройками была получена высшая оценка A+: Как видим, настроить веб-сервер Apache для работы по HTTPS совсем несложно. А Let's Encrypt обеспечит бесплатное получение и обновление сертификатов в автоматическом режиме. Если вы заметили, то мы ничего не писали про настройку автообновления, Certbot все уже сделал за нас.\n","id":"16b64b79c8fd76d78285de8de85abf77","link":"https://interface31.ru/post/nastraivaem-apache-dlya-raboty-po-https-ssl-s-sertifikatami-lets-encrypt/","section":"post","tags":["Apache","Certbot","Debian","Let's Encrypt","SSL","Ubuntu Server","Web-сервер","Безопасность","Сайт"],"title":"Настраиваем Apache + SSL для работы по HTTPS с сертификатами Let's Encrypt"},{"body":"Продолжая рассказ о возможностях OpenVPN рассмотрим ситуацию, когда нам нужно иметь на одном сервере несколько разных серверов OpenVPN с различными настройками. Чаще всего такая необходимость возникает на серверах, предназначенных для удаленного доступа, когда имеются клиенты, требующие особых настроек. В корпоративной среде такая возможность позволит с помощью одного физического сервера обеспечить связь для различных подразделений, которые не должны напрямую взаимодействовать друг с другом. Как это сделать - читайте в нашей статье.\nНачнем с постановки задачи. В прошлой статье мы рассказали о настройке OpenVPN сервера в Oracle Cloud для доступа в интернет. Сервер работает, клиенты подключаются, но возникла необходимость подключения к нему роутеров Mikrotik, у которых, как известно, особые требования к настройкам OpenVPN. Как быть? Перенастроить сервер для совместимости с Mikrotik в ущерб остальным клиентам? Или поднять второй экземпляр сервера со своими настройками? Естественно, второй способ выглядит более предпочтительно.\nНапомним, что все настройки мы производим на сервере с Ubuntu 18.04 в облаке от Oracle, настройка которого описана в статье по ссылке выше, рекомендуем ознакомиться с ней перед прочтением данного руководства. Однако все описанные ниже действия, с соответствующими поправками, применимы к любому Linux-дистрибутиву.\nНастройка второго экземпляра сервера Прежде всего создадим для нового сервера собственный набор ключей, для этого перейдем в папку нашего центра сертификации и загрузим переменные:\n1cd /etc/openvpn/easy-rsa 2source ./vars После чего создадим новый серверный сертификат:\n1./build-key-server server-tcp Где server-tcp имя нашего экземпляра сервера. Мы советуем давать осмысленные имена, чтобы вам потом было понятно, что делает тот или иной экземпляр.\nСкопируем ключ и сертификат в папку с ключами OpenVPN:\n1cd /etc/openvpn/easy-rsa/keys 2cp server-tcp.crt server-tcp.key /etc/openvpn/keys Затем скопируем шаблон конфигурации и назовем его server-tcp.conf:\n1cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/server-tcp.conf После чего откроем файл и приступим к его редактированию. Какие важные особенности нам нужно учесть? RouterOS работает с OpenVPN только по протоколу TCP и не использует сжатие, также есть и некоторые иные особенности, которых мы коснемся позже. Все опции указаны в порядке их следования в файле, если опции нет - ее нужно добавить.\n1port 1194 2proto tcp 3dev tun Для того, чтобы несколько серверов OpenVPN могли работать на одном хосте они должны использовать разные порты. Но так как первый экземпляр работает по протоколу UDP, то для второго экземпляра мы также можем использовать порт 1194, но только с протоколом TCP.\nУкажем топологию сети:\n1topology subnet И пути к ключам и сертификатам:\n1ca keys/ca.crt 2cert keys/server-tcp.crt 3key keys/server-tcp.key 4dh keys/dh2048.pem Диапазон адресов внутри VPN-сети также должен отличаться от остальных экземпляров, поэтому укажем:\n1server 10.89.0.0 255.255.255.0 Для хранения выданных клиентам адресов, как и для логов, также следует использовать отдельные файлы:\n1ifconfig-pool-persist /var/log/openvpn/ipp-tcp.txt Mikrotik игнорирует опцию настройки шлюза по умолчанию, но мы все-таки советуем добавить данную опцию, так как подключаться к данному серверу могут и иные клиенты.\n1push \u0026#34;redirect-gateway def1 bypass-dhcp\u0026#34; Передадим собственные DNS:\n1push \u0026#34;dhcp-option DNS 208.67.222.222\u0026#34; 2push \u0026#34;dhcp-option DNS 208.67.220.220\u0026#34; Параметры проверки активности:\n1keepalive 10 120 Обязательно выключим дополнительную TLS-аутентификацию:\n1#tls-auth ta.key 0 И укажем параметры шифра, выключив его согласование, RouterOS поддерживает только AES128/192/256 и Blowfish 128:\n1ncp-disable 2cipher AES-128-CBC Обязательно отключаем все опции сжатия:\n1#compress lz4-v2 2#push \u0026#34;compress lz4-v2\u0026#34; 3#comp-lzo Убеждаемся в наличии опций понижения прав:\n1user nobody 2group nogroup И за сохранение доступа к ключам и адаптерам:\n1persist-key 2persist-tun Укажем свой комплект файлов лога:\n1status /var/log/openvpn/openvpn-status-tcp.log 2log /var/log/openvpn/openvpn-tcp.log и его подробность:\n1verb 3 При использовании протокола TCP обязательно закомментируем опцию:\n1explicit-exit-notify 1 А также добавим:\n1tcp-nodelay Сохраним файл конфигурации.\nЧтобы обеспечить автоматический запуск всех серверных конфигураций OpenVPN откроем в /etc/default/openvpn и раскомментируем в нем строку:\n1AUTOSTART=\u0026#34;all\u0026#34; Затем перечитаем конфигурацию юнитов systemd:\n1systemctl daemon-reload Теперь уже можно запустить наш новый экземпляр, но мы пока не будем этого делать, так как нужно перенастроить брандмауэр.\nНастройка брандмауэра и маршрутизации Очевидно, что нам нужно разрешить входящий трафик на порт OpenVPN и транзитный трафик для tun-адаптеров, также потребуется отдельное правило для маскарадинга. В итоге ваш файл /etc/nat должен будет выглядеть следующим образом:\n1#!/bin/sh 2 3# Включаем форвардинг пакетов 4echo 1 \u0026gt; /proc/sys/net/ipv4/ip_forward 5 6# Сбрасываем настройки брандмауэра 7iptables -F 8iptables -X 9iptables -t nat -F 10iptables -t nat -X 11 12# Разрешаем инициированные нами подключения извне 13iptables -A INPUT -i ens3 -m state --state ESTABLISHED,RELATED -j ACCEPT 14 15# Разрешаем подключения по SSH 16iptables -A INPUT -i ens3 -p tcp --dport 22 -j ACCEPT 17 18# Разрешаем подключения к OpenVPN 19iptables -A INPUT -i ens3 -p udp --dport 1194 -j ACCEPT 20iptables -A INPUT -i ens3 -p tcp --dport 1194 -j ACCEPT 21 22#Запрещаем входящие извне 23iptables -A INPUT -i ens3 -j DROP 24 25# Разрешаем инициированные нами транзитные подключения извне 26iptables -A FORWARD -i ens3 -o tun+ -m state --state ESTABLISHED,RELATED -j ACCEPT 27 28# Запрещаем транзитный трафик извне 29iptables -A FORWARD -i ens3 -o tun+ -j DROP 30 31# Включаем маскарадинг для локальной сети 32iptables -t nat -A POSTROUTING -o ens3 -s 10.88.0.0/24 -j MASQUERADE 33iptables -t nat -A POSTROUTING -o ens3 -s 10.89.0.0/24 -j MASQUERADE На что следует обратить внимание? Для каждого сервера нужно разрешающее правило в цепочке INPUT, в нашем случае в секции Разрешаем подключения к OpenVPN добавлено два правила для входящих UDP 1194 и TCP 1194. Аналогично следует создать для каждой VPN-сети свое правило маскарадинга в секции Включаем маскарадинг для локальной сети.\nВ правилах цепочки FORWARD мы заменили tun0 на tun+, что теперь распространяет действие правил на все туннельные интерфейсы.\nЕсли вы используете Oracle Cloud, то не забудьте создать разрешающее правило для входящих TCP 1194 в настройках вашей виртуальной сети: Теперь можно перезапустить службу OpenVPN и убедиться, что поднялись два туннельных интерфейса:\n1systemctl restart openvpn Настройка клиентов OpenVPN Если вы будете настраивать в качестве клиента Mikrotik, то вам потребуется только ключевая пара клиента и, опционально, сертификат CA, для проверки подлинности сервера. Для создания ключа клиента перейдите в директорию центра сертификации и загрузите переменные:\n1cd /etc/openvpn/easy-rsa 2source ./vars Затем выпустите сертификат клиента:\n1./build-key mikrotik Полученные файлы и сертификат CA скопируем в домашнюю директорию:\n1cd /etc/openvpn/easy-rsa/keys 2cp ca.crt mikrotik.crt mikrotik.key ~ И сменим их владельца на вашего основного пользователя, чтобы он мог спокойно скопировать их через FTP или SFTP (по умолчанию владелец файлов root). В нашем случае это пользователь ubuntu.\n1cd ~ 2chown ubuntu:ubuntu ca.crt mikrotik.crt mikrotik.key Если же будет подключаться иной клиент, то ему потребуется клиентский файл конфигурации, можете использовать как образец конфигурацию клиента созданную нами в предыдущей статье. В него потребуется внести следующие изменения: изменить протокол на TCP\n1proto tcp и выключить сжатие:\n1#comp-lzo Теперь что касается производительности. OpenVPN через TCP имеет гораздо более высокие накладные расходы, особенно на плохих каналах. На хороших разница обычно невелика, и вы скорее упретесь в иные ограничения. Мы выполнили два замера для нашего сервера в Oracle Cloud, первый для UDP: Второй для TCP: Как видим, в нашем случае разница абсолютно незаметна и можно не особенно переживать за возможные потери пропускной способности. Но не следует забывать, что при тестировании использовались хорошие широкополосные каналы, в иных ситуациях, например, с мобильными клиентами, результаты могут существенно отличаться.\n","id":"260ccb0c16044f4e56eb43cb53e2c1d2","link":"https://interface31.ru/post/nastroyka-dvuh-i-bolee-openvpn-serverov-na-odnom-servere/","section":"post","tags":["Debian","MikroTik","OpenVPN","Ubuntu Server","VPN","Безопасность"],"title":"Настройка двух и более OpenVPN-серверов на одном сервере"},{"body":"В наших прошлых материалах мы рассматривали применение OpenVPN исключительно для организации каналов связи между подразделениями организации. Но современный мир приносит новые вызовы, на которые следует реагировать. Один из них - общественные сети с низкой безопасностью, для работы в которых желательно иметь защищенный канал, препятствующий доступу третьих лиц к вашему трафику. Традиционно эта задача решается использованием VPN-сервисов и в данной статье мы расскажем, как организовать собственный сервис на базе OpenVPN.\nЧто нужно для создания собственного VPN-сервиса? Прежде всего потребуется VPS (виртуальный выделенный сервер). Для поиска недорогих VPS можно воспользоваться специальными сайтами, такими как Low End Box или бесплатными предложениями от облачных провайдеров. Так у Amazon и Microsoft можно бесплатно получить виртуальную машину на год, а Oracle предлагает две VPS бесплатно и навсегда.\nВ нашем примере мы будем использовать бесплатный VPS от Oracle с Ubuntu 18.04, но данная инструкция подойдет для любых deb-based систем и с некоторыми поправками для любого другого Linux-дистрибутива.\nНастройка сервера OpenVPN Прежде всего установим OpenVPN и Easy-RSA для управления ключами:\n1apt install openvpn easy-rsa Скопируем файлы easy-rsa в конфигурационную директорию OpenVPN и создадим символическую ссылку на файл настроек OpenSSL:\n1cp -r /usr/share/easy-rsa /etc/openvpn 2ln -s /etc/openvpn/easy-rsa/openssl-1.0.0.cnf /etc/openvpn/easy-rsa/openssl.cnf Затем откроем файл /etc/openvpn/easy-rsa/vars и изменим в нем следующие строки, указав собственные данные для сертификатов, например, так:\n1export KEY_COUNTRY=\u0026#34;US\u0026#34; 2export KEY_PROVINCE=\u0026#34;Wild West\u0026#34; 3export KEY_CITY=\u0026#34;Uncle Tom\u0026#39;s Cabins\u0026#34; 4export KEY_ORG=\u0026#34;Uncle Tom\u0026#34; 5export KEY_EMAIL=\u0026#34;tom@example.com\u0026#34; 6export KEY_OU=\u0026#34;Cabin\u0026#34; Сохраним файл и перейдем к созданию собственного центра сертификации (CA). Для этого перейдем в директорию нашего CA и загрузим переменные:\n1cd /etc/openvpn/easy-rsa 2source ./vars Очистим любые имеющиеся данные и инициализируем центр сертификации:\n1./clean-all 2./build-ca В процессе создания ключей вам будут задаваться вопросы, ответы по умолчанию на которые берутся из файла vars и помещены в квадратных скобках, поэтому можно просто подтверждать их нажатием Enter. После чего в директории**/etc/openvpn/easy-rsa/keys** появится сертификат CA, содержащий публичный ключ, ca.crt, который должен присутствовать на каждом VPN-клиенте, и закрытый ключ центра сертификации ca.key, этот файл является секретным и не должен покидать пределы сервера.\nЗатем создадим файл параметров Диффи-Хеллмана, который нужен для формирования уникального сеансового ключа и обеспечения режима совершенной прямой секретности:\n1./build-dh Данная операция, в зависимости от производительности вашего VPS, может занять достаточно много времени.\nИ, наконец, создадим ключевую пару для сервера:\n1./build-key-server server где server - имя вашего сервера, мы рекомендуем давать осмысленные названия, чтобы потом не пришлось гадать, что именно это за ключевая пара и для чего она нужна.\nНа этом формирование необходимых ключей и сертификатов закончено, перейдем к настройке OpenVPN, прежде всего создадим директорию для хранения ключей. Можно, конечно, использовать ключи прямо из директории easy-rsa, но лучше отделить CA от остальных служб.\n1mkdir /etc/openvpn/keys Теперь скопируем туда необходимые серверу ключи и сертификаты:\n1cd /etc/openvpn/easy-rsa/keys 2cp ca.crt dh2048.pem server.crt server.key /etc/openvpn/keys Распакуем и скопируем в директорию**/etc/openvpn** шаблон серверной конфигурации:\n1gzip -d /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz 2cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn Откроем файл /etc/openvpn/server.conf и внесем в него необходимые изменения, в большинстве случаев вам придется раскомментировать нужны строки или убедиться в их наличии. Опции указаны в порядке их следования в файле:\n1port 1194 2proto udp 3dev tun Данные опции указывают порт, протокол и тип туннеля, менять их не следует, однако в ряде случаев может потребоваться использовать протокол tcp, но в силу более высоких накладных расходов этой ситуации желательно избегать.\nЗатем зададим топологию сети:\n1topology subnet Укажем пути к ключам и сертификатам, допускаются относительные пути, в этом случае корнем будет считаться директория /etc/openvpn:\n1ca keys/ca.crt 2cert keys/server.crt 3key keys/server.key 4dh keys/dh2048.pem Зададим диапазон OpenVPN-сети:\n1server 10.88.0.0 255.255.255.0 И укажем файл для хранения адресов клиентов, которые будут автоматически выдаваться сервером:\n1ifconfig-pool-persist /var/log/openvpn/ipp.txt Автоматически сконфигурируем клиентов на доступ в интернет через OpenVPN-подключение:\n1push \u0026#34;redirect-gateway def1 bypass-dhcp\u0026#34; И передадим им собственные DNS-сервера:\n1push \u0026#34;dhcp-option DNS 208.67.222.222\u0026#34; 2push \u0026#34;dhcp-option DNS 208.67.220.220\u0026#34; Укажем параметры проверки активности:\n1keepalive 10 120 Сервер будет проверять клиента каждые 10 секунд и при отсутствии ответа через 120 секунд клиент будет считаться неактивным.\nОбязательно закомментируйте строку:\n1#tls-auth ta.key 0 Для сценария доступа в интернет дополнительная TLS-аутентификация будет излишней.\nВ последних версиях OpenVPN включен механизм автоматического согласования протоколов шифрования между клиентом и сервером, по умолчанию будет выбран шифр AES-256-GCM, но так как вычислительные возможности VPS обычно ограничены и большого смысла шифровать канал доступа в интернет сложными шифрами нет, то отключим соглассование и укажем достаточно простой AES-шифр:\n1ncp-disable 2cipher AES-128-CBC Также в новых версиях доступен новый механизм компрессии, для его включения укажем:\n1compress lz4-v2 2push \u0026#34;compress lz4-v2\u0026#34; Данная опция будет автоматически отправлена на клиент, что облегчает его конфигурирование.\nЕсли у вас есть старые версии клиентов (ниже 2.4), то можно использовать простое lzo-сжатие, для этого закомментируйте вышеприведенные строки и добавьте:\n1comp-lzo Эту опцию также потребуется добавить в конфигурационные файлы клиентов.\nВ целях безопасности понизим права запущенного сервера:\n1user nobody 2group nogroup После чего проконтролируем наличие опций, отвечающих за правильные права к некоторым ресурсам после их понижения:\n1persist-key 2persist-tun Укажем путь к файлам логов:\n1status /var/log/openvpn/openvpn-status.log 2log /var/log/openvpn/openvpn.log И укажем его подробность:\n1verb 3 Во время отладки можно поднять уровень логов до 5-6.\nНастройка брандмауэра и маршрутизации Основной задачей нашего сервера является обеспечение выхода в интернет и будет разумно обеспечить минимальный набор правил безопасности, во многом они будут повторять те правила, которые мы использовали для наших роутеров на базе Linux.\nСоздадим файл правил:\n1touch /etc/nat и внесем в него следующие строки, обратите внимание на имя сетевого интерфейса вашего VPS, в нашем случае этоens3:\n1#!/bin/sh 2 3# Включаем форвардинг пакетов 4echo 1 \u0026gt; /proc/sys/net/ipv4/ip_forward 5 6# Сбрасываем настройки брандмауэра 7iptables -F 8iptables -X 9iptables -t nat -F 10iptables -t nat -X 11 12# Разрешаем инициированные нами подключения извне 13iptables -A INPUT -i ens3 -m state --state ESTABLISHED,RELATED -j ACCEPT 14 15# Разрешаем подключения по SSH 16iptables -A INPUT -i ens3 -p tcp --dport 22 -j ACCEPT 17 18# Разрешаем подключения к OpenVPN 19iptables -A INPUT -i ens3 -p udp --dport 1194 -j ACCEPT 20 21#Запрещаем входящие извне 22iptables -A INPUT -i ens3 -j DROP 23 24# Разрешаем инициированные нами транзитные подключения извне 25iptables -A FORWARD -i ens3 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT 26 27# Запрещаем транзитный трафик извне 28iptables -A FORWARD -i ens3 -o tun0 -j DROP 29 30# Включаем маскарадинг для локальной сети 31iptables -t nat -A POSTROUTING -o ens3 -s 10.88.0.0/24 -j MASQUERADE Не забудем сделать файл исполняемым:\n1chmod +x /etc/nat Данный файл требуется запускать после создания туннельного интерфейса tun0, поэтому откроем конфигурационный файл сервера OpenVPN /etc/openvpn/server.conf и в его конце добавим опцию:\n1up /etc/nat Перезагрузим сервер и убедимся, что OpenVPN сервер автоматически запустился и создал туннельный интерфейс, это можно сделать командой:\n1ip a Также проверим применение правил брандмауэра:\n1iptables -L -vn Следующий шаг касается только виртуальных машин в облаке Oracle Cloud, вам потребуется дополнительно разрешить входящий трафик на порт OpenVPN. Для этого перейдите в Сети » Виртуальные облачные сети » VirtualCloudNetwork-20191008-0144 » Сведения о списках безопасности, где вместо VirtualCloudNetwork-20191008-0144 будет имя вашей виртуальной сети. Затем добавьте новое правило для входящего трафика: Укажите: Тип источника - CIDR, Исходный CIDR - 0.0.0.0/0, IP-протокол - UDP, Диапазон исходных портов - Все, Диапазон конечных портов - 1194.\nНастройка клиентов OpenVPN Настройка клиента начинается на сервере с получения ключей и сертификатов клиента, для этого перейдем в директорию центра сертификации и загрузим переменные:\n1cd /etc/openvpn/easy-rsa 2source ./vars Затем создадим ключевую пару клиента командой:\n1./build-key client где client -имя клиента, мы также рекомендуем давать им осмысленные имена.\nТеперь скопируем файлы, которые необходимо передать на компьютер клиента в домашнюю директорию и изменим их владельца (по умолчанию владелец - root), чтобы вы смогли их скопировать с помощью любого FTP или SFTP клиента. В нашем случае имя пользователя ubuntu:\n1cd /etc/openvpn/easy-rsa/keys 2cp ca.crt client.crt client.key ~ 3cd ~ 4chown ubuntu:ubuntu ca.crt client.crt client.key Помните, что закрытый ключ клиента client.key является секретным и следует избегать его передачи по открытым каналам связи.\nТакже не будет лишним сразу скопировать шаблон клиентской конфигурации:\n1cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client.ovpn После чего скопируйте все эти файлы на клиент и установите на нем OpenVPN, в Windows системах советуем изменить путь установки OpenVPN на более короткий и без пробелов, скажем, C:\\OpenVPN.\nЗатем откроем файл client.ovpn, который в Windows системах должен быть расположен в C:\\OpenVPN\\config, а в Linux в /etc/openvpn, и внесем в него следующие изменения:\n1client 2dev tun 3proto udp Данные опции задают клиентский режим работы, тип туннеля и используемый протокол UDP.\nЗатем укажем адрес сервера:\n1remote 111.222.333.444 1194 Следующая опция предписывает клиенту постоянно разрешать имя OpenVPN-сервера, имеет смысл если мы указываем сервер по FQDN-имени, а не IP-адресу.\n1resolv-retry infinite Для Linux систем обязательно укажите:\n1user nobody 2group nogroup В Windows данные опции следует обязательно закомментировать.\nПроконтролируем наличие следующих опций:\n1persist-key 2persist-tun Укажем пути к ключам и сертификатам, для Linux систем подразумеваем их нахождение в /etc/openvpn/keys:\n1ca keys/ca.crt 2cert keys/client.crt 3key keys/client.key Для Windows систем предположим их нахождение в C:\\OpenVPN\\keys:\n1ca C:\\\\OpenVPN\\\\keys\\\\ca.crt 2cert C:\\\\OpenVPN\\\\keys\\\\client.crt 3key C:\\\\OpenVPN\\\\keys\\\\client.key Также обязательно закомментируем опцию:\n1#tls-auth ta.key 1 Включим защиту от атак типа \u0026quot;человек посередине\u0026quot;:\n1remote-cert-tls server И укажем используемый шифр, он должен совпадать с указанным на сервере:\n1cipher AES-128-CBC Остальные опции можно оставить без изменений. Сохраним файл и запустим OpenVPN-клиент.\nУбедиться, что вы выходите в интернет через VPN-канал можно при помощи любого сервиса, показывающего ваш IP-адрес, например, 2ip.ru: Обращаем внимание на национальную принадлежность адреса, в данном случае мы выходим в интернет из Штатов.\nСамое время провести замер скорости доступа, мы будем использовать для этого популярный сервис SpeedTest. Первый замер без VPN: Второй через OpenVPN-канал: Сразу обращаем внимание на выросший пинг - это последствия размещения сервера в Штатах, а также скорость скачивания не выше 10 Мбит/с - ограничение бесплатного тарифа Oracle, хотя в большинстве случаев этого вполне достаточно для комфортного серфинга.\nНапоследок затронем еще один момент. Мы настроили сервер таким образом, что он автоматически конфигурирует клиента на доступ в интернет через OpenVPN-подключение, но бывают случаи, когда это не нужно. Допустим вы хотите пустить через VPN только некоторые ресурсы, а остальной доступ должен осуществляться через локального провайдера. В таком случае добавьте в конфигурационный файл клиента опцию:\n1route-nopull После чего клиент будет игнорировать передаваемые с сервера опции маршрутизации и DHCP-опции, такие как DNS-сервера и т.п.\n","id":"f0820fd3cdb45da3791b9444be09c628","link":"https://interface31.ru/post/nastroyka-openvpn-servera-dlya-dostupa-v-internet/","section":"post","tags":["Debian","OpenVPN","Ubuntu Server","VPN","Безопасность"],"title":"Настройка OpenVPN-сервера на VPS"},{"body":"Все любят, когда что-либо раздают бесплатно, особенно если это полезные в хозяйстве вещи. Два виртуальных выделенных сервера в хозяйстве системного администратора или веб-разработчика вещь безусловно полезная. Но также все привыкли, что \u0026quot;бесплатные\u0026quot; предложения не всегда такими являются и всегда нужно внимательно читать то, что написано мелким шрифтом. Поэтому перед тем, как публиковать эту заметку мы досконально разобрались в предложении от Oracle, которое действительно бесплатное, но имеет определенные ограничения, достаточно существенные для многих сценариев.\nВ чем состоит суть данного предложения? Компания Oracle в рамках своего облачного сервиса предоставляет на условиях \u0026quot;бесплатно навсегда\u0026quot; ряд услуг, а именно:\n2 базы данных Oracle Autonomous Database, каждая с 1 OCPU (Oracle Cloud Processor Unit) и 20 ГБ хранилища; 2 виртуальные машины (VPS) Compute VM, каждой выделено с 1/8 OCPU и 1 Гбайт оперативной памяти; 2 блочных тома общей ёмкостью до 100 Гбайт, до 5 бесплатных резервных копий. А также ряд дополнительных сервисов, таких как:\n10 Гбайт объектного облачного хранилища; 10 Гбайт архивного хранилища; 50 000 запросов API в месяц; 1 балансировщик нагрузки с пропускной способностью 10 Мбит/с; 10 Тбайт/месяц на передачу исходящих данных. Данное предложение выглядит достаточно интересно. Для его получения следует просто зарегистрировать учетную запись в облачном сервисе Oracle по адресу: https://www.oracle.com/cloud/free/#always-free Для успешной регистрации вам потребуется номер телефона и действующая банковская карта, с которой будет списан и сразу возвращен 1$ или 1€, если нужной суммы на карте не окажется, то регистрация будет невозможна. Виртуальные карты не принимаются, во всяком случае у нас не получилось зарегистрироваться, используя виртуальные карты ЯндексДеньги и Киви.\nТакже коллеги сообщают, что не на всех операторов приходят СМС, указывая на проблемы с Мегафоном, со своей стороны мы использовали МТС и ТЕЛЕ2 без каких-либо проблем.\nВсе регистрации проверяются вручную, это может занять от 3 дней до недели. Кроме того, следует соблюдать ряд условий:\nIP-адрес должен соответствовать указанной при регистрации стране; Телефон и банковская карта также должны быть этой страны. Можно ли зарегистрировать несколько аккаунтов? Можно, для каждого из них потребуется свой адрес электронной почты, свой телефон и своя карта.\nПривязка банковской карты у многих вызывает опасения, которые вполне обоснованы, не будет ли компания потом списывать какие-то дополнительные средства или не переведет без спроса на платный тариф. Но в данном случае все достаточно прозрачно, за что Oracle можно смело поставить плюс. После того как вы войдете в аккаунт в шапке появится предупреждение:\nВы участвуете в акции бесплатного пробного доступа. По окончании пробного периода доступ для вашей учетной записи будет ограничен только ресурсами категории \u0026quot;Всегда бесплатно\u0026quot;. Вы можете в любое время перейти на платный тариф.\nА на страницах с отдельными услугами будут размещены дополнительные пояснения, например, для Блочных томов:\nВы можете бесплатно использовать в своем домене доступности 100 ГБ хранилища блочных томов. Сейчас вы используете 47 ГБ. Если вы будете использовать более 100 ГБ и не перейдете на платный тариф до окончания бесплатного пробного периода, ваши данные будут удалены.\nПолитика, на наш взгляд, правильная. Это поможет избежать ситуаций, когда пользователь случайно или по неопытности подключил лишние услуги и потом \u0026quot;неожиданно\u0026quot; оказался должен денег. Нет, Oracle не благотворительная организация, ее цель - привлечь пользователей в свое облако и негатив тут будет только мешать, особенно при наличии на этом рынке иных крупных игроков.\nПерейдем к наиболее интересной части предложения - виртуальным машинам. В настоящий момент 1/8 OCPU представляет два ядра от AMD EPYC 7551 32-Core Processor, что вместе с 1 ГБ оперативной памяти составляет, на первый взгляд, достаточно неплохую для бесплатного VPS конфигурацию.\nНо тесты показывают, что чудес не бывает:\n1Processor: AMD EPYC 7551 32-Core Processor 2CPU cores: 2 3Frequency: 1996.242 MHz 4RAM: 982M 5Swap: - 6Kernel: Linux 4.15.0-1025-oracle x86_64 7 8CPU: SHA256-hashing 500 MB 9 10.869 seconds 10CPU: bzip2-compressing 500 MB 11 19.393 seconds 12CPU: AES-encrypting 500 MB 13 4.822 seconds Для сравнения ниже приведен результат недорого VPS от европейского хостера HostEurope по тарифу Starter за 9,99 € в месяц:\n1Processor: Intel(R) Xeon(R) CPU E5-2640 v3 @ 2.60GHz 2CPU cores: 2 3Frequency: 2596.785 MHz 4RAM: 2,0G 5Swap: 1,0G 6Kernel: Linux 3.16.0-042stab134.8 x86_64 7 8CPU: SHA256-hashing 500 MB 9 3.321 seconds 10CPU: bzip2-compressing 500 MB 11 5.659 seconds 12CPU: AES-encrypting 500 MB 13 1.612 seconds Разница по производительности CPU примерно в три раза, т.е. от идеи поставить туда что-то ресурсоемкое, тот же Bitrix, можно сразу отказаться. Хотя производительность вполне достаточна для простых задач и примерно соответствует совсем бюджетным VPS за 2-3$ в месяц.\nНо есть еще один момент, который вносит существенные ограничения по применению бесплатных серверов, это скорость доступа к дисковой подсистеме:\n1ioping: seek rate 2 min/avg/max/mdev = 418.0 us / 601.2 us / 3.94 ms / 151.8 us 3ioping: sequential read speed 4 generated 1.18 k requests in 5.00 s, 294 MiB, 235 iops, 58.8 MiB/s 5 6dd: sequential write speed 7 1st run: 48.83 MiB/s 8 2nd run: 49.02 MiB/s 9 3rd run: 49.11 MiB/s 10 average: 48.99 MiB/s 50 МБ/с - это скорость даже не захудалого ноутбучного HDD, а скорее неплохой флешки. Любая сколь-нибудь серьезная нагрузка на сервер упрется в первую очередь в диски. Ну и \u0026quot;вишенка на торте\u0026quot; - пропускная способность сети:\n1IPv4 speedtests 2 3 Cachefly CDN: 5.79 MiB/s 4 Leaseweb (NL): 3.14 MiB/s 5 Softlayer DAL (US): 4.28 MiB/s 6 Online.net (FR): 5.71 MiB/s 7 OVH BHS (CA): 5.05 MiB/s Да, всего лишь 5 МБ/с или примерно 42 Мбит/с. В общем Oracle сделало все, чтобы затруднить использование своих VPS в качестве хостинга.\nНо неужели все так плохо? Ну как сказать... Для бесплатного предложения сервера достаточно неплохие, просто следует понимать, что Oracle не Дед Мороз и преследует вполне коммерческие цели, а данное предложение - возможность бесплатно ознакомиться с услугами и протестировать в облаке свои приложения.\nТем не менее данные сервера могут оказаться достаточно неплохим подспорьем для всех, кто хочет попробовать какие-либо веб проекты, но не имеет желания или возможности оплачивать даже недорогой VPS. Производительности VPS от Oracle вполне достаточно для размещения даже достаточно сложных проектов без высокой посещаемости, позволяя существенно сэкономить средства на своих экспериментах.\nТакже данное предложение будет интересно в качестве тестовой площадки доступной 24/7 из любой точки мира, а также для размещения не требующих высокой производительности внешних сервисов.\nВ общем и целом, с учетом его бесплатности, предложение очень даже хорошее, просто не следует испытывать завышенных ожиданий и четко представлять себе имеющиеся возможности и ограничения.\n","id":"b3a0798e8606219814490cd4a71304a6","link":"https://interface31.ru/post/oracle-razdaet-besplatnye-vps-navsegda/","section":"post","tags":["Oracle","VPS","Бесплатно","Производительность","Сайт"],"title":"Oracle раздает бесплатные VPS навсегда"},{"body":"Любая диагностика или наблюдение за состоянием системы начинается с изучения логов. При этом бывают ситуации, когда логи хотелось бы видеть в режиме реального времени, что позволит лучше понять причинно-следственные связи и увидеть реакцию системы на выполняемые действия. То, о чем мы расскажем в данной заметке - известно многим, но, как показывает практика, многие начинающие не знают этих способов, поэтому не будет лишним в очередной раз обратиться к этой теме.\nLinux В Linux подавляющее большинство логов являются обычным текстом, что делает работу с ними возможной при помощи широкого спектра утилит. Одна из них - это tail (англ. хвост), по умолчанию она выводит 10 последних строк указанного текстового файла. А еще она умеет выводить на экран последние строки по мере их добавления. Это как раз то, что нам нужно. Допустим мы хотим видеть в реальном времени лог доступа к сайту:\n1tail -f /var/log/apache2/access.log После чего вы сразу увидите на экране 10 последних строк лог-файла и все добавляемые позже в режиме реального времени. Это удобно, теперь мы можем в одном окне выполнять какие-либо действия, а во втором сразу видеть реакцию на них.\nНачинающим администраторам достаточно часто приходится обращаться за помощью к коллегам или на форумы и первое что от них попросят - это логи. Но взять и отправить файл лога целиком - это очень плохая идея, вряд ли кто-то захочет разбираться в чужих логах, да и вы тем самым покажете свое неуважение к тем, кто хотел бы вам помочь. Отправить случайный участок лога, в надежде что кто-то в нем разберется? Тоже нехорошо.\nА тем временем сделать правильно очень просто. Достаточно использовать приведенную выше команду и направить ее вывод в файл:\n1tail -f /var/log/apache2/access.log \u0026gt; ~/my_log.log На экране теперь строки лога появляться не будут, они будут записаны в файл my_log.log в домашней директории. После чего выполните с системой необходимые действия, результат которых должен попасть в лог, прервите действие команды по Ctrl+C и можете смело описывать проблему коллегам, не забыв приложить полученный файл.\nТакже вы можете использовать другие утилиты для обработки результатов вывода, допустим вам нужно убрать из лога сообщения, относящиеся к другим узлам сети и оставить только собственные. Так как в нашем логе фиксируется IP источника можно очень просто отфильтровать записи:\n1tail -f /var/log/apache2/access.log | grep 192.168.16.187 \u0026gt; ~/my_log.log Здесь мы перенаправили выходной поток от tail на вход команды grep, которая выберет только те строки, в которых присутствует искомый адрес. Подобную конструкцию можно использовать и при интерактивном выводе на экран.\nА если мы хотим одновременно видеть лог на экране и при этом записывать его в файл? Все просто, вместо перенаправления вывода передадим результат по конвейеру еще одной команде:\n1tail -f /var/log/apache2/access.log | grep 192.168.16.187 | tee ~/my_log.log Здесь мы использовали команду tee (тройник), которая одновременно выводит переданный ей стандартный поток ввода на экран и записывает в указанный файл.\nWindows Системные логи Windows хранятся в Журналах событий, которые имеют специализированный формат и хранятся в файлах .evt и .evtx, которые просмотреть подобным образом не удастся, но логи многих системных служб и приложений используют простой текстовый формат, а следовательно дают возможность работать с ними интерактивно.\nВ качестве аналога команды tail используем один из командлетов PowerShell:\n1Get-Content C:\\OpenVPN\\log\\openvpn.log -Wait Данная команда выведет на экран весь лог и продолжит отображать новые строки. Если лог большой, то это может быть неудобно, поэтому добавим в команду еще один параметр, в котором укажем какое количество последних строк мы хотим видеть, допустим пять:\n1Get-Content C:\\OpenVPN\\log\\openvpn.log -Wait -Tail 5 Точно также мы можем перенаправить вывод команды в файл:\n1Get-Content C:\\OpenVPN\\log\\openvpn.log -Wait -Tail 5 \u0026gt; S:\\my_log.log Или выполнить отбор по интересующему нас вхождению используя возможности РowerShell, например отберем только события AUTH_FAILED, включив в отбор также последние сто строк лога:\n1Get-Content C:\\OpenVPN\\log\\openvpn.log -Wait -Tail 100 | where { $_ -match \u0026#34;AUTH_FAILED\u0026#34;} Точно также, как и в Linux мы можем одновременно просматривать и записывать логи, для этого используем аналогичную команду Tee-Object:\n1Get-Content C:\\OpenVPN\\log\\openvpn.log -Wait -Tail 100 | where { $_ -match \u0026#34;AUTH_FAILED\u0026#34;} | Tee-Object -FilePath S:\\my_log.log В данной заметке мы не претендовали на всестороннее освещение затронутой темы, а всего лишь хотели напомнить о существовании удобных инструментов для интерактивной работы с текстовыми логами. Надеемся данный материал окажется вам полезен.\n","id":"74ee5910e287bfdd5e5da4ebf9411b2e","link":"https://interface31.ru/post/adminu-na-zametku---26-kak-prosmatrivat-log-fayl-v-rezhime-real-nogo-vremeni-v-windows-i-linux/","section":"post","tags":["Linux","PowerShell","Windows Server","Диагностика"],"title":"Админу на заметку - 26. Как просматривать лог-файл в режиме реального времени в Windows и Linux"},{"body":"Ограничение доступа к тем или иным ресурсам сети интернет на основе списков достаточно популярный способ фильтрации, несмотря на его недостатки. Действительно, в большинстве случаев требуется заблокировать достаточно небольшой список ресурсов, скажем, соцсети, с чем данный метод вполне успешно справляется. В данной статье мы поговорим о том, как настроить фильтрацию по спискам на роутерах Mikrotik, тем более что RouterOS предоставляет нам для этого достаточно широкие возможности.\nПрежде всего поговорим об особенностях фильтрации в условиях современного интернета. Основной тенденцией последних лет является массовый переход на протокол HTTPS. Что это означает? В отличие от HTTP, который передает данные открытым текстом, HTTPS использует SSL-шифрование и все, что мы можем увидеть для такого соединения - это домен назначения. Какие именно страницы посещает пользователь на указанном домене и какие данные оттуда передаются мы видеть не можем.\nИз этого следует, что мы не можем блокировать отдельные страницы, но можем заблокировать домен целиком. Для большинства сценариев этого вполне достаточно. Но здесь нас подстерегает другая неприятность, многие сайты используют CDN (Content Delivery Network, сеть доставки контента), такие как CloudFlare и заблокировав нужный вам сайт вы можете также ограничить доступ к большому количеству сторонних ресурсов. Что из этого может выйти все мы видели во время ковровых блокировок РКН против Телеграм.\nТакже следует понимать, что блокировка посредством черных списков применима лишь к небольшому числу ресурсов, например, популярные соцсети, попытка таким образом фильтровать весь нежелательный трафик выливается в необходимость постоянной актуализации списков и может привести к высокой нагрузке на оборудование. Для таких целей лучше использовать специализированные сервисы.\nДругой вариант - белые списки, при всей видимой простоте и надежности, сталкиваются с другой проблемой. Многие сайты активно используют внешние ресурсы, с которых подгружают скрипты, шрифты, стили и т.д. и т.п. и некоторые из них могут являться критичными для обеспечения полноценной работы. Также могут возникнуть проблемы с HTTPS, если браузер не сможет проверить статус SSL-сертификата. Все это потребует грамотного анализа и добавления в белый список всех тех узлов, которые необходимы для нормальной работы каждого из разрешенных сайтов.\nСоздаем списки Для настройки фильтрации нам понадобятся минимум два списка: список доменов и список пользователей. С доменами понятно, это те сайты, к которым мы хотим запретить доступ или, наоборот, разрешить. Создаются такие списки просто: IP - Firewall - Address Lists где добавляем новый адрес, в поле Name вписываем имя листа, если это первая запись, либо выбираем его из выпадающего списка. В поле Address указываем IP-адрес или доменное имя ресурса, при указании доменного имени в список будут внесены все IP-адреса сайта, и они будут обновляться с периодичностью указанной в TTL домена. В нашем случае мы добавили домен yandex.ru в список WL (whitelist, белый список). Обратите внимание, что адреса www.example.com и example.com - это разные доменные имена, которые могут иметь разные IP-адреса (в целях балансировки нагрузки) и поэтому следует добавлять оба варианта (или проверять что между ними нет расхождений).\nВ командной строке это же действие можно выполнить так:\n1/ip firewall address-list 2add address=yandex.ru list=WL Таких списков мы можем создать сколько нам нужно, причем один и тот же адрес может входить сразу в несколько списков. Это удобно, если нужно обеспечить для разных групп пользователей доступ к разному набору сайтов. В итоге у вас должно получиться примерно следующее: В данном примере реализовано два списка: WL - белый список и BL - черный список. Обычно в реальной жизни используется что-то одно, в нашем случае создание данных списков обусловлено сугубо учебными целями.\nС доменами разобрались, остались пользователи. Существуют две политики применения правил: разрешено всем, кроме группы пользователей и запрещено всем, кроме группы пользователей. В любом случае у нас имеется группа пользователей, которая либо подвергается ограничениям, либо выводится из-под их действия. В грамотно спроектированной системе такая группа должна являться меньшинством, что обеспечит минимальную нагрузку на сетевое оборудование.\nТакже вспомним, что в руках у нас роутер, т.е. устройство, работающее на сетевом уровне (L3), а значит основные параметры, с которыми он может работать - это адрес источника и адрес назначения. Адрес назначения - это домен, выше мы его уже разобрали. Адрес источника - это как раз пользователь, точнее - сетевое устройство пользователя. В самом простом случае мы можем создать еще один список и добавить туда IP-адреса нужных устройств.\nНо на практике адреса раздаются сервером DHCP, это не проблема, создаем резервирование IP-адреса, для чего следует перейти в IP - DHCP-Server - Leases и открыв запись нужного адреса нажать Make Static. После чего закрываем и снова открываем запись и в поле Address List вводим, если это первая запись, или выбираем имя списка, куда будет добавлен IP-адрес данного компьютера, в нашем случае это список USER. Либо через командную строку:\n1/ip dhcp-server lease 2add address=192.168.186.199 address-lists=USER mac-address=00:0C:29:B4:D0:05 server=dhcp1 Таким образом мы получаем список пользователей, либо несколько списков, в которых указанные адреса будут находиться до тех пор, пока на сервере активно резервирование.\nЧерный список Начнем с самого простого сценария - черного списка. Сначала настроим вариант, когда такой список применяется ко всем пользователям, кроме членов списка USER. Для этого перейдем в IP - Firewall - Filter Rules и создадим новое правило. На закладке General укажем Chain - forward и In. Interface - bridge1: На закладке Advanced указываем Src. Address List - USER и ставим перед ним восклицательный знак (символ инверсии правила), что будет означать кроме входящих в группу. В поле Dst. Address List указываемBL - т.е. наш черный список доменов. И наконец на закладке Action указываем действие, обычно везде в интернете указывают drop, хорошо, укажем и мы. Данное правило должно располагаться самым первым в цепочке FORWARD, выше FastTrack.\nТеперь попробуем посетить запрещенный сайт: Страничка не грузится, однако браузер не понимает в чем дело и продолжает попытки ее грузить (т.е. в заголовке вкладки постоянно крутится колесико), это нагружает ресурсы ПК и не вносит ясности пользователю. Так происходит из-за того, что мы просто убиваем пакеты - действие drop, и отправитель не понимает почему нет ответа. Поэтому для внутренних ресурсов лучше использовать действие reject, которое отправляет назад пакет с сообщением что ресурс недоступен.\nПосле замены действия при повторной попытке посетить ресурс мы сразу увидим сообщение о его недоступности: Быстро добавить правило через командную строку можно так:\n1/ip firewall filter 2add action=reject chain=forward dst-address-list=BL in-interface=bridge1 reject-with=icmp-network-unreachable src-address-list=!USER Теперь немного изменим задачу, применим черный список только к группе USER. Для этого немного изменим условия на закладке Advanced, а именно укажем Src. Address List - USER без восклицательного знака, в итоге условие будет читаться как: если источник в группе USER и назначение в группе BL. Или в командной строке:\n1/ip firewall filter 2add action=reject chain=forward dst-address-list=BL in-interface=bridge1 reject-with=icmp-network-unreachable src-address-list=USER Таким образом фильтрация по черным спискам не представляет особых сложностей. Все упирается в эти самые списки, которые нужно составлять и поддерживать в актуальном состоянии. Загрузить в роутер готовые списки из интернета также не очень хорошая идея, потому как каждый пакет будет проверяться на вхождение в список, что может вызвать серьезную нагрузку на роутер, при том, что подавляющее большинство адресов из этого списка ваши пользователи могут никогда не посещать. Поэтому следует трезво оценивать собственные ресурсы и возможности и применять списки там, где это действительно нужно.\nБелые списки На первый взгляд организация доступа в сеть по белым спискам ничем принципиально не отличается от черных, однако это не так, выше мы уже говорили почему и далее покажем это на примерах. А пока реализуем схему с доступом по белым спискам для всех, кроме группы USER.\nСнова перейдем в IP - Firewall - Filter Rules и создадим новое правило. На закладке General также укажем Chain - forward и In. Interface - bridge1, на Advanced указываем Src. Address List - !USER и Dst. Address List - !WL: И на закладке Action указываем действие reject. Таким образом данное правило будет блокировать все соединения, если адрес отправителя не входит в группу USER и адрес назначения не входит в белый список WL.\nАналогичное действие через консоль:\n1/ip firewall filter 2add action=reject chain=forward dst-address-list=!WL in-interface=bridge1 reject-with=icmp-network-unreachable src-address-list=!USER Данное правило также следует располагать первым в цепочке FORWARD.\nДобавим к разрешенным несколько адресов, в нашем случае yandex.ru и interface31.ru и попробуем открыть один их них. Яндекс открывается, но выглядит довольно непривычно. Многие картинки, которые располагаются на иных серверах, включая сервера самого Яндекса, но имеющего другие IP-адреса просто не подгружаются. Хотя никаких фатальных последствий это не несет, как поисковик Яндекс работает. А вот в почту войти уже не получится, для этого придется разрешить как минимум mail.yandex.ru и passport.yandex.ru.\nТеперь попробуем открыть наш сайт. А вот тут первый неприятный сюрприз: Что это значит? Браузер не может проверить подлинность сертификата, а так как наш сайт использует HSTS, то доступ к нему будет невозможен, потому как подобные действия могут указывать на атаку с понижением степени защиты, чему HSTS должен препятствовать.\nДля того, чтобы браузер смог проверить сертификат нам нужно разрешить доступ к сведениям центра сертификации, адреса нужных узлов можно найти в самом сертификате сайта: В нашем случае оказалось достаточно добавить узел ocsp.int-x3.letsencrypt.org, сайт загрузился, но без комментариев, так как они реализованы на стороннем ресурсе и разрешение доступа к нему не решило проблемы. В этом случае вам придется либо заниматься долгим и кропотливым выяснением необходимых для работы ресурсов и занесением их в белый список, либо отказываться от части функционала сайтов.\nЧтобы применить белый список только к участникам группы немного изменим правило: в Adwanced указываем Src. Address List - USER, т.е. без восклицательного знака. Теперь логика правила изменится и будут блокироваться все соединения для группы USER, кроме тех, которые разрешены белым списком. Либо в командной строке:\n1/ip firewall filter 2add action=reject chain=forward dst-address-list=!WL in-interface=bridge1 reject-with=icmp-network-unreachable src-address-list=USER Как видим, технически организовать доступ по белым спискам не так уж сложно, гораздо сложнее обеспечить полноценную работу разрешенных сайтов, что требует достаточно долгой и кропотливой работы по выявлению и добавлению в список связанных ресурсов.\nLayer 7 protocol Layer 7 protocol - это методика поиска определенных вхождений в ICMP/TCP/UDP потоках при помощи регулярных выражений. На первый взгляд достаточно интересная возможность, существенно расширяющая степень контроля над проходящим трафиком, но есть один существенный недостаток. Как уже понятно из названия, данный вид фильтрации работает на прикладном (L7) уровне, т.е. полностью обрабатывается CPU и даже при небольшом количестве правил способен создать сильную нагрузку на оборудование, особенно старые (не ARM) модели.\nИспользовать L7 для блокировки сайтов не рекомендуют сами разработчики Mikrotik, справедливо замечая, что в большинстве случаев это не будет работать так, как задумано, но при этом вы будете впустую растрачивать вычислительные ресурсы роутера. На наш взгляд использовать L7 для задач, связанных с доступом к сайтам вообще бессмысленно. Современный трафик в подавляющем большинстве шифрованный и различного рода конструкции для анализа URL просто не будут работать, а управлять доступом на основе доменного имени вполне можно и на L3 (чем мы занимались выше).\nПо этой же самой причине не будут работать многие размещенные в интернете инструкции, где трафик фильтровался по содержимому, типам файлов или потоков, использовал параметры запросов и т.д. и т.п. Хотя мы до сих пор встречаем статьи, в которых по L7 пытаются блокировать соцсети или Youtube, мотивируя это большим числом адресов, использованием CDN, поддоменов и т.д. и т.п. Однако все это не выдерживает никакой критики, соцсети и видеохостинги прекрасно блокируются по доменному имени.\nМы не рекомендуем использовать L7 во всех тех случаях, когда задачу можно решить иным образом, применяя его только для решения специфичных задач. Например, выявления и блокировки какого-либо вида трафика.\nПоставим для примера следующую задачу: заблокировать возможность установления SSH-соединений для клиентов сети. Решение в лоб - заблокировать исходящие соединения на 22 порт не принесет успеха, так как SSH-сервер может работать на произвольном порту. Поэтому нужно при помощи специальных паттернов определить наличие именно SSH-трафика и каким-то образом его блокировать.\nГде брать паттерны? Опытные пользователи могут запустить сетевой сканер (tcpdump, Wireshark) и проанализировать доступное содержимое пакетов и на основании полученной информации составить регулярное выражение. Либо воспользоваться сайтом l7-filter.sourceforge.net, однако большая часть паттернов оттуда работать не будет. Во-первых, сайт достаточно старый, последний раз обновлялся в 2009 году, во-вторых, очень многие протоколы перестали использоваться в открытом виде, а используют SSL-шифрование. В этом случае вы просто увидите SSL-поток, блокировать который бессмысленно, так как вы заблокируете практически весь интернет.\nДля решения нашей задачи сначала перейдем в IP - Firewall - Layer 7 protocol и создадим новый фильтр: в поле Name напишем произвольное имя, в нашем случае SSH, а в поле Regexp внесем регулярное выражение паттерна:\n1^ssh-[12]\\.[0-9] Также можно выполнить команду в терминале:\n1/ip firewall layer7-protocol 2add name=SSH regexp=\u0026#34;^ssh-[12]\\\\.[0-9]\u0026#34; Что делать дальше? Самое очевидное решение - использовать данный фильтр в правилах брандмауэра является примером того, как делать не надо. В этом случае через L7 фильтр будет проходить каждый пакет, что вызовет сильную нагрузку на CPU роутера.\nПоэтому мы пойдем другим путем и на основании L7 фильтра будем маркировать соединения, которых гораздо меньше, чем пакетов. Перейдем в IP - Firewall - Mangle и создадим новое правило: на закладке General выставляем Chain - prerouting, Protocol - tcp и Сonnection Mark - no mark: На закладке Advanced указываем использование созданного нами фильтра Layer 7 Protocol - SSH: В Action указываем действие mark-connection, задаем марку соединения New Connection Mark - SSH-CONN и обязательно ставим флаг Passthrough для прохождения пакета далее по цепочке: Затем добавим еще одно правило: General - Chain - prerouting, Protocol - tcp иConnection Mark - SSH-CONN: А в действиях добавим mark packet, New Packet Mark - SSH-PCK и снимем флаг Passthrough: Все тоже самое быстро делается в командной строке:\n1/ip firewall mangle 2add action=mark-connection chain=prerouting connection-mark=no-mark layer7-protocol=SSH new-connection-mark=SSH-CONN passthrough=yes protocol=tcp 3add action=mark-packet chain=prerouting connection-mark=SSH-CONN new-packet-mark=SSH-PCK passthrough=no protocol=tcp Многие читатели не работают с брандмауэром дальше таблицы Filter, поэтому что, что мы сейчас сделали в Mangle может показаться им какой-то особой магией. Коротко поясним наши действия. Первое правило проверяет все немаркированные соединения и те из них, которые сосуществуют фильтру L7, т.е. SSH-соединения получают метку SSH-CONN и продолжают движение по цепочке. Следующее правило проверяет соединения и все пакеты соединений, промаркированных как SSH-CONN снабжает меткой SSH-PCK.\nТаким образом мы пометили все пакеты, относящиеся к SSH-соединениям, но L7 фильтр мы используем только для соединений, не нагружая роутер проверкой каждого пакета. Теперь запретим транзит таких пакетов, для этого вернемся в IP - Firewall - Filter Rules и создадим правило, на закладке General которого укажем: Chain - forward, Рrotocol - tcp, In Interface - bridge1 и Packet Mark - SSH-PCK: На закладке Action ставим действие drop. То же самое в консоли:\n1/ip firewall filter 2add action=drop chain=forward in-interface=bridge1 packet-mark=SSH-PCK protocol=tcp Ставим это правило также в начало цепочки FORWARD и если вы все сделали правильно, то установить SSH-соединение из вашей сети больше никому не удастся. Следует понимать, что выше был лишь пример того, как можно использовать Layer 7 protocol на Mikrotik, в реальной ситуации следует несколько раз подумать и прибегать к возможностям L7 только тогда, когда все остальные варианты исчерпаны. Также старайтесь как можно более подробно описывать условия, для правил использующих L7 фильтры, чтобы максимально уменьшить нагрузку на процессор роутера.\nФильтрация по MAC-адресам Наши читатели с завидным постоянством спрашивают нас как можно организовать фильтрацию по MAC-адресам. Мы уже говорили и повторим еще раз, что считаем такую фильтрацию не самым оптимальным способом, потому что для идентификации следует использовать более высокоуровневые параметры: пользователя или IP-адрес. Но если сильно хочется, то почему бы и нет.\nСреди условий в правилах брандмауэра есть опция MAC-адреса, но в одном правиле можно указать только один адрес, т.е. для каждого MAC вам придется создать свою копию правила, что увеличит нагрузку на устройство и сделает набор правил трудночитаемым.\nВ тоже время MAC-адрес нам нужен для одной единственной цели - идентифицировать пользователя, что мы также можем сделать и по IP-адресу, для этого нам нужно будет преобразовать MAC в IP, который уже можно добавить в один из списков и использовать представленные нами выше правила. В этом нам снова поможет таблица Mangle.\nОткроем IP - Firewall - Mangle и добавим правило, на закладке General укажем Chain - prerouting, In Interface - bridge1, наAdvanced в поле Src. MAC Address укажем MAC-адрес нужного устройства. И на закладке Action добавим действие add src to address list, где в поле Address List укажем требуемый список пользователей, в нашем случае USER, а в поле Timeout укажите требуемое время жизни записи, это нужно для того, чтобы запись обновилась при смене обладателем MAC IP-адреса. На скриншоте мы, в тестовых целях, использовали 5 секунд, в реальной жизни руководствуйтесь здравым смыслом и выбирайте более высокие значения. Это же правило в командной строке:\n1/ip firewall mangle 2add action=add-src-to-address-list address-list=USER address-list-timeout=5s chain=prerouting in-interface=bridge1 src-mac-address=00:0C:29:B9:FF:2E Теперь первый пришедший с данного устройства пакет добавит его IP-адрес в указанный нами список, тем самым связав его с текущим MAC на время указанное в Timeout. Для каждого следующего устройства необходимо создать подобное правило, также не забывайте снабжать каждое из них комментарием, чтобы впоследствии вам и вашим коллегам было понятно о каком именно устройстве идет речь.\nЗаключение Как видим возможности RouterOS позволяют решать достаточно сложные задачи используя даже недорогие роутеры. Но следует понимать ограничения всех вышеперечисленных методов, осознавая их достоинства и недостатки. А также соотносить свои требования с возможностями оборудования. Если понимать и принимать во внимание эти факторы, то фильтрация по спискам на Mikrotik будет эффективным инструментом в руках администратора. В противном случае вы получите только разочарование и иные негативные последствия. Поэтому пожелаем вам благоразумия и напомним: хороший администратор выбирает для каждой задачи наиболее подходящий инструмент, что является признаком профессионализма. А фанатизм еще никого до добра не доводил.\n","id":"9f6a62cbc4d7c671db76a37ed2744665","link":"https://interface31.ru/post/nastroyka-chernogo-i-belogo-spiskov-v-routerah-mikrotik/","section":"post","tags":["Layer 7","MikroTik","Безопасность","Сетевые технологии"],"title":"Настройка черного и белого списков в роутерах Mikrotik"},{"body":"Настройка сетевой конфигурации системы виртуализации - одна из самых главных задач, она же вызывает наибольшие затруднения у начинающих. Поэтому начиная цикл статей о Proxmox мы сразу решили подробно разобрать этот вопрос. Тем более, что официальная документация довольно скупо освещает эту тему и может сложиться впечатление, что Proxmox ограничен в сетевых возможностях по сравнению с другими гипервизорами. Однако это не так, скорее даже наоборот, потому что перед нами открытое ПО и мы можем конфигурировать его именно так, как считаем нужным, даже если этих возможностей не было из коробки.\nЕсли обратиться к официальной документации, то там будет рассказано о двух основных сетевых конфигурациях: с использованием моста и маршрутизации. Приведенные примеры покрывают основные сценарии использования и не углубляются в подробности, но различные комбинации настроек для этих вариантов позволяют реализовывать самые разнообразные сетевые конфигурации. В данном материале мы рассмотрим базовые возможности Proxmox, не касаясь объединения сетевых адаптеров или использования Open vSwitch, потому как это отдельные темы, лежащие за рамками базовой настройки.\nВсе сетевые параметры настраиваются на уровне ноды, для этого перейдите на нужный сервер и раскройте Система - Сеть. Ниже показан пример нашего тестового сервера, где реализованы все те сетевые конфигурации, о которых мы будем говорить ниже. Внешняя сеть Сетевая конфигурация, создаваемая по умолчанию, когда и виртуальные машины, и гипервизор получают прозрачный доступ к вешней сети, подключенной через физический сетевой адаптер. Она же самая часто используемая, так как позволяет организовать простой доступ к виртуальным машинам, как к самым обычным узлам локальной сети. Присвоение интерфейсу моста IP-адреса фактически подключает к виртуальному коммутатору сам хост, т.е. гипервизор, который также прозрачно попадет во внешнюю сеть. Если в Hyper-V для подключения гипервизора к сети на хосте создавался еще один виртуальный сетевой адаптер, то в Proxmox для этого следует назначить IP-адрес интерфейсу моста. Ниже показан пример такой настройки: Фактически это сетевые настройки самого гипервизора. Обратите внимание, что сервера DNS указываются отдельно, в Система - DNS: Для того, чтобы подключить к такой сети виртуальную машину в настройках ее сетевого адаптера следует выбрать нужный мост (виртуальный коммутатор): Сетевые настройки виртуальной машины либо задаются вручную, либо могут быть получены от DHCP-сервера внешней сети.\nВнешняя изолированная сеть Данная конфигурация требует минимум двух сетевых адаптеров и предусматривает изоляцию гипервизора от внешней сети и виртуальных машин. Это может быть полезно при виртуализации пограничных устройства, например, шлюза. Либо когда виртуальные машины арендуются третьими лицами, либо находятся вне доверенной сети и доступ к гипервизору оттуда должен быть закрыт. Для создания изолированной внешней сети нам потребуется создать новый сетевой мост без сетевых настроек и привязать к нему физический адаптер (тоже без настроек), таким образом будет обеспечен доступ виртуальных машин во внешнюю сеть с изоляцией этой сети от гипервизора. Для доступа к самому гипервизору может быть использован либо другой сетевой адаптер (как показано на нашей схеме), так и созданная по умолчанию внешняя сеть с сетевым мостом. Оба варианта имеют право на жизнь, а во втором случае вы сможете также подключать виртуальные машины к разным виртуальным сетям. Поэтому не следует рассматривать приведенную нами схему как догму, это только один из возможных вариантов и выбран нами в целях упрощения схемы.\nДля примера мы подключили к такой сети виртуальную машину, которая тут же получила по DHCP адрес из внешней сети, никак не связанной с гипервизором. Внутренняя сеть с NAT Применяется в тех случаях, когда нужно изолировать виртуальные машины в собственной сети, но в тоже время обеспечить им доступ в интернет, а также доступ из внешней сети к некоторым из них (или отдельным сетевым службам). Широко используется в лабораторных сценариях, а также при работе с контейнерами. Обратите внимание, данная конфигурация не может быть изолирована от хоста, так как именно хост предоставляет ей службу трансляции сетевых адресов (NAT) и выступает шлюзом для виртуальных машин. Для настройки такой сети создайте новый сетевой мост без привязки к физическому адаптеру и назначьте ему IP-адрес из произвольной сети, отличной от внешней. Все изменения сетевой конфигурации требуют перезагрузки узла гипервизора, поэтому, чтобы не перезагружать узел дважды перейдем в консоль сервера и перейдем в директорию /etc/network, в котором будут присутствовать файлы interfaces - с текущей сетевой конфигурацией и interfaces.new - с новой, которая вступит в силу после перезагрузки. Откроем именно interfaces.new и внесем в конец следующие строки:\n1post-up echo 1 \u0026gt; /proc/sys/net/ipv4/ip_forward 2post-up iptables -t nat -A POSTROUTING -s \u0026#39;192.168.34.0/24\u0026#39; -o ens33 -j MASQUERADE 3post-down iptables -t nat -D POSTROUTING -s \u0026#39;192.168.34.0/24\u0026#39; -o ens33 -j MASQUERADE В качестве сети, в нашем случае 192.168.34.0/24, укажите выбранную вами сеть, а вместо интерфейса ens33 укажите тот сетевой интерфейс, который смотрит во внешнюю сеть с доступом в интернет. Если вы используете сетевую конфигурацию по умолчанию, то это будет не физический адаптер, а первый созданный мост vmbr0, как на скриншоте ниже: Перезагрузим узел и назначим виртуальной машине или контейнеру созданную сеть (vmbr1), также выдадим ей адрес из этой сети, а шлюзом укажем адрес моста. Не забудьте указать доступный адрес DNS-сервера и убедитесь, что виртуальная машина имеет выход в интернет через NAT.\nВнутренняя сеть Позволяет изолировать виртуальные машины от внешней сети и не предоставляет им доступ в интернет, используется в основном в лабораторных целях, когда в качестве шлюза будет выступать одна из виртуальных машин и обычно сочетается на хосте с одной из сетей, имеющих выход в интернет. Чтобы получить такую сеть, просто создайте еще один мост без привязки к адаптеру и назначьте ему IP-адрес из любой отличной от используемых сети.\nЧастная сеть Разновидность внутренней сети, которая подразумевает изоляцию не только от внешней сети, но и от хоста. Что позволяет получить полностью независимую сеть между виртуальными машинами, может быть полезна в лабораторных условиях, когда нужно смоделировать сеть, адресация которой пересекается с используемыми вами сетями. Для такой сети просто создайте еще один сетевой мост без каких-либо настроек: Подобные сети также обычно используются не самостоятельно, а в сочетании с иными типами сетей на хосте.\nОрганизуем службы DNS и DHCP для внутренних сетей Как вы уже могли заметить все адреса для виртуальных машин во внутренних сетях мы назначали вручную. Но можно это делать автоматически, сняв с себя еще одну заботу, это удобно, особенно в лабораторных и тестовых средах, где виртуальных машин много и назначать им адреса вручную может быть достаточно затруднительно.\nВ нашем примере мы организуем службы DNS и DHCP для внутренней сети с NAT и просто внутренней сети. Для первой мы должны будет выдавать адрес, шлюз и сервера DNS, для второй просто адрес. Данная конфигурация не является реальной, а создана нами исключительно в учебных целях.\nВ качестве серверов DNS и DHCP мы будем использовать уже известный нашим читателям пакет dnsmasq, который является простым и легким кеширующим DNS и DHCP-сервером. Установим его:\n1apt install dnsmasq Затем перейдем в конфигурационный файл /etc/dnsmasq.conf и найдем и приведем к следующему виду параметры:\n1interface= vmbrl, vmbr2 2listen-address= 127.0.0.1, 192.168.34.2, 192.168.35.2 Здесь мы явно указали интерфейсы и адреса, на которых будет работать наш сервер. С одной стороны, присутствует некоторая избыточность, но лучше так, чем потом, при изменении сетевых настроек в вашей сети неожиданно появится неавторизованный DHCP-сервер.\nЗатем укажем выдаваемые клиентам диапазоны адресов:\n1dhcp-range=interface:vmbr1,192.168.34.101,192.168.34.199,255.255.255.0,12h 2dhcp-range=interface:vmbr2,192.168.35.101,192.168.35.199,255.255.255.0,12h Обратите внимание на формат записи, перед каждой настройкой мы указываем сетевой интерфейс к которой она применяется.\nАналогичным образом зададим нужные DHCP-опции, в нашем случае это Option 3 и 6 (шлюз и DNS-сервер).\n1dhcp-option=interface:vmbr1,3,192.168.34.2 2dhcp-option=interface:vmbr1,6,192.168.34.2 3dhcp-option=interface:vmbr2,3 4dhcp-option=interface:vmbr2,6 Если настройки для моста vmbr1 не вызывают вопросов, то настройки для второй сети следует пояснить. Так как нам нужно передавать ей только IP-адрес и маску, без шлюза и серверов имен, то соответствующие опции следует передать пустыми, иначе будут переданы опции по умолчанию, где в качестве этих узлов будет передан адрес сервера.\nСохраняем конфигурационный файл и перезапускаем службу\n1service dnsmasq restart После чего в виртуальных машинах, подключенных к внутренним сетям, мы можем установить настройки для получения адреса через DHCP и убедиться, что все работает как надо.\n","id":"ad788cf4d6cb1ddc3612dbffe5fd8656","link":"https://interface31.ru/post/nastraivaem-set-v-proxmox-ve/","section":"post","tags":["Dnsmasq","Proxmox","Виртуализация","Сетевые технологии"],"title":"Настраиваем сеть в Proxmox Virtual Environment"},{"body":"С ростом значения интернета в нашей повседневной жизни все более востребованными становятся различные сетевые технологии. Если раньше VPN был преимущественно уделом крупных организаций, то сегодня он используется чуть ли не в каждой сети, действительно, сотрудники стали мобильными и удаленный доступ к ресурсам сети уже не блажь, а насущная необходимость. Настройка роутера Mikrotik как VPN-клиента вопрос, на первый взгляд, простой, но есть некоторые не очевидные моменты, которые мы разберем в данной статье.\nВ прошлых материалах мы уже коротко рассматривали типы VPN и обращали внимание на неоднозначность используемой терминологии, традиционно термином VPN называют клиент-серверные соединения, где кроме туннельного протокола применяются вспомогательные технологии для установления соединения и контроля его состояния, аутентификации пользователя, согласования параметров подключения и т.д. и т.п. Одним из таких протоколов является PPP.\nВ рамках данной статьи мы будем рассматривать варианты настройки Mikrotik именно в качестве клиента для поддерживаемых типов VPN-серверов, оставив за кадром туннельные подключения (GRE, IP-IP, EoIP и т.д.). Для работы с этим типом соединений используется специальный раздел PPP, на закладке Interfaces которого можно добавить сетевой интерфейс для нужного типа VPN-клиента. Поддерживаются PPTP, L2TP, SSTP и OpenVPN подключения. Также в списке присутствуют устаревший PPP и PPPoE, который используется для организации доступа в интернет, в данном контексте эти протоколы интереса не представляют. Также аналогичные действия можно выполнить и в разделе Interfaces, никакой разницы откуда вы будете добавлять сетевой интерфейс нет. Но не будем спешить и перейдем на закладку Profiles, где находятся профили используемые при коммутируемых подключениях. По умолчанию созданы два профиля: default и default-encryption, в которых содержатся некоторые настройки для подключения. Почему некоторые? Потому что большинство опций подключения задаются сервером и клиент должен применять именно их, иначе подключение будет невозможным. Поэтому если вы заглянете в эти профили, то увидите, что большинство настроек там не активно. Единственным различием двух профилей является опция Use Encryption, которая в default-encryption установлена в положение yes и требует обязательного шифрования подключения. Данная опция игнорируется протоколами SSTP и OpenVPN, которые всегда используют шифрованные подключения.\nОзначает ли это, что если мы выберем профиль default, то ваше соединение не будет шифроваться? Нет, если сервер использует шифрование и не допускает небезопасных подключений, то ваше соединение также будет зашифровано. Но вот если сервер разрешает небезопасные подключения, то клиент вполне может подключиться без шифрования, таким образом можно осуществить атаку с подменой сервера, когда вы получите незашифрованное подключение и не будете знать об этом. Поэтому если вам явно требуется шифрование канала всегда выбирайте профиль default-encryption.\nМы не советуем менять настройки в стандартных профилях, если вам нужно явно задать иные настройки подключения, то создайте собственный профиль. Также учтите, что опция Use Compression игнорируется для OpenVPN соединений, которые в реализации от Mikrotik не могут использовать сжатие трафика.\nPPTP-клиент Пожалуй, это самый простой в настройке тип соединений. Несмотря на то, что используемое в PPTP шифрование не является надежным, этот протокол продолжает широко использоваться благодаря низким накладным расходам и высокой скорости работы, например, для доступа в интернет.\nДля настройки PPTP клиента добавьте интерфейс типа PPTP Client и перейдите на закладку Dial Out, где расположены сетевые настройки. Опция Keepalive Timeout указывает время переподключения соединения в случае обрыва связи. Бытует мнение, что лучше делать это значение поменьше, мол быстрее будет переподключаться туннель. Но это не так, во-первых, при неполадках на сервере вы будете активно забивать канал и нагружать сервер служебным трафиком, а во-вторых, при кратковременных перебоях связи короткое время будет вызывать переподключение с обрывом всех соединений в канале, а большее значение позволит сохранить туннель. Особенно это актуально для мобильного интернета или беспроводных каналов.\nОпция Add Default Route создаст маршрут по умолчанию через туннель, т.е. направит туда весь исходящий трафик, указывайте ее только в том случае, если данный туннель основной способ доступа в интернет.\nНикаких иных особенностей и подводных камней здесь нет и если вы правильно указали настройки, то клиент должен будет без проблем подключиться к серверу.\nL2TP-клиент Говоря про L2TP, обычно подразумевают L2TP/IPsec, потому как без шифрования данный протокол в корпоративной среде не используется. Но есть и исключения, некоторые провайдеры, например, Билайн, используют чистый L2TP без шифрования. В этом случае настройки подключения будут выглядеть так: Для работы с L2TP/IPsec настройки будут немного иные, во-первых, используем профиль default-encryption и включаем использование IPsec установкой флага Use IPsec, при этом становится активным поле IPsec Secret, куда вводим предварительный ключ. Опция Allow Fast Path при использовании IPsec игнорируется и в ее установке нет никакого смысла, так же не забывайте про опцию Add Default Route, в большинстве корпоративных сценариев устанавливать ее не следует.\nВроде бы тоже ничего сложного в настройках L2TP/IPsec нет, но если вы попытаетесь подключиться к Windows Server, то у вас ничего не получится. В чем же дело? А дело в настройках IPsес, перейдем в IP - IPsec - Proposal и откроем настройку по умолчанию.Proposal или предложение IPsec содержит список алгоритмов защиты канала, которые устройство предлагает для установления соединения. Понятно, что для успешного установления канала поддерживаемые методы защиты должны совпадать. В предложении IPsec по умолчанию обращаем внимание на опцию PFS Group, она отвечает за применение технологии совершенной прямой секретности (Perfect forward secrecy, PFS), которая предусматривает создание уникальных сессионных ключей по алгоритму Диффи-Хеллмана, что делает невозможным расшифровку перехваченного IPsec трафика даже при наличии долговременных ключей (в данном случае предварительного ключа).\nWindows Server по умолчанию не поддерживает совершенную прямую секретность, поэтому PFS Group нужно выставить в состояние none, после чего соединение успешно установится.\nОбратите внимание, что в данном случае мы изменили настройку по умолчанию, но в данном случае это оправдано. Настройки IPsec достаточно сложны и вряд-ли человек не имеющий опыта работы с данной технологией сможет все правильно настроить с первого раза. Но это изменение следует учитывать при создании других соединений, использующих IPsec и приводить настройки с обоих сторон к общему виду.\nХотя более правильным является создание своего предложения (Proposal) и политики (Police) для каждого соединения, но эта тема далеко выходит за рамки статьи.\nSSTP-клиент Мы не будем останавливаться на уже описанных нами опциях, которые общие для всех видов коммутируемых подключений, а сосредоточимся на новых, свойственных именно этому типу VPN. SSTP относится к отдельной подгруппе SSL VPN, которые используют трафик практически не отличимый от HTTPS, что серьезно затрудняет выявление и блокирование таких туннелей.\nНа что следует обратить внимание при настройке? Давайте сначала посмотрим на окно настроек: Как видим, появилась опция Port, где мы можем указать порт подключения, по умолчанию это 443, но можно использовать и любой иной, если 443 порт занят, например, веб-сервером. Также SSTP может прекрасно работать через прокси, в этом случае вам потребуется указать адрес прокси-сервера и используемый им порт в опциях Proxy и Proxy Port.\nТакже вспоминаем, что SSTP всегда использует шифрование канала, поэтому оно будет работать вне зависимости от выбранного профиля, в данном случае default и default-encryption будут работать одинаково.\nТеперь перейдем к специфичным для протокола настройкам, которые мы обвели зеленой рамкой. Поле Certificate используется для указания клиентского сертификата в том случае, если сервер использует аутентификацию по сертификатам, в этом случае его потребуется загрузить на устройство и импортировать в разделе System - Certificates. Во всех остальных случаях в поле должно стоять none.\nTLS Version указывает на допустимые к использованию версии TLS, однако это определяется сервером, но следует стараться использовать только протокол TLS 1.2, что позволяет исключить атаки с понижением протокола.\nОпция Verify Server Certificate не является обязательной, но позволяет проверить подлинность сервера, исключая атаки типа человек посередине, для этого потребуется импортировать на Mikrotik сертификат центра сертификации (СА) выдавшего сертификат серверу.\nОпция Verify Server Address From Certificate позволяет убедиться, что IP-адрес подключения соответствует адресу для имени, указанного в сертификате. Также не является обязательной, но позволяет дополнительно убедиться, что подключаетесь вы именно к тому серверу.\nУстановка флага в поле PFS включает совершенную прямую секретность, но эта опция должна поддерживаться со стороны сервера.\nOpenVPN-клиент Реализация OpenVPN в Mikrotik вызывает много нареканий, так как сводит на нет все сильные стороны данной технологии и делает ощутимыми слабые. OVPN-клиент не поддерживает сжатие данных и работу по протоколу UDP, если первое не столь значимо на современных каналах, то OpenVPN поверх TCP имеет очень большие накладные расходы и вызывает как повышенную нагрузку на оборудование, так и плохую утилизацию канала. Поэтому от использования OpenVPN на Mikrotik по возможности следует отказаться.\nОбычно комплект для подключения OpenVPN клиента составляют сертификат СA, сертификат и закрытый ключ клиента, конфигурационный файл. Нам понадобятся только сертификат и ключ клиента, а если мы хотим проверять подлинность сервера, то еще и сертификат CA, но он не является обязательным для настройки подключения.\nПрежде всего загрузим сертификаты и ключи на Mikrotik, затем перейдем в System - Certificates и импортируем сертификат клиента. Он появится в списке сертификатов и напротив него будет буква T, что обозначает trusted, т.е. устройство доверяет этому сертификату. Затем импортируем ключ, здесь важно соблюдать именно эту последовательность, сначала сертификат, потом ключ. После успешного импорта ключа флаги сменятся на KT, где буква K обозначает наличие закрытого ключа для сертификата. Затем аналогичным образом импортируем сертификат CA сервера, импорт ключа для данного сертификата не нужен. Закрытый ключ CA является самой большой тайной и должен хранится с соблюдением всех мер предосторожности и не при каких обстоятельствах не должен покидать узел СA (центра сертификации). Теперь рассмотрим поближе окно настроек подключения, адрес подключения и порт не должны вызвать затруднений, а вот остальные опции нуждаются в пояснении, значимые мы выделили зеленой рамкой. Но сначала коснемся опций User и Profile. Первая используется только в случае аутентификации на сервере по имени и паролю, большинство OpenVPN серверов такой тип аутентификации не используют и в этом поле вы можете написать все что угодно, просто оно должно быть заполнено. Профиль также не имеет значения, так как OpenVPN всегда шифрует канал, а опцию сжатия игнорирует.\nMode задает режим работы канала, в терминах OpenVPN ip - это tun (L3), а ethernet - это tap (L2), следует помнить, что режим работы определяется сервером. В поле Certificate укажите импортированный сертификат клиента. Опции Auth и Cipher указывают на используемые сервером криптографические алгоритмы для аутентификации и шифрования, если вы укажете отличные от указанных в конфигурации сервера - то соединение установить не удастся. Если алгоритм аутентификации явно не указан в конфигурации сервера, то по умолчанию используется SHA1.\nПри настройке OpenVPN клиента на Mikrotik следует помнить, что сервер должен поддерживать соединения по протоколу TCP, без сжатия и TLS-аутентификации, в противном случае подключиться к серверу не удастся.\nОпция Verify Server Certificate позволяет проверить подлинность сертификата сервера, что защищает от атак типа человек посередине, но требует импорта сертификата CA сервера.\nМаршрутизация Если VPN соединение используется для доступа к корпоративной сети или предназначено для связи сетей, то вам потребуется указать маршруты для правильной пересылки пакетов. Так если мы хотим получить доступ к сети за VPN-севером, то нам потребуется создать маршрут к этой сети, указав в качестве шлюза интерфейс нашего VPN-клиента, например так: В данном примере мы отправляем все пакеты к сети 192.168.200.0/24 через L2TP-подключение l2tp-out1. Если вы понимаетеосновы маршрутизации, то указание правильных маршрутов для вас не составит труда.\nОтдельного внимания заслуживает опция Pref. Source, которая не является обязательной, но ее следует указывать, если роутер обслуживает несколько сетей, в ней указывается адрес, с которого роутер будет посылать пакеты по указанному маршруту. Без ее указания доступ роутера к ресурсам удаленных сетей может оказаться невозможным (как и удаленных сетей к нему), на работу клиентов в сетях это не влияет. В качестве значения следует указать адрес, принадлежащий той сети, к которой имеется маршрут с противоположной стороны (т.е. сети за сервером).\n","id":"b955349f8eb3081ff571eae0347890df","link":"https://interface31.ru/post/nastroyka-vpn-soedineniya-v-routerah-mikrotik/","section":"post","tags":["L2TP","MikroTik","OpenVPN","PPTP","SSTP","VPN","Сетевые технологии"],"title":"Настройка VPN-подключения в роутерах Mikrotik"},{"body":"Когда заходит речь об автоматизации торговых точек, то возникает вопрос выбора оборудования. Специфика области применения диктует свои требования, в которые обычные ПК вписываются довольно слабо и многие начинают обращать внимание на специализированные устройства - POS-терминалы. Достаточно привлекательно как по цене, так и по возможностям выглядит линейка POS-моноблоков от АТОЛ, в данной статье мы хотим обобщить свой опыт использования данного оборудования в связке с конфигурациями на платформе 1С:Предприятие.\nОчень часто при автоматизации кассовых мест первоначально пытаются использовать обычные ПК или ноутбуки, но очень скоро начинают понимать, что это не самая лучшая идея. Основная проблема кассового места, особенно в небольших магазинах - это катастрофическое отсутствие свободного места, так что поставить полноценный системник бывает решительно некуда, а если место для него и находится, то сверху и сбоку обязательно будет что-то лежать, ухудшая и так непростые условия вентиляции.\nНа второе место выходят проблемы физического воздействия: ударили, залили, дернули за провод и т.д. и т.п. Это не всегда приводит к фатальным проблемам, но тот-же выдернутый разъем в разгар вечернего наплыва покупателей способен доставить массу неприятных ситуаций, хорошо если при этом еще ничего не сломают.\nИсходя из всего этого возникает потребность в чем-то компактном и защищенном, причем не только в плане внешних воздействий, но и доступа к разъемам. И такое оборудование есть - это POS-моноблоки, да, они стоят несколько дороже, чем ПК на аналогичном железе, но их стоимость полностью окупается их возможностями.\nВ линейку моноблоков от АТОЛ входят несколько моделей: компактная 11\u0026quot; Optima, полноценные 15\u0026quot; Jazz и Smart и топовая ViVA II Turbo. Все они построены на платформах Bay Trail/Apollo Lake, которые мы уже рассматривали некоторое время назад и остались ей довольны.\nДля начала коротко пробежимся по линейке, а затем перейдем к тестам производительности.\nАТОЛ Optima Самое компактное устройство с экраном FullHD и диагональю 11\u0026quot;, по размерам ненамного больше того же Эвотора, но с гораздо более широкими возможностями. Цена тоже достаточно демократична, на момент написания статьи в розницу данный терминал можно было приобрести начиная от 24 000 руб. Скажем честно, за такую цену аналоги ему подобрать трудно и этот моноблок стал одним из самых популярных устройств для небольшой розницы и летом 2019 года на них был серьезный дефицит. Внешний вид устройства достаточно лаконичен: сенсорный 11\u0026quot; дисплей на всю переднюю панель, кнопка включения и два разъема USB 3.0 справа. А больше в принципе ничего и не надо. На задней панели присутствуют два закрытых крышками отсека, в первом из которых (№ 1 на рисунке) расположены коммуникационные разъемы. Их набор вполне соответствует современным реалиям, а именно к уменьшению количества RS-232 в пользу USB, левый ряд разъемов на рисунке поддерживает ток до 2А, что дает возможность подключать туда требовательные к питанию устройства.\nПосле того, как вы присоединили все разъемы просто закройте отсек крышкой, что надежно защитит их от случайного отключения. Под номером 2 на рисунке скрывается отсек для внешнего жесткого диска или SSD, в него, если снять пластиковое дно отсека, можно установить батарею на 2 или 4 аккумулятора, что дает заявленную возможность автономной работы до 2 или 4 часов. И наконец возможность монтажа на кронштейн VESA 75, для чего предназначены три металлизированных точки крепежа (№3 на рисунке). Ремонтопригодность устройства также на высоком уровне, чтобы разобрать его достаточно отвертки и пластиковой карты для защелок. Нет никаких скрытых винтов или нестандартных шлицев, равно как и \u0026quot;хитрых\u0026quot; защелок. Разбирается устройство быстро и легко.\nВычислительную основу моноблока составляет двухъядерный процессор Intel Celeron N3350 из семейства Apollo Lake, с базовой частотой 1,1 ГГц и максимальной 2,4 ГГц. По сравнению с Celeron J1900, который мы обозревали и на котором построены старшие модели моноблоков, N3550 обладает несколько меньшей производительностью, но при этом имеет тепловой пакет всего в 6 Вт, что позволяет создавать подобные Оптиме безвентиляторные решения.\nАТОЛ Jazz 15 Полноценный сенсорный моноблок среднего уровня. Существует в разновидностях с классическим 4:3 экраном в 15\u0026quot; и широким 15.6\u0026quot; (модель Jazz Wide 15.6). Корпус и подставка выполнены из металла и пластика, обладают неплохой устойчивостью и допускают незначительное попадание жидкостей, особенно на лицевую сторону, в комплект поставки входит ридер магнитных карт. Устройство выполнено также достаточно технологично. В верхней части корпуса под пластиковой крышкой располагается панель разъемов (№ 1 рисунке), мы также можем закрепить все провода и закрыть крышку, исключив их случайное отключение. Там же можно быстро вытащить и заменить жесткий диск или SSD, он просто вставляется снаружи через специальные \u0026quot;салазки\u0026quot; (№2 на рисунке), это очень удобно, теперь чтобы заменить диск не нужно разбирать весь моноблок.\nПровода убираются в ножку, которая закрывается пластиковой крышкой (№3 на рисунке), там же находится второй COM-порт на шлейфе. Все это позволяет красиво и надежно спрятать все подходящие провода, что обеспечит опрятный внешний вид и исключит возможность несанкционированного доступа к ним. К недостаткам можно отнести только небольшое количество USB-разъемов, но этот вопрос можно решить при помощи USB-хаба, отдельные модели которых вполне можно спрятать в ножку моноблока. Моноблок также можно повесить на стену, но для этого вам потребуется специальный переходник на VESA-крепление, либо вам придется придумывать способ крепления самим. Потому что после снятия ножки зона крепления выглядит следующим образом: Первый раз мы столкнулись с этой особенностью в процессе монтажа, хотя поставщик уверял нас, что там есть VESA-крепление и \u0026quot;открутите ножку - все увидите\u0026quot;. Дело было после 22:00 и утром магазин должен был работать, поэтому в гараже был сооружен при помощи болгарки, дрели и крепких выражений такой вот эрзац, который работает до сих пор: Что касается ремонтопригодности, то моноблок легко разбирается, откручиванием нескольких винтов по периметру. Какие-либо скрытые крепления или прочие сложности отсутствуют, просто выкручиваете винты и снимаете крышку, не боясь что-нибудь сломать или оторвать. Внутри все тоже достаточно просто и понятно, система безвентиляторная, теплоотводом служит задняя металлическая крышка, которая прижимается к радиатору через теплопроводящую прокладку. Диск подключен через переходник mSATA-SATA, что позволяет заменить его твердотельным накопителем нужного формата, а сам диск подключить к SATA-разъему платы через угловой коннектор. Также есть слот под карту памяти и mini-PCIe разъем, что позволяет дополнить систему, скажем, Wi-Fi адаптером.\nВообще, в умелых руках, данная платформа представляет хороший запас по расширению, учитывая количество распаянных, но не подключенных разъемов. Поле для деятельности достаточно широкое, главное - без фанатизма.\nПод капотом у АТОЛ Jazz находится четырехъядерный Intel Celeron J1900 семейства Bay Trail с базовой частотой 2 ГГц и максимальной 2,4 ГГц. Это очень удачное решение от Intel, сочетающее достаточные вычислительные ресурсы и низкое энергопотреблением - 10 Вт.\nАТОЛ ViVA II Turbo Топовый моноблок от АТОЛ, сочетающий все возможности Jazz с массивным металлическим корпусом, пластика здесь нет. Его даже можно назвать антивандальным, тяжелый корпус и подставка не сдвинутся с места даже после достаточно сильного толчка, выдержат удары и пролитие жидкостей. В отличие от младших моделей, разъемы тут не спрятаны в отдельный отсек, а просто расположены в нижней части моноблока, но тут же предусмотрены две стяжки для фиксации проводов, которые затем можно вывести назад через ножку. Для доступа к диску или памяти придется разбирать корпус. Зато присутствует крепление VESA 100, на которое крепится ножка, здесь нет никаких сложностей, просто открутили ножку и прикрутили кронштейн, никаких переходников или эрзац-креплений. Разбирается корпус тоже просто, откручиваются винты по периметру и снимается крышка.\nВнутри устройства все тот-же Intel Celeron J1900, основное отличие данного устройства - тяжелый металлический корпус, за что он особо любим предприятиями общепита, где подобные устройства эксплуатируются в достаточно тяжелых условиях.\nТестирование производительности Все устройства можно приобрести в двух вариантах: с Windows 10 LTSB 2016 или без операционной системы, но можно без проблем установить и использовать Ubuntu, родные решения АТОЛ поставляются на базе этой ОС и имеется полная ее поддержка.\nВ нашем тестировании приняли участие Optima 4 ГБ RAM и 64 ГБ EMMC, Jazz4 ГБ RAM и 64 ГБ SSD и ViVA II Turbo 2 ГБ RAM и 64 ГБ SSD. ViVA II Turbo относится к самым первым партиям, которые поставлялись еще с HDD и Windows 7 Embedded, которые в последствии были заменены на SSD и Windows 10. Также мы добавили в тестирование результаты для платы ASRock Q1900B - ITX с 2 ГБ RAM и 60 ГБ SSD, которую мы тестировали в нашем обзоре.\nПервым тестом мы запустили 7-Zip, который позволяет оценить вычислительные ресурсы CPU, так как основные задачи по сжатию и распаковке выполняются именно процессором. Результат оказался весьма предсказуем. Двухъядерный Celeron N3350 вполне ожидаемо уступил четырехъядерному Celeron J1900 примерно вдвое. А Jazz немного вырвался вперед, может быть из-за наличия 4 ГБ оперативной памяти на борту, потому как железо у них с ViVA II Turbo одинаковое. Ну и появилась возможность еще раз убедиться в преимуществах большего числа ядер для современных приложений.\nНо нас больше интересует 1С:Предприятие, которое в силу многих особенностей представляет преимущественно однопоточное приложение. Общепринятой системой оценки производительности здесь является Тест Гилева, который достаточно адекватно соотносится с реальными ощущениями от использования 1С.\nКак известно, производительность клиентской части 1С зависит от частоты процессора, хотя при большинстве повседневных задач нагрузка на CPU будет достаточно невелика. Также на производительность влияют количество ОЗУ и скорость дисковой подсистемы, но ни один из этих показателей не является ключевым, все должно быть сбалансировано в комплексе.\nВ свое время система на ASRock Q1900B - ITX показала весьма неплохой результат, около 20 \u0026quot;попугаев\u0026quot;: Результат для данной платформы неплохой, что подтверждалось субъективными ощущениями, работа с 1С не доставляла дискомфорта, как в режиме РМК, так и в обычном режиме, что позволяло использовать этот же ПК для ввода поступления товаров или оформления инвентаризации.\nПри этом ViVA II Turbo показал более скромный результат, всего 15 \u0026quot;попугаев\u0026quot;, что находится на нижнем уровне \u0026quot;удовлетворительно\u0026quot;: Аналогичные результаты мы получили для Jazz: Что не удивительно, так как внутри у них стоит одинаковое железо. А вот Optima неожиданно приятно удивила: Хотя с учетом однопоточности 1С:Предприятия и одинаковой максимальной частоты процессоров никакой неожиданности тут нет.\nНо почему системы на Celeron J1900 в моноблоках показали худшую производительность по сравнению с материнской платой? На наш взгляд все достаточно просто и связано с режимами работы и энергосбережения процессора. Материнские платы предназначены для работы в настольных системах, предусматривающих нормальную систему вентиляции и охлаждения, в отличие от POS-моноблоков, которые могут работать в достаточно тяжелых условиях.\nВместе с тем все представленные моноблоки обеспечивают комфортную работу с 1С:Предприятие в режиме РМК, но при работе с Optima может появляться некоторая задумчивость на тяжелых операциях, скажем при переходе в режим подбора номенклатуры, что связано с ее невысокой базовой частотой процессора. Но с учетом небольшого размера диагонали иного использования, кроме как под РМК, для данной модели не предполагается.\nВ тоже время Jazz и ViVA II Turbo позволяют использовать себя как универсальные ПК, обеспечивающие комфортный уровень производительности для работы не только с 1С, но и с офисным пакетом или интернет-приложениями.\nКто-то может заметить, что мы не затронули в обзоре модели АТОЛ Smart, действительно это так, потому что у нас нет практического опыта работы с ними, но учитывая одинаковое аппаратное обеспечение внутри, для них будет справедливо все, что говорилось про Jazz и ViVA II Turbo.\nЗаключение Из собственного опыта можем сказать, что нам нравятся моноблоки АТОЛ, как нравится линейка процессоров Bay Trail/Apollo Lake. Системы на их базе зарекомендовали себя надежными рабочими лошадками, обеспечивая достаточный уровень производительности при невысокой потребляемой мощности и низком тепловыделении.\nЧто же выбрать из линейки АТОЛ? Если вам нужна компактная касса и нет особых требований, то можно однозначно посоветовать Optima, тем более что аналогов ей на настоящий момент нет. Попытки использовать в качестве аналогов китайские модели типа PiPo X8 Pro столкнулись с низким качеством последних и просто огромным количеством отказов, в основном сводившимся к \u0026quot;отваливанию\u0026quot; USB-портов, на которые для кассовых ПК приходится значительная нагрузка.\nЕсли же выбирать между Jazz, Smart и ViVA II Turbo, то следует понимать, что это полностью одинаковые устройства в разных корпусах и с разными уровнями защиты от факторов внешней среды. Для нас основной моделью на сегодняшнее время является Jazz, который стал основой автоматизации многих небольших магазинов, а ViVA II Turbo приобретаются в основном предприятиями общепита, где на первый план выходит именно ее защищенность от факторов внешней среды.\n","id":"d3ddabff482e3829d10b4dc8a967436f","link":"https://interface31.ru/post/proizvoditel-nost-monoblokov-atol-dlya-raboty-s-1spredpriyatie/","section":"post","tags":["1С Предприятие 8.х","Celeron","Автоматизация","АТОЛ","Производительность"],"title":"Производительность моноблоков АТОЛ для работы с 1С:Предприятие"},{"body":"Не так давно мы опубликовали статью об очистке корзины Яндекс.Диска через API в среде Linux, отметив, что все тоже самое можно сделать и в Windows системах, для которых понадобится только утилита curl. Однако в комментариях читатели попросили более полно раскрыть тему. А так как наш блог читают люди с разным уровнем технической подготовки мы решили пойти им навстречу, подробно описав алгоритм действий, а также добавили альтернативный способ с PowerShell.\nМы не будем заново описывать как получить токен авторизации Яндекс, для этих целей воспользуйтесь статьей Очистка корзины Яндекс.Диска через API в Debian и Ubuntu. Будем считать, что токен у вас уже есть, поэтому сразу пойдем дальше.\nВариант №1 - с использованием сURL Для работы нам понадобится curl для Windows, скачаем его с официального сайта. Из всего скачанного архива нам потребуется только папка bin, разместите ее в удобном месте, желательно с коротким путем без пробелов и только с латинскими символами, например, C:\\curl\\bin. Чтобы не указывать полный путь к утилите, добавим ее расположение в системную переменную PATH, для этого перейдем в Панель управления - Система - Дополнительные параметры системы - Переменные среды: В открывшемся окне в нижней части Системные переменные найдите переменную Path и нажмите Изменить: Затем создайте новую строку и внесите в нее путь к папке с curl: Сохраните изменения и выйдите, перезагрузка не требуется. Чтобы проверить работу, наберите в командной строке curl и имя любого сайта, если все сделано правильно в ответ вы получите содержимое страницы, например:\n1curl interface31.ru Убедившись, что все работает, можно приступать к взаимодействию с Яндексом, есть два варианта, начнем с более привычного, через пакетный файл. Откройте блокнот и внесите в него строку:\n1curl -s -H \u0026#34;Authorization: OAuth TOKEN\u0026#34; -X \u0026#34;DELETE\u0026#34; https://cloud-api.yandex.net/v1/disk/trash/resources/?path= где TOKEN - 40 символьная строка полученного вами токена.\nСохраните этот файл как пакетный, т.е. с расширением .bat или .cmd, скажем yandex_trash.cmd. Для проверки достаточно запустить его и убедиться, что корзина на Яндекс.Диске очистилась. Далее вы можете использовать этот файл самым различным образом: запускать вручную, через планировщик, вызывать из других скриптов. Однако помните, что там содержится в открытом виде ваш токен доступа, поэтому доступ посторонних к нему следует ограничить.\nВторой способ предусматривает только использование планировщика. На наш взгляд он более удобен, так как не будет мелькать черное окно консоли, что важно для настольных систем. Создайте в Планировщике новое задание и при Создании действия заполните поля следующим образом: в поле Программа или сценарий напишите curl, а в поле Добавить аргументы поместите остальную часть строки: Сохраните задание и запустите его вручную, корзина также должна очиститься.\nВариант №2 - с использованием PowerShell Если вы не хотите использовать curl, то можно воспользоваться возможностями PowerShell, нам потребуется версия 3.0 или старше, из коробки данным требованиям удовлетворяют Windows 8/2012 и 10/2016/2019. Пользователям более ранних выпусков Windows потребуется скачать и установить PowerShell 3.0отдельно.\nСтрока для очистки корзины через API Яндекс.Диска будет выглядеть следующим образом:\n1Invoke-WebRequest -Uri https://cloud-api.yandex.net/v1/disk/trash/resources/?path= -Headers @{Authorization = \u0026#34;OAuth TOKEN\u0026#34;} -Method DELETE где TOKEN - строка полученного вами токена.\nСохраните ее в файл с расширением .ps1, для проверки запустите его через ПКМ - Выполнить с помощью PowerShell, корзина должна успешно очиститься, также можно ввести строку непосредственно в консоли PowerShell, это удобно для диагностики ошибок. Для выполнения по расписанию создайте новое задание в Планировщике и заполните поля Действия следующим образом: в поле Программа или сценарий напишите powershell, а в поле Добавить аргументы укажите -command путь_к_файлу.ps1, например:\n1-command C:\\ADM\\yandex_trash.ps1 Для проверки также запустите задание вручную и убедитесь, что корзина на Яндекс.Диске очищена.\n","id":"6d4c6ba7916937d8630387c8c6380fc1","link":"https://interface31.ru/post/ochistka-korziny-yandeksdiska-cherez-api-v-windows/","section":"post","tags":["PowerShell","Windows 10","Windows 7","Windows 8","Windows Server","Облака","Яндекс"],"title":"Очистка корзины Яндекс.Диска через API в Windows"},{"body":"Сборки PostgreSQL для 1С от команды Postgres Professional пользовались заслуженной популярностью. И это вполне понятно, разработчики являются видными участниками международной команды Postgres и авторами патча для 1С. Но некоторое время назад все бесплатные сборки пропали с их официального сайта и для работы с 1С:Предприятие стали предлагаться коммерческие версии Postgres Pro Standard и Enterprise. Раздача синих слонов закончилась и все перешли на коммерческие рельсы? Но не все так просто и если вы хотите получить бесплатную сборку от Postgres Professional - то это статья для вас.\nДействительно, если мы сейчас посетим сайт Postgres Professional, то в разделе для 1С увидим только предложения коммерческих сборок, которые бесплатно можно использовать только в очень ограниченных сценариях:\nПредставленная на сайте версия СУБД предназначена только для тестирования, изучения возможностей СУБД и разработки прикладного программного обеспечения.\nОдновременно пошла волна слухов и домыслов, что Postgres Professional сделали сборку для 1С платной и поэтому неясно как быть дальше всем, кто успел ее скачать и поставить. Поспешим развеять туман и внести ясность. Следует понимать, что PostgreSQL открытое программное обеспечение под свободной лицензией The PostgreSQL Licence. Лицензия очень простая и весь ее смысл можно передать одним абзацем:\nНастоящим предоставляется разрешение на использование, копирование, изменение и распространение данного программного обеспечения и его документации для любых целей, без какой-либо оплаты и без письменного соглашения, при условии, что вышеупомянутое уведомление об авторских правах, а также этот параграф и следующие два абзаца присутствуют во всех копиях.\nНиже идут два параграфа об отказе от ответственности. В общем все достаточно стандартно.\nТаким образом никто не может вас ограничить в использовании, изменении и распространении сборки, которую вы получили легальным путем. Поэтому пользователям бесплатных сборок от Postgres Pro волноваться не о чем. Они могут использовать их далее, не опасаясь нарушения лицензии.\nСкажем больше, компания Postgres Professional никогда не выкладывала в свободном доступе сборки Standard и Enterprise, она просто убрала бесплатную сборку. Поэтому никаких нарушений лицензии со стороны ее пользователей нет и не может быть.\nНо куда же пропали бесплатные сборки? Тем более, что бесплатные репозитории продолжают работать в штатном режиме. И если я знал этот адрес раньше, но скачаю и установлю оттуда PostgreSQL сейчас, то буду ли я нарушителем?\nНет. Не будете. Бесплатные сборки Postgres Professional для 1С никуда не делись, просто их перенесли на другой сайт. Почему на него нет ссылок с сайта Postgres Pro - вопрос отдельный, но мы не располагаем достоверной информацией и, поэтому, воздержимся от выводов.\nИскомый адрес мы обнаружили при внимательном просмотре доклада Олега Бартунова (ведущий разработчик PostgreSQL и глава Postgres Professional) на конференции Infostart Event 2019: На данном сайте представлен интерактивный скрипт, который поможет выбрать вам нужную сборку и пришлет параметры доступа к ней на почту, примерно в таком виде: Для тех, кто с Linux на \u0026quot;ты\u0026quot; - этого достаточно, остальные могут следовать нашей статье: Установка Postgres Pro 10 для 1С:Предприятие на Debian / Ubuntu. В ней мы подробно описали алгоритм действий, а все необходимые данные вы получите в письме в сайта 1c.postgres.ru.\nКак видим, бесплатная сборка Postgres Professional для 1С никуда не делась, просто оказалась хорошо спрятана, потому что поисковики не выдают данный сайт в выдаче по релевантным запросам, хотя это, может быть, дело времени.\nНадеемся, что данный материал оказался вам полезен, а также ждем вашего мнения о сложившейся ситуации. Все что вы думаете по этому поводу пишите внизу страницы в комментариях.\n","id":"3e6307b80f8dc893aa7b9ba882864cf7","link":"https://interface31.ru/post/kuda-propali-besplatnye-sborki-postgres-professional-dlya-1s/","section":"post","tags":["1С Предприятие 8.х","PostgreSQL"],"title":"Куда пропали бесплатные сборки Postgres Professional для 1С?"},{"body":"Еще сравнительно недавно пользователи связки 1С:Предприятие и PostgreSQL имели достаточно неплохой выбор сборок СУБД: сборка от 1С, сборки Ethersoft и Postgres Professional. Но Ethersoft прекратил выпуск PostgreSQL для 1С, а Postgres Professional последнее время движется в сторону коммерциализации. Поэтому в настоящий момент практически не осталось альтернатив сборке от 1С, которая не пользовалась особой популярностью ввиду более сложного процесса установки. Однако не все так плохо и если вы будете следовать нашим инструкциям, то затруднений у вас возникнуть не должно.\nПолучить сборку от 1С можно на портале https://releases.1c.ru/, где она доступна без ограничений всем пользователям лицензионной версии любой конфигурации 1С с активной подпиской ИТС. Мы будем устанавливать последнюю на текущий момент версию PostgreSQL 10.9-5.1C, но алгоритм установки будет общим для всех сборок 10-й версии.\nИз всего обилия ссылок на странице продукта нам потребуется только Дистрибутив СУБД PostgreSQL для Linux x86 (64-bit) одним архивом (DEB), сразу оговоримся, мы не видим никакого практического смысла использовать 32-битные версии сервера СУБД, поэтому будем производить установку 64-битной версии на 64-битную систему. В качестве целевых систем будут использоваться Debian 10 и Ubuntu 18.04 LTS, в случае использования иных целевых ОС вам потребуется правильно установить необходимые зависимости, как это сделать мы расскажем ниже.\nПосле скачивания архива мы тщательным образом проверили зависимости с целью найти проблемные версии пакетов. 1С, как всегда, оказалась в своем репертуаре, собрав пакеты для среды Ubuntu 16.04 и \u0026quot;прибившись гвоздями\u0026quot; к определенным версиям библиотек. Проблемных пакетов ровно два:\nlibssl1.0.0 - разделяемые библиотеки для реализации протоколов шифрования SSL и TLS libicu55 - компоненты интернационализации для Unicode После чего идем на https://packages.debian.org или https://packages.ubuntu.com и выясняем наличие данных пакетов для используемой вами версии дистрибутива. В репозиториях Debian 10 оба пакета отсутствуют, для Ubuntu 18.04 нет только пакета libicu55.\nДальнейший алгоритм действий довольно прост, если пакет есть в репозитории, то устанавливаем его обычным образом, через пакетный менеджер, в противном случае качаем из репозитория наиболее близкого по структуре дистрибутива.\nС libicu55 особого выбора у нас нет и мы скачали пакет для Ubuntu 16.04: https://packages.ubuntu.com/xenial/libicu55; libssl1.0.0 для Debian 10 мы скачали из репозитория Ubuntu 18.04: https://packages.ubuntu.com/bionic/libssl1.0.0. Для более старых выпусков Debian или иных базирующихся на его пакетной базе дистрибутивов следует качать пакеты из наиболее близкого аналога, так для Debian 9 следует качать пакеты от Ubuntu 16.04 или Debian 8.\nТаким образом комплект для установки PostgreSQL должен состоять у вас из скачанных с сайта 1С пакетов (их три) и полученных по ссылкам выше libicu55 и libssl1.0.0 (только для Debain). Передадим этот набор на сервер любым удобным способом, далее мы будем считать, что он находится в домашней директории пользователя.\nПеред тем как приступать к установке проверим настройку локалей сервера, они должны быть установлены в ru_RU.UTF-8, проверить это можно командой:\n1locale После чего вы должны получить следующий вывод: Если вы получили отличный результат, то вам нужно русифицировать систему, как это сделать описано в нашей статье: Настройка языка и региональных стандартов в Ubuntu Server/Debian. После чего не забудьте перезагрузить систему.\nПерейдем в директорию с нашими пакетами, в нашем случае это домашняя директория пользователя:\n1cd ~ Затем начинаем устанавливать зависимости, для Debian 10 выполните следующие команды:\n1apt install libxslt1.1 2dpkg -i libssl1.0.0*.deb 3dpkg -i libicu55*.deb Для Ubuntu 18.04:\n1apt install libssl1.0.0 2dpkg -i libicu55*.deb После чего можно приступить к установке самого PostgreSQL, обратите внимание, что все пакеты следует ставить в указанной нами последовательности:\n1apt install postgresql-common 2dpkg -i libpq5*.deb 3dpkg -i postgresql-client-10*.deb 4dpkg -i postgresql-10*.deb В Debian 10 вы можете получить следующее предупреждение, которое можно смело проигнорировать: Также обратите внимание, что мы везде, где это возможно, использовали подстановочные символы в именах пакетов, это позволяет успешно использовать эту инструкцию вне зависимости от версии PostgreSQL 10 и пакетов libssl1.0.0 и libicu55 , однако будьте внимательны, в директории не должно находиться иных пакетов, чьи имена могут попасть под маску, иначе это может привести к непредсказуемым последствиям.\nПосле установки зафиксируем пакеты от 1С, чтобы избежать их обновления из репозиториев:\n1apt-mark hold libpq5 2apt-mark hold postgresql-10 3apt-mark hold postgresql-client-10 В пакетах от 1С уже настроены все необходимые параметры доступа и все что нам остается - это задать пароль для суперпользователя PostgreSQL - postgres. Перед тем как выполнять следующие действия, убедитесь, что вы находитесь в консоли с правами суперпользователя, если это не так, то выполните:\n1sudo -s Теперь войдем в систему от имени пользователя postgres:\n1su postgres Откроем консоль PostgreSQL:\n1psql И установим пароль:\n1ALTER USER postgres WITH PASSWORD \u0026#39;MyPa$$word\u0026#39;; Для выхода из консоли введите:\n1\\q После чего можно создать новую базу через оснастку Администрирование серверов 1С Предприятия или стартер 1С. Как видим, если вдумчиво подойти к процессу, то установка сборки PostgreSQL 10 от 1С не таит в себе каких-либо сложностей и может быть осуществлена даже начинающим пользователем Linux, достаточно следовать данной инструкции и хотя бы в общих чертах понимать смысл выполняемых действий.\n","id":"85da370be526c474c21caa8973185480","link":"https://interface31.ru/post/ustanovka-postgresql-1c-10-dlya-1spredpriyatie-na-debian-ubuntu/","section":"post","tags":["1С Предприятие 8.х","Debian","PostgreSQL","Ubuntu Server"],"title":"Установка PostgreSQL 10 для 1С:Предприятие на Debian / Ubuntu (сборка от 1С)"},{"body":"Умение устанавливать, обновлять и удалять программное обеспечение относится к важнейшим навыкам работы с любой операционной системой. Поэтому изучение данного вопроса первостепенная задача для любого начинающего пользователя Linux, сразу после того, как он немного осмотрелся в системе. К сожалению, нет единого способа управления ПО, подходящего для всех дистрибутивов, разные семейства предполагают различные подходы, хотя общие принципы во многом совпадают. В данном материале мы будем разбирать вопрос применительно к системам основанным на Debian и Ubuntu.\nПакеты и репозитории Слова, вынесенные в подзаголовок, знакомы любому пользователю Linux, но не все знают, что именно за ними кроется. Начнем с пакетов. Пакет - это архив специального формата, который содержит все необходимые приложению бинарные и конфигурационные файлы, информацию о том, как их следует разместить в файловой системе, данные о зависимостях пакета, а также список действий которые необходимо выполнить в процессе установки. Вы можете сами открыть любой пакет при помощи архиватора и посмотреть, что у него внутри. Существуют различные форматы пакетов, наиболее распространенными из которых являются RPM (рекурсивный акроним RPM Package Manager, ранее Red Hat Package Manager) и DEB (сокращение от Debian). Первый используется в основанных на Red Hat/Fedora дистрибутивах, а также некоторых иных, например, OpenSUSE, второй - во всем многочисленном семействе систем на базе Debian и его производных, включая один из самых популярных дистрибутивов - Ubuntu.\nНесмотря на разные форматы, общие принципы построения и управления пакетами в различных Linux системах совпадают, поэтому если вы овладеете приемами работы с одним форматом пакетов, то переучиться на другой не составит особого труда.\nЕще одна особенность пакетов Linux вытекает из следования некоторым постулатам философии Unix, а именно каждый пакет содержит только необходимый минимум файлов и библиотек, все остальные необходимые ему компоненты указываются в качестве зависимостей. Причем разделение на небольшие пакеты присутствует даже у одного продукта: в один пакет могут быть включены бинарные файлы, во второй - общие библиотеки, в третий - документация и т.д. и т.п. Это позволяет достаточно гибко управлять процессом разработки и поддержки, если разработчики внесли изменения в какую-то библиотеку, то вам не нужно снова скачивать продукт целиком, достаточно обновить только пакет с библиотекой.\nКроме того, при разработке свободного ПО широко используются наработки других проектов, действительно, зачем повторно изобретать велосипед, если нужные функции уже есть в библиотеке другого проекта. Достаточно просто указать нужный пакет в зависимостях, при этом скачивать весь сторонний проект также будет не нужно, достаточно только необходимых пакетов.\nВсе это хорошо, скажет иной читатель, только как мне узнать какие именно пакеты мне нужно установить, чтобы получить на выходе полноценный продукт, как разобраться во всем этом обилии непривычных названий? Для этой цели существуют метапакеты. По сути - это пакет пустышка, который в своих зависимостях имеет нужный перечень пакетов для установки готового продукта. Например, если нужен офисный пакет, то достаточно просто установить libreoffice, этот метапакет по зависимостям подтянет и установит все необходимые компоненты для полного набора офиса, каким вы его привыкли видеть. Хотя никто не мешает установить самому только нужные компоненты, скажем только LibreOffice Calc. Следующий вопрос - где брать пакеты? Windows опыт подсказывает - на сайте разработчика или производителя ПО. Но этот подход в Linux не работает, точнее работает частично. Почему? Ну вот скачали мы нужный пакет и выясняется, что у него еще 10 пакетов в зависимостях, где их брать? На сайтах их разработчиков, а у них окажутся свои зависимости... Поэтому в Linux были созданы и поддерживаются централизованные хранилища пакетов - репозитории. Каждый крупный дистрибутив имеет собственные репозитории для всех поддерживаемых выпусков и архитектур, которые содержат огромное количество ПО и поэтому вам не следует волноваться о том, где искать пакеты.\nКроме того, установка пакетов в обход репозитория может быть небезопасна и считается правилом дурного тона, хотя и применяется, в основном для коммерческого ПО. Наличие репозиториев также позволяет централизованно обновлять пакеты, достаточно сравнить текущие версии пакетов с версиями в репозитории и скачать нужные обновления. Это удобно, так как одновременно обновляется и система и все установленное в нее ПО.\nКроме того, собственные репозитории существуют и у разработчиков. Поэтому, если вы хотите получать самую свежую версию нужного вам продукта, не дожидаясь пока ее включат в дистрибутив, то можете подключить репозиторий разработчика и обновлять его оттуда.\nКак правило типичный дистрибутив на базе Debian имеет четыре основных репозитория:\nBase repository - основное хранилище, содержит все пакеты, но обновляется достаточно редко, обычно одновременно с выходом минорной версии дистрибутива, например, Debian 9.6, Debian 9.7 и т.д. Security updates - обновления безопасности, являются критически важными для функционирования системы и крайне желательны к установке. Stable updates - стабильные обновления, не являющиеся обновлениями безопасности, могут исправлять некритические ошибки в ПО или незначительно расширять его функционал в рамках текущей версии. Stable backports - стабильное ПО с обратной совместимостью, содержит прекомпилированные для текущего дистрибутива самые свежие версии ПО, которые разрабатываются в рамках новой версии, позволяет использовать более новые версии программ, не подвергая стабильность дистрибутива угрозам при использовании пакетов тестируемой или нестабильной ветки. Каждый репозиторий состоит из нескольких разделов, в Debian это:\nmain - содержит пакеты, которые полностью совместимы с \u0026quot;Критериями Debian по определению Свободного ПО\u0026quot; non-free - распространяемое без ограничений ПО, которое не соответствует или не полностью соответствует принципам свободного ПО по версии FSF (Free Software Foundation, Фонд свободного ПО) non-free firmware - появился в Debian 12, в данный репозиторий вынесены из non-free пакеты с прошивками и драйверами contrib - свободное ПО, которое требует для работы несвободные компоненты, либо требует ПО, имеющее собственника, скажем несвободную версию Java от Oracle. В Ubuntu разделы немного иные:\nmain - также, как и в Debian содержит свободные пакеты, поддерживаемые компанией Canonical restricted - несвободное ПО, поддерживаемое Canonical universe - свободное ПО, поддерживаемое сообществом multiverse - несвободное ПО, поддерживаемое сообществом. Список подключенных репозиториев хранится в /etc/apt/sources.list, ниже показано содержимое этих файлов в Debian 10 (слева) и Ubuntu 18.04 (справа). В Debian все достаточно лаконично, подключен только раздел main трех репозиториев Base, Security updates и Stable updates, если вам нужны иные разделы, то их следует подключить самостоятельно, добавив через пробел в нужную строку.\nВ Ubuntu более развернутый список репозиториев, он полностью не уместился на скриншот, но для понимания структуры записей приведенного фрагмента хватает. Сверху вниз подключены Base и Security updates для поддерживаемых компанией разделов, затем они же вместе для свободного и несвободного ПО поддерживаемого сообществом, а вот Stable backports прописан для всех веток одновременно, еще ниже (за пределами экрана на скриншоте) подключены Security updates и специальный партнерский репозиторий для пакетов партнеров компании Canonical.\nТипичная запись репозитория выглядит как строка со следующей структурой:\n1deb http://deb.debian.org/debian buster main contrib non-free Строка начинается с deb, который обозначает репозиторий с двоичными пакетами или deb-src для репозиториев с исходным кодом, если вы не собираетесь самостоятельно собирать пакеты, то вам они не нужны. Далее идет адрес репозитория и имя выпуска, для Debian это buster, для Ubuntu - bionic, затем следует перечисление подключенных разделов, в указанном примере подключены все три.\nАдреса репозиториев сохраняются постоянными, отличаясь только именами выпуска, поэтому если вам нужно обновить выпуск, скажем с Debian 9 на Debian 10, то вам просто потребуется заменить везде stretch (имя девятого выпуска) на buster.\nТакже в Debian можно использовать вместо имен классы выпусков:\nstable - текущий выпуск дистрибутива, oldstable - предыдущий выпуск, testing - разрабатываемый выпуск, unstable - нестабильный выпуск, он же имеет собственное имя sid. Но на практике это не используется, так как при выходе нового релиза вы получите его автоматическое обновление, что в большинстве случаев неприемлемо. Хотя если вы энтузиаст и хотите всегда быть на переднем крае прогресса, то можете везде прописать testing, получив аналог популярных ныне rolling release дистрибутивов, которые не имеют закрепленной версии и всегда предоставляют наиболее свежий срез пакетов, зачастую ценой стабильности.\nДля добавления собственных источников пакетов предназначена директория /etc/apt/sources.list.d/ в которой следует располагать файлы с адресами источников и обязательным расширением .list. Хотя их можно прописать и в основной файл, но это считается дурным тоном.\nНизкоуровневый менеджер пакетов Dpkg Все это время мы говорили о пакетах и не касались вопроса каким образом происходит их установка. В Windows все просто, инсталлятор является исполняемым файлом и сам производит все необходимые действия, в Linux это не так и для работы с пакетами нам потребуется специальная утилита - пакетный менеджер.\nОсновой системы управления пакетами в Debian является dpkg - достаточно низкоуровневая утилита, предназначенная для получения информации, установки и удаления пакетов. Назвать ее менеджером пакетов в современном смысле этого слова достаточно затруднительно, dpkg не умеет работать с репозиториями и разрешать зависимости. Но тем не менее этот инструмент достаточно широко используется по сей день и навыки работы с ним необходимо иметь каждому администратору.\nДанная утилита обычно используется для установки пакетов, скачанных вручную, например, коммерческого ПО. Синтаксис ее довольно прост и легко запоминается. Прежде всего полезно получить информацию о пакете, чтобы узнать его зависимости и возможные конфликты, для этого выполните:\n1dpkg -I имя_файла_пакета.deb Для установки просто выполните:\n1dpkg -i имя_файла_пакета.deb Но помните, чтоdpkg не умеет разрешать зависимости и вы должны будете сделать это вручную, либо скачать все необходимые пакеты и установить их в нужном порядке, это можно поручить dpkg, запустив его с маской в имени пакетов:\n1dpkg -i *.deb Такая конструкция установит все находящиеся в данном расположении deb-пакеты, так что будьте внимательны, либо используйте более узкие маски.\nЧтобы получить сведения о всех доступных и установленных пакетах используется ключ -l, но он выведет список всех пакетов, поэтому следует использовать его с маской, например, так:\n1dpkg -l gimp Так как мы задали имя пакета без подстановочных символов, то информация будет выведена только при полном совпадении заданного имени с именем пакета. Если мы хотим получить больше информации, то можем сделать так:\n1dpkg -l gimp* Теперь мы видим больше пакетов, как установленных в системе, так и доступных в репозитории. Но это не все пакеты, относящиеся к gimp, так как наша маска предписывает искать пакеты, которые начинаются на gimp и игнорирует иные варианты. Поэтому, если вы не уверены, что правильно задали маску, можно пойти другим путем, отдав вывод dpkg команде grep, которая найдет все нужные вхождения.\n1dpkg -l | grep gimp В этом случае вы получите список только установленных, либо удаленных, но имеющих оставшиеся части (например, конфигурационные файлы) пакетов, но при этом будут найдены все вхождения указанной строки, даже в середине имени, в данном случае мы обнаружили ранее не найденную библиотеку libgimp2.0\nДля удаления пакета используйте:\n1dpkg -r имя_пакета Обратите внимание, что здесь мы указываем не имя deb-файла, а имя установленного пакета, узнать его можно способом, представленным выше. Часто после удаления пакета от него остаются конфигурационные файлы и иные данные, полностью очистить их можно командой:\n1dpkg -P имя_пакета Но будьте внимательны, при этой операции могут быть удалены пользовательские данные, хранившиеся в стандартных расположениях. Это актуально для таких видов программ, как веб-сервера или СУБД.\nНа этом мы закончим знакомство с dpkg, ограничившись наиболее часто необходимыми в повседневной деятельности командами, а сами перейдем к более высокоуровневым инструментам.\nУлучшенный инструмент для работы с пакетами APT, команды apt и apt-get Настоящим пакетным менеджером в Debain является APT (Advanced Package Tool, Улучшенный инструмент для работы с пакетами), который умеет работать с репозиториями, разрешать зависимости и взаимодействовать с dpkg, которая, собственно, и занимается установкой пакетов.\nAPT имеет два интерфейса командной строки:apt-get и более новый apt. Их синтаксис и возможности во многом схожи, и мы будем практически всегда использовать последний, кроме отдельных случаев, когда требуемые возможности поддерживает только apt-get.\nКак мы уже говорили, списки репозиториев хранятся в /etc/apt/sources.list, но они не содержат сведений о пакетах, чтобы их получить нужно скачать из репозитория список находящихся в нем пакетов. Понятно, что каждый раз скачивать списки - плохая идея, поэтому APT хранит локальный кеш пакетов в /var/lib/apt/lists, также копии всех скачанных пакетов сохраняются в /var/cache/apt/archives, что позволяет предотвратить их скачивание в случае повторной установки. Списки пакетов представляют собой простые текстовые файлы с перечнем пакетов в репозитории, данными о пакете, его зависимостях и его расположении в структуре репозитория, один из таких списков открыт на скриншоте выше.\nAPT всегда работает с локальным кешем списков, поэтому перед любыми действиями с пакетным менеджером следует обновить списки в кеше. Это можно сделать командой, которая должна быть широко известна нашим читателям:\n1apt update Команда проверяет версии списков в репозитории и при необходимости скачивает их новые версии, после чего анализирует список установленных пакетов и сообщает о доступных обновлениях, увидеть список пакетов, для которых доступны обновления можно командой:\n1apt list --upgradable Установить обновления можно командой:\n1apt upgrade Это безопасный способ обновления, при котором обновляются только установленные пакеты и не происходит установки новых пакетов, если они затрагивают текущие версии, также не удаляются убранные из репозитория пакеты. Если же вы хотите установить самые последние версии пакетов, то следует воспользоваться иной командой:\n1apt dist-upgrade | full-upgrade Следует понимать разницу в работе этих команд, потому что во многих случаях результат их работы оказывается одинаковым и кажется, что разницы между ними нет. Например, в ситуации, показанной на скриншоте выше обе команды отработают одинаково.\nОбычные обновления следует выполнять командой upgrade, тогда как dist-upgrade следует использовать для обновления дистрибутива, в том числе и на минорные версии в составе текущего выпуска.\nДля установки пакетов следует использовать команду:\n1apt install имя_пакета Если нужно установить несколько пакетов, то их следует перечислить через пробел. Система проанализирует изменения и либо выполнит установку, либо попросит дополнительного подтверждения, особенно если нужно установить большое количество новых пакетов по зависимостям. В целом APT хорошо знает свое дело, но мы все равно советуем обращать внимание на состав добавляемых и, особенно, удаляемых пакетов. Также не будет лишним изучить список предлагаемых пакетов, там вы можете найти много интересного и полезного, что позволит расширить возможности устанавливаемого ПО и о чем вы могли даже не догадываться.\nДля удаления пакета используйте:\n1apt remove имя_пакета Это удалит сам пакет, но оставит его конфигурационные файлы (если они были изменены) и прочие данные. Для полного удаления пакета со всеми его данными используйте другую команду:\n1apt purge имя_пакета Но будьте внимательны, так как эта команда удалит все данные пакета, в том числе и добавленные пользователем в стандартные расположения, данные, находящиеся в домашних директориях пользователей при этом удалены не будут.\nДополнительно остановимся на таком виде пакетов, как пакеты установленные автоматически. Это пакеты, которые были установлены по зависимостям иных пакетов и после удаления или обновления последних могут более никем не использоваться. APT отслеживает такие пакеты и сообщает о них пользователю. Удалить их можно командой:\n1apt autoremove Как можно заметить, APT достаточно дружелюбен к пользователю, постоянно подсказывая ему необходимые команды, что в очередной раз развеивает миф о сложности администрирования Linux, особенно в режиме командной строки.\nТакже иногда может потребоваться возможность очистить кеш скачанных пакетов, скажем при недостатке места на диске, это можно сделать, введя:\n1apt clean Эта команда полностью очистит кеш, также можно использовать более мягкую очистку, которая дает возможность удалить из кеша только те пакеты, которые на текущий момент отсутствуют в репозитории (были заменены новыми версиями или удалены):\n1apt autoclean Затронем еще один интересный момент, допустим вы в своих экспериментах удалили или еще как-либо повредили входящие в состав пакета файлы, но система считает, что пакет установлен и отказывается устанавливать его повторно. Но можно всегда переустановить пакет:\n1apt reinstall имя_пакета Еще одна важная возможность APT - это восстановление нарушенных зависимостей и автоматическое исправление ошибок при установке пакетов, например, когда процесс обновления или установки был аварийно прерван. Либо когда вы установили некоторый пакет при помощи dpkg и при этом у него оказались неудовлетворенные зависимости. Все это в большинстве случаев отлично исправляется одной простой командой:\n1apt install -f Также иногда бывает нужно проверить что произойдет при установке пакета без его установки, особенно если у нас есть подозрения, что мы можем что-то сломать в системе. Для этого запустите команду установки с ключом -s:\n1apt install имя_пакета -s Система смоделирует все необходимые действия и покажет вам результат, после чего вы сможете принять верное решение без опасных экспериментов над ней. Если вы не знаете точного названия нужного вам пакета, то можно выполнить его поиск командой:\n1apt search строка_поиска При этом поиск производится не только по имени пакета, но и по его описанию. Это удобно и позволяет быстро найти все связанные с указанной строкой поиска пакеты, даже если они имеют отличное наименование. Для получения информации о пакете просто введите:\n1apt show имя_пакета Еще одна задача, с которой может столкнуться администратор - это фиксация версии пакета, допустим вы собрали и установили собственный пакет с нужными вам функциями и не хотите чтобы при обновлении системы он был заменен стандартным из репозитория. Не проблема, отметьте пакет как зафиксированный:\n1apt-mark hold имя_пакета Чтобы отменить фиксацию выполните:\n1apt-mark unhold имя_пакета Объем данной статьи не позволяет рассмотреть все возможности apt, поэтому мы ограничились наиболее необходимыми в повседневной деятельности, ну и в завершение небольшая порция юмора. Если запустить команду apt без параметров, то вы увидите краткую справку в самом конце которой будет строка: В APT есть коровья СУПЕРСИЛА. Что это значит? Просто наберите:\n1apt moo И вы увидите старую пасхалку от разработчиков, которая была еще в apt-get, а затем ее заботливо перенесли в apt. Графические оболочки Aptitude и Synaptic Кроме родных для APT консольных интерфейсов apt-get и apt существуют и более высокоуровневые оболочки. Одна из них aptitude, которая может работать как в псевдографическом режиме, так и в режиме командной строки, имея синтаксис во многом повторяющий синтаксис apt. Благодаря этому многие воспринимают эту утилиту как еще один интерфейс к APT, хотя основной задачей разработчиков было именно создание псевдографической интерактивной оболочки. В современных дистрибутивах Debian и Ubuntu aptitude отсутствует в основной поставке и вам потребуется установить этот пакет отдельно.\nЕсли вы используете настольную версию Linux, то вам будет доступен графический менеджер пакетов Synaptic, он также отсутствует в основной поставке основных дистрибутивов и может быть установлен вручную. Данный пакет представляет собой опрятный и удобный графический интерфейс над APT, в тоже время дающий администратору все возможности по тонкой настройке процесса. Однако не смотря на то, что Aptitude и Synaptic являются зрелыми и эффективными инструментами, мы бы не рекомендовали их использование по крайней мере до тех пор, пока вы не освоите работу с базовым интерфейсом apt.\nМагазины приложений Если мы говорим о настольных системах, то нельзя обойти вниманием магазины приложений. Это модный тренд, пришедший из мира мобильных устройств, но быстро завоевавший популярность и в настольной среде. Действительно, системой могут пользоваться разные люди, они могут являться хорошими специалистами в своей отрасли, но им совершенно не хочется разбираться в устройстве системы, а нужно просто включить компьютер в розетку и работать с ним.\nТакой подход может вызвать возмущение у продвинутых пользователей и энтузиастов, но он имеет право на жизнь. Компьютер давно перестал быть уделом избранных и стал неотъемлемой частью нашей жизни. Проведем простую аналогию: сев за руль автомобиля многие из нас просто заводят его, нажимают педали, переключают рычаг коробки передач, не задумываясь о том, какие процессы происходят внутри, а в случае каких-либо неполадок отгоняют машину на сервис.\nТак и в современном Linux, если раньше эта ОС ассоциировалась преимущественно с энтузиастами и \u0026quot;хакерами\u0026quot;, то сейчас это система открыта для всех. Магазины приложений - это простой и надежный способ управления программным обеспечением для обычных пользователей, не имеющих специальных технических знаний. А опытный администратор, скорее всего, предпочтет работу в привычной ему командной строке.\nНиже показан магазин для актуальной версии Debian или Ubuntu Заключение Как видим, Debian и основанные на нем системы предоставляют широкий выбор инструментов для управления пакетами, начиная от утилит командной строки и заканчивая магазинами приложений. Каждый найдет инструмент себе по душе. Но для начинающих администраторов мы бы рекомендовали в обязательном порядке осваивать базовые инструменты, такие как dpkg и apt, потому что ситуации бывают разные, а базовые инструменты, в отличие от графической оболочки или псевдографических утилит, доступны всегда.\n","id":"827e266bb8aebe0763350fd52851d153","link":"https://interface31.ru/post/linux-nachinayushhim-chast-5-upravlenie-paketami/","section":"post","tags":["APT","Debian","Linux","Ubuntu","Ubuntu Server"],"title":"Linux - начинающим. Часть 5. Управление пакетами в Debian и Ubuntu"},{"body":"В нашем прошлом материале мы достаточно подробно рассмотрели установки и базовые навыки использования Proxmox Virtual Environment последней актуальной версии 6.0, тем не менее остается достаточно много инсталляций этой системы виртуализации прошлых версий 5.х. К счастью, их не сложно обновить до последней версии, что мы уже успешно успели проделать с находящимися на нашем обслуживании системами. Данный материал представляет перевод официальной документации с нашими дополнениями и пояснениями.\nСразу сделаем предостережение: обновление ОС - потенциально опасный процесс и прерывание его на определенных этапах способно доставить многочисленные сложности. Поэтому все описанные ниже действия следует производить либо в консоли (непосредственно подключившись к серверу), либо через SSH-клиент, в последнем случае, чтобы избежать проблем при потере связи, используйте команду screen.\nПрежде всего следует обновить текущую установку до последней доступной версии, это можно сделать как через веб-интерфейс, так и в консоли, выполнив команды:\n1apt update 2apt dist-upgrade В данном случае мы продразумеваем, что вы обновляете одиночный сервер, если вам требуется обновить кластер, то потребуются некоторые дополнительные действия, за подробностями обратитесь к официальной инструкции: https://pve.proxmox.com/wiki/Upgrade_from_5.x_to_6.0.\nОбновив систему, запустите специальный скрипт, который проанализирует возможность обновления системы:\n1pve5to6 В нашем случае мы получили следующий вывод: Его следует проанализировать и устранить все ошибки и предупреждения. При этом везде, где это необходимо, коротко указывается решение проблемы. В нашем случае было получено два предупреждения: менее 2 ГБ свободного места в корневой ФС и наличие запущенной виртуальной машины.\nЗапущенные виртуальные машины следует либо выключить, либо передать на другую доступную ноду. Обратите внимание, что требуется именно выключение VM, а не приостановка (пауза) ее состояния. Если виртуальных машин много, то сразу все их можно выключить через Массовые операции на уровне ноды. Устранив все ошибки и замечания снова запустите скрипт, чтобы убедиться, что нет никаких препятствий для успешного обновления.\nИзменим репозитории для новой версии ОС, в данном случае это Debian 10:\n1sed -i \u0026#39;s/stretch/buster/g\u0026#39; /etc/apt/sources.list После чего обязательно загляните в /etc/ apt/sources.list.d и замените версию ОС в дополнительных подключенных репозиториях. В нашем случае это оказались репозиторий Proxmox без подписки (в нашем случае был изменен адрес в файле репозитория по подписке) и репозиторий Ceph. 1sed -i \u0026#39;s/stretch/buster/g\u0026#39; /etc/apt/sources.list.d/имя_файла.list После чего снова обновляем список источников пакетов и запускаем обновление системы:\n1apt update 2apt dist-upgrade После того, как будут скачаны все пакеты вас еще раз спросят, хотите ли вы продолжить. Это последняя возможность отменить операцию, если вы твердо уверены продолжать - просто нажмите Enter. В процессе обновления вам могут быть показаны информационные сообщения о важных изменениях в системе, как показала практика, не все знают как их закрыть, для этого просто нажмите q. На вопросы о перезаписи конфигурационных файлов следует ответить НЕТ, это действие по умолчанию, достаточно при появлении запроса нажать Enter, а вот автоматический перезапуск служб наоборот следует разрешить. По окончании процесса перезагрузите систему. На этом обновление можно считать успешно завершенным и приступить к использованию новой версии системы виртуализации. Как видим, обновить Proxmox Virtual Environment до версии 6.0 несложно. Достаточно внимательно следовать инструкции и проблем возникнуть не должно.\n","id":"8a32edc1bfaa7d6b907b3b7b086565cb","link":"https://interface31.ru/post/obnovlyaem-proxmox-virtual-environment-s-versii-5x-do-60/","section":"post","tags":["Linux","Proxmox","Виртуализация"],"title":"Обновляем Proxmox Virtual Environment с версии 5.x до 6.0"},{"body":"Очень часто перед администратором встает необходимость проверить работу почтового сервера по протоколу SMTP, как своего, так и чужого. Обычно это связано с проблемами отправки или получения почты и следует не только убедиться в доступности сервера, но и понять, что происходит с письмом дальше. Несмотря на то, что существуют различные сервисы для диагностики почтовых систем, лучше всего проверить работу сервера подключившись к нему через Telnet и отправив письмо при помощи SMTP-команд, получив необходимую информацию, что называется \u0026quot;из первых рук\u0026quot;.\nНесмотря на кажущуюся сложность этого метода, он достаточно прост и необходимость ручного ввода SMTP-команд не должна вас пугать. Зато вы сможете получить всю необходимую для диагностики информацию прямо здесь и сейчас, не оглядываясь на возможности и ограничения сторонних сервисов.\nПоставим себе некую задачу. Допустим мы хотим проверить доставку почты c некого ящика example@interface31.ru на ящик test@host31.ru, а также проверить работу сервера в некоторых иных ситуациях.\nПрежде всего сразу следует выяснить какой узел в указанном домене отвечает за прием почты, это следует сделать даже если вы знаете точный адрес этого сервера, так как позволит выявить возможные ошибки при настройке DNS. Для этого мы будем использовать утилиту nslookup, в Windows она входит в штатный комплект поставки, а в Linux вам возможно потребуется установить пакет dnsutils.\nДля получения записей MX-хостов узла (т.е. серверов, принимающих почту) выполним:\n1nslookup -type=mx host31.ru В качестве ответа вы должны получить имя одного или нескольких серверов. Прежде всего запустим самого клиента:\n1telnet в ответ мы увидим строку приглашения, куда введем строку соединения с сервером, обычно используется порт 25, но могут также быть 465 или 587:\n1OPEN mx.yandex.net 25 В ответ мы должны получить сообщение с кодом 220, которое содержит имя узла, работающего с нами. Обратите внимание, что оно отличается от адреса, к которому мы подключались. Это связано с тем, что почту могут обслуживать несколько серверов и при обращении к домену mx.yandex.net каждый раз будет выдаваться разный адрес, для распределения нагрузки между серверами. В этом несложно убедиться, выполнив еще раз команду nslookup, без аргументов она сообщит нам А-записи, которые соответствуют адресам серверов.\n1nslookup mx.yandex.net После того как мы подключились к серверу нужно отправить приветствие, которое будет содержать полное доменное имя клиента (либо адрес, если клиент не имеет доменного имени):\n1EHLO interface31.ru На приветствие сервер отвечает кодом 250 OK и сообщает поддерживаемые SMTP-расширения, это означает что сервер готов к получению почты. Для начала почтовой сессии введите команду:\n1MAIL FROM:\u0026lt;example@interface31.ru\u0026gt; Она означает, что мы хотим передать сообщение от отправителя example@interface31.ru, на что сервер должен ответить нам кодом 250 2.1.0 ok.\nТеперь укажем получателя:\n1RCPT TO:\u0026lt;test@host31.ru\u0026gt; Также мы можем попросить сервер отправить нам отчет о доставке или невозможности это сделать, для этого добавим в команду необязательные параметры:\n1RCPT TO:\u0026lt;test@host31.ru\u0026gt; NOTIFY=success,failure Если все хорошо, то сервер должен ответить нам с кодом 250 2.1.5 recipient ok, после чего мы можем перейти к передаче письма. Для этого введем команду:\n1DATA В ответ мы получим сообщение с кодом 354, которое разрешит нам ввод письма, которое следует закончить точкой с новой строки.\nВ первую очередь следует указать тему:\n1Subject: TEST Затем вводим пустую строку, по правилам тему письма следует отделять от тела пустой строкой, и далее пишем текст сообщения. Количество символов и строк не ограничено, главное - не превысить допустимый размер письма. Закончив, ставим точку в новой строке и нажимаем Enter.\n1 TEST TEST TEST 2. После чего сервер выполнит попытку отправки нашего письма и сообщит нам результат. В нашем случае письмо принято к доставке, о чем говорит код 250 2.0.0 Ok, также сервер сообщает нам присвоенный письму идентификатор. Его можно использовать при дальнейшем поиске сообщения в недрах самой почтовой системы. Обратите внимание, что этот код не говорит о том, что письмо успешно доставлено получателю, в дальнейшем оно может попасть под фильтры и оказаться в спаме, но это уже находится за рамками работы протокола SMTP, свою работу в данном случае он выполнил.\nС какими ошибками доставки мы можем столкнуться? Одна из самых распространенных - неверный получатель. Попробуем указать в качестве получателя несуществующий ящик test@mail.ru, здесь мы также указали необслуживаемый данным сервером домен, что позволят дополнительно проверить сервер на открытый релей. В подавляющем большинстве случаев нормально работающий сервер не должен пересылать не предназначенную ему почту из публичных сетей.\nВ данном случае все закончилось быстро, сервер сообщил нам с кодом 550 5.7.1 No such user! , что такого пользователя не существует, а когда мы попытались упорствовать, сообщил с кодом 503 5.5.4 Bad sequence of commands о неверной последовательности команд. Еще одна часто встречающаяся ситуация - это технология серых списков. Ее суть заключается в том, что если отправитель первый раз присылает почту и в его отношении есть некоторые сомнения, то данные о нем вносятся в серый список, а ему выдается сообщение о временной недоступности сервера. Смысл такого поведения заключается в том, что нормальный сервер повторит отправку, в то время как спамерские скрипты этого обычно не делают. Кроме того, согласно требованиям протокола SMTP, повторную отправку следует производить не ранее, чем через полчаса.\nДля проверки мы отправили сообщение с подделанным отправителем и сразу же получили ошибку 451 4.7.1 Sorry, the service is currently unavailable. Please come back later. Чтобы убедиться, что вы действительно имеете дело с серыми списками, а не временными неполадками на сервере, повторите отправку спустя полчаса, она должна увенчаться успехом.\nДля окончания сессии с сервером введите команду\n1QUIT Как видим, работа с почтовым сервером по протоколу SMTP через Telnet не сложна, но в тоже время предоставляет широкие возможности по диагностике сервера и позволяет быстро найти и выявить причины возможных проблем с доставкой почты.\n","id":"2d792282c28b881a1233d821a6ac0e08","link":"https://interface31.ru/post/proverka-svyazi-po-protokolu-smtp-s-pomoshh-yu-telnet/","section":"post","tags":["E-mail","SMTP","telnet","Диагностика","Сетевые технологии"],"title":"Проверка связи по протоколу SMTP с помощью Telnet"},{"body":"Proxmox Virtual Environment (Proxmox VE) - система виртуализации с открытым исходным кодом на базе Debian, использующая в качестве гипервизора KVM для виртуальных машин и LXC для контейнеров. Это позволяет запускать в виртуальной среде Linux-системы без потери производительности и остальные, поддерживаемые KVM ОС с минимальными потерями. Кроме того, Proxmox VE позволяет создавать высокодоступные конфигурации с несколькими серверами и распределенными системами хранения.\nПолучить Proxmox VE можно на официальном сайте, сейчас доступна новая версия 6.0, которую мы и будем устанавливать. Да, это действительно open-source и это бесплатно, корпоративная подписка предоставляет доступ к закрытому репозиторию Proxmox VE Enterprise, который содержит стабильные обновления ПО и обновления безопасности, а также техническую помощь и поддержку. Никаких ограничений функциональности, если вы откажетесь от подписки, нет.\nДля установки используется собственный инсталлятор и весь процесс предельно прост, от вас потребуется указать конфигурацию дисковой подсистемы: А также пароль суперпользователя, настройки сети, страну и часовой пояс. Потом останется только откинуться в кресле и немного подождать, пока система установится на ваш компьютер. По завершении процесса установки вас встретит приглашение входа в систему, над которым будет указан адрес, который следует набрать в браузере для доступа к консоли управления.\nНо не будем спешить. Прежде всего отключим корпоративный репозиторий, на который у нас все равно нет подписки, и подключим вместо него некоммерческий репозиторий Proxmox. Для отключения просто удалим файл репозитория из источников apt:\n1rm -f /etc/apt/sources.list.d/pve-enterprise.list Затем создадим свой список:\n1touch /etc/apt/sources.list.d/pve-no-subscription.list В который внесем следующие строки:\n1deb http://download.proxmox.com/debian/pve buster pve-no-subscription Теперь можно переходить к консоли управления, откроем браузер и наберем предложенный адрес, консоль управления продуктами Proxmox работает на порту 8006, что следует помнить. Структура Proxmox VE иерархична, высший уровень составляет Датацентр, здесь есть настройки, применяемые сразу ко всем узлам, например, управление пользователями или хранилищами, настройки резервного копирования и т.д. Следующий уровень - настройки узла, здесь доступна подробная статистика и большое количество настроек, которые относятся именно к этому серверу. Мы не будем останавливаться на них подробно, для администратора с достаточным уровнем подготовки разобраться с ними не составит труда.\nНо есть и \u0026quot;сложности перевода\u0026quot;, так в разделе Обновления, нас ждут две одинаковые кнопки Обновить. В английской версии это были Update и Upgrade, а вот здесь перевели как перевели. Первая из них запускает обновление списка пакетов, а вторая запускает само обновление, открывая в отдельном окне консоль сервера. Если вам нужно просто попасть в консоль сервера, можно нажать кнопку Оболочка и перед вами в отдельном окне браузера откроется noVNC-сессия, при этом не требуется ни Flash, ни Java, что позволяет подключаться как к серверу, так и к виртуальным машинам с любого устройства, был бы браузер.\nПеред тем, как создавать виртуальные машины и контейнеры, обратимся к Хранилищам, по умолчанию создается два хранилища: local и local-lvm. Первое предназначено для хранения ISO-образов и шаблонов контейнеров, а во втором хранятся сами виртуальные машины. Поэтому перед тем, как создать виртуальную машину или контейнер, нам нужно загрузить в хранилище нужный образ диска или шаблон. С образами все просто, нажимаем кнопку Загрузить и указываем нужный нам ISO-образ.\nДля получения шаблонов следует нажать кнопку Шаблоны и мы попадем в официальное хранилище шаблонов, здесь мы может сразу загрузить шаблон другого продукта Proxmox - Mail Gateway или шаблоны стандартных Linux-систем. Прокрутив ниже, мы обнаружим шаблоны предварительно настроенных систем практически на все случаи жизни. Использовать их, либо настраивать все самостоятельно - решать вам, в ряде случаев такие шаблоны способны хорошо сэкономить время, особенно при развертывании большого количества однотипных систем. Чтобы загрузить выбранный шаблон достаточно нажать кнопку Загрузка внизу окна.\nДля создания виртуальной машины нажмем Создать VM. На первом экране укажем имя виртуальной машины: Затем укажем тип и версию гостевой ОС и подключим нужный образ из хранилища. После чего, последовательно перемещаясь по пунктам следует настроить все остальные параметры виртуалки, особых сложностей это составить не должно. Но создав виртуальную машину не спешите ее запускать. Прежде всего перейдем в раздел Оборудование. Здесь можно не только настроить уже подключенное оборудование, но и добавить новое. В отличие от Hyper-V, Proxmoх позволяет пробрасывать внутрь виртуальных машин USB-устройства, что может быть полезным, если вам нужно работать с ключами защиты или USB-токенами. Также не забудьте заглянуть в Параметры, где стоит включить Запуск при загрузке и Агент QEMU. И если с первым пунктом все понятно, то Агент позволяет управлять системой со стороны гипервизора, без него вы, например, не сможете сделать резервную копию без остановки работы машины.\nИтак, все настройки закончены, включаем виртуальную машину и переключаемся в консоль. Да, прямо в браузере вы увидите экран вашей виртуалки, при этом ничего не тормозит, работать с системой достаточно комфортно. Пока идет установка системы создадим еще новый контейнер, для этого следует нажать кнопку Создать CT в правом верхнем углу консоли управления. В качестве контейнеров могут быть только Linux-системы, на первом экране укажите имя контейнера и задайте пароль root или загрузите публичный SSH-ключ. Затем укажите шаблон и следующими шагами сконфигурируйте виртуальное железо. Доступных настроек у контейнеров гораздо меньше, зато они гораздо более экономно расходуют ресурсы. Обратите внимание, что запущенный контейнер с Debian 10 потребляет всего лишь 55,46 МБ оперативной памяти. Тем временем, пока мы создавали контейнер, должна была установиться наша виртуальная машина. После установки ВМ потребуется установить в нее QEMU-агента для полноценного взаимодействия с гипервизором. Для Linux систем все просто, на deb-based системах достаточно выполнить:\n1apt install qemu-guest-agent Для других дистрибутивов следует установить пакет qemu-guest-agent штатным пакетным менеджером.\nС Windows все несколько сложнее, прежде всего скачаем и поместим в хранилище Proxmox ISO-образ с virtIO драйверами. Получить его можно со страницы Fedora Project. Затем подключим скачанный образ к виртуальной машине. При включенном QEMU-агенте мы увидим три неустановленных устройства. Начнем с последнего, для Драйвера прерываний кнопок HID перейдем в выбор из списка уже установленных драйверов и укажем драйвер Универсальной шины. Для двух оставшихся выполним поиск драйверов на смонтированном диске и устанавливаем драйвер VirtIO Serial Driver, который отвечает за работу QEMU-агента: И VirtIO Balloon Driver, который отвечает за динамическое управление памятью. При работающем QEMU-агенте внизу окошка со сведениями о виртуальной машине вы увидите ее IP-адрес, в противном случае там будет сообщение, что QEMU-агент не установлен. Также вы можете теперь включить для виртуальной машины динамическую память, для этого установите флаг Раздувание памяти и укажите минимальный размер оперативки, с которой начнет работу виртуалка: Но придерживайтесь при этом разумных пределов, так вы можете столкнуться с невозможностью запустить современные версии Windows если укажете минимальный размер памяти менее 1 ГБ.\nЕще одна важная функция, которая доступна в Proxmox VE - это резервное копирование. Существует хорошая практика - хранить резервные копии за пределами хоста. Поэтому подключим к Proxmox сетевое хранилище, для этого перейдем в Датацентр - Хранилище. Выбор здесь достаточно богатый: iSCSI, NFS, CIFS и прочее. В нашем случае мы подключим CIFS (SMB) хранилище. Укажите имя хранилища, в нашем случае backup, его IP-адрес или FQDN-имя, доступные ресурсы будут просканированы автоматически и вам останется только выбрать их из списка, в поле Содержимое укажите Резервная копия, а также не забудьте указать максимальное количество резервных копий в хранилище.\nЗатем перейдем в раздел Резервная копия и создадим новый сценарий резервного копирования: Особых сложностей там нет, выбираете нужные виртуальные машины или контейнеры и задаете расписание копирования. После чего вам только останется проверить, что резервные копии действительно создаются.\nКак видим, Proxmox представляет собой вполне серьезный и самодостаточный продукт, способный стать основой вашей системы виртуализации, предоставляя возможности на уровне дорогих коммерческих гипервизоров.\n","id":"889e19607593a0ab7d24d2ea14a3283e","link":"https://interface31.ru/post/ustanovka-i-nastroyka-proxmox-ve-60/","section":"post","tags":["Linux","Proxmox","Виртуализация"],"title":"Установка и настройка Proxmox VE 6.0"},{"body":"10 сентября 2019 года вступило в силу анонсированное ранее программное разделение пользовательских лицензий 1С:Предприятие 8 по уровням ПРОФ и КОРП. Нельзя сказать что это произошло неожиданно, данная информация появилась в конце февраля и доводилась до сведения пользователей в том числе и средствами платформы, которая выводила предупреждения при запуске информационной базы, но многие оказались не готовы к изменениям. Данная статья призвана помочь в этой ситуации и расскажет, как правильно выставить настройки, чтобы снова все заработало.\nПрежде всего давайте разберемся, что такое лицензии уровня КОРП. Это новый тип лицензий на платформу, введенный еще в 2014 году и предусматривающий предоставление пользователю дополнительных возможностей, а именно:\nфоновое обновление конфигурации базы данных; дополнительное управление распределением по рабочим серверам кластера в разрезе информационных баз, видов клиентских приложений и фоновых заданий: гибкое управление нагрузкой в кластере: внешнее управление сеансами; механизм управления потреблением ресурсов; профили безопасности; возможность обновления тонкого клиента с сервера; возможность публикации списка баз и обновлений тонкого клиента через http; возможность использования \u0026quot;1С:Сервера взаимодействия\u0026quot;. Но долгое время данное разделение только декларировалось в лицензионном соглашении (которое никто не читает) и по факту все эти возможности были доступны любому пользователю 1С, как говорится, из коробки. Многие из этих возможностей активно использовались пользователями, подразумевающими их как нечто само собой разумеющееся и с сегодняшнего дня это способно вызвать массу проблем. А именно невозможность запустить базу с ошибкой:\nОперация не может быть выполнена с текущим составом лицензий. Свойства кластера 'Допустимое отклонение количества ошибок сервера', 'Режим распределения нагрузки' или свойства рабочего сервера 'Максимальный объем памяти рабочих процессов', 'Безопасный расход памяти за один вызов', 'Объем памяти рабочих процессов, до которого сервер считается производительным', 'Количество ИБ на процесс' содержат значения, отличные от значений по умолчанию. Использование этих функций возможно только для лицензий на платформу уровня КОРП. Обратитесь к администратору для решения вопросов приобретения и установки лицензий уровня КОРП.\nМы, в рамках этой статьи, не будем обсуждать обоснованность такого разделения, хотя, на наш взгляд, лицензии ПРОФ получились очень сильно ограниченными. Но выразим свое недоумение тем, что фирма 1С не предусмотрела легкой возможности перехода. Достаточно одной кнопки или пакетного файла в составе поставки конфигурации, которые бы возвращали настройки сервера 1С в состояние, соответствующее ограничениям лицензии ПРОФ, сколько неприятных моментов и простоев удалось бы избежать, не говоря о негативе в адрес фирмы. На худой конец можно было бы автоматически сбросить настройки на нужное состояние.\nНо это еще не все. В ряде случаев данный переход способен оказаться бомбой замедленного действия. Это обусловлено двумя особенностями:\nзащита реализована начиная с версий 8.3.12.1852, 8.3.13.1791 и 8.3.14.1592 платформы; до 10 сеансов включительно доступен полный функционал уровня КОРП; Таким образом вопрос не исчерпывается только датой 10.09.2019, наоборот, все только начинается. Вышел из отпуска сотрудник - программа перестала работать, обновили платформу - все сломалось. В ближайшее время мы станем свидетелями массы таких историй. Поэтому давайте рассмотрим, какие настройки следует вернуть в состояние \u0026quot;по умолчанию\u0026quot; и что под ним подразумевается, чтобы вы быстро могли восстановить работоспособность вашего сервера.\nДалее везде представлены настройки для платформы 8.3.13.1926, внешний вид и состав настроек других версий платформы, в частности 8.3.15 может отличаться, но настройки разделения функционала КОРП - ПРОФ это не затрагивает.\nНастройки кластера Скажем честно, данные настройки не блещут обилием возможностей и большинство из них под ограничения не попали. Допустимое отклонение количества ошибок сервера, значение по умолчанию 0; Режим распределения нагрузки, значение по умолчанию Приоритет по производительности. Настройки сервера А вот здесь все гораздо хуже, практически все возможности настройки сервера у пользователей ПРОФ забрали. Максимальный объем памяти рабочих процессов, значение по умолчанию 0; Безопасный расход памяти за один вызов, значение по умолчанию 0; Объем памяти рабочих процессов, до которого сервер считается производительным, значение по умолчанию 0; Количество ИБ на процесс, значение по умолчанию 8. Любые значения, отличные от значений по умолчанию, являются недопустимыми.\nСтоль жесткое ограничение вызывает самое большое количество нареканий, по сути пользователей ПРОФ лишили какой-либо возможности регулировать потребление ресурсов сервером, что больнее всего скажется на пользователях 32-битной версии сервера, в большинстве случаев им придется переходить на 64-битную версию с существенной доплатой.\nНастройки информационной базы Мы не думаем, что кто-то реально столкнется с этим ограничением, но приведем его на всякий случай. Внешнее управление сеансами - пустая строка; Обязательное использование внешнего управления - флаг снят. Еще раз обращаем ваше внимание, что если данные значения отличаются даже в одной информационной базе, то запуск всех остальных информационных баз также будет невозможен.\nНастройки публикации на веб-сервере Возможность работы базой, опубликованной на веб-сервере, также широко используется пользователями. Но и здесь появились ограничения и при попытке запуска такой базы вы можете столкнуться с ошибкой: Поэтому, если вы использовали обновления тонкого клиента с сервера или публикацию на веб-сервере списка баз, то от этих возможностей придется отказаться. В частности, это относится к настройкам Публиковать дистрибутив, которые не следует путать с опцией Публиковать тонкий клиент и веб-клиент, если вы снимите этот флажок, то подключение к базе тонким и веб-клиентом будет невозможно.\nНадеемся, что данная статья будет вам полезна, также она будет дополняться новыми данными по мере их появления и приобретения нами и нашими коллегами нового опыта.\n","id":"edd004f7bb0d3a5d8ef7dad05abac831","link":"https://interface31.ru/post/nastroyki-servera-1spredpriyatie-8-po-umolchaniyu-dlya-raboty-s-licenziyami-urovnya-prof/","section":"post","tags":["1С Предприятие 8.х","Лицензирование"],"title":"Настройки сервера 1С:Предприятие 8 \"по умолчанию\" для работы с лицензиями уровня ПРОФ"},{"body":"Инкрементальные и дифференциальные архивы широко используются при резервном копировании, позволяя достичь компромисса между нужной частотой создания копий, глубиной архива и занимаемым копиями местом на устройствах хранения. Несмотря на то, что Linux есть специализированные пакеты для резервного копирования, их использование во многих случаях будет избыточным, потому что такая задача достаточно просто решается при помощи архиватора tar, который присутствует \u0026quot;из коробки\u0026quot; в любом дистрибутиве.\nВозможности tar Утилита tar является штатным архиватором в Unix-подобных системах и полностью соответствует философии Unix - делать только одну вещь, но делать ее хорошо. Многие, возможно, удивятся, но tar не умеет сжимать архивы, потому что архивация данных и их сжатие - это разные операции. Архивация предусматривает помещение файлов в единый контейнер, целостность которого легко контролировать, особенно при передаче по каналам связи. Сжатие - это дополнительная операция, выполняемая над архивом, которая позволяет уменьшить его размер, но не является обязательной.\nВ современном понимании \u0026quot;архивация\u0026quot; и \u0026quot;сжатие\u0026quot; чаще всего являются синонимами, так как архивация без сжатия практически никогда не используется. Поэтому tar умеет создавать сжатые архивы используя установленные в системе утилиты сжатия, обычно по умолчанию это gzip и bzip, но никто не мешает использовать вам практически любые алгоритмы. Более подробно консольные утилиты для сжатия мы рассматривали в нашем тестировании.\nКак и многие утилиты командной строки tar имеет два варианта записи опций: полную и краткую. Краткая удобна при интерактивной работе в консоли, зато полная более наглядна и удобочитаема. Сравните:\n1tar -czf archive.tgz ~/my_folder или\n1tar --create --gzip --file=archive.tgz ~/my_folder Даже не будучи знакомым с опциями утилиты вполне можно понять, что мы создаем архив папки my_folder, сжимаем его при помощи gzip и помещаем в файл archive.tgz. При краткой записи все далеко не так очевидно. Поэтому в скриптах мы советуем использовать полный синтаксис, что позволит быстро разобраться в них вам и вашим коллегам, особенно если вы используете редкие опции.\nДля создания инкрементных архивов tar использует специальный файл метаданных, куда записывает состояние архивируемых файлов, впоследствии набор данных сравнивается с метаданными и в архив помещаются только новые или измененные файлы, а метаданные обновляются.\nСоздать такой архив можно командой:\n1tar --create --gzip --file=archive.tgz --listed-incremental=my_folder.snar ~/my_folder К стандартной команде добавилась новая опция --listed-incremental, которая указывает на файл метаданных. Если он отсутствует, то создается полная копия, иначе состояние файлов сверяется с метаданными и создается инкрементальный архив.\nТакже при создании резервных копий могут быть использованы опции:\n--ignore-failed-read - игнорирует файлы, которые невозможно прочитать, например, заблокированные другими процессами или на которые нет прав. --one-file-system - не выходить за пределы файловой системы, используется при нахождении в целевом каталоге точек монтирования на другие разделы. -p или --preserve-permissions - восстанавливает владельца и разрешения для объектов. Используется только при извлечении. -s или --preserve-order - предписывает использовать порядок файлов из архива при извлечении, может быть полезна на компьютерах с малым объемом оперативной памяти, в ином случае не имеет смысла. Используется только при извлечении. --sparse - используется при архивации разреженных файлов, т.е. тех, которые имеют в своем составе незаписанные области, позволяет не копировать пустые участки файлов. Может существенно замедлить процесс архивации, так как перед архивированием файл будет дополнительно прочитан. Практический смысл из указанных опций имеет только --ignore-failed-read, особенно если вы выполняете бэкап с правами обычного пользователя. Остальные опции следует применять исключительно при наличии такой необходимости. Скажем --preserve-permissions имеет смысл, если вы восстанавливаете архив со сложной структурой прав на объекты, например, копию веб-сайта, для обычного архива личных файлов ее использование обычно бессмысленно.\nОпции --preserve-order и --sparse скорее всего не пригодятся на современных системах. Недостатка оперативной памяти сегодня не ощущается даже в бюджетном сегменте, а типичный разреженный файл - это чаще всего контейнер виртуального жесткого диска и он все равно будет сжат, что в итоге даст практически тот же эффект, только без дополнительной операции чтения большого файла.\nЕсли нужно копировать не всё, то следует указать исключения, для этого используются две опции: --exclude и --exclude-from. Первая позволяет просто указать файл, папку или паттерн для исключения. Например:\n1--exclude=*.tmp Данная запись исключает файлы с расширением tmp внутри копируемой директории.\n1--exclude=dir1/tmp А такая конструкция предписывает не копировать директорию dir1/tmp. Обратите внимание, что все пути указываются относительно директории архивируемой директории, т.е. в нашем случае полный путь к папке будет ~/my_folder/dir1/tmp.\nЕсли нужно исключить сразу несколько объектов, то опцию следует использовать нужное число раз:\n1--exclude=*.tmp --exclude=dir1/tmp Это может быть неудобно, поэтому можно поместить исключаемые объекты в отдельный файл, по одной записи на строку и использовать его совместно с другой опцией:\n1--exclude-from=exclude.list Составляя списки учтите, что записи обрабатываются \u0026quot;дословно\u0026quot;, поэтому обращайте внимание на наличие пробелов, они не видны в редакторе, но являются самой частой причиной того, что списки не работают как надо.\nМы рассмотрели только самые часто используемые опции, для полной информации обратитесь к официальной документации.\nСоздание инкрементальных архивов Инкрементальным называется архив, который содержит только новые или измененные с момента предыдущего копирования файлы. В качестве примера рассмотрим простой скрипт, который будет создавать один раз в неделю, по воскресеньям, полный архив, а в остальные дни инкрементальные к нему.\n1#!/bin/sh 2 3#Указываем путь к директории с бэкапами 4BACKUP=/home/andrey/backup 5 6#Получаем номер дня недели 7DAY=$(date +%u) 8 9#Если воскресенье - удаляем файл метаданных и архивы 10if [ \u0026#34;$DAY\u0026#34; = \u0026#34;7\u0026#34; ]; then 11 NUM=\u0026#34;0\u0026#34; 12 rm -rf $BACKUP/example.snar 13 rm -rf $BACKUP/*.tgz 14else 15 NUM=\u0026#34;$DAY\u0026#34; 16fi 17 18#Создаем архив 19tar --create \\ 20 --gzip \\ 21 --file=$BACKUP/example.$NUM.tgz \\ 22 --ignore-failed-read \\ 23 --listed-incremental=$BACKUP/example.snar \\ 24 /home/andrey/example На что следует обратить внимание? Прежде всего на указание пути, в данном случае мы используем полный путь /home/andrey/backup, вместо относительного ~/backup, потому что относительный путь зависит от контекста исполнения. Так если мы запустим скрипт от имени суперпользователя, то ~/backup будет обозначать /root/backup, что может привести к самым неожиданным последствиям.\nТакже мы используем переносы строки, чтобы улучшить читабельность скрипта, для этих целей используется символ обратного слеша, который следует отделить пробелом от текста команды. Эта же запись в строку будет выглядеть так:\n1tar --create --gzip --file=$BACKUP/example.$NUM.tgz --ignore-failed-read --listed-incremental=$BACKUP/example.snar /home/andrey/example Такой скрипт можно поместить в cron с исполнением один раз в сутки, и мы получим в папке с бэкапами архивы с номерами от 0 до 6, где 0 - будет полный архив, а 1-6 - инкрементальные к нему.\nДля примера мы каждый день добавляли в папку example по одному изображению, результат работы скрипта приведен ниже: Как видим, каждый архив содержит только добавленные данные и не повторяет содержимое других архивов.\nСоздание дифференциальных архивов Дифференциальный архив, в отличии от инкрементального, содержит все новые или измененные данные со времени последнего полного копирования. Несмотря на то, что tar не умеет самостоятельно делать дифференциальные архивы, этого можно легко добиться с помощью скрипта. Нам всего лишь надо сохранить файл метаданных, созданный при создании полного архива и использовать его при каждом последующем копировании.\nВот пример такого скрипта, все условия аналогичные скрипту выше:\n1#!/bin/sh 2 3#Указываем путь к директории с бэкапами 4BACKUP=/home/andrey/backup 5 6#Получаем номер дня недели 7DAY=$(date +%u) 8 9#Удаляем текущие метаданные 10rm -rf $BACKUP/example.snar 11 12#Если воскресенье - удаляем файл начальных метаданных и архивы 13if [ \u0026#34;$DAY\u0026#34; = \u0026#34;7\u0026#34; ]; then 14 NUM=\u0026#34;0\u0026#34; 15 rm -rf $BACKUP/example.snar0 16 rm -rf $BACKUP/*.tgz 17else 18 NUM=\u0026#34;$DAY\u0026#34; 19fi 20 21#Если есть начальные метаданные - копируем их 22if [ -f \u0026#34;$BACKUP/example.snar0\u0026#34; ]; then 23 cp $BACKUP/example.snar0 $BACKUP/example.snar 24fi 25 26#Создаем архив 27 tar --create \\ 28 --gzip \\ 29 --file=$BACKUP/example.$NUM.tgz \\ 30 --ignore-failed-read \\ 31 --listed-incremental=$BACKUP/example.snar \\ 32 /home/andrey/example 33 34#Если воскресенье - создаем начальную копию метаданных 35if [ \u0026#34;$DAY\u0026#34; = \u0026#34;7\u0026#34; ]; then 36 cp $BACKUP/example.snar $BACKUP/example.snar0 37fi Логика скрипта довольно проста. В обычный день мы удаляем перед архивированием текущий файл метаданных example.snar и копируем на его место начальную копию файла example.snar0 . В итоге каждый создаваемый архив будет содержать все новые или измененные файлы начиная с воскресенья, в которое мы создали полный архив.\nВ воскресенье мы также удаляем файл начальных метаданных, перед этим удалив текущий файл, это заставит tar создать новый архив и новый файл метаданных, который мы дополнительно скопируем как начальную копию.\nДля проверки мы снова каждый день добавляли в директорию по изображению, но результат уже оказался другим: Теперь каждый последующий архив включает данные всех предыдущих, но при этом общий размер хранимых данных ощутимо выше, чем при инкрементальном копировании.\nВ заключение хочется отметить, что приведенные скрипты не являются готовыми решениями для создания резервных копий, а только лишь представляют примеры как можно создавать архивы того или иного типа при помощи tar.\n","id":"a7f9cabef9f7aa624939fabde2fe4df6","link":"https://interface31.ru/post/sozdanie-inkremental-nyh-i-differencial-nyh-arhivov-pri-pomoshhi-tar/","section":"post","tags":["Debian","Linux","tar","Ubuntu","Ubuntu Server","Архивация","Резервное копирование"],"title":"Создание инкрементальных и дифференциальных архивов при помощи tar в Linux"},{"body":"Это лето порадовало нас не только выходом нового релиза Debian, но и обновлением специализированных дистрибутивов, созданных на его основе. Буквально на днях, во вторник последней недели августа, компания Proxmox сообщила о выходе новой версии своего решения для защиты электронной почты Proxmox Mail Gateway 6.0. При этом вы можете выполнить как новую установку, так и обновить предыдущую версию. Несмотря на то, что документации по обновлению доступна на официальном сайте, мы решили выпустить собственный материал, который кроме перевода инструкции на русский язык, будет содержать наши пояснения для выполняемых действий.\nПрежде всего предупредим вас - обновление на новую версию ОС - потенциально опасный процесс и потеря контроля на некоторых этапах может привести к самым нежелательным последствиям. Поэтому обновление следует выполнять либо в консоли (т.е. непосредственно подключившись к серверу), либо через SSH-терминал. В последнем случае имейте ввиду, что обрыв связи может привести к невозможности загрузить ОС в нормальном режиме и потере удаленного доступа к ней, чтобы избежать подобной ситуации воспользуйтесь командой screen.\nСамым первым действием следует обновить текущую систему до актуального состояния, для этого выполните с правами суперпользователя:\n1apt update 2apt dist-upgrade После завершения данной операции создадим резервную копию текущей конфигурации Proxmox Mail Gateway:\n1pmgbackup backup Копия создается в каталоге /var/lib/pmg/backup, советуем скопировать ее оттуда в надежное место за пределами сервера.\nИзменим репозитории для работы с новой версией ОС, так как новый PMG основан на Debian 10, то выполним:\n1sed -i \u0026#39;s/stretch/buster/g\u0026#39; /etc/apt/sources.list Также заменим источник в репозитории Proxmox, который доступен без подписки, если вы устанавливали продукт по нашей статье, то будет достаточно команды:\n1sed -i \u0026#39;s/stretch/buster/g\u0026#39; /etc/apt/sources.list.d/pmg-no-subscription.list В ином случае потребуется уточнить имя файла, либо заменить в нем stretch на buster вручную.\nОстановим следующие службы:\n1systemctl stop postfix pmg-smtp-filter pmgpolicy pmgdaemon pmgproxy pmgmirror pmgtunnel и замаскируем их:\n1systemctl mask postfix pmg-smtp-filter pmgpolicy pmgdaemon pmgproxy pmgmirror pmgtunnel Что такое маскировка? Это операция, как и disable, выполняет отключение службы, но отключение влияет только на автозагрузку службы. Отключенная служба может быть запущена вручную, скриптом, регламентным заданием или зависящей от нее службой. Маскировка делает запуск службы полностью невозможной, как бы если указанной службы не существовало.\nЕще раз обновим источники пакетов и выполним апгрейд системы:\n1apt update 2apt dist-upgrade Но не спешите перезагружать систему по окончании этого процесса, нам потребуется выполнить некоторые дополнительные действия. Proxmox Mail Gateway хранит данные в базе PostgreSQL, которая была обновлена с версии 9.6 до 11, поэтому нам потребуется выполнить конвертацию данных.\nПрежде всего удалим новый кластер PostgreSQL, который был создан автоматически:\n1pg_dropcluster --stop 11 main И выполним конвертацию существующего кластера с данными:\n1pg_upgradecluster -v 11 9.6 main Затем снимем маскировку для части служб:\n1systemctl unmask postfix pmg-smtp-filter pmgpolicy pmgdaemon pmgproxy И перезагрузим сервер:\n1reboot После перезагрузки снимем маскировку с оставшихся служб:\n1systemctl unmask pmgmirror pmgtunnel и запустим их:\n1systemctl start pmgmirror pmgtunnel Наш сервер обновлен, можем проверить работу с новой версией шлюза.\nВ завершение удалим старые пакеты PostgreSQL:\n1apt purge postgresql-9.6 postgresql-client-9.6 postgresql-contrib-9.6 Следует отметить, что в нашем случае пакета postgresql-contrib-9.6 не оказалось, но это не является ошибкой.\nКак видим, обновить Proxmox Mail Gateway достаточно просто и если вы будете следовать инструкции, то проблем возникнуть не должно. Но все равно не забывайте про резервные копии.\n","id":"45ebf516e1d2c31b26bfad014e5ee744","link":"https://interface31.ru/post/obnovlyaem-proxmox-mail-gateway-s-versii-5x-do-60/","section":"post","tags":["E-mail","Proxmox","Безопасность","Сетевые технологии"],"title":"Обновляем Proxmox Mail Gateway с версии 5.x до 6.0"},{"body":"Обозревать дистрибутивы Linux - дело во многом неблагодарное, во-первых - их много, во-вторых - многие из них отличаются друг от друга и от родительского дистрибутива только \u0026quot;нескучными\u0026quot; обоями. Но иногда встречается нечто действительно интересное. Одним из таких дистрибутивов является Q4OS, основанный на пакетной базе Debian и использующий в качестве рабочего окружения среду Trinity Desktop Environment (TDE). Сами разработчики позиционируют систему как быструю и мощную современную ОС с очень низкими системными требованиями, которая хорошо подходит для устаревших ПК.\nКак вы уже, наверное, догадались, основной интерес в данном дистрибутиве представляет окружение рабочего стола Trinity - это форк KDE 3.5, который бережно сохраняет все особенности исходной среды с опорой на современные технологии. Однако, в отличии от другого форка не менее известной среды Mate (форк Gnome 2), широкой известности Trinity не получила, поэтому посмотреть на нее будет тем более интересно.\nQ4OS - это один из немногих дистрибутивов использующих TDE и пожалуй единственный, который использует эту среду как основную. Получить ОС можно на официальном сайте, но будьте внимательны при скачивании. Существуют два типа образов: live и install-cd, установить систему при использовании live-образа вам не удастся. Текущая версия ОС - Q4OS 3.8 Centaurus, которую мы и будем рассматривать.\nИнсталлятор только текстовый, стандартный для Debain и останавливаться на нем не имеет никакого смысла. При входе в систему нас приветствует достаточно оригинальный стартовый экран, который выглядит может несколько старомодно, но определенно имеет свое очарование. При первом запуске система сообщила, что так как мы выбрали русский язык, то она скачает и установит нужные языковые пакеты, поэтому крайне желательно проводить установку с доступным интернет-подключением, хотя в 2019 году это совсем не проблема. Следующий шаг - выбор профиля рабочего стола, конечно же мы выбрали полный. Кстати, всплывающая подсказка вверху ничего вам не напоминает? Для завершения установки с этим профилем вам также понадобится активное интернет-соединение, так как большая часть пакетов будет скачана из сети. Никаких особых сложностей процесс установки не таит и вскоре мы оказываемся на рабочем столе. Пользователя встречает Окно приветствия, в котором можно выполнить самые необходимые настройки, скажем, скачать кодеки или перейти к установке программ. Это хороший подход, позволяющий за руку провести новичка по всем основным пунктам настройки системы.\nСама рабочая оболочка выглядит приятно, не скажешь, что это потомок KDE 3, общее оформление более напоминает современную KDE Plasma. Работает все это достаточно быстро, интерфейс обладает хорошей отзывчивостью. Сам же стиль оформления очень и очень сильно напоминает Windows-системы. Да, KDE всегда использовал общие с Windows концепции построения интерфейса, в то время как Gnome тяготеет к MacOS, но в данном случае сходство уж очень явное, достаточно посмотреть на стартовое меню.\nТакая мимикрия под Windows еще одна особенность Q4OS, когда-то это было довольно популярно, но и десктопный Linux тогда был еще молодой системой с большим набором \u0026quot;детских болезней\u0026quot;. Сегодня же это смотрится достаточно странно, соверменный Linux - это самодостаточная система и нет никакой необходимости походить на кого-то еще.\nА мы пока заглянем в прошлое, что нам позволят сделать темы оформления Q4OS. Итак, встречаем - классическая схема оформления, для тех, кто ностальгирует по Windows 2000. Хотя не менее ярко видны характерные признаки KDE3. С выходом Windows XP стало модно походить на него. А вот эта тема больше уже, наверное, походит на Windows 7, хотя уже столь явного подражания не просматривается, Linux стал более взрослым и начал вырабатывать собственную идентичность. Еще один пережиток прошлого - Центр установки программ. Нет, сама идея подобного магазина не плоха, но вот реализация. Начнем с того, что представлено всего 19 программ, учитывая обилие софта в Linux это даже не смешно. Ладно, попробуем что-нибудь установить, скажем Skype. А вот это уже смешно, только смех выходит какой-то грустный. Ну может кто-нибудь пояснить зачем в 2019 году пытаться подражать Windows-установщику? Ладно там лет 15 назад, когда вокруг безраздельно царил Windows и процесс установки программ четко ассоциировался с подобного рода установщиками. Но сейчас, при обилии систем и магазинов неопытному пользователю такое наоборот может выйти в диковинку, он привык к нажатию единственной кнопки Установить, которая затем превращается в Открыть. Теперь небольшое количество пакетов в этом Центре становится понятно, обернуть каждое в такой \u0026quot;инсталлятор\u0026quot; тоже нужно время, только вот это сейчас никому не нужно и выглядит как-то жалко и смешно. А что, если нам потребуется что-то еще? А тут все плохо, вот вам Synaptic и крутитесь как хотите. Новичка подобное предложение просто повергнет в ступор, даже если отбросить всю специфичность его интерфейса, что что-либо с его помощью установить нужно знать точное название пакета, а если я просто хочу посмотреть что здесь есть для работы с графикой?\nОднако не будем увлекаться критикой, недостатки у дистрибутива есть, но есть и достоинства. Прежде всего действительно небольшие системные требования. Мы специально уменьшили объем оперативной памяти до 512 МБ и оставили виртуалке единственное ядро от Core i5-4670. Система загрузилась достаточно бодро, мы открыли в ней несколько офисных документов, пару вкладок в браузере и решили посмотреть IPTV в HD-качестве. Да, ресурсов системе определенно не хватает, она достаточно активно свопит, но тем не менее работа все это время оставалась достаточно комфортной, а интерфейс отзывчивым. Понятно, что 512 MБ памяти для современных ПК, даже старых, это мало, но даже на такой конфигурации Q4OS c Trinity позволяет достаточно комфортно использовать систему, не отказывая себе во всех прелестях современных технологий (включая HD-видео).\nВыводы Выводы будут очень неоднозначными. Сама система, как и оболочка рабочего стола достаточно интересны, но отдельные моменты реализации вызывают недоумение. Мы бы посоветовали разработчикам полностью отказаться от какого-либо подражания и сосредоточиться на сильных сторонах системы, а именно ее легковесности и привлекательного внешнего вида. Сегодня в этой нише не все так просто.\nСкажем тот-же XFCE сегодня переходит в разряд \u0026quot;тяжеловесов\u0026quot; в семействе легких оболочек, а действительно легкие Mate и LXDE/LXQt не закрывают всех пользовательских запросов. Первая представляет собой достаточно специфичную организацию рабочего пространства, которое будет ближе пользователям MacOS, а вторая недостаточно привлекательна графически, в то время как Trinity с используемой в Q4OS темой Debonaire выглядит просто великолепно.\nМы надеемся, что разработчики наконец осознают современное положение дел и откажутся от подражания кому бы то ни было и сосредоточатся на развитии сильных сторон дистрибутива. На это косвенно указывает наличие сборок для Raspberry Pi и ARM на официальном сайте, ведь легкие оболочки нужны не только устаревшим ПК.\n","id":"b7904d8f69eed317db7e1f76b69789ac","link":"https://interface31.ru/post/q4os-interesnyy-i-neobychnyy-linux-distributiv/","section":"post","tags":["Debian","KDE","Linux"],"title":"Q4OS - интересный и необычный Linux-дистрибутив"},{"body":"В одной из наших прошлых записей мы рассказывали об установке консольного клиента Яндекс.Диск на сервера Debian/Ubuntu. Но у консольного клиента есть существенный недостаток - отсутствие возможности очищать корзину. Несмотря на то, что добавить данный функционал пользователи просят довольно давно - воз и ныне там, поэтому будем справляться собственными силами, а поможет нам в этом REST API Диска. На первый взгляд выглядит сложно, но это сложность мнимая, тем более что мы сразу предлагаем фактически готовое решение.\nДанное решение придумано не нами и достаточно давно присутствует в сети, поэтому мы сначала и не планировали публиковать его у себя, но потом решили его еще раз проверить и выпустить данный материал, чтобы вся нужная информация была размещена в одном месте.\nПрежде всего нам нужно авторизоваться на Яндексе под тем аккаунтом, который используется для доступа к Яндекс.Диску. Для этого достаточно войти в любой сервис Яндекса, не обязательно Диск, можно и в Почту.\nТеперь нам нужно перейти на Oauth-сервер и зарегистрировать там новое приложение для доступа к данным в сервисах Яндекса, для этого просто перейдите по ссылке: https://oauth.yandex.ru Для приложения обязательно указываем наименование, следует сделать его информативным, чтобы вы всегда могли вспомнить, что это и для чего. Ниже ставим галочку Веб-сервисы и нажимаем на ссылку Подставить URL для разработки, в поле Callback URL автоматически появится адрес. Прокручиваем страницу еще ниже, до раздела Яндекс.Диск REST API и включаем в нем все опции доступа. После чего отправляемся в самый низ страницы, где нажимаем кнопку Создать приложение, в результате вы увидите примерно следующее окно, нас здесь интересует ID-приложения, скопируйте его куда-нибудь (либо не закрывайте эту страничку). Для того, чтобы наше приложение могло аутентифицироваться на серверах Яндекса получим токен, для этого сформируйте специальную ссылку:\n1https://oauth.yandex.ru/authorize?response_type=token\u0026amp;display=popup\u0026amp;client_id=ID Где в качестве ID используйте полученное на предыдущем шаге значение. Перейдите по ней и подтвердите предоставление доступа. После чего на экране появится длинная 40-символьная строка - ваш токен, сохраните его в надежном месте. Помните, что он дает полный доступ к вашему диску, поэтому доступ к нему следует ограничить.\nПолучив токен, можно переходить к написанию скрипта очистки корзины, для его работы нам понадобится curl, его можно установить командой:\n1apt install curl Теперь создадим сам скрипт, его можно разместить в любом удобном месте, в нашем случае это будет /etc\n1touch /etc/yandex_trash Откроем его любым редактором и внесем следующий текст:\n1#!/bin/bash 2curl -s -H \u0026#34;Authorization: OAuth TOKEN\u0026#34; -X \u0026#34;DELETE\u0026#34; https://cloud-api.yandex.net/v1/disk/trash/resources/?path= где TOKEN - строка полученного вами токена.\nЗатем сделаем файл исполняемым:\n1chmod +x /etc/yandex_trash Для проверки можно просто запустить скрипт, после чего должна произойти очистка корзины нужного аккаунта. После чего его можно вызывать по нужному расписанию с помощью cron или использовать данную конструкцию в иных скриптах.\nТакже данный скрипт (точнее строку с обращением к API) можно использовать и в Windows, для этого вам потребуется установить curl для Windows и указать полный путь к исполняемому файлу в скрипте (либо добавить его в переменную PATH).\nПо материалам: Яндекс.Диск: очистка корзины из Debian\n","id":"6646d7a6ef7b657fa8e72b5dad122276","link":"https://interface31.ru/post/ochistka-korziny-yandeksdiska-cherez-api-v-debian-i-ubuntu/","section":"post","tags":["Debian","Ubuntu","Облака","Яндекс"],"title":"Очистка корзины Яндекс.Диска через API в Debian и Ubuntu"},{"body":"Достаточно часто в практике автоматизатора или разработчика возникают ситуации, когда требуется проверить корректность работы конфигураций 1С:Предприятие с торговым оборудованием. Но есть категории оборудования, использование которого в тестовом режиме крайне затруднительно - это ККТ и банковские терминалы. Одно дело, если нужно просто проверить корректность подключения, тогда можно просто \u0026quot;пробить\u0026quot; что-нибудь недорогое и положить пару рублей в кассу (или списать с карты), иначе нужно искать иные решения. Одним из неплохих вариантов будет использование эмуляторов.\nСамые свежие версии эмуляторов торгового оборудования от фирмы 1С с поддержкой ФФД 1.2 и маркировки, а также эмулятор сканера штрихкодов описаны в следующей нашей статье:\nРекомендуем к прочтению 1С:Эмулятор торгового оборудования с поддержкой 64 бит и Linux Эмулятор контрольно-кассовой техники нового образца Долгое время в составе 1С поставлялся эмулятор фискального регистратора, который позволял протестировать работу с ККТ без подключения физического оборудования. С переходом на онлайн-кассы он стал неактуален, новый эмулятор в состав конфигураций не входит, но доступен на портале 1C:Обновление программ.\nСкачать Скачать / Зеркало x32 Сразу отметим, что данный эмулятор хорошо подходит для проверки правильности формирования чека и логики работы конфигурации. Его можно использовать при разработке, тестировании или обучении персонала. Особенностей работы с конкретными экземплярами ККТ он не учитывает, так как работает через собственный, упрощенный драйвер. Если вам нужно отладить прикладное решение для работы с конкретной моделью ККТ или проверить TLV-структуру чека, то данный эмулятор не подойдет.\nДрайвер эмулятора поставляется в виде архива, но просто так загрузить его в 1С не получается, во всяком случае мы не разу не смогли это сделать, поэтому пойдем несколько более сложным, но надежным путем.\nДля начала распакуем архив и поместим библиотеку FPEmulatorKKT1C2.dll в какое-нибудь надежное расположение (чтобы никто случайно не удалил или не переместил), скажем в C:\\Program Files (x86)\\1cv8. После чего зарегистрируем ее:\n1regsvr32 \u0026#34;C:\\Program Files (x86)\\1Cv8\\FPEmulatorKKT1C2.dll\u0026#34; Затем откроем 1С и перейдем в раздел Подключаемого оборудования, в зависимости от конфигурации пути могут несколько отличаться. Затем откроем Подключение и настройка оборудования и выберем Драйверы оборудования. Нажмем кнопку Создать и заполним поля следующим образом: Тип оборудования - ККТ с передачей данных Наименование - 1C: Эмулятор контрольно-кассовой техники нового образца (хотя это некритично, можете написать все что угодно) Идентификатор объекта - AddIn.EmulatorKKT1C2 Теперь можно подключить эмулятор как обычный экземпляр оборудования. После создания оборудования загляните в его настройки и установите нужное время отображения на экране, а также включите отображение нужных реквизитов на других закладках. Теперь при пробитии чека в нижнем правом углу будет всплывать окно с его содержимым: На \u0026quot;настоящий\u0026quot; чек не совсем похоже, но такая цель и не ставилась (скорее наоборот), зато все необходимые реквизиты присутствуют и можно проверить правильность формирования чека.\n1C: Эмулятор ККТ с передачей данных (54-ФЗ) с функцией эквайринговых операций Новый эмулятор ККТ от фирмы 1С, представленный вместе с Библиотекой подключаемого оборудования 3.x, но будет работать на любых конфигурациях с БПО. Состав эмулируемого оборудования значительно расширен, теперь кроме ККТ драйвер может эмулировать эквайринговый терминал и электронные весы.\nСкачать Скачать / Зеркало x32 Также как и его предшественник этот драйвер устанавливается вручную, прежде всего распакуем архив и разместим библиотеку FPEmulatorKKT1Cffd12.dll в надежное расположение, например, C:\\Program Files (x86)\\1cv8 и зарегистрируем ее:\n1regsvr32 \u0026#34;C:\\Program Files (x86)\\1Cv8\\FPEmulatorKKT1Cffd12.dll\u0026#34; Затем перейдем в раздел Подключаемого оборудования - Подключение и настройка оборудования и выберем Драйверы оборудования (в зависимости от конфигурации пути могут различаться), в открывшемся окне Создадим новый экземпляр оборудования, в конфигурациях на БПО 3.x следует выбрать Подключить новый - Установленный на локальном компьютере: После чего заполняем поля следующим образом:\nТип оборудования - ККТ с передачей данных / Эквайринговые терминалы / Электронные весы Наименование - 1C: Эмулятор ККТ / 1С: Эмулятор терминала / 1С: Эмулятор весов Идентификатор объекта - AddIn.EmulatorKKT1Cffd12 Если вам нужны все три вида эмуляторов, то повторяем действие три раза, каждый раз указывая нужный тип оборудования. После создания экземпляра оборудования обратите внимание на следующие настройки: для ККТ появилась закладка ФФД 1.2 где можно настроить работу с маркированным товаром, в частности указать желаемый результат проверки, как положительный, так и отрицательный. Для Эквайрингового терминала это закладка Платежные операции, где следует указать Порог положительных операций, все суммы ниже порога терминал будет одобрять, при превышении придет отказ. Важно! Важно! Если вы используете несколько типов оборудования с применением данного драйвера, то изменять настройки следует сразу во всех экземплярах, чтобы они были полностью одинаковые. В противном случае возможна непредсказуемая работа эмулятора.\nВ режиме ККТ эмулятор выводит на экран чек, на настоящий он также похож мало, но это фирменная позиция 1С, недаром она везде, где только может пишет, что ТОЛЬКО ДЛЯ ТЕСТИРОВАНИЯ И ОБУЧЕНИЯ. Тем не менее все необходимые реквизиты есть, для целей разработки и тестирования этого достаточно. В режиме Эквайрингового терминала вы получите, в связке с этим же эмулятором ККТ, два чека: слип терминала и собственно кассовый чек, слип тоже не похож на настоящий, но в большинстве случаев это не имеет никакого значения: При превышении Порога положительных операций терминал выдаст отказ в проведении операции. Это самая удобная функция данного эмулятора, для получения отказа нам не нужно менять настройки, достаточно просто указать нужную сумму. В режиме Электронных весов эмулятор по нажатию кнопки Получить вес в РМК возвращает случайное значение от 0 до 10 с точностью до двух знаков после запятой. Это эквивалентно весам с диапазоном до 10 кг и точностью взвешивания 10 г. Новый эмулятор от 1С действительно неплох, он в одиночку позволяет закрыть самые востребованные функции. К минусам можно отнести \u0026quot;ненастоящие\u0026quot; чеки, но это официальная позиция разработчика, который стремиться максимально затруднить какие-либо махинации при помощи эмулятора.\nДрайвер ККТ Учебный для 1С:БПО 3.X NativeAPI Еще один эмулятор ККТ от компании 1С-Рарус, единственный из эмуляторов на сегодняшний день, который поддерживает 64-х разрядную платформу.\nСкачать Скачать / Зеркало x32/x64 Несмотря на то, что драйвер легко загружается из архива при его установке есть некоторые особенности. Так как архив содержит интеграционные компоненты для платформ разной разрядности, то устанавливать его нужно два раза, отдельно для каждой платформы. При этом рекомендуем сразу в Наименовании указывать разрядность драйвера. Иначе легко запутаться и при попытке установить драйвер не той разрядности вы получите ошибку, текст которой совсем не проливает свет на причины происходящего и способна доставить ряд неудобств на ровном месте. Особенно если вы ставили драйвер давно и успели забыть об этой особенности. В остальном его использование ничем не отличается от предыдущего эмулятора, но есть и плюсы, так чек, выводимый на экран более информативен и более похож на \u0026quot;настоящий\u0026quot;, присутствуют все необходимые фискальные признаки и QR-код. Дополнительное преимущество - этот эмулятор хранит все чеки и нефискальные документы \u0026quot;пробитые\u0026quot; в текущем сеансе, вы можете просматривать из воспользовавшись списком в верхней части чека. Это удобно, так как позволяет сравнить содержимое чеков или изучить историю. Такая потребность чаще всего встречается при обучении персонала, когда им нужно показать отличия между двумя чеками, скажем прихода и возврата прихода, или при работе с авансами и их погашением.\nВ целом эмулятор от 1С-Рарус нравится нам гораздо больше штатного и в последнее время мы отдаем предпочтение именно ему.\nЭмулятор эквайрингового терминала TRISoft С эквайринговым терминалом во многих случаях проще, можно установить в настройках использование терминала без подключения оборудования и спокойно тестировать этот участок. Но в этом случае будут работать совсем иные подсистемы, нежели с подключаемым оборудованием. Поэтому, если нужно проверить именно работу подключаемого терминала или научить кассиров обрабатывать ошибки, то без эмулятора не обойтись.\nШтатной обработки в 1С до выхода нового эмулятора с функцией эквайринговых операций не было, но мы нашли отличный эмулятор, написанный одним из пользователей Инфостарта. Мы настоятельно советуем скачивать драйвер именно с Инфостарта за стартмани, чтобы таким образом поддержать автора и его дальнейшие разработки.\nСкачать Скачать / Зеркало x32 В отличии от эмулятора ККТ, данный драйвер можно просто загрузить из архива. Никаких особых настроек эмулятор не требует, зато теперь мы можем эмулировать произвольные строки или ошибки с слип-чеке или ошибки терминала: В сочетании с эмулятором онлайн-кассы вы увидите на экране сначала слип-чек, а затем кассовый: Эмулятор эквайрингового терминала 1С-Рарус Еще один эмулятор банковского терминала, снова от компании 1С-Рарус.\nВнимание! Важно! Данный эмулятор работает только с конфигурациями содержащими Библиотека подключаемого оборудования 2.x.\nСкачать Скачать / Зеркало x32\nДанный драйвер также легко устанавливается загрузкой из архива, но имеет только 32-х разрядную версию, что несколько расстраивает, так как получить полноценное тестовое рабочее место для платформы x64 все еще невозможно. Этот эмулятор прост, даже скажем - очень прост. Все что он делает - это эмулирует успешную оплату через терминал, хотя в большинстве случаев именно это и требуется получить при разработке или отладке. Основная причина использования эмулятора терминала - это вызвать исполнение той же самой ветви кода, которая работает с реальным оборудованием.\nВ настройках терминала можно включить опцию Отображать диалоговые окна, после чего вас появится возможность принять или отклонить оплату со стороны банка. При успешной оплате будет напечатано два чека: слип от банка и кассовый чек на ККТ, в нашем случае использовался эмулятор ККТ от 1С-Рарус. Если брать по возможностям, то эмулятор от 1С-Рарус более простой, чем разработка с Инфостарт, но тем не менее все необходимые функции он выполняет, но не работает в новых конфигурациях на БПО 3.0. Что выбрать - дело за вами, благо выбирать есть из чего.\nДанные эмуляторы мы широко используем в повседневной деятельности, как при разработке, так и при тестировании и поэтому можем смело рекомендовать их нашим читателям.\n","id":"6cee484d6c877e98445d63b9d6eaf1ff","link":"https://interface31.ru/post/emulyator-onlayn-kkt-i-emulyator-bankovskogo-terminala-dlya-1spredpriyatie/","section":"post","tags":["1С Предприятие 8.х","ККТ","Эквайринг"],"title":"Эмуляторы Онлайн-ККТ и банковского терминала для 1С:Предприятие"},{"body":"Не так давно мы рассматривали российскую ОС ROSA, которая основана на одном из старейших дистрибутивов - Mandriva Linux. К сожалению, разногласия между акционерами привели к ликвидации компании и прекращению разработки дистрибутива. Но остались наследники, к числу которых, кроме российской ROSA, относится еще и форк, сделанный французскими разработчиками - Mageia, последняя версия которого вышла в июле этого года. Это хороший повод познакомиться с данным дистрибутивом и сравнить его с отечественными разработками на той же основе.\nИстория Mageia началась почти 9 лет назад, осенью 2010 года, когда руководство Mandriva сократило французское подразделение Edge IT, уволив всех его сотрудников. Часть уволенных сотрудников, которые отвечали в основном за разработку и сопровождение дистрибутива, объявили о создании форка Mandriva, который назвали Mageia (от греческого слова магия). За это время было создано семь выпусков, с последним из которых мы решили познакомиться.\nСистема встречает нас красивым загрузочным экраном, еще при разработке шестой версии в команду был приглашен профессиональный дизайнер, результат, как говорится, налицо. Логотип, изображение, шрифты - все выглядит отлично, на уровне крупных дистрибутивов первого эшелона. Инсталлятор простой и понятный, выполнен с вниманием к деталям и новичкам. Казалось бы - ерунда, но подобные \u0026quot;фокусы\u0026quot; иногда способны поставить в тупик и опытного пользователя, заставляя перебирать все возможные и невозможные сочетания клавиш, заодно вспоминая \u0026quot;добрым словом\u0026quot; разработчиков. Разметка диска очень похожа на аналогичный инструмент в ROSA и скорее всего происходит от общего предшественника из Mandriva, каких-либо особенностей не имеет, прост и удобен в использовании. Репозиторий дистрибутива состоит из трех частей: Core - основной, Nonfree - для программ с закрытым кодом и Tainted - для ПО с возможными патентными ограничениями. Для России последнее неактуально (патенты на ПО запрещены законодательно) и поэтому включаем их все, что позволит из коробки получить наиболее полный набор ПО и кодеков. В качестве среды рабочего стола предлагаются KDE Plasma и Gnome, также можно выбрать любую иную оболочку в пункте выборочно. Так как основной оболочкой в Mandrake и Mandriva всегда была KDE мы не стали отступать от традиций. Сама установка ничем не примечательна, разве что вместо слайдов на экран выводится лог. В самом конце установки выводится итоговый экран с возможностью еще раз проверить и изменить некоторые опции. Это удобно, при установке можно что-то и пропустить, хотя это все можно настроить и позже. Если сравнивать с ROSA, то инсталлятор последней более лаконичен, но это нельзя отнести к недостаткам, все-таки направленность дистрибутивов немного разная. Mageia рассчитана на рядового пользователя, разной степени квалификации, новичок может просто жать Далее - Далее, а более опытный может воспользоваться расширенными настройками. ROSA претендует на корпоративный сектор, где есть системный администратор и задача которого - быстро развернуть систему, а не возиться с настройками на каждой рабочей станции.\nОкно приветствия также выглядит великолепно, но ложку дегтя добавляют кнопки Выключить и Перезагрузить, привыкнув, что обычно за вход в систему отвечает крайняя правая кнопка, автор этих строк благополучно отправил ее в перезагрузку... При входе в систему нас встречает путеводитель, который выполняет краткое знакомство с тем, как тут все устроено. Можно сразу запустить или установить нужные программы, так как мы добавили при установке репозитории Tainted - кодеки уже установлены, иначе можно было бы просто и быстро добавить их прямо отсюда. Дружелюбность к новичкам была в свое время визитной карточкой Mandrake и приятно видеть, что эти подходы сохранились. В качестве оболочки рабочего стола используется KDE 5 Plasma, особо рассказывать тут нечего, \u0026quot;кеды\u0026quot; могут нравиться или не нравиться, но нельзя отрицать того, что это одна из наиболее развитых и удобных рабочих сред. Те, кто переходит с Windows, должны оценить традиционный подход к построению интерфейсов, так как тот же Gnome 3 для непривычного новичка может показаться плодом инопланетного разума. В качестве \u0026quot;магазина\u0026quot;, как и в ROSA, используется Rpmdrake, утилита, конечно, неплохая, но от современных тенденций явно отставшая. Простой пользователь избалован магазинами приложений с красивыми картинками, описаниями и отзывами. У опытных пользователей это может вызвать недоумение, но ведь и компьютеры сегодня должны быть не сложнее кофеварок, нажал на кнопку - получил ожидаемый результат, а становиться специалистом для этого абсолютно необязательно. Несмотря на то, что в качестве пакетного менеджера остается urpmi, в качестве альтернативы доступен DNF (дальнейшее развитие Yum), что вносит унификацию с остальными RPM-системами. Как раз на это мы сетовали в ROSA. Да, можно изучить еще один пакетный менеджер, но зачем, если все остальные используют Yum/DNF или apt в экосистеме Debian.\nНастройки системы, исключая настройки KDE, сосредоточены в Центре управления, который построен с прицелом на простого пользователя. Все просто и понятно. Когда мы решили установить принтер, Mageia определила недостающие пакеты и тут же предложила их установить. С таким поведением мы сталкивались не единожды и остались им очень довольны. Здесь есть чему поучиться и более именитым дистрибутивам. Также Mageia - единственный на нашей памяти дистрибутив, которая определила работу в виртуальной среде и автоматически установила пакет интеграции open-vm-tools для VMware. Набор софта по умолчанию достаточно сбалансирован, естественно с учетом настольного применения. Нужно поработать или оформить задание по учебе - к нашим услугам свежий Libre Officе. Либо GIMP и Kdenlive для творчества и работы с мультимедиа. В общем для любого занятия найдется приложение, не нужно ничего искать и устанавливать. В целом Mageia произвела на нас очень приятное впечатление. Это хороший дистрибутив для домашнего применения. В нем есть все, что нужно для среднего пользователя, а чего нет - он в большинстве случаев добавит автоматически. Если сравнивать с ROSA, то трудно выделить лидера. Дистрибутивы около 10 лет идут разными путями, но тем не менее в каждом из них бережно сохранен дух Mandrake, который прежде всего проявляется в дружелюбности к новичкам. Maegia делает ставку на домашних пользователей, ROSA нацелилась на корпоративный сектор, но оба дистрибутива сохранили лучшие черты общего предшественника и продолжили развиваться дальше. Нам понравились оба, хотя Mageia кажется нам более подходящей начинающим, так как практически с самого начала ведет пользователя за руку.\nЧто выбрать в итоге? Мы не знаем. Попробуйте оба дистрибутива и сделайте выбор самостоятельно.\n","id":"62726920daac94578613931f499abcd0","link":"https://interface31.ru/post/mageia-7-francuzskiy-naslednik-mandriva/","section":"post","tags":["Linux","Mageia","Mandriva"],"title":"Mageia 7 - французский наследник Mandriva"},{"body":"IPTV в настоящее время стал стандартом де факто, практически полностью вытеснив \u0026quot;классическое\u0026quot; кабельное телевидение. Сегодня практически любой провайдер предлагает комплексные тарифные планы, включающие телевидение и интернет, предоставляет в аренду уже настроенное оборудование и вообще всякими способами стремится завлечь абонента в свои сети. И это хорошо, здоровая конкуренция снижает цены и повышает качество услуг. Но как быть, если вы предпочитаете настраивать свое сетевое оборудование самостоятельно? Сегодня мы как раз поговорим об этом.\nПодключение IPTV-приставки непосредственно в сеть провайдера Самый простой и нетребовательный к ресурсам способ смотреть IPTV, полностью оправдан, если ваша приставка не имеет никаких иных функции, которые требуют доступа к ресурсам локальной сети. Если вспомнить былые времена, то многие провайдеры при подключении IPTV ставили перед роутером простой свитч, куда включали IPTV-приставку, фактически мы повторим эту схему, но с использованием возможностей Mikrotik.\nПрежде всего определим порт, в который будет подключена приставка и выведем его из моста локальной сети (если он туда включен), в нашем случае это будет порт ether4. Для этого перейдем в Bridge - Ports и удалим запись для нужного порта. Затем создадим новый мост и введем в него порт приставки и внешний порт, смотрящий в сторону провайдера: Чтобы избежать возможных конфликтов с активным оборудованием провайдера отключим в свойствах моста протокол RSTP: Если вы используете для подключения к интернету коммутируемое подключение, то в его свойствах вместо внешнего интерфейса (ether5 в нашем примере) следует указать интерфейс моста bridge2. В данном случае это будет PPPoE подключение провайдера Ростелеком. При использовании иных методов доступа в интернет не забудьте изменить порт внешнего подключения с ether5 на bridge2, а также внести аналогичные изменения в правила файрволла, при коммутируемом подключении (PPPoE) делать этого не надо.\nПосле чего достаточно перезагрузить приставку, и она самостоятельно \u0026quot;разберется\u0026quot; с настройками, после чего вы сможете полноценно пользоваться услугой IPTV вашего провайдера.\nНастройка IGMP Proxy Однако предложенный выше способ может быть не всегда приемлем, вместо приставки могут использоваться иные, более функциональные устройства: SmartTV, TV BOX на Android и т.д. и т.п., которым нужно обеспечить доступ к ресурсам локальной сети. Также приставка может быть подключена не напрямую к роутеру, а через дополнительный коммутатор, либо вы еще по какой-либо причине не хотите выводить устройство за пределы домашней сети. В этом случае потребуется настройка IGMP Proxy, который обеспечит перенаправление мультикастового потока IPTV в локальную сеть и прохождение IGMP-пакетов для управления этим потоком.\nВ базовой поставке RouterOS необходимая функциональность отсутствует и нам потребуется установить дополнительный пакет multicast. Для этого на официальном сайте следует скачать набор Extra packages для своей версии прошивки и архитектуры. Если у вас более старая версия RouterOS, то обновите ее. Затем откройте Winbox, перейдите в раздел Files и загрузите на устройство пакет multicast, это можно сделать простым перетаскиванием, затем перезагрузите роутер. Если вы настраиваете IPTV от Ростелеком, то на внешнем интерфейсе, смотрящем в сторону провайдера, у вас не будет IP-адреса, так как протокол PPPoE, через который осуществляется доступ в интернет, работает на канальном уровне и не требует IP-адресов. Для работы IPTV внешнему интерфейсу необходимо будет присвоить адрес. Поддержка Ростелекома предписывает использовать адрес 1.0.0.1/30, на наш взгляд использование данного адреса не совсем корректно (он не является приватным) и, как показывает практика, вы можете присвоить интерфейсу любой адрес, но официальные рекомендации стоит иметь ввиду, особенно если больше ничего не помогает. Если вы предпочитаете работу в консоли, то выполните:\n1/ip address 2add address=1.0.0.1/30 interface=ether5 network=1.0.0.0 Теперь перейдем в раздел Routing - IGMP Proxy и добавим внешний интерфейс, на который приходит IPTV. В поле Interface укажите внешний интерфейс, в нашем случае ether5, в поле Alternative Subnets - 0.0.0.0/0 и установите флажок Upstream. Что касается Alternative Subnets, то данная настройка требует некоторых пояснений, в ней указывается подсеть, из которой осуществляется вещание, так как Ростелеком использует собственную изолированную сеть, то указание 0.0.0.0/0, т.е. принимать любые потоки, будет оправдано. Если же вы настраиваете IPTV на интерфейсе, смотрящем непосредственно в интернет, то желательно явно указать подсеть, уточнив ее в техподдержке провайдера.\nЗатем добавим внутренний интерфейс, куда следует перенаправить IPTV-поток, в этом качестве укажем мост локальной сети, никаких других настроек делать не нужно. После чего нажмите кнопку Settings и установите флажок Quick Leave для быстрого переключения между каналами. Также можно быстро выполнить все приведенные выше настройки через терминал:\n1/routing igmp-proxy 2set quick-leave=yes 3/routing igmp-proxy interface 4add alternative-subnets=0.0.0.0/0 interface=ether5 upstream=yes 5add interface=bridge1 Теперь осталось настроить правила брандмауэра для прохождения IPTV-трафика. Для этого добавим следующие записи: Chain - input, Protocol - igmp, In. Interface - ether5, так как по умолчанию действие accept, то на закладку Action можно не переходить. Данное правило разрешить входящий IGMP-трафик на внешнем интерфейсе. Второе правило разрешит транзитный IPTV-трафик: Chain - forward, Protocol - udp, Dst. Port - 5000, In. Interface - ether5. Отдельного пояснения требует номер порта, Ростелеком использует порт 5000, для других провайдеров следует уточнить это значение в поддержке. Также не забудьте перетащить данные разрешающие правила выше запрещающих в каждой из цепочек. В терминале эти же правила добавляются командами:\n1/ip firewall filter 2add action=accept chain=input comment=IGMP in-interface=ether5 protocol=igmp 3add action=accept chain=forward comment=IPTV dst-port=5000 in-interface=ether5 protocol=udp После выполнения данных настроек перезагрузите IPTV-приставку и, если вы не допустили ошибок, все должно заработать.\nIPTV через Wi-Fi Скажем сразу, использовать беспроводную сеть, особенно в диапазоне 2,4 ГГц, для доставки IPTV - не самая удачная идея. Следует понимать, что Wi-Fi является разделяемой средой и вы делите доступную пропускную способность не только с клиентами вашей сети, но и с устройствами соседних сетей, работающих в том же частотном диапазоне. Проще говоря, даже если ваши собственные устройства не занимают Wi-Fi, то за стеной может оказаться ноутбук соседа, которые на этом же самом канале качает торренты, поэтому прием IPTV, особенно с HD-качеством в таких условиях может оказаться затруднительным.\nНо если вы все-таки решили транслировать IPTV через Wi-Fi, то выполните следующие настройки: перейдите в свойства беспроводного интерфейса на закладку Wireless и перейдите в режим Advanced Mode. Затем установите значения опций: WMM Support - enabled и Multicast Helper - full. Это включит Wi-Fi multimedia и позволит отправлять мультикаст-пакеты на mac-адреса беспроводных клиентов, но не забывайте, что вы делите полосу пропускания не только между своими устройствами, поэтому работа таких клиентов может не соответствовать ожиданиям, особенно в городских условиях.\n","id":"11f0d57173d0c94665d2d40777e49920","link":"https://interface31.ru/post/nastroyka-iptv-v-routerah-mikrotik-na-primere-rostelekom/","section":"post","tags":["IPTV","MikroTik","Сетевые технологии"],"title":"Настройка IPTV в роутерах Mikrotik на примере Ростелеком"},{"body":"Программный RAID пользуется заслуженной популярностью, позволяя легко создавать отказоустойчивые дисковые конфигурации в недорогих системах, отличаясь простотой создания и управления. Но с переходом современных систем на UEFI появились некоторые особенности, касающиеся процесса загрузки, которые следует понимать и принимать во внимание. В противном случае отказоустойчивость может оказаться мнимой и при отказе одного из дисков вы просто не сможете загрузить систему.\nДанная инструкция может кому-то показаться сложной, действительно, для создания программного RAID на UEFI-системах требуется довольно много подготовительных действий. Также определенное количество операций придется выполнить и при замене отказавшего диска, но это тема для отдельной статьи. В связи с этим встает вопрос выбора между программным RAID и встроенным в материнскую плату, т.н. fake-raid.\nЕсли брать вопрос производительности, то сегодня он абсолютно неактуален, тем более что вся обработка данных так или иначе осуществляется силами CPU. Основным аргументов в пользу встроенного RAID служит простота его использования, но за это приходится платить совместимостью. Собранные таким образом массивы будут совместимы только со своим семейством контроллеров. К счастью, сейчас уже нет того зоопарка, который был еще лет 10 назад, но все равно, собранный на базе платформы Intel массив вы не запустите на AMD-системе.\nТакже вы можете столкнуться с тем, что несмотря на то, что массив собрался, система не может загрузиться, так как не имеет в своем составе драйверов для новой версии контроллера, это может быть актуально для старых ОС на новых аппаратных платформах. Кроме того, все операции по замене дисков, расширению и ресинхронизации массива вам придется делать в оффлайн режиме, загрузить систему с массива в состоянии обслуживания вы не сможете.\nПрограммные массивы лишены этих недостатков, все что им требуется - это поддержка со стороны ОС. Операции обслуживания также можно выполнять без прерывания работы системы, естественно принимая во внимание тот факт, что производительность дисковой системы в это время будет снижена. Но есть и обратная сторона медали, динамические диски Windows имеют ряд неприятных особенностей, например, ограниченные возможности по управлению дисковым пространством и обслуживанию. Штатные инструменты имеют только базовые функции, а из коммерческого софта работу с данным типом дисков обычно поддерживают только дорогие корпоративные версии.\nТакже есть другая особенность, вытекающая из архитектуры программных RAID массивов, если некритически отказал тот жесткий диск, с которого осуществляется загрузка, то система не будет автоматически загружена со второго, исправного HDD, вы получите ошибку (или BSOD) и вам потребуется вручную изменить порядок загрузки для восстановления работы системы.\nНо несмотря на определенные недостатки и ограничения, программный RAID на основе динамических дисков пока остается единственной возможностью обеспечить отказоустойчивость системы, не прибегая к аппаратным средствам.\nКонфигурация разделов Windows-систем с UEFI Прежде всего рассмотрим стандартную конфигурацию разделов, автоматически создаваемую Windows с UEFI, приведенный ниже пример соответствует последним версиям Windows 10 и Windows Server 2016/2019, у более ранних версий Windows разметка может несущественно отличаться. EFI - раздел специального типа с файловой системой FAT32, который содержит загрузчик, вызываемый микропрограммой UEFI. Данный раздел должен находиться в основной таблице разделов и не может быть расположен на динамическом диске. В Windows он ошибочно называется зашифрованным, имеет критическое значение для нормальной работы системы. В современных Windows-системах имеет размер в 100 МБ.\nMSR (Microsoft System Reserved) - служебный раздел с файловой системой NTFS, является обязательным для GPT-разметки, которая не позволяет использовать скрытые сектора диска, используется для служебных операций встроенного и стороннего ПО, например, при преобразовании диска в динамический. Является скрытым и не отображается в оснастке управление дисками. Его размер в современных системах - 16 МБ.\nWindows - самый обычный раздел с системой, фактически под ним следует понимать любую пользовательскую разметку. Никаких особенностей он в себе не таит.\nПроизводители ПК могут добавлять дополнительные разделы, например, с резервным образом системы для отката к заводским настройкам или собственными инструментами восстановления, чаще всего они имеют специальные GPT-атрибуты, как и у раздела Windows RE.\nПодготовка к созданию программного RAID Будем считать, что вы уже установили операционную систему на один из дисков, в нашем примере будет использоваться Windows Server 2019 установленный на виртуальной машине. Если мы откроем оснастку Управление дисками, то увидим примерно следующую картину: Первым идет раздел Windows RE, размером в 499 МБ, а за ним раздел EFI, который ошибочно именуется шифрованным. Но как мы говорили выше, данная оснастка не дает полного представления о структуре разметки, поэтому запустим утилиту командной строки diskpart и получим список разделов:\n1diskpart 2sel disk 0 3list par Первая команда запускает утилиту, вторая выбирает первый диск (диск 0) и третья выводит список разделов. Здесь присутствуют все существующие на диске разделы, включая MSR, размером в 16 МБ. Теперь нам нужно воспроизвести аналогичную разметку на втором жестком диске. Будем считать, что вы еще не вышли из утилиты diskpart, поэтому выберем второй жесткий диск (диск 1) и очистим его:\n1sel disk 1 2clean Внимание! Внимание! Данная команда полностью удалит все данные с указанного диска. Убедитесь, что вы выбрали нужный диск и что он не содержит никаких данных!\nПреобразуем диск в GPT:\n1 convert gpt При преобразовании на диске будет автоматически создан MSR раздел, нам он пока не нужен, поэтому удалим его командой:\n1sel par 1 2delete part override После чего убедимся, что диск не содержит разделов. Теперь можно создавать разметку. Разделы должны идти в том же порядке и с тем же типом, что и на первом диске. Поэтому первым создадим раздел восстановления, он не является обязательным и не влияет на работу системы. В принципе его можно даже не форматировать, но во избежание каких-либо недоразумений в дальнейшем мы рекомендуем создать раздел с теми же атрибутами, что и оригинальный раздел восстановления.\nНа всякий случай явно выберем диск и создадим на нем раздел размером в 499 МБ, который отформатируем в NTFS:\n1sel disk 1 2create partition primary size=499 3format quick fs=ntfs Затем зададим ему нужные GPT-атрибуты:\n1set id=de94bba4-06d1-4d40-a16a-bfd50179d6ac 2gpt attributes=0x8000000000000001 Идентификатор de94bba4-06d1-4d40-a16a-bfd50179d6ac задает тип раздела как Windows RE, а атрибут 0x8000000000000001 препятствует назначению буквы диска и помечает раздел как обязательный для работы системы, во избежание его удаления из оснастки управления дисками.\nСледующим шагом создадим раздел EFI:\n1create partition efi size=99 2format quick fs=fat32 И раздел MSR:\n1create partition msr size=16 Если все сделано правильно, то вы должны получить следующую схему разметки, которая будет полностью повторять (за исключением системного раздела) разметку первого диска. После чего систему обязательно следует перезагрузить.\nСоздание программного RAID Прежде всего преобразуем диски в динамические, это можно сделать в оснастке Управление дисками: или утилитой diskpart:\n1sel disk 0 2convert dynamic 3sel disk 1 4convert dynamic Затем добавим зеркало к системному диску через графический интерфейс или с помощью diskpart:\n1sel vol c 2add disk 1 После чего следует обязательно дождаться ресинхронизации данных, в зависимости от скорости и объема дисков это может занять некоторое время. Теперь при загрузке появится меню с выбором раздела, загрузиться можно с обоих, но не будем забывать, что загрузчик по-прежнему присутствует только на первом диске и при смене порядка загрузки в BIOS загрузиться со второго диска не удастся. Настройка загрузчика EFI и его копирование на второй раздел Снова запустим утилиту diskpart и присвоим буквы EFI разделам на дисках, но перед этим уточним расположение нужного нам раздела:\n1sel disk 0 2list par Как видим интересующий нас раздел имеет номер 2, выберем его и присвоим букву:\n1sel par 2 2assign letter=P Повторим аналогичные манипуляции со вторым диском:\n1sel disk 1 2sel par 2 3assign letter=S Выйдем из утилиты diskpart (команда exit) и перейдем в EFI раздел первого диска:\n1P: 2cd EFI\\Microsoft\\Boot Для просмотра текущих точек загрузки выполните:\n1bcdedit /enum Вывод команды покажет нам единственную запись диспетчера загрузки (на текущем EFI-разделе) и две записи загрузчика Windows, на каждом из зеркальных томов. Нам потребуется создать второй экземпляр диспетчера загрузки:\n1bcdedit /copy {bootmgr} /d \u0026#34;Windows Boot Manager 2\u0026#34; Из вывода данной команды нам потребуется идентификатор, скопируем его для использования в следующей команде. 1bcdedit /set {bb040826-aa5e-lle9-8e9e-8efd93e43841} device partition=s: В фигурных скобках должен быть указан идентификатор, полученный на предыдущем шаге.\nПосле чего экспортируем BCD-хранилище загрузчика:\n1bcdedit /export P:\\EFI\\Microsoft\\Boot\\BCD2 И скопируем содержимое EFI-раздела на второй диск:\n1robocopy P:\\ S:\\ /E /R:0 Ошибка при копировании активного экземпляра BCD-хранилища - это нормально, собственно поэтому мы и сделали его экспорт, вместо того, чтобы просто скопировать. Затем переименуем копию хранилища на втором диске:\n1rename S:\\EFI\\Microsoft\\Boot\\BCD2 BCD и удалим ее с первого:\n1del P:\\EFI\\Microsoft\\Boot\\BCD2 Осталось удалить буквы дисков EFI-разделов, для этого снова запустим diskpart:\n1sel vol p 2remove 3sel vol s 4remove Теперь можно перезагрузить систему и в загрузочном меню BIOS выбрать Windows Boot Manager 2, затем Windows Server - вторичный плекс - это обеспечит использование EFI-загрузчика и системного раздела второго диска. Если вы все сделали правильно - загрузка будет удачной. Таким образом у нас будет полноценное зеркало системного раздела на динамических дисках в UEFI-системе.\n","id":"b71a8f00c4b75925e32a44bfe58ee495","link":"https://interface31.ru/post/nastraivaem-programmnyy-raid-na-uefi-sistemah-v-windows/","section":"post","tags":["RAID","Windows Server","Файловый сервер"],"title":"Настраиваем программный RAID на UEFI-системах в Windows"},{"body":"В современных сетях служба DHCP является одной из базовых, обеспечивая автоматическую настройку сетевых параметров у клиентов и от правильности ее работы зависит надежное функционирование всей сети. Поэтому важно иметь хотя бы базовые представления о работе одноименного протокола, что позволит не только грамотно подойти к настройке, но и оперативно устранить возможные проблемы. Тем более что протокол DHCP достаточно прост и разобраться в нем может каждый, достаточно иметь начальные знания о работе сетей.\nDHCP - это клиент-серверный протокол, использующий в качестве транспорта UDP, порт сервера - 67, порт клиента - 68. Так как для работы протокола используется широковещание (broadcast), то его действие ограничено текущей подсетью (широковещательным доменом). Для взаимодействия с клиентами расположенными в иных широковещательных доменах могут использоваться агенты ретрансляции (DHCP Relay), о них мы поговорим позже.\nОсновная задача протокола - получение клиентом IP-адреса, поля для иных сетевых настроек не предусмотрены, дополнительные сетевые параметры передаются протоколом DHCР в виде опций, например: опция 1 - маска сети, опция 3 - адрес маршрутизатора (основной шлюз), опция 6 - адреса серверов имен (DNS).\nПолучение адреса Рассмотрим процесс получения IP-адреса, он достаточно прост и состоит из четырех этапов, которые в упрощенном виде показаны на следующей схеме: Начинает этот процесс клиент, отправляя широковещательное сообщение Обнаружения DHCP (DHCP DISCOVER), в качестве обязательных полей передается номер транзакции - xid, MAC-адрес устройства - chaddr, также в опциях передается последний присвоенный клиенту IP-адрес, однако данная опция может быть проигнорирована сервером.\nВсе это можно увидеть, если заглянуть внутрь DHCP-пакета: В данном случае это запрос обнаружения (Discover), цветом мы отметили упоминавшиеся выше поля и опции. Вроде бы все просто, но есть некоторые моменты, которые обычно обходятся молчанием, но способны вызвать определенные затруднения от неверного их понимания.\nОбратим внимание на опцию 55 (Parameter Request List) - это список опции запрашиваемых клиентом. Именно так, опции всегда запрашиваются клиентом. С непониманием этого момента связаны ситуации, когда администратор добавил на сервере нужные ему опции, но клиенты их \u0026quot;почему-то\u0026quot; не получают. Ниже показан состав данной опции для Linux и Windows клиентов: Можно увидеть, что Linux-клиент запрашивает опцию 42 - сервера времени (NTP), а Windows нет, поэтому даже если вы укажете ее на сервере, то Windows-клиенты не будут ее использовать. А что радует, так это что оба клиента запрашивают обе опции для получения маршрутов: предусмотренную стандартом 121 и введенную Microsoft 249.\nЗапрос обнаружения рассылается для всех узлов сети, но отвечают на него только DHCP-сервера, формируя сообщение Предложения DHCP (DHCP OFFER), которое содержит предлагаемую сервером сетевую конфигурацию. Если серверов несколько, то предложений клиент получит несколько. Из предложенных конфигураций клиент выбирает одну, как правило полученную первой. Предлагаемый клиенту адрес содержится в специальном поле yiaddr, а поле siaddr передается адрес DHCP-сервера.\nТак как MAC-адрес отправителя известен, то сервер направляет ответ непосредственно клиенту (unicast), хотя в некоторых случаях может ответить и широковещательным пакетом. Например, DHCP-сервера dnsmasq и Mikrotik отвечает непосредственно клиенту (юникастом), в то время как DHCP Windows Server отвечает широковещательным пакетом. По большому счету это не имеет особого значения, просто вы должны знать, что это вполне допустимые режимы работы DHCP-сервера и не являются признаком неправильной работы. В структуре ответа мы также отметили цветом вышеописанные опции, также обратите внимание, что в данном случае ответ был отправлен широковещательным пакетом (Windows Server). Ниже показана структура ответа dnsmasq: Здесь видно, что сервер ответил непосредственно клиенту (отправив фрейм на его MAC-адрес), не прибегая к широковещательной рассылке.\nОстальные сетевые параметры передаются в виде опций, в нашем случае это опции 1, 3 и 6 (маска, шлюз, DNS): Приняв предложение клиент официально запрашивает у сервера данную конфигурацию, для чего отправляет широковещательно Запрос DHCP (DHCP REQUEST), он полностью повторяет по структуре сообщение обнаружения (Discover), только добавляет к нему опцию 54 с адресом сервера, конфигурацию которого клиент принял. Опция 50 содержит предложенный сервером IP-адрес. Несмотря на то, что MAC-адрес DHCP-сервера известен, запрос (Request) рассылается широковещательно, это нужно для того, чтобы остальные DHCP-сервера понимали, что их предложение отвергнуто. Выше показана структура запроса, можете сравнить его с пакетом обнаружения, обратите внимание на заполненное значение опции 54.\nПолучив запрос сервер направляет клиенту в ответ Подтверждение DHCP (DHCP ACK), которое отправляется на MAC-адрес клиента (хотя может и широковещательно) и получив которое клиент должен настроить свой сетевой адаптер согласно указанного адреса и опций. По структуре сообщение подтверждения (Ask) практически не отличается от предложения (Offer), за исключением того, что поле siaddr с адресом DHCP-сервера не заполняется, но его адрес передается в опции 54.\nПолучив адрес клиент может проверить его на предмет использования при помощи широковещательного ARP-запроса (в большинстве реализаций так и происходит) и если будет обнаружено, что выделенный адрес уже используется (скажем, назначен вручную), то клиент посылает широковещательное сообщение Отказа DHCP (DHCP DECLINE) и начинает процесс получения адреса заново. Сервер, получив сообщение отказа, должен пометить указанный адрес как недоступный и уведомить администратора о возможной проблеме в конфигурации (например, записью в логе).\nТакже клиент может самостоятельно отказаться от выданного адреса, отправив серверу сообщение Освобождения DHCP (DHCP RELEASE), в отличии от других сообщений, освобождение направляется юникастом серверу, выдавшему адрес. Получив такое сообщение сервер помечает адрес как доступный, но на всякий случай оставляет запись о клиенте, если он захочет получить адрес повторно. Это поведение не является обязательным, но реализовано в большинстве DHCP-серверов.\nОбновление адреса IP-адрес выдается клиенту на определенное время, называемое сроком аренды, его значение зависит от настроек сервера и может варьироваться в широких пределах, например, для DHCP-сервера Windows стандартный срок аренды - 8 дней.\nВ зависимости от срока прошедшего с момента получения адреса клиент может находится в одном из нескольких состояний. Сразу после получения адреса клиент переходит в нормальное состояние (BOUND), при этом устанавливаются два момента времени T1 - равный половине времен аренды и T2 - равный 7/8 срока. По достижении времени T1 клиент переходит в состояние Обновления адреса (RENEWING), при котором он пытается обновить свой IP-адрес.\nДля этого он отправляет сообщение запроса (Request), в котором указывает текущий IP-адрес. Если сервер подтверждает аренду, то отвечает сообщением подтверждения (Ask), клиент сбрасывает счетчики T1 и T2 и начинает отсчет срока аренды заново.\nОбратите внимание, что на сообщение запроса ответит только тот сервер, у которого имеется запись для этого клиента, если такой записи нет - запрос будет проигнорирован.\nДанные о сроке аренды и времени обновления адреса и обновлении конфигурации передаются сервером в опциях 51, 58 и 59: Если сервер не ответил клиенту, то он берет промежуток времени до окончания состояния обновления и делит его пополам, в это время будет отправлен повторный запрос, при его отсутствии промежуток времени снова будет поделен пополам, потом снова пополам, при этом полученный промежуток времени не может быть меньше 60 сек. Таким образом, чем ближе окончание срока обновления, тем чаще будут делаться запросы.\nПосле наступления момента времени T2, если клиенту не удалось обновить адрес, он переходит в состояние обновления Обновления конфигурации (REBINDING). В этом случае он посылает сообщение Обнаружения DHCP, теперь клиенту может ответить любой DHCP-сервер, а не только тот, который выдал IP-адрес. Если ответа от сервера не было, то оставшееся время также делится пополам и запрос повторяется. Все это время клиент может продолжать пользоваться уже полученной сетевой конфигурацией и нормально работать.\nЕсли же до окончания срока аренды ответ так и не был получен, то клиент прекращает все сетевые операции и переходит в состояние Инициализации (INIT). В последствии, при получении предложений (Offer) от различных серверов клиент предпочтет выбрать предложение от сервера, который выдавал ему адрес прошлый раз и продолжит пользоваться старым адресом.\nТакже при обновлении могут быть иные сценарии развития событий. Скажем, клиент был включен в другую подсеть. В этом случае при получении запроса DHCP (клиент не знает, что он в другой подсети и пытается продлить аренду) сервер определяет неподходящий адрес в запросе и отвечает ему сообщением Отмены DHCP (DHCP NAK), после чего клиент должен начать процедуру получения адреса заново.\nЕсли сеть клиента корректна, но запрашиваемый адрес занят, то сервер также ответит сообщением отмены (Nak) и клиент начнет получение адреса повторно.\nПолучение дополнительной информации Если клиент имеет статически назначенный IP-адрес, но хочет получить дополнительные параметры, скажем адрес серверов имен или статические маршруты, то он отправляет специальное широковещательное сообщение Информации DHCP (DHCP INFORM), в ответ сервера отправляют сообщение подтверждения (Ask) без выделения IP-адреса.\n","id":"909b20b4b7502763ceb4fd4a4dd1c324","link":"https://interface31.ru/post/kak-ustroen-i-rabotaet-protokol-dhcp/","section":"post","tags":["DHCP","Сетевые технологии"],"title":"Как устроен и работает протокол DHCP"},{"body":"Яндекс.Диск - популярный отечественный облачный сервис для хранения и синхронизации пользовательских данных. Многие администраторы широко применяют его в своей повседневной деятельности для организации обмена файлами или хранения резервных копий. Чаще всего Яндекс.Диск используют на платформе Windows, для которой существует простое и удобное графическое приложение. Но далеко не все знают, что существует не менее удобный консольный клиент для ОС семейства Linux, о котором мы сегодня хотим вам рассказать.\nИдея использовать Яндекс.Диск как дополнительное хранилище резервных копий является весьма интересной, потому как на клиентское приложение сервиса можно переложить достаточно большой пласт задач, связанный с размещением данных в облаке и контролем их целостности. Действительно, нам не нужно ни о чем заботиться, кроме как положить файлы в нужную папку локально, остальное клиент берет на себя.\nЦеновая политика сервиса позволяет достаточно недорого получить пространство, достаточное для хранения данных небольших и средних организаций. Так годовую подписку на 100 ГБ можно сегодня приобрести за 990 руб, а на 1 ТБ за 2500 руб. Это недорого, собственная инфраструктура обойдется вам существенно дороже, 2500 руб - это цена одиночного жесткого диска на 1 ТБ, добавим к нему еще один диск (RAID 1), железо для NAS (или готовое устройство), канал связи, ИБП. Да и разместить это все надо надежно где-то за пределами офиса.\nПерейдем от слов к делу. В нашем случае были использованы системы на Debian 9 и Ubuntu Server 16.04, но данная инструкция будет справедлива для любого основанного на них дистрибутива, в т.ч. настольного. Все описанные ниже действия следует выполнять с правами суперпользователя.\nПрежде всего подключим репозиторий Яндекс.Диска:\n1echo \u0026#34;deb http://repo.yandex.ru/yandex-disk/deb/ stable main\u0026#34; \u0026gt;\u0026gt; /etc/apt/sources.list.d/yandex-disk.list Скачаем и установим в систему его GPG-ключ:\n1wget http://repo.yandex.ru/yandex-disk/YANDEX-DISK-KEY.GPG -O- | apt-key add Теперь обновим список пакетов и установим клиент Яндекс.Диска\n1apt update 2apt install yandex-disk Для первоначальной настройки следует воспользоваться мастером установки:\n1yandex-disk setup Будет задано несколько простых вопросов, после чего клиент будет автоматически сконфигурирован и добавлен в автозапуск. Обратите внимание, что по умолчанию директория диска создается в домашней папке пользователя, поэтому если вам нужно синхронизировать с облаком иные данные, то укажите путь к требуемой папке вручную.\nСразу после запуска службы начнется синхронизация. Текущий статус можно выяснить командой:\n1yandex-disk status Все вроде бы хорошо, но только синхронизируется в обе стороны у нас все содержимое диска, что нужно далеко не всегда, как минимум, сразу следует исключить стандартные папки Яндекс.Диска, если вы их используете. Для этого следует создать список исключений. Откроем конфигурационный файл сервиса, который находится в домашней папке по пути**~/.config/yandex-disk/config.cfg** и добавим туда строку:\n1exclude-dirs=\u0026#34;Загрузки,Музыка,Скриншоты\u0026#34; Путь к папкам исключениям следует указывать относительно корневой папки Яндекс.Диска, которая указана в опции:\n1dir=\u0026#34;/backup/yandex\u0026#34; Т.е. если у вас существует директория /backup/yandex/mydir1/mydir2, то в исключениях следует указать mydir1/mydir2. директории перечисляются через запятую, без пробелов. После внесения изменений сервис необходимо перезапустить:\n1yandex-disk stop 2yandex-disk start Больше параметров можно узнать в официальной документации: https://yandex.ru/support/disk/cli-clients.html\nЕсли речь идет о настольной системе, то этого достаточно, Яндекс.Диск будет запускаться при входе в систему текущего пользователя и в фоне заниматься своим делом. Но для консольных серверов он не подходит, так как вошедших в систему пользователей там может и не быть. Для полноценной работы в этой среде нам нужно настроить работу Яндекс.Диска как системной службы.\nДля начала остановим приложение:\n1yandex-disk stop Затем перенесем каталог настроек в директорию /etc, хранить настройки системной службы в директории пользователя - не самая лучшая идея:\n1mv ~/.config/yandex-disk /etc После чего откроем /etc/yandex-disk/config.cfg и исправим путь к файлу токена:\n1auth=\u0026#34;/etc/yandex-disk/passwd\u0026#34; Теперь создадим юнит для systemd, прежде всего сам файл:\n1touch /etc/systemd/system/yandex-disk.service И внесем в него следующий текст:\n1[Unit] 2Description=Yandex.Disk 3Requires=network.target 4After=network.target 5 6[Service] 7Type=forking 8User=root 9Group=root 10ExecStart=/usr/bin/yandex-disk start -c /etc/yandex-disk/config.cfg 11RestartSec=1min 12Restart=on-failure 13 14[Install] 15WantedBy=multi-user.target Перезапустим systemd:\n1systemctl --system daemon-reload И запустим саму службу:\n1systemctl start yandex-disk.service Проконтролировать ее работу можно командой:\n1systemctl status yandex-disk.service Если все работает нормально, добавим службу в автозагрузку:\n1systemctl enable yandex-disk.service И удалим скрипт автозагрузки приложения при входе в систему:\n1rm ~/.config/autostart/Yandex.Disk.desktop Как видим, установить консольный клиент Яндекс.Диск совсем несложно, при этом по удобству использования он мало отличается от своего настольного собрата, позволяя полноценно использовать сервис даже в среде Linux-серверов.\n","id":"e7dcaff35f1542d7456421cbde70a099","link":"https://interface31.ru/post/ustanovka-konsolnogo-klienta-yandeksdisk-na-debian-ubuntu/","section":"post","tags":["Debian","Ubuntu","Облака","Яндекс"],"title":"Установка консольного клиента Яндекс.Диск на Debian / Ubuntu"},{"body":"Представляем вашему вниманию перевод статьи, которая хоть и не является технической, но на наш взгляд должна быть интересна широкому кругу читателей, так как затрагивает достаточно серьезные вопросы. Действительно, должны ли быть имена обновлений ОС запоминающимися? Особенно в наше время, когда новые релизы выходят каждые полгода. Следует ли идти навстречу пользователям или надеяться на доминирующее положение? Эти вопросы пока остаются без ответов, но все-таки собаки - идея интересная.\nУважаемая компания Мicrosoft, ваши имена для обновлений Windows 10 не запоминаются, и пользователи не могут их отслеживать. А вы знаете, что будет отлично запоминаться? Собаки. Кстати, Windows 10 - это здорово, нам нравится получать новые функции примерно каждые полгода. Но имена этих обновлений ужасны, вы посмотрите на этот список:\nНоябрьское обновление Юбилейное обновление Обновление для дизайнеров Осеннее обновление для дизайнеров Апрельское обновление 2018 Октябрьское обновление 2018 Майское обновление 2019 У меня установлен какой-то из них, но я не могу вспомнить какой. В этом и проблема. Данные имена настолько безлики, что полностью бесполезны. А когда я читаю, что \u0026quot;Ноябрьское обновление\u0026quot; больше не будет поддерживаться, я вообще не понимаю, о чем идет речь, может это обновление было выпущено в прошлом ноябре, хотя речь идет о выпуске 2015 года. Ну а если бы я жил в Австралии, то вышедшее весной \u0026quot;Осеннее обновление для дизайнеров\u0026quot; привело бы меня в недоумение.\nНо это можно легко исправить. Дайте своим обновлениям запоминающиеся имена. Имена с личностью, которые будут привлекательны.\nMicrosoft - это собаки Вы думаете мы шутим? Нет, Apple и Canonical использовали имена животных с положительным эффектом, я до сих пор помню \u0026quot;Precise Pangolin\u0026quot; и \u0026quot;Snow Leopard\u0026quot; (а Linux Mint использует имена девушек, что тоже запоминается. Прим. переводчика). Если у вас будут частые обновления, то пользователям нужно как-то их отслеживать, нужны запоминающиеся имена. Животные запоминаются.\nПочему именно собаки? Во-первых - собаки классные! Во-вторых - есть сотни пород, вам хватит надолго. Ну и наконец, собаки дают безграничные возможности, например, посмотрите ниже: Я бы не раздумывая загрузил это обновление, даже если бы оно удалило мне Paint и Notepad. Вы только представьте какую силу могут иметь эти собаки.\nЯ догадываюсь о чем вы думаете: \u0026quot;Если мы назовем релизы в честь собак, то как пользователи догадаются на какой возможности мы решили сосредоточиться? Ведь именно поэтому мы назвали один из наших выпусков \u0026quot;Обновлением для дизайнеров\u0026quot;. Но не волнуйтесь. Собаки принимают вызов, собаки могут всё!\nВыпуск, посвященный безопасности? Держите: Кроме безопасности добавлено много интересных функций? Возьмем игривую породу с жесткой репутацией: Новое обновление содержит назойливые уведомления, не дающие покоя ни днем, ни ночью? Собаки снова помогут: Или вы уверены, что данное обновление понравится всем? Но если вы твердо намерены придерживаться сезонов в наименовании выпусков, то и здесь собаки придут на помощь: Хотя мы не советуем...\nМы могли бы продолжать бесконечно, мир полон хороших собак.\nМы ничего не хотим взамен этой идеи, нам хочется, чтобы имена выпусков Windows 10 были отличимые друг от друга. Возможно, это глупая идея, но не глупее чем текущая схема именования.\nИсточник: Microsoft Should Name Windows 10 Updates After Dogs\nАвтор: Justin Pot\nПеревод: Уваров А.С., ООО \u0026quot;Интерфейс\u0026quot;, г. Белгород\n","id":"2f5ba09255a79f81b9608c636fe1cab2","link":"https://interface31.ru/post/microsoft-dolzhna-nazvat-obnovleniya-windows-10-imenami-sobak/","section":"post","tags":["Microsoft","Windows 10"],"title":"Microsoft должна назвать обновления Windows 10 именами собак"},{"body":"Проброс портов - на первый взгляд тривиальная повседневная задача, которая не должна вызывать никаких затруднений. Действительно, в бытовых роутерах это так, но если речь идет об оборудовании Mikrotik, то сложности могут не заставить себя ждать. А все потому, что RouterOS дает в руки администратора богатые сетевые возможности, требуя в ответ понимания работы сетей хотя бы на базовом уровне. Конечно, можно настроить все по готовой инструкции, но гораздо лучше понимать каждое свое действие, и именно для тех, кто хочет разобраться предназначена эта статья.\nПроброс портов Проброс, он же форвардинг, портов - что это такое? Это технология, которая позволяет обращаться к узлам, находящимся за маршрутизатором путем перенаправления трафика для определенных портов с внешнего адреса маршрутизатора на внутренний адрес узла в локальной сети. Это становится возможным благодаря технологии NAT.\nДавайте рассмотрим небольшую схему, которая поможет понять принцип действия проброса портов. Допустим, некий удаленный ПК хочет обратиться к нашему веб-серверу, который находится за маршрутизатором в локальной сети. Но обратиться он может только по внешнему адресу маршрутизатора (в нашем примере 192.168.3.113), на который мы пробросили порт 80 веб-сервера. Поэтому он формирует пакет, в котором адресом назначения выступает маршрутизатор и отправляет его получателю, в качестве адреса источника он указывает собственный адрес.\nМаршрутизатор, получив такой пакет выполняет замену адреса назначения с собственного, на адрес веб-сервера, также, при необходимости, он может изменить и порт назначения. После чего пакет отправляется в локальную сеть и достигает веб-сервера. Данные о преобразовании заносятся в специальную таблицу трансляции NAT.\nНужно ли менять адрес отправителя? Нет, если маршрутизатор выступает основным шлюзом сети, а в подавляющем большинстве случаев это так. Веб-север обработает запрос, а так как он ничего не знает о сети получателя, то обратный пакет будет направлен шлюзу по умолчанию, т.е. назад нашему маршрутизатору.\nМаршрутизатор на основании данных таблицы трансляции выполнит обратное преобразование, заменив на этот раз адрес источника с внутреннего адреса веб-сервера, на свой внешний адрес и отправит пакет запросившему его узлу.\nНа первый взгляд все понятно, поэтому перейдем к практике. В RouterOS в качестве сетевого фильтра используется iptables, поэтому далее мы будем оперировать его терминами. В таблице NAT используются две цепочки: PREROUTING - в которую попадают все пришедшие на маршрутизатор пакеты и POSTROUTING - через нее проходят все прошедшие через устройство пакеты. В PREROUTING нам доступно действие dst-nat (DNAT), которое позволяет изменить адрес назначения пакета, в POSTROUTING будут доступны src-nat (SNAT) и masquerade, которые позволяют изменить адрес источника пакета.\nМы не даром заостряем на этом особое внимание, так как непонимание процесса прохождения пакета по цепочкам сетевого фильтра способно привести к значительным затруднениям, когда вроде-бы все правила составлены верно, но ничего не работает.\nТак для пакета от клиента к веб-серверу и обратно порядок прохождения цепочек будет следующим:\n1PREROUTING -\u0026gt; FORWARD -\u0026gt; POSTROUTING Обратите внимание, что пакет не попадает в цепочки INPUT и OUTPUT, которые используются для собственных пакетов маршрутизатора.\nКак правильно выполнить настройку? Перейдем в IP - Firewall - NAT и добавим следующее правило: Chain - dstnat (читай PREROUTING), Dst. Address - 192.168.1.113 - внешний IP-адрес нашего роутера, Protocol - tcp - используемый протокол, если сервис может использовать несколько протоколов, скажем TCP и UDP - потребуется создать отдельное правило для каждого протокола, Dst. Port - 80 - порт, на котором маршрутизатор будет принимать внешние соединения. На закладке Action укажите: Action - dst-nat - выполняем замену адреса получателя, To Addresses - 192.168.186.195 - внутренний адрес веб-сервера, To Ports - 80 - порт, на котором веб-сервер принимает соединения. Если внешний и внутренний порт совпадают, то последний можно не указывать. Либо выполните в терминале:\n1/ip firewall nat 2add action=dst-nat chain=dstnat dst-address=192.168.3.113 dst-port=80 protocol=tcp to-addresses=192.168.186.195 to-ports=80 Но это еще не все, после PREROUTING пакет попадет в цепочку FORWARD, в которой, если вы настраивали роутер по нашей инструкции, запрещены любые внешние пакеты, кроме инициированных из локальной сети соединений.\nСоздадим новое правило. IP - Firewall - Filter Rules, где добавим: Chain - forward - цепочка FORWARD, Protocol - tcp, Dst. Port - 80 - протокол и порт, In. Interface - ether5 - внешний интерфейс вашего роутера. Так как по умолчанию в новых правилах стоит действие accept, на закладку Action можно не переходить. Обратите внимание, что если вы пробрасываете порт с изменением номера, скажем внутренний 3389 (RDP) на внешний 3390, то в правиле брандмауэра вы всегда должны указывать внутренний порт, т.е. 3389, так как пакет уже прошел цепочку PREROUTING и данные о получателе в нем уже изменены на адрес и порт внутреннего сервера.\nИз терминала это можно сделать командами:\n1/ip firewall filter 2add action=accept chain=forward dst-port=80 in-interface=ether5 protocol=tcp Осталось только проверить работу наших правил, попробуем получить доступ к веб-серверу со внешнего узла: Как видим, все прекрасно работает.\nHairpin NAT Все это хорошо, но ровно до тех пор, пока мы не попытаемся получить доступ по внешнему адресу из внутренней сети. Вообще, таких ситуаций следует избегать, предпочтительно использовать для доступа доменные имена и двойной горизонт DNS, когда для внешних пользователей одно и тоже имя разрешается во внешний адрес, а для внутренних - во внутренний. Но это возможно не всегда. Попробовав же обратиться изнутри по внешнему адресу, мы получим ошибку соединения: Почему так происходит? Давайте рассмотрим еще одну схему: Первая ее часть нам уже знакома, узел отправляет запрос на внешний адрес маршрутизатора, он заменяет адрес назначения адресом внутреннего сервера и отправляет пакет к нему, адрес отправителя остается неизменным. А вот дальше начинается самое интересное, веб-сервер видит, что отправитель находится в ним в одной сети и отправляет ответ ему напрямую. Но отправитель направлял запрос на внешний адрес сервера и ждет ответа именно от него, поэтому ответный пакет, отправителем которого указан внутренний адрес веб-сервера будет отброшен и связь установить не удастся.\nЧто же делать? Очевидно, что нужно каким-то образом заставить веб-сервер отвечать не напрямую клиенту, а пересылать пакет обратно маршрутизатору. Здесь нам на помощь придет действие src-nat (SNAT), которое позволяет изменить адрес отправителя, находящееся в цепочке POSTROUTING. В терминах Mikrotik данная настройка носит наименование Hairpin NAT.\nЧтобы понять, как это работает мы подготовили следующую схему: Теперь наш маршрутизатор не только изменяет адрес назначения, но и адрес источника, указывая в его качестве собственный внутренний IP. Обработав такой пакет веб-сервер отправит его обратно к маршрутизатору, который выполнит обратные преобразования (согласно таблице трансляции) и оправит его получателю. А так как отвечать будет именно тот узел, к которому был отправлен запрос, то в данном случае все будет работать.\nДля настройки на Mikotik перейдем в IP - Firewall - NAT и добавим: Chain - src-nat (POSTROUTING), Src. Address - 192.168.186.0/24 - диапазон вашей локальной сети, Dst. Address - 192.168.186.195 - внутренний адрес веб-сервера, Protocol - tcp, Dst. Port - 80 - протокол и порт. Обратите внимание, что в качестве адреса и порта назначения мы указываем внутренние адрес и порт, так как пакет уже прошел цепочку PREROUTING, где данные получателя были изменены. К сожалению, не все это понимают, во многих инструкциях в сети в данном правиле фигурирует внешний адрес, стоит ли говорить, что такое правило работать не будет.\nЗатем переходим на закладку Action и указываем: Action - src-nat (SNAT), To Addresses - 192.168.186.1 - указываем внутренний адрес нашего маршрутизатора. Через терминал данное правило можно создать следующим образом:\n1/ip firewall nat 2add action=src-nat chain=srcnat dst-address=192.168.186.195 dst-port=80 protocol=tcp src-address=192.168.186.0/24 to-addresses=192.168.186.1 Во многих иных статьях для данного правила используется действие masquerade, давайте разберемся в чем разница. В первом приближении оба действия делают одно и тоже - изменяют адрес источника пакета, но src-nat работает только со статическими адресами, зато позволяет указать в качестве источника любой адрес, masquerade работает с динамическими адресами, но в качестве адреса источника может использовать только адрес того интерфейса, с которого уходит пакет. За счет того, что masquerade при каждом запросе определяет адрес интерфейса - это действие требует больше вычислительных ресурсов, нежели src-nat.\nВ нашем случае все адреса статические, поэтому использование src-nat здесь будет более уместно.\nПравило создано, проверим его работу: Если вы нигде не допустили ошибок - все будет работать, как и предполагалось.\nПодводя итог, можем сказать, что в пробросе портов нет ничего сложного, но только в том случае, если вы представляете в каком порядке и как обрабатываются пакеты, в противном случае даже такая элементарная задача способна превратиться в длительные мучения на ровном месте. Поэтому мы надеемся, что данный материал пригодится вам не только в практическом плане, но и позволит повысить собственный уровень знаний.\n","id":"07d72a97de5dfc2fd607340a884681e4","link":"https://interface31.ru/post/probros-portov-i-hairpin-nat-v-routerah-mikrotik/","section":"post","tags":["MikroTik","NAT","Port Forwarding","Сетевые технологии"],"title":"Проброс портов и Hairpin NAT в роутерах Mikrotik"},{"body":"Не столь давно один из коллег упрекнул нас, что мы совсем не уделяем внимания системам на основе BSD, в том числе их настольному применению, указывая на перспективность использования именно BSD, а не Linux, как основы российских ОС. В качестве аргументов было использование BSD в таких системах как MacOS и Orbis OS (PlayStation 4). А так как c BSD мы не работали давно и конструктивно возразить не могли, то решили по мере появления свободного времени самостоятельно оценить положение дел в этом семействе и пригодность BSD-систем к работе на десктопе.\nКогда-то давно, когда Linux был еще \u0026quot;молодой и перспективной\u0026quot; системой, FreeBSD была в своем роде \u0026quot;старшей сестрой\u0026quot;, представляя на тот момент, несомненно, более зрелое и законченное решение. Она широко использовалась на серверах и в коммерческих разработках, а BSD-админы поглядывали на своих Linux-коллег свысока.\nСейчас BSD больше проходит по разряду экзотики или используется в специализированных и нишевых решениях, практически полностью уступив свои позиции Linux. Что же произошло? Здесь уместно процитировать В.И. Ленина: \u0026quot;Страшно далеки они от народа\u0026quot;, это про разработчиков. В свое время они сами сравнивали BSD с \u0026quot;величественным собором\u0026quot;, который возводит небольшая группа архитекторов, в то время как Linux, по их словам, представлял некий \u0026quot;караван-сарай\u0026quot; с \u0026quot;базарным\u0026quot; стилем разработки.\nДействительно, созданием BSD занималась узкая группа специалистов из университета Беркли, в то время как принять участие в разработке Linux мог любой. Еще одну злую шутку сыграла лицензия, которая позволяла просто брать и закрывать код, ничего не возвращая сообществу. В итоге в Беркли проспали приход многоядерности и многопоточности, виртуализацию и еще множество современных технологий. Что-то удалось наверстать, но с той же виртуализацией дела до сих пор обстоят очень и очень плохо.\nЧто касается применения BSD в коммерческих разработках, то в той же MacOS от BSD используется очень немного, а то что есть - скрыто глубоко под капотом, во всяком случае к настольной части этой системы BSD имеет опосредованное отношение. Использование BSD-кода в JunOS (сетевое оборудование Juniper), ONTAP (ОС для систем хранения NetApp) и той же PlayStation 4 обусловлено прежде всего лицензией и сложно сказать сколько там BSD, а сколько собственных разработок, все эти системы закрытые и имеют специализированное назначение.\nИз открытых систем определенную популярность имеют pfSense (специализированный дистрибутив для шлюзов) и FreeNAS (ОС для сетевого хранилища), в остальном же перспективы BSD достаточно туманны.\nFreeBSD 12 Начинать, так с первоисточника. Скажем честно, мы не касались FreeBSD уже много лет, поэтому было даже интересно, что изменилось с тех пор и в какую сторону. Мы скачали актуальную на текущий момент версию 12 и приступили к установке.\nОдной из отличительных фишек BSD была псевдографика на начальном экране, с этим все в порядке, традиции свято блюдут до сих пор, пожалуй, это единственное место, где консерватизм разработчиков оправдан. Дальше нас встречает установщик, который не менялся уже очень и очень много лет, по сравнению с ним текстовые инсталляторы Linux кажутся верхом совершенства и значительно превосходят его по удобству. Скажем больше, если вы никогда не устанавливали FreeBSD, то вряд ли вам удастся сделать это с первого раза, логика здесь своя, местами доступная только \u0026quot;посвященным\u0026quot;. И что нам тут выбрать? Да пес его знает... Оставим по умолчанию... Вот оно, суровое очарование настоящего Unix. В Linux этот этап давно прошли, сделав процесс выбора состава дистрибутива более понятным и прозрачным. Что действительно радует - так это возможность автоматической разметки диска, потому как это был еще один квест для начинающих с весьма сомнительным результатом. Процесс пошел, можем пока сходить за кофе или чем покрепче, потому как все это не для слабых духом. Для ввода пароля root или создания нового пользователя нас выбрасывает в чистую консоль. Такая вот дружелюбность в 2019 году. Это всё? Или будет продолжение? Нет, не будет, если нужно что-то настроить, то лучше сделать это сейчас, самому, руками. Потому что потом все тоже самое придется делать также руками, но уже в консоли незнакомой системы. Про графическую оболочку нас нигде и близко не спросили, ладно, установим вручную. Но если в Linux вполне достаточно просто установить нужный набор пакетов и перезагрузиться, то здесь вам еще понадобиться внести ручные правки в файлы конфигурации. В качестве редактора по умолчанию установлен vi, что добавляет происходящему \u0026quot;прелести\u0026quot;. В общем чужих здесь не ждут, и чтобы дойти до конца нужно иметь достаточно сильную мотивацию, одного любопытства будет явно недостаточно. Наконец все трудности позади и нас встречает графическая оболочка. Выглядит на первый взгляд неплохо, но это заслуга не BSD, а разработчиков Gnome. Набор софта - минимален, оно и понятно, никаких настольных метапакетов здесь нет, просили Gnome 3 с базовым набором утилит - получите и распишитесь. Настроить систему? Ну попробуйте, только снять снапшот не забудьте, потому как повторить второй раз процесс установки решится не каждый. И пусть вас не обманывает более-менее современный вид системы, в реальности вы получите весь набор \u0026quot;детских болезней\u0026quot; настольного Linux 10-15 летней давности. Полноценной русификации нет, точнее есть, но только через консоль и старательную правку конфигурационных файлов. Какого-либо подобия графической оболочки пакетного менеджера нет. Хорошо если вы знаете имя пакета, который вам нужен, найти по описанию или просто просмотреть список пакетов, скажем для работы с видео, здесь не получится. С поддержкой виртуализации тоже все туго. Если любой современный Linux в среде VMWare или VirtualBoх чувствует себя отлично, позволяя использовать средства интеграции, аппаратное ускорение графики и прочие радости жизни, то здесь всего этого нет. Увидел все виртуальное железо - и хорошо. Автоматически подогнать экран под размер виртуалки? Нет, не слышали...\nОй, сорри, ну забыли предупредить, что для того, чтобы пользователь мог повысить себе права нужно было руками добавить его в одну группу. Ладно, перезагрузимся в однопользовательский режим и выполним пару команд, делов то... А чудеса просто лезут из всех щелей. Хотите правильно установить часовой пояс? Ну попробуйте. А что, хотели MSK (UTC +03) - держите, правда почему-то Москва оказалась в Лондоне, на долготе Гринвичского меридиана. Что? Вы хотите все-таки видеть правильное время? Ну поправьте пару строк в конфиге, ну что вы как маленький... Хотя если есть стимул, то трудностями не испугать. Должна же система в чем-то раскрыться и показать свои сильные стороны. Может быть в софте? Да нет, с софтом для BSD сейчас туго, спасает в основном только GNU и некоторые проекты из мира Linux, которые можно пересобрать под BSD, не притаскивая попутно половину Linux в нагрузку. Поэтому базовый набор привычного ПО у вас будет, а вот шаг вправо, шаг влево...\nГоворите нравится браузер Опера? Придется как-нибудь без нее, возьмите Firefox или Chromium, все равно ничего другого не завезли. Хотите поработать с 1С? Как бы это помягче. Нет, можно установить пакет linux-base для бинарной совместимости с Linux и жить станет полегче, но зачем, если есть Linux, где есть все тоже самое, но без всех этих тягот и лишений. Ладно, не все же нам работать, надо и отдыхать, посмотрим, как обстоят дела с мультимедиа. Здесь мы опасливо покосились на календарь, да нет, все верно, на дворе 2019 год, когда любая современная ОС проигрывает все распространенные форматы просто из коробки. Проблему исправил установленный VLC, но сам факт такой вот \u0026quot;поддержки\u0026quot; мультимедиа снова отослал нас лет на десять назад, когда подобные проблемы были нормой для Linux.\nПозвольте, скажет иной читатель, но ведь FreeBSD и не позиционирует себя на десктоп. Ну как сказать... Про \u0026quot;современную\u0026quot; и \u0026quot;для десктопов\u0026quot;, заметьте, не мы написали. Но выводы будем делать немного позже, а пока двинемся дальше.\nTrueOS 18.03 (бывшая PC-BSD) PC-BSD достаточно старый и амбициозный проект по созданию дружелюбного пользовательского BSD-дистрибутива и мы когда-то давно, примерно десять лет назад, делали на него обзор. Но даже тогда система выглядела не лучшим образом на фоне современного ему Linux, хотя настольный Linux десять лет назад страдал множеством \u0026quot;детских болезней\u0026quot; и сильно отличался от современных дистрибутивов. Но если Linux сумел пройти этот путь, то должен же был куда-то дойти и BSD?\nВ процессе этого пути разработчики видимо решили, что как лодку назовете - так она и поплывет, и сменили название системы на довольно амбициозное и пафосное TrueOS. Также дистрибутив обзавелся собственным легковесным окружением Lumina.\nВ прошлом году в жизни проекта произошли очередные изменения и TrueOS отказалась от поддержки десктопной версии, превратившись в нисходящий (downstream) форк FreeBSD c поддержкой технологий OpenRC (система инициализации родом из Gentoo) и LibreSSL. Настольное направление перешло в отдельный проект Trident, к которому мы вернемся позже, а пока поглядим к чему пришел проект PC-BSD / TrueOS к моменту кардинального переосмысления собственной деятельности.\nПоследняя настольная версия TrueOS - 18.03, т.е. чуть менее чем годовалой давности, как и основная LTS версия Ubuntu, поэтому... Мы хотели написать, что можно смело сравнить с актуальными версиями основных дистрибутивов, но не будем этого делать. Почему - поймете чуть позже.\nТрадиционная псевдографика, это классика и визитная карточка BSD-систем. А вот и инсталлятор, выглядит пока неплохо, да, есть к чему придраться в плане визуального оформления, но это не главное, задача инсталлятора - провести нас через все этапы установки с минимальными затруднениями. Со своей задачей он справляется. По умолчанию используется ZFS и автоматическая разметка диска, уже неплохо. В остальном все ожидаемо и скучно. Запутаться в процессе решительно негде и есть надежда, что в этот раз BSD повернется к пользователю все-таки лицом. Но уже на этапе входа в систему нас начали терзать смутные сомнения. Современные шрифты и сглаживание? Аккуратная графика? То, что предстало нашему взору более похоже на самодеятельность уровня сельского клуба, а не ОС с 12-летней историей. Это что? Где все элементы управления? Минимализм, конечно, сегодня в моде, но не до такой же степени. Да нет, все гораздо проще, ну не умеет система 2018 года автоматически определять размер экрана и масштабироваться, тем более в виртуальной среде (это же надо додуматься, в 2018 и на виртуалку). Это, если кто-то не понял, собственная среда окружения рабочего стола - Lumina. Блеск и нищета BSD в одном флаконе. Если вернуться на 10 лет назад, то можно сделать выводы, что версия PC-BSD с KDE выглядела гораздо лучше и сразу возникает вопрос, а зачем надо было городить весь этот огород, можно ведь было взять уже готовое окружение, не обязательно тяжелые KDE или Gnome, наоборот, можно что-то легковесное. Но не все так просто. Современные оболочки разрабатываются сугубо для Linux, что вызывает сложности при портировании из-за зависимостей от таких специфичных Linux-компонент как D-Bus, systemd, hald и прочих. Поэтому разработчики решили делать полностью свою, BSD-оболочку. Что получилось - вы уже видели.\nТе десять лет (с момента прошлого обзора PC-BSD), которые Linux шел к пользователю, обрастая по пути современными технологиями, разработчики PC-BSD шли куда-то не туда, да и скорее не шли, а блуждали где-то в трех соснах. На наш взгляд проще было сделать форк уже готовой рабочей среды (Mate, LXDE и т.п.), адаптировать ее к BSD и продолжить развивать, опираясь на прочный фундамент, нежели пытаться сделать что-то свое, явно не имея для этого сил и средств.\nОтложим в сторону графическую составляющую и посмотрим на предлагаемый в составе оболочки файловый менеджер, он просто убог и неудобен, но зачем-то к нему прикручен Git. И мы снова ловим себя на мысли, что высказывание Владимира Ильича тут как никогда к месту.\nВидимо разработчики TrueOS трезво оценили перспективы своего детища и переключили свои силы на более перспективные направления, занявшись портированием в BSD Linux-технологий и нам трудно винить их за это.\nДальнейшему знакомству с системой нам помешало полное отсутствие доступа к репозиториям, вместе с отказом от десктопной ОС разработчики полностью отказались и от ее поддержки, дистрибутивы настольной системы также недоступны на сайте, единственная возможность получить их сейчас - это торренты. Trident 19.06 Но дело PC-BSD живет, превратившись ныне в проект Trident, название выбрано тоже достаточно символичное, так как именно трезубцем был вооружен даймон - маскот FreeBSD. Может быть в новом проекте что-то сдвинется с мертвой точки? Посмотрим.\nПсевдографика, как всегда, хороша, пожалуй, это единственное к чему не придраться. Инсталлятор на первый взгляд выглядит немного посовременней и немного поприличнее графически, но не умеет правильно определять размер экрана и масштабироваться для широкоформатных разрешений. В нашем случае кнопки управления уехали за нижний край экрана, так что остался только немного виден верх, поэтому их назначение нам пришлось выяснять опытным путем и проводить установку буквально на ощупь. Разработчики постарались наполнить дистрибутив современными программами и обеспечить хорошую совместимость. Здесь и популярный Телеграмм, и VLC, и поддержка NTFS, также заявлена поддержка гостевых расширений для виртуальных машин. Процесс пошел, кроме почти незаметного статус-бара внизу (который уехал за пределы экрана), слева есть текстовый лог, который можно наблюдать во время установки. В графическом плане мало что изменилось, те же самые ужасные шрифты и неаккуратная графика. Тот же самый кошмарный файловый менеджер. Хотя определенная работа над графической составляющей системы видна невооруженным глазом, но какого-то единого стиля в оформлении нет, больше похоже на то, что разработчики нашли где-то свежих иконок и попытались хоть как-то освежить с их помощью внешний вид. К самой графике тоже много вопросов, чего стоит только символ интернет соединения с вытащенным патч-кордом. Графическая оболочка пакетного менеджера также вызывает смешанные чувства, хорошо уже то, что она есть и что пакетам имеется краткое описание, а сами пакеты разбиты по группам, в зависимости от назначения. Но про удобство работы и интуитивную понятность интерфейса говорить не приходится, делалось это явно не для простых пользователей. Панель управления столь же бедна возможностями, насколько лаконична внешне. Системный монитор крайне прост и убог, сравнивать с Linux или Windows аналогами просто не хочется. С графикой в системе просто беда, LibreOffice выглядит так, как будто мы перенеслись к конец 90-х и запущен он в среде Windows 98/2000. Плохо просто все и если на небольших мониторах той поры это еще выглядело приемлемо, то в современных условиях, на HD-разрешениях с высокой плотностью пикселей все графические огрехи, ужасные шрифты и отсутствие сглаживания просто режут глаз. Кто сможет работать каждый день в таких условиях нам непонятно. Если снова вернуться на десять лет назад и сравнить тот Linux с современным - мы увидим огромный качественный рывок, как в плане технологий, так и в простоте использования. Здесь время словно остановилось, но десять лет назад PC-BSD был вполне современной системой, хоть и уступал конкурентам, сегодня же Trident выглядит откровенно беспомощно.\nGhostBSD 19.04 Еще одна настольная система на базе BSD и, пожалуй, самая современная из них, во всяком случае наиболее дружелюбная и проработанная.\nКак всегда - псевдографика, все-таки что-то такое в ней есть. Установка начинается с текстового режима, в котором предлагается выбрать используемый видеодрайвер, выбор довольно велик, но в нашем случае неплохо справилась и автоматическая конфигурация. Затем система загружается в режиме Live-CD, что дает возможность проверить работу на собственном железе без установки и, убедившись, что все будет нормально, продолжить установку в графическом режиме. В качестве рабочего окружения используется Mate и выглядит все действительно неплохо. На этом этапе каких-либо претензий нет, все сделано действительно неплохо. А это что такое?! Забыли добавить графическую оболочку в автозагрузку? Бывалые линуксоиды, конечно, знают заветное слово, оно даже автоматически подсвечивается если набрать первую букву, но возникает закономерный вопрос - дистрибутив кто-нибудь тестировал? А если тестировал, то, наверное, \u0026quot;не заметил\u0026quot; или решил, что такая \u0026quot;мелочь\u0026quot; не стоит внимания? Для современной системы подобный баг - это весьма серьезный недочет. В остальном же GhostBSD - это наиболее проработанный пользовательский дистрибутив, хорошая графика, практически полная локализация из коробки, неплохие шрифты. Разработчики не стали изобретать велосипед и просто хорошо настроили популярное рабочее окружение, так что, бросив беглый взгляд не сразу и поймешь, что это BSD-система. У нас не возникло проблем ни с документами, ни с мультимедийными файлами и мы даже хотели написать, что все просто замечательно, но тем временем система скачала и установила обновления. Досадный баг с загрузкой графической оболочки исправили, зато полностью слетела локализация. Настроек в панели управления ожидаемо немного и локализации среди них не числится, хотя если быть честными, то большинство из них относится к рабочей среде Mate, а не самой BSD-системе. Т.е. для чего-то более сложного, чем смена обоев придется все-таки открывать терминал. А вот центр приложений огорчил, он как будто вынырнул из пучин пятнадцатилетней давности. Описания пакетов нет и вам повезло, если вы точно знаете, что вам нужно. Фактически мы снова (как и во FreeBSD) сталкиваемся с ситуацией, когда что-то выходит за рамки графической оболочки и затрагивает собственные функции BSD, то выглядит это весьма печально, особенно если учесть, что все популярные оболочки заимствуются из Linux. Хотя в общем GhostBSD весьма неплох, с поправкой на все особенности BSD, конечно. Поэтому если вы все-таки хотите немного приобщиться к настоящему UNIX - то начните с него. Но в целом ничего нового вы не получите, скорее, наоборот, приобретете полный ворох \u0026quot;детских проблем\u0026quot; свойственных Linux десятилетней давности. Кстати, если вы испытываете ностальгию по тем \u0026quot;далеким и светлым\u0026quot; временам, то данный дистрибутив поможет вам переместиться в прошлое без всякой машины времени.\nВыводы А выводы у нас будут печальные, FreeBSD в свое время проиграла гонку с Linux и находится сейчас в позиции догоняющего. У нее нет каких-либо отличительных черт или технологий, которые давали бы конкурентное преимущество, наоборот, сейчас в BSD идет активный импорт Linux-решений (тот же OpenRC). Единственная интересная фишка - ZFS, но и это не родная для BSD технология, а наследство от Sun Solaris, а так как обе системы - это настоящий UNIX, то особых проблем с портированием не возникло. Но сегодня ZFS есть и в Linux, поэтому перспективы и сферы применения BSD выглядят весьма неопределенно. Хотя есть отдельные ниши, где BSD по-прежнему неплоха.\nВо всем, что касается настольного применения система отстала лет на десять-пятнадцать. Начиная с того, что нет собственного рабочего окружения (Lumina не в счет), которое бы использовало родные механизмы системы, а не требовало бы импорта Linux-подсистем и заканчивая многочисленными \u0026quot;детскими болезнями\u0026quot;, которые в других ОС давно решены.\nМожно ли использовать BSD как основу для разработки собственных систем? Наверное можно, но не нужно, потому что вам придется потратить много сил и средств на то, что в Linux уже давно сделано, разве что только вы являетесь искренним фанатом BSD и вопрос рационального расходования ресурсов перед вами не стоит.\nЕдинственный вариант, когда применение BSD оправдано - если вы хотите впоследствии закрыть код, но в современном мире платить за ОС скоро станет столь же непривычно, как платить за браузер. Последние годы все шире распространяется модель SaaS (ПО как услуга) с подписками и микроплатежами. Закрытая ОС в данном контексте просто теряет свой смысл. Что касается специфичных систем для государственного применения, в т.ч. в силовых структурах, то там GPL нисколько не мешает ни коммерческому подходу, ни закрытию доступа к определенным компонентам, включая их исходный код.\nНу и наконец \u0026quot;успешные\u0026quot; применения BSD, скажем в составе PlayStation 4, это лишь исключение, подтверждающее правило. Игровая приставка, как и техника Apple, это четко определенный набор железа в аппаратной части, не предусматривающий серьезную вариативность, поэтому всегда можно скомпилировать систему под целевое железо и получить серьезный прирост производительности, при том, что там будет под капотом, Linux или BSD, в данном контексте неважно. Все равно поверх ядра ОС будет развернута собственная оболочка, которая имеет с родительской системой очень мало общего.\nА выбор BSD в данном случае более интересен по лицензионным соображениям, так как позволяет просто продавать закрытую систему и не думать о ее лицензионной чистоте. Но это и есть нишевое применение, ничем не отличающееся от того-же pfSense, где поверх BSD развернута собственная веб-оболочка, разве что код открыт, что для конечного пользователя практически не имеет никакого значения.\n","id":"903e53d6aa4a2e7f86c4abeed64aedb9","link":"https://interface31.ru/post/unix-v-kedah-ili-zverinyy-oskal-desktopnogo-bsd/","section":"post","tags":["FreeBSD","PC-BSD"],"title":"UNIX в кедах или звериный оскал десктопного BSD"},{"body":"Продолжая разговор о виртуальных частных сетях (VPN) следует обязательно коснуться вопроса структуры создаваемой сети, которая в свою очередь зависит от выполняемых задач. Неверные решения на стадии проектирования могут сказаться далеко не сразу, а по мере роста и развития инфраструктуры, когда поменять что-либо \u0026quot;малой кровью\u0026quot; будет очень проблематично. В статье мы рассмотрим типовые сценарии использования VPN, области их применения, достоинства и недостатки.\nМы не будем рассматривать решения на базе топологии L2, когда сети объединяются на канальном уровне, таких сценариев следует избегать, допуская их только в том случае, когда вам действительно нужен L2-туннель.\nОчень часто L2-решения используют начинающие администраторы, которые испытывают затруднения с маршрутизацией и таким образом решают вопрос недостатка знаний и практических навыков. Но по факту бездумное использование соединений на канальном уровне приносит только пласт новых проблем, которые будут накапливаться по мере роста сети и решить которые без существенного изменения сетевой структуры будет невозможно.\nДля оставшегося большинства задач следует использовать L3 VPN, работающий на сетевом уровне и использующий маршрутизацию, которая позволяет эффективно управлять потоками трафика и строить достаточно сложные сетевые решения. В данной статье мы не будем подробно разбирать вопросы маршрутизации, для знакомства с ее основами рекомендуем обратиться к другой нашей статье.\nСоединение хост-хост (Сквозной VPN, End-to-End) Самая простая схема, при которой туннель непосредственно соединяет два узла. В данном случае VPN-сервер не является маршрутизатором и клиент не имеет доступа за его пределы. В данной схеме не используется маршрутизация и нет требований к локальным адресам клиента и сервера. Данное решение используется в первую очередь для создания защищенного канала связи для удаленной работы с сервисами, имеющими недостаточный уровень безопасности. Например, для организации удаленного доступа бухгалтера к базам 1С:Предприятия, либо для доступа к административной панели расположенного в сети интернет сервера.\nТакже подобное решение часто используют для защиты недостаточно защищенных протоколов, скажем FTP или POP3, если вариант с SSL по какой-либо причине (чаще всего обратной совместимости) недоступен.\nПри этом следует понимать, что клиент получает полный доступ к серверу, минуя сетевой периметр защиты, и здесь выходит на первый план вопрос доверия. Поэтому подобный вид доступа чаще всего используется для ключевых сотрудников, уровень доверия к которым высок, либо для доступа к ограниченному количеству сетевых служб, когда VPN выступает только в роли дополнительной защиты канала связи.\nСоединение хост - сеть (Удаленный доступ, End-to-Site) В случаях, когда удаленному сотруднику требуется полный доступ к сети предприятия используют несколько иную схему. В этом случае VPN-сервер должен являться маршрутизатором, а адресное пространство клиента и локальной сети не должно пересекаться. Именно поэтому мы категорически не рекомендуем использовать в локальных сетях подсети 192.168.0.0 и 192.168.1.0, которые широко используются в сетевом оборудовании уровня SOHO (для дома и малого офиса), так как в этом случае вы с очень большой долей вероятности столкнетесь с пересечением адресного пространства. Для того, чтобы удаленный компьютер имел доступ к локальной сети нам потребуется использовать маршрутизацию. Для этого на клиенте потребуется создать маршрут, который укажет, что все пакеты для сети 192.168.51.0 следует направлять через туннель на адрес VPN-сервера 10.10.0.1. Никаких обратных маршрутов со стороны локальной сети указывать не нужно.\nКак и в предыдущем сценарии следует понимать, что подобное соединение дает доступ внутрь периметра и требует доверия к удаленному пользователю. В ряде случаев, когда уровень доверия низок, имеет смысл изолировать удаленных пользователей в DMZ-зоне и контролируя с помощью брандмауэра их доступ к остальной части сети.\nЕще один сценарий использования подобного соединения - административный, используемый системным администратором для доступа к собственной сети из любой точки земного шара.\nСоединение сеть-сеть (Site-to-Site) Наиболее популярная в корпоративной среде схема, позволяющая соединить сети офисов между собой. В этом случае туннель обычно поднимается между маршрутизаторами сетей, хотя это не обязательно, но при расположении VPN-сервера и клиента на отдельных узлах сети потребуется дополнительная маршрутизация. В нашем примере узлы VPN-сети совпадают с основными шлюзами и на каждом их них потребуется добавить дополнительный маршрут, который будет направлять пакеты к удаленной сети на другую сторону туннеля.\nПри наличии нескольких филиалов схема немного усложнится. Так как VPN - это всегда соединения точка-точка, то следует понимать, что даже если различные узлы VPN-сети находятся в едином адресном пространстве обмен трафиком возможен только между двумя концами туннеля. Все прочие взаимодействия решаются исключительно с помощью маршрутизации. Как видно из следующей схемы, два филиала с сетями 192.168.41.0/24 и 192.168.31.0/24 могут общаться между собой исключительно через сервер центрального офиса. Все пакеты для иных сетей филиалы направляют на VPN-адрес офиса - 10.10.0.1, потому как если указать для 41-й сети путь к 31-й через 10.10.0.2, то такой маршрут работать не будет.\nПочему? Потому что туннель - это точка-точка, в данном случае у нас есть соединения 10.10.0.2-10.10.0.1 и 10.10.0.3-10.10.0.1, но соединения 10.10.0.2 - 10.10.0.3 нет и быть не может. Понимание данного факта заставляет по-новому взглянуть на потоки трафика между удаленными сетями и предполагает построение оптимальной топологии с учетом этого факта.\nДопустим сети 31 и 41 территориально расположены в одном городе и предполагают большой объем трафика между ними (скажем филиал и производственная площадка). В этом случае нет никакой необходимости гонять трафик через центральный офис и более правильно будет настроить два VPN-канала: между 31-й и 51-й сетями (филиал - офис) и 31-й и 41-й (филиал - производство), а благодаря маршрутизации мы можем также без проблем настроить соединение офис - производство через филиал.\nДоступ в интернет Если быть формалистами, то данный сценарий к виртуальной частной сети (VPN) не относится, но использование VPN-соединений для доступа в интернет становится все более и более популярным, поэтому рассмотрим и этот сценарий.\nВ каких случаях использование VPN для доступа в интернет оправдано? В первую очередь низкий уровень доверия к текущей сети. Скажем вы находитесь в командировке и вынуждены использовать гостиничный Wi-Fi, вы не знаете, что это за сеть и какой у нее уровень безопасности, поэтому для работы будет вполне оправданно поднять VPN-соединение с корпоративным шлюзом и уже через него выходить в глобальную сеть.\nДругой сценарий - это доступ к сайтам, которые недоступны через вашего основного провайдера или для вашего регионального расположения. В этом случае VPN-сервер должен располагаться в юрисдикции, из которой доступ к интересующему сайту ничем не ограничен. Так если вы занимаетесь работой с американскими интернет-магазинами, то вам понадобится VPN-сервер в США, чтобы вы выглядели для сайтов резидентами этой страны.\nВ подобных случаях нет никакой необходимости пускать в туннель весь исходящий трафик, более разумно настроить правила, когда через VPN будут работать только необходимые сайты, а весь остальной трафик пойдет через основного провайдера.\nДанный сценарий применим и для локальных сетей, но в этом случае VPN-клиент следует располагать на шлюзе, который получая запросы из локальной сети будет решать, какой пакет отправить дальше через провайдера, а какой через VPN.\n","id":"80bcf0bee8ab04a39aaa83583cdcbbfa","link":"https://interface31.ru/post/nastraivaem-vpn-chast-2-struktura/","section":"post","tags":["VPN","Сетевые технологии"],"title":"Настраиваем VPN. Часть 2 - Cтруктура сети"},{"body":"VPN-технологии сегодня прочно вошли в повседневную жизнь и на слуху не только у IT-специалистов, поэтому мы решили обновить ряд старых статей, значительно дополнив и расширив имеющуюся в них информацию. Если десять лет назад VPN был в основном уделом достаточно крупных организаций, сегодня он широко используется повсеместно. В этой статье мы рассмотрим, что такое VPN в 2019 году, какие технологии доступны, в чем их достоинства и недостатки и как это все можно использовать.\nПрежде всего определимся с терминологией. VPN (Virtual Private Network, виртуальная частная сеть) - обобщенное название технологий позволяющих обеспечить построение логической (виртуальной) сети поверх физической, чаще всего поверх сети интернет или иных сетей с низким уровнем доверия.\nДля построения сетей VPN обычно используются туннели, туннелирование это процесс установления соединения между двумя точками с использованием инкапсуляции, когда данные одного протокола помещаются в \u0026quot;конверты\u0026quot; другого протокола с целью обеспечить их прохождение в неподходящей среде, обеспечения целостности и конфиденциальности, защиты с помощью шифрования и т.д. и т.п.\nТ.е. если подходить к вопросу терминологии строго, то под VPN следует понимать виртуальную сеть, которая образуется путем установления туннельных соединений между отдельными узлами. Но на практике термины используются гораздо более вольно и очень часто вносят серьезную путаницу. Скажем, популярный сейчас доступ в интернет через VPN виртуальной частной сетью собственно не является, а представляет туннельное соединение для выхода в интернет, с логической точки зрения ничем не отличаясь от PPPoE, которое тоже является туннелем, но VPN его никто не называет.\nПо схеме организации можно выделить две большие группы: клиент-серверные технологии и просто туннели. В названии первых обычно принято использовать аббревиатуру VPN, у вторых нет. Туннели требуют наличия с обоих концов выделенного IP-адреса, не используют вспомогательных протоколов для установления соединения и могут не иметь инструментов контроля канала. Клиент-серверные решения, наоборот, используют дополнительные протоколы и технологии, осуществляющие установку связи между клиентом и сервером, контроль и управление каналом, обеспечение целостности и безопасности передаваемых данных.\nНиже мы рассмотрим наиболее популярные типы туннельных соединений, которые применяются для построения VPN-сетей, начнем с классических решений.\nPPTP PPTP (Point-to-Point Tunneling Protocol, туннельный протокол точка-точка) - один из наиболее известных клиент-серверных протоколов, получил широкое распространение благодаря тому, что начиная с Windows 95 OSR2 PPTP-клиент был включен в состав ОС. В настоящее время поддерживается практически всем спектром систем и устройств, включая роутеры и смартфоны (клиент удален из последних версий macOS и iOS).\nТехнически PPTP использует два сетевых соединения: канал управления, работающий через TCP и использующий порт 1723 и GRE-туннель для передачи данных. Из-за этого могут возникать сложности с использованием в сетях мобильных операторов, проблема с одновременной работой нескольких клиентов из-за NAT и проблема проброса PPTP соединения через NAT.\nЕще одним существенным недостатком является низкая безопасность протокола PPTP, что не позволяет строить на нем защищенные виртуальные сети, но широкое распространение и высокая скорость работы делают PPTP популярным там, где безопасность обеспечивается иными методами, либо для доступа в интернет.\nL2TP L2TP (Layer 2 Tunneling Protocol, протокол туннелирования второго уровня) - разработка компаний Сisco и Microsoft, использует для передачи данных и управляющих сообщений единственное UDP соединение на порту 1701, но не содержит никаких встроенных средств защиты информации. L2TP-клиент также встроен во все современные системы и сетевые устройства.\nБез шифрования L2TP широко применялся и применяется провайдерами для обеспечения доступа в интернет, обеспечивая таким образом разделение бесплатного внутрисетевого и дорогого интернет трафика. Это было актуально в эпоху домовых сетей, но данная технология продолжает применяться многими провайдерами и по сей день.\nДля построения VPN обычно используют L2TP over IPsec (L2TP/IPsec), где IPsec работает в транспортном режиме и шифрует данные L2TP-пакета. При этом L2TP-туннель создается внутри IPsec-канала и для его установления необходимо прежде обеспечить IPsec-соединение между узлами. Это может вызвать сложности при работе в сетях с фильтрацией трафика (гостиничные сети, публичный Wi-Fi и т.д.), вызывает проблемы с пробросом L2TP/IPSec через NAT и работой из-за NAT одновременно нескольких клиентов.\nК плюсам L2TP можно отнести высокую распространенность и надежность, IPsec не имеет серьезных уязвимостей и считается очень безопасным. Минус - высокая нагрузка на оборудование и невысокая скорость работы.\nSSTP SSTP (Secure Socket Tunneling Protocol, протокол безопасного туннелирования сокетов) - разработанный компанией Microsoft безопасный VPN-протокол, относится к так называемым SSL VPN, распространен преимущественно в Windows-среде, хотя клиенты доступны в среде многих современных ОС. Также есть сторонние серверные решения, скажем в Mikrotik.\nТехнически SSTP представляет собой туннельное PPP-соединение внутри HTTPS-сессии на стандартный порт 443. Для стороннего наблюдателя доступны только HTTPS-заголовки, наличия туннеля в трафике остается скрытым. Это позволяет успешно работать в любых сетях, так как HTTPS широко используется для доступа к сайтам и обычно разрешен, снимает проблему с пробросом или работой из-за NAT. Безопасен.\nК плюсам можно отнести интеграцию в Windows-среду, безопасность, возможность работы через NAT и брандмауэры. К недостаткам - слабую или недостаточную поддержку со стороны других ОС и сетевых устройств, а также уязвимость к некоторым классическим SSL-атакам, таким как \u0026quot;человек посередине\u0026quot;.\nOpenVPN OpenVPN - свободная реализация VPN с открытым исходным кодом. Для защиты соединения также используется SSL, но в отличие от SSTP заголовки OpenVPN отличаются от стандартных HTTPS, что позволяет однозначно определить наличие туннеля. Для передачи данных внутри SSL-канала OpenVPN использует собственный протокол с транспортом UDP, также существует возможность использовать в качестве транспорта TCP, но данное решение является нежелательным из-за высоких накладных расходов.\nOpenVPN обеспечивает высокую безопасность и считается одним из самых защищенных протоколов, составляя альтернативу IPsec. Также имеются дополнительные возможности в виде передачи с сервера на клиент необходимых настроек и маршрутов, что позволяет легко создавать сложные сетевые конфигурации без дополнительной настройки клиентов.\nКроме туннелей, работающих на сетевом уровне (L3) - TUN, OpenVPN позволяет создавать соединения канального (L2) уровня - TAP, позволяя связывать сети на уровне Ethernet. Однако следует помнить, что в этом случае в туннель будет инкапсулироваться широковещательный трафик, а это может привести к повышенной нагрузке на оборудование и снижению скорости соединения.\nНесмотря на то, что OpenVPN требует установки дополнительного ПО серверная часть доступна для Windows и UNIX-like систем, а клиентская в том числе и для мобильных устройств. Также поддержка OpenVPN имеется во многих моделях роутеров (часто в ограниченном виде).\nК недостаткам можно отнести работу в пользовательском пространстве и некоторую сложность настроек. Скорость внутри OpenVPN туннелей также может быть значительно ниже скорости канала.\nНесмотря на это OpenVPN имеет высокую популярность и достаточно широко используется как в корпоративных сетях, так и для доступа в интернет.\nGRE туннель GRE (Generic Routing Encapsulation, общая инкапсуляция маршрутов) - протокол туннелирования разработанный компаний Cisco и предназначен для инкапсуляции любых протоколов сетевого уровня OSI (т.е. не только IP), GRE работает непосредственно поверх IP и не использует порты, не проходит через NAT, номер протокола 47.\nGRE требует белых IP-адресов для обоих сторон туннеля и является протоколом без сохранения состояния, т.е. никак не контролирует доступность противоположного узла, хотя большинство современных реализаций содержат дополнительные механизмы, позволяющие определить состояние канала. Также отсутствуют какие-либо механизмы безопасности, но это не является недостатком, так как в отличие от клиент-серверных решений GRE-туннели применяются в корпоративной и телекоммуникационной среде, где для обеспечения безопасности могут использоваться иные технологии.\nДля построения защищенных решений обычно используется GRE over IPsec, когда туннель GRE располагается поверх защищенного IPsec канала, хотя возможно и иное решение - IPsec over GRE, когда защищенное соединение устанавливается внутри незашифрованного GRE-туннеля.\nGRE поддерживается в UNIX-like системах, сетевом оборудовании (исключая домашние модели), а также в Windows Server начиная с версии 2016. Данный протокол широко используется в телекоммуникационной сфере и корпоративной среде.\nIP-IP туннель IP-IP (IP over IP) - один из самых простых и имеющий минимальные накладные расходы протокол туннелирования, но в отличие от GRE инкапсулирует только IPv4 unicast трафик. Также является протоколом без сохранения состояния и встроенных механизмов безопасности, обычно используется в паре с IPsec (IP-IP over IPsec). Поддерживается UNIX-like системами и сетевым оборудованием. Как и GRE не использует порты и не проходит через NAT, номер протокола 4.\nEoIP туннель EoIP (Ethernet over IP) - разработанный Mikrotik протокол туннелирования канального уровня (L2), работает на базе протокола GRE инкапсулируя Ethernet кадры в GRE пакеты. Позволяет соединять на канальном уровне удаленные сети (что равносильно прямому соединению патч-кордом между ними) и обеспечивать связь без использования маршрутизации. При этом следует понимать, что такое соединение предполагает прохождение широковещательного трафика, что способно существенно снизить производительность туннеля, особенно на узких каналах или каналах с большими задержками.\nВ тоже время EoIP может быть полезен для подключения торгового и промышленного оборудования, которое не умеет работать на сетевом (L3) уровне с маршрутизацией. Например, для подключения удаленных видеокамер к видеорегистратору.\nПервоначально EoIP поддерживался только оборудованием Mikrotik, сегодня его поддержка реализована в оборудовании Zyxel и существуют пакеты для его реализации в среде Linux.\nIPsec IPsec (IP Security) - набор протоколов для обеспечения безопасности передаваемых по сетям IP данных. Также может использоваться не только для защиты уже существующих каналов связи, а для организации самостоятельных туннелей. Но IPsec-туннели не нашли широкого распространения по ряду причин: сложность настройки, критичность к ошибкам конфигурирования (может сильно пострадать безопасность) и отсутствие возможности использовать маршрутизацию для управления трафиком в таких туннелях (решение об обработке IP-пакетов принимается на основании политик IPsec).\nIKEv2 IKEv2 (Internet Key Exchange) входит в состав протоколов IPSec, однако может использоваться самостоятельно для создания туннельных подключений. Отличается высокой безопасностью и скоростью работы, поддерживает аутентификацию по сертификатам. Прост в настройке с клиентской стороны, может передавать клиентам маршрутную информацию. Поддерживается всеми современными ОС. Хорошо проходит через NAT и не имеет проблем характерных для L2TP/IPsec. Из недостатков следует выделить сложность в настройке серверной части и определенные сложности с маршрутизацией, которые указаны выше, при описании IPsec.\nЗаключение Переписывая данную статью, мы не ставили задачу объять необъятное, рассмотреть все существующие VPN-решения в рамках одной статьи невозможно. Ее назначение - познакомить читателя с основными используемыми сегодня технологиями для построения виртуальных частных сетей. При этом мы намеренно оставили за кадром решения от Cisco или иных \u0026quot;взрослых\u0026quot; производителей, так как их внедрением занимаются профессионалы, которым подобные статьи явно без надобности.\nТакже мы не стали рассматривать решения без широкой поддержки со стороны производителей сетевого оборудования, хотя там есть достаточно интересные продукты. Например, мультипротокольный сервер SoftEther VPN, который поддерживает L2TP, SSTP, OpenVPN и собственный SSL VPN протокол, имеет широкие сетевые возможности, графический клиент для настройки и администрирования и многие иные \u0026quot;вкусности\u0026quot;. Или перспективный WireGuard, который отличается простотой, высокой производительностью и использованием современной криптографии.\nТем не менее, какую именно технологию следует использовать? Все зависит от сферы применения. Если стоит задача связать два офиса с выделенными IP-адресами, то мы порекомендовали бы использовать GRE или IP-IP, если возможность настройки удаленных сетей ограничена, то следует посмотреть в сторону OpenVPN, он также подойдет, если удаленные сети находятся за NAT или не имеют выделенного IP.\nА вот для организации удаленного доступа следует использовать один из протоколов с нативной поддержкой в используемых пользователями системах или устройствах. Если у вас основу инфраструктуры составляют Windows-системы и не стоит вопрос доступа с мобильных устройств, то следует обратить внимание на SSTP, в противном случае лучше остановить свой выбор на универсальном L2TP, либо современном IKEv2.\nPPTP в современных условиях не может считаться надежным из-за слабой защиты, но может оставаться хорошим выбором, если данные в туннеле будут передаваться по одному из защищенных протоколов. Скажем для доступа по HTTPS к корпоративному порталу или веб-версии корпоративного приложения, также работающему через SSL. В данном случае VPN будет обеспечивать дополнительную аутентификацию и сужать периметр атаки на приложение, безопасность самого канала в данном случае не будет играть решающей роли.\n","id":"e7cc006649057980e92ddae44ebb4640","link":"https://interface31.ru/post/nastraivaem-vpn-chast-1-obshhie-voprosy/","section":"post","tags":["VPN","Сетевые технологии"],"title":"Настраиваем VPN. Часть 1 - Общие вопросы"},{"body":"Не так давно мы писали о простом и удобном инструменте для работы с PDF от отечественных разработчиков - Movavi PDF Editor. Тогда мы выразили сожаление, что в программе отсутствуют инструменты работы с текстом. Отрадно что разработчики прислушиваются к пожеланиям пользователей, и новая версия программы получила возможность редактирования текста.\nДа, существуют бесплатные онлайн-сервисы, которое могут делать почти все тоже самое. Но не все так радужно, обычно бесплатно можно обработать лишь небольшое число страниц, после чего вас попросят приобрести подписку.\nВторой момент связан с тем, что вы передаете свои документы третьим лицам и совсем не можете быть уверены, что они не всплывут потом где-нибудь еще. Одно дело если это школьный реферат и совсем иное если это рабочие документы, содержащие финансовые или, что гораздо хуже, персональные данные.\nНовая версия Movavi PDF Editor с функцией редактирования текста доступна по ссылке https://pdf.movavi.ru/how-to-change-text-in-pdf.html и может быть бесплатно скачана для ознакомления. В ознакомительной версии нет ограничений по функциональности, но при сохранении на страницы документа накладывается водяной знак.\nСразу обращает внимание новый элемент интерфейса - Редактирование, при нажатии на который выпадает меню с предложением отредактировать изображение, текст или подпись. Затем просто выделяем нужный текстовый блок и вносим в него изменения. При этом следует помнить, что PDF - это не привычный текстовый документ и его структура имеет свою специфику, поэтому редактировать текст придется блоками и данный метод подходит только для небольших изменений, если нужно серьезно изменить содержимое документа, то следует воспользоваться текстовым редактором.\nЗато можно легко и просто внести небольшие изменения, скажем, в документацию. В нашем примере мы быстро заменили строку текста и изображение. При этом следует помнить, что PDF - это не привычный текстовый документ и его структура имеет свою специфику, поэтому редактировать текст придется блоками и данный метод подходит только для небольших изменений, если нужно серьезно изменить содержимое документа, то следует воспользоваться текстовым редактором.\nЗато можно легко и просто внести небольшие изменения, скажем, в документацию. В нашем примере мы быстро заменили строку текста и изображение. Либо удалять, если они перестали быть нужны: Чтобы добавить новый текстовый блок достаточно перейти в режим редактирования текста, щелкнуть мышкой в нужном месте страницы и просто начать набор на клавиатуре или вставить содержимое из буфера обмена. Появление возможности работы с текстом делает данный продукт полноценным редактором PDF, а учитывая его невысокую стоимость, представляется нам практически безальтернативным вариантом для повседневного применения дома и на работе.\nТакже приятно что продукт развивается, и разработчики учитывают пожелания пользователей при выборе направления развития.\n","id":"30229fe7f231f0baa7bca4ff571a7ae2","link":"https://interface31.ru/post/movavi-pdf-editor-teper-esche-i-rabota-s-tekstom/","section":"post","tags":["Movavi","Рабочее место"],"title":"Movavi PDF Editor - теперь еще и работа с текстом"},{"body":"Все новое - это хорошо забытое старое. В данном случае эта поговорка подходит как нельзя лучше. Методика автоматического развертывания программ пакета 1С:Предприятие по сети, она же \u0026quot;административная установка\u0026quot;, известна давно и хорошо описана в документации, но почему-то довольно редко используется на практике. Возможно, имеет место некоторое \u0026quot;разделение труда\u0026quot;, специалисты по 1С не занимаются установкой, а системные администраторы не читают документацию 1С. Поэтому будет не лишним еще раз вернуться к этому вопросу.\nДанная методика рассчитана в первую очередь на небольшие сети без Active Directory и позволяет существенно облегчить работу системного администратора и повысить комфорт работы с системой 1С:Предприятие.\nТипичная ситуация: специалист по 1С (чаще всего приходящий), обновляет конфигурацию, которая требует новую версию платформы и администратор, отложив в сторону все дела (или сам специалист), начинает бегать по компьютерам пользователей устанавливая новую версию. Хорошо если компьютеров два или три, а если около десятка и разбросаны они по всему зданию?\nЕще одна поговорка гласит, что дурная голова ногам покоя не дает. Если администратор не хочет думать головой, то ему придется бегать ногами, но это совершенно не наш метод, поэтому будем экономить собственное время и время пользователей, настроив автоматическое развертывание. Тем более что делается это очень быстро и просто.\nВам потребуется только общая папка на файловом сервере, которая будет иметь следующую структуру: 1CommonInfoBases=ibcommon.v8i 2DistributiveLocation=\\\\debian-smb\\distr-1c 3InstallComponents=DESIGNERALLCLIENTS=1 THINCLIENT=0 WEBSERVEREXT=0 SERVER=0 CONFREPOSSERVER=0 CONVERTER77=0 SERVERCLIENT=0 LANGUAGES=RU Первая строка указывает на файл со списком общих баз, это необязательный параметр, имя файла также может быть произвольным. Вторая - сетевой путь к папке с дистрибутивами, т.е. нашему общему ресурсу. Последняя строка определяет компоненты пакета программ 1С:Предприятие, которые будут установлены. Ознакомимся с перечнем более подробно:\nDESIGNERALLCLIENTS - все клиенты и конфигуратор. THINCLIENT - тонкий клиент для клиент-серверного варианта работы. THINCLIENTFILE - тонкий клиент с возможностью работы с файловыми информационными базами. SERVER - сервер 1С:Предприятия. Если программа установки запускается из программы запуска, то сервер будет установлен как приложение. WEBSERVEREXT - компоненты расширения для веб-сервера. CONFREPOSSERVER - сервер хранилища конфигураций. SERVERCLIENT - компоненты для администрирования кластера серверов. CONVERTER77 - конвертер информационных баз из версии 1С:Предприятия 7.7. LANGUAGES - список языков интерфейса для установки. Если указано несколько языков, они перечисляются через запятую. Список общих баз, в нашем случае ibcommon.v8i, определяет перечень баз, которые будут подключены всем пользователям, это могут быть сетевые или клиент-серверный базы, обязательное условие - их доступность с любого ПК на которые будет устанавливаться платформа. Для его формирования можно воспользоваться файломibases.v8i, который расположен в %USERPROFILE%\\AppData\\Roaming\\1C\\1CEStart. Просто скопируйте оттуда необходимые секции.\nПримерное содержимое файла:\n1[Информационная база] 2Connect=File=\u0026#34;\\\\debian-smb\\1c_bases\\base1\u0026#34;; 3ID=fdca4a8a-2875-4800-8200-6244f7e0bb93 4OrderInList=551.492455418379 5Folder=/ 6OrderInTree=1425664 7External=0 8ClientConnectionSpeed=Normal 9App=Auto 10WA=1 11Version=8.3 12[Информационная база #1] 13Connect=Srvr=\u0026#34;server1c\u0026#34;;Ref=\u0026#34;acc30\u0026#34;; 14ID=c3c7f1f3-eb72-4874-9fcc-8ca78ee052e5 15OrderInList=16640 16Folder=/ 17OrderInTree=16640 18External=0 19ClientConnectionSpeed=Normal 20App=Auto 21WA=1 22Version=8.3 В нашем случае указаны две базы: файловая по сети и серверная. Если вы использовали файл-источник с ПК где базы расположены локально, то просто замените их пути на сетевые, остальные настройки трогать не надо. Кроме параметра Version=8.3, с его помощью можно указать требуемую платформу для запуска, например, Version=8.3.11 означает, что база должна использовать последнюю доступную версию платформы 8.3.11, а Version=8.3.10.2252 - работать только с платформой 8.3.10.2252.\nТеперь разместим на сервере сами платформы, для этого нам потребуется распаковать архивы с Портала 1С и переименовать папку точно по номеру платформы, скажем, 8.3.10.2252. Кроме последней актуальной версии следует также разместить там выпуски платформ, используемые отдельными пользователями или базами. В нашем случае получилось так: Общий ресурс готов, посмотрим, как это работает. Для первоначальной установки запустим файл 1cestart.exe с общего ресурса, это может сделать как администратор, так и сам пользователь. Это единственный раз, когда пользователю потребуется самостоятельно заходить на наш общий ресурс. Сразу после запуска начнется процесс установки платформы, который не задает вопросов и проходит полностью в автоматическом режиме. При этом всегда устанавливается самая последняя доступная в общем каталоге версия платформы. Хорошо, но, если нам вдруг потребуется другая? Не проблема. Давайте укажем для одной из баз использовать только выпуск 8.3.11 и запустим ее. Как видим, установка нужной платформы началась автоматически (при условии ее наличия на общем ресурсе). После выхода новой версии платформы достаточно добавить еще одну папку на общий ресурс, обновление на клиентских ПК будет происходить автоматически при следующем запуске 1С. Т.е. если вы обновили платформу в разгар рабочего дня вам нужно всего лишь попросить пользователей выйти и снова зайти в программу. Как видим, данный способ отлично подходит для использования в небольших сетях, избавляя администратора или специалиста по обслуживанию 1С от большого количества рутинной работы. Но есть и недостатки, один из них - наличие у пользователя прав для установки ПО, но в небольших сетях это, как правило, неактуально.\nВ крупных организациях с AD программное обеспечение разворачивается с помощью групповых политик и данная методика там просто не нужна. В тех случаях, когда пользователи без AD не имеют административных полномочий, для них следует включить политику Конфигурация пользователя - Административные шаблоны - Компоненты Windows - Установщик Windows - Всегда устанавливать с повышенными правами. Если вам нужно несколько разных вариантов развертывания, то можно создать несколько ресурсов, со своим набором платформ, списков баз и настроек. Скажем один для работы, второй для разработчиков. Только желательно в этом случае также ограничить доступ к общим папкам, чтобы исключить случайную установку \u0026quot;чужой\u0026quot; платформы.\n","id":"0a4419960b1a7a4e4a0015051addf330","link":"https://interface31.ru/post/avtomaticheskoe-razvertyvanie-1spredpriyatie-v-nebolshih-setyah/","section":"post","tags":["1С Предприятие 8.х","Развертывание"],"title":"Автоматическое развертывание 1С:Предприятие в небольших сетях"},{"body":"Раз уж мы начали обзоры российских систем, то никак нельзя обойти стороной ROSA Linux. Пожалуй, это один из самых универсальных дистрибутивов, который изначально не \u0026quot;заточен\u0026quot; на применение в государственных учреждениях и может быть использован любым желающим. Версия Fresh распространяется именно как домашний дистрибутив и занимает на момент написания статьи 61-е место в рейтинге DistroWatch, что достаточно неплохо и говорит о том, что система интересна не только разработчикам.\nВ основе ROSA лежит достаточно популярный и известный в свое время дистрибутив Mandriva Linux, который, к сожалению, фактически прекратил свое существование в 2011 году. Mandrake, а позже Mandriva, можно смело назвать одной из ключевых систем в истории Linux. Именно с него начался \u0026quot;Linux с человеческим лицом\u0026quot;, ярким представителем которого стала вышедшая позже Ubuntu. Да, не все было гладко, но это был один из первых дистрибутивов рассчитанный на домашнего пользователя. Дружелюбный, многоязычный, с поддержкой мультимедиа, с графическими инструментами настройки.\nВпоследствии одним из совладельцев компании разработчика стал фонд NGI, с российскими владельцами, компания переживала не лучшие времена, к которым еще добавились разногласия между акционерами, что привело впоследствии к ее ликвидации. В итоге разработка дистрибутива была выведена в Россию, а большая часть французских разработчиков создало и развивают свой форк - Mageia. На этом пути проектов разошлись, и они продолжают развиваться самостоятельно.\nСегодня ROSA - полностью самостоятельный дистрибутив, разработка которого ведется в России, включая сборку в собственной среде.\nВ линейке продуктов представлено достаточно большое количество версий: бесплатный Fresh, коммерческий Enterprise Desktop и сертифицированные версии для госорганов Кобальт и Никель. Также существует собственная серверная линейка и системы виртуализации. Но они выходят за рамки нашего обзора.\nROSA Desktop Fresh R11 Начнем со свободной версии дистрибутива, который предлагается в разных вариантах с окружениями рабочего стола KDE4, KDE Plasma 5, XFCE и LXQt. Основным окружением является KDE 4, оно стоит первое в списке и на нем основана корпоративная версия. Поэтому мы взяли для обзора именно его.\nИнсталлятор прост и минималистичен, ничего лишнего, способного запутать пользователя. Все сделано в лучших традициях Windows, систему действительно можно установить в несколько кликов мыши, но и опытные пользователи не забыты, там, где это может быть необходимо есть возможность ручной настройки. Затем можно откинуться на спинку кресла и полюбоваться слайдами, интерфейс предельно лаконичен - просто полоса прогресса. В завершении установки потребуется ввести пароль суперпользователя и создать собственную учетную запись. Весь процесс вполне доступен пользователю, который видит Linux первый раз и не имеет никаких специфических знаний.\nПри входе в систему нас встречает окно приветствия классического вида, внешне напоминающее такое у Windows 7. И рабочий стол KDE, эту среду трудно с чем-либо спутать. Стартовое меню собственной разработки, по современной моде разворачивается на весь экран, но при этом достаточно удобное, с возможностью поиска. Тонкой настройки меню нет, хотя было бы неплохо реализовать возможность самостоятельно группировать значки в группы, как это уже сделано для офисных приложений, игр или утилит. Это позволило бы использовать меню более продуктивно, особенно если установленных приложений будет много. Отдельный раздел TimeFrame выводит документы и мультимедийное содержимое домашней папки на временной шкале, это довольно удобно, если скажем, нужно найти фотографию, созданную две недели назад или документ, про который вы помните только то, что дело было в декабре... Набор софта стандартный для Linux-систем: LibreOffice в качестве офисного пакета, GIMP, программы для работы со звуком и видео, для игр предлагается установить Steam. Установку можно выполнить прямо со стартового экрана. Аналогичным образом можно быстро установить Skype, Viber и некоторое другое ПО. Сетевой принтер без проблем нашелся и был подключен, а вот для сетевого сканера, в отличие от Астры, пришлось поколдовать в консоли, хотя для домашнего применения это не самый типовой сценарий, а в организациях это работа системного администратора.\nНесмотря на то, что ROSA базируется на пакетной базе RPM, в ней используется собственная система управления пакетами urpmi, доставшаяся в наследство от Mandriva. Это не хорошо и не плохо, просто надо иметь ввиду, что администраторам придется освоить работу с еще одной утилитой и нигде, кроме как в ROSA это знание ему не пригодится. Учитывая не самое широкое распространение дистрибутива, хотелось бы видеть в качестве альтернативы привычный RPM-пользователям YUM.\nМагазина приложений как такового нет, вместо него имеется утилита Rpmdrake, в которой есть фильтр для приложений с графической оболочкой. Это стандартная утилита классического вида, для неподготовленного пользователя работать с ней будет тяжеловато, современный пользователь избалован магазинами с красивыми иконками. Утилита обновления самая обычная, каких-либо вопросов к ней нет. Панель управления в целом стандартная для Linux-систем, многие настройки явно рассчитаны на неподготовленного пользователя. На наш взгляд это правильно, потому что именно сложность настроек отпугивает от Linux начинающих, а опытные линуксоиды все равно предпочитают выполнять настройки через консоль. Из собственных разработок представлен достаточно неплохой медиаплеер, с поддержкой IP-TV, онлайн радио и прочих современных технологий, программа для создания загрузочных флешек из ISO-образов и довольно интересная утилита ROSA Freeze - для \u0026quot;замораживания\u0026quot; системы. Это позволяет проводить смелые эксперименты, не боясь за работоспособность ОС, после перезагрузки состояние системы откатится к исходному, но все пользовательские файлы останутся. Если же результат устраивает - то систему можно \u0026quot;разморозить\u0026quot;, сохранив текущее состояние. В общем работать с системой нам понравилось, хотя автор этих строк и не любитель KDE. На высоте также и поддержка, у ROSA неплохие русскоязычные ресурсы (вики, форум), сообщества в соцсетях и достаточно активная база пользователей. В общем чувствуется присутствие жизни.\nROSA Enterprise Desktop X3 ROSA Enterprise Desktop (RED) - это коммерческая версия системы с длительной поддержкой для бизнеса и организаций. Дистрибутив предоставляется по запросу и с ним два месяца бесплатной поддержки. Модель RED более всего похожа на LTSB выпуски Windows - это более старая, но более стабильная и отлаженная кодовая база, дополненная длительным сроком поддержки. RED X3 основана на Fresh 8.1, фактически это та же самая Fresh, но с дополнительной платной поддержкой от разработчиков. Как видно из лицензионного соглашения, сам RED X3 бесплатен, вы покупаете именно поддержку, хотя дистрибутив в свободном доступе отсутствует. Но вы можете получить его по запросу, хотя большого смысла в этом нет, если вам не нужна коммерческая поддержка - используйте Fresh.\nПо большому счету RED X3 ничем принципиально от Fresh не отличается, не считая более темной цветовой гаммы и немного иного набора программ, с большим количеством офисного ПО, предустановленной Java и отсутствием Steam. Ну и ожидаемо более старые версии: Так как RED X3 направлен на корпоративное применение, то нас интересовали офисные функции. C Samba у RED дела обстоят отлично - мы без проблем получили доступ к общим ресурсам в сети Windows. Также мы опробовали сборку Wine и остались довольны, без труда запустив в ROSA некоторые специфические Windows-приложения для работы с государственными органами. Что касается популярной учетной системы 1С:Предприятие - также нет никаких проблем, более того инструкция по ее установке есть в официальной Wiki. Кроме того, ROSA поддерживает все используемые в России токены и крипопровайдеры: Rutoken, CryptoPro и т.д.\nВыводы Как и Astra, ROSA опровергает расхожий миф, что ничего нормального в России сделать не могут. Мол сначала все украдут, а потом студенты за три копейки напишут что-нибудь для отвода глаз. ROSA зрелый и самодостаточный дистрибутив с собственным сообществом и неплохим рейтингом на DistroWatch, а в СПО сообщество административными методами не организуешь.\nДа, есть определенные недочеты, что-то местами выглядит несовременно, но недостатки можно найти везде. В целом же ROSA проста, удобна, дружелюбна к пользователю. Для корпоративных пользователей есть RED, с официальной поддержкой. И то, что RED платный не должно вас смущать, без поддержки этот дистрибутив не представляет никакого интереса, так как никаких существенных отличий от Fresh в нем нет.\nА вот что нам не понравилось, так это отсутствие, мы хотели написать \u0026quot;ярких\u0026quot;, но нет, отличительных черт системы. Скажем, бросив беглый взгляд на любой из дистрибутивов Ubuntu вы тут же его опознаете, также трудно не узнать Mint или SUSE, Astra так же имеет характерную индивидуальность.\nА в ROSA, да, есть индивидуальные черты, но все равно слишком много KDE, беглый взгляд скорее определит ее как \u0026quot;еще один дистрибутив с KDE\u0026quot;, а не как \u0026quot;да это же ROSA\u0026quot;. Так что двигаться дальше есть куда и мы надеемся, что ROSA продолжит развиваться.\nТем более что знакомство с ROSA вызвало у нас светлые ностальгические чувства, так как автор этих строк начинал свое знакомство с Linux с дистрибутива Mandrake 7.2, точнее не именно с него, но он первый из Linux который прижился. А потом была Ubuntu, но это уже совсем другая история...\n","id":"d671cc9c02acaa9ce05c7d1f9e744ff4","link":"https://interface31.ru/post/rosa-linux-prodolzhaem-znakomitsya-s-rossiyskimi-os/","section":"post","tags":["Linux","Mandriva","ROSA","Импортозамещение"],"title":"ROSA Linux - продолжаем знакомиться с российскими ОС"},{"body":"Файловый сервер можно без преувеличения назвать средством первой необходимости, даже в сетях без выделенного сервера вы всегда обнаружите папки с общим доступом, но по мере роста объемов данных появляется потребность в отдельном решении. Вариантов его организации множество, одним из которых является служба Samba на Linux-сервере, это простое, недорогое, но в то же время мощное решение по организации общего доступа к файлам и папкам в Windows сетях. В данной статье мы рассмотрим настройку простого сервера на основе Samba 4 работающего в ОС Debian / Ubuntu.\nНесмотря на то, что в данной статье в качестве ОС мы использовали Debain 9, все сказанное будет справедливо для любой ОС на базе Debian или Ubuntu, а с поправкой на работу пакетного менеджера - для любого Linux-дистрибутива. Также мы предполагаем, что читатель имеет базовые навыки работы с Linux-системами на базе Debian.\nПодготовка системы Прежде чем приступать к работе продумайте схему хранения данных и доступа к ним. Существую разные типы данных, которые мы будем характеризовать по интенсивности доступа к ним, скажем \u0026quot;холодные данные\u0026quot; отличаются тем, что обращения к ним происходят крайне редко (а к некоторым вообще никогда), но при этом они могут занимать значительные объемы. Это прежде всего резервные копии, инсталляционные пакеты, образа дисков и т.д. и т.п.\nПротивоположность им \u0026quot;горячие данные\u0026quot; - это данные которые интенсивно используются и изменяются, для файлового сервера примером таких данных может служить файловая информационная база 1С:Предприятия. Между ними находятся обычные данные, характер доступа к которым не имеет каких-либо особенностей.\nИсходя из типа данных следует выбирать диски для хранения, для \u0026quot;горячих данных\u0026quot; это должны быть быстрые диски или SSD, а для \u0026quot;холодных\u0026quot; подойдут экономичные модели с упором на большой объем. Также не забывайте про RAID, для защиты данных от аппаратного выхода дисков из строя.\nПродумайте структуру директорий и прав доступа к ним. Разумно будет исходить из следующих соображений: разделяйте диски с данными и системой, чтобы при необходимости можно было заменить их без лишних затруднений или перенести на другой сервер. Храните разные типы данных на разных дисках или разделах, скажем, если на разделе для резервных копий закончится свободное место, то это никак не повлияет на работу баз 1С.\nВ нашем примере мы будем использовать виртуальную машину с двумя жесткими дисками, один для системы, второй для данных, точку монтирования диска для данных мы указали как /samba, вы можете использовать другое имя и расположение. Также обратите внимание на имя компьютера, Samba 4 будет использовать его в качестве NetBIOS имени.\nПосле установки ОС следует изменить настройку лимита на количество одновременно открытых файлов, в Linux это 1024, а в Windows 16384. Для этого откройте файл /etc/security/limits.conf и добавьте в конце две строки:\n1* - nofile 16384 2root - nofile 16384 После чего сервер следует перезагрузить.\nУстановка и базовая настройка Samba 4 Установка Samba предельно проста:\n1apt install samba После чего откроем файл /etc/samba/smb.conf и выполним общие настройки. Большинство указанных опций в файле уже есть, многие из них даже не потребуется менять, но их назначение будет полезно знать, поэтому мы прокомментируем наиболее важные из них.\nЗа общие настройки сервера отвечает секция [global], которая, кстати, прекрасно прокомментирована. Обратите внимание на два вида комментариев опций, если для этого используется символ # - то указанное значение применяется по умолчанию, а символ ; обозначает предлагаемый вариант настройки.\nНачнем, опции перечисляются в порядке их следования в файле:\n1workgroup = WORKGROUP Обозначает рабочую группу Windows, по умолчанию WORKGROUP.\n1; interfaces = 127.0.0.0/8 eth0 Следующая опция определяет интерфейсы или подсети, с которыми будет работать Samba. Допускается смешанная запись, как в примере выше, либо можно указать только интерфейсы:\n1interfaces = lo ens33 Или только подсети:\n1interfaces = 127.0.0.0/8 192.168.16.0/24 Но само по себе указание интерфейсов не ограничивает Samba, для того чтобы ограничения начали действовать нужно включить следующую опцию:\n1bind interfaces only = yes Следующая опция указывает расположение логов:\n1 log file = /var/log/samba/log.%m По умолчанию лог выключен, для того чтобы его включить добавьте в файл опцию:\n1log level = 1 Если вам нужен более подробный лог - установите более высокий уровень, минимальное значение - 1, максимальное - 5.\nТакже закомментируйте опцию:\n1# syslog = 0 В настоящий момент она является не рекомендованной (deprecated).\n1server role = standalone server Обозначает простой файловый сервер, не требующий подключения к домену.\n1map to guest = bad user Определяет способ определения гостевого доступа, при указанном значении гостем будет считаться любой пользователь, который отсутствует в базе Samba. Также могут использоваться значения never - не использовать гостевой доступ и bad password - в этом случае гостем будет считаться, в том числе, и существующий пользователь если он неправильно введет пароль. Данное значение использовать не рекомендуется, так как при ошибке в пароле пользователь все равно получит доступ, но с гостевыми правами.\nНа этом общая настройка сервера закончена. Проверим конфигурацию на ошибки:\n1testparm И перезапустим сервер\n1service smbd restart Настройка общего ресурса с гостевым доступом Начнем с самого простого варианта - создадим общий ресурс, доступ к которому может иметь любой пользователь. Для этого добавим в конец файла /etc/samba/smb.conf следующие строки.\n1[public] 2comment = Shared for all 3path = /samba/public 4read only = no 5guest ok = yes В квадратных скобках задаем имя ресурса, все что ниже скобок - секция этого ресурса. В ней мы указали следующие опции:\ncomment - описание ресурса, необязательный параметр; path - путь к директории; read only - режим только чтения, указываем no; guest ok - разрешен ли гостевой доступ, указываем yes; Теперь создадим саму директорию:\n1mkdir /samba/public и установим на нее необходимые права, для гостевого ресурса это 777:\n1chmod 777 /samba/public Если у вас предполагается только гостевой доступ на этом можно остановиться, в случае наличия ресурсов с требованием аутентификации могут возникнуть проблемы. Дело в том с какими правами будут записаны файлы на общий ресурс, если не указано иного, то по умолчанию Samba использует 0744 для файлов и 0755 для директорий. Т.е. полный доступ остается только у владельца файла, остальные получают права только на чтение. Чтобы исправить это следует явно указать режим для новых файлов и папок, для этого добавим в секцию еще две строки:\n1create mode = 0777 2directory mode = 0777 В этом случае итоговые права будут рассчитаны с учетом отображения прав доступа DOS в разрешения UNIX, что имеет некоторые особенности, в частности права на файлы будут установлены как 766 или rwx-rw-rw. Это значит, что запустить исполняемый файл сможет только тот, кто является его владельцем. Остальные получат сообщение об отсутствии прав доступа: 1create mode = 0666 Это полностью снимет права на выполнение для всех, но оставит полный доступ к исполняемым файлам. Если же требуется разрешить возможность запуска, то вместо create mode следует использовать опцию force create mode, которая будет устанавливать разрешения без учета прав доступа DOS:\n1 force create mode = 0777 Теперь перезапускаем Samba и пробуем получить доступ с любого Windows-клиента. Если все сделано правильно, то сервер появится в сетевом окружении, и вы без проблем получите доступ к созданной нами общей папке.\nНастройка общего ресурса с парольным доступом Гостевой доступ это просто и удобно, но не всегда приемлемо. Существуют ситуации, когда доступ к общему ресурсу должны иметь только определенные пользователи. В нашем примере создадим два таких ресурса: для бухгалтерии и для IT-отдела.\nСнова откроем конфигурационный файл и добавим в него две секции:\n1[buch] 2path = /samba/buch 3read only = no 4guest ok = no 5 6[adm] 7path = /samba/adm 8read only = no 9guest ok = no Они предельно просты и отличаются запретом гостевого доступа - guest ok = no. Для того, чтобы разделить доступ к ресурсам будем использовать группы пользователей, создадим две новые группы для наших подразделений:\n1groupadd smbbuch 2groupadd smbadm Теперь создадим каталоги:\n1mkdir /samba/buch 2mkdir /samba/adm и изменим группу владельца:\n1chgrp smbbuch /samba/buch 2chgrp smbadm /samba/adm Затем установим права:\n1chmod 2770 /samba/buch 2chmod 2770 /samba/adm Значение 2770 обозначает что мы предоставляем полные права владельцу и группе, для остальных доступ запрещен. А первая двойка устанавливает SGID для каталога, что обеспечивает присвоение группы каталога каждому создаваемому в нем файлу.\nВ некоторых случаях определенный интерес представляет выставление для каталога sticky bit, который означает, что удалить или переименовать файл может только его владелец, но работать с ним, в том числе изменять, может любой пользователь, имеющий права записи в каталог. Для этого вместо набора прав 2770 используйте права 3770.\nНе забываем указать права для вновь создаваемых файлов и директорий, здесь справедливо остается все то, о чем мы говорили выше. Например, можно использовать такой набор опций (с правом запуска исполняемых файлов):\n1force create mode = 0770 2directory mode = 2770 Обратите внимание, что мы устанавливаем SGID только для каталогов, для файлов в данной схеме выставлять его не имеет смысла. А вот если вы установили sticky bit, то его нужно указать в обоих случаях:\n1force create mode = 1770 2directory mode = 3770 Не забываем, что данные опции следует добавить в каждую секцию.\nНа этом настройки закончены, после чего следует сохранить конфигурационный файл и перезапустить Samba. Но в наших группах пока нет пользователей, давайте добавим их туда.\nНачнем с уже существующих пользователей, в нашем случае это пользователь andrey, который является главным администратором и должен иметь доступ к обоим ресурсам. Поэтому добавим его в обе группы:\n1usermod -aG smbbuch andrey 2usermod -aG smbadm andrey Затем добавим его в базу Samba:\n1smbpasswd -a andrey При этом потребуется установить пароль для доступа к Samba-ресурсам, он должен совпадать с основным паролем пользователя. После чего включим эту учетную запись:\n1smbpasswd -e andrey Проверяем, после ввода пароля мы должны получить доступ к созданным нам ресурсам. Также обратите внимание, после аутентификации в списке общих ресурсов появилась папка с именем пользователя, подключенная только на чтение. С настройками по умолчанию Samba предоставляет каждому существующему пользователю доступ только на чтение к его домашнему каталогу. На наш взгляд это довольно удобно и безопасно. Если вас не устраивает такое поведение - удалите из конфигурационного файла секцию [homes].\nТеперь о других пользователях. Скажем у нас есть бухгалтер Иванова и админ Петров, каждый из которых должен иметь доступ к своему ресурсу. В то же время иметь доступ к самому Samba-серверу им необязательно, поэтому создадим новых пользователей следующей командой:\n1useradd -M -s /sbin/nologin ivanova 2useradd -M -s /sbin/nologin petrov Ключ -M заводит пользователя без создания домашнего каталога, а -s /sbin/nologin исключает возможность входа такого пользователя в систему.\nПоместим каждого в свою группу:\n1usermod -aG smbbuch ivanova 2usermod -aG smbadm petrov Затем добавим их в базу Samba, при этом потребуется установить им пароли:\n1smbpasswd -a ivanova 2smbpasswd -a petrov И включим эти учетные записи\n1smbpasswd -e ivanova 2smbpasswd -e petrov Если все сделано правильно, то пользователь будет иметь доступ к своим ресурсам и не иметь к чужим. Также обратите внимание, что несмотря на то, что общий ресурс с именем пользователя создан, доступ он к нему получить не сможет, так как физически его домашняя директория не существует.\nНастройка общего ресурса со смешанным доступом Теперь рассмотрим более сложную схему, ресурс со смешанным доступом. Например, вы хотите организовать общую папку с инсталляционными пакетами программ, которые может запустить каждый, но не хотите, чтобы кто-либо мог изменять его содержимое, оставив эту привилегию только участникам группы smbadm.\nДобавим в конфигурационный файл следующую секцию:\n1[distr 1C] 2path = /samba/distr-1c 3read only = no 4guest ok = yes Здесь все понятно, стандартное описание ресурса. Теперь создадим директорию и изменим группового владельца:\n1mkdir /samba/distr-1c 2chgrp smbadm /samba/distr-1c Теперь подумаем о правах, владелец и группа adm должны иметь полный доступ -rwx (7) плюс установленный SGIDдля директорий, а остальные должны иметь право чтения и выполнения, т.е. r-x (5), для файлов следует использовать force create mode, иначе вместо желаемых 0775 вы получите 0764, все тоже самое, только без права выполнения для группы и остальных.\n1force create mode = 0775 2directory mode = 2775 Перезапускаем Samba и проверяем, без аутентификации пользователь может только копировать и запускать файлы, а прошедшие проверку подлинности пользователи могут изменять и удалять содержимое общего ресурса.\nНастройка скрытого общего ресурса Еще одна часто встречающаяся задача - скрыть общий ресурс из отображаемого списка. Например, служебные ресурсы, используемые в административных целях. Нет ничего проще, достаточно добавить в секцию ресурса еще одну опцию:\n1browseable = no После чего ресурс будет скрыт из отображения, но попасть в него можно будет явно указав путь к нему: Во всем остальном такие ресурсы ничем не отличаются от обычных и к ним применимо все вышесказанное.\nНастройка корзины для общего ресурса Полезность корзины на файловом сервере, пожалуй, не будет отрицать никто. Человеку свойственно ошибаться и будет очень обидно, если ценой ошибки окажется несколько часов работы, но, к счастью, Samba позволяет помещать удаленные файлы в корзину.\nДля активации корзины добавьте в секцию к общему ресурсу следующие строки:\n1vfs objects = recycle 2recycle:repository = .recycle 3recycle:versions = yes 4recycle:keeptree = yes Первая опция добавит в общий ресурс новый объект - корзину, вторая укажет ее расположение - скрытая папка в корне. Две следующих включают сохранение структуры папок при удалении и сохранение нескольких версий файла с одним и тем же именем. Это позволяет максимально обезопасить себя от ситуаций, когда в разных папках лежали одноименные файлы с разным содержимым или на место удаленного файла скопировали еще один такой же и тоже удалили.\nВыше мы везде говорили о правах, корзина не исключение, если у вас включено сохранение структуры папок, то по умолчанию она будет создана с правами 0700, т.е. восстановить файл сможет только тот, кто его удалил. Рекомендуется изменить это поведение и установить права аналогичные указанным в directory mode, для этого добавим еще одну опцию (права указаны для директории buch):\n1recycle:directory_mode = 2770 Перезапустим Samba и попробуем что-нибудь удалить. Несмотря на грозное предупреждение Проводника удаляемые файлы перемещаются в корзину, откуда мы их можем восстановить.\nКак видим, работать с Samba не просто, а очень просто, при том, что мы оставили за кадром многие возможности тонкой настройки, многие из которых требуют отдельных статей. Надеемся, что данный материал окажется вам полезным и поможет быстро и без проблем развернуть файловый сервер на Linux.\nТакже рекомендуем ознакомиться со статьей Linux - начинающим. Часть 4. Работаем с файловой системой. Теория для более подробного ознакомления с системой прав файловой системы Linux.\n","id":"d5064ef3d7566431d66e694f411b51fa","link":"https://interface31.ru/post/nastroyka-faylovogo-servera-samba-na-platforme-debian-ubuntu/","section":"post","tags":["Debian","Samba","Файловый сервер"],"title":"Настройка файлового сервера Samba на платформе Debian / Ubuntu"},{"body":"Операционные системы семейства Windows содержат много небольших утилит, делающих жизнь администратора проще и удобнее. Но не все из них на слуху, многие незаслуженно обделены вниманием, и, как показал читательский отклик, cmdkey - одна из них. Основная задача этой утилиты - управление учетными данными для доступа по сети и ее возможности трудно переоценить, особенно в одноранговых сетях. Поэтому, если вы или ваши пользователи испытывают затруднения с паролями, теряют доступ к сетевым ресурсам - то вам пора начать применять cmdkey, а как это сделать мы расскажем в данной статье.\nОтношения пользователей и паролей в одноранговых сетях обычно бывают напряженными. Поэтому чаще всего используется гостевая модель доступа, но есть ряд сценариев, когда она неприемлема. Чтобы не быть голословными, приведем пару примеров из жизни.\nНа компьютере главного бухгалтера установлена 1С, доступ к базе, расположенной на общем ресурсе, должны иметь только бухгалтера, при этом они не должны знать пароля главного бухгалтера. Или у вас есть файловый сервер, доступ к ресурсам которого должен быть разделен между сотрудниками, скажем, чтобы менеджеры отдела продаж не имели доступа к папкам бухгалтерии. Также часто возникает вопрос доступа к различным ресурсам с админскими правами, например, для оснастки управления Hyper-V Server.\nОбычно эти вопросы решаются двумя путями: завести на нужном узле все учетные записи пользователей, либо войти с нужного ПК с нужными учетными данными и запомнить пароль. Первый способ подходит в основном для серверов, а второй не отличается стабильностью, система время от времени начинает \u0026quot;забывать\u0026quot; пароли. При этом ситуация может осложняться тем, что пользователь не должен знать используемый пароль (скажем, главбух не хочет, чтобы бухгалтера в ее отсутствие могли войти в систему на ее ПК).\nСуществует и ряд иных задач, когда нужно входить на удаленный узел с учетными данными отличными от текущих, причем в доменных сетях, с их единым механизмом аутентификации это может быть даже более актуально.\nВо всех этих и подобных случаях на выручку придет небольшая утилита командной строки cmdkey. Она позволяет задать учетные данные для доступа к определенному узлу сети. Синтаксис ее прост, для добавления учетных данных используйте:\n1cmdkey /add:SERVER /user:Ivanov /pass:MyPa$$word где SERVER - имя сетевого узла, в зависимости от условий вы можете использовать как плоское имя, так и FQDN, следующие две опции задают имя пользователя и пароль, в особых пояснениях не нуждаясь. Для доменных сетей имя пользователя следует указывать вместе с именем домена. Скажем так:\n1cmdkey /add:srv-01.interface31.lab /user:INTERFACE31.LAB\\Ivanov /pass:MyPa$$word или так:\n1cmdkey /add:srv-01.interface.lab /user:Ivanov@interface31.lab /pass:MyPa$$word Ключ add задает учетные данные для сетевого входа в систему, если же вам нужно добавить учетные данные для иных сервисов, скажем терминального сервера, то следует использовать ключ generic:\n1cmdkey /generic:termsrv/SRV-RDP /user:Ivanov /pass:RdpPa$$word Все учетные данные, введенные при помощи cmdkey хранятся в системном хранилище и недоступны пользователю. Это безопасно и дает в руки администратора определенную гибкость. Он может на ПК бухгалтеров указать учетные данные для доступа к компьютеру главбуха, но ее пароль останется для них неизвестным.\nПосмотреть список сохраненных учетных данных можно командой:\n1cmdkey /list 1cmdkey /delete:srv-01.interface.lab Также cmdkey позволяет быстро удалить учетные данные для всех коммутируемых соединений (PPPoE, VPN и т.д.):\n1cmdkey /delete /ras Как видим, статья получилась очень даже короткой, в отличие от широких возможностей, которые предоставляет небольшая утилита cmdkey. Надеемся, что данный материал будет полезен широкому кругу администраторов и поможет им в их повседневной деятельности.\n","id":"f5461c68aae05a27c418446e37966a99","link":"https://interface31.ru/post/adminu-na-zametku---25-cmdkey-ili-vy-do-sih-por-vvodite-paroli/","section":"post","tags":["Windows Server","Безопасность"],"title":"Админу на заметку - 25. CMDKEY или вы до сих пор вводите пароли?"},{"body":"У Microsoft была мечта о Windows 8, которая включала бы универсальные приложения Windows, распространяющиеся на телефоны, планшеты, ПК и даже консоли Xbox. План состоял в том, чтобы разработчики могли написать одно приложение для всех этих устройств, и оно волшебным образом работало бы везде. Эта мечта начала разваливаться после провала Windows Phone, с тех пор прошлом много времени, и похоже, что теперь все закончено.\nMicrosoft потратила годы на то, чтобы подтолкнуть разработчиков к созданию специальных приложений для универсальной платформы Windows (Universal Windows Platform, UWP), но сегодня она забила последний гвоздь в гроб UWP. Компания наконец-то разрешила разработчикам добавлять полностью нативные игры Win32 в Microsoft Store, а это значит, что многие игры, публикуемые разработчиками в других популярных магазинах, таких как Steam, теперь не нужно перестраивать для UWP.\n«Мы понимаем, что Win32 -- это формат приложений, который любят использовать разработчики игр, а геймеры любят играть, поэтому мы рады сообщить, что мы обеспечим полную поддержку нативных игр Win32 для Microsoft Store в Windows», - пояснил глава Microsoft по играм Фил Спенсер. «Это откроет больше возможностей как для разработчиков, так и для геймеров, предоставляя возможности контроля и настройки которые они ожидают от открытой игровой экосистемы Windows».\nЭто большой шаг вперед для магазина приложений Windows, учитывая, что игры являются одними из самых загружаемых программ из магазинов. Ранее разработчики были вынуждены публиковать игры для Windows 10 через универсальную платформу Windows, которая просто не имеет того уровня возможностей, которые привыкли видеть в Windows на протяжении многих лет.\nНедавно Microsoft объявила о своих планах по переводу браузера Edge на движок Chromium и отказе от UWP, чтобы сделать его доступным для Windows 7, Windows 8 и macOS. Джо Бельфиоре из Microsoft признался в интервью The Verge в начале прошлого месяца, что UWP только «вставляла палки в колеса» для Edge. «Дело не в том, что UWP -- это плохо, но UWP не является зрелой 35-летней платформой, для которой написано огромное количество приложений», - сказал тогда Бельфиоре.\nЯ слышал много историй, когда инженеры и разработчики Microsoft жаловались на то, что UWP накладывает ограничения на свои приложения, и сторонним разработчикам часто приходилось выбирать между созданием приложения UWP для Windows 10 или традиционным настольным приложением, которое будет работать в Windows 7, Windows 8 и Windows 10.\nMicrosoft постоянно расширяла свое определение UWP, чтобы позволить разработчикам переупаковывать настольные приложения в Microsoft Store, но первоначальное видение приложений нового стиля, которые будут работать на ПК, телефонах, планшетах, Xbox и HoloLens становилось все более маловероятным.\nMicrosoft также приостановила работы над своей версией Office с поддержкой сенсорного ввода, предпочитая вместо этого сосредоточиться на облачных решениях, iOS, Android и настольных приложениях. Office всегда был центральным элементом UWP и хорошим примером того, как можно создать большое и требовательное приложение на новой платформе. Microsoft наконец прислушалась к разработчикам и больше не пытается навязывать им UWP.\n«Вы сказали, что хотите, чтобы мы продолжили разделять многие части универсальной платформы, чтобы их можно было применять отдельно», - пояснил Кевин Галло, руководитель платформы Microsoft для разработчиков Windows, в начале прошлого месяца. Это означает, что со временем разработчики смогут использовать некоторые из положительных сторон UWP.\nВ отдельном интервью ZDNet Галло рассказал, что «к тому времени, когда мы закончим, останутся только «приложения для Windows». Еще не все готово, но компания стремится сделать каждую функцию UWP доступной для разработчиков. В конечном итоге, это хорошая новость как для разработчиков, так и для пользователей Windows. Теперь мы должны увидеть больше игр в Магазине Microsoft, которые работают так, как того ожидают геймеры, и, надеемся, больше приложений. Магазин Windows был полон барахла на протяжении многих лет, и Microsoft с трудом привлекала туда разработчиков.\nСтарый подход Microsoft к магазину вызывал резкую критику закрытой платформы в Windows 10 и попыток компании заставить разработчиков распространять приложения через Microsoft Store. Microsoft даже создала версии Windows S и Windows RT в которых установка обычных приложений была заблокирована.\nНовый шаг Microsoft по добавлению своих игр в Steam - это хороший признак того, что Спенсер меняет внутри Microsoft больше, чем просто консоль Xbox. Теперь нам нужно подождать, чтобы увидеть, что разработчики приложений и игр на этот раз сделают с Microsoft Store и платформой приложений Windows, которая станет гораздо менее ограничена.\nАвтор: Том Уоррен (Tom Warren)\nИсточник: Microsoft's Universal Windows Platform app dream is dead and buried\n","id":"d58bced92f84710854cd0be610f08e47","link":"https://interface31.ru/post/mechta-ob-universal-nyh-prilozheniyah-uwp-mertva/","section":"post","tags":["Microsoft","UWP","Windows 10"],"title":"Мечта об универсальных приложениях UWP мертва"},{"body":"Долгое время Hyper-V не имел возможности организации NAT собственными средствами, что в ряде случаев сильно ограничивало сетевые возможности гипервизора. Особенно остро это чувствовалось в лабораторных и тестовых средах, которые требовалось отделить от локальной сети, обеспечив при этом выход в интернет. С введением поддержки контейнеров потребность в сетях NAT только возросла, что сделало закономерным добавление функции преобразования сетевых адресов в гипервизор. Более подробно о настройке и особенностях применения NAT в Hyper-V мы расскажем в данной статье.\nСоздание сетей NAT возможно в Windows Server 2016, Hyper-V Server 2016 и более поздних версиях, а также Windows 10. На одном гипервизоре может быть создана только одна сеть NAT. Также обратите внимание, что в отличие от средств настольной виртуализации, таких как VMWare Workstation или VirtualBox, служба NAT в Hyper-V не предоставляет дополнительных сетевых служб, таких как DHCP или DNS, поэтому сетевые настройки виртуальным машинам вам придется назначить самостоятельно.\nТакже настройка NAT производится исключительно в консоли PowerShell и недоступна в графическом интерфейсе, однако это не представляет никаких сложностей.\nПодключимся к нужному нам гипервизору, перейдем в командную строку и запустим консоль PowerShell:\n1powershell Цвет консоли при этом не изменится, останется черным, но в начале строки приглашения появятся буквы PS.\nТеперь создадим новый виртуальный коммутатор с типом сети Внутренняя:\n1New-VMSwitch -SwitchName \u0026#34;VM_NAT\u0026#34; -SwitchType Internal где VM_NAT - имя нашего виртуального коммутатора, которое можно задать произвольно. 1Get-NetAdapter Из полученной информации нам нужно выяснить и запомнить индекс сетевого интерфейса, в нашем случае 16. Следующим шагом мы настроим на нем шлюз. Перед этим следует определиться с адресацией будущей сети NAT, выделив ей свою подсеть и указав адрес шлюза. В нашем случае это будут 192.168.192.0/24 и 192.168.192.1, теперь можно настраивать шлюз:\n1New-NetIPAddress -IPAddress 192.168.192.1 -PrefixLength 24 -InterfaceIndex 16 Где IPAddress - адрес шлюза, PrefixLength - префикс сети, префикс 24 соответствует маске 255.255.255.0, InterfaceIndex - индекс интерфейса, для которого мы выполняем настройку. Ну и наконец создадим NAT:\n1New-NetNat -Name \u0026#34;vNAT\u0026#34; -InternalIPInterfaceAddressPrefix 192.168.192.0/24 где Name - имя нашей сети NAT, в нашем случае vNAT, задается на ваше усмотрение, InternalIPInterfaceAddressPrefix - внутренняя сеть NAT. Теперь можно вернуться в оснастку управления Hyper-V, в Диспетчере виртуальных коммутаторов у нас появится новая сеть - VM-NAT. Чтобы ее использовать, просто укажите этот коммутатор в настройках виртуальной машины: Также вам потребуется выполнить ручную настройку сети внутри виртуальной машины, ей нужно выдать адрес и указать шлюз из внутренней сети NAT, а также любые доступные DNS: Просмотреть существующие сети NAT, напоминаем, она должна быть только одна, можно командой:\n1Get-NetNat Для удаления используйте:\n1Get-NetNat | Remove-NetNat После этого вам также потребуется удалить назначенный шлюзу IP-адрес:\n1Remove-NetIPAddress -IPAddress 192.168.192.1 -InterfaceIndex 16 Это может потребоваться, если вы захотите изменить адресное пространство NAT. В этом случае удаляете старую сеть NAT и создаете новую, с требуемыми параметрами. Виртуальный коммутатор и виртуальный сетевой интерфейс при этом остаются прежними.\nЕсли вы полностью хотите отказаться от NAT, то дополнительно удалите виртуальный коммутатор, это можно сделать через графический интерфейс, либо командой, указав в ней имя коммутатора:\n1Remove-VMSwitch -SwitchName \u0026#34;VM_NAT\u0026#34; Связанный с коммутатором виртуальный сетевой адаптер будет удален автоматически.\n","id":"cafa696dfac4723eec125e2988ad0ff4","link":"https://interface31.ru/post/nastraivaem-set-nat-v-hyper-v/","section":"post","tags":["Hyper-V","NAT","Windows 10","Windows Server 2016","Виртуализация"],"title":"Настраиваем сеть NAT в Hyper-V"},{"body":"Продолжая тему подключения онлайн-касс, сегодня мы рассмотрим подключение устройств второго популярного производителя кассовой техники - компании ШТРИХ-М. В отличие от своего конкурента, у ШТРИХа не все так гладко при подключении касс через USB и даже официальная документация не отличается полнотой, предлагая только один, не самый удачный вариант настройки. Он не отличается стабильностью и справедливо вызывает множество нареканий, тем не менее при грамотной настройке онлайн-кассы ШТРИХ-М способны вполне стабильно работать в данном режиме. Как это сделать - мы расскажем в данной статье.\nВ очередной раз сделаем небольшое отступление и сразу предупредим вас: онлайн-кассы - это сложное и специфическое оборудование, которое требует для своего обслуживания наличия специальных знаний и опыта. Поэтому мы настоятельно не рекомендуем заниматься прошивкой и регистрацией касс самостоятельно, цена ошибки здесь может быть гораздо выше, чем стоимость услуг сервисных организаций. Тем более у некоторых моделей ШТРИХ-М превратить кассу в \u0026quot;кирпич\u0026quot; можно было при полностью штатной процедуре прошивки, т.е. не совершив со своей стороны ошибок в этом процессе.\nВторое предупреждение связано с 1С:Предприятие, в силу определенных особенностей реализации драйвера эта связка чувствительна к соответствию версий всех составляющих комплекса: версии прошивки ККТ, драйвера ШТРИХ-М и драйвера 1С (входит в состав конфигурации). При несовпадении версий касса либо будет работать с ошибками, либо вы ее подключите вообще. Комбинации новая прошивка - старый драйвер - старая конфигурация или старая прошивка - новый драйвер - новая конфигурация будут приводить к ошибкам при работе с кассой в 1С, а сочетания новый драйвер - старая конфигурация или старый драйвер - новая конфигурация не дадут подключить кассу вообще.\nОсновная линейка ККТ ШТРИХ невелика, всего три модели: Младшая - ШТРИХ-ON-LINE, как и полагается бюджетной модели, предполагает только USB или RS-232 подключение: На старших моделях присутствует дополнительно сетевой интерфейс, также кассы могут иметь на борту Wi-Fi адаптер. Но подключать ККТ по беспроводной сети, разве что кроме младшей модели, мы бы не рекомендовали, в реальных условиях такое подключение характеризуется большим временем отклика, что делает работу кассы \u0026quot;задумчивой\u0026quot;.\nСетевое подключение наиболее простое с точки зрения эксплуатации и настройки, но в младших моделях его нет, да и не всегда бывает возможным подвести к кассовому месту еще один сетевой кабель (часто это требует фактической переделки всей сети магазина). Поэтому остается только одна альтернатива - USB.\nБудем считать, что у вас на руках касса ШТРИХ с последней прошивкой, а также актуальная конфигурация 1С. Свежий драйвер ШТРИХ-М всегда можно скачать с сайта производителя. Если же вы перешли не по нашей ссылке, то просто выполните в разделе Скачать поиск по фразе \u0026quot;Драйвер ККТ\u0026quot;, в противном случае его поиск может превратиться в \u0026quot;увлекательный\u0026quot; квест. При установке драйвера обязательно выберите два компонента: Драйверы и тесты и Служба ofdconnect. Перейдем в Тест драйвера ФР - Настройка свойств. В открывшемся окне заполним параметры подключения: Локально с указанием используемого COM-порта и скорости. Затем нажмите Проверка связи и внизу вы должны увидеть наименование ККТ и ее серийный номер. Если подключиться не удается или вы сомневаетесь в правильности указания обмена, то нажмите Поиск оборудования, утилита определит нужные параметры автоматически: Имейте ввиду, что после технологического обновления ККТ имеет скорость порта 4800, а не 115200, если вы неправильно укажете скорость - связи с ККТ не будет. Поэтому обязательно обращайте внимание на этот параметр, а не только на номер порта.\nВсе настройки кассы хранятся в Таблицах, которые доступны по одноименной кнопке в окне Свойства. При их редактировании будьте внимательны, если не уверенны в своих действиях - предварительно сделайте экспорт. Ну а если совсем ничего не помогает или вы взяли кассу бывшую в эксплуатации, то лучшим решением будет сбросить таблицы на значения по умолчанию кнопкой Инициализировать. Из всего множества настроек практический интерес представляеттаблица 1 - Тип и режим кассы, где сосредоточено большинство самых востребованных настроек. Большинство опции интуитивно понятны, в остальных случаях следует обратиться к документации на вашу ККТ. Обратите внимание, что структура таблиц общая для всех моделей ККТ, поэтому часть опций могут быть неприменимы к вашей модели. Скажем, если в ней нет отрезчика, то настраивать его опции бесполезно, несмотря на то что они есть.\nВ таблице 4 - Текст в чеке можно отредактировать клише. Ненадолго вернемся в сам Тест драйвера. Пункт 01. Состояние позволяет получить разнообразную информацию о кассе: статус смены, наличие бумаги, состояние датчиков и т.д. и т.п. В разделе 03. Отчеты можно выполнить открытие / закрытие смены, снять отчет без гашения. Для работы с фискальным накопителем перейдите в 11. ФН, однако здесь нужно быть предельно осторожным, так как вам будут доступны потенциально деструктивные операции с накопителем. Закладка Данные позволяет получать информацию из фискального накопителя, например, мы можем получить содержимое документа (чека) по номеру и распечатать копию при необходимости. ЗакладкаОФД позволяет контролировать обмен с оператором фискальных данных и позволяет получить квитанцию по номеру фискального документа.\nОтдельного разговора заслуживает раздел 17. Прочее - Команда, который позволяет отправлять на кассу низкоуровневые команды. Очевидно, что использовать эту возможность надо осмотрительно, но в ряде случаев она способна сильно облегчить жизнь. Например, для удаленной перезагрузки ККТ ШТРИХ следует послать команду:\n1FE F3 00 00 00 00 Перевод ККТ в режим RNDIS Теперь, когда мы рассмотрели основные возможности драйвера, перейдем к настройке нашей кассы. Прежде всего переведем ее в режим RNDIS. Для этого откроем таблицу 21 - Сетевые интерфейсы и установим значение опции 9 - Rndis равным 1. После чего ККТ следует перезагрузить. После чего порт VCOM пропадет, но появится новый сетевой адаптер с типом Remote NDIS based Internet Sharing Device, по умолчанию ККТ имеет адрес 192.168.137.111, поэтому присваиваем адаптеру любой иной адрес из этой подсети, в нашем случае 192.168.137.1. Если вам необходимо изменить IP-адрес ККТ, от откорректируйте значения в таблице 16 - Сетевой адрес. Будьте внимательны, если вы введете некорректные значения, то получить доступ к кассе можно будет только через физический COM-порт или делать технологическое обнуление (требует вскрытия корпуса).\nСнова откроем Тест драйвера и укажем следующие параметры подключения: TCP-сокет, Адрес - 192.168.137.111, порт - 7778. Если все сделано правильно - связь с ККТ будет. Аналогичным образом будут выглядеть настройки ККТ ШТРИХ и для сетевого подключения. Для касс, работающих по Wi-Fi может потребоваться увеличить таймаут, если связь с ними будет нестабильной или ее не будет вообще (при условии видимости устройства в сети).\nПодключение ККТ к 1С:Предприятие Необходимый для работы ККТ ШТРИХ драйвер торгового оборудования поставляется в составе конфигурации и никаких дополнительных действий выполнять не надо. Создаем новый экземпляр оборудования, тип оборудования - ККТ с передачей данных, драйвер оборудования - ШТРИХ-М:ККТ с передачей данных в ОФД. Сохраним его и перейдем к настройкам, где укажем тип подключения TCP socket, а также IP-адрес и порт. В общем все тоже самое, что и в Тесте драйвера. Дальнейшая настройка зависит от используемой вами конфигурации и выходит за рамки данной статьи. Но в любом случае не забудьте указать адрес в настройках торговой точки и физическое лицо для пользователя, который будет работать с кассой. В противном случае при попытке пробить чек вы получите ошибку с сообщением что один из реквизитов не заполнен (Адрес или Кассир).\nНастройка работы с ОФД через службу OFDConnect В большинстве руководств обычно советуют расшарить на основном сетевом адаптере интернет. Но это не всегда возможно, да и работает такая связка нестабильно, поэтому компания ШТРИХ-М выпустила специальную службу - OFDConnect, которая теперь поставляется в составе драйвера, но документацию обновить не спешит, и многие, в том числе работники сервисных организация продолжают подключать ШТРИХи по-старинке.\nОткроем Тест драйвера и перейдем Настройка свойств - Дополнительные параметры - Настройка RNDIS/ОФД. Теперь важно правильно соблюсти последовательность действий: Прежде всего включим и запустим службу: кнопки Включить передачу данных и Активировать, по умолчанию служба будет использовать порт 7878, можете изменить это значение. Следующим шагом прочитаем необходимые настройки из ККТ одноименной кнопкой. Будет получен сетевой адрес кассы и параметры подключения к ОФД. Затем определим адрес RNDIS-адаптера, либо заполните это поле вручную. После чего нажмите Записать в ККТ, это изменит значения таблицы 19 - Параметры ОФД, заменив адрес сервера ОФД на адрес службы OFDConnect. Ниже показаны значения до и после. И наконец нажмем Применить изменения, что внесет необходимые изменения в конфигурацию службы, ККТ после этого будет необходимо перезагрузить.\nСама служба находится в C:\\Program Files (x86)\\SHTRIH-M\\DrvFR 4.14\\Bin\\OFDConnect и состоит из исполняемого файла и двух конфигурационных. Файл Settings.ini содержит настройки самой службы:\n1[settings] 2ServerPort=7878 3Log=1 4LogErrorsOnly=0 5LogFileCount=10 Как видим, настроек ровно столько, сколько было в графическом интерфейсе, каких-либо скрытых опций нет. Настройки касс хранятся в KKTProfiles.ini:\n1[KKT1] 2KKTAddress=192.168.137.111 3OFDAddress=connect.ofd-ya.ru 4OFDPort=7779 5OFDConnectionTimeout=25000 6OFDReadTimeout=25000 7KKTReadTimeout=15000 Таким образом мы можем и не использовать графический интерфейс для настройки, достаточно внести изменения в таблицу 19 и два конфигурационных файла, затем перезапустить службу (не забыв установить автоматический запуск) и перезагрузить кассу.\nПроконтролировать обмен с ОФД можно в логах, которые находятся здесь же в отдельной папке. Логи ведутся в текстовом формате и отображают процесс получения службой данных от ККТ, передачу их в ОФД, получение и запись в ККТ ответа от оператора. Дополнительный контроль можно осуществлять в личном кабинете ОФД, где должны появиться все пробитые чеки и документы открытия и закрытия смены.\nКак видим настройка ККТ ШТРИХ совместно с OFDConnect не представляет существенной сложности, не требует изменения сетевой конфигурации компьютера и обеспечивает стабильное, управляемое и диагностируемое решение. Данная схема неоднократно была опробована на практике и проверена длительным сроком работы, поэтому мы можем смело рекомендовать ее к применению.\n","id":"cb7972b0639f35e51a929f3a72914aed","link":"https://interface31.ru/post/podklyuchaem-kkt-shtrih-m-k-1spredpriyatie-83/","section":"post","tags":["1С Предприятие 8.х","Автоматизация","ККТ","Торговое оборудование","ШТРИХ-М"],"title":"Подключаем ККТ ШТРИХ-М к 1С:Предприятие 8.3"},{"body":"Резервное копирование - это одно из наиболее важных мероприятий в работе системного администратора, но по иронии судьбы о нем обычно вспоминают тогда, когда ничто иное помочь уже не способно. Роутеры Mikrotik не исключение. Широкие возможности RouterOS предполагают гораздо более сложные сетевые конфигурации, нежели у обычных, \u0026quot;бытовых\u0026quot;, роутеров, поэтому восстановить все заново бывает весьма и весьма затруднительно, даже если вы точно помните все тонкости настройки. А чтобы до этого не дошло, стоит позаботиться о резервных копиях уже сейчас.\nПродукция Mikrotik заслуженно славится своей надежностью, но это часто способно сыграть с администратором злую шутку. Ведь если все годами работает, то и резервную копию можно лишний раз не сделать... Согласитесь, такая мысль эпизодически посещала каждого из нас. Поэтому резервное копирование должны быть автоматическим, полностью исключая человеческий фактор. В критической ситуации вариант \u0026quot;есть какой-то бекап\u0026quot; гораздо веселее варианта \u0026quot;никаких бекапов нет\u0026quot;. А регулярный автоматический бекап позволяет перестать беспокоиться и спокойно заниматься иными делами.\nВ каких случаях вам может понадобиться восстанавливать Mikrotik из резервной копии? Самое очевидное - физический выход устройства из строя или критический сбой, в результате которого прошивка будет повреждена. Затем идет неудачное обновление (хотя это случается довольно редко) и ошибки администрирования.\nНапример, не так давно один мой коллега случайно выключил внутренний мост, при том, что снаружи доступ к устройству был запрещен. Управление устройством было потеряно, сеть оказалась отрезана от внешнего мира. Но благодаря наличию резервных копий восстановление заняло считанные минуты: сбросить конфигурацию устройства и залить в него последний бекап. Большинство пользователей даже ничего не заметило.\nИтак, нам нужно организовать резервное копирование конфигурации Mikrotik. На помощь нам придет скриптовый язык RouterOS, возможность создавать и выполнять собственный скрипты на всей линейке роутеров трудно переоценить. Но хранить бекапы нужно отдельно от самого устройства и здесь нам доступны два варианта: отправлять их на почту или FTP-сервер.\nВариант с почтой можно назвать условно приемлемым если у вас одно-два устройства. Если же счет им идет на десятки, то вы получите форменное захламление почтового ящика и очень сложный контроль за наличием актуальных копий.\nВ этом плане FTP выглядит гораздо более привлекательно. Не нужно гадать, выполнил ли роутер бекап, или это антиспам \u0026quot;балуется\u0026quot;, если в директории нет свежих бекапов - значит есть какие-то проблемы и нужно действовать.\nЕще один тонкий момент. Mikrotik предлагает нам два варианта резервного копирования :выгрузка резервной копии устройства, которую можно восстановить только на аналогичном устройстве, и экспорт настроек в текстовом формате, которые можно импортировать полностью или частично на любое устройство.\nПолный бекап содержит в себе все ключи, сертификаты, админские пароли и т.д, поэтому его крайне нежелательно выгружать в незашифрованном виде. Экспортированный текстовый файл критически важных данных не содержит, но в нем открытым текстом содержатся пароли к Wi-Fi, коммутируемым соединениям и т.д. Поэтому при его хранении тоже следует соблюдать определенные меры безопасности.\nИсходя из этих соображений мы будем выгружать и хранить оба варианта. Для этих целей мы написали небольшой и достаточно простой скрипт, несмотря на то что подобных скриптов доступно достаточно большое количество, мы постарались сделать его наиболее понятным и универсальным.\n1#Резервное копирование конфигурации Mikrotik 2#Получаем дату в формате дд-мм-гггг 3 4:local tmpdate [/system clock get date]; 5:local months (\u0026#34;jan\u0026#34;,\u0026#34;feb\u0026#34;,\u0026#34;mar\u0026#34;,\u0026#34;apr\u0026#34;,\u0026#34;may\u0026#34;,\u0026#34;jun\u0026#34;,\u0026#34;jul\u0026#34;,\u0026#34;aug\u0026#34;,\u0026#34;sep\u0026#34;,\u0026#34;oct\u0026#34;,\u0026#34;nov\u0026#34;,\u0026#34;dec\u0026#34;); 6:local month [ :pick $tmpdate 0 3 ]; 7:local mm ([ :find $months $month -1 ] + 1); 8:if ($mm \u0026lt; 10) do={ :set mm (\u0026#34;0\u0026#34; . $mm); } 9:local date ([:pick $tmpdate 4 6] .\u0026#34;-\u0026#34; . $mm .\u0026#34;-\u0026#34; . [:pick $tmpdate 7 11]) 10 11#Задаем переменные и параметры доступа к FTP 12 13:local myname \u0026#34;M2-hAP-ac-lite\u0026#34; 14:local fname ($myname.\u0026#34;_\u0026#34;.$date); 15:local bname ($myname.\u0026#34;_\u0026#34;.$date.\u0026#34;.backup\u0026#34;); 16:local ename ($myname.\u0026#34;_\u0026#34;.$date.\u0026#34;.rsc\u0026#34;); 17:local ftpuser \u0026#34;mikrotik\u0026#34;; 18:local ftppass \u0026#34;mYPa$$word\u0026#34;; 19:local ftpaddr \u0026#34;203.0.113.21\u0026#34;; 20 21#Выгружаем настройки 22 23/system backup save name=$fname password=BackPa$$word; 24:delay 10; 25/export file=$fname 26:delay 10; 27 28#Загружаем конфигурацию на FTP 29 30/tool fetch address=$ftpaddr src-path=$bname user=$ftpuser password=$ftppass port=21 upload=yes mode=ftp dst-path=$bname 31:delay 15; 32/tool fetch address=$ftpaddr src-path=$ename user=$ftpuser password=$ftppass port=21 upload=yes mode=ftp dst-path=$ename 33:delay 15; 34 35#Удаляем файлы с устройства 36 37/file remove $bname; 38/file remove $ename; Первый блок может показаться избыточно сложным, но это связано с тем, что Mikrotik возвращает месяц в виде трехбуквенной аббревиатуры, а для хранения бекапов лучше использовать полностью цифровые значения даты.\nЗатем задаем переменные. Как можно заметить, мы задали несколько переменных с именами файлов. Этого можно было не делать и формировать нужные имена прямо в скрипте, но в этом случае сильно страдает его читабельность. Мы не советуем этим пренебрегать, потому что впоследствии, когда подробности уже забудутся, разобраться с сложном скрипте будет сложнее, нежели в простом.\nДалее должно быть все понятно, во многом благодаря нашим немного избыточным переменным. Выгружаем полный бекап и экспортируем конфигурацию, отправляем на FTP, удаляем с устройства.\nТеперь перейдем на целевое устройство: System - Scripts и создадим новый скрипт: Прежде всего укажем имя скрипта, так как нам потребуется вызывать его в дальнейшем, пробелов в имени быть не должно. Выставляем политики как на скриншоте, хотя это не особо критично, и копируем в поле Source наш скрипт.\nДля того, чтобы отличать конфигурации друг от друга задайте уникальную переменную myname. Лично мы используем следующий шаблон:\n1[идентификатор организации/места нахождения устройства] - [наименование устройства] Это позволяет быстро определить чей это бекап и для какого устройства предназначен. Хотя вы можете использовать любую свою систему, либо указать любое имя, которое вам нравится.\nПосле того, как вы создали скрипт его следует проверить, нажмите Run Script и убедитесь, что он делает все как вам надо. Обязательно проверьте со стороны FTP что файлы приходят и их можно восстановить.\nВсе работает? Отлично! Самое время добавить его в планировщик. Откроем System - Scheduler и добавим новое задание: Имя задания может быть любым, а вот остальные опции нуждаются в пояснениях. Прежде всего определимся, с какой частотой мы хотим делать копии. Лично мы делаем резервное копирование раз в неделю, по воскресениям. Поэтому в Start Date указываем дату прошлого воскресения, в Start Time - время начала выполнения задания, в нашем случае - десять минут после полуночи. В поле Interval указываем периодичность повторения задания - ровно 7 дней.\nВыставляем политики как на скриншоте, что снова некритично, и в поле On Event указываем команду запуска созданного нами скрипта:\n1/system script run backup_to_ftp где backup_to_ftp - его имя.\nТеперь каждое воскресение в указанное время ваше устройство будет делать две резервные копии конфигурации и отправлять их на FTP-сервер. Если устройств несколько, то мы советуем разнести их по времени, чтобы их задания не пересекались.\n","id":"287fe884cb7eae8e5c7948f9d4eb46c3","link":"https://interface31.ru/post/avtomaticheskoe-rezervnoe-kopirovanie-nastroek-mikrotik-na-ftp/","section":"post","tags":["MikroTik","Резервное копирование"],"title":"Автоматическое резервное копирование настроек Mikrotik на FTP"},{"body":"","id":"ce9a82f2d919025ebaa63dcd4d0aef43","link":"https://interface31.ru/archives/","section":"","tags":null,"title":""},{"body":"Хорошо говорить об отечественном ПО у нас почему-то не принято. Да, многие образцы ведомственных программ представляют шедевры криворукости, но это не повод мазать всю отрасль одной краской. Сегодня существует определенный ажиотаж вокруг отечественной ОС и темы импортозамещения. Если отбросить отсюда всю информационную мишуру, то мы не видим в данной затее ничего плохого, особенно если речь идет об информационных структурах государственных и силовых ведомств. Сегодня мы решили рассмотреть отечественную ОС Astra Linux, недавно получившую допуск для работы с данными высшей степени секретности.\nВ отличие от недавно рассмотренного нами Эльбруса, который был выложен в виде мало к чему пригодного полуфабриката, Astra Linux является завершенным коммерческим продуктом. Существуют две основных редакции ОС: общего назначения (Common Edition) - релиз \u0026quot;Орел\u0026quot; и специального назначения (Special Edition) - релиз \u0026quot;Смоленск\u0026quot;. Понятно, что все доступы и сертификаты имеет ОС специального назначения и просто так получить ее не представляется возможным, в то же время \u0026quot;Орел\u0026quot; доступен всем желающим и бесплатен для некоммерческого применения.\nЧтобы сразу пресечь спекуляции по поводу платного Linux, скажем, что свободное ПО не ставит знак равенства с бесплатным. Хотя мы и считаем, что финансирование отечественной ОС должно производиться государством, коммерческая модель здесь тоже имеет место и если деньги за систему пойдут отечественным разработчикам - ничего плохого в этом не будет. Тем более основные заказчики Astra Linux - это силовые ведомства, а там свои методы финансирования и взаимоотношений с подрядчиками.\nС учетом того, что Astra Linux в полной мере поддерживает отечественную криптографию, цена лицензии на ОС общего назначения не так уж велика.\nНо не будем долго растекаться мыслью по дереву, а собственными глазами посмотрим на продукт отечественных разработчиков. Astra Linux основан на базе Debian, поэтому уже становится понятно, что нам следует ожидать и как должна работать данная ОС. Debian - хорошая система, стабильная, с большим набором ПО и документации, а также наиболее свободная из основных дистрибутивов (никакая зарубежная корпорация за ней не стоит), поэтому ее выбор за основу вполне обоснован. Инсталлятор представляет собой стандартный инсталлятор Debian, поэтому мы не будем подробно на нем останавливаться, все привычно и понятно. Сразу обратим внимание на предлагаемый выбор ПО, а именно на графическую оболочку Fly, которая является собственной разработкой. Это сразу ставит Astra Linux несколько особняком от других дистрибутивов на базе Debain, собственными графическими оболочками могут похвастаться немногие из них. Что касается набора ПО, то для рабочей станции он достаточно сбалансирован, а что-то специализированное всегда можно поставить отдельно, специалисты обычно знают, что им нужно, а простому пользователю обилие \u0026quot;непонятных\u0026quot; пакетов ни к чему.\nОтдельно предлагается ряд специфичных настроек, скажем, возможность использовать ядро Hardened, включающее в себя дополнительные настройки безопасности или возможность использовать службу ALD (Astra Linux Directory). Про нее следует сказать отдельно, это не очередная свободная реализация Active Directory, а полностью самостоятельная разработка с прицелом на создание собственной доменной системы. Процитируем разработчиков:\nПри разработке ALD задача имитации контроллера домена Microsft Windows не решалась. Таким образом, включение машины ОС Microsft Windows в домен ALD штатными средствами ОС Microsft Windows невозможно. Установив в ОС Microsft Windows клиента MIT Kerberos вы сможете получить билеты Kerberos на сервере ALD. Далее вы получите доступ к серверам печати, СУБД, WEB и электронной почты в сеансе с нулевыми мандатными атрибутами. Если вам необходимо получать доступ к ресурсам серверов, работающих под управлением Astra Linux, в ненулевом мандатном контексте, то вам необходимо самостоятельно разработать клиента ALD под Microsft Windows.\nМожет показаться, что разработчики изобретают очередной велосипед, но это не так, обычные, \u0026quot;гражданские\u0026quot; системы, в том числе и Active Directory, применяют дискреционное (избирательное) управление доступом. Это предполагает, что у каждого объекта системы есть свой владелец, который и устанавливает права доступа к нему, также может быть суперпользователь (Администратор, root и т.д.) который может изменить владельца и права доступа к любому объекту. мандатное (принудительное) управление доступом, основанное на имеющихся у субъекта уровнях доступа.\nПростой пример: допустим Василий на некоторое время был переведен в отдел A, получил на файловом сервере свою папку и работал в ней с документами, потом вернулся в отдел B. При избирательном доступе Василий потеряет доступ к папкам отдела А, но сохранит доступ к собственной папке и файлам, так как является их владельцем. При мандатном доступе, покинув отдел А от потеряет право доступа к документам с отметкой \u0026quot;для служебного использования\u0026quot;, в том числе и к тем, что он создал.\nAstra Linux Directory как раз представляет реализацию домена с мандатной системой и никоим образом не заменяет и не подменяет Active Directory, представляя систему с принципиально иным подходом к разграничению прав доступа.\nВ остальном процесс установки ничем не отличается от Debian и каких-либо затруднений не вызывает. Окно входа в систему выполнено достаточно аккуратно, преимущественно в плоском стиле, в строгой цветовой гамме. После входа в систему нас встречает рабочий стол. От былой аляповатости не осталось и следа, все строго и выверено. И если встречать по одежке, то здесь у Astra Linux все хорошо, а сам рабочий стол чем-то напоминает KDE и Windows одновременно, представляя собой классическое рабочее пространство, что не должно вызвать сложностей с его освоением. Меню Пуск также выполнено в классическом стиле и ему не хватает интерактивного поиска, но в остальном впечатления только приятные. Набор прикладного софта преимущественно стандартный, входящий в актуальный Debain, подобран хорошо и закрывает большинство потребностей пользователя из коробки. Терминал также собственный, с поддержкой вкладок, вкладки можно называть по собственному усмотрению, что весьма удобно. Также система имеет собственные репозитории, выше на скриншоте мы как раз запустили процесс обновления.\nФайловый менеджер довольно прост, на уровне простых оболочек вроде XFCE или LXDE, но понятен и удобен в работе. Но есть и интересные \u0026quot;фишки\u0026quot; вроде двухпанельного режима: Также обращает внимание довольно скромное потребление системных ресурсов, на виртуальной машине с 2 ГБ памяти Astra Linux чувствует себя достаточно комфортно.\nВ качестве офисного пакета используется LibreOffice с плоской темой, отлично вписываясь в общий вид системы, некоторое недоумение вызвал только калькулятор. Нет, он очень крутой, но большинству этого не надо. Даже если говорить за себя, то такой калькулятор нам нужен, но не на каждый день. Тем более что в репозиториях мы нашли более привычный вариант: Игры и Linux до сих пор остаются в напряженных отношениях, так и здесь, в комплекте идет пару простейших игр типа сапера, древняя стратегия и неожиданно для себя мы обнаружили достаточно неплохой платформер, на обеде в офисе будет чем заняться. Панель управления также несет в себе сильное влияние Windows и в данном случае это хорошо, пользователь получает более-менее привычные инструменты, что позволяет решать многие задачи просто по аналогии. Скажем настройка автозагрузки: Или переменных окружения: Понятные русские описания опций заслуживают отдельного внимания. Вроде бы мелочь, но из таких мелочей и складывается впечатление о продукте.\nОдним из недостатков системы некоторые обозреватели ставят отсутствие магазина приложений. Да это так, и это можно было бы записать в недостаток, если бы не четкое позиционирование данной системы для государственных и силовых учреждений. Спросите любого системного администратора что он думает о магазине в Windows 10, узнаете много интересного, скорее всего в непечатной форме. Исходя из этого, отсутствие магазина становится не столь критичным. Нужное ПО установит администратор, а у пользователей будет меньше соблазнов.\nИз графических инструментов доступен привычный Synaptic и простая утилита для обновления: Второй из озвучиваемых недостатков - слабая поддержка Samba из коробки. Действительно, ее нужно настраивать руками. Хотя, учитывая стремление разработчиков к собственной экосистеме со своим доменом, это выглядит вполне обоснованным. Там, где будет применяться Astra Linux, особенно специальный выпуск, взаимодействие с Windows машинами будет далеко не самой главной задачей, а скорее наоборот.\nНу а при необходимости нормальный администратор все быстро настроит, Samba она везде одинаковая. Также можно скачать из репозитория графический инструмент управления, который поможет быстро расшарить папку. В целом же система очень приятна, как по внешнему виду, так по комфорту работы. Существенных недостатков мы не обнаружили, а описанные выше явно притянуты за уши, особенно если учитывать назначение системы.\nТак как у нас система общего назначения, то попробуем установить что-нибудь со стороны, для этого выпуска это вполне допустимо, в отличии от систем специального назначения. Попробуем скачать и установить Google Chrome. Никаких проблем у нас при этом не возникло, а все зависимости подтянулись из собственных репозиториев дистрибутива. Как видим, система не ставит никаких палок в колеса и позволяет без проблем ставить сторонние пакеты, подключать сторонние репозитории и вам доступны все возможности экосистемы Debian.\nНо мы пошли дальше, попробовав установить клиентскую часть 1С:Предприятие, что не вызвало у нас ни малейших затруднений. За все время работы в Astra Linux у нас не возникло каких-либо серьезных проблем. По большинству ощущений это все тот же Debain, если вы умеете работать с ним или его производными, то и с Astra проблем не возникнет. Но в тоже время Astra Linux не просто еще один Debian, многие пакеты, такие как SSH, OpenVPN, веб-сервера скомпилированы с поддержкой отечественной криптографии, что важно для определенных сфер применения.\nВ заключение хочется сказать, что Astra Linux нам понравился. Это хорошая отечественная система с довольно специфичными областями применения, но в тоже время она выглядит очень достойно и в качестве дистрибутива общего назначения. И особенно приятно, что она идет против всех сложившихся стереотипов о российском ПО, представляя пример отличного современного дистрибутива с собственной графической оболочкой и внимательным подходом к мелочам.\n","id":"a1cf86eaaf293f78e6bbda1a3eb420a9","link":"https://interface31.ru/post/astra-linux-212-orel-izbavlyaemsya-ot-stereotipov-o-rossiyskom-po/","section":"post","tags":["Astra Linux","Debian","Linux","Импортозамещение"],"title":"Astra Linux 2.12 Orel - избавляемся от стереотипов о российском ПО"},{"body":"Решения на базе Squid пользуются заслуженной популярностью у системных администраторов как мощное и гибкое средство контроля за интернет трафиком. Отдельного внимания заслуживают богатые возможности фильтрации, позволяющие ограничить доступ для определенных групп пользователей к нежелательным интернет ресурсам. Широкое внедрение шифрования в последние годы сделало процесс фильтрации несколько затруднительным, но и здесь Squid придет нам на помощь, как это сделать мы расскажем в этой статье.\nДанный материал во многом повторяет нашу предыдущую инструкцию Ubuntu Server. Настраиваем роутер NAT + DHCP + Squid3, благо никаких принципиальных изменений в процессе настройки с тех пор не произошло. Поэтому мы не будем подробно останавливаться на повторяющихся настройках, а просто приведем необходимые участки конфигурационных файлов с минимальными пояснениями. В нашем случае использовался Debian 9, но данная статья будет справедлива для любого основанного на Debian / Ubuntu дистрибутиве.\nНастройка сети В данном примере у нас будет статическая настройка внешнего сетевого интерфейса, если же вы используете динамические подключение, такие как PPPoE или PPTP, то для их настройки обратитесь к соответствующим инструкциям (по ссылкам).\nДля настройки сети откроем файл /etc/network/interfaces:\n1nano /etc/network/interfaces И внесем в него следующие изменения (названия интерфейсов и адреса указаны только для примера):\n1auto ens33 2 iface ens33 inet static 3 address 172.18.0.106 4 netmask 255.255.240.0 5 gateway 172.18.0.1 6 dns-nameservers 172.18.0.1 7 8auto ens34 9 iface ens34 inet static 10 address 192.168.187.1 11 netmask 255.255.255.0 12 13post-up /etc/nat Если внешний интерфейс получает настройки по DHCP, то используйте следующие настройки:\n1auto ens33 2allow-hotplug ens33 3 iface ens33 inet dhcp Сразу создадим файл для хранения настроек брандмауэра и сделаем его исполняемым:\n1touch /etc/nat 2chmod +x /etc/nat Перезапустим сеть:\n1service networking restart После чего у вас на сервере должен появиться интернет, сразу следует обновить систему и установить необходимый минимум утилит для администрирования:\n1apt update 2apt upgrade 3apt install mc ssh Настройка NAT и брандмауэра Существуют разные взгляды на настройку брандмауэра, но общепринятой является схема с нормально открытым брандмауэром для внутренней сети (разрешено все, что не запрещено) и нормально закрытым для внешней (запрещено все, что не разрешено). Ниже будет приведена минимально достаточная конфигурация.\nОткроем созданный нами файл /etc/nat и внесем в него следующие строки:\n1#!/bin/sh 2 3# Включаем форвардинг пакетов 4echo 1 \u0026gt; /proc/sys/net/ipv4/ip_forward 5 6# Сбрасываем настройки брандмауэра 7iptables -F 8iptables -X 9iptables -t nat -F 10iptables -t nat -X 11 12# Разрешаем доступ из локальной сети 13iptables -A INPUT -i ens34 -j ACCEPT 14 15# Разрешаем инициированные нами подключения извне 16iptables -A INPUT -i ens33 -m state --state ESTABLISHED,RELATED -j ACCEPT 17 18# Разрешаем подключения по SSH 19iptables -A INPUT -i ens33 -p tcp --dport 22 -j ACCEPT 20 21#Запрещаем входящие извне 22iptables -A INPUT -i ens33 -j DROP 23 24# Разрешаем инициированные нами транзитные подключения извне 25iptables -A FORWARD -i ens33 -o ens34 -m state --state ESTABLISHED,RELATED -j ACCEPT 26 27# Запрещаем транзитный трафик извне 28iptables -A FORWARD -i ens33 -o ens34 -j DROP 29 30# Включаем маскарадинг для локальной сети 31iptables -t nat -A POSTROUTING -o ens33 -s 192.168.187.0/24 -j MASQUERADE Чтобы применить изменения просто запустим измененный файл:\n1/etc/nat Убедиться, что правила применились мы можем командами:\n1iptables -L -vn 2iptables -t nat -L -vn Если теперь вручную настроить сеть на рабочей станции, указав роутер в качестве шлюза с использованием DNS-сервера провайдера (или публичного), вы должны попасть в интернет.\nНастройка DHCP и кеширующего DNS В наших решениях эту роль обычно исполняет dnsmasq, не будем отступать от традиций и в этот раз. Установим данный пакет:\n1apt install dnsmasq Для настройки откроем файл /etc/dnsmasq.conf и внесем некоторые изменения. Прежде всего ограничим адреса, которые будут слушать наши службы:\n1listen-address=127.0.0.1, 192.168.187.1 Затем зададим пул для выдачи адресов через DHCP и срок аренды:\n1dhcp-range=192.168.187.120,192.168.187.199,255.255.255.0,12h Для одноранговой сети будет неплохо указать DNS-суффикс, чтобы избежать сложностей с разрешением плоских имен:\n1local=/interface31.lab/ Перезапустим службу:\n1service dnsmasq restart Теперь проверим получение адреса на клиенте и возможность доступа с него в интернет, если вы не допустили ошибок, то все должно работать. Просмотреть список выданных в аренду адресов можно командой:\n1cat /var/lib/misc/dnsmasq.leases Настройка прокси-сервера Squid3 с поддержкой SSL К сожалению, в репозиториях нет пакета squid с поддержкой SSL, поэтому потребуется собрать его самому, как это сделать мы рассказывали в статье Сборка Squid 3.5 с поддержкой SSL из исходных кодов для Debian / Ubuntu, поэтому будем считать, что вы уже выполнили эту процедуру, либо используете уже собранные нами пакеты.\nБудем считать, что собранные пакеты squid скачаны и располагаются в отдельной директории. Перейдем в нее и установим пакеты командой:\n1dpkg -i squid*.deb В процессе установки вы получите сообщения о неудовлетворенных зависимостях, поэтому разрешим их командой:\n1apt install -f Чтобы наши пакеты не были перезаписаны пакетами из репозитория при обновлении их следует зафиксировать:\n1apt-mark hold squid 2apt-mark hold squid-common 3apt-mark hold squidclient Если у вас был уже установлен squid, то просто удалите его и установите наши пакеты, все настройки при этом будут подхвачены автоматически, хотя на всякий случай сохраните куда-нибудь файл конфигурации:\n1cp /etc/squid/squid.conf /root/squid.conf.back Установив пакеты с поддержкой SSL, перейдем к конфигурированию нашего прокси. Для этого откроем файл /etc/squid/squid.conf, все указанные ниже опции надо либо найти и раскомментировать, приведя к указанному виду, либо создать.\nСледующий блок, задающий стандартные ACL-элементы присутствует по умолчанию:\n1acl localnet src 192.168.187.0/24 # RFC1918 possible internal network 2acl SSL_ports port 443 3acl Safe_ports port 80 # http 4acl Safe_ports port 21 # ftp 5acl Safe_ports port 443 # https 6acl Safe_ports port 70 # gopher 7acl Safe_ports port 210 # wais 8acl Safe_ports port 1025-65535 # unregistered ports 9acl Safe_ports port 280 # http-mgmt 10acl Safe_ports port 488 # gss-http 11acl Safe_ports port 591 # filemaker 12acl Safe_ports port 777 # multiling http 13acl CONNECT method CONNECT В нем мы должны изменить только опцию acl localnet src - указав диапазон собственной локальной сети.\nЗатем добавим несколько своих списков, прежде всего укажем диапазон адресов офисных ПК, которые мы раздаем по DHCP, это будут основные кандидаты на применение к ним правил фильтрации:\n1acl office src 192.168.187.120-192.168.187.199 Затем идет элемент со списком значений \u0026quot;черного списка\u0026quot;, который хранится в виде regex-выражений в файле /etc/squid/blacklist:\n1acl blacklist url_regex -i \u0026#34;/etc/squid/blacklist\u0026#34; В принципе, мы можем использовать общий список для фильтрации HTTP и HTTPS, но лучше будет разделить списки. Во-первых, HTTP позволяет фильтровать по части URL, блокируя не весь сайт, а только некоторые его страницы или разделы. Во-вторых, чем больше список - тем выше нагрузка, а так как сайты редко работают сразу по обоим протоколам, то логично будет иметь свои варианты списков для каждого из них.\nТакже помните, что фильтровать защищенные соединения мы можем только по имени домена, никакие параметры URL учитываться не будут. Для того, чтобы заблокировать домен часто используют следующее выражение:\n1vk\\.com Но это заблокирует не только vk.com, но и все сайты с окончанием на vk.com, скажем mvk.com. Чтобы этого избежать, при этом надежно заблокировав домен с поддоменами, следует использовать конструкцию:\n1^([A-Za-z0-9.-]*\\.)?vk\\.com Для проверки созданных вами регулярных выражений мы рекомендуем использовать онлайн-сервис Regex101.\nСледующий блок также является стандартным, просто контролируем его наличие:\n1http_access deny !Safe_ports 2http_access deny CONNECT !SSL_ports 3http_access allow localhost manager 4http_access deny manager После чего добавим свое правило для фильтрации HTTP-трафика:\n1http_access deny blacklist office Которое запретит для всех ПК офиса доступ к ресурсам перечисленным в черном списке. Далее следует стандартный набор списков доступа:\n1http_access allow localnet 2http_access allow localhost 3http_access deny all Это самый простой вариант, но тем не менее достаточный в качестве примера.\nТеперь укажем порты для работы с шифрованным и нешифрованным трафиком, для прозрачного режима это должно выглядеть так:\n1http_port 3128 intercept 2https_port 3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squid.pem Для непрозрачного:\n1http_port 3128 ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squid.pem В параметрах HTTPS-порта задаются рекомендованные опции (ALL) и выключаются небезопасные устаревшие протоколы SSLv2 и SSLv3, также указывается сертификат squid, который мы создадим позже.\nНиже укажем ряд необходимых опций:\n1always_direct allow all 2sslproxy_cert_error allow all 3sslproxy_flags DONT_VERIFY_PEER Первая опция указывает направлять весь трафик сразу в интернет, без использования вышестоящих кешей, а последние две разрешают соединение даже с ошибками проверки сертификата, так как окончательно решение о посещении такого ресурса должен осуществлять пользователь, а не сервер.\nЗададим черный список для SSL:\n1acl blacklist_ssl ssl::server_name_regex -i \u0026#34;/etc/squid/blacklist_ssl\u0026#34; Как было сказано выше, мы будем использовать раздельные списки, данный список будет хранится в файле /etc/squid/blacklist_ssl и также содержать регулярные выражения, описывающие блокируемые домены.\nСледующий элемент указывает на глубину перехвата HTTPS-трафика, нам нужен только домен, поэтому ограничимся минимальным вмешательством:\n1acl step1 at_step SslBump1 А теперь укажем, что делать с защищенным трафиком:\n1ssl_bump peek step1 2ssl_bump terminate blacklist_ssl office 3ssl_bump splice all Действие peek \u0026quot;заглядывает\u0026quot; в соединение на указанную нами глубину, terminate блокирует соединения по совпадению условий (черный список + офисный диапазон адресов) и наконец splice разрешает все остальные соединения, не вмешиваясь в них.\nСледующая опция также необходима для работы squid с SSL:\n1sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB Также обязательно укажем DNS-сервер, который следует использовать squid, он должен обязательно совпадать с DNS-сервером, используемым клиентами, в нашем случае это dnsmasq, в доменной сети следует указать доменные DNS:\n1dns_nameservers 127.0.0.1 Ниже приведены параметры кеша:\n1cache_mem 512 MB 2 maximum_object_size_in_memory 512 KB 3 memory_replacement_policy lru 4cache_dir aufs /var/spool/squid 2048 16 256 И настройка логов:\n1access_log daemon:/var/log/squid/access.log squid 2logfile_rotate 7 В нашем случае используется 7 ротаций (неделя), поэтому установите нужное вам значение.\nСохраняем конфигурационный файл, но не будем пока перезапускать squid, так как у нас отсутствуют некоторое объекты, перечисленные в конфигурации. Прежде всего создадим файл черного списка:\n1touch /etc/squid/blacklist_ssl Либо можем скопировать уже существующий:\n1cp /etc/squid/blacklist /etc/squid/blacklist_ssl Для примера мы заблокировали две популярные соцсети использовав следующие записи:\n1^([A-Za-z0-9.-]*\\.)?vk\\.com 2^([A-Za-z0-9.-]*\\.)?ok\\.ru Затем создадим сертификат для squid:\n1openssl req -new -newkey rsa:1024 -days 3650 -nodes -x509 -keyout squid.pem -out squid.pem Так как он нужен сугубо для прокси и ни на что не влияет, то мы указали срок его действия в 10 лет, что позволит забыть о нем в обозримом будущем (с учетом того, что про него и так забудут).\nВот теперь можем проверить конфигурацию:\n1squid -k check Остановим прокси, перестроим кеш (так как мы изменили его параметры) и запустим заново:\n1service squid stop 2squid -z 3service squid start Если вы используете прозрачный режим, то в конец файла /etc/nat добавьте следующие строки:\n1# Заворачиваем http на прокси 2iptables -t nat -A PREROUTING -i ens34 ! -d 192.168.187.0/24 -p tcp --dport 80 -j REDIRECT --to-ports 3128 3 4# Заворачиваем https на прокси 5iptables -t nat -A PREROUTING -i ens34 ! -d 192.168.187.0/24 -p tcp --dport 443 -j REDIRECT --to-ports 3129 Для непрозрачного режима следует настроить WPAD, для автоматической настройки параметров прокси на клиентах (прописывать настройки руками в 21 веке дурной тон).\nПроверим доступ к запрещенному ресурсу, как видим - все работает: Ошибка \u0026quot;local IP does not match any domain IP\u0026quot; Внешне данная ошибка проявляется в том, что squid в прозрачном режиме разрывает соединение с защищенным сайтом, регистрируя ошибку с указанным текстом в лог. Фактически такое поведение squid не является ошибкой, а связано со старой уязвимостью CVE-2009-0801, которая позволяла в прозрачном режиме обходить систему контроля доступа путем изменения HTTP-заголовков.\nКоротко суть проблемы состоит в следующем: один и тот же ресурс на клиенте и на сервере разрешается в разные IP-адреса, этому в основном подвержены крупные ресурсы, имеющие несколько адресов для одного домена, а также сайты, использующие различные CDN (например, CloudFlare). Для squid такая ситуация равносильна попытке подмены заголовка, и он разрывает соединение.\nНекоторые инструкции в сети советуют при сборке наложить патч client_side_request.patch, который по сути вернет уязвимость обратно. Заявления автора патча, что он не несет угрозы безопасности с отсылкой к одному из разработчиков squid не совсем верно отражают суть проблемы. Действительно, данная уязвимость никак не отражается на безопасности самого прокси-сервера, она позволяет клиентам, при определенных условиях, обойти его систему контроля доступа.\nКак избежать данной ситуации? Использовать общий DNS-сервер как для клиента, так для прокси-сервера, мы обращали на это ваше внимание при описании соответствующей опции. Но не все так просто, ситуацию осложняет локальный DNS-кеш, который присутствует на любом клиенте и может содержать иную запись, нежели локальный кеш сервера. И добиться полной синхронизации кешей будет довольно сложно.\nОднако данная проблема встречается не так часто, поэтому вполне будет достаточно очистить клиентский кеш и начать использовать общий DNS-сервер, но 100% гарантией избавления от проблемы это не будет.\nКак решить вопрос окончательно? Ответ прост: не использовать прозрачный режим. Если трезво глянуть на ситуацию, то его достоинства по большей части преувеличены, у прозрачного прокси нет никаких существенных преимуществ, кроме простоты настройки. Протокол WPAD не только позволяет автоматически настраивать параметры прокси на клиентах, но и предоставляет большую гибкость в определении того, какой трафик пускать через прокси, а какой напрямую, прост во внедрении и поддерживается всеми типами клиентов.\nНадеемся, что данная статья окажется вам полезна и поможет начать эффективно фильтровать защищенные соединения при помощи прокси-сервера squid.\n","id":"1c89a75af27e98e8f44b6352ccf09412","link":"https://interface31.ru/post/router-nat-dhcp-squid3-s-podderzhkoy-ssl-trafika/","section":"post","tags":["Debian","DHCP","dns","DNS","Dnsmasq","iptables","Squid","SSL","Ubuntu Server","Сетевые технологии"],"title":"Настраиваем роутер NAT + DHCP + Squid3 с поддержкой фильтрации SSL-трафика"},{"body":"Со службами DHCP и DNS знакомы, пожалуй все, ведь это базовые службы для сетей любого размера. Но их настройка обычно сводится к установке базовых параметров и затем о них забывают. Действительно, ну что может быть в них интересного, особенно если это неполноценные сервера, а службы роутера. Это так, если говорить о бытовых роутерах, где пользователю стараются не давать в руки лишних инструментов, но RouterOS рассчитана на иную аудиторию и предоставляет широкий спектр возможностей, которыми глупо не воспользоваться.\nDNS (Domain Name System) В отличие от DHCP считается, что свой DNS - это удел крупных сетей, а небольшие организации вполне могут жить и без нее, используя сервера провайдера или публичные сервера. Отчасти это так, но упуская из своих рук одну из ключевых сетевых служб администратор теряет многие инструменты контроля и управления в собственной сети.\nКак работает система DNS мы рассказывали в одной из наших статей, рекомендуем ее к прочтению, особенно если вы не до конца разбираетесь в вопросе. Основное, на что нужно обратить внимание - это иерархичность системы. Данные зон хранятся на собственных серверах и для получения информации из них следует прибегать к рекурсии. Это достаточно затратный процесс, поэтому многие сервера кешируют запросы и отвечают на повторные обращения самостоятельно.\nСкорость ответа на DNS-запрос очень важна для комфортного использования интернета. Внешне это может проявляться как \u0026quot;задумчивость\u0026quot; браузера, который некоторое время \u0026quot;думает\u0026quot;, а только потом начинает грузить страницу. При этом сама скорость канала может быть высокой, а пинг к требуемому серверу небольшим. Неопытного админа такая ситуация может сильно озадачить, но все просто - это долго отвечает используемый DNS-сервер. Ведь прежде, чем начать взаимодействие с сервером, браузер должен получить от DNS-клиента его адрес, передав последнему доменное имя.\nMikrotik дает нам возможность использовать кеширующий DNS-сервер прямо на роутере и если вы настроили использование роутера в качестве DNS - то вы его уже используете. Еще раз перейдем в IP - DNS и внимательно посмотрим на настройки: Глядя на значение TTL, можно подумать, что это очень много, целая неделя. Но это - максимальное время хранения записи, реальное время хранения определяется временем TTL в SOA-записи домена, причем Mikrotik использует минимальное значение - Minimum TTL. В этом несложно убедиться, мы очистили кеш и посетили один из своих сайтов, минимальный TTL которого равен 4 часам: Как видим, Mikrotik использовал значение TTL из SOA-записей, ни о каких 7 днях речи не идет. Тогда для чего нужна эта настройка? Вы можете обновлять кеш чаще, чем это указано в TTL-домена. Если значение максимального TTL Mikrotik будет меньше, чем указанное в SOA-домена, то будет использоваться именно оно.\nЭто может быть полезным, если вы внесли какие-либо изменения во внешнюю зону и желаете быстрее обновить кеш. Как показывает практика, публичные сервера, такие как Google, OpenDNS или Яндекс тоже часто игнорируют TTL из SOA и обновляют свой кеш чаще.\nОчистить кеш можно кнопкой Flush Cache в окне Cache или командой в терминале:\n1ip dns cache flush Но это еще не всё, изучение кеша может быть полезным для изучения сетевой активности пользователей, если они используют в качестве DNS ваш роутер - то вся их сетевая активность отразится в кеше. Говорите, никто не сидит в соцсетях? На этом закончим с кешем и перейдем к другому разделу - Static. Он позволяет создавать нам собственные записи типа A (и больше ничего кроме них). Не густо, но основную часть потребностей это перекрывает. Перенесли сайт на новый сервер? Не нужно ждать пока обновятся DNS-записи, заходим в раздел Static и создаем собственную запись: Проверим, как это работает. Выполним разрешение имени на клиенте: Как видим - все работает отлично.\nОтдельный разговор - плоские имена. В одноранговой сети часто бывает нужно указать имя узла, который не поддерживает NetBIOS, скажем ноду Hyper-V Server или машину с Linuх. Аналогично создаем запись: Но имейте ввиду, работать такое разрешение имен будет только на Windows машинах, на Linux вы получите ошибку: Но так как большинство сетей имеет преимущественно Windows ПК, то особых проблем плоские имена не доставят, и вы можете смело добавлять их записи на DNS Mikrotik вместо того, чтобы прописывать в hosts на каждой машине.\nТак так, скажет внимательный читатель, это же можно использовать для блокировки нежелательных ресурсов и будет прав. Если мы не хотим, чтобы пользователи сидели в соцсетях, то добавим на сервер записи, который будут разрешать такие запросы в 127.0.0.1: Проверим? Вроде бы работает, но недостаток такого метода, что мы заблокировали только основной домен и пользователь легко сможет зайти через мобильный поддомен: Чтобы этого избежать следует использовать регулярные выражения. К сожалению, в большинстве инструкций в интернете приводятся неправильные выражения, с которыми фильтр работать не будет, поэтому мы советуем использовать для создания и проверки регулярных выражений ресурс regex101.com. Это избавит вас от ошибок и вопросов в стиле \u0026quot;я сделал все как написано в статье, но ничего не работает\u0026quot;.\nСкажем, чтобы заблокировать домен vk.com со всеми поддоменами нам потребуется выражение:\n1\\.?vk\\.com Внесем его в соответствующее поле Mikrotik: И проверим, теперь любое, даже заведомо не существующее имя в домене vk.com будет разрешаться в 127.0.0.1, что нам и требовалось. Но это правило заблокирует также любые ресурсы, которые заканчиваются на vk.com, для того, чтобы этого избежать, нам потребуется более сложное выражение:\n1^([A-Za-z0-9.-]*\\.)?vk\\.com В небольших сетях, где пользователи имеют достаточно прав, всю эту идиллию можно быстро перечеркнуть, вручную прописав собственные DNS. Как с этим бороться? Решение в лоб - заблокировать прохождение DNS-запросов в цепочке FORWARD, но тогда у \u0026quot;продвинутого\u0026quot; пользователя вообще перестанет работать интернет, поэтому мы поступим по-другому.\nОткроем IP - Firewall - NAT и добавим правило: Chain: dstnat, protocol: udp, Dst. Port: 53 и на закладке Action выберем действие redirect. Эти же самые действия можно быстро выполнить в терминале:\n1ip firewall nat 2add chain=dstnat protocol=udp dst-port=53 action=redirect Теперь любые DNS-запросы от пользователей сети будут перенаправляться на наш DNS-сервер на роутере, что сделает любые попытки обойти локальный DNS бессмысленными.\nКак видим, DNS-сервер роутера Mikrotik, несмотря на кажущуюся простоту, в общем не так уж и прост и дает в руки администратора достаточно широкие возможности.\nDHCP (Dynamic Host Configuration Protocol) Когда речь заходит о DHCP, то обычно имеют ввиду автоматическое присвоение сетевых параметров, таких как IP-адрес, маска, шлюз и DNS-сервера. Но на самом деле возможности протокола намного шире и позволяют настроить очень многие сетевые параметры. Все возможности протокола описаны в RFC 2132, но мы не будем забираться столь глубоко, а рассмотрим в качестве примера только несколько наиболее популярных опций.\nПрежде всего это Option 15 (DNS Domain Name) - которая позволяет автоматически настроить DNS-суффикс подключения, что позволяет снять определенный ряд проблем, связанный с использованием плоских имен.\nЧтобы создать любую DHCP опцию потребуется перейти в IP - DHCP Server - Options и добавить там новую запись: Поле Name содержит имя опции, можем задать его произвольно, так чтобы нам потом было понятно, что это такое и для чего нужно. Code - код опции, в нашем случае 15, Value - значение, в нашем случае это строка, поэтому обрамляем ее одиночной кавычкой. Тоже самое можно быстро сделать в терминале:\n1ip dhcp-server option 2add name=\u0026#34;DNS Suffix\u0026#34; code=15 value=\u0026#34;\u0026#39;interface31.lab\u0026#39;\u0026#34; Обратите внимание, что значение value берется в кавычки два раза, в двойные и одинарные.\nОпции можно (и нужно) объединять в наборы - Option Set, даже несмотря на то, что во многих сценариях их можно указывать непосредственно. Если в будущем вы надумаете что-то поменять, то достаточно будет просто изменить состав набора, в противном случае вам нужно будет вспомнить все места, где вы использовали некую опцию и заменить ее на новую (или удалить / добавить). Перейдем на одноименную закладку и создадим новый набор. Пока в него будет входить только одна опция: Наборам желательно давать осмысленные названия, чтобы впоследствии вы легко могли понять для чего он предназначен. Теперь назначим его для применения на всю область DHCP-сервера. Перейдем на закладку DHCP и откроем запись нашего сервера, в поле DHCP Option Set укажем имя созданного нами набора. Теперь обновим параметры DHCP и сразу увидим полученный DNS-суффикс: После этого все плоские имена, которые вы добавили на DNS-сервер следует дополнить до FQDN, т.е. вместо HV-CORE-01 написать hv-core-01.interface31.lab (регистр записи значение не имеет). Проверим: Как видим, одной проблемой стало меньше, плоские имена нормально дополняются до FQDN и нормально разрешаются на нашем DNS вне зависимости от используемой ОС.\nТакже довольно часто используются опции: 42 (NTP Servers), 60, 66 (TFTP Server Name), 67 (Bootfile-Name). Имейте ввиду, что ОС Windows не запрашивает у DHCP-сервера опцию 42 и для нее установить таким образом сервер времени не удастся.\nОтдельно коснемся того, как указывать IP-адреса. Протокол предусматривает передачу значений в шестнадцатеричном (Hex) формате, но RouterOS позволяет использовать и строковые значение, для этого значение Value должно содержать привычное написание адреса, взятое в одинарные кавычки:\n1\u0026#39;192.168.186.1\u0026#39; или его шестнадцатеричное значение, которое должно начинаться с префикса 0х:\n10xc0a8ba01 Если адресов несколько, то указываем каждый, взяв в одинарные кавычки, без пробелов между ними:\n1\u0026#39;192.168.186.1\u0026#39;\u0026#39;192.168.186.2\u0026#39; В шестнадцатеричном виде мы добавляем второе значение в конец строки, также без пробелов:\n10xc0a8ba01c0a8ba02 В терминале это будет выглядеть так:\n1ip dhcp-server option 2add name=\u0026#34;NTP1\u0026#34; code=42 value=\u0026#34;\u0026#39;192.168.186.1\u0026#39;\u0026#34; или\n1add name=\u0026#34;NTP1\u0026#34; code=42 value=\u0026#34;0xc0a8ba01\u0026#34; Для перевода значений IP-адреса в шестнадцатеричное значение, можно использовать любой онлайн-калькулятор, мы при подготовке данного материала использовали этот.\nЕще одна интересная возможность открывается в выдаче отдельным узлам своего набора опций. Следующий сценарий подойдет домашним пользователям, как достаточно простой и эффективный способ обеспечить безопасность ребенка в интернет.\nСуть ее состоит в следующем: мы выборочно изменяем DNS-сервера детских сетевых устройств на безопасные DNS, например, Яндекс Семейный, SkyDNS, AdGuard и т.д. Тем, кто захочет реализовать этот сценарий в сети предприятия следует иметь ввиду, что в этом случае таким клиентам будут недоступны возможности собственного DNS-сервера, т.е. все то, о чем мы говорили в первой части статьи.\nИтак, сначала создадим новую DHCP опцию с кодом 6 и укажем в значении сервера Яндекс Семейного:\n1ip dhcp-server option 2add name=\u0026#34;YandexDNS\u0026#34; code=6 value=\u0026#34;\u0026#39;77.88.8.7\u0026#39;\u0026#39;77.88.8.3\u0026#39;\u0026#34; или\n1add name=\u0026#34;YandexDNS\u0026#34; code=6 value=\u0026#34;0x4d5808034d580807\u0026#34; Теперь создадим новый набор опций и добавим туда опцию YandexDNS. Теперь перейдем на закладку Leases, где находится список выданных в аренду адресов и найдем там детское устройство, после чего откроем запись и выполним резервирование адреса, нажав Make Static: Закроем и заново откроем эту запись и в поле DHCP Option Set укажем созданный нами набор с безопасными серверами: Теперь проверим на клиенте, какие DNS-сервера он получил: Все верно, это семейные сервера Яндекса. Попробуем посетить какой-нибудь сайт \u0026quot;для взрослых\u0026quot;: Отлично, фильтрация работает, теперь можно гораздо меньше переживать, что ребенок увидит неподобающий контент, в тоже время взрослые члены семьи могут использовать интернет без ограничений.\nВ прошлой части статьи мы рассказывали, как предотвратить подмену DNS на клиентском ПК, данное решение совместно с этими правилами работать не будет. Можно, конечно, добавить исключение, но мы подойдем с другой стороны. Наша основная цель в этом сценарии - это оградить ребенка от посещения ненадлежащих ресурсов, поэтому при попытке подмены DNS мы должны направлять все запросы не на роутер, а на безопасные DNS, в противном случае попытка обхода фильтрации достигнет своей цели.\nПоэтому заменим в правилах действие redirect на действие dst-nat, в поле To Addresses указываем один из серверов семейного Яндекса, а в поле To Ports - порт 53. Также можно быстро добавить нужные правила командой:\n1ip firewall nat 2add chain=dstnat protocol=udp dst-port=53 action=dst-nat to-addresses=77.88.8.7 to-ports=53 Напоследок рассмотрим опции 121 (Classless Static Routes) и 249 (MS Routes), которые предназначены для передачи статических маршрутов. Первая опция предусмотрена RFC 2132, вторая является \u0026quot;художественной самодеятельностью\u0026quot; Microsoft, поэтому следует указывать обе из них с одинаковым содержимым.\nВо избежание ошибок мы советуем задавать маршруты в HEX-формате, синтаксис предусмотрен следующий:\n1[маска сети назначения][сеть назначения][шлюз] Если маршрутов несколько - добавляем значения к конец строки, без пробелов. Допустим, мы хотим добавить маршрут в сеть 192.168.4.0/22 через 192.168.186.92 и в сеть 10.8.0.0/24 через 192.168.186.94. Чтобы правильно получить шестнадцатеричное значение маски следует использовать такое представление: 0.0.0.22 или 0.0.0.24, забьем все значения в онлайн калькулятор и получим: А вот теперь начнется небольшая магия, прежде всего обратим внимание на то, что количество символов в шестнадцатеричном числе всегда должно быть четным, но в строке, соответствующей 10.8.0.0 - нечетное количество символов, так как калькулятор отбросил ведущий ноль, поэтому вместо a080000 мы должны использовать 0a08000. Имеем это ввиду, так как разные калькуляторы могут по-разному обрабатывать ведущий ноль.\nЗатем от адреса сети, мы должны отбросить столько нулевых октетов, сколько нулей содержится в маске, в HEX-значении это по два нуля. Проще говоря для сетей /24 - /17 мы должны убрать в HEX-значении сзади два нуля, для сетей /16 - /9 - четыре нуля, для сетей /8 - /1 - шесть нулей. Таким образом 0a08000 должно превратиться в 0a0800, а c0a80400 в c0a804.\nТаким образом первый маршрут должен выглядеть так:\n116c0a804c0a8ba5c а второй так:\n1180a0800c0a8ba5e Итоговое значение будет (не забываем про 0x вначале):\n10x16c0a804c0a8ba5c180a0800c0a8ba5e Добавим опции командами:\n1ip dhcp-server option 2add name=\u0026#34;my route\u0026#34; code=121 value=\u0026#34;0x16c0a804c0a8ba5c180a0800c0a8ba5e\u0026#34; 3add name=\u0026#34;my win route\u0026#34; code=249 value=\u0026#34;0x16c0a804c0a8ba5c180a0800c0a8ba5e\u0026#34; или через графический интерфейс: Обновим параметры DHCP и проверим таблицы маршрутизации на клиентах. Windows-клиент: Linux-клиент: Как видим - все работает, маршруты добавились и еще одной заботой у администратора стало меньше.\nВ заключение хочется добавить, что данная статья не должна рассматриваться вами как догма, все пункты которой требуется обязательно применить. Данный материал имеет цель показать те скрытые возможности привычных сервисов, которые обычно не затрагиваются в руководствах по базовой настройке. После чего уже сам администратор должен решать, что он будет применять в своей сети и зачем. К сожалению, объем статьи не позволяет нам охватить все возможности DHCP, что-то из них мы отразим в будущих статьях, а что-то вам придется изучать самостоятельно. Но надеемся, что данный материал окажется вам полезен и даст дополнительный стимул к изучению всех возможностей используемых протоколов.\n","id":"641ebc98de6fbad829b377e18527a2df","link":"https://interface31.ru/post/rasshirennaya-nastroyka-dns-i-dhcp-v-routerah-mikrotik/","section":"post","tags":["DHCP","DNS","MikroTik","Маршрутизация"],"title":"Расширенная настройка DNS и DHCP в роутерах Mikrotik"},{"body":"Представляем вашему вниманию очередной перевод зарубежной прессы сделанный нашим немецким коллегой. На этот раз затронута достаточно интересная тема: взаимодействие компании Microsoft с Linux и открытым ПО. Несмотря на то, что многие утверждения автора носят полемический характер, мы считаем, что статья будет представлять интерес для русскоязычной аудитории. К тому же хороший технический специалист должен иметь широкий кругозор, представление о тенденциях развития отрасли и перспективах. А в этих вопросах обычно нет общего мнения, но это и к лучшему, ведь в споре рождается истина.\nСобственная ОС не так и важна -- фирма делает ставку на open source (ПО с открытым исходным кодом) Перемены в компании Microsoft в последние годы весьма впечатляют. Вместо ненависти к Linux, фирма перешла к активной разработке программного обеспечения с открытым кодом. Уже позабыты те боевые времена, когда руководитель Microsoft Стив Баллмер обзывал свободную ОС то «раковой опухолью», то «коммунистической системой». С тех пор, как у руля предприятия стал Сатья Наделла, здесь стали ценить преимущества свободного ПО. Теперь Microsoft Linux? Интересная идея. Станет ли компания Microsoft сама предлагать линукс в качестве ОС для персональных компьютеров? Вроде дурацкий вопрос, но если посмотреть тенденции последних лет, то такие мысли вполне могут прийти в голову.\nУже заметна уменьшающаяся роль Windows в стратегии Microsoft. Сейчас фирма растёт за счёт предоставления сервисов Office 365 и облачных служб Azure. И там и тут вполне можно обойтись без Windows. Где пользователи будут применять программы из пакета Office: на компьютерах с Windows или планшетах с Android - Microsoft как-то безразлично. А уж в облаках Azure и вовсе доминируют Linux-системы. Утрата бизнес-модели Ко всему прочему стоимость, которую сегодня можно взять за ОС с частных клиентов уверенно стремится к нулю. Google и Apple позаботились об этом, и получают деньги на разработку софта из других источников. Это дошло и до Microsoft, вот уже и новая «десятка» фактически раздавалась даром. Ну а попытка заработать немного денег на рекламе прямо в Windows -- это говорит, скорее, о внутренних метаниях, потому этот способ годится только чтобы разогнать своих клиентов в то время, когда значение ОС для пользователя постоянно снижается.\nБизнес не пропадёт Не стоит заблуждаться, бизнес Microsoft по продаже лицензий ещё годами будет приносить компании прибыль. Хотя-бы на том основании, что позиции Windows достаточно сильны в компаниях и госучреждениях. Однако уже достаточно хорошо проглядывается будущее, где ОС перестает играть ту значительную роль, которую ей уделяли ранее.\nКуда ни глянь -- везде Linux Чтобы увидеть куда идёт Microsoft, тому достаточно обратить внимание на самую растущее подразделение фирмы: облачные службы. Именно там Microsoft давно приспособилась к реальности. Вместо бессмысленной борьбы с Linux, принята стратегия поддержки этой ОС. Мало того, весной 2019 года вышла собственная система на Linux-ядре - Azure Sphere и уже вполне можно представить направление дальнейших разработок в этой отрасли.\nПримечание переводчика: немного ранее Microsoft впервые выпустил Linux-версию одного из ключевых корпоративных продуктов - SQL Server 2017.\nСледующий логичный шаг - серверная ОС на основе Linux. Это проверенное временем серверное решение сейчас становится стандартной основой для облачных служб. В тоже время Linux для персональных компьютеров вряд ли будет входить в список приоритетов Microsoft, по причине снижающейся значимости ОС в этой области.\nРастут шансы, что Microsoft озадачится покупкой какого-нибудь крупного разработчика ОС на основе Linux. IBM только что купил Red Hat, что мешает Microsoft заинтересоваться Ubuntu или SUSE?\nНу а пока что Microsoft углубляет личную заинтересованность в работе с Linux, второй выпуск подсистемы Linux для Windows будет включать полное ядро. Следовательно потребность Microsoft в технологиях Linux только продолжает расти.\nВсё больше открытого ПО Даже если в Редмонде и не создадут свой Linux, то нет никаких сомнений в том, что открытый исходный код будет играть решающую роль в будущем Microsoft. К чему идёт дело стало ясно после покупки Microsoft самой важной в мире платформы для разработчиков свободного программного обеспечения Github. Но и на настольном компьютере свободное ПО начинает выходить на центральные позиции: браузер Edge переходит на основу свободного движка Chromium.\nСтановится очевидно: Microsoft будет применять открытое ПО везде, где это будет иметь стратегическое или коммерческое значение. Урок от Google был хорошо усвоен. Свободное ПО служит транспортом для передачи коммерческих программ, за счет которых и образуется прибыль.\nС этой точки зрения закрывать платформу ОС будет нерационально. Именно там, где нет прямого финансового интереса, сотрудничество с другими разработчиками приносит больше выгоды, чем владение собственной операционной системой. Вполне вероятно, что Microsoft понемногу сделает открытым код своей Windows, если, конечно, приведёт накопившийся за десятилетия код в презентабельный вид.\nLinux выигрывает Проще говоря: Microsoft все больше живет в мире Linux. То, что раньше выглядело для производителя Windows как явная угроза, сегодня стало реальностью, в которой фирма может чувствовать себя вполне хорошо. Автор: Andreas Proschofsky\nИсточник: Microsoft: Linux ist die Zukunft des Windows-Herstellers\nПеревод: Виктор Хартманн, Берлин.\n","id":"44c7ec0d8dd4d18296148dbbcbdd2b7d","link":"https://interface31.ru/post/microsoft-budushhee-windows-v-linux/","section":"post","tags":["Linux","Microsoft"],"title":"Microsoft: будущее Windows в Linux"},{"body":"Представляем вашему вниманию перевод статьи зарубежного автора, в которой он подробно рассказывает о процессе переноса данных между двумя серверами Zimbra OSE разных версий, работающих под управлением разных операционных систем. На наш взгляд данный материал будет полезен широкому кругу администраторов почтовых серверов, тем более что аналогичного по полноте и проработанности русскоязычного материала нам не попадалось. В процессе перевода мы немного адаптировали материал для читателей нашего блога, не затрагивая при этом основной смысл исходной статьи.\nНемного предыстории После четырех лет работы почтового сервера Zimbra в виртуальной машине объемом в 500 ГБ сервер начал испытывать недостаток свободного места и когда вывод df -h показал, что осталось всего 50 ГБ пришло время перейти на более емкую виртуальную машину.\nБесплатная версия, с которой я работал (и продолжаю работать) не имеет в своем составе инструментов для миграции, хотя в интернете можно найти массу инструкций о переносе данных между старым и новым серверами при помощи rsync. Но этот способ меня не устраивал. Во-первых, требовался простой системы, а во-вторых, синхронизацию требуется проводить между одинаковыми серверами, т.е. мой новый сервер должен был оставаться Zimbra 8.6 под управлением CentOS 6.\nТакже некоторое время назад был случай аварийного завершения работы сервера (из-за сбоя питания) и база данных оказалась повреждена, что время от времени приводило к ошибкам в логах. То, что с базой не все в порядке стало очевидно после попытки обновления до 8.7.1, которая с треском провалилась и единственное что меня спасло - это сделанная прошлой ночью резервная копия. Поэтому я опасался, что при переносе с помощью rsync я перемещу на новый сервер проблемные данные, которые будут доставлять мне проблемы в будущем.\nТак как мне все равно предстояло преодолеть множество сложностей, я хотел получить не только больше свободного места, но и перейти на новую операционную систему CentOS 7 и новую (на тот момент) версию Zimbra 8.7.1, поэтому об rsync не могло быть и речи.\nZmmailbox и bash спешат на помощь Если вы хоть немного занимались администрированием Zimbra, то вам должна быть знакома такая команда как zmprov. Вы могли использовать ее для сброса забытого пароля администратора, получения списка учетных записей, использующих пересылку почты или делать многие другие вещи, не заходя в веб-интерфейс. Также вы можете быть немного знакомы с zmmailbox.\nZmmailbox, также как и zmprov, очень мощная команда, ее можно использовать для таких тривиальных вещей, как создание почтовой папки, а можно с ее помощью экспортировать в формат tgz целые почтовые ящики с любой структурой пользовательских папок.\nЕдинственным недостатком является то, что вы должны экспортировать каждый ящик отдельно, не допускается использовать * или иные подстановочные символы. Но мы же работаем в Linux, поэтому всегда можно написать bash-скрипты, которые сделают всю тяжелую работу за нас.\nПодготовка нового сервера Вам потребуется установить новый сервер с теми же настройками, что и у старого, но с иным IP-адресом. Не забудьте правильно настроить записи на внутреннем DNS-сервере (dnsmasq) и проверить**/etc/hosts**. При этом не следует заводить все обслуживаемые сервером домены, укажите только основной, остальные мы перенесем со старого сервера автоматически.\nПлан перехода на новый сервер Чтобы обеспечить минимальное время простоя мы будем действовать следующим образом:\nУстановите значение TTL для DNS-записей относящихся к почтовому серверу на минимально короткое время, лучше сделать это не менее чем за сутки до переноса. Подготовьте полностью рабочий новый сервер Импортируйте все обслуживаемые домены со старого сервера Перенесите все учетные записи, пароли, списки рассылки и псевдонимы Измените все записи DNS и перенаправьте на брандмауэре 25 порт на новый сервер (или не меняя DNS поменяйте местами IP-адреса серверов) Убедитесь, что новая почта приходит на новый сервер Убедитесь, что пользователи могут подключаться и работать с новым сервером Экспортируйте почтовые ящики на старом сервере и загрузите их на новый Прежде чем продолжить Время выполнения команд во время экспорта или импорта могут занимать продолжительное время, измеряемое часами. Их следует запускать непосредственно в консоли сервера, если же вы вынуждены выполнять все действия удаленно, убедитесь что вы используете команду screen, чтобы при разрыве связи вы могли повторно подключиться к сеансу без прерывания работы команды.\nВнимание! Важно! Прерывание работы любого из описанных ниже сценариев во время импорта может привести к повреждению базы данных, поэтому запускайте их из только из консоли сервера или используя команду screen! Мы вас предупредили.\nПодготовка к переносу Прежде чем начать экспорт нужно убедиться, что у нас достаточно места для хранения, которое доступно как со старого, так и с нового сервера. На старом сервере у меня совсем не было свободного места, тогда как на новом свободен был почти целый 1 ТБ, поэтому в моем случае было сделано удаленное монтирование NFS-ресурса с нового сервера и использование его в качестве промежуточного хранилища.\nВы можете использовать иные способы: USB-диски, сетевые ресурсы, iSCSI и т.д. В общем - на ваше усмотрение.\nСледующие шаги предполагают, что промежуточное хранилище находится в**/migration/zimbra**, если ваш путь отличается, то вам нужно соответствующим образом изменить сценарии. Чтобы везде был порядок, мы будем использовать разные папки для разных файлов миграции, также убедитесь, что пользователь zimbra имеет полный доступ к папкам. Я бы порекомендовал:\n1chmod -R 777 /migration/zimbra 2chown -R zimbra:zimbra /migration/zimbra Шаг 1. Экспорт доменов 1su - zimbra 2cd /migration/zimbra 3mkdir domains 4cd domains 5zmprov gad | tee -a domains.txt Команда выполняется всего несколько секунд, в зависимости от количества обслуживаемых доменов, просмотреть получившийся список можно командой:\n1cat domains.txt Шаг 2. Экспорт аккаунтов Вернитесь в /migration/zimbra и создайте новый каталог accounts. Затем экспортируем туда учетные записи администраторов:\n1cd /migration/zimbra 2mkdir accounts 3cd accounts 4zmprov gaaa | tee -a admins.txt Посмотреть список экспортированных аккаунтов вы также можете командой cat, затем экспортируем пользовательские аккаунты:\n1zmprov -l gaa | tee -a users.txt Шаг 3. Экспорт данных учетных записей Снова вернемся в /migration/zimbra и создадим новый каталог account_details, в него экспортируем данные учетных записей:\n1cd /migration/zimbra 2mkdir account_details 3cd account_details 4for user in `cat ../accounts/users.txt`; do zmprov ga $user | grep -i Name: | tee -a $user.txt ; done Шаг 4. Экспорт паролей учетных записей Также возвращаемся в /migration/zimbra, где создаем каталог passwords в который экспортируем пароли:\n1cd /migration/zimbra 2mkdir passwords 3cd passwords 4for user in `cat ../accounts/users.txt`; do zmprov -l ga $user userPassword | grep userPassword: | awk \u0026#39;{ print $2}\u0026#39; | tee -a $user.shadow; done Шаг 5. Экспорт списков рассылок Вернемся в /migration/zimbra и создадим каталог distribution_lists, в который выгрузим списки рассылок:\n1cd /migration/zimbra 2mkdir distribution_lists 3cd distribution_lists 4zmprov gadl | tee -a distribution_lists.txt 5for list in `cat distributinlist.txt`; do zmprov gdlm $list \u0026gt; $list.txt ;echo \u0026#34;$list\u0026#34;; done Шаг 6. Экспорт псевдонимов Также создадим в каталоге /migration/zimbra директорию aliases и экспортируем туда псевдонимы:\n1cd /migration/zimbra 2mkdir aliases 3cd aliases 4for user in `cat ../accounts/users.txt`; do zmprov ga $user | grep zimbraMailAlias | awk \u0026#39;{print $2}\u0026#39; | tee -a $user.txt ;echo $i ;done Этот процесс займет некоторое время, в зависимости от количества учетных записей, а так как многие аккаунты не имеют псевдонимов, то мы получим много пустых файлов. Удалим их командой:\n1find . -type f -empty | xargs -n1 rm -v Таким образом мы экспортировали со старого сервера все данные, кроме самих ящиков пользователей и любых созданных ими фильтров.\nШаг 7. Импорт доменов на новом сервере Первый шаг в процессе восстановления на новом сервере заключается в восстановлении доменов, если вы уже создали основной домен, то можете удалить его из файла /migration/zimbra/domains/domains.txt.\nДалее предполагается, что все данные, которые мы экспортировали в прошлых шагах, доступны или скопированы на новый сервер. Если вы копировали данные, то не забудьте выполнить команду:\n1chown -R zimbra:zimbra /migration/zimbra для того, чтобы пользователь zimbra имел полный доступ к файлам и каталогам.\nДавайте начнем, войдите в систему под пользователем zimbra и выполните следующие команды:\n1su - zimbra 2cd /migration/zimbra/domains 3for domain in `cat domains.txt `; do zmprov cd $domain zimbraAuthMech zimbra ;echo $domain ;done Для проверки можно зайти в админку и убедиться, что все домены успешно импортированы.\nШаг 8. Импорт учетных записей и паролей Для этого нам потребуется небольшой скрипт. Восстановление каждой учетной записи происходит в два этапа: создание на новом сервере аккаунта с временным паролем, который затем будет заменен на пароль пользователя.\nПерейдем в /migration/zimbra, где следует создать каталог scripts. В нем при помощи любимого редактора создадим и откроем файл restore_accounts.sh:\n1cd /migration/zimbra 2mkdir scripts 3cd scripts 4nano restore_accounts.sh Внесем в него следующие строки и сохраним:\n1#!/bin/bash 2PASSWDS=\u0026#34;../passwords\u0026#34; 3ACCOUNT_DETAILS=\u0026#34;../account_details\u0026#34; 4USERS=\u0026#34;../accounts/users.txt\u0026#34; 5for i in `cat $USERS` 6 do 7 givenName=$(grep givenName: $ACCOUNT_DETAILS/$i.txt | cut -d \u0026#34;:\u0026#34; -f2) 8 displayName=$(grep displayName: $ACCOUNT_DETAILS/$i.txt | cut -d \u0026#34;:\u0026#34; -f2) 9 shadowpass=$(cat $PASSWDS/$i.shadow) 10 zmprov ca $i \u0026#34;TeMpPa55^()\u0026#34; cn \u0026#34;$givenName\u0026#34; displayName \u0026#34;$displayName\u0026#34; givenName \u0026#34;$givenName\u0026#34; 11 zmprov ma $i userPassword \u0026#34;$shadowpass\u0026#34; 12done Сделаем его исполняемым и запустим:\n1chmod +x restore_accounts.sh 2./restore_accounts.sh В процессе импорта вы можете время от времени получать сообщение об ошибке:\n1ERROR: account.ACCOUNT_EXISTS (email address already exists: admin@domain.com, at DN: uid=admin,ou=people,dc=domain,dc=com) Это означает, что данные учетные записи уже существуют. Это справедливо для учетной записи администратора и служебных учетных записей, перед импортом вы можете удалить их из файла**/migration/zimbra/accounts/users.txt**.\nТакже имейте ввиду, что после выполнения сценария пароль администратора нового сервера будет заменен паролем со старого, если вы конечно не удалите запись admin@domain.com из users.txt\nШаг 9. Импорт списков рассылки Перейдите в /migration/zimbra и выполните следующую команду, чтобы заново создать списки рассылки:\n1for lists in `cat distribution_lists/distribution_lists.txt`; do zmprov cdl distribution_lists/$lists ; echo \u0026#34;$lists -- done \u0026#34; ; done Теперь заполним их, используя короткий bash-скрипт. Перейдем в**/migration/zimbra/distribution_lists** и откроем на редактирование скрипт restore_dist_lists.sh:\n1cd /migration/zimbra/distribution_lists 2nano restore_dist_lists.sh Внесем в него следующий текст:\n1#!/bin/bash 2for list in `cat distribution_lists.txt` 3do 4 for mbmr in `grep -v \u0026#39;#\u0026#39; ./$list.txt | grep \u0026#39;@\u0026#39;` 5 do 6 zmprov adlm $list $mbmr 7 echo \u0026#34; $mbmr has been added to $list\u0026#34; 8 done 9done Сделаем исполняемым и выполним:\n1chmod +x restore_dist_lists.sh 2./restore_dist_lists.sh Этот сценарий может занять несколько минут, в зависимости от количества списков рассылки и от количества учетных записей в каждом из них.\nШаг 10. Импорт псевдонимов Как вы уже догадались, перейдем в /migration/zimbra и создадим новый скрипт restore_aliases.sh:\n1cd /igration / zimbra / aliases 2nano restore_aliases.sh Внесем в него следующий текст:\n1#!/bin/bash 2echo \u0026#34;Processing User accounts\u0026#34; 3for user in `cat ../accounts/users.txt` 4do 5 echo $user 6 if [ -f \u0026#34;./$user.txt\u0026#34; ]; then 7 for alias in `grep \u0026#39;@\u0026#39; ./$user.txt` 8 do 9 zmprov aaa $user $alias 10 echo \u0026#34;$user ALIAS $alias - Restored\u0026#34; 11 done 12 fi 13doneecho \u0026#34;Processing Admin accounts\u0026#34; 14for user in `cat ../accounts/admins.txt` 15do 16 echo $user 17 if [ -f \u0026#34;./$user.txt\u0026#34; ]; then 18 for alias in `grep \u0026#39;@\u0026#39; ./$user.txt` 19 do 20 zmprov aaa $user $alias 21 echo \u0026#34;$user ALIAS $alias - Restored\u0026#34; 22 done 23 fi 24done Сделаем исполняемым и выполним:\n1chmod +x restore_aliases.sh 2./restore_aliases.sh Шаг 11. Подключаем новый сервер к сети и переводим старый в автономный режим На данный момент мы перенесли все учетные записи, псевдонимы и списки рассылки, фактически у нас есть полностью рабочий новый сервер. На всякий случай перезапустим службы zimbra и проверим их состояние:\n1zmcontrol restart 2zmcontrol status Войдите в веб-интерфейс и убедитесь, что количество учетных записей нового сервера совпадает с количеством учетных записей старого. Если вы использовали для нового сервера новый домен, то количество аккаунтов будет больше, за счет служебных учетных записей и аккаунта администратора.\nПосле чего войдите в почту обычным пользователем и проверьте, можете ли вы отправлять письма на учетные записи своего домена, так как Zimbra использует локальный DNS и считает себя почтовым сервером для вашего домена, такая доставка должна происходить мгновенно.\nТакже проверьте /var/log/zimbra.log на наличие ошибок.\nЕсли все хорошо, то самое время переключить сервера. Есть два способа сделать это:\nИзмените все DNS-записи и переадресацию портов на брандмауэре на новый IP-адрес сервера Дождитесь распространения DNS-записей, прежде чем продолжить миграцию или же\nОтключите новый сервер от сети Измените его IP-адрес на адрес старого сервера Измените /etc/hosts и настройки**/etc/dnsmasq.conf** соответственно Перезапустите службы Zimbra Убедитесь, что сервер может отправлять / получать электронную почту на адреса собственного домена Отключите старый сервер от сети Подключите новый сервер к сети Измените IP-адрес старого сервера на неиспользуемый IP-адрес Измените его /etc/hosts и настройки /etc/dnsmasq.conf соответственно Перезапустите службы Zimbra Подключите его снова к сети, чтобы продолжить миграцию данных Второй метод выглядит более сложным, но он гарантирует нулевое время простоя. Хотите верьте, хотите нет, но на мой взгляд это самый быстрый способ переключения на новый сервер.\nПосле переключения все пользователи, использующие IMAP или веб-клиент, обнаружат пустой почтовый ящик, но вся новая почта будет доставляться на новый сервер.\nВ последних шагах мы экспортируем содержимое почтовых ящиков со старого сервера и перенесем их на новый.\nШаг 12. Перенос данных почтовых ящиков Это шаг будет наиболее продолжительным, в зависимости от объема ящиков он может занять сутки и более, импорт данных потребует столько же времени.\nТеперь, когда пользователи могут отправлять и получать почту, мы не так ограничены по времени, на крайний случай можно обеспечить доступ к важным ящикам через веб-интерфейс по IP-адресу старого сервера.\nВойдите на старый сервер через консоль или используя команду screen. Предполагается что промежуточное хранилище снова смонтировано на старом сервере по прежнему пути.\nСменим учетную запись на zimbra и перейдем в /migration/zimbra, затем начнем экспорт содержимого ящиков:\n1su - zimbra 2cd /migration/zimbra 3mkdir mailbox_data 4cd mailbox_data 5for user in `cat ../accounts/users.txt`; do echo \u0026#34;Exporting mailbox $user\u0026#34; ; zmmailbox -z -m $user getRestURL \u0026#39;/?fmt=tgz\u0026#39; \u0026gt; ./$user.tgz ; done Выполнение последней команды займет продолжительное время, поэтому можете смело переключиться на иные задачи.\nЕсли какие-либо ящики выдают ошибки во время экспорта, то запишите эти учетные записи, чтобы попробовать экспортировать их еще раз позже. Список таких аккаунтов разместите в /migration/zimbra/accounts/problematic_accounts.txt, затем можете повторить экспорт командой:\n1for user in `cat ../accounts/problematic_accounts.txt`; do echo \u0026#34;Exporting mailbox $user\u0026#34; ; zmmailbox -z -m $user getRestURL \u0026#39;/?fmt=tgz\u0026#39; \u0026gt; ./$user.tgz ; done После того, как завершится экспорт содержимого ящиков, следует экспортировать пользовательские фильтры, для этого понадобится еще один скрипт, создадим новый каталог filters с файлом export_filters.sh в нем.\n1mkdir /migration/zimbra/filters 2cd /migration/zimbra/filters 3nano export_filters.sh Внесем в него следующий текст:\n1#!/bin/bash 2mkdir tmp 3set -x 4clear 5for user in `cat ../accounts/users.txt`; 6do 7 filter=`zmprov ga $user zimbraMailSieveScript \u0026gt; ./tmp/$user` 8 sed -i -e \u0026#34;1d\u0026#34; ./tmp/$user 9 sed \u0026#39;s/zimbraMailSieveScript: //g\u0026#39; ./tmp/$user \u0026gt; ./$user; 10 rm ./tmp/$user 11 echo \u0026#34;Export filter for $user\u0026#34; 12done 13\\rm -rf tmp Сделаем исполняемым и запустим:\n1chmod +x export_filters.sh 2./export_filters.sh Смонтируем, скопируем или иным образом перенесем промежуточное хранилище на новый сервер. Затем перейдем в**/migration/zimbra/mailbox_data** и выполним:\n1cd /migration/zimbra/mailbox_data 2for mailbox in `cat ../accounts/users.txt`; do zmmailbox -z -m $mailbox postRestURL \u0026#34;/?fmt=tgz\u0026amp;resolve=skip\u0026#34; ./$mailbox.tgz ; echo \u0026#34;$mailbox - done \u0026#34;; done Этот процесс также займет много времени, при этом пользователи могут продолжать использовать сервер, когда подойдет их очередь - они увидят, как их ящик начал заполняться письмами со старого сервера.\nЕсли во время импорта вы получили ошибки, можно повторно выгрузить и загрузить проблемные учетные записи, соответственно изменив /migration/zimbra/accounts/users.txt и повторно выполнив команду экспорта. Если вы получаете ошибки типа broken pipe, это означает, что архив tgz был поврежден во время передачи по тем или иным причинам и не может быть распакован.\nДавайте теперь импортируем пользовательские фильтры. Перейдем в**/migration/zimbra/filters** и создадим скрипт import_filters.sh:\n1cd /migration/zimbra/filters 2nano import_filters.sh Внесем в него следующие строки:\n1#!/bin/bash 2for filter in ./* 3do 4 if [ \u0026#34;$filter\u0026#34; == \u0026#34;./import_filters.sh\u0026#34; ] ; then 5 continue; 6 fi 7 if [ \u0026#34;$filter\u0026#34; == \u0026#34;./export_filters.sh\u0026#34; ] ; then 8 continue; 9 fiif [ \u0026#34;$filter\u0026#34; == \u0026#34;./tmp\u0026#34; ] ; then 10 continue; 11 fi 12Filter_String=`cat \u0026#34;$filter\u0026#34;` 13 Account=$filter 14 zmprov ma $(echo $filter | grep -E -o \u0026#34;\\b[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+\\.[A-Za-z]{2,6}\\b\u0026#34;) zimbraMailSieveScript \u0026#34;$Filter_String\u0026#34; 15 echo \u0026#34;Process filter $Account\u0026#34; 16done 17echo \u0026#34;All filter has been import successfully\u0026#34; Сделаем исполняемым и выполним:\n1chmod +x import_filters.sh 2./import_filters.sh Заключение Вот и всё, ваши пользователи должны быть довольны, работая с новым сервером. Единственное, что пропадет у них - это подписи их аккаунтов, к сожалению я так и не нашел способа их надежного автоматизированного переноса. Поэтому я временно сделал доступным старый сервер, чтобы пользователи могли войти в свой старый аккаунт и скопировать оттуда свою подпись.\nЕсли вы чувствуете у себя прилив сил, то можете сделать это самостоятельно, через административный интерфейс, но учтите, что вам придется вручную обработать каждую учетную запись, что может занять достаточно времени.\nИсточник: Migrating opensource Zimbra 8.6.0 on Centos 6.8 to Zimbra 8.7.1 on Centos 7 safely and with no downtime!\nПеревод: Уваров А.С.\n","id":"80aa917d3e509f3c9a5f96453a2b6c01","link":"https://interface31.ru/post/migrating-opensource-zimbra-safely-and-with-no-downtime/","section":"post","tags":["E-mail","Linux","Zimbra"],"title":"Перенос данных между различными версиями Zimbra безопасно и без простоя"},{"body":"Прокси-сервер Squid давно пользуется заслуженной популярностью, как открытое и эффективное средство контроля интернет трафика, но тенденции последних лет по массовому использованию защищенных соединений доставляют администраторам массу хлопот. Дело в том, что пакеты Squid в репозиториях дистрибутивов основанных на Debian или Ubuntu собраны без поддержки SSL, что делает невозможной фильтрацию шифрованного трафика. Что же делать? Собрать пакет с поддержкой SSL самостоятельно и сегодня мы расскажем, как это сделать.\nМногих современных пользователей Linux пугает процесс сборки из исходных кодов и, надо сказать, не зря - это достаточно сложный процесс, требующий от собирающего определенных объемов знаний и навыков, особенно если что-то пойдет не так. Поэтому мы взяли на себя всю работу по нахождению правильного алгоритма, строго следуя котрому вы должны будете собрать пакет без каких-либо затруднений. Для тех, кто не хочет сам возиться со сборкой, мы также выложим уже собранные пакеты.\nПо этому поводу хотим еще раз напомнить: никогда не скачивайте пакеты из неизвестных источников, помните, что в такой пакет злоумышленники могут поместить вредоносное ПО. Также после скачивания всегда проверяйте контрольные суммы, чтобы удостовериться, что вы скачали именно то, что выложил автор.\nМы крайне не рекомендуем собирать пакеты на рабочей системе, так как вам придется установить для этого очень много стороннего ПО и пакетов для разработчиков. Оптимально выделить для этого отдельный компьютер или виртуальную машину с той же версией ОС, для которой вы собираете пакеты, также эту машину впоследствии желательно сохранить, чтобы потом можно было выполнять повторные сборки при обновлении пакетов в репозитории. Помните, что сопровождение собранных вами пакетов будет являться вашей заботой.\nВ данной статье мы будем считать, что читатель знаком с базовыми навыками работы в среде Debian / Ubuntu и не будем подробно останавливаться на этих вопросах. Все описанные действия следует выполнять с правами суперпользователя.\nDebian 9 / Ubuntu 18.04 Прежде всего откроем список источников пакетов /etc/apt/sources.list и убедимся, что репозитории с исходными кодами подключены, от обычных они отличаются адресом, имея в начале deb-src, а не просто deb. Обычно в Debian они по умолчанию подключены, а в Ubuntu отключены, для включения следует просто раскомментировать строки начинающиеся на deb-src. После чего следует обновить список пакетов:\n1apt update Затем поставим инструменты для сборки из исходных кодов:\n1apt install fakeroot build-essential devscripts Добавим все необходимые пакеты для сборки Squid:\n1apt build-dep squid3 Установим библиотеку для поддержки SSL:\n1apt install libssl1.0-dev Убедитесь, что все пакеты установлены без ошибок, отсутствие любого из них приведет к ошибкам при сборке.\nПерейдем в домашнюю папку и создадим директорию для сборки, сразу установив на нее нужные права:\n1cd ~ 2mkdir build 3chown _apt:root build Перейдем в созданную директорию и скачаем исходные коды Squid:\n1cd build 2apt source squid3 При этом сразу будут наложены все необходимые патчи и создана среда для сборки. В директории build появится папка с именем squid3 и номером релиза, в нашем случае squid3-3.5.23, для осуществления сборки вы должны будете находится в ней.\nНо перед тем, как собирать пакет укажем свои параметры сборки, а именно включим поддержку ssl, для этого во вложенной папке debain найдем файл rules и откроем его. Найдем перечисление опций компиляции и добавим после них:\n1--enable-ssl \\ 2--enable-ssl-crtd \\ 3--with-openssl Обратите внимание, что все строки, кроме последней, должны заканчиваться символом \u0026quot;\\\u0026quot;. Если вы все сделали правильно, у вас должно получиться так: Сохраним этот файл, теперь можно собирать. Как мы уже писали выше, при сборке важно удостовериться, что вы находитесь в правильной директории, поэтому, на всякий случай, сменим ее принудительно:\n1cd ~/build/squid3-3.5.23 Информация Совет: при наборе длинных путей используйте автодополнение по клавише Tab.\nДля сборки пакетов выполните команду:\n1debuild -d Теперь можно смело идти пить, нет не пиво, кофе. В зависимости от мощности компьютера сборка может занять от десятков минут до получаса и более. Хотя бывалые линуксоиды говорят, что можно бесконечно смотреть на горящий огонь, текущую воду и собирающийся код...\nПо окончании сборки вы столкнетесь с ошибкой подписи пакетов, это нормально, ведь у вас нет закрытого ключа разработчика. Вернемся в директорию build в которой обнаружим достаточно много deb-пакетов, но нам нужны не все, будет достаточно squid-common (архитектура all), squid и squidclient (архитектура amd64 или i386).\nГотовые пакеты для Debian 9: Скачать squid-common_3.5.23-5+deb9u1_all.deb (md5: C0FAF3CBF4B5C6F1A2073F70AB44A28E) squidclient_3.5.23-5+deb9u1_amd64.deb (md5: F2CD156298E3FCC63643BB4BF8E9867E) squid_3.5.23-5+deb9u1_amd64.deb (md5: 034916E02E7B7AE7DB96D5FDC72EA241) Готовые пакеты для Ubuntu 18.04: Скачать squid-common_3.5.27-1ubuntu1.1_all.deb (md5: BAD808B1C0EBC43468AF443356FD4625) squidclient_3.5.27-1ubuntu1.1_amd64.deb (md5: 4C2F2CEE6C4FEBCA904D6FC775C16CBB) squid_3.5.27-1ubuntu1.1_amd64.deb (md5: F934542502AC74FF23C8B213CD2CCDCB) Кстати, для проверки контрольной суммы MD5 в Linux можете воспользоваться командой:\n1md5sum filename Ubuntu 16.04 Процесс сборки Squid для Ubuntu 16.04 ничем не отличается от сборки для Debian9 / Ubuntu 18.04 за одним небольшим исключением, вместо пакета libssl1.0-dev следует установить libssl-dev:\n1apt install libssl-dev Готовые пакеты для Ubuntu 16.04: Скачать squid-common_3.5.12-1ubuntu7.6_all.deb (md5: 7D7CA3EECADEDD7572C4418D84574DBD) squidclient_3.5.12-1ubuntu7.6_amd64.deb (md5: 65E261CCE66742D57FE8371F3B67D905) squid_3.5.12-1ubuntu7.6_amd64.deb (md5: CFCEAF456AE456446A31A06E66668620) Debian 10 / Ubuntu 20.04 В Debian 10 представлена гораздо более свежая версия Squid - 4.6 (в Ubuntu 20.04 - 4.10), однако ее сборка ничем не отличается от предыдущих версий. Небольшим отличием является, также как и в Ubuntu 16.04, использование пакета libssl-dev вместо libssl1.0-dev:\n1apt install libssl-dev Также в последующих командах следует указывать просто squid, а не squid3, однако это не является обязательным условием, система автоматически поправит вас в случае ошибки: Готовые пакеты для Debian 10: Скачать squid-common_4.6-1+deb10u6_all.deb (md5: de6b18253323de868252b22d3350f8a2) squidclient_4.6-1+deb10u6_amd64.deb (md5: 91925da22fab7deb893a395164a5ae14) squid_4.6-1+deb10u6_amd64.deb (md5: aff7058def1c79f65239f0df075d8927) Готовые пакеты для Ubuntu 20.04: Скачать squid-common_4.10-1ubuntu1.4_all.deb (md5: 0a4ec2c25972f164ca86c5e799442f94) squidclient_4.10-1ubuntu1.4_amd64.deb (md5: 51daa5d24e795e31b08c38dd15e71919) squid_4.10-1ubuntu1.4_amd64.deb (md5: 84bd3a2bcfe01ca3ca510f938a99be8b) ","id":"6fd1dca27583086ad3fadaf879bd4c20","link":"https://interface31.ru/post/sborka-squid-35-s-podderzhkoy-ssl-iz-ishodnyh-kodov-dlya-debian-ubuntu/","section":"post","tags":["Debian","Squid","Ubuntu Server","Сетевые технологии"],"title":"Сборка Squid с поддержкой SSL из исходных кодов для Debian / Ubuntu"},{"body":"RAID-массивы давно и прочно вошли в повседневную деятельность администраторов даже небольших предприятий. Трудно найти того, кто никогда не использовал хотя бы \u0026quot;зеркало\u0026quot;, но тем не менее очень и очень многие с завидной периодичностью теряют данные или испытывают иные сложности при эксплуатации массивов. Не говоря уже о распространенных мифах, которые продолжают витать вокруг вроде бы давно избитой темы. Кроме того, современные условия вносят свои коррективы и то, чтобы было оптимальным еще несколько лет назад сегодня утратило свою актуальность или стало нежелательным к применению.\nЧем является и чем не является RAID-массив Наиболее популярен миф, что RAID предназначен для защиты данных, многие настолько верят в это, что забывают про резервное копирование. Но это не так. RAID-массив никоим образом не защищает пользовательские данные, если вы захотите их удалить, зашифровать, отформатировать - наличие или отсутствие RAID вам абсолютно не помешает. Две основных задачи RIAD-массивов - это защита дисковой подсистемы от выхода из строя одного или нескольких дисков и / или улучшение ее параметров по сравнению с одиночным диском (получение более высокой скорости обмена с дисками, большего количества IOPS и т.д.).\nЗдесь может возникнуть некоторая путаница, ведь сначала мы сказали, что RAID не защищает, а потом выяснилось, что все-таки защищает, но никакой путаницы нет. Основную ценность для пользователя представляют данные, причем не некоторые абстрактные нули-единицы, кластеры и блоки, а вполне \u0026quot;осязаемые\u0026quot; файлы, которые содержат необходимую нам информацию, иногда очень дорогостоящую. Мы будем в последствии называть это пользовательскими данными или просто данными.\nRAID-контроллер о данных ничего не знает, он оперирует с блочными устройствами ввода-вывода. И все что поступает к нему от драйвера - это просто поток байтов, который нужно определенным образом разместить на устройствах хранения. Сам набор блочных устройств объединенных некоторым образом отдается системе в виде некоторой виртуальной сущности, которую принято называть массивом, а в терминологии контроллера - LUN, для системы это выглядит как самый обычный диск, с которым мы можем делать все что угодно: размечать, форматировать, записывать данные.\nКак видим, работа RAID-контроллера закончилась на формировании LUN и предоставлении его системе, поэтому защита контроллера распространяется только на этот самый LUN - т.е. логическая структура массива, которую система видит как жесткий диск, должна уцелеть при отказе одного или нескольких дисков составляющих этот массив. Ни более, ни менее. Все что находится выше уровнем: файловая система, пользовательские данные - на это \u0026quot;защита\u0026quot; контроллера не распространяется.\nПростой пример. Из \u0026quot;зеркала\u0026quot; вылетает один из дисков, со второго система отказывается грузиться, так как часть данных оказалась повреждена (скажем BAD-блок). Сразу возникает масса \u0026quot;претензий\u0026quot; к RAID, но все они беспочвенны. Главную задачу контроллер выполнил - сохранил работоспособность массива. А в том, что размещенная на нем файловая система оказалась повреждена - это вина администратора, не уделившего должного внимания системе.\nПоэтому следует запомнить - RAID-массив защищает от выхода из строя одного или нескольких дисков только самого себя, точнее тот диск, который вы видите в системе, но никак ни его содержимое.\nBAD-блоки и неисправимые ошибки чтения Раз мы коснулись содержимого, то самое время разобраться, что же с ним может быть \u0026quot;не так\u0026quot;. Начнем с привычного зла, BAD-блоков. Есть мнение, что если на диске появился сбойный сектор - то диск \u0026quot;посыпался\u0026quot; и его надо менять. Но это не так. Сбойные сектора могут появляться на абсолютно исправных дисках, просто в силу технологии, и ничего страшного в этом нет, обнаружив такой сектор контроллер просто заменит его в LBA-таблице блоком из резервной области и продолжит нормально работать дальше.\nДальше простая статистика, чем выше объем диска - тем больше физических секторов он содержит, тем меньше их физический размер и тем выше вероятность появления сбойных секторов. Грубо говоря, если взять произведенные по одной технологии диски объемом в 1ТБ и 4 ТБ, то у последнего вероятность появления BAD-блока в четыре раза выше.\nК чему это может привести? Про ситуацию, когда администратор не контролирует SMART и у диска давно закончилась резервная область мы всерьез говорить не будем, тут и так все понятно. Это как раз тот случай, когда диск реально посыпался и его нужно менять. Большую опасность представляет иная ситуация. Согласно исследованиям, достаточно большие объемы данных составляют т.н. cold data - холодные или замороженные данные - это массивы данных доступ к которым крайне редок. Этом могут быть какие-нибудь архивы, домашние фото и видеоколлекции и т.д. и т.п., они могут месяцами и годами лежать не тронутыми никем, даже антивирусом.\nЕсли в этой области данных возникнет сбойный сектор, то он вполне себе может остаться необнаруженным до момента реконструкции (ребилда) массива или попыток слить данные с массива с отказавшей избыточностью. В зависимости от типа массива такой сектор может привести от невозможности выполнить ребилд до полной потери массива во время его реконструкции. По факту невозможность считать данные с еще одного диска в массиве без избыточности можно рассматривать как отказ еще одного диска со всеми вытекающими.\nКроме физически поврежденных секторов на диске могут быть логические ошибки. Чаще всего они возникают, когда контроллер без резервной батарейки использует кеширование записи на диск. При неожиданной потере питания может выйти, что контроллер уже сообщил системе о завершении записи, но сам не успел физически записать данные, либо сделал это некорректно. Попав в область с холодными данными, такая ошибка тоже может жить очень долго, проявив себя в аварийной ситуации.\nНу и наконец самое интересное: неисправимые ошибки чтения - URE (Unrecoverable Read Error) или BER (Bit Error Ratio) - величина, показывающая вероятность сбоя на количество прочитанных головками диска бит. На первый взляд это очень большая величина, скажем для бытовых дисков типичное значение 10^14 (10 в 14 степени), но если перевести ее в привычные нам единицы измерения, то получим примерно следующее:\nHDD массовых серий - 10^14 - 12,5 ТБ HDD корпоративных серий - 10^15 - 125 ТБ SSD массовых серий - 10^16 - 1,25 ПБ SSD корпоративных серий - 10^17 - 12,5 ПБ В данном случае в качестве единицы измерения мы использовали десятичные единицы измерения объема, т.е. те, что написаны на этикетке диска, исходя из того, что 1 КБ = 1000 Б.\nЧто это значит? Это значит, что для массовых дисков вероятность появления ошибки чтения стремится к единице на каждые прочитанные 12,5 ТБ, что по сегодняшним меркам не так уж и много. Если такая ошибка будет получена во время ребилда - это, как и в случае со сбойным сектором, эквивалентно отказу еще одного диска и может привести к самым печальным последствиям.\nMTBF - наработка на отказ Еще один важный параметр, который очень многими трактуется неправильно. Если мы возьмем значение наработки на отказ для современного массового диска, скажем Seagate Barracuda 2 Тб ST2000DM008, то это будет 1 млн. часов, для диска корпоративной серии Seagate Enterprise Capacity 3.5 2 Тб ST2000NM0008 - 2 млн. часов. На первый взгляд какие-то запредельные цифры и судя по ним диски никогда не должны ломаться. Однако этот показатель определяет не срок службы устройства, а среднее вермя между отказами -MTBF ( Mean time between failures ) - а в качестве времени подразумевается время работы устройства.\nЕсли у вас есть 1000 дисков, то при MTBF в 1 млн. часов вы будете получать в среднем один отказ на 1000 часов. Т.е. большие значения оказываются не такими уж и большими. Для оценки вероятности отказа применяется иной показатель - AFR (Annual failure rate) - годовая частота отказов. Ее несложно рассчитать по формуле, где n - количество дисков:\n1AFR = 1 - exp(-8750*n/MTBF) Так для одиночного диска массовой серии годовая частота отказов составит 0,87%, а для корпоративных дисков 0,44%, вроде бы немного, но если сделать расчет для массива из 5 дисков, то мы получим уже 4,28% / 2,16%. Согласитесь, что вероятность отказа в 5% достаточно велика, чтобы сбрасывать ее со счетов. В тоже время такое знание позволяет обоснованно подходить к закупке комплектующих, теперь вы можете не просто апеллировать к тому, что вам нужны корпоративные диски, потому что они \u0026quot;энтерпрайз и все такое...\u0026quot;, а грамотно обосновать свое мнение с цифрами в руках.\nНо в реальной жизни не все так просто, годовая величина отказов не является статичной величиной, а подчиняется законам статистики, учитывающим совокупность реальных факторов. Не углубляясь в теорию мы приведем классическую кривую интенсивности отказов: За ним следует период нормальной эксплуатации t1-t2, вероятность отказов в котором невелика и соответствует расчетным значениям (т.е. тем показателям, которые мы вычислили выше).\nПравее отметки t2 на графике начинается период износовых отказов, когда оборудование начинает выходить из строя выработав свой ресурс, повышенная нагрузка будет только усугублять этот показатель. Также обратите внимание, что функция износа изменяется не линейно, по отношении ко времени, а по логарифмической функции. Т.е. в периоде износа отказы будут увеличиваться постепенно, а не сразу, но, с какого-то момента стремительно.\nК чему это может привести? Скажем, если вы эксплуатируете массив, находящийся в периоде износовых отказов и у него выходит из строя один из дисков, то повышенная нагрузка во время ребилда способна привести к новым отказам, что чревато полной потерей массива и данных.\nДля жестких дисков и SSD, согласно имеющейся статистики, период приработки где-то равен 3-6 месяцам. А период износовых отказов следует начинать отсчитывать с момента окончания срока гарантии производителя. Для большинства дисков это два года. Это хорошо укладывается в ту же статистику, которая фиксирует увеличение количества отказов на 3-4 году эксплуатации.\nМы не будем сейчас делать выводы и давать советы, приведенных нами теоретических данных вполне достаточно, чтобы каждый мог самостоятельно оценить собственные риски.\nНемного терминологии Прежде чем двигаться дальше - следует определиться с используемыми терминами, тем более что с ними не все так однозначно. Путаницу вносят сами производители, используя различные термины для обозначения одних и тех же вещей, а перевод на русский часто добавляет неопределенности. Мы не претендуем на истину в последней инстанции, но в дальнейшем будем придерживаться описанной ниже системы.\nВесь входящий поток данных разбивается контроллером на блоки определенного размера, которые последовательно записываются на диски массива. Каждый такой блок является минимальной единицей данных, с которой оперирует RAID-контроллер. На схеме ниже мы схематично представили массив из трех дисков (RAID 5). Группа блоков (чанков) расположенная по одинаковым адресам на всех дисках массива обозначается в русскоязычных терминах как лента или полоса. В англоязычной снова используется Stripe, а также**\u0026quot;страйп\u0026quot;** в переводах, что в ряде случаев способно внести путаницу, поэтому при трактовании термина всегда следует учитывать контекст его употребления.\nКаждая полоса содержит либо набор данных, либо данные и их контрольные суммы, которые вычисляются на основе данных каждой такой полосы. Глубиной или шириной полосы (Stripe width/depth) называется объем данных, содержащийся в каждой полосе.\nТак если размер чанка равен 64 КБ (типовое значение для многих контроллеров), то вычислить ширину полосы мы можем, умножив это значение на количество дисков с данными в массиве. Для RAID 5 из трех дисков - это два, поэтому ширина полосы будет 128 КБ, для RAID 10 из четырех дисков - это четыре и ширина полосы будет 256 КБ.\nRAID 0 Перейдем, наконец от теории, к разбору конкретных реализаций RAID. Из всех вариантов RAID 0 - единственный тип массива, который не содержит избыточности, также его еще называют чередующимся массивом или страйпом (Stripe). Несложно заменить, что отказ даже одного диска будет для массива фатальным, поэтому в чистом виде он практически не используется, разве что в тех случаях, когда на первый взгляд выходит быстродействие, при низких требованиях к сохранности данных. Например, рабочие станции, которые размещают на таких массивах только рабочий набор данных, который обрабатывается в текущий момент.\nRAID 1 Один из самых популярных видов массивов, знакомый, пожалуй, каждому. RAID 1, он же зеркало (Mirror), состоит обычно из двух дисков, данные на которых дублируют друг друга. Но за это приходится платить большими потерями емкости - емкость массива равна емкости одного диска, поэтому зеркала с более чем двумя дисками на практике не используют. Также это негативно сказывается на быстродействии. Вспомним, что еще одной причиной объединения дисков в массивы является увеличение быстродействия, при этом важна не линейная скорость записи / чтения, а количество операций ввода вывода в секунду - IOPS - которые может предоставить диск.\nВ первом приближении общее количество IOPS массива - это суммарное количество IOPS его дисков, но на практике оно будет меньше за счет накладных расходов в самом массиве. В RAID 1 для выполнения одной операции записи массив производит две записи данных, по одной на каждый диск. Этот параметр называется RAID-пенальти и показывает сколько операций ввода вывода делает массив для обеспечения одной операции записи. Операции чтения не подвержены пенальти.\nДля RAID 1 пенальти равно двум. Поэтому его производительность на запись не отличается от производительности одиночного жесткого диска. На чтение, теоретически, можно достичь двойной производительности за счет одновременного чтения с разных дисков, но на практике такая функция в контроллерах не реализуется. Поэтому чтение с зеркала также не отличается по производительности от одиночного диска.\nКак видим, RAID 0 предоставляет нам высокую производительность при отсутствии надежности, а RAID 1 - высокую надежность без увеличения производительности. Поэтому существуют комбинированные уровни RAID, сочетающие достоинства нескольких типов массивов.\nRAID 01 (0+1) Этот тип массива часто путают с RAID 10, но это неверно, первым числом в наименовании массива всегда указывается вложенный массив, а вторым - внешний. Таким образом RAID 01 - зеркало из страйпов, а RAID 10 - страйп из зеркал. Какая разница? А вот сейчас и посмотрим. Так как внешним массивом является RAID 1 - зеркало, то на оба вложенных чередующихся массива подается одинаковый набор данных, который распределяется без избыточности по дискам массива. В итоге получаем два одинаковых RAID 0 массива, которые собраны в зеркало.\nЧто случится при отказе одного диска? Ничего страшного, массив выдерживает такой отказ. А если выйдут из строя два? В этом случае возможны варианты: Для массива из четырех дисков (а это минимальное количество для этого уровня RAID) у нас есть шесть вариантов отказа двух дисков. Исходя из того, что отказ из любого диска RAID 0 является для него фатальным, то получаем 4 отказа из 6 или 66,67%. Т.е. при потере двух дисков вы потеряете свои данные с вероятностью 66,67%, что довольно-таки много.\nRAID 10 \u0026quot;Десятка\u0026quot; также собирается минимум из 4 дисков, но внутренняя структуре ее зеркально отличается от 0+1: Массив верхнего уровня RAID 0 - делит входящие данные и распределяет их между низлежащими массивами RAID 1. В итоге получаем чередующийся массив из нескольких зеркал. В чем тут принципиальная разница с предыдущим массивом? А вот в чем, снова рассмотрим ситуацию отказа сразу двух дисков: В отличие от страйпа, для отказа зеркала нужен выход из строя обоих диском массива и только эта ситуация приведет к полному отказу RAID 10, из 6 вариантов это произойдет только в двух случаях, т.е. вероятность потери данных при отказе двух дисков в RAID 10 равна 33,33%. А теперь сравните это с 66,77% у RAID 0+1, поэтому в настоящее время применяется исключительно RAID 10, так как при одинаковых показателях производительности обеспечивает гораздо более высокую надежность.\nПенальти RAID 10, также, как и RAID 1 равно двум, но за счет наличия четырех дисков он обеспечивает скоростные показатели аналогичные RAID 0 при надежности сопоставимой с RAID 1, емкость массива равна емкости половины его дисков.\nНа сегодня RAID 10 - наиболее производительный RAID-массив с высокой надежностью, его единственный и довольно существенный недостаток - высокие накладные расходы - 50% (половина дисков используется для создания избыточности).\nRAID 5 Существует распространенное заблуждение, что RAID 5 (и RAID 6) - это более \u0026quot;крутые\u0026quot; уровни RAID, правда редко кто при этом может пояснить чем они \u0026quot;круче\u0026quot;, но миф продолжает жить и очень часто администраторы выбирают уровень RAID исходя из таких вот заблуждений, а не реальных показателей.\nУстройство RAID 5 более сложно, чем у \u0026quot;младших\u0026quot; уровней RAID и здесь появляется понятие контрольной суммы, на же Рarity, четность. В основу алгоритма положена логическая функция XOR (исключающее ИЛИ), так для трех переменных будет справедливо равенство:\n1a XOR b XOR c = p Где p - контрольная сумма или четность. При этом мы всегда можем вычислить любую из переменных зная четность и остальные значения, т.е.:\n1a = p XOR b XOR c 2b = a XOR p XOR c 3c = a XOR b XOR p Данные формулы остаются справедливы для любого количества переменных, позволяя обходится единственным значением четности. Таким образом минимальное количество дисков в RAID 5 будет равно трем: два диска для данных и один диск для четности. Раньше существовали реализации RAID 3 и 4, которые использовали для хранения блоков четности отдельный диск, что приводило к высокой нагрузке на него, в RAID 5 поступили иначе. Здесь данные точно также разбиваются на блоки и распределяются по дискам, как в RAID 0, но появляется еще и понятие полосы, для каждой полосы данных вычисляется контрольная сумма и записывается в той же полосе на отдельном диске, т.е. один из дисков полосы выполняет роль диска для хранения четности. В следующей полосе происходит чередование дисков, теперь два других диска будут хранить данные, а третий четность. Таким образом достигается равномерное использование всех дисков, что снижает нагрузку на диски и повышает производительность массива в целом.\nОсновным стимулом создания RAID 5 было более оптимальное использование дисков в массиве, так в массиве из 3 дисков накладные расходы RAID 5 составят 33%, из 4 дисков - 25 %, из 6 дисков - 16%. Но при этом вырастает пенальти, в RAID 5 на одну операцию записи приходятся операции: чтение данных, чтение четности, запись новых данных, запись четности. Таким образом пенальти для RAID 5 составляет четыре.\nЭто означает, что производительность на запись массивов из небольшого числа дисков (менее 5) будет ниже, чем у одиночного диска, но производительность чтения будет сравнима с RAID 0. При этом массив допускает отказ любого одного диска.\nВ этом месте мы подходим к развенчанию одного из мифов, что RAID 5 \u0026quot;круче\u0026quot;, нет, он не \u0026quot;круче\u0026quot;, а по производительности даже уступает тому же RAID 10 (а иногда даже и зеркалу). Но по соотношению производительности, накладных расходов и надежности данный уровень RAID представлял наиболее разумный компромисс, что и обеспечило его популярность.\nВнимательный читатель заметит, что в прошлом абзаце мы высказались о преимуществах RAID 5 в прошедшем времени, действительно это так, но, чтобы понять почему, следует поговорить о недостатках, которые наиболее ярко проявляются при выходе из строя одного из дисков.\nВ отличие от RAID 1 / 10 при отказе диска RAID 5 не будет содержать полной копии данных, только их часть плюс контрольные суммы. Это означает что у нас появится пенальти на чтение - для чтения недостающего фрагмента данных нам потребуется полностью считать полосу и провести ряд вычислений для восстановления отсутствующих значений. Это резко снижает производительность массива и увеличивает нагрузку на него, что может привести к выходу из строя оставшихся дисков.\nПри отказе одного диска массив переходит в режим деградации, при этом по его надежность начинает соответствовать RAID 0, т.е. отказ еще одного диска, BAD-блок или ошибка URE могут стать для него фатальными. При замене неисправного диска массив переходит в режим реконструкции (ребилда), который сопряжен с высокой нагрузкой на оборудование, так как для восстановления контроллер должен прочитать весь объем данных массива. Любой сбой в процессе ребилда также может привести к полному разрушению массива.\nА теперь вспомним значение URE для современных массовых дисков - 10^14, что это значит в нашем случае? А то, что собрав RAID 5 из четырех дисков на 4 ТБ (с объемом данных 12 ТБ) вы с вероятностью очень близкой к 100% получите невосстановимую ошибку чтения при ребилде и потеряете массив полностью.\nНо это не значит, что RAID 5 изначально имел столь критические недостатки. Вернемся на 10 лет назад, основной объем ходовых моделей дисков тогда составлял 250-500 ГБ, URE для популярной тогда серии Barracuda 7200.10 был теми же 10^14, а MTBF был немного ниже - 700 тыс. часов.\nДопустим мы собрали тогда массив из 4 дисков по 750 ГБ (топовые диски на тот момент), объем данных такого массива составит 2,25 ТБ, вероятность получить URE будет в районе 18%. В общем и целом - немного, большинство успешно реконструировало массив, а голоса тех, кому не повезло, тонули в общем хоре тех, у кого все было хорошо.\nНо сегодня RAID 5 в принципе неприменим с массовыми сериями дисков, и с определенными оглядками применим на корпоративных сериях. Не смотря на более высокое значение URE последних, не будем забывать о возможных сбойных областях в зоне холодных данных, а чем больше объем дисков, тем больше секторов, тем больше вероятность сбоя в одном из них.\nТакже это хорошая иллюстрация пагубности мифов, так как собрав сегодня \u0026quot;крутой\u0026quot; массив RAID 5 вы с очень большой вероятностью просто угробите все свои данные при отказе одного из дисков.\nRAID 5E Как мы уже успели выяснить, ситуация с отказом одного из дисков является для RAID 5 критической - массив переходит в режим деградации с серьезным падением производительности и существенным ростом нагрузки на диски, а его надежность падает до уровня RAID 0 и любая ошибка способна полностью разрушить массив с полной потерей данных. Поэтому чем быстрее мы заменим сбойный диск - тем скорее выведем массив из зоны риска.\nПервоначально этот вопрос решался, да и решается до сих пор, выделением диска горячей замены. Такой диск может быть выделенным, т.е. привязанным к указанному массиву, или разделяемым, тогда в случае отказа он будет использован одним из отказавших массивов. Но у этого подхода есть серьезный недостаток - фактически мы никак не используем резервный диск, а так как отказы происходят не каждый день, то его ресурс просто тратится впустую.\nRAID 5E предлагает иной подход, пространство резервного диска разделяется между остальными дисками и остается неразмеченным в конце каждого диска массива. Такой подход связан с некоторыми ограничениями, а именно - один раздел на один массив. Из плюсов - более высокая производительность за счет использования дополнительного диска. Что происходит при отказе? Массив автоматически начинает реконструкцию размещая данные в неразмеченной области (производит сжатие), после чего массив фактически превращается в простой RAID 5 и способен выдержать отказ еще одного диска (но не во время перестроения).\nПри замене неисправного диска массив переносит данные из резервной области на новый диск и снова начинает работать как RAID 5E (производит развертывание), при этом операция развертывания не сопряжена с дополнительными рисками, отказ диска или ошибка в данной ситуации не будут фатальными.\nRAID 5EE Дальнейшее развитие RAID 5E, в котором отказались из за размещения резервной области в конце диска (самая медленная его часть), а разбили ее на блоки и также как и блоки четности начали чередовать между дисками. Основное преимущество такого подхода - это более быстрый процесс реконструкции, а так как в этом состоянии массив особо уязвим, то уменьшение времени ребилда - это повышение надежности всего массива. Кроме того, такой подход позволяет выровнять нагрузку по дискам, что должно положительно сказываться на надежности. Ограничения остались те же - один раздел на один массив.\nТакже ни RAID 5E, ни RAID 5EE не лишились недостатка простого RAID 5 - на современных объемах массивов вероятность успешного ребилда такого массива очень невелика.\nRAID 6 В отличие от RAID 5 этот массив использует две контрольные суммы и два диска четности, поэтому для него понадобятся 4 диска, при этом допускается выход из строя двух из них. Также, как и у RAID 5 алгоритм позволяет использовать всего две контрольные суммы вне зависимости от ширины полосы и общий объем массива всегда будет равен объему всех дисков за вычетом двух. При отказе одного диска RAID 6 выдерживает отказ еще одного, либо ошибку чтения без фатальных последствий. Казалось бы, вот он - новый компромисс, замена RAID 5 в современных условиях и т.д. и т.п., но за все надо платить. Одна операция записи на такой массив требует большего количества операций внутри массива: чтение данных, чтение четности 1, чтение четности 2, запись данных, запись четности 1, запись четности 2 - итого 6 операций, таким образом пенальти RAID 6 равен шести.\nВ общем, повысив надежность, данный массив существенно потерял в производительности настолько, что многие поставщики не рекомендуют его использование кроме как для хранения холодных данных.\nИ снова вернемся к мифам: RAID 6 это \u0026quot;круто\u0026quot;? Может быть, во всяком случае за свои данные можно не беспокоиться. А почему так медленно? Так это плата за надежность...\nRAID 6E По сути, тоже самое, что и RAID 5E. Резервный диск точно также распределяется в виде неразмеченного пространства в конце дисков, с теми же самыми ограничениями - один раздел на один массив. Ну и добавьте еще один диск в минимальное количество для массива, для RAID 5E это было 4, для RAID 6E - 5.\nRAID 50 и RAID 60 Комбинированные массивы, аналогичные RAID 10, только вместо зеркала используется чередование нескольких массивов RAID 5 или RAID 6. Основная цель при создании таких массивов - более высокая производительность, надежность их в минимальном варианте соответствует надежности внутреннего массива, но в зависимости от ситуации может выдерживать отказ и большего количества дисков.\nЗаключение Данная статья в первую очередь предназначена для исключения пробелов в знаниях и не претендует на какие-либо рекомендации. Тем не менее кое какие выводы можно сделать. RAID 5 в современных условиях применять не следует, скорее всего вы потеряете свои данные в любой нештатной ситуации.\nRAID 10 остается наиболее производительным массивом, но имеет большие накладные расходы - 50%.\nRAID 6 имеет наиболее разумное сочетание надежности и накладных расходов, но его производительность оставляет желать лучшего.\nПри этом мы оставили за кадром многие технологии, скажем RAID DP - реализацию RAID 6 от производителя систем хранения NetApp, которая предлагает все достоинства RAID 6 вкупе в высокой производительностью, на уровне RAID 0. Или RAID-Z - систем на основе ZFS, которые являются программными реализациями и для обзора которых потребуется отдельная статья.\nТакже мы надеемся, что данный материал поможет вам в осознанном выборе уровня RAID-массива согласно вашим требованиям.\n","id":"e0cbc5f05ed43dcc94737ade4fb27491","link":"https://interface31.ru/post/raid-likbez/","section":"post","tags":["HDD","RAID","Производительность","Файловый сервер"],"title":"RAID массивы - краткий ликбез"},{"body":"Продолжая тему виртуализации на основе Hyper-V в данном материале мы рассмотрим установку и настройку бесплатного гипервизора Hyper-V Server 2016. Основным отличием этой версии от Hyper-V как роли Windows Server является его полная бесплатность - вам не требуются лицензии на серверную версию ОС и благодаря минимальному числу служб повышается стабильность, уменьшается возможный периметр атаки и сокращаются затраты на обслуживание. За это приходится платить более сложным процессом установки и настройки о которых мы расскажем в данной статье.\nНа момент написания данной статьи Hyper-V Server 2016 является предпоследней версией гипервизора, однако в Hyper-V Server 2019 были обнаружены ошибки и релиз был отозван, в настоящий момент он недоступен для скачивания. А с учетом здоровой консервативности, версию 2016 можно смело рассматривать как основной гипервизор для современных внедрений, актуальность которого будет сохраняться еще как минимум в течении года - полутора, пока в новой версии найдут и исправят все ошибки, а также отшлифуют огрехи.\nПолучить Hyper-V Server 2016 можно на официальном сайте, для скачивания вам потребуется учетная запись Microsoft, либо будет необходимо заполнить небольшую анкету. При этом мы настоятельно не рекомендуем скачивать установочный образ из иных, непроверенных источников.\nУстановка и первоначальная настройка Hyper-V Server Мы не будем подробно останавливаться на процессе установки - он ничем не отличается от установки других продуктов Microsoft и не должен вызвать каких-либо сложностей. При первой загрузке вы попадете в интерфейс командной строки, в которой вам предложат изменить пароль Администратора, будьте внимательны, в русской системе по умолчанию активирована русская раскладка. После чего нас встретит уже знакомый с версии Hyper-V Server 2012 текстовый интерфейс конфигурации сервера. Если вы случайно закрыли это окно, то повторно его можно вызвать командой:\n1sconfig Если же вы закрыли все окна и оказались перед пустым экраном, то нажмите Ctrl+Shift+Esc, данное сочетание клавиш работает в том числе и в RDP-сессии и вызывает диспетчер задач, с помощью которого вы можете запустить командную строку или утилиту конфигурации.\nДалее идем практически по порядку. Но первым шагом следует изменить имя сервера на что-нибудь более информативное и удобное, в нашем случае это будет HV-CORE-2016. Затем, при необходимости, изменяем рабочую группу или присоединяем сервер к домену. Также рекомендуется добавить локального администратора, чтобы не использовать встроенную учетную запись.\nЕсли вы хотите, чтобы ваш сервер отвечал на пинги, то следует явно разрешить такое поведение в пункте 4) Настройка удаленного управления, которое также должно быть включено. Следующий пункт - Параметры центра обновления Windows имеют по умолчанию настройку Только скачивание, это означает, что установку обновлений вам надо будет запускать вручную. Если ваши виртуальные машины не предполагают режима работы 24/7 есть смысл рассмотреть вариант настройки Автоматически, тем более новая система обновлений предусматривает получение накопительного пакета один раз в месяц.\nЗатем включаем удаленный рабочий стол (пункт 7) и настраиваем сетевые параметры (пункт 8). Отдельным пунктом нас ожидает телеметрия (куда же без нее), полностью отключить ее невозможно, поэтому устанавливаем минимальный уровень - Безопасность. После того, как вы настроили сеть дальнейшую работу с сервером удобнее производить по RDP, как минимум это позволить вам просто скопировать некоторые длинные команды. Но перед тем, как двигаться дальше следует скачать и установить доступные обновления (пункт 6). В этом выпуске разработчики учли свои ошибки (в версии 2012 требовалось указывать совсем иные буквы, нежели было написано) и все параметры соответствуют указанным на экране, также, во избежание разночтений, используются только буквы латинского алфавита. Обновлений немного, всего три пакета, однако накопительный пакет старый - май 2018. Поэтому после установки обновлений их поиск следует повторить. Действительно, теперь нам стал доступен последний накопительный пакет. Данный пример очень хорошо иллюстрирует все достоинства новой модели обновления. Чтобы привести в актуальное состояние систему, выпущенную более 2,5 лет назад, нам потребовалось всего четыре пакета обновления и менее часа времени.\nДля полноценного удаленного управления данным сервером нужно включить соответствующие правила брандмауэра, для этого выйдем в командную строку и запустим оболочку PowerShell:\n1powershell Цвет окна при этом останется черным, но в начале приглашения командной строки появятся буквы PS. Затем последовательно выполним следующие команды:\n1Enable-NetFireWallRule -DisplayName \u0026#34;Инструментарий управления Windows (DCOM - входящий трафик)\u0026#34; 2Enable-NetFireWallRule -DisplayGroup \u0026#34;Удаленное управление журналом событий\u0026#34; 3Enable-NetFireWallRule -DisplayGroup \u0026#34;Удаленное управление Windows\u0026#34; 4Enable-NetFireWallRule -DisplayGroup \u0026#34;Удаленное управление томами\u0026#34; 5Enable-NetFireWallRule -DisplayGroup \u0026#34;Удаленное управление брандмауэром Windows\u0026#34; 6Enable-NetFireWallRule -DisplayGroup \u0026#34;Удаленное управление назначенными задачами\u0026#34; для англоязычного выпуска Hyper-V эти команды будут выглядеть следующим образом:\n1Enable-NetFireWallRule -DisplayName \u0026#34;Windows Management Instrumentation (DCOM-In)\u0026#34; 2Enable-NetFireWallRule -DisplayGroup \u0026#34;Remote Event Log Management\u0026#34; 3Enable-NetFireWallRule -DisplayGroup \u0026#34;Remote Service Management\u0026#34; 4Enable-NetFireWallRule -DisplayGroup \u0026#34;Remote Volume Management\u0026#34; 5Enable-NetFireWallRule -DisplayGroup \u0026#34;Windows Firewall Remote Management\u0026#34; 6Enable-NetFireWallRule -DisplayGroup \u0026#34;Remote Scheduled Tasks Management\u0026#34; На этом настройку сервера можно считать законченной, и мы перейдем к настройке клиентского ПК.\nНастройка клиента для работы с Hyper-V Server Для работы с Hyper-V Server 2016 вам потребуется ПК с операционной системой Windows 10 версий Pro или Enteprise х64, иные редакции или 32-х разрядные версии не подойдут, так как в них нет возможности установить диспетчер Hyper-V.\nПрежде всего проверим, что сервер доступен по своему сетевому имени, в доменной сети ему должна соответствовать A-запись на DNS-сервере, в одноранговой сети такую запись потребуется создать вручную на локальном DNS, либо добавить нужную запись в файл hosts клиентской машины, в нашем случае она выглядит следующим образом:\n1192.168.16.146 HV-CORE-2016 Если учетная запись под которой вы работаете на клиентском ПК отличается от учетных данных администратора Hyper-V, а это практически всегда так, даже если вы работаете в доменной сети (мы надеемся, что вы не используете в повседневной деятельности учетку Администратора домена), то следует явно указать учетные данные для соединений с сервером командой:\n1cmdkey /add:HV-CORE-2016 /user:Администратор /pass:MyPa$$word В особых пояснениях данная команда не нуждается, мы указали сетевой узел и учетные данные для подключения к нему. Если вы будете подключаться к нескольким серверам, то необходимо выполнить данное действие для каждого из них.\nТеперь запустим консоль PowerShell от имени Администратора и выполним следующую команду:\n1winrm quickconfig Утвердительно отвечаем на все вопросы, при этом будет настроен автоматический запуск службы WinRM и созданы разрешающие правила в брандмауэре. После чего добавим наш сервер в доверенные узлы:\n1Set-Item WSMan:\\localhost\\Client\\TrustedHosts -Value \u0026#34;HV-CORE-2016\u0026#34; Если серверов несколько - добавляем в доверенные каждый из них.\nТеперь через командную строку или команду Выполнить (Win + R) запустим оснастку dcomcnfg, в ней разверните дерево Службы компонентов - Компьютеры - Мой компьютер. После чего по щелчку правой кнопки мыши выберите Свойства и перейдите на закладку Безопасность COM - Права доступа - Изменить ограничения и в открывшемся окне установите для пользователя АНОНИМНЫЙ ВХОД права Удаленный доступ. Теперь попробуем подключиться к удаленному серверу. Запустите оснастку Управление компьютером и щелкнув правой кнопкой на верхнем уровне выберите Подключиться к другому компьютеру. После чего вы сможете управлять удаленным сервером используя привычные инструменты. Можно просмотреть журнал событий: Управлять заданиями планировщика, дисками, службами: Единственной недоступной оснасткой останется Диспетчер устройств, при желании его можно включить, но особого смысла в этом нет, так как он будет доступен только на чтение.\nТеперь установим Диспетчер Hyper-V, для этого откроем оснастку Программы и компоненты и перейдем во Включение или отключение компонентов Windows. В открывшемся окне найдем пункт Hyper-V и отметим для установки Средства управления Hyper-V. После чего запустим установленную оснастку и подключимся к серверу Hyper-V. В первую очередь обеспечим связь наших виртуальных машин с внешним миром, для этого перейдем в Диспетчер виртуальных коммутаторов и создадим новый коммутатор с типом Внешний и укажем для него ту сетевую карту, которая смотрит в локальную сеть. Более подробно о настройке сети в Hyper-V вы можете прочитать здесь. Для того, чтобы установить ОС на виртуальную машину нам потребуется передать на сервер Hyper-V установочный образ, это можно легко сделать через подключение к стандартным общим ресурсам, например, набрав в адресной строке проводника:\n1\\\\HV-CORE-2016\\C$ мы попадем на диск C сервера. Мы не будем подробно рассматривать процесс создания новой виртуальной машины, но обратим внимание на некоторые моменты. Прежде всего Снимки они же Контрольные точки, это удобно для целей настройки и тестирования, но не следует использовать их в продакшене, поэтому использование снимков у рабочих виртуальных машин следует отключить (можно оставить на период настройки, но обязательно выключить перед вводом в эксплуатацию). Также обязательно настройте поведение виртуальной машины при перезагрузке сервера. Для этого в пунктах Автоматическое действие при запуске и Автоматическое действие при завершении укажите желаемое поведение. Обратите внимание, что при выборе пункта Сохранять состояние виртуальной машины следует проверить поведение прикладного ПО в этом режиме, так как не все приложения корректно ведут себя при выходе виртуальной машины из этого режима.\nДля примера мы создали новую виртуалку и без каких-либо проблем установили туда свежую Ubuntu 19.04. Как видим, работа с Hyper-V Server 2016 не доставляет никаких сложностей, достаточно лишь один раз выполнить ряд действий по настройке сервера и клиента, в чем вам поможет данная статья.\n","id":"64b6470d064ab809062e5c3a07a2b764","link":"https://interface31.ru/post/ustanovka-i-nastroyka-hyper-v-server-2016/","section":"post","tags":["Hyper-V","Windows Server","Windows Server 2016","Windows Server Core","Виртуализация"],"title":"Установка и настройка Hyper-V Server 2016"},{"body":"Вообще-то этой заметке самое место в отсутствующем на нашем блоге разделе \u0026quot;Юмор\u0026quot;, но после того, как эту тему подняли практически все серьезные издания, стало как-то не смешно. Компания Microsoft широкой огласке придала факт того, что начиная с нового релиза 1809 была изменена политика по умолчанию в отношении внешних накопителей. Теперь вместо режима высокой производительности будет использоваться режим быстрого извлечения, что позволит просто отключать устройства без каких-либо подготовительных действий. Должно быть это \u0026quot;серьезное\u0026quot; нововведение, особенно с учетом получившейся огласки, но на самом деле все гораздо интереснее.\nДа, мы понимаем, что в современном мире новостные издания иногда вынуждены буквально высасывать \u0026quot;новости\u0026quot; из пальца. Но когда о неком нововведении начинают писать далекие от IT издания, то возникают закономерные вопросы. Прежде всего о том, что освещаемое событие должно иметь определенную значимость далеко за пределами \u0026quot;узкого круга\u0026quot; IT специалистов. Скажем, когда об этом пишет Коммерсантъ: Глядя на всю эту информационную пену, складывается впечатление что мы долгие годы жили без столь нужной и полезной функции и вот наконец-то она появилась. Сразу сделаем небольшое лирическое отступление, а именно что такое функция безопасного извлечения и для чего она нужна.\nМногие далекие от компьютеров люди считают, что небезопасное извлечение способно повредить флешку, однако это не так. Существует такое понятие, как отложенная запись, когда в целях повышения производительности файлы, предназначенные к записи на флешку сразу туда не записываются, а помещаются в кеш, а затем сбрасываются из него на носитель в фоновом режиме. Если в это время извлечь накопитель, то файлов на нем может и не оказаться, либо они окажутся повреждены. Безопасное извлечение как раз завершает процесс отложенной записи и гарантирует наличие записанных файлов на сменном носителе.\nТеперь же отложенная запись по умолчанию будет выключена что позволит в любой момент просто так \u0026quot;безопасно\u0026quot; выдернуть флешку или внешний жесткий диск. Вроде бы все хорошо, если бы не упрямые факты.\nВсю эту красоту нам обещают начиная с Windows 10 October 2018 Update она же версия 1809 build 17763.379.\nХорошо, но как быть с этим:\nWindows 10 1803 build 17143.345 Политика по умолчанию - быстрое извлечение, т.е. анонсированная новость оказалась вовсе не новостью.\nWindows 8.1 build 9600 Оказывается, спокойно выдергивать флешки можно было еще раньше, Windows 8.1 также имеет политику Быстрое удаление по умолчанию.\nWindows 7 build 7601 Выдернуть флешку? В Семерке? Да выдергивайте на здоровье...\nWindows Vista build 6002 Да, в наших закромах есть и Windows Vista, в ней тоже можно \u0026quot;небезопасно\u0026quot; извлекать флешки.\nWindows XP build 2600 Вы, наверное, уже будете смеяться, но и в Windows XP политика по умолчанию - быстрое удаление (та самая, которую \u0026quot;включили\u0026quot; в 1809).\nWindows 2000 build 2195 Ну наконец-то! Windows 2000 просто ничего не знает про эти ваши политики, хотя значок безопасного извлечения в трее у нее был. И в чем тогда заключается \u0026quot;новость\u0026quot;? Которая \u0026quot;прокисла\u0026quot; где-то на 18 лет, если считать от даты выхода Windows XP. Хотя есть мнение, что причастные к ней в те далекие и светлые времена еще пешком под стол ходили и подробностей могут не знать...\nВ общем что это было - непонятно, то ли очередная \u0026quot;победа\u0026quot; маркетологов над здравым смыслом, то ли пробивший новое дно общий уровень некомпетентности текущей команды Microsoft. Ведь додумался кто-то дать широкую огласку этому \u0026quot;событию\u0026quot;. Только вот глядя на весь этот цирк смеяться почему-то не хочется, а наоборот становится очень грустно.\n","id":"fdfede9ff6e907a281c3b2281e5c6b27","link":"https://interface31.ru/post/microsoft-razreshila-vynimat-fleshku-bez-bezopasnogo-izvlecheniya/","section":"post","tags":["Microsoft","Windows 10"],"title":"Microsoft \"разрешила\" вынимать флешку без безопасного извлечения"},{"body":"Объемы данных в современных системах растут с каждым днем и тот объем, который еще вчера считался достаточным, сегодня уже не способен удовлетворить текущие требования. Также дешевеют носители данных, особенно это касается твердотельных накопителей, что рано или поздно поставит администратора перед необходимостью апгрейда дисковой подсистемы. Но как быть, если вы используете программный RAID в Linux? В этой статье мы рассмотрим наиболее часто встречающийся сценарий с заменой дисков на более емкие и расширением объема массива.\nНесмотря на то, что в качестве примера мы использовали Debian 9 все нижеизложенное будет справедливо для любого базирующегося на Debian дистрибутиве, а с небольшими поправками (там, где касается установки загрузчика) для любой Linux-системы.\nПо условиям задачи в нашем распоряжении есть виртуальная машина, в которой на двух дисках собраны два RAID1 для корневого раздела и подкачки, диски являются загрузочными. Мы специально выбрали такую конфигурацию, чтобы охватить все возможные сценарии и показать общие принципы работы с программным RAID при его расширении. При этом используемая конфигурация не является оптимальной или рекомендуемой, мы создали ее сугубо в образовательных целях.\nИтак, у нас в системе используются два виртуальных жестких диска объемом 20 ГБ которые мы хотим заменить на новые виртуальные диски объемом в 30 ГБ желательно без существенного простоя системы.\nПрежде всего ознакомимся с текущей конфигурацией дисковой подсистемы. Будет очень полезно выполнить перезагрузку и войдя в BIOS уточнить с какого именно физического диска мы загружаемся. В нашем случае это первый физический диск. Теперь загрузимся в систему и выполним команду:\n1lsblk ее вывод позволяет в удобном виде увидеть структуру текущей дисковой подсистемы. Следующим шагом нам нужно посмотреть разметку на физических дисках, это можно сделать при помощи утилиты fdisk, но лучше использовать ее аналог с псевдографическим интерфейсом - cfdisk. Запустим ее с указанием интересующего нас диска:\n1cfdisk /dev/sda Здесь мы видим, что диск имеет таблицу разделов MBR (Label: dos в шапке) и содержит первичный раздел sda1 объемом 16,8 ГБ типа fd Linux RAID, а также логический раздел sda2, в котором находится еще один раздел типа fd Linux RAID размером 3,2 ГБ -sda5.\nЗапомним эти данные, так как аналогичную по структуре разметку нам нужно будет воспроизвести на новом жестком диске. Для этого нам нужно заменить один из старых дисков массива на новый, так как загрузились мы с первого физического диска, т.е. sda, то заменить нам следует sdb. Поэтому пометим его как сбойный для каждого из расположенных на нем массивов:\n1mdadm -f /dev/md0 /dev/sdb1 2mdadm -f /dev/md1 /dev/sdb5 1fdisk -l Как видим в системе появился новый неразмеченный диск sdb объемом 30 ГБ. Теперь следует разметить его:\n1cfdisk /dev/sdb Первым шагом указываем тип таблицы разделов, так как у нас уже используется MBR, то выбираем dos. Теперь нам нужно создать аналогичную по структуре sda разметку, но с новыми размерами разделов. Единственное условие - они не должны быть меньше уже имеющихся. В нашем случае мы создадим первичный раздел объемом 26 ГБ и укажем для него тип Linux raid autodetect (fd) используя для этого кнопку Type утилиты. Затем запишем изменения кнопкой Write. На оставшемся месте создадим расширенный раздел (extended) и внутри его еще один раздел Linux raid autodetect (fd). В итоге у вас должна получиться разметка аналогичная по структуре sda, но с новыми размерами разделов.\nТеперь добавим вновь созданные разделы в массивы:\n1mdadm --add /dev/md0 /dev/sdb1 2mdadm --add /dev/md1 /dev/sdb5 После чего убедимся, что начался процесс ресинхронизации:\n1cat /proc/mdstat И обязательно дождемся ее окончания. Система в это время будет доступной, но может испытывать проблемы с производительностью из-за повышенной нагрузки на дисковую подсистему, поэтому желательно запланировать данный процесс на нерабочее время. После успешной ресинхронизации вывод команды будет выглядеть следующим образом: Вроде бы все хорошо, но не забываем про загрузчик, на новом диске его нет. Поэтому выполним:\n1dpkg-reconfigure grub-pc Принимаем значения по умолчанию пока не появится окно с выбором дисков, указываем установку загрузчика на все физические диски, выбирать RAID-массив не надо. Перезагружаем систему, выбрав в BIOS в качестве загрузочного устройства новый жесткий диск. Если все было сделано правильно, то вы загрузитесь уже с нового жесткого диска. Теперь нужно пометить sda как сбойный и исключить его из массива:\n1mdadm -f /dev/md0 /dev/sda1 2mdadm -f /dev/md1 /dev/sda5 Выключаем сервер, физически заменяем диск на новый, загружаемся. Проверяем дисковую конфигурацию: Как видим, теперь у нас в системе появился новый неразмеченный диск sda, но так как нам уже не нужно создавать разделы с отличным от sdb размером, то просто скопируем разметку с одного диска на второй, для этого используем еще одну утилиту sfdisk:\n1sfdisk -d /dev/sdb | sfdisk /dev/sda При выполнении данной операции важно не перепутать диски местами, иначе вы скопируете разметку с пустого диска на диск с данными, что приведет к их утере. Первым следует указать диск источник, вторым - целевой диск. Плюс данной операции - вместе с разметкой скопируется также загрузчик.\nСнова добавим разделы в массив:\n1mdadm --add /dev/md0 /dev/sda1 2mdadm --add /dev/md1 /dev/sda5 Дождемся окончания ресинхронизации: Перезагрузимся несколько раз и убедимся, что загрузка возможна с обоих физических дисков. Теперь снова выполним команду:\n1lsblk и внимательно изучим вывод: Несмотря на то, что мы увеличили размер sda1/sdb1 и sda5/sdb5 размеры массивов md0 и md1 остались неизменными. Но если мы вспомним, что программный RAID в Linux строится поверх разделов, то все станет на свои места. Это аналогично тому, что если бы мы заменили жесткий диск в системе на более емкий, но перенесли раздел без изменения размера.\nЧто делать? Расширить объем массива, для этого выполните команды:\n1mdadm --grow /dev/md0 --size=max 2mdadm --grow /dev/md1 --size=max Что у нас получилось? Вроде бы все хорошо. Но если для раздела подкачки этого достаточно, то с разделами, содержащими файловую систему не все так просто. В этом можно убедиться, выполнив:\n1df -h Из ее вывода видно, что размер файловой системы не изменился и нам по-прежнему доступно около 17 ГБ. Но здесь нет никакой ошибки, если мы вспомним, что программный RAID является для системы аналогом диска, который содержит раздел с файловой системы, то поймем, что несмотря на то, что мы увеличили размер диска, нам следует также увеличить размер раздела с данными. Для этого выполним:\n1resize2fs /dev/md0 Вот теперь можно считать процесс расширения массива законченным, мы расширили все необходимые разделы и теперь можем использовать все доступное пространство новых дисков. Сам процесс может показаться несколько сложным, но если представить всю эту систему как матрешку, когда одни разделы вкладываются в другие - то все станет на свои места и система вновь станет стройной и логичной.\nА в заключение не будет лишним напомнить, что все проведенные нами операции несут потенциальный риск полной потери данных, поэтому перед тем, как выполнять указанные в статье действия создайте полную резервную копию вашей системы.\n","id":"6e72d58128ee08bb77b05ca1b7b232bd","link":"https://interface31.ru/post/kak-uvelichit-razmer-programmnogo-raid-massiva-v-linux/","section":"post","tags":["Debian","mdadm","RAID","Ubuntu Server"],"title":"Как увеличить размер программного RAID-массива в Linux"},{"body":"Не столь давно на сайте компании МЦСТ появились в свободном доступе дистрибутивы отечественной ОС Эльбрус. На данный момент для скачивания доступна версия 3.0, более новый выпуск 4.0 по обещаниям будет доступен в мае. Данное событие не осталось незамеченным СМИ и практически сразу прошла волна сообщений от достаточно сдержанных, до типично \u0026quot;желтых\u0026quot;, анонсировавшие чуть-ли не выход \u0026quot;убийцы Windows 10\u0026quot;. Но мы привыкли руководствоваться собственным мнением и поэтому выделили некоторое время на личное изучение отечественной ОС.\nДля начала сделаем небольшое лирическое отступление и поговорим о том, нужна ли нам собственная отечественная ОС. Мнения здесь полярно расходятся, некоторые, в патриотическом угаре, считают, что везде враги и своя ОС, желательно огороженная тремя заборами из колючей проволоки, нам жизненно необходима. Другие рассматривают эту затею исключительно как распил бюджетных средств, упирая на то, что все необходимое ПО можно просто купить.\nИстина, как всегда, лежит где-то посередине. Что касается критически важных для безопасности страны сфер, то там использование непроверенного ПО в принципе недопустимо. Для этого существуют такие вещи как сертификация ФСТЭК или разработанная для Минооборны МСВС / Заря. Но это все специализированные решения, которые не относятся к теме отечественной ОС. Для чего вообще нужно отечественное ПО? Может быть мы придумываем велосипед?\nДавайте оглянемся по сторонам и посмотрим, что делается в окружающем нас мире. Мы уже неоднократно упоминали в наших статьях Германию и ее попытки перевода муниципальных учреждений на Linux. Да, не все там гладко, но сама идея продолжает жить, и работа в этом направлении продолжается. Аналогичные проекты существуют во Франции, Испании, Великобритании. Или там тоже пилят деньги, а может весь мир против них?\nНо нет, все достаточно проще. Сегодня компьютеризация проникла настолько глубоко, что трудно представить себе рабочее место без ПК, а это подразумевает неизбежные затраты на лицензии и создает определенную зависимость от поставщиков программного обеспечения. И если с первым все понятно, эти затраты в конечном итоге ложатся на плечи налогоплательщиков, т.е. нас с вами, то что касается зависимости, то здесь ситуация гораздо более тонкая. Скажем у нас есть определенное внутреннее ПО, которое требует для своей работы некоторых технологий, но поставщик ОС в новых версиях отказывается от их поддержки. Возникает интересная дилемма: либо тратить новые деньги на переработку существующего софта (про апгрейд ОС тоже не забываем), либо сидеть на снятой с поддержки ОС со всеми вытекающими отсюда рисками.\nИменно отсюда и проистекает интерес многих стран к созданию собственного ПО на базе открытых технологий, в частности Linuх. Это позволяет собрать именно тот набор ПО, который нужен и поддерживать его в актуальном состоянии, не оглядываясь на сторонних производителей. Также это позволяет включить в состав системы некоторые специфические вещи, скажем отечественную криптографию.\nПодведем небольшой итог: отечественное ПО в нашем понимании - это система, которая может быть бесплатно установлена в любом муниципальном или ином учреждении и обеспечивать нормальную работу с отечественными стандартами документооборота, криптографией и взаимодействовать с любыми государственными информационными ресурсами и системами.\nОС Эльбрус 3.0 Вернемся к герою нашего обзора, ОС Эльбрус 3.0, мы использовали версию PDK «Эльбрус» для x86, которая основана на Debian 8, что не может не радовать. Во-первых - не самый старый дистрибутив (но помним, что это не последняя версия Эльбруса), во-вторых - преемственность опыта, если вы умеете работать с любым базирующимся на Debian дистрибутиве, то работа с Эльбрус не должна вызвать затруднений.\nДля установки мы использовали виртуальную машину VMWare Workstation c шаблоном Debian 8. Нас встречает текстовый инсталлятор, напоминающий очень старый инсталлятор Debian, по современным меркам работать с ним не очень удобно, но что есть - то есть. Выбираем установку по умолчанию, настраиваем часовой пояс и попадаем к набору опций установки: Здесь следует обратить внимание на то, что опция автоматической загрузки графической оболочки по умолчанию отключена и если вы не хотите настраивать запуск графики руками ее следует включить. Другая особенность данного пункта в том, что он не влияет на набор пакетов, графическая оболочка все равно будет установлена.\nСледующим шагом нам предложат выбрать набор пакетов, хотя выбор более чем скромный. В наличии некие инструменты для разработки - meta-sp, неопознанный набор пакетов - meta-main-arm (судя по названию - что-то для ARM) и набор пакетов графической оболочки. Хотя на наш взгляд логичнее было бы увязать ее с предыдущим пунктом, так как вряд ли кто-то будет осознанно ставить графику и отключать ее автоматический запуск. Этот пункт вообще можно было бы убрать куда-нибудь в дополнительные настройки, подавляющее большинство выберет стандартное ядро, а те, кому это действительно надо обладают нужной квалификацией для тонкой настройки дистрибутива (во всяком случае должны обладать).\nПереходим к разметке дисков и неожиданно получаем ошибку: При этом работа инсталлятора завершается, и чтобы почитать лог придется лезть в консоль. Очень скоро выяснилось, что Эльбрус не видит виртуальные SCSI-диски и таким образом реагирует на отсутствие доступных дисков. Проблема была решена сменой типа диска на SATA. Но здесь нас поджидал следующий сюрприз: При том, что размер виртуального диска мы выбрали исходя из требований - 40 ГБ.\nЦелевой ВК должен соответствовать следующим требованиям:\nпроцессор с архитектурой x86, х86-64;\nобъем оперативной памяти - не менее 1 Гбайт;\nобъем внешней памяти - не менее 40 Гбайт;\nVGA-совместимый видеоинтерфейс;\nналичие устройства DVD-ROM\nЕсли попытаться продолжить установку - то она завершится ошибкой, поэтому мы увеличили размер диска до 60 ГБ и начали все заново. Схема разбивки диска на разделы также вызывает вопросы: В частности выделения по 10 ГБ под /var и /tmp, в настольном применении это фактически неиспользуемое пространство, а в серверном 10 ГБ может и не хватить... Опять таки, если исходить из того, что разметку по умолчанию выбирают либо начинающие, либо для простых инсталляций (скажем рабочий ПК), то более правильным было бы применить принятый в других системах подход - все файлы в одном разделе. Кому нужна нестандартная разметка и кто знает зачем она ему нужна вполне способен разметить диск самостоятельно. После разметки начнется процесс установки во время которого можно успеть сварить и выпить кофе, субъективно установка длится немного дольше, чем установка Debian, но и пакетов здесь ставится больше.\nВ завершение нас попросят настроить сеть, по умолчанию предлагается установить статический адрес, что для 2019 года как минимум странно... Переключаем на автоматическое получение адреса и продолжаем, нам останется установить пароль для root и создать нового пользователя, на этом процесс установки будет закончен.\nПервое включение порадует нас таким вот экраном входа в систему, выбора из списка пользователей нет, каждый раз нужно набирать имя пользователя руками, вроде бы мелочь, но при повседневном использовании доставляет неудобство. В качестве рабочего окружения используется XFCE4 с дефолтными настройками, хотя, на наш взгляд, небольшая кастомизация не помешала бы, потому как по умолчанию оболочка выглядит несколько убого, да и обои можно было бы с тем же Эльбрусом поставить. И мы конечно же хотим использовать настройки по умолчанию. После чего мы ненадолго впали в ступор. А где панель? Или это новое слово в построении пользовательских интерфейсов? Как оказалось - панель есть, но она почему-то не видна. Почему - тоже выяснилось довольно скоро... А теперь переключаем разрешение экрана с широкоформатного на классические 4:3 и панель появилась... Переключаем назад - исчезает. Точнее не исчезает, а остается в невидимой области экрана. Почему так - вопрос интересный, тем более что в текущих реалиях найти в продаже монитор с соотношением 4:3 очень непросто. Чтобы вернуть панель на законное место пришлось немного пошаманить: переключаем режим панели с горизонтальной на вертикальную или боковую, меняем разрешение и переключаем обратно. Теперь все как нужно. Что касается софта, то предустановлен стандартный набор открытого ПО, версии в большинстве своем не самые новые, но и не самые старые, примерно соответствуют Debian 8. В общем - работать можно. Хотя разного рода недочеты имеются, единственный браузер почему-то спрашивает, стать ли ему браузером по умолчанию и сам пакет почем-то без русификации (в отечественной ОС). А вот дальше оказалось все не так радужно. Звука нет, хотя виртуальную звуковую карту VMWare понимает практически любой Linux, графических инструментов для настройки принтера мы не нашли, а то, что нашли - не работает. Ну и репозиториев нет, совсем... В принципе этого уже достаточно, чтобы поставить крест на всей этой затее. Зачем нужна система, если вы не можете в нее ничего установить и даже не можете нормально обновить. Скажем пакет rdesktop оказался версии 1.6.0 (от 2015 года), а это значит, что максимум с чем вы сможете соединиться - это Server 2008R2 (либо снижать параметры безопасности у современных систем). Хотя в том же Debian 8 в репозиториях доступна свежая версия пакета. Ну ладно, это все-таки Linux, давайте попробуем что нибудь установить, зависимости, конечно, придется докачать руками... Но не тут-то было, оказывается, что архитектура x86_64 у Эльбруса совсем не тоже самое, что общепринятая amd64. Почему и зачем так сделано - сказать трудно, возможно этому есть какие-то серьезные обоснования, но в данном случае это только усугубляет ситуацию. Конечно, можно включить архитектуру amd64, и она включится, но где брать пакеты? Выкачать руками половину Debian? Может тогда лучше просто его поставить?\nДа, мы понимаем, что основной приоритет при разработке Эльбруса отдается работе на одноименных процессорах, но они практически отсутствуют на рынке, а основной парк составляют x86 системы, которые будут использоваться государственными органами еще долго.\nКстати, мы забыли про второй диск. На нем располагается, в терминологии Эльбрус, общее программное обеспечение (ОПО), для его установки требуется смонтировать диск в консоли и произвести установку пакетов. Никакого выбора не предлагается, можно поставить либо все, либо нужное (если вы знаете какой пакет вам нужен и если он там есть). Чтобы установить все следует ввести команды:\n1mount /dev/sr0 /mnt/cdrom 2apt-get update 3apt-get -fy --force-yes install all-packages После установки пакетов рекомендуется перезагрузить систему.\nВ принципе, набор пакетов на двух дисках довольно разнообразный, но без репозиториев - шаг вправо, шаг влево - начнутся проблемы. Справедливости ради заметим, что имеющийся в наличии софт в большинстве своем работает нормально, никаких критичных проблем нами не было обнаружено.\nВыводы После знакомства с ОС Эльбрус 3.0 нас преследует только один вопрос: а что это вообще было? С какой целью данная система была выложена в открытый доступ? Кому она предназначена? Разработчикам? Энтузиастам? Широким кругам?\nПо сути, в текущем виде Эльбрус ничем особо не отличается от какой-нибудь Haiku, только поставить и посмотреть. Реальная работа в нем невозможна, сугубо по причине отсутствия репозиториев и отличной от i386/amd64 архитектуры.\nПричем мы оставим за кадром некоторую шероховатость самой ОС и некоторые недостатки в настройках, это как-раз поправимо. Отсутствие же инфраструктуры и фактической поддержки - гораздо более серьезные недостатки (и которые пользователь исправить сам не может).\nЗачем тогда было выкладывать Эльбрус в открытый доступ? Вопрос остается открытым, пока это похоже на формальное действо, поступила команда выложить - выложили, отчитались. Реального смысла в том, что сделано - немного. Если же преследовалась цель повысить интерес к Эльбрусу, создать вокруг него сообщество, привлечь разработчиков - то эффект получился ровно противоположным. Ну и появился очередной повод позлословить на тему российской \u0026quot;разработки\u0026quot;.\n","id":"a51d34b3d506887d506a4d8e79cce367","link":"https://interface31.ru/post/os-el-brus-30-dostupna-dlya-skachivaniya-ili-chto-eto-bylo/","section":"post","tags":["Linux","Импортозамещение","Эльбрус"],"title":"ОС Эльбрус 3.0 доступна для скачивания или что это было?"},{"body":"OpenVPN можно без преувеличения назвать \u0026quot;народной\u0026quot; технологией для организации виртуальных частных сетей, но мы не будем сейчас перечислять все достоинства данного решения, а поговорим о иных вещах. Очень часто возникает необходимость иметь одновременные соединения сразу с несколькими OpenVPN серверами и нужно это далеко не только админам и прочим техническим специалистам. Но, как оказалось, даже в этой среде не все знают как это сделать, не говоря уже о представителях иных, \u0026quot;мирных\u0026quot;, профессий. Поэтому наша сегодняшняя заметка посвящена этому, на первый взгляд простому, вопросу.\nА в чем, собственно, проблема? А в том, что на платформе Windows при установке OpenVPN по умолчанию мы можем иметь только одно активное соединение в один момент времени, при попытке выполнить второе подключение мы получим ошибку: Но в этом случае даже не нужно ничего искать, причина неудачного соединения написана красным по белому: все TAP-адаптеры в этой системе уже используются. Действительно, при установке OpenVPN в системе создается только один TAP-адаптер. Что делать? Добавить нужное количество адаптеров, по числу необходимых одновременных соединений.\nДля этого перейдем в C:\\Program Files\\TAP-Windows\\bin, где обнаружим пакетный файл addtap.bat, для добавления в систему еще одного TAP-адаптера следует запустить его с правамиАдминистратора. Если вам нужно добавить более одного TAP-адаптера - запустите данный файл нужное количество раз. В данной директории также содержится файл deltapall.bat, который позволяет удалить из системы все установленные TAP-адаптеры.\nВ нашем случае мы добавили два адаптера, что позволило без проблем иметь три одновременных подключения к разным OpenVPN серверам: Как видим - ничего сложного нет, поэтому надеемся, что данный материал окажется вам полезен и позволит использовать OpenVPN с полной отдачей.\n","id":"928e6cd20691a165036968c2af506dad","link":"https://interface31.ru/post/kak-nastroit-neskolko-odnovremennyh-openvpn-podklyucheniy-v-windows/","section":"post","tags":["OpenVPN","VPN","Сетевые технологии"],"title":"Админу на заметку - 24. Как настроить несколько одновременных OpenVPN подключений в Windows"},{"body":" Внимание Важно! Данная форма не предназначена для получения консультаций! Вопросы следует размещать в комментариях к статьям или телеграм-канале!\n","id":"706ae90d79afb1b98a8d3055ea4c6694","link":"https://interface31.ru/contacts/","section":"","tags":null,"title":"Контакты"},{"body":"За долгое время работы нами накоплен богатый опыт в различных областях. От небольших хитростей и советов до определенных методик, приемов и технических решений. Кроме того нами регулярно проводятся различные тестирования и эксперименты. Их диапазон и цели весьма широки: от изучения новых технологий в целях самообразования и повышения опыта, до разработки и тестирования отдельных приемов и решений для наших внедрений.\nВ какой-то момент мы решили, что наш опыт может оказаться полезным широкой аудитории. С этой целью и создан этот блог, на страницах которого мы будем делиться своими советами, решениями, приемами, описывать интересные и нетипичные проблемы, с которыми сталкиваются наши специалисты, и методы их решения. Также мы рады будем предложить вам наши обзоры новинок IT - рынка, включающие в себя не перепечатки журнальных статей, а наше собственное мнение, полученное при работе с конкретным экземпляром железа или софта.\nТак как данный блог рассчитан на самую широкую аудиторию, прежде всего молодых специалистов и начинающих админов, то мы постарались придерживаться популярного изложения материалов в наших статьях, профессионалы и так знают где и что искать.\n","id":"0ebd928aa3f6f8f1ebd1552dd3ea10be","link":"https://interface31.ru/about/","section":"","tags":null,"title":"О блоге"},{"body":"Внедрение любой новой технологии сопряжено с разного рода сложностями, иногда объективными, иногда от недостатка информации. Казалось бы, мы живем в 21 веке, у каждого интернет под рукой, там все можно найти... Но интернет - это всего лишь отражение уже имеющихся знаний и уже полученного опыта, но если опыт куется только сегодня, то остается надеяться только на себя. Так произошло и в нашем случае, вроде бы подходящее оборудование оказалось неспособным прочесть маркировку на табачной продукции.\nНесмотря на то, что маркировка табачных изделий уже полным ходом внедряется в эксплуатацию практического опыта все еще недостаточно. Маркированной продукции в рознице все еще практически нет и большинство внедрений носят пока еще теоретический характер.\nВ нашем случае для работы с табаком были закуплены сканеры Datalogic QuickScan QD2400, хорошо показавшие себя при внедрении ЕГАИС и имеющие еще одно немаловажное достоинство: полную \u0026quot;совместимость\u0026quot; как по кабелю, так и по конструкции корпуса с предыдущей линейной моделью QuickScan Lite QW2100. Это позволило быстро заменить сканеры на кассовых узлах, не меняя уже проложенные кабели и продолжить использовать уже имеющиеся и закрепленные подставки. Да и сотрудникам удобно, не нужно заново привыкать к новой модели. По факту мы просто разослали сканеры по торговым точкам (многие из которых территориально удалены) с короткой инструкцией как снять с кабеля старый сканер и подключить новый. Вопросов данная операция не вызвала, и мы спокойно \u0026quot;закрыли\u0026quot; этот вопрос.\nНо когда на один из магазинов пришла маркированная продукция, выяснилось, что данная модель сканера ее просто не читает. В чем мы быстро убедились самостоятельно. Беглый поиск показал, что массовых проблем с данной моделью не зафиксировано и она продолжает продаваться как подходящая для работы с маркированной табачной продукцией. Значит проблема где-то в настройках, только вот где.\nВнимательное изучение маркировки на пачках сигарет навело нас на простую, но не совсем очевидную мысль, коды DataMatrix на большинстве продукции являются инверсными, т.е. традиционно темные области кода здесь наоборот светлые. Дальше проще, хорошо, когда знаешь, что искать и решение было найдено достаточно быстро. По умолчанию сканеры серии Datalogic QuickScan QD24XX / QBT24XX / QM24XXне работают с инверсными кодами, эта возможность включается отдельной настройкой. Для этого следует последовательно считать следующие коды (можно даже с экрана): Скачать Скачать\nМы надеемся, что данный материал окажется вам полезен и позволит сэкономить время при настройке сканеров серии Datalogic QuickScan QD24XX / QBT24XX / QM24XX для работы с маркированной табачной продукцией.\n","id":"76a62d3791412c2829a0f14ce665c1c0","link":"https://interface31.ru/post/nastroyka-skanerov-datalogic-quickscan-qd24xx-dlya-raboty-s-markirovannoy-tabachnoy-produkciey/","section":"post","tags":["Автоматизация","Маркировка","Торговое оборудование","Штрих-код"],"title":"Настройка сканеров Datalogic QuickScan QD24XX для работы с маркированной табачной продукцией"},{"body":"Борьба со спамом - серьезная проблема с которой сталкивается каждый администратор почтового сервера. К сожалению, популярные почтовые сервера в базовой конфигурации не имеют эффективных инструментов для фильтрации нежелательной почты, а их тонкая настройка порою достаточно сложна и нетривиальна. К тому же направлять весь поток входящей почты на основной почтовый сервер не самая лучшая идея, хорошей практикой является использование пограничных почтовых шлюзов, основная задача которых фильтрация проходящих через них сообщений.\nЧтобы понять место шлюза в вашей почтовой системе рассмотрим простую схему. Без шлюза весь поток входящей почты попадает прямо на основной сервер, который затем в меру своих сил будет пытаться ее фильтровать. Обычно это получается плохо, и большая часть нежелательной почты попадет в ящики получателей, вызывая, самое меньшее, их недовольство. Но с почтой могут быть связаны и более серьезные угрозы, такие как фишинг и вредоносное ПО, и не всегда эти угрозы удается блокировать на самом последнем этапе - чаще всего слабым звеном оказывается сам пользователь. При появлении пограничного шлюза вся входящая почта будет направлена на него, а основному серверу будет передана только чистая, прошедшая через фильтры почта. Конечно всегда существует риск ложного срабатывания или пропуска нежелательной почты, но следует помнить, что шлюз является специализированной системой, задачей которой является именно борьба со спамом и вредоносным ПО в письмах и его эффективность будет гораздо выше, чем у фильтров вашего основного сервера.При появлении пограничного шлюза вся входящая почта будет направлена на него, а основному серверу будет передана только чистая, прошедшая через фильтры почта. Конечно всегда существует риск ложного срабатывания или пропуска нежелательной почты, но следует помнить, что шлюз является специализированной системой, задачей которой является именно борьба со спамом и вредоносным ПО в письмах и его эффективность будет гораздо выше, чем у фильтров вашего основного сервера. Исходящая почта как передавалась вашим основным сервером, так и будет передаваться. Технически, конечно, возможно и ее пропустить через шлюз, но на практике такое решение вызывает больше проблем, чем предоставляет преимуществ. Такая схема потребует внесения существенных изменений в почтовую инфраструктуру: изменение DNS-записей, правильная настройка заголовков и т.д. В случае неверных настроек вреда будет больше, чем пользы, ваша почта начнет выглядеть подозрительно и будет иметь гораздо более высокие шансы попасть в спам у получателя.\nТем более, что отправку с собственного сервера администратор вполне может контролировать, а если спам вдруг начнет отправлять вредоносное ПО, то оно вряд ли будет это делать через шлюз.\nВ качестве пограничного почтового шлюза мы будем использовать Proxmox Mail Gateway, бесплатное решение с открытым исходным кодом. Несмотря на то, что к продукту предлагается платная подписка, даже в бесплатной версии Proxmox Mail Gateway представляет собой достаточно эффективный и удобный инструмент для зашиты вашей почтовой системы. Продукт базируется на базе Debian, либо может быть установлен на эту систему как сервис. Но мы рекомендуем разворачивать его на выделенном сервере (можно виртуальном) из официального образа, который доступен на сайте разработчика.\nУстановка системы производится в графическом режиме и не должна вызвать сложностей, если у вас есть опыт установки Linux. Первым шагом нам предлагают настроить конфигурацию дисков, в качестве целей вам будут доступны одиночные диски, для того чтобы получить больше возможностей нажмите Options и появившееся окно даст вам настроить требуемую конфигурацию, например, создать RAID-массив. В нашем случае было выбрано простое зеркало (RAID 1), настроек - необходимый минимум, запутаться решительно негде. Затем потребуется указать регион и часовой пояс, задать пароль суперпользователя и сетевые настройки, после чего будет проведена установка системы. После установки нас встретит консоль с предложением подключиться к системе через браузер, но не будем спешить. Войдем в систему под суперпользователем root. Сразу напомним, внутри обычный Debian, поэтому можем делать все, что сочтем нужным, например, доустановить для удобства администрирования Midnight Commander и любые иные утилиты. Но прежде всего следует отключить корпоративный репозиторий Proxmox, который доступен только по подписке:\n1rm /etc/apt/sources.list.d/pmg-enterprise.list А затем создадим собственный лист:\n1touch /etc/apt/sources.list.d/pmg-no-subscription.list И внесем в него следующее содержимое:\n1deb http://download.proxmox.com/debian/pmg stretch pmg-no-subscription Теперь можно перейти в веб-интерфейс, в котором и будет происходить вся работа с почтовым шлюзом. Наберем в браузере указанный адрес, обязательно с указанием защищенного протокола HTTPS, для аутентификации используем пользователя root и указанный при установке пароль. Первоначально админка способна сбить с толку обилием разнообразных пунктов и опций, но сейчас нас интересует окончательная настройка шлюза. Для этого перейдем в раздел Configuration, на верхнем уровне располагаются настройки сети и времени, некоторые дополнительные опции, такие как почта администратора, настройки статистики и ежедневной рассылки отчетов, а также резервное копирование и восстановление настроек. На данный момент ничего интересного для нас здесь нет, поэтому переходим уровнем ниже Configuration - Mail Proxy. Первый пункт Relaying содержит очень важную настройку пересылки почты, в пункте Default Relay следует указать ваш основной почтовый сервер. В следующем пункте Relay Domain следует указать все обслуживаемые вашим почтовым сервером домены, в противном случае почта будет отклонена как как нежелательная. На закладке Options обратите внимание на пункт Message Size - это предельный размер письма, который будет пропущен шлюзом, письма большего размера будут отброшены. Остальные опции мы пока трогать не рекомендуем, настройки Proxmox Mail Gateway достаточно эффективны и крутить настройки вручную следует уже с учетом фактического результата работы продукта. Теперь можно вводить наш шлюз в эксплуатацию, для этого достаточно перенаправить поток почты с порта 25 основного сервера на порт 25 шлюза, обычно для этого достаточно изменить настройку проброса портов на роутере. Точно также все можно быстро вернуть обратно, если вдруг что-то пойдет не так.\nА мы пока перейдем в раздел Spam Detector, в этом качестве используется SpamAssassin, из настроек следует также обратить внимание на размер письма и время нахождения спама в карантине, на закладке Update можно вручную обновить набор правил, хотя эта задача выполняется автоматически, по расписанию. В разделе Virus Detector находятся настройки антивируса ClamAV, здесь также можно запустить его обновление вручную. Однако в этом процессе вы можете получить похожую \u0026quot;ошибку\u0026quot;:\n1WARNING: Your ClamAV installation is OUTDATED! 2WARNING: Local version: 0.100.0 Recommended version: 0.101.1 Но повода для беспокойства здесь нет, система обновляет пакеты ClamAV из репозиториев Debian, где последняя версия на момент написания статьи была 0.100.0, а с серверов ClamAV антивирус получил данные о наличии более новой версии 0.101.1. Однако на безопасность это влияет слабо, гораздо более важно своевременное обновление баз, а с этим у нас все в порядке.\nРаздел User Management ожидаемо содержит настройки пользователей. Здесь же можно добавить дополнительных пользователей, например, менеджера карантина, которому будет доступно только просмотр и управление письмами в карантине, без возможности изменять настройки сервера. Это позволяет дать определенным пользователям возможность самим проверять попадание нужных писем в карантин, не тревожа лишний раз администраторов, но и не боясь, что они что нибудь сломают по неосторожности. Но гораздо интереснее иной пункт - Fetchmail - это консольный почтовый клиент, который позволяет получать и перенаправлять на нужные адреса почту с внешних аккаунтов, например, с публичных почтовых служб. Мы рассказывали про него в статье Zimbra. Сбор почты с внешних аккаунтов, но если вы решили использовать почтовый шлюз, то лучше возложить эту функцию на него с одновременной фильтрацией такой почты.\nСоздание внешнего почтового аккаунта особой сложности не представляет и ничем не отличается от настройки почтового клиента, единственное отличие - вы дополнительно должны указать внутренний ящик, на который следует отправлять полученную почту. Также ненадолго заглянем в раздел Administration, на верхнем уровне которого собраны инструменты управления сервером, их немного, но для повседневной работы вполне достаточно. На первом экране собраны графики загрузки сервера, а также кнопки вызова консоли, перезагрузки и выключения. На других вкладках можно посмотреть состояние служб сервера и статус задач, вывод сообщений syslog в режиме реального времени и проверить наличие обновлений. Там же можно их установить. При этом в отдельном окне открывается консоль и дальнейшее управление процессом обновления производится в нем. Теперь покинем этот раздел и перейдем на самый верх, в Mail Filter, который содержит настройки фильтрации почты. На верхнем уровне расположены правила, указан их приоритет и направление действия, если выделить любое из них, то справа можно увидеть логику его действия. Правила применяются в порядке убывания приоритета, при срабатывании правила дальнейшее прохождение зависит от применяемого в нем действия, если действиеокончательное, то обработка письма на нем прекращается, если нет - письмо идет дальше по списку.\nДля построения правил используются несколько типов объектов:\nAction Objects - действия, которые могут быть применены к письму. Могут быть окончательными или нет. К окончательным относятся три действия: Accept, Block и Quarantine, остальные действия не прерывают прохождение письма по цепочке правил.\nWho Objects - субъекты, т.е. отправители или получатели почты, это могут быть почтовые адреса, домены, IP-адреса и подсети, пользователи и группы пользователей. Допустимо использование регулярных выражений. По умолчанию создано два объекта: глобальные белый и черный списки.\nWhat Objects - свойства письма, это могут быть факты срабатывания спам и антивирусного фильтра, совпадение заголовков с заданным шаблоном, тип вложения, тип содержимого архива.\nWhen Objects - временной промежуток, скажем рабочее время офиса.\nЧтобы не быть голословными, составим собственное правило. В качестве вводной примем следующие условия: есть некоторые контрагенты, и их весьма много, которые посылают нам в рабочее время документы в формате PDF или XSL/XSLX с пустым телом письма и возможно даже без темы, документы могут быть в архиве.\nПрежде всего перейдем в раздел What Objects и создадим новый объект, назовем его PDF \u0026amp; Excel, в который добавим четыре типа Content Type Filter, в которых укажем документы PDF, ХLS, XLSX и ODS (так как документ Excel давно стал понятием собирательным и нам вполне могут прислать таблицу в формате Open/LibreOffice). Затем добавим четыре типа Archive Filter с тем же самым содержимым, если документ придет запакованным в архив. Следующим условием задачи у нас стоит время отправки подобной документации, условно примем его с 8:00 до 20:00, перейдем в раздел When Objects и создадим временной промежуток Work Time. Теперь составим собственное правило, укажем его имя, приоритет и поставим флаг активности. Мы решили разместить его ниже проверок на черные/белые списки и вредоносное/опасное содержимое, но перед проверкой на спам. Выберем созданное правило и в правой части экрана добавим What - PDF \u0026amp; Excel, Action - Accept. Данное действие является окончательным и дальше по цепочке такое письмо не пойдет. И снова перейдем в раздел Administration, теперь нас будет интересовать управление карантином, для начала перейдем в Spam Quarantine. Здесь можно просмотреть письма, попавшие в карантин для каждого почтового ящика. Выбираем период времени и почтовый ящик, и получаем полный список попавших в карантин сообщений. Для каждого сообщения доступен ряд действий, во первых добавление в персональный черный/белый список, но это действие не изменяет состояние письма, оно остается в карантине, при необходимости мы можем доставить его получателю (Deliver) или удалить (Delete), если не предпринять никаких действий, то такое письмо будет удалено по истечению срока хранения (по умолчанию 7 дней). Аналогичным образом работает и антивирусный карантин.\nЗдесь же доступно управление персональными черными/белыми списками пользователей, однако следует четко понимать, что использование персональных списков не должно подменять использования списков глобальных. Если прошедшее через фильтры письмо явный спам - то его следует добавить в глобальный список. Персональные списки следует использовать в тех случаях, когда требуется обойти глобальные правила. Скажем у вас глобально запрещены рассылки от различных интернет-магазинов, но отдел закупок наоборот хочет их получать - не вопрос, на помощь придут персональные списки.\nTracking Center позволяет быстро найти письмо по ряду признаков, таких как период времени, отправитель, получатель. Это позволяет быстро ответить на вопросы пользователей, оперативно выяснив статус ожидаемого ими письма, либо убедиться, что искомое сообщение в вашу почтовую систему не поступало.\nРаздела Statistics мы подробно касаться не будем, там и так все понятно, статистика в различных ее видах. В заключение хочется сказать, что Proxmox Mail Gateway показал себя как гибкое и эффективное средство борьбы со спамом, поэтому мы можем смело рекомендовать его к внедрению и надеемся, что данная статья окажется вам полезной.\n","id":"f9689c79b9c654ab9092f75874d4e766","link":"https://interface31.ru/post/proxmox-mail-gateway-nastraivaem-pogranichnyy-pochtovyy-shlyuz/","section":"post","tags":["ClamAV","E-mail","fetchmail","Proxmox","Безопасность","Сетевые технологии"],"title":"Proxmox Mail Gateway - настраиваем пограничный почтовый шлюз"},{"body":"Продолжая серию статей по настройке онлайн-ККТ, мы не могли обойти стороной альтернативные ОС, тем более что АТОЛ поддерживает работу своих ККТ в среде Linux. Про установку 1С:Предприятие 8.3 в Debian / Ubuntu мы уже рассказывали ранее, теперь пришло время подключить к нашей 1С кассу. Скажем сразу - никаких сложностей при этом у нас не возникло, разработчики АТОЛ хорошо сделали свою работу, а следуя нашей инструкцией с данной задачей справится даже начинающий (тем не менее мы предполагаем, что читатель обладает базовыми навыками работы в среде Linux).\nДанная статья является логическим продолжением нашего материала Подключаем ККТ АТОЛ к 1С:Предприятие 8.3, поэтому мы не будем повторяться и остановимся только на вопросах подключения и настройки ККТ в среде Linux. Если вы только начинаете работать с ККТ, то настоятельно советуем прочитать вам первую часть статьи, так как там затрагиваются общие вопросы по настройке кассы и работе с утилитой Тест драйвера ККТ.\nДанная инструкция была проверена нами на Debian 9.7 и Xubuntu 18.04, но будет справедлива для любого дистрибутива на базе Debian или Ubuntu. Сама ККТ при этом подключается к ПК посредством интерфейса USB, как выбрать интерфейс подключения кассы мы рассказывали в первой части статьи.\nПрежде всего скачаем из Центра загрузок АТОЛ свежие драйвера версии 10.х, они располагаются в разделе Контрольно-кассовая техника, архив универсальный и содержит драйвера для всех поддерживаемых платформ. Из всего архива нас интересует папка installer, в которой содержится папка deb, в ней находятся пакеты для архитектур i386, amd64 и arm. Следует иметь ввиду, что разрядность драйвера ККТ должна соответствовать разрядности платформы 1С. В Linux разрядность платформы как правило соответствует разрядности системы, однако если это не так, например, на 64-разрядную ОС установлена 32-разрядная платформа, то драйвер тоже следует установить 32-разрядный.\nИз всего набора пакетов нас интересуют только три:\nlibfptr10 - драйвер ККТ libfptr10-gui - графическая библиотека драйвера ККТ fptr10-test-util - утилита Тест драйвера ККТ Устанавливать их тоже нужно в указанном порядке, так как они имеют в зависимостях друг друга. Для этого перейдите в папку с пакетами и выполните с правами суперпользователя следующие команды (обратите внимание, мы устанавливаем 64-разрядные пакеты версии 10.4.5, в вашем случае имена пакетов могут отличаться):\n1dpkg -i libfptr10_10.4.5.0_amd64.deb 2dpkg -i libfptr10-gui_10.4.5.0_amd64.deb Графическая часть драйверов АТОЛ выполнена на базе Qt4 поэтому вы скорее всего при установке последнего пакета получите следующую ошибку: 1apt install -f Данная команда установит все недостающие зависимости и настроит пакет. После чего нам останется установить последний пакет с Тестом драйвера:\n1dpkg -i fptr10-test-util_10.4.5.0_amd64.deb На этом установка драйверов ККТ закончена, можем запустить Тест драйвера и проверить работу кассы, данная утилита ничем не отличается от своей Windows-версии и работу с ней мы уже рассматривали ранее. В последних релизах 1С драйвера для АТОЛ 10.х уже включены в состав конфигурации, если это не так, то драйвера следует загрузить отдельно, используя архив в папке 1С поставки драйверов. Следует обратить внимание, что в Linux ККТ АТОЛ определяются не как два VCOM, а как одно USB-устройство, поэтому следует учесть этот момент при настройке: На этом подключение ККТ можно считать законченным, дальнейшая работа с кассой ничем не отличается от Windows систем. Субъективные впечатления от работы ККТ АТОЛ в среде Linux у нас остались также положительными, разработчики поработали хорошо, никаких сбоев и нареканий по работе касс нами не выявлено.\nНастройка EoU Внимание! Внимание! ККТ АТОЛ на платформе 5.0 не поддерживают работу с EoU, для них требуется настройка EoT. Подробнее читайте здесь: Особенности подключения ККТ АТОЛ на платформе 5.0\nПосле того, как касса настроена и работает, самое время перейти к настройке службы EoU, для этого скачаем одноименный пакет из Центра загрузок, он располагается в разделе Программное обеспечение - ДТО. Архив содержит набор различных версий утилиты, выбираем последнюю и переходим в директорию с утилитой для нужной нам архитектуры (i386 или amd64), разрядность следует выбирать согласно разрядности системы, вне зависимости от разрядности драйверов ККТ и платформы 1С. Если мы перейдем в каталог с утилитой, то увидим там файл настроек settings.xml, бинарные файлы и библиотеки. В файле настроек должна присутствовать секция:\n1\u0026lt;hotplug\u0026gt;auto\u0026lt;/hotplug\u0026gt; Данная опция включает автоматическое обнаружение касс на Linux и мы не видим смысла отказываться от столь удобной функции, тем более что работает она без нареканий. Теперь нам надо разместить файлы в нужных местах файловой системы и настроить работу утилиты в качестве сервиса. Откроем в текущей директории терминал и поднимем права до суперпользователя. Начнем с настроек, создадим директорию /etc/ATOL/EoU и скопируем туда файл настроек:\n1mkdir -p /etc/ATOL/EoU 2cp settings.xml /etc/ATOL/EoU/ Никаких дополнительных действий по настройке производить не нужно.\nСаму утилиту мы разместим в opt (хотя вы можете выбрать иное расположение):\n1mkdir /opt/EoU 2cp * /opt/EoU/ Теперь добавим нужным файлам права на исполнение:\n1chmod +x /opt/EoU/EthOverUsb* Зарегистрируем утилиту как сервис:\n1/opt/EoU/EthOverUsb.sh -i Все, что нам теперь остается, это обеспечить автозагрузку и управление службой средствами системы. Для этого нам придется самостоятельно написать юнит для systemd, но не стоит пугаться, ничего сложного в этом нет.\nПрежде всего создадим сам файл юнита:\n1touch /etc/systemd/system/eou.service Откроем его на редактирование и внесем следующий текст:\n1[Unit] 2Description=ATOL EthernetOverUsb Service 3After=display-manager.service 4 5[Service] 6Type=forking 7User=root 8ExecStart=/opt/EoU/EthOverUsb.sh 9ExecStop=/opt/EoU/EthOverUsb.sh -t 10 11[Install] 12WantedBy=multi-user.target Сохраним его и добавим в автозагрузку:\n1systemctl enable eou Теперь мы можем управлять службой используя привычные команды:\n1service eou start|stop|restart|status Можем перезагрузить систему и убедиться, что служба запускается автоматически. Лог работы службы располагается в /var/log/EoU, откроем его и убедимся, что утилита обнаружила кассу и обмен с ОФД проходит нормально: При использовании автоматического определения кассы получают идентификаторы по имени порта, в нашем случае USB-3-1, если к узлу подключено несколько касс, утилита автоматически будет работать со всеми.\nКак видим, ничего сложного в подключении и настройке ККТ АТОЛ в среде Linuх нет, пришлось только немного повозиться с утилитой EoU, но общий уровень проработанности и стабильности ПО от АТОЛ делает это всего лишь незначительным затруднением, тем более что в данном случае вполне справедливо будет высказывание \u0026quot;настроил и забыл\u0026quot;.\n","id":"eedda360a46c1d5714aa4b7e3e632adb","link":"https://interface31.ru/post/podklyuchaem-kkt-atol-k-1spredpriyatie-83-v-debian-ubuntu/","section":"post","tags":["1С Предприятие 8.х","Debian","Ubuntu","Автоматизация","АТОЛ","ККТ","Торговое оборудование"],"title":"Подключаем ККТ АТОЛ к 1С:Предприятие 8.3 в Debian / Ubuntu"},{"body":"Ошибки информационной базы 1С:Предприятия - вещь крайне неприятная, особенно при отсутствии резервных копий. А если такая неприятность все-таки приключилась, то приходится порой принимать нестандартные и идущие в противоречие с общепринятыми практиками решения. Но это не должны быть шаманские камлания с бубном, а логически обоснованные и точно выверенные действия, которые позволят выйти победителем из, казалось бы, безнадежной ситуации. Сегодня мы расскажем об одном таком случае из нашей практики.\nПредупредим сразу - все решения, описанные в данной статье, относятся к описанном частному случаю и не могут служить готовой инструкцией по исправлению подобных ошибок. При возникновении подобных ситуаций следует проанализировать именно ваш случай и применять какие-либо решения осмысленно, понимая и представляя себе причины и последствия. Также будет не лишним напомнить, что все действия следует производить только на копии информационной базы.\nНе так давно к нам обратился один клиент с жалобой на то, что он не может обновить конфигурацию Розница 2.2, действительно, при попытке открыть конфигурацию появлялось сообщение Нарушена целостность структуры конфигурации. При этом в повседневной жизни данная ошибка никак себя не проявляла, и утилита chdbfl также не нашла в базе каких-либо ошибок. Тем не менее база оказалась серьезно повреждена и любые попытки спасти ситуацию малой кровью: выгрузить данные в узел РИБ или посредством выгрузки-загрузки через XML приводили к ошибкам.\n\u0026quot;А как-же резервные копии?\u0026quot; - спросит иной читатель. Резервные копии содержали точно такую же ошибку, так как она не препятствует выгрузке в DT файл и, тем более, архивированию непосредственно файла базы. Можно сказать, что клиент столкнулся с распространенной ошибкой начинающих администраторов, когда резервные копии создаются, но не проверяются.\nПопытки загрузить дамп базы в клиент-серверную версию также натолкнулись на описанную ошибку, а попытки откатиться на конфигурацию базы данных или просто сделать тестирование и исправление приводили к аварийному закрытию приложения.\nНа Инфостарте была найдена статья, которая на первый взгляд обещала привести к успеху, но все стало только хуже, раньше хотя бы конфигуратор открывался: Что предлагала нам вышеуказанная статья? Заменить кеш поврежденной базы на кеш от исправной, того же самого релиза, разумное зерно в этом есть и в ряде случаев такой подход увенчается успехом, но не в этот раз. Почему?\nЗдесь мы вплотную подошли к одному из самых распространенных мифов 1С - очистке кеша. Со временем это переросло в какой-то магический ритуал: не знаешь, что делать - очисти кеш. Давайте разберемся, что такое этот кеш и зачем он нужен.\nНе для кого ни секрет, что многие данные в информационной базе не меняются в течении длительного времени и поэтому нет необходимости каждый раз их запрашивать из БД, а можно поместить в локальный кеш и брать оттуда. Кеш делится на пользовательский, где хранятся данные, с которыми работает пользователь и кеш конфигурации, где сохраняются программные модули и данные о конфигурации. Первый располагается в перемещаемой части профиля пользователя %USERPROFILE%****\\AppData\\Roaming\\1C, а второй в его локальной части %USERPROFILE%\\AppData\\Local\\1C.\nДанные о структуре конфигурации хранятся в кеше конфигурации, когда мы первый раз открываем конфигурацию данные считываются из ИБ и сохраняются в кеш и в следующий раз их загрузка будет происходить гораздо быстрее. Если мы изменим данные конфигурации, то они прежде всего изменятся в нашей локальной копии и только после того, как мы нажмем на кнопку сохранить, будут записаны в БД и обновят локальный кеш.\nТакже с кешем могут быть связаны разные ошибки, допустим если при аварийном завершении работы кеш оказался поврежден или в нем остались устаревшие данные, в этом случае очистка кеша - действие оправданное и необходимое. В остальных случаях это действие по большей части будет бесполезным, разве что замедлит следующую загрузку базы, но в некоторых случаях очистка кеша может и навредить.\nВ нашем случае проявлению указанной ошибки могла поспособствовать именно очистка кеша конфигурации. Если до повреждения ИБ конфигурация была открыта (а она была, т.к. базу обновляли), то при загрузке конфигуратора должны были быть подгружены кешрованные данные, что дало бы возможность либо обновить конфигурацию, либо загрузить ее из файла. После очистки кеша такая возможность пропала.\nНо вернемся к нашей базе. Что именно произошло? До замены кеша база могла загрузиться в конфигуратор, после его замены - уже не смогла. Следовательно, в кеше поврежденной базы хранились нужные части конфигурации, которых в кеше исправной не оказалось, либо они оказались неидентичными загружаемой конфигурации. Поэтому в нашем случае кеш нам не враг, а наоборот друг и мы должны его не очищать, а наоборот, сохранить.\nПоэтому мы пойдем другим путем, возвращаемся к сохраненной копии аварийной базы, запускаем ее в режиме конфигуратора, выходим. Тем самым мы создали нужную нам часть кеша, в которой не хватает информации об открытой конфигурации, попробуем дополнить ее из рабочей базы. Для этого возьмем файл1Cv8.1CD из исправной базы точно такого же релиза и временно заменим им файл неисправной базы (исходный файл при этом следует сохранить).\nЗапускаем исправную базу в режиме конфигуратора и открываем конфигурацию, таким образом мы дополним уже существующий кеш нужными файлами. Закрываем конфигуратор, заменяем файл базы на исходный (неисправный) и снова запускаем конфигуратор. Как видим наши действия увенчались успехом, мы получили доступ к конфигурации поврежденной базы. Теперь дело техники, снимаем поврежденную конфигурацию с поддержки и загружаем из файла конфигурацию того же релиза, которую можно выгрузить из заведомо исправной базы или взять из комплекта поставки. Сохраняем, обновляем конфигурацию базы данных. Таким образом нам удалось полностью восстановить конфигурацию неисправной базы данных, но для этого пришлось пойти на несколько неожиданный шаг. Вместо того, чтобы, не думая очистить кеш, потому что \u0026quot;так принято\u0026quot;, мы, наоборот, подумали и сохранили его, дополнив недостающими данными. Поэтому не следует идти на поводу у расхожих штампов, а следует вдумчиво проанализировать сложившуюся ситуацию и принять единственно верное решение, даже если оно \u0026quot;противоречит общепринятым практикам\u0026quot;.\n","id":"88ee5ed92c7c18c98a1599b7a0afcf82","link":"https://interface31.ru/post/ispravlenie-oshibki-narushena-celostnost-struktury-konfiguracii/","section":"post","tags":["1С Предприятие 8.х","Восстановление данных","Диагностика"],"title":"Исправление ошибки \"Нарушена целостность структуры конфигурации\""},{"body":"Несмотря на то, что клиент 1С для Linux существует уже достаточно много времени мифов и заблуждений по этому вопросу меньше не становится. Один из них: платформа 1С под Linux работает медленнее. В качестве аргументов обычно приводится либо субъективный опыт, либо отсылка к субъективному опыту коллег. Понятно, что такие \u0026quot;доказательства\u0026quot; никуда не годятся, но какого-либо сравнительного материала нам найти так и не удалось, пришлось браться за дело самим. Мы протестировали наиболее популярные платформы и получили достаточно интересные результаты, которыми решили поделиться в этой статье.\nПервоначально мы не собирались затевать большого исследования, нас интересовали вполне конкретные версии современных ОС, но коллеги попросили добавить в тестирование Windows 7, как до сих пор популярную платформу, Ubuntu Mate, в качестве \u0026quot;нестареющей классики\u0026quot; и альтернативы современным рабочим окружениям (Mate - форк Gnome 2). Раз уж пошло такое дело, то мы добавили всю основную линейку дистрибутивов Ubuntu 18.04 и Ubuntu 16.04 с Unity, как все еще достаточно популярную ОС.\nМетодика тестирования Для тестирования на чистую ОС со всеми последними обновлениями была установлена платформа 8.3.13.1513 и был запущен тест Гилева, в качестве результата бралось среднее от трех прогонов, также после этого фиксировалось количество занятой оперативной памяти. Все ОС устанавливались в 64-разрядном варианте, платформа x64 на Linux и x32 + x64 на Windows, но ввиду одинаковых результатов с x32 приведено среднее значение всех запусков. Разбивка диска одним разделом, файловые системы NTFS и ext4, все расположения файлов стандартные.\nВ качестве аппаратной части мы использовали виртуальные машины в одинаковой конфигурации: 2 ядра Core i5-4670, 4 ГБ RAM и размещали виртуальный диск на RAID 0 из двух Seagate 2 Тб (ST2000DM006). При выборе аппаратной части не стоял вопрос оценить производительность какой-либо существующей конфигурации, а требовалось провести сравнительный тест в равных условиях. Что касается вычислительной мощности, то два ядра Core i5-4670 приблизительно эквивалентны Core i3 того же поколения, что соответствует достаточно неплохой рабочей станции.\nРезультаты теста Результаты оказались достаточно неожиданными и заставили нас несколько раз их перепроверить, но во всех случаях были получены аналогичные результаты. Прежде всего у нас плохие новости для любителей Windows 7, эта ОС показала самый низкий результат и единственный с оценкой \u0026quot;хорошо\u0026quot; (зеленый). Windows 10 оказалась более производительной и уже заслужила оценку \u0026quot;замечательно\u0026quot; (фиолетовый), если же сравнивать с \u0026quot;семеркой\u0026quot;, то результат подрос примерно на 20%, это довольно значительная цифра, с которой стоит считаться.\nСледующим в нашем тестировании участвовала Ubuntu 16.04, довольно старая, но все еще популярная ОС со своей армией поклонников (примерно, как Windows 7), но результат откровенно порадовал. Несмотря на то, что Ubuntu опережает \u0026quot;десятку\u0026quot; где-то на 6%, мы склонны поставить эти системы на одну ступень, разница не столь велика, чтобы говорить о превосходстве одной ОС над другой.\nА вот дальше пошло интереснее, Ubuntu и Kubuntu 18.04 - две ведущие современные системы с мощными графическими оболочками (Gnome3 и KDE Plasma 5) показали просто отличный результат, опережая Windows 10 и Ubuntu 16.04 в среднем на 25%, это серьезная заявка на победу и развенчание мифа про то, что 1С под Linux тормозит.\nНо Xubuntu решительно вырвался в лидеры, причем полученные результаты заставили нас создать еще одну виртуалку с нуля и в ней повторить тест, повторно получив такой-же результат. Разница составила около 10% по сравнению с Ubuntu и Kubuntu и совсем уж неприличные 40% относительно Windows 10.\nНесмотря на то, что XFCE (рабочая среда Xubuntu) считается достаточно легковесной, мы протестировали совсем \u0026quot;легкий\u0026quot; дистрибутив Lubuntu c LXDE, результат несколько уступил лидеру, но несколько опередил основные \u0026quot;тяжелые\u0026quot; дистрибутивы.\nUbuntu Mate никаких особых результатов не принесла, показав результат чуть ниже среднего для основных Linux дистрибутивов.\nДругим важным результатом тестов является потребность в оперативной памяти, так как мы уже выясняли, что современные конфигурации имеют в ее отношении неплохие аппетиты и достаточно плохо реагируют на ее недостаток. Долгое время типовые офисные ПК имели конфигурацию типа \u0026quot;два ядра - два гига\u0026quot;, т.е. какой-нибудь недорогой процессор и 2 ГБ оперативной памяти. Сейчас ситуация улучшилась и меньше 4 ГБ в связку к такому же недорогому процессору не ставят, также наметилась тенденция к переходу с HDD на SSD, что тоже не может не радовать.\nWindows 7, согласно реалиям того времени, показывает относительную неприхотливость и здесь мы даже согласимся с таким аргументом ее поклонников, что \u0026quot;на старых ПК Windows 7 работает лучше\u0026quot;. В один ряд с ней можно поставить и такие \u0026quot;легковесные\u0026quot; дистрибутивы как Ubuntu Mate и Xubuntu, хотя последняя будет даже \u0026quot;потяжелее\u0026quot;. Действительно легким сегодня является только Lubuntu, которой с запущенной 1С хватило 1 ГБ памяти.\nЧто касается Windows 10 и Ubuntu 18.04 с Gnome3, то для нормальной работы им требуется не менее 4 ГБ памяти, попытка использовать их на старых ПК ни к чему хорошему не приведет. Ubuntu 16.04 и Kubuntu заняли промежуточное положение, но на системах с 2 ГБ памяти работать с ними также будет некомфортно. Хотя Kubuntu нас приятно удивила, по расхожему мнению, KDE Plasma 5 не менее ресурсоемка, чем Gnome3, хотя на практике аппетиты этого рабочего окружения оказались более чем умеренны.\nТак почему же тормозит 1С? Как мы уже выяснили, при прочих равных 1С в среде Linux работает даже быстрее, но откуда тогда жалобы на то, что тормозит? Разберем два реальных случая.\nОдним из клиентов был куплен новый моноблок HP 20-c000ur, на базе не сильно мощного процессора AMD E2 7110 и 4 ГБ памяти на борту, на него поставили Ubuntu 18.04 и отправили в работу. Вроде бы 4 ГБ должно хватать... Но кроме 1С на самом обычном офисном ПК будет запущен как минимум браузер и табличный/текстовый редактор, а если учесть что тест Гилева не самая требовательная к памяти конфигурация, то на практике оказалось, что этих 4 ГБ системе \u0026quot;впритык\u0026quot;... И тормозила не только 1С, но и вообще всё...\nРешение простое - поставили Xubuntu, после этого вопросы к производительности отпали.\nВторой случай: на ноутбук, который штатно шел с Windows XP и на котором тормозила Windows 7 решили поставить что-то \u0026quot;полегче\u0026quot; и поставили Xubuntu. Понятно, что легче не стало, только хуже, кроме того, ситуацию усугублял древний и медленный HDD. Несколько выправить ситуацию удалось его заменой на SSD и установкой Lubuntu, летать он от этого не стал, но дискомфорт в работе испытывать перестали.\nВыводы По результатам тестов может показаться, что Linux - панацея от всех бед с производительностью 1С и всем надо срочно на него переходить. Но не все так просто. На достаточно мощном железе вы просто не заметите на повседневных задачах разницы между 42 и 52 по Гилеву. Также справедливо и то, что если файловый режим выдает вам всего 20 баллов, то на этом ПК тормозить будет не только 1С, а вообще все. Поэтому при выборе ОС нужно исходить из реальных потребностей, трезво оценивая список необходимого ПО и его совместимость с выбранной системой.\nЕсли вам нужен Windows - берите Windows 10, только не забудьте обеспечить ее необходимыми ресурсами. А вот что касается Linux, то тут не все так просто, использование на рабочих ПК таких окружений как Gnome3, на наш взгляд просто расточительство. XFCE выглядит вполне привлекательно, но гораздо экономнее к ресурсам, если же вам хочется чего-то большего - то посмотрите в сторону KDE, это, весьма продвинутое в графическом плане окружение, гораздо более оптимизировано и не так требовательно к ресурсам.\nЧто касается старых ПК, то здесь следует понимать, что старые ОС, это касается как Windows 7, так и Ubuntu 16.04, при всей их нетребовательности с современным ПО работают хуже, чем современные системы.\nОтдельное слово следует сказать о \u0026quot;легковесных\u0026quot; дистрибутивах, в среде Linux долгое время ходил миф, что эти системы показывают чудеса производительности там, где Windows тормозит. Но чудес нет, и современный пользователь имеет определенную нижнюю планку комфорта, которую должно обеспечивать рабочее окружение, в том числе и по визуальным эффектам. Поэтому \u0026quot;легковесность\u0026quot; таких окружений как XFCE относительная и обозначает требования как минимум на уровне Windows 7.\nНо в остальном свежая Xubuntu выглядит более привлекательно, чем ветеран Windows 7, и, при отсутствии противопоказаний, является лучшим вариантом для работы.\nИз \u0026quot;легких\u0026quot; дистрибутивов действительно таким пока остается Lubuntu с требованиями примерно на уровне Windows XP, что позволяет в ряде случаев дать вторую жизнь старой технике. Что касается \u0026quot;нестареющей классики\u0026quot; Mate, он же Gnome 2, то на наш взгляд - это сугубо на любителя. Обладая производительностью на уровне основных дистрибутивов это окружение выглядит сегодня достаточно устаревшим, да и непривычно обычному пользователю, тот же XFCE выглядит на наш взгляд гораздо лучше.\nЧто остается в сухом остатке? Миф, что 1С под Linux тормозит не выдерживает никакой критики. В остальном следует руководствоваться здравым смыслом и выбирать ОС под конкретные задачи с учетом необходимых системных требований.\n","id":"fbceb70477b80ae785b62056fb386a65","link":"https://interface31.ru/post/testiruem-proizvoditel-nost-faylovogo-rezhima-1spredpriyatie-v-windows-i-linux/","section":"post","tags":["1С Предприятие 8.х","Linux","Производительность"],"title":"Тестируем производительность файлового режима 1С:Предприятие в Windows и Linux"},{"body":"Сегодня, во времена всеобщей мобильности и большого разнообразия клиентских устройств, вопрос об универсальном формате для обмена документами стоит как никогда остро. И такой формат существует - это PDF, изначально созданный для печатного дела, он идеально подходит для обмена документами, так как гарантирует, что документ будет выглядеть одинаково, вне зависимости на какой платформе и в каком приложении он был создан или открыт.\nСоздать PDF несложно, это умеют многие программные пакеты, либо можно воспользоваться специальными PDF принтерами, которые позволяют просто «распечатать» все что вам нужно в PDF-файл.\nНо как быть, если нам понадобиться изменить PDF-файл? А вот здесь не все так просто. Самый очевидный вариант - это отредактировать исходный документ и заново сохранить его в нужный формат, но это не всегда возможно, особенно если исходника нет под рукой.\nТакже иногда нужно выполнить обратное преобразование, чаще всего в графические форматы, например, когда нам нужно разместить документ или его часть на веб-странице, или отправить кому-нибудь в мессенджер.\nКроме того, очень часто появляется необходимость объединить или наоборот разбить PDF-файлы.\nЕсли мы начнем искать пути решения данной проблемы, то первыми мы найдем разного рода онлайн сервисы, но тут возникает несколько вопросов.\nНаиболее важный из них -- это то, что ваши документы передаются и обрабатываются третьими лицами. И хотя лично они, скорее всего, ничего не замышляют против вас, но технически ваши документы могут оказаться в общем доступе или даже в индексе поисковых систем, достаточно вспомнить недавний случай с Google Docs.\nИ одно дело если вы обрабатывали на таком сервисе безобидный файл с меню новогоднего корпоратива, и совсем другое, если наружу уйдет файл с информацией ограниченного доступа, составляющей служебную, или коммерческую тайну.\nДвинувшись далее в своих поисках, мы найдем крупные программные пакеты для профессиональной работы с PDF, но их цена способна здорово поубавить энтузиазма.\nКак же быть? Посмотреть в сторону разных небольших, бесплатных или условно-бесплатных программ? Но мы, на примере файлообменников, уже рассматривали что можно получить в нагрузку с такими вот программами из сомнительных источников.\nК счастью, есть недорогие аналоги от известного разработчика и, что в ряде случаев может быть важно, разработчика отечественного. Пакет Movavi PDF Editor, который доступен на сайте разработчиков https://pdf.movavi.ru, не является профессиональным редактором, но закрывает практически все повседневные задачи по работе с PDF и при этом стоит недорого.\nМы не будем рассматривать процесс установки, он стандартный и никаких затруднений вызвать не доложен, а перейдем сразу к работе с приложением. Оно имеет узнаваемый внешний вид и максимально упрощенный интерфейс, рассчитанный на неподготовленного пользователя, как и у других продуктов Movavi. Стандартный вид мало чем отличается от привычных просмотрщиков PDF и это хорошо, есть сложившийся годами пользовательский опыт, который подразумевает определенные концепции построения интерфейсов для ПО разного вида и следовать им - правило хорошего тона.\nТакже можно переключиться в режим работы со страницами, тогда все рабочее пространство займут небольшие миниатюры страниц документа. Начнем с одной из самых простых и часто встречающихся задач, замены картинки в готовом документе. Для этого выберем в верхнем меню пункт Правка объектов и щелкнем на нужную нам картинку. Список доступных действий можно увидеть в меню правой кнопки мыши, немного, но большего и не нужно, это не графический редактор. Также можно просто перемещать изображение по странице или менять его размер. Все просто и интуитивно понятно, пользователь с уровнем базового владения любым текстовым редактором без труда справится с этой задачей.\nУдалим текущее изображение и вставим новое, воспользовавшись пунктом Добавить изображение верхнего меню, затем передвинем его на желаемое место и установим нужный размер. Это удобно, особенно если вы находитесь непосредственно на объекте и у вас возникает необходимость подправить документацию или инструкцию, скажем потому, что изображение недостаточно понятно или не отражает текущий внешний вид программы.\nТогда делаем актуальный скриншот и меняем изображение в документе, не отходя от кассы. Но если нужно изменить текущее изображение, а исходника под рукой нет? Ничего страшного, воспользуемся функцией Конвертировать в JPG, PNG, BMP.\nДля этого перейдем в режим страниц, выберем нужную и нажмем соответствующую кнопку в правом меню. Теперь можно вырезать отсюда часть изображения, отредактировать и заменить изображение в исходном PDF.\nК сожалению, в текущей версии нет инструментов редактирования текста в PDF, но думаем, что разработчики добавят и такую возможность.\nВозвращаясь к конвертированию файла в изображение, если нам нужно сохранить как изображения несколько страниц, то мы можем их просто выделить и повторить действие, все файлы будут сохранены в указанной папке, а к имени будет добавлен суффикс с номером страницы в документе. Это поможет не запутаться, если нужно сохранить много изображений с разных страниц. Теперь перейдем к «классике» объединению и разделению документов. Скажем у нас есть две инструкции, одна для бухгалтера, а вторая для товароведа. Создавались они в ходе проекта в разное время и теперь нам надо объединить документацию.\nНет ничего сложного. Открываем один из файлов, переходим в режим страниц и нажимаем справа Добавить файлы и все страницы выбранного файла будут постранично добавлены в конец документа. Разделить? Не проблема. Выделяем нужные страницы и жмем Сохранить в PDF, получаем новый файл с выбранными нами страницами. Нужно выделить из общего документа раздел для кассиров? Одну секунду, держите. Возьмем задачу посложнее, мы готовим коммерческое предложение для клиента и хотим дополнить его выдержками из каталога производителя, но посылать весь каталог не самый лучший вариант, он большой и не факт, что у клиента будет время там что-то искать.\nПоэтому подготовим только то, что нужно. Здесь мы обнаружили небольшую недоработку интерфейса. На начальном экране нам предлагают открыть уже существующие документы, причем сделать это можно разными способами, но нигде не предлагают создать новый документ, хотя такая возможность есть. Будем надеяться, что разработчики исправят эту досадную оплошность. Итак, создадим новый документ, а также откроем все нужные нам каталоги, затем просто начнем копировать нужные нам страницы из документа в документ. Для этого можно воспользоваться пунктами меню справа или бессмертным Ctrl+C и Ctrl+V.\nОткрыли первый каталог, скопировали нужное. Вставили в целевой документ, открыли второй каталог, повторили. А если нужно вставить сканы документов? Тоже не проблема, можем просто перетащить их в рабочую область или воспользоваться командой Добавить файлы в правом меню. Таким образом, буквально по кирпичику можно быстро создать новый документ, который будет содержать только нужную информацию. Как видим, все достаточно просто, Movavi PDF Editorпрактически играючи справился с задачей, которая обычно сводится к снятию скриншотов и последующей их вставки в текстовый редактор.\nИ, напоследок, хотим обратить внимание на еще одну интересную функцию, как Добавить подпись, которая предлагает нам либо подписаться прямо здесь и сейчас мышкой: Либо вставить готовое изображение с факсимиле, также можно сочетать оба способа. И если подпись мышкой, по большому счету, баловство, то вставка готового факсимиле позволяет значительно упростить документооборот, когда вместо последовательности Распечатать - Подписать - Отсканировать, мы сохраняем документ в PDF и вставляем в него факсимиле. Тем самым экономим время, бумагу и повышаем удобство, скажем это можно сделать на ноутбуке в дороге несмотря на то, что печать осталась в офисе.\nВ заключение хочется сказать, что Movavi PDF Editor - это недорогой, удобный и перспективный продукт. Мы недаром публикуем на техническом ресурсе нетехнические обзоры, потому что очень часто именно технические специалисты отвечают за выбор ПО в организации, а следовательно, именно они должны хорошо представлять возможности и иметь представление о том или ином продукте.\nЧто касается Movavi PDF Editor, то мы можем смело рекомендовать его к применению, свою цену продукт оправдывает полностью, и имеет неплохие перспективы развития. Пользователи оценят простоту и удобство работы, да и самим специалистам он тоже пригодится в повседневной работе.\n","id":"b68b4b98e1f46e663bfd597b04236790","link":"https://interface31.ru/post/movavi-pdf-editor-prostoy-no-udobnyy-pomoshhnik-v-rabote-s-pdf/","section":"post","tags":["Movavi","Рабочее место"],"title":"Movavi PDF Editor - простой, но удобный помощник в работе с PDF"},{"body":"Как показывает практика, несмотря на то что онлайн-кассы применяются уже довольно давно, многие до сих пор не имеют четкого представления об их настройке и подключению к 1С, сталкиваясь в процессе со многими трудностями. Различные инструкции в сети тоже очень часто написаны на основании субъективного опыта и многие действия там напоминают более шаманские танцы с бубном, чем технически грамотные решения. Поэтому мы решили устранить этот пробел и описать подключение наиболее часто используемых онлайн ККТ к 1С:Предприятие.\nНебольшое \u0026quot;лирическое\u0026quot; отступление. Контрольно-кассовая техника - это сложный программно-аппаратный комплекс, настройка и эксплуатация которого имеет свои особенности, связанные как с типом техники, так и с требованиями налоговых органов, поэтому для работы с ними необходимо иметь специализированные знания и опыт. Поэтому мы настоятельно не рекомендуем самостоятельно заниматься прошивкой и регистрацией ККТ.\nПоследствия ошибочных действий могут быть самые разные: от покупки нового ФН (фискального накопителя) до получения претензий и штрафов от налоговой инспекции. Если у вас нет подобного опыта - обратитесь в любое ЦТО, услуги прошивки ККТ и регистрации стоят недорого, тем более в сравнении с возможными последствиями неверных действий.\nИтак, будем считать, что у вас в руках прошитая на актуальную версию и зарегистрированная ККТ АТОЛ, а также имеется действующий договор с ОФД. Вне зависимости от модели кассы и конфигурации 1С все дальнейшие действия будут одинаковыми, с возможными незначительными отличиями. Все кассовое ПО унифицировано, а работа современных конфигураций с торговым оборудованием построена на базе Библиотеки подключаемого оборудования (БПО), что также обеспечивает единый механизм настройки.\nПрежде всего рассмотрим, какие интерфейсы связи предоставляют нам различные модели касс АТОЛ, если мы возьмем одну из младших моделей АТОЛ 11Ф, то сзади ее мы увидим: Слева направо: Последовательный порт RS-232, USB, разъем питания и разъем для подключения денежного ящика. Если взять более дорогую модель АТОЛ FPrint-22ПТК, то набор разъемов может быть несколько шире: Слева направо: питание, денежный ящик, RS-232, USB, Ethernet. Некоторые модели также могут иметь Wi-Fi модуль.\nДля нормальной работы кассы нам надо обеспечить устройство двумя каналами связи: с ПК для взаимодействия с товароучетным ПО и с ОФД для передачи чеков. К ПК касса может быть подключена через RS-232, USB или сеть. Технически ККТ АТОЛ можно использовать как сетевые, однако такой режим не поддерживается со стороны 1С:Предприятие (хотя возможен при доработке ПО).\nВ ОФД чеки могут передаваться через сетевое подключение (Wi-Fi или Ethernet), либо через специальный транспортный протокол EoU (Ethernet over USB) при USB подключении.\nС точки зрения простоты настройки довольно привлекательно выглядит подключение к ОФД через сеть, однако диагностика взаимодействия с ОФД при этом достаточно сложна и требует хороших технических знаний. Оптимальным, с точки зрения эксплуатационных характеристик, выглядит подключение через USB, сочетая простоту и минимум кабелей с хорошими возможностями по диагностике работы с ОФД.\nДля младших моделей это практически единственный вариант подключения ввиду отсутствия сетевых интерфейсов, хотя существует еще Ethernet over RS для работы через COM-порт, но он более сложен в настройке и ограничен скоростью порта в 57600 бод, что не всегда приемлемо.\nНиже мы будем рассматривать вариант с подключением кассы по USB и использования EoU в качестве транспорта.\nПрежде всего настроим канал связи ККТ с ПК, для этого следует зажать кнопку промотки бумаги и включить кассу, после четвертого длинного гудка отпускаем кнопку промотки и попадаем в сервисное меню, пункты которого будут распечатаны на ленте. Выбираем Канал связи - USB и выходим из режима. Для выбора также используется клавиша промотки, количество нажатий которой должно соответствовать номеру пункта меню. Выключаем и снова включаем кассу.\nСледующим шагом нужно скачать и установить драйвера и ПО для работы с ККТ, для этого идем в Центр загрузки АТОЛ и в разделе Контрольно-кассовая техника скачиваем драйвер ККТ версии 10. Из всего скачанного архива нам потребуется только одна папка installer, которая содержит установочные пакеты для Windows и Linux (DEB и RPM), обратите внимание, что разрядность пакета драйверов должна совпадать с разрядностью платформы 1С. А так как 64-разрядная платформа для Windows имеет ряд проблем с поддержкой торгового оборудования, то следует использовать 32-разрядную платформу и драйвера. При установке выбираем Драйвер ККТ, EoU (отмечены по умолчанию) и интеграционную компоненту 1С. Однако, если вы забыли ее установить - ничего страшного, ее всегда можно получить из архива, где она находится в папке 1С. Подключим кассу к ПК (если вы не сделали этого раньше), включим ее и перейдем в диспетчер устройств. Там мы увидим два виртуальных COM-порта со стандартными драйверами. Драйвера требуется обновить на версию от АТОЛ, которые расположены в C:\\Program Files (x86)\\ATOL\\Drivers10\\KKT\\USB_Drivers После их установки список портов кассы должен принять следующий вид: Теперь запустим приложение Тест драйвера ККТ и перейдем в Свойства, затем укажем канал связи COM/VCOM и выберем первый из портов, в нашем случае COM7, который предназначен для связи с ПК, второй порт - COM8 служит для связи с ОФД. После чего нажмите Проверка связи и вы должны увидеть в сообщении наименование модели ККТ, ее серийный номер и статус фискализации. Теперь самое время перейти в Параметры ККТ, где перед нами откроется следующее окно, в котором перейдем в пункт 15 ОФД, здесь следует проверить адрес и порт ОФД, а также правильно указать канал обмена, в нашем случае это USB (EoU). Также рекомендуем заглянуть в пункт 9 Клише, где вы можете ввести собственный текст для печати на чеках. И пункт 5 Печать, где можно выбрать шаблон чека, в нашем примере используется АТОЛ FPrint-22ПТК у которого доступны два шаблона: 1 - крупный и 2 - компактный. Так как онлайн кассы выводят на печать достаточно большое количество реквизитов, то следует использовать компактные шаблоны, это ускорит время печати чека и позволит существенно экономить кассовую ленту. Для применения внесенных в данном разделе изменений кассу потребуется выключить и включить. Для дальнейшей работы с кассой в тесте драйвера следует установить рядом с кнопкой Свойства флаг Включено, ниже при этом отобразится ее модель и состояние. Больше информации можно получить в разделе Информация о ККТ, состояние смены, наличие бумаги, состояние датчиков - все это можно найти здесь и отсюда следует начинать любую диагностику состояния кассы.\nСледующий раздел, куда вам придется время от времени заглядывать, это Отчеты, в основном для того, чтобы выполнить закрытие смены в тех случаях, когда 1С закрыла смену в программе, но не смогла это сделать на ККТ (закончилась бумага или иной сбой). В этом случае просто выполняем печать Отчета о закрытии смены (он же Z-отчет, он же отчет с гашением) в Тесте драйвера. Раздел ФН позволяет получить разного рода информацию о фискальном накопителе, практическую пользу представляет Статус информационного обмена, который позволяет проконтролировать количество неотправленных документов, при нормальной работе ККТ их быть не должно, либо должны быть объективные обстоятельства, мешающие отправке, например, перебои с доступом в интернет. И, наконец, раздел Сервисные. Здесь следует установить в ККТ точное время, потому что при расхождении часов ККТ и ПК более чем на пять минут пробитие чеков будет невозможна. Также в данном разделе присутствует возможность программно перезагрузить ККТ, что удобно, если вы внесли изменения в настройки кассы удаленно. На этом закончим настройки самой кассы и перейдем к 1С. В нашем примере используется конфигурация Розница 2.2, но с некоторыми поправками все нижесказанное будет применимо к любой современной конфигурации.\nВажно! Важно! В современных конфигурациях компонента АТОЛ: Драйвер ККТ с передачей данных в ОФД (54-ФЗ), 10.x уже входит в состав поставки, поэтому загружать интеграционную компоненту не нужно. Следует использовать драйвер из состава конфигурации.\nПрежде всего загрузим в конфигурацию интеграционную компоненту, для этого следует открыть обработку Подключение и настройка оборудования и перейти в Драйверы оборудования. А затем загрузить компоненту, которая находится по пути C:\\Program Files (x86)\\ATOL\\Drivers10\\KKT\\1Cv83, если же вы забыли ее установить вместе с ПО, то следует взять ее из архива с драйвером в папке 1С. Затем возвращаемся в основное окно и переходим в раздел ККТ с передачей данных, где создаем новый экземпляр оборудования с драйвером версии 10.х. В настройках устройства указываем первый виртуальный COM-порт, в нашем случае COM7 и проверяем связь нажатием кнопки Тест устройства. Учтите, что COM-порт не предусматривает одновременного доступа из нескольких программ и если вы забыли закрыть Тест драйвера или снять в нем флаг Включено, то 1С не сможет подключиться к кассе и сообщит вам, что Порт занят. Дальнейшая настройка будет зависеть от используемой вами конфигурации и выходит за рамки данной статьи. Но в любом случае не забудьте указать адрес в настройках торговой точки и физическое лицо пользователю, который будет работать с кассой. В противном случае при попытке пробить чек вы получите ошибку с сообщением что один из реквизитов не заполнен (Адрес или Кассир).\nВнимание! Внимание! ККТ АТОЛ наплатформе 5.0 не поддерживают работу с EoU, для них требуется настройка EoT. Подробнее читайте здесь: Особенности подключения ККТ АТОЛ на платформе 5.0\nБудем считать, что конфигурация у вас настроена, поэтому переходим к настройке службы EoU, которая отвечает за передачу чеков в ОФД. Данная служба является полностью консольной и не имеет графического интерфейса, настройка производится с помощью конфигурационного файла. По умолчанию он расположен в C:\\ProgramData\\ATOL\\EoU, перейдем в указанную папку и откроем settings.xml. Он уже содержит некоторую информацию, но нас интересует только первая секция device, в теге id указываем название кассы, лучше давать осмысленные названия, особенно если у вас к узлу подключено несколько касс, это позволит быстро находить нужные строки в логе. В теге port указываем номер второго COM-порта, в нашем случае 8. Остальное содержимое файла можно удалить, если касс несколько - создаем несколько секций device. Перезапускаем службу стандартным образом. И открываем файл лога в C:\\ProgramData\\ATOL\\EoU\\logs, если все сделано нормально, то вы увидите процесс обмена рабочего процесса EoU (worker), который в логе обозначен присвоенным вами id, ККТ представлен как COM, а Ofd - это сервер ОФД. Для дополнительного контроля можно перейти в личный кабинет ОФД и убедиться в наличии пробитых на кассе документов (чеки, а также документы открытия и закрытия смены).\nКак видим, настройка ККТ АТОЛ не сложна, но требует ряда специфических операций и настроек, однако если внимательно следовать нашему руководству, то проблем у вас возникнуть не должно.\n","id":"ad13971883c85e1ea8646138cf5dc3e2","link":"https://interface31.ru/post/podklyuchaem-kkt-atol-k-1spredpriyatie-83/","section":"post","tags":["1С Предприятие 8.х","Автоматизация","АТОЛ","ККТ","Торговое оборудование"],"title":"Подключаем ККТ АТОЛ к 1С:Предприятие 8.3"},{"body":"Представляем перевод статьи TechNet \u0026quot;Is Group Policy Slowing Me Down?\u0026quot; которая, на наш взгляд, будет интересна широкому кругу русскоязычных читателей.\nПривет всем, Натан Пенн снова обратился к одному из наиболее часто встречающихся вопросов: является ли групповая политика в моей среде замедляющим фактором загрузки и входа в систему? К счастью, если знать, где искать, мы можем быстро получить ответ на этот вопрос.\nДля начала следует прояснить некоторые термины, чтобы все мы понимали, о чем идет речь. В нашем случае время загрузки - это время которое требуется компьютеру чтобы загрузить операционную систему после включения питания или перезагрузки до интерактивного экрана входа в систему (Ctrl + Alt + Del / Windows Hello). Время входа - это время, которое проходит после интерактивного входа с соответствующими учетными/биометрическими данными до появления рабочего стола и приложений. С учетом этого, давайте рассмотрим, как мы можем определить вызывает ли групповая политика задержки. Для этого перейдем в Просмотр событий Windows.\nПервая остановка - Журналы Windows - Система. Здесь мы можем найти событие с кодом 12 (Event ID 12) из источника Kernel-General, которое фиксирует время запуска системы после включения или перезагрузки. Прокручивая список вверх от события с кодом 12 мы заметим несколько событий с ID 7036 из источника Service Control Manager. В одном из событий 7036 будет содержаться запись со следующим описанием: Служба \u0026quot;Клиент групповой политики\u0026quot; перешла в состояние Работает. В нашем случае компьютер был включен в 13:51:12, а служба клиента групповой политики запустилась в 13:51:25 или на 13 секунд позже. Пока групповая политика не влияла на время загрузки, но теперь все изменится. Чтобы выяснить влияние групповой политики на время загрузки системы, необходимо перейти к журналу операций групповой политики в оснастке Просмотр событий, раздел Журналы приложений и служб - Microsoft - Windows - GroupPolicy - Operational. Теперь мы знаем, что система включается и запускает службы, при этом запускается служба клиента групповой политики, которая инициализирует конфигурацию запуска и готовится приступить к обработке объектов групповой политики. Чтобы немного упростить ситуацию, ниже приведены четыре основных события в журнале операций групповой политики, которые должны более всего заинтересовать вас, но мы также рассмотрим и некоторые другие важные из них:\nEvent ID 4000 - Запуск обработки политики загрузки компьютера для COMPUTER Event ID 8000 - Завершена обработка политики загрузки компьютера для COMPUTER за # с. Event ID 4001 - Запуск обработки политики входа пользователя в систему для USER Event ID 8001 - Завершена обработка политики входа пользователя для USER за # с. С помощью этих событий можно точно определить время начала и окончания обработки политик для компьютера и пользователя, а также время, затраченное на это. Я уверен, вы думаете, что это какое-то шаманство, верно... Но что, если мы хотим немного больше деталей, например, почему это заняло X секунд? Поэтому перейдем к промежуточным событиям и рассмотрим самые важные их них.\nПосле событий с ID 4000 и 4001нам необходимо найти в структуре Active Directory (AD) соответствующие объекты политик компьютера или пользователя, чтобы определить, какие из них будут применяться. Этот системный вызов контроллера домена (DC) описывается в событии с идентификатором 5017, в котором также фиксируется сколько времени для этого потребовалось. Следующее, что должно произойти - это поиск и подключение к контроллеру домена, который мы будем использовать для выполнения запросов групповой политики. Это фиксирует событие с кодом 5326, а также записывает время, ушедшее на соединение. Далее у нас будет событие с кодом 5310, которое детализирует то, что мы нашли: местоположение объекта компьютера или пользователя в AD, а также имя контроллера домена, который будет использоваться для запросов GPO. Событие с идентификатором 5312 предоставит нам список всех политик, которые применяются к объекту на основе его размещения в AD. Событие с кодом 5313 покажет, какие политики были отфильтрованы как неприменимые из-за фильтра безопасности (т. е. политика, предназначенная для определенного списка или группы объектов). Как видим, существует ряд событий, которые могут дать ясную картину вызывает ли групповая политика замедление загрузки. В журнале операций групповой политики содержится еще много записей, которые остались за рамками статьи, но могут помочь выяснить, сколько времени потребовалось для обработки политик, выполнения сценариев входа и запуска, а также на ожидание системы. Будем надеяться, что данный материал поможет снять завесу тайны с вопроса замедляет ли групповая политика загрузку вашего ПК.\nИсточник: Is Group Policy Slowing Me Down?\nПеревод: Уваров А.С.\n","id":"e9d4d369fe425748c9d4b795a094855e","link":"https://interface31.ru/post/is-group-policy-slowing-me-down/","section":"post","tags":["Active Directory","Event Viewer","GPO","Windows 10","Windows 7","Windows 8","Windows Server","Windows Server 2012","Windows Server 2016","Диагностика","Производительность"],"title":"Замедляет ли групповая политика загрузку ПК?"},{"body":"Иногда, казалось бы, простые ситуации ставят в тупик и заставляют искать нестандартные решения. Ну что такого в истекшем пароле? Попросит поменять при следующем входе... Но не все так просто, если у вас есть только удаленный доступ, то ситуация обещает стать интересной. В этой короткой заметке мы не будем делать теоретических отступлений, да и отступать тут некуда, сама по себе проблема проста и понятна, только вот необычное сочетание условий заставило искать обходное решение, которое оказалось не менее простым.\nИтак, в один не очень прекрасный вечер потребовалось нам поработать на одном удаленном сервере, который находился в одном из подразделений клиента, физически расположенным более чем в 500 км. Сервер новый, привычно подключаемся и что это? Понятно, забыли установить неограниченный срок действия пароля Администратора, хотя, с другой стороны, может и правильно его эпизодически менять, но только вот чтобы поменять его нужно как-то попасть в систему...\nНу хорошо, подключимся простым пользователем, с этим проблемы нет, и запустим оснастку управления компьютером с повышением прав. Однако и тут нас постигло фиаско... Ситуация начала становиться неприятной, мало того, что работу сегодня выполнить не удастся, так еще завтра придется искать местного приходящего админа и уже с его помощью менять пароль. Или...\nБеглый поиск показал, что проблема известна, с чем именно связана - до конца непонятно, но решения в виде поставить патч явно здесь не подходят, по факту мы потеряли админский доступ в удаленную систему и прежде всего надо думать, как его вернуть.\nА если попробовать так? Нажимаем Ctrl + Alt + End (аналог Ctrl + Alt + Del для удаленного сеанса) в сеансе обычного пользователя (куда доступ у нас есть). Нажимаем Изменить пароль и вместо имени пользователя в нужном поле вписываем имя Администратора, затем указываем старый пароль, новый пароль... И у нас все получилось, после чего мы снова смогли войти в систему с учетной записью Администратора. Решение оказалось неожиданно простым.\nВыводы здесь тоже будут короткими, перед тем как опускать руки, попробуйте все варианты, даже неочевидные. Ну кто мог подумать, что из-под учетной записи пользователя можно поменять пароль администратора? Однако мы попробовали и у нас все получилось.\n","id":"0b62b064a517265f0ceefc41deaff12f","link":"https://interface31.ru/post/adminu-na-zametku-23-pered-pervym-vhodom-v-sistemu-neobhodimo-smenit-parol/","section":"post","tags":["Windows Server","Windows Server 2012","Windows Server 2016","Безопасность","Сервер терминалов"],"title":"Админу на заметку - 23. Перед первым входом в систему необходимо сменить пароль. Как это сделать через RDP?"},{"body":"За роутерами Mikrotik давно закрепилась слава \u0026quot;сложных\u0026quot; в настройке. Это действительно так, если говорить о начинающих. После обычных роутеров, где производитель практически за руку ведет пользователя от настройки к настройке, RouterOS пугает обилием возможностей и отсутствием привычных интерфейсов. Но не стоит пугаться, если вы имеете начальные знания по устройству и работе сетей, то очень скоро вы будете чувствовать себя как рыба в воде, а настройки иных роутеров наоборот покажутся вам ограниченными. Сегодня мы начнем с базовой настройки, чтобы научить ваш Mikrotik всему тому, что умеют обычные роутеры.\nВ сети имеется достаточное количество инструкций по настройке роутеров этой марки, с разными подходами к этому процессу, поэтому мы не будем претендовать на истину в последней инстанции, а выразим наше видение этого вопроса. В первую очередь мы считаем, что возможности не должны опережать знания, поэтому не следует сразу браться за настройку сложных сетевых конфигураций. Лучше всего сначала разобраться в базовых настройках и только потом, по мере появления опыта переходить к более сложным схемам.\nВ свое время, когда вчерашний студент приходил на производство, ему говорили: \u0026quot;Забудь все чему тебя учили, и слушай сюда\u0026quot;. Этот подход как никогда справедлив, если вы первый раз берете в руки Mikrotik, забудьте о предыдущем опыте с другими роутерами и готовьтесь осваивать новые подходы.\nПрежде всего абсолютно неважно какая именно модель роутера у вас в руках, главное, что внутри находится RouterOS, а значит вам подойдет любая инструкция по настройке, за небольшими поправками, связанными с аппаратными ограничениями (скажем, если в вашей модели отсутствует Wi-Fi, то часть инструкции посвященную настройке беспроводной сети вы можете просто пропустить).\nПоэтому для подготовки материалов по Mikrotik мы будем использовать виртуальные машины с RouterOS, прибегая к реальному оборудованию только чтобы показать какие-то специфичные моменты.\nПодготовка к настройке Первым делом, взяв в руки Mikrotik, следует обновить версию RouterOS до актуальной. Это следует сделать по нескольким причинам, в первую очередь в целях безопасности. Еще свежа история с широкой эксплуатацией уязвимости CVE-2018-14847, несмотря на то что производитель оперативно выпустил патч. Просто пользователи не спешили обновлять свои устройства, как говорится - пока гром не грянет...\nВо-вторых, начиная с RouterOS 6.41 были изменены настройки коммутации и если вы хотите использовать актуальные инструкции, перед настройкой версию ОС следует обязательно обновить.\nДля этого перейдем на сайт производителя в раздел Downloads и скачаем свежую версию Winbox - графической утилиты для настройки, а также свежую версию RouterOS. Представленные на странице пакеты отличаются только архитектурой вашего роутера, если вы ее не знаете, то рядом перечислены все подходящие модели роутеров. В каждом разделе представлено два пакета: Main и Extra, первый - это основная прошивка, то, что находится в вашем устройстве из коробки, второй - дополнительные пакеты, которые можно установить самостоятельно, они нам сейчас не нужны. Теперь подключим патч-корд к любому порту роутера, кроме первого и запустим WinBox. По умолчанию в Mikrotik включен MAC-сервер, что позволяет подключаться к устройству по MAC-адресу, не меняя настройки сетевого адаптера. Ваше устройство через некоторое время появится на закладке Neighbors, после чего щелкните мышью на поле MAC-адреса, который автоматически подставится в строку подключения, для входа используйте admin с пустым паролем. Для обновления перейдите в раздел Files и загрузите скачанный ранее пакет c RouterOS, это можно сделать как кнопкой Upload, так и простым перетаскиванием файла в окно. После чего просто перезагрузите устройство: System - Reboot. Следующим шагом обновим загрузчик RouterBOOT, для этого перейдем System - Routerboard и сравним текущую версию с доступной прошивкой, для обновления нажмите Upgrade и еще раз перезагрузите устройство. И, наконец, сбросим конфигурацию устройства. Хорошей практикой настройки Mikrotik является полный сброс настроек по умолчанию и настройка устройства с нуля, таким образом вы не только настроите свой роутер именно так, как нужно вам, но и будете уверенны, что настройки не содержат никаких \u0026quot;сюрпризов\u0026quot;, которые вы могли просто не заметить. Для этого выберем System - Reset Configuration и установим флаги No Default Configuration и Do Not Backup, после чего выполним сброс устройства, при этом роутер снова будет перезагружен. Настройка портов и коммутация В старых версиях RouterOS было два варианта настройки коммутации: аппаратный, при помощи чипа коммутации (через мастер-порт) и программный (через мост), в современных версиях используется только один вариант - через мост, при этом чип коммутации будет задействован автоматически, при наличие такой возможности, т.е. коммутация будет по-прежнему выполняться на аппаратном уровне. Более подробно мы коснемся этого момента немного позже.\nОткрыв раздел Switch можно посмотреть какие чипы коммутации установлены в вашем роутере и какие порты они обслуживают: Для примера показан RB2011, который имеет два чипа коммутации: первый обслуживает порты ether1-ether5 и spf, второй ether6-ether10. Для портов, обслуживаемых одним чипом, доступна аппаратная коммутация, между портами обслуживаемыми разными чипами коммутация будет программной. Это следует учитывать при распределении портов, скажем если мы для файлового сервера выделим ether7, а для клиентов ether2-ether5, то получим повышенную нагрузку на устройство из-за программной коммутации.\nДля новичков сообщим еще одну новость: в Mikrotik нет LAN и WAN портов, любой порт может быть настроен как вам нужно. Есть два внешних канала - настроим два WAN, нужно обслуживать две внутренних сети - не проблема, создадим две группы коммутации.\nДалее в нашем примере мы будем использовать пятипортовый роутер и в качестве внешнего порта будем использовать здесь и далее последний порт. Остальные порты будут объединены в группу коммутации для локальной сети. Откроем Interfaces - Interface и добавим к портам ether1 и ether5 комментарии, указывающие на их назначение. Также можно переименовать сам порт, но мы предпочитаем оставлять им оригинальные названия, что позволяет быстро понимать к какому физическому порту относится та или иная запись. Оставим пока настройку подключения к провайдеру и объединим локальные интерфейсы в группу коммутации, для этого нам нужно будет создать мост, переходим в раздел Bridge и создаем там сетевой мост bridge1, в комментариях также указываем его принадлежность к LAN.\nЗатем переходим на закладку Bridge - Ports и последовательно добавляем в мост интерфейсы локальной сети ether1-ether4, обратите внимание на активную по умолчанию опцию Hardware Offload, которая включает аппаратную коммутацию, если она доступна. Итак, мост создан, порты добавлены, теперь перейдем в Interfaces - Interface List и создадим новый список, которому дадим название local: А затем добавим в этот список интерфейс нашего локального моста: Осталось только присвоить нашему мосту локальный IP-адрес, для этого откроем IP - Addresses и добавим интерфейсу bridge1 нужный адрес. Обратите внимание, что используется формат записи IP/маска, т.е. вы должны указать 192.168.186.1/255.255.255.0 или более короткий вариант 192.168.186.1/24: Теперь роутер будет пинговаться по указанному вами адресу и по нему можно будет подключиться к устройству. Для того, чтобы убедиться, что аппаратная коммутация работает перейдите в Bridge - Ports, символ H в строке порта указывает на то, что для обработки, передаваемой на уровне L2 информации, используется чип коммутации. Настройка подключения к интернет В зависимости от вашего провайдера способ подключения к интернет может быть разным. Чаще всего встречается прямое подключение, когда провайдер раздает настройки по DHCP или PPPoE подключение (используется федеральным провайдером Ростелеком). Мы будем рассматривать далее прямое подключение, однако если у вас коммутируемый доступ (PPPoE или VPN), то вам потребуется перейти в раздел PPP и создать коммутируемое подключение типа Client, ниже показан пример для PPPoE Ростелеком. В качестве используемого интерфейса укажите внешний интерфейс ether5: Затем на закладкеDial Out укажите данные для подключения к серверу провайдера и если вы хотите использовать его DNS-сервера установите флаг Use Peer DNS. В дальнейшем, вместо внешнего интерфейса ether5 вам потребуется указывать ваш коммутируемый интерфейс pppoe-out1.\nИнформация Более подробно про настройку VPN-подключений в Mikrotik вы можете прочитать в нашей статье Настройка VPN-подключения в роутерах Mikrotik.\nВ зависимости от способа подключения вам может потребоваться настроить получение от провайдера внешнего IP-адреса, если у вас статический адрес, то переходим в IP - Addresses и добавляем еще один адрес, аналогично тому, как мы делали выше, но чаще всего провайдеры используют для присвоения адресов (даже статических) протокол DHCP. В этом случае переходим в IP - DHCP Client и добавляем нового клиента, в качестве интерфейса указываем внешний - ether5. Здесь же можем убедиться, что IP-адрес от провайдера получен: Для коммутируемых подключений DHCP-клиент настраивать не нужно, интерфейс получит адрес самостоятельно, чтобы убедиться в этом, еще раз откроем IP - Addresses, где должен появиться еще один адрес с индексом D (динамический) и принадлежащий коммутируемому подключению. Настройка сетевых служб (DHCP, DNS) и раздача интернета Одной из наиболее важных сетевых служб является DHCP, сегодня уже все привыкли, что достаточно просто подключиться к сети, неважно, проводом или через Wi-Fi, а все настройки будут произведены в автоматическом режиме. Поэтому мы тоже начнем с DHCP, для этого перейдем в IP - DHCP Server и запустим мастер настройки сервера DHCP Setup. Первым шагом потребуется указать рабочий интерфейс сервера - указываем сетевой мост bridge1, который мы настроили для локальной сети. Затем укажем обслуживаемую сеть, которую мастер подставит автоматически, на основании адреса присвоенного интерфейсу моста: В качестве шлюза будет предложено использовать сам роутер, мастер по умолчанию подставит адрес, который мы присвоили устройству: Потом будет предложено выделить диапазон адресов для выдачи клиентам, мастер предложить отдать весь доступный диапазон, но если дома еще можно так сделать, то в офисе однозначно нужно выделить статические диапазоны для серверов, сетевого оборудования, принтеров, камер и т.д. и т.п. Поэтому немного ограничим его аппетиты, мы выделили блок адресов 192.168.186.100-199, для дома или небольшого офиса этого вполне достаточно. Ну и наконец укажем DNS-сервер, в его качестве также должен выступать роутер, иначе мы потеряем контроль над очень важной сетевой службой, поэтому указываем в этом окне адрес роутера. Завершаем работу мастера и переходим на закладку Leases, здесь, по мере подключения, будут появляться клиенты, которым ваш роутер начнет выдавать адреса. Обратите внимание на \u0026quot;фирменную\u0026quot; особенность Mikrotik - он начинает выдавать адреса начиная с конца диапазона, т.е. от 199 до 100. Следующим шагом настроим DNS-сервер, сделать это очень просто, открываем IP - DNS и добавляем в список вышестоящие DNS, это могут быть сервера провайдера или публичные службы, если вы получаете сетевые настройки от провайдера через DHCP, то его DNS-сервера уже будут указаны, они располагаются в разделе Dynamic Servers и не подлежат редактированию. Если вы добавите собственные сервера, то они будут иметь более высокий приоритет, в нашем случае указаны сервера OpenDNS. Для того, чтобы сервер мог обслуживать запросы клиентов локальной сети, не забудьте установить флаг Allow Remote Requests.\nБазовые сетевые службы настроены, но доступа в интернет у клиентов пока нет, для этого осталось настроить службу трансляции адресов - NAT. Переходим в IP - Firewall - NAT и добавим новое правило, на закладке General в поле Src. Address укажем нашу локальную сеть 192.168.186.0/24, а в поле Out. Interface - внешний интерфейс, в нашем случаеether5. Если же вы используете коммутируемое подключение, то здесь следует указать его, например, pppoe-out1. На закладке Action укажем действие - masquerade. Теперь можем перейти на клиентский ПК и убедиться, что сетевые настройки получены и доступ в интернет есть. Если вы используете торренты или иной софт, требующий принимать входящие подключения, то следует также настроить службу UPnP, которая позволяет сетевому ПО автоматически осуществлять проброс нужных портов на роутере. Откроем IP - UPnP, включим службу и перейдем к настройке интерфейсов, нажав на кнопку Interfaces. Теперь добавим два интерфейса: bridge1 как внутренний и ether5 как внешний, если вы используете коммутируемое подключение, то добавьте в список тот интерфейс, через который выходите в интернет, например, pppoe-out1. Теперь если мы запустим на клиенте торрент, то в IP - Firewall - NAT созданные автоматически правила для проброса портов, если же закрыть торрент-клиент, то данные правила исчезнут. Это удобно и безопасно, а также позволяет полноценно использовать современные сетевые приложения. Настройка межсетевого экрана Сетевой экран, он же файрволл или брандмауэр (оба этих слова обозначают в английском и немецком языках противопожарную стену) является важнейшей частью роутера и было бы серьезной ошибкой выставить устройство в интернет не настроив брандмауэр. Поэтому перейдем в IP - Firewall - Filter Rules и приготовимся остаться тут надолго. Вообще-то гораздо быстрее и проще настроить межсетевой экран из командной строки, но так как наш материал рассчитан на начинающих, то мы будем это делать при помощи графического интерфейса Winbox.\nСуществует два основных состояния брандмауэра: нормально открытый, когда разрешено все, что не запрещено, и нормально закрытый, когда запрещено все, что не разрешено. Логично, что для внутренней сети следует использовать первую политику, а для внешней - вторую. По умолчанию все цепочки брандмауэра Mikrotik (а он построен на iptables) находятся в состоянии ACCEPT, т.е. разрешено.\nНачнем с подключений к самому роутеру или цепочки input. В первую очередь добавим правило-пустышку разрешающее подключение к устройству из локальной сети. Почему \u0026quot;пустышку\u0026quot;? Потому что это и так разрешено, но данное правило будет нашей страховкой от случайного \u0026quot;выстрела в ногу\u0026quot;, когда мы случайно запретим себе доступ к устройству. Правило-пустышка расположенное первым сработает раньше всех добавленных позже правил, в отличие от действия по умолчанию, которое сработает только тогда, если ни одно правило не подошло.\nИтак, добавляем новое правило и указываем в нем Chain (цепочка) - input, Src. Address - 192.168.186.0/24 - диапазон вашей сети и In. Interface - bridge1, локальный интерфейс. Действия задаются на закладке Action, но так как accept (разрешить) уже установлено по умолчанию, то можно просто нажать OK. Также примите себе за правило давать для каждой записи детальные комментарии, чтобы впоследствии можно было быстро понять ее назначение. Особенно это касается правил, назначение которых неочевидно.\nСледующим правилом разрешим входящие подключения на внешнем интерфейсе для уже установленных и связанных соединений, создаем новое правило: Chain - input, In. Interface - ether5, в Connection State устанавливаем флаг established и related, так как действие у нас снова accept, то просто сохраняем правило. Затем запретим входящие пакеты в состоянии invalid, это пакеты которые не являются первыми и не принадлежат ни одному установленному соединению. Какого-либо смысла обрабатывать их нет, просто отбрасываем. Создаем правило Chain - input, In. Interface - ether5, в Connection State устанавливаем флаг invalid и переходим на закладку Action и ставим действие drop. Ниже располагаем разрешающие правила для различного типа входящего трафика. Обязательно разрешим роутеру принимать протокол ICMP: Chain - input, Protocol - icmp, In. Interface - ether5. ICMP - это не только пинги, но и гораздо более важные вещи, например, определение минимального MTU канала связи (PMTU). И самым последним создаем правило запрещающее все остальные подключения к роутеру:Chain - input, In. Interface - ether5, на закладке Action и ставим действие drop.\nЕсли у вас коммутируемое подключение, то продублируйте правило для интерфейса, который смотрит в сеть провайдера, в большинстве случаев это избыточно, но вполне оправдано с точки зрения безопасности.\nВ последствии дополнительные разрешающие правила следует размещать ниже правила запрещающего invalid, но выше правила блокирующего все входящие подключения.\nДанный набор правил является минимально необходимым и надежно закрывает ваше устройство от внешней сети, оно даже не будет отвечать на пинги, также невозможны внешние подключения. На наш взгляд выставлять управление устройством, особенно Winbox во внешнюю сеть - плохая идея, если же вам требуется удаленный доступ к роутеру, то следует использовать иные методы, например, через VPN.\nПри наличии базовых знаний по работе сетей работу с брандмауэром Mikrotik нельзя назвать сложной, особенно если вы работали с iptables (который здесь и находится \u0026quot;под капотом\u0026quot;), понимая откуда должен прийти пакет и куда попасть - создание новых правил не должно вызывать затруднений.\nЗакончим с собственными соединениями роутера и перейдем к транзитным, т.е. от клиентов локальной сети в интернет и обратно. За это отвечает цепочка forward, но прежде, чем переходить к правилам следует обратить внимание на еще одну фирменную технологию. Она называется Fasttrack и предусматривает упрощенную передачу пакетов, что позволяет значительно повысить производительность роутера. Однако это достигается ценой того, что к такому трафику не могут быть применены многие правила брандмауэра и иные сетевые технологии (подробнее можно прочитать на официальном сайте).\nТак нужен ли Fasttrack? Смотрите сами, мы взяли RB2011 и прокачали через него при помощи Speedtest поток в 90 Мбит/с (при тарифе в 100 Мбит/с) сначала с отключенным Fasttrack: Фактически мы уже положили роутер на лопатки, загрузив CPU на 100% при помощи только одного теста. В реальной жизни несколько активно использующих сеть клиентов сделают это даже на более узком канале. Говорить о какой-то сложной обработке трафика или каких-либо продвинутых сетевых функциях увы уже не приходится.\nВключим Fasttrack и повторим тест: Как видим, картина существенно изменилась, полная утилизация канала уже не вызывает предельной загрузки роутера и остается вполне достаточно ресурсов для реализации каких-то продвинутых сетевых конфигураций или создания сложных правил обработки трафика.\nПоэтому первым делом добавим следующее правило: Chain - forward,Connection State: established, related, а на закладке Action установим действие fasttrack connection. Таким образом мы пустим через Fasstrack все пакеты уже установленных транзитных соединений, и скажем честно, особой потребности как-то сложно обрабатывать такой трафик на роутере нет. Простую фильтрацию можно легко достичь предварительной обработкой и маркировкой пакетов, а на что-то более сложное у Mikrotik не хватит ресурсов, в этом случае есть смысл задуматься о полноценном роутере с прокси на базе Linux.\nОстальной трафик из локальной сети в интернет мы никак не трогаем, потому что по умолчанию все и так разрешено, а любые дополнительные разрешающие правила окажутся пустышками, бесцельно расходующими вычислительные ресурсы роутера. Поэтому будем сразу закрываться от доступа из всемирной сети. Но прежде точно также разрешим уже установленные и связанные соединения: Chain - forward, In. Interface - ether5, Out. Interface - bridge1, ниже в Connection State устанавливаем флаги established и related, действие accept. Запретим пакеты в состоянии invalid: Chain - forward, In. Interface - ether5, Connection State - invalid, действие drop. Ниже, если необходимо, размещаем разрешающие правила, для доступа извне в локальную сеть.\nЗатем закрываемся от внешнего мира: Chain - forward, In. Interface - ether5, Out. Interface - bridge1, Connection NAT State - ! dstnat, действие drop. Общий принцип здесь такой же, как и в цепочке input, разрешаем установленные и связанные соединения, запрещаем invalid, потом идут собственные правила и запрет всего остального трафика. Единственный момент, в данном правиле мы поставили исключение для dstnat-трафика, т.е. для проброшенных наружу портов, если этого не сделать, то правила созданные UPnP будут работать некорректно. В итоге вы должны получить следующую конфигурацию брандмауэра: Это - минимально достаточная базовая конфигурация, которая обеспечивает необходимый уровень безопасности и на которую мы будем опираться в наших следующих материалах.\nНастройка безопасности роутера Основная настройка нашего роутера закончена, он уже может быть введен в эксплуатацию и обслуживать запросы клиентов локальной сети. А мы тем временем перейдем к дополнительным настройкам, которые существенно влияют на безопасность устройства.\nПрежде всего перейдем в IP - Services, здесь перечислены включенные сетевые службы самого роутера, смело отключаем все неиспользуемые, включая и веб-интерфейс. Честно говоря, мы вообще не видим в нем смысла, так как по внешнему виду он полностью повторяет Winbox, но несколько менее удобен в использовании. Обычно мы оставляем только Winbox и SSH, для Winbox не будет лишним задать диапазон допустимых адресов для подключения, ограничив их локальной сетью. При необходимости можно указать несколько сетей (сеть офиса и сеть филиала). Следующим шагом заходим в IP - Neighbors, данные настройки отвечают за автоматическое обнаружение устройств Мikrotik в сети, по вполне понятным причинам эту функцию следует ограничить только локальной сетью. Поэтому нажимаем Discovery Settings и в списке Interface выбираем созданный нами в самом начале список интерфейсов local. Обнаружение устройства и возможность подключения к нему по MAC-адресу - несомненно удобно, но также только в локальной сети. Открываем Tools - MAC Server и устанавливаем в Allowed Interface List список интерфейсов local. Ну и наконец сменим учетную запись по умолчанию. Перейдем в System - Users и создадим собственный аккаунт с полными правами, выйдем из Winbox и попробуем зайти с новыми учетными данными и только после этого, убедившись, что все работает правильно, можно выключить старую учетную запись.\nНастройка беспроводной сети Wi-Fi Данный раздел мы не зря вынесли в самый конец, потому как общие шаги настройки роутера что с беспроводным модулем, что без него абсолютно одинаковые. Поэтому имеет смысл прежде выполнить все общие этапы настройки, а затем те, кому нужно дополнительно настроят у себя беспроводную сеть. Мы не будем здесь касаться всех аспектов настройки Wi-Fi на Mikrotik - это тема отдельной статьи, а дадим только базовые настройки.\nЕсли мы откроем раздел Wireless то увидим один или два беспроводных интерфейса (для моделей 2,4 + 5 ГГц), которые будут из коробки выключены. Но не будем спешить их включать, перед тем как настраивать Wi-Fi будет не лишним изучить обстановку в эфире. Для этого сначала нажмем кнопку Freq. Usage и оценим загрузку каналов. Как мы помним, в диапазоне 2,4 ГГц существуют три независимых канала, которые предпочтительно использовать: 1 (****2412 МГц), 6 (2437 МГц) и 11 (****2462 МГц), поэтому начнем наблюдать. Сразу видим, что начало диапазона занято довольно плотно и использование 11-го канала может сначала показаться хорошей идеей. Однако не будем спешить и понаблюдаем немного подольше, как оказалось - не зря! На 11-ом канале время от времени отмечались сильные всплески непонятного характера, по которым можно было предположить наличие там не точки доступа, а какого-то иного источника излучения. Поэтому наиболее подходящим в этой ситуации можно назвать 6-й канал. Закроем это окно и нажмем кнопку Scanner, который покажет нам все работающие в диапазоне точки доступа, при этом обращаем внимание на уровень сигнала. Сигнал в -35 dBm принимается за 100%, -95 dBm - 1%, шкала между этими значениями линейная, т.е. -65 dBm - 50%.\nКак видим, на выбранном нами 6 канале есть только одна более-менее мощная точка с сигналом -59 dBm, что, впрочем, не сильно страшно, внутриканальные помехи достаточно легко преодолеваются на уровне протокола, что нельзя сказать о межканальных. С этим здесь достаточно неплохо, мощных источников на соседних каналах практически нет, чего не скажешь о начале диапазона, где есть очень мощная точка -27 dBm на первом канале (в реальности она стоит в 20 см от тестируемого нами роутера). С каналом определились, теперь создадим профиль безопасности для нашей беспроводной сети в Wireless - Security Profiles. В нем оставляем только протокол WPA2 PSK и указываем ключ сети (пароль от Wi-Fi). Теперь переходим в настройки интерфейса wlan1 и на закладке Wireless последовательно меняем следующие опции: Mode - ap bridge - устанавливает режим точки доступа, Band - 2GHz-only-N - только n-режим, Channel Width - 20 MHz - одна из спорных настроек, устанавливает ширину канала, но в условиях реальной загруженности диапазона 2,4 ГГц в городских условиях мы считаем что стабильные 75 Мбит/с (при стандартной ширине канала в 20 МГц) лучше, чем 150 Мбит/с время от времени (при 40 МГц).\nДалее указываем желаемый SSID, опцию Wireless Protocol устанавливаем, как 802.11, в Security Profile указываем созданный нами ранее профиль и выключаем WPS: WPS Mode - disabled. На этом базовая настройка беспроводной сети закончена. Все что вам остается - это включить беспроводной интерфейс и добавить его в сетевой мост bridge1 вашей локальной сети. Информация Более подробно о настройке беспроводных сетей вы можете прочитать в нашей статье: Расширенная настройка Wi-Fi на роутерах Mikrotik. Режим точки доступа\nЧто нужно сделать после настройки После того, как вы все настроили и убедились в работоспособности всех функций роутера следует сделать резервную копию настроек, это позволит в случае чего быстро развернуть готовую конфигурацию, что важно, если настройки вашего роутера сложнее чем базовые. Для этого перейдите в раздел Files и нажмите кнопку Backup, укажите имя резервной копии и пароль к файлу, после чего скачайте и сохраните резервную копию в надежном месте. Мы рекомендуем создавать резервную копию после каждого изменения настроек роутера, это не займет много времени, но позволит существенно его сэкономить в нештатной ситуации.\nТакже важно постоянно поддерживать в актуальном состоянии ПО роутера, теперь, когда ваше устройство имеет доступ в интернет, обновить RouterOS становится очень просто. Перейдите в System - Packages и нажмите Check For Updates, если доступна новая версия RouterOS, то вам будет предложено скачать и установить ее. Несмотря на то, что статья получилась весьма обширная, особых сложностей при настройке роутеров Mikrotik нет, если вы понимаете, что делаете, то с приобретением опыта настройка не будет занимать у вас много времени. В наших последующих статьях мы также будем подразумевать, что читатель владеет базовой настройкой на уровне данной статьи и не будем возвращаться к описанным здесь вопросам.\n","id":"20129f928df61476ff8b55e2ed14df1a","link":"https://interface31.ru/post/bazovaya-nastroyka-routera-mikrotik/","section":"post","tags":["DHCP","DNS","Firewall","MikroTik","NAT","UPnP","Wi-Fi","Безопасность"],"title":"Базовая настройка роутера MikroTik"},{"body":"Достаточно часто встречаются ситуации, когда нужно быстро разобраться что установлено и как настроено в рабочем сервере на Debian или Ubuntu который вы видите первый раз. Скажем вы принимаете на обслуживание нового клиента и вам надо быстро оценить объем услуг или вас попросили выполнить какую-то работу на неизвестной вам ранее системе. Народная мудрость гласит: не зная броду, не суйся в воду. Это, безусловно, правильно, не имея полного представления об устройстве системы, можно ненароком получить очень неожиданный результат...\nКонечно же, на этом этапе не требуется досконального изучения системы, но крайне желательно иметь представление о том, какие именно службы установлены и какие настройки были выполнены. Это позволит избежать ситуаций, когда вы по незнанию нарушите работу какой-либо службы и узнаете об этом, только по факту, от недовольных пользователей.\nК счастью, есть несколько простых инструментов, которые позволяют быстро провести экспресс-аудит системы и составить общее представление об ее устройстве о которых мы и хотим вам рассказать.\nПрежде всего следует установить утилиту debsums, которая позволит сравнить контрольные суммы системных и конфигурационных файлов с эталонными. Это позволит быстро понять в какие конфиги вносились правки, а если выявится несовпадение контрольных сумм бинарных файлов или библиотек, то это может указывать, что система взломана и содержит вредоносное ПО, хотя есть вариант, что данные файлы были пересобраны или пропатчены вручную вполне легально. Но в любом случае это повод к проведению подробного расследования, которое выходит за рамки данной статьи.\nДля установки утилиты выполните:\n1apt install debsums Если запустить ее без параметров, то вы получите отчет по каждому файлу в системе и его информативность будет очень низкой. Поэтому следует использовать запуск с ключами, нас интересуют все измененные файлы, поэтому запустим:\n1debsums -ca В выводе вы получите список всех измененных системных файлов, например, так: Что мы можем из него почерпнуть? Достаточно много: мы уже видим, что в системе установлены и настроены fail2ban и vsftpd, также изменены настройки для sudo и установлен openvpn (система сообщает об отсутствующем архиве, который был нами распакован).\nНикакие библиотеки и бинарники изменены не были, что означает, что система находится в целостном состоянии и переживать о возможной компрометации пока не стоит.\nСледующим шагом следует установить все файлы, которые попали в систему в обход пакетного менеджера: были созданы после установки, установлены из иных источников, пользовательские данные. Для этого установим еще одну утилиту cruft:\n1apt install cruft Первый запуск выполним без параметров, но укажем создать файл отчета, так как информации может быть очень много:\n1cruft -r ~/cruft-report.txt После чего откроем полученный файл (в домашней директории) и внимательно изучим его, ниже приведен его фрагмент: Уже из него становится понятно, что в системе установлен docker и postgres-pro, мы советуем сразу отметить понятные директории и службы, чтобы в дальнейшем отбросить их. Действительно, зачем листать строки файла, если мы уже поняли для чего здесь эти службы и что они делают.\nПоэтому запустим утилиту еще раз с ключами --ignore, которые исключают из вывода содержимое указанных директорий, в нашем случае получилось следующее:\n1cruft --ignore /boot --ignore /sys --ignore /home/kroft --ignore /var/lib/pgpro -r ~/cruft-report.txt Что мы исключили? Загрузчик (/boot) который сформирован при установке системы и виртуальная файловая система с модулями ядра и драйверами (/sys), домашняя папка пользователя (/home/kroft), директории PostgreSQL (/var/lib/pgpro), их содержимое и происхождение нам понятно и вопросов более не вызывает.\nИзучаем отчет еще раз. В приведенном фрагменте видны файлы настройки и ключи openvpn, а также факт установки сервера 1С:Предприятие. В дальнейшем можно снова сузить объем отчета, исключив понятные расположения и служебные директории. А также сразу выявить файлы конфигурации, которые следует изучить перед тем, как приступать к каким-либо работам.\nТакже изучение данного отчета поможет выявить наличие пользовательских данных или скриптов в разных неожиданных местах и избежать возможных нештатных ситуаций с ними связанных. Так в одном случае мы обнаружили собранный из исходников nginx по очень неожиданному пути, при дальнейшем изучении выяснилось, что он в текущей конфигурации не использовался, но слушал внешний интерфейс на нестандартном порту. А учитывая его очень старую версию, это могло стать серьезной угрозой безопасности.\nНа этом мы завершим нашу короткую заметку и надеемся, что описанные нами утилиты окажутся вам полезны.\n","id":"a3b6f77cc98ea5810ed41c2c07985fc5","link":"https://interface31.ru/post/adminu-na-zametku-22-kak-bystro-razobratsya-chto-ustanovleno-i-nastroeno-v-debian/","section":"post","tags":["Debian","Ubuntu Server","Диагностика"],"title":"Админу на заметку - 22. Как быстро разобраться в Debian/Ubuntu если вы видите систему первый раз"},{"body":"Оборудование Mikrotik пользуется заслуженной популярностью у системных администраторов и позволяет реализовывать достаточно сложные сетевые конфигурации за умеренные деньги. При этом, если почитать отзывы, то можно столкнуться с диаметрально противоположными мнениями, от восторженных од поклонников, до крайне недовольных от тех, кому это оборудование не подошло. Поэтому мы решили выпустить данный материал, в котором подробно разобрать возможности недорогих роутеров Mikrotik и сравнить их между собой и оборудованием сторонних производителей.\nНачнем с небольшого \u0026quot;лирического\u0026quot; отступления. Как у любого популярного продукта, у Mikrotik есть свое сообщество поклонников. В этом нет ничего плохого, если это сообщество представлено специалистами, которые хорошо себе представляют все плюсы и минусы оборудования и умеют играть от сильных сторон. Но кроме специалистов в любом сообществе есть определенная доля фанатов, которые формируют так называемую \u0026quot;секту свидетелей Miktrotik'а\u0026quot; и шума от которых достаточно много, можно услышать, что Mikrotik - это \u0026quot;Cisco для бедных\u0026quot; или даже лучше...\nПонятно, что у нормального специалиста такие утверждения вызовут только усмешку, но у людей, прежде не встречавшихся с данным оборудованием, они могут вызвать неправильное восприятие его возможностей, неверное применение и, как следствие, негативный опыт, который может надолго отбить охоту работать с этим неплохим оборудованием.\nМы не претендуем на истину в последней инстанции, но постараемся непредвзято оценить продукцию сегмента \u0026quot;для дома и малого офиса\u0026quot;, которая обычно обозначается аббревиатурой SOHO (Small office/home office), потому что именно она наиболее привлекательна для начинающих. Профессиональное оборудование мы затрагивать не будем, так как его в основном покупают те, кто представляет зачем и для чего оно нужно и в наших советах явно не нуждаются.\nПочему именно Mikrotik У тех, кто ранее не сталкивался с продукцией этой фирмы может возникнуть закономерный вопрос: \u0026quot;почему именно Mikrotik?\u0026quot; Действительно, продукция небольшого латвийского производителя так бы и осталась одной из множества более именитых роутеров, если бы не одно но и имя ему RouterOS. Это специальная сетевая операционная система на базе Linux которая поставляется со всеми устройствами Mikrotik от самых дешевых, до самых дорогих. Возможности данной ОС - это отдельный разговор, по факту она позволяет реализовать в недорогом оборудовании не только базовые возможности роутера, но и более \u0026quot;взрослые\u0026quot; технологии, которые тянут уже на профессиональное применение. При этом отсутствует искусственное ограничение возможностей в зависимости от цены устройства. Самый дешевый и самый дорогой Mikrotik умеют одно и тоже (при условии поддержки со стороны железа) а уровни лицензии ограничивают в основном количество туннельных подключений.\nБольшинство роутеров класса SOHO идут с лицензиями 4-го и 5-го уровня, возможностей которых для типового применения этого железа хватает за глаза. Тем более, что вы скорее упретесь в ограничения по железу, чем сможете превысить ограничения лицензии.\nЕсли говорить о потребностях SOHO, то Mikrotik позволяет реализовать практически любые \u0026quot;хотелки\u0026quot; сравнительно небольшими затратами и средний администратор будет ограничен только собственными знаниями и умениями.\nАльтернативы Mikrotik Понятно, что обычные роутеры для Mikrotik не конкуренты, там вы очень жестко ограничены возможностями прошивки и можете только то, что вам \u0026quot;разрешили\u0026quot; разработчики и маркетологи производителя. Поэтому, если говорить о конкуренции в этом сегменте, то в первую очередь приходят на ум альтернативные прошивки OpenWRT и DD-WRT. По своим возможностям они не уступают RouterOS, а в чем-то может даже и превосходят ее, но в любом случае также позволяют закрыть практически все потребности малого офиса, ограничиваясь только возможностями железа и квалификацией админа.\nНо есть и существенная разница: линейка оборудования Mikrotik унифицирована и гарантирует совместимость как по аппаратной, так и по программной части, в то время как обычное роутеры, даже в рамках одной модели могут иметь версии на абсолютно разном железе. Скажем, популярный D-Link DIR-300 имеет 7 аппаратных ревизий на трех семействах процессоров.\nНа практике это выливается в ситуации, что если на филиале сгорел роутер, то с Mikrotik вы просто купите такую-же самую модель, зальете в нее бекап конфигурации и отправите в филиал, где его надо будет просто подключить также, как и старый. В случае с OpenWRT вам потребуется купить точно такую же ревизию, либо долго и упорно изучать документацию на предмет, какой из имеющихся в продаже ротуеров будет поддерживать все нужные вам функции с альтернативной прошивкой.\nТочно также и в случае необходимости поставить более мощное устройство, для Mikrotik вы просто покупаете нужное железо и импортируете нужные части конфигурации из старого. Либо точно также начинаете изучать, что бы вам можно было прошить и как это будет работать.\nПонятно, что в руках энтузиастов OpenWRT будет работать ничуть не хуже RouterOS, но если говорить о корпоративном применении, то Mikrotik однозначно выигрывает по стабильности и предсказуемости результата, в то время как качество и стабильность обычных роутеров может меняться от ревизии к ревизии.\nНе следует забывать и об обновлениях, Mikrotik выпускает сборки RouterOS не для определенных моделей, а для процессорных архитектур, поэтому вы можете не беспокоиться о том, получите ли вы обновление на старое устройство, чего не скажешь об альтернативных прошивках, там вы зависите от сообщества или учитесь собирать прошивку под свое устройство самостоятельно.\nС другой стороны, альтернативой RouterOS являются полноценные системы на базе Linux, но проигрывают по стоимости, размеру, энергопотреблению и необходимости обслуживания. Попробуйте найти в обычном офисе место для еще одного системника, в то время как роутер спокойно приживется где-нибудь на антресоли.\nНа наш взгляд ниша Mikrotik - это малые и средние офисы, которым нужно больше, чем предлагают бытовые роутеры, но нет потребности в полноценных программно-аппаратных комплексах. Также данное оборудование будет уместно и в более крупных сетях, например, в качестве VPN-сервера или маршрутизатора для участка сети.\nEthernet роутеры класса SOHO Начнем обзор с класса проводных роутеров без Wi-Fi, это преимущественно офисные устройства, для случаев, когда беспроводная сеть не нужна (хотя сегодня такое встречается все реже) или там, где функции точки доступа и роутера лучше разделить. Простой пример: роутер с другим сетевым оборудованием и сервером располагается в телекоммуникационном шкафу, а точки доступа непосредственно в помещениях.\nЧтобы не быть голословными, мы собрали ключевую информацию с сайта производителя в отдельную таблицу, которая позволит вам быстро сравнить устройства между собой и понимать, о чем пойдет речь ниже. Для моделей, которые имеют имя собственное в скобках приведен код модели, с его расшифровкой можно познакомиться в официальной вики.\nНо сравнение будет не полным без данных о производительности, эти данные можно найти на сайте компании в описании устройств, но просто сравнивать их в табличном виде неудобно, поэтому мы, взяв за основу официальные данные, нормировали их и привели к неким абстрактным величинам (\u0026quot;попугаям\u0026quot;), за эталон приняли, немного округлив цифры, производительность популярной старшей модели RB3011. Вместе со значениями рейтинга мы привели на графике официальную стоимость устройств. Младшие модели проводных роутеров представлены линейкой hEX, на первый взгляд линейка довольно проста и содержит младшую модель lite и варианты с PoE. Однако более подробное изучение показывает, что это не так, имеются две группы роутеров: на процессорах архитектуры MIPSBE серии Qualcomm QCA95xx и MMIPS MediaTek MT7621. Последних мы пока касаться не будем, пока рассмотрим роутеры на процессорах Qualcomm.\nhEX lite, как уже можно понять из названия, младшая модель, выполнена на одноядерном процессоре QCA9533 850 МГц, имеет 64 МБ оперативной памяти и пять портов 100 Мбит/с. Из бытовых роутеров данную модель можно сравнить с TP-Link TL-WR840N, который работает на этом же процессоре и является одной из младших моделей в линейке. При этом hEX lite более чем вдвое дороже бытового собрата, за что мы платим? Во-первых, за RouterOS, также за более высокую частоту процессора (560/650 у TP-Link) и вдвое больший объем RAM, а также возможность питания через PoE по фирменному стандарту Passive PoE.\nНемного отвлечемся и поясним, зачем роутеру оперативная память, если касаться бытовых моделей, то там имеющегося на борту объема достаточно для всех доступных ему задач, чего не скажешь про Mikrotik. У данных устройств оперативная память активно используется для размещения пользовательских правил, списков адресов, очередей. И чем больше вы хотите от своего Mikrotik, тем больше памяти вам потребуется.\nВ данном случае вы получаете роутер с производительностью начального уровня, но со всеми возможностями RouterOS, говоря честно, для коробочки со 100 Мбит/с портами большего и не надо, да и сети, куда будет покупаться данное устройство, не подразумевают серьезных нагрузок.\nhEX PoE lite - это уже специфичное устройство не для всех, по аппаратной части и производительности он даже уступает младшему hEX, имея на борту процессор QCA9531 с частотой 650 МГц, но в данном случае это не важно. Следует понимать, что вы платите не за производительность, а за 4 порта с питанием Passive PoE, это позволяет использовать данный роутер как основу беспроводной сети поверх проводной на устройствах Mikrotik, при этом данный роутер может работать в качестве контроллера управляемой беспроводной сети.\nТоже самое касается и hEX PoE, когда-то он был парой для обычного hEX RB750Gr2, но с появлением гораздо более производительного RB750Gr3 он остался особняком. Хотя устройство довольно неплохое, пять гигабитных портов, процессор Qualcomm QCA9557, который работает в TP-Link Archer C50 или ASUS RT-AC55U, но это все не так важно, как наличие четырех портов PoE стандарта 802.3af/at, что позволяет питать от него любые устройства с поддержкой данного стандарта, скажем IP-камеры. А наличие возможности получать питание по PoE, делает это устройство незаменимым в некоторых сценариях.\nВ общем следует понимать, что hEX PoE lite и hEX PoE - это специфичные устройства для особых задач (PoE), во всех иных случаях их покупка - это деньги на ветер.\nТеперь перейдем к hEX и hEX S, аппаратно это полностью одинаковые модели, версия с индексом S отличается наличием SPF-порта и возможностью подавать питание на один порт по стандарту Passive PoE, также, в отличие от hEX, может быть запитано не только через Passive PoE, но и по стандарту 802.3af/at, что расширяет возможности применения данного устройства. За все это предлагается доплатить 20 USD, если указанные возможности вам не нужны - то смело выбирайте hEX.\nЧто касается производительности, то в данных моделях установлен двухъядерный MediaTek MT7621 частотой 880 МГц и 256 МБ оперативной памяти, что обеспечивает превосходную производительность, в диапазоне до 100 USD это самый производительный роутер Mikrotik, превосходящий коллег более чем в два раза. Для сравнения, на базе этого же процессора выполнены такие модели, как: TP-Link Archer A10, Xiaomi MiWiFi 3/4/Pro, ZyXEL Keenetic GigaIII/Ultra II.\nОтдельно следует отметить аппаратную поддержку AES-шифрования, что позволяет получать отличные результаты с IPSec, этот факт позволяет использовать данное устройство не только как производительный роутер, но и как VPN-сервер. А наличие слота для карты MicroSD позволяет разместить на нем сервер мониторинга The Dude - еще одну разработку латышей, либо использовать в качестве FTP-сервера, простого хранилища резервных копий и т.д.\nВ настоящий момент hEX - оптимальный выбор для небольших сетей, которым тем не менее требуются более сложные сетевые конфигурации, нежели просто раздавать интернет, наличие USB-порта позволяет дополнить его 4G-модемом и легко организовать резервный канал в интернет. Привлекательна и стоимость устройства, всего лишь вдвое уступая в производительности топовому RB3011 он обойдется вам втрое дешевле.\nИ вот мы плавно подходим к семейству RB2011, их внешний вид и цена могут сыграть с покупателем злую шутку, ведь если положить рядом hEX и устройства 2011-серии, то покупатель будет воспринимать последние как более мощные и профессиональные. Однако следует признать, что на сегодня вся 2011-серия является устаревшей и производительность ее находится на уровне hEX lite и младших моделей бытовых роутеров. В плюсы же можно записать наличие 10 портов (5 - 100 Мбит/с и 5 - 1 Гбит/с), вход и выход Passive PoE, а также, в зависимости от модели, наличие SPF-порта, USB-порта, а также возможности монтажа в стойку. Линейку можно разделить на две группы RB2011iL(S) и RB2011UiAS, последняя имеет 128 МБ оперативной памяти, против 64 МБ у младших моделей, а также LCD-панель, вещь, по большому счету бесполезную, но иногда довольно удобно оценить беглым взглядом загрузку сети.\nНо не стоит думать, что серия RB2011 вообще ни на что не годится, в ее основе лежит хотя и старый, но довольно неплохой процессор Atheros AR9344 с одним ядром частотой в 600 МГЦ, также на его базе производились достаточно производительные для своего времени D-Link DIR-835 rev A1 или TP-LINK TL-WDR3600/4300. Поэтому даже сегодня роутеры этой линейки способны обеспечить неплохую базовую производительность для небольшой сети.\nRB2011 неплохо подойдет туда, где не нужна производительность hEX, но нужно большее число портов, а также возможность разместить оборудование в стойке. Небольшие фирмы, филиалы и домашние сети. Да, именно домашние, сегодня нормой становится большое количество сетевых устройств дома, обычно это один-два ПК, сетевые накопители, ТВ-приставки, IP-камеры. Обычно сначала все это подключается по Wi-Fi, но из-за низкой производительности в таком режиме появляется необходимость в проводном подключении и тут стандартных четырех портов обычных роутеров становится катастрофически мало.\nЕсли же вам требуется устройство для более серьезной сети, то самое время посмотреть на RB3011UiAS, это новое поколение на двухъядерном ARM процессоре Qualcomm IPQ-8064 частотой 1,4 ГГц и гигабайтом оперативной памяти на борту, также в наличии 10 гигабитных портов, SPF и USB 3.0, аппаратная поддержка AES. Все это позволяет закрыть потребности сети среднего размера, одновременно поддерживая достаточное количество туннельных соединений с IPSec-шифрованием. С момента своего появления в продаже данный роутер исключительно хорошо показал себя в работе.\nТеоретически, RB3011 должен быть стать основой нового семейства, на замену RB2011, но что-то пошло не так и сегодня доступна единственная модель в стоечном исполнении, хотя в свое время в каталоге были представлены и настольные модели. Скорее всего все дело в цене, Новые устройства однозначно вышли бы дороже RB2011, но многим их высокая производительность оказалась бы просто не нужна. Ну и лебединая песня - RB4011iGS, предлагающий высочайшую производительность на базе четырехъядерного Annapurna AL21400, с частотой каждого ядра в 1,4 ГГц и гигабайтом оперативной памяти, при этом всего на 20 USD дороже своего предшественника. Корпус новинки предполагает как настольное/настенное, так и стоечное размещение, что несомненно лучше производства одинаковых моделей в разном исполнении или безальтернативно стоечного исполнения предшественника. Но не обошлось и без ложки дегтя, у нового роутера отсутствует USB-порт, трудно сказать, чем руководствовались разработчики, потому как наличие USB 3.0 на RB3011 позволял, подключив быструю флешку или жесткий диск просто организовать сетевое хранилище или общий файловый ресурс для небольшого офиса, ну или организовать резервный канал при помощи 4G-модема.\nWi-Fi роутеры класса SOHO Беспроводные роутеры пожалуй более всего характеризуют класс SOHO - это такие универсальные устройства, которые могут всего понемногу, но при этом лишены \u0026quot;взрослых\u0026quot; функций, таких как выходы PoE, SPF, монтаж в стойку, зато позволяют одной небольшой коробочкой закрыть все потребности домашней сети или небольшого офиса.\nДля этой категории устройств мы также составили сводную таблицу, которая поможет вам быстро сравнить устройства между собой.\nДанные о производительности мы нормировали, взяв за эталон тот же RB3011, поэтому вы можете сравнивать результаты обоих графиков между собой. Мы не случайно начали обзор продукции Mikrotik с проводных устройств, потому как в основе практически всех Wi-Fi роутеров лежат уже знакомые нам аппаратные платформы, поэтому мы не будем повторяться и заострять на этом внимание.\nНачнем с ультрабюджетных hAP mini и hAP lite, которые открывают одноименную линейку и построены на уже известной нам платформе Qualcomm QCA9533, основное отличие между ними - это количество Ethernet-портов 100 Мбит/с, три и четыре. Также hAP lite доступен в двух вариантах корпусов: обычной коробочке и более домашнем варианте с вертикальным расположением, ниже показаны корпуса (не в масштабе) hAP mini, hAP lite и hAP lite TC. Все устройства несут на борту беспроводной модуль 802.11b/g/n с двумя встроенными антеннами усилением 1,5 dBi. Что касается производительности, то она весьма неплоха для своего класса и соответствует бытовым роутерам средней ценовой категории. Еще одна особенность - разъем питания MicroUSB, что выглядит довольно неоднозначно, но не лишено своей логики, нам кажется, каждый найдет у себя дома пару тройку аналогичных адаптеров питания.\nОсновное назначение этих устройств - это безусловно дом, ну или очень маленький офис (торговая точка), причина этому - малое количество Ethernet-портов. В тоже время для типичной квартиры обычного пользователя, где один проводной ПК и несколько беспроводных клиентов (ноутбук + телефоны) большего и не надо. В тоже время возможности RouterOS позволяют реализовать многие интересные функции, такие как родительский контроль, обход блокировок и многие иные.\nМы также применяем hAP mini в качестве \u0026quot;походного\u0026quot; роутера, который можно свободно кинуть в сумку, а затем, подключив к гостиничному или публичному Wi-Fi быстро и без лишних телодвижений организовать безопасный выход в интернет через VPN, туннели домой и на работу, свою небольшую беспроводную сеть для мобильных устройств.\nДля этих же целей можно использовать точку доступа mAP lite, она построена на такой же аппаратной платформе, имеет еще более компактные размеры, один Ethernet-порт, но и производительность ее также будет ниже (15 баллов по нашей системе), хотя как персональный вариант решение выглядит неплохо. Следующая ступень - это hAP и hAP ac lite, по сути это одно и тоже устройство, которое отличается только наличием 5 ГГц беспроводного модуля в модели ac lite. Вы можете удивиться, но в основу этих роутеров положен более слабый процессор Qualcomm QCA9531 и по производительности они уступают младшим моделям, зато к вашим услугам вход и выход Passive PoE, пять 100 Мбит/с Ethernet-портов и разъем USB type A.\nИсходя из собственного опыта можем сказать, что данная модель представляет собой золотую середину во всем ассортименте Wi-Fi роутеров и позволяет за разумные деньги покрыть все потребности малого офиса или небольшого магазина.\nДостаточное количество портов позволяет подключить основных потребителей по проводу, для сотрудников, торговых агентов и руководства организуем одну или две (для ac lite) беспроводных сети. USB-разъем позволяет организовать резервный канал через 4G-модем, а возможности RouterOS позволяют гибко управлять всем этим, плюс поддерживать туннели в центральный офис с необходимой избыточностью, а такие \u0026quot;взрослые\u0026quot; протоколы как OSPF, позволяют перестать беспокоиться о маршрутизации и просто начать работать.\nЕще выше по ценовому диапазону находятся устройства линейки RB951 и RB2011UiAS-2HnD, мы сознательно пропустим пока hAP ac2, который подробно разберем позже. Все указанные устройства построены на одной и той же платформе Atheros AR9344 и представляют аналог линейки RB2011. RB951Ui-2HnD и RB951G-2HnD некоторое время назад выглядели интересно, но сегодня их положение в линейке выглядит очень неоднозначным. Снизу есть hAP и hAP ac lite, которые умеют все тоже самое, но дешевле, а посередине притаился новый hAP ac2, который вообще не оставляет шансов этим устройствам.\nЕдинственное интересное устройство, это RB2011UiAS-2HnD, которое благодаря 10 портам (5 - 100 Мбит/с и 5 - 1 Гбит/с), SPF-разъему, USB и неплохому Wi-Fi позволяет полностью закрыть одним устройством потребности небольшого офиса или продвинутой домашней сети.\nЕсли же количество проводных устройств не имеет большого значения, а не первый план выходит производительность, то встречайте новый hAP ac2, в его основе лежит четырехъядерный ARM процессор Qualcomm IPQ-4018. Этот же процессор можно встретить в некоторых топовых устройствах, таких как ASUS RT-AC58U, ZYXEL NBG6617, FRITZ!Box 4040. Внешне это все оформлено в привлекательном корпусе, явно намекающем на домашнее применение. Тем не менее по производительности данное устройство аналогично RB3011UiAS, также поддерживает аппаратную поддержку AES, предоставляет пять гигабитных портов, USB и возможность получать питание по Passive PoE, а также работу в двух Wi-Fi диапазонах с поддержкой стандартов 802.11b/g/n и 802.11a/n/ac. Все это может послужить основой для производительной домашней сети или сети небольшого офиса, особенно с учетом привлекательной цены в 69 USD.\nА вот hAP ac выглядит неким \u0026quot;последним из Могикан\u0026quot;, вызывая только чувство недоумения, прежде всего своей ценой. Все, что можно записать ему в плюсы - это неплохую беспроводную часть и SPF-разъем, но все перечеркивает ценник в 129 USD. На наш взгляд, его следует поместить на место RB951G-2HnD, в этом случае это будет довольно интересное предложение для отдельных задач, когда требуется раскидать по потребителям, в том числе беспроводным, подведенную оптику, скажем в отдельно стоящих зданиях отелей или баз отдыха. Но в текущем виде практического применения этому устройству мы не видим.\nНу и наконец RB4011iGS+5HacQ2HnD, на первый взгляд у этого устройства все хорошо. Но только на первый взгляд, да, мы имеем выдающуюся производительность, но для небольших офисов или домашних сетей она избыточна. В сетях среднего размера вместо этого комбайна разумнее взять проводной RB4011iGS и развернуть беспроводную сеть поверх проводной, все равно покрытия одного устройства будет недостаточно.\nТоже самое касается и частных домов, в этом случае за основу лучше взять hAP ac2 и дополнить его нужным количеством точек доступа, не говоря о городской квартире, где возможности нового роутера явно избыточны. Хотя будет чем похвастаться друзьям, если они, конечно, будут способны оценить. На наш взгляд топовая модель Wi-Fi роутеров Mikrotik, как и топовые модели мобильных телефонов, вещь больше имиджевая, что, учитывая большую армию сектантов фанатов, имеет определенный смысл, покупатели на нее найдутся. Ну и хороший повод показать конкурентам свои возможности, если исходить из этого, то модель удалась.\nВыводы Как мы успели убедиться, линейка устройств Mikrotik не так проста, как кажется, более производительные устройства могут оказаться дешевле менее производительных, а ряд устройств не подразумевают высокой производительности, но предоставляют ряд специфических функций, например, питание PoE. Есть также и откровенно устаревшие модели, которые, тем не менее, продолжают продаваться.\nНадеемся наш материал поможет вам подобрать наиболее подходящий для ваших задач Mikrotik и не переплатить за него денег, а мы всегда готовы ответить на ваши вопросы в комментариях.\n","id":"0cffc059f1d55d2c14a303ca3d090154","link":"https://interface31.ru/post/oborudovanie-mikrotik-klassa-soho/","section":"post","tags":["MikroTik","Сетевые технологии"],"title":"Оборудование MikroTik класса SOHO. Общий обзор и сравнение возможностей"},{"body":"PostgreSQL является второй по популярности СУБД для использования с 1С:Предприятия, позволяя существенно сэкономить на лицензиях, а с выходом новых конфигураций, поддерживающих управляемые блокировки, вопрос производительности отошел на второй план, сегодня при обычной работе вы вряд ли почувствуете разницу. Следующим шагом будет вполне обоснованный отказ от платформы Windows в пользу решений на Linux. Поэтому мы сегодня рассмотрим процесс установки сборки от Postgres Professional на актуальные дистрибутивы Debian и Ubuntu.\nПочему именно Postgres Professional? Начнем с того, что Postgres Professional - это не \u0026quot;еще одна сборка\u0026quot;, разработчики и основатели одноименной российской компании являются одними из ведущих разработчиков PostgreSQL, а также именно эти люди стояли у истоков адаптации PostgreSQL для 1С. Поэтому можно сказать, что сборка от Postgres Professional - это PostgreSQL из первых рук. Также Postgres Professional, в отличие от 1С, используют традиционный подход к распространению ПО для Linux - через репозитории, что позволяет прозрачно решать вопросы с зависимостями и легко обновляться в рамках текущей версии.\nВ качестве платформы для установки мы будем использовать Debian 9.5 и Ubuntu 16.04.5 LTS, обязательным условием нормального функционирования сборки является использование по умолчанию в системе консоли ru_RU.UTF-8, проверить это можно командой:\n1locale Вывод должен выглядеть следующим образом: Важно! Важно! В настоящий момент сборки недоступны на сайте разработчика, для их получения воспользуйтесь сайтом 1c.postgres.ru.\nСледует отметить, что разработчики подготовили отличный конструктор, который позволяет получить готовые инструкции по установке на выбранного дистрибутива на выбранную версию ОС. Если следовать ему дословно, то вы без проблем установите рабочий экземпляр СУБД. Однако данные инструкции не отражают всех моментов начальной настройки (которые, тем не менее, подробно описаны в документации), поэтому мы в данной статье обобщили все необходимые материалы и подготовили инструкцию для установки \u0026quot;под ключ\u0026quot;.\nСразу оговоримся, мы будем устанавливать 64-х разрядную версию PostgreSQL 10.5, так как мы не видим никакого практического смысла в установке 32-х разрядных версий СУБД. Если вам необходима иная версия, то потребуется подключить другой репозиторий, для этого воспользуйтесь инструкциями насайте разработчиков.\nПрежде всего скачаем и установим PGP-ключ репозитория Postgres Professional:\n1cd~ 2wget http://repo.postgrespro.ru/keys/GPG-KEY-POSTGRESPRO 3apt-key add GPG-KEY-POSTGRESPRO Первая команда меняет рабочую директорию на домашнюю, затем мы скачиваем ключ и добавляем его в систему.\nТеперь добавим репозиторий для Debian:\n1echo deb http://repo.postgrespro.ru/1c-archive/pg1c-10.5/debian stretch main \u0026gt; /etc/apt/sources.list.d/postgrespro.list Для Ubuntu:\n1echo deb http://repo.postgrespro.ru/1c-archive/pg1c-10.5/ubuntu xenial main \u0026gt; /etc/apt/sources.list.d/postgrespro.list Обновим список пакетов:\n1apt update И установим нужную нам версию PostgreSQL:\n1apt install postgrespro-1c-10-server Обратите внимание, что название пакета и службы отличаются от стандартного postgresql, в нашем случае следует указывать postgrespro-1c-10. Это сделано сознательно, чтобы избежать некорректной работы с зависимостями и конфликтов со стандартной сборкой PostgreSQL.\nДля того, чтобы вызывать бинарные файлы PostgreSQL без указания пути создадим необходимые символические ссылки:\n1/opt/pgpro/1c-10/bin/pg-wrapper links update Инициализируем новый кластер СУБД:\n1pg-setup initdb И добавим службу в автозагрузку:\n1pg-setup service enable Теперь можно запустить сервер:\n1pg-setup service start и проверить его статус:\n1pg-setup service status Кстати, последние действия можно выполнить также и с помощью системных инструментов, для добавления в автозагрузку выполните:\n1systemctl enable postgrespro-1c-10.service А управлять службой можно командами:\n1service postgrespro-1c-10 start | stop | restart | status Однако, на наш взгляд, синтаксис pg-setup более лаконичный и удобнее использовать именно его:\n1pg-setup service start | stop | condrestart | status Здесь все должно быть понятно, кроме команды condrestart - она перезапускает службу, если она была запущена на момент вызова команды.\nПрактически все готово, чтобы начать работу с 1С:Предприятие, осталось только установить пароль пользователю postgres. Для этого войдем в систему под одноименным пользователем:\n1su postgres Откроем консоль PostgreSQL:\n1psql И выполним команду:\n1ALTER USER postgres WITH PASSWORD \u0026#39;MyPa$$word\u0026#39;; Которая установить пользователю postgres пароль MyPa$$word и выйдем из консоли PostgreSQL:\n1\\q На этом настройка завершена, наш сервер PostgreSQL готов к работе с 1С:Предприятие. Надеемся, у вас не возникнет сложностей, а также ждем ваших отзывов и вопросов в комментариях.\n","id":"7c33790f04c156a802aa299d72330e2b","link":"https://interface31.ru/post/ustanovka-postgresql-10-dlya-1spredpriyatie-na-debian-ubuntu/","section":"post","tags":["1С Предприятие 8.х","Debian","PostgreSQL","Ubuntu Server"],"title":"Установка Postgres Pro 10 для 1С:Предприятие на Debian / Ubuntu"},{"body":"В последние годы интерес к альтернативным ОС, прежде всего Linux, возрастает, причем не только со стороны пользователей, но и со стороны разработчиков. Фирма 1С достаточно давно развивает свою платформу для использования в среде Linux, а теперь к ней стали подтягиваться производители торгового оборудования, выпуская драйвера и для этой ОС. Поэтому использование Linux в качестве платформы для рабочего места выглядит все более привлекательно и сегодня мы обобщим свой опыт и расскажем об установке клиентской части 1С:Предприятие в среде современных выпусков Debian / Ubuntu.\nИнформация Начиная с платформы 8.3.20 1С:Предприятие переходит на единый дистрибутив для Linux, о работе с ним читайте в нашей статье: Единый дистрибутив 1С:Предприятие для Linux. Установка клиента\nТак как в требованиях к актуальным релизам 1С:Бухгалтерия значится минимальный релиз платформы 8.3.12.1529, то мы будем устанавливать последнюю версию платформы 8.3.12 - 8.3.12.1685, а затем обновим ее до 8.3.13.1513, тем не менее все сказанное будет актуально для всех текущих версий платформы 8.3.\nДля установки мы будем использовать следующие версии операционных систем и рабочих окружений: Debian 9.5 (Gnome 3), Ubuntu 16.04.5 LTS (Unity) и Xubuntu 18.04.1 LTS (XFCE 4). Мы специально выбрали разные рабочие среды, чтобы оценить их влияние на процесс установки, но скажем сразу, особого влияния выбранная рабочая среда не имеет, за исключением предустановленного набора пакетов, поэтому мы постараемся дать максимально развернутую инструкцию, которая во многих случаях окажется избыточной.\nТакже данная статья будет актуальна для всех дистрибутивов производных от Debian / Ubuntu с поправкой на версии пакетов, для этого обратитесь к документации вашего дистрибутива.\nПлатформа 8.3.12 и более ранние Прежде всего установим все необходимые зависимости. В различных версиях ОС и рабочего окружения разный набор установленных по умолчанию пакетов, поэтому мы дадим универсальный вариант, и, если вы увидите сообщение типа: то не следует беспокоиться, это означает, что данный пакет уже есть в вашей системе и можно переходить к следующему шагу.\nЕсли вы используете Debian, то мы рекомендуем подключить все репозитории, для этого откройте /etc/apt/sources.list и добавьте после main в каждую строку contrib и non-free. Затем обновим список пакетов:\n1apt update и установим:\n1apt install libwebkitgtk-3.0-0 2apt install ttf-mscorefonts-installer 3apt install libfontconfig1 4apt install libgsf-1-114 5apt install libglib2.0-0 6apt install libodbc1 Часть пакетов у вас уже может быть установлена, это нормально, мы специально пошли по пути избыточности, ради универсальности данного материала.\nСледующий пакет должен быть установлен по умолчанию, но на всякий случай следует проверить.\nДля Ubuntu 16.04:\n1apt install libmagickwand-6.q16-2 Для Debian 9 и Ubuntu 18.04:\n1apt install libmagickwand-6.q16-3 Для установки клиентской версии платформы вам потребуется скачать ссайта 1С два архива: Клиент 1С:Предприятия для DEB-based Linux-систем и Cервер 1С:Предприятия для DEB-based Linux-систем. Обратите внимание, что разрядность скачиваемых архивов должна соответствовать разрядности системы, мы не видим особой необходимости в использовании x32 (i386) систем, поэтому в дальнейшем, если это не оговорено особо, все действия будут производиться для платформы x64 (amd64).\nКоротко разберем состав архивов, в поставку клиента входят пакеты:\nclient - клиентские приложения (толстый клиент и тонкий клиент) «1С:Предприятия» thin-client - тонкий клиент «1С:Предприятия» (не поддерживается работа с файловым вариантом информационной базы) В состав сервера:\ncommon - общие компоненты «1С:Предприятия» server - компоненты сервера «1С:Предприятия» ws - адаптер для публикации Web-сервисов «1С:Предприятия» на веб-сервере на основе Apache HTTP Server 2.0, 2.2 или 2.4 Также в поставке присутствуют пакеты с суффиксами -nls, они содержат языковые ресурсы, кроме русского и английского языков, поэтому если они вам не нужны, то их установка необязательна, в нашем примере мы их установим (исходя из принципа разумной избыточности, так как наш блог читают не только в России).\nСоздайте отдельную папку и скопируйте туда пакеты client из поставки Клиента и пакеты common и server из поставки Сервера, в итоге, с**-nls**, у вас должно оказаться шесть пакетов: Теперь откроем консоль и перейдем в папку с пакетами, проще всего это сделать, щелкнув в ней правой кнопкой мыши и выбрать Открыть в терминале: 1dpkg -i 1c*.deb Затем находим значок 1С в меню и запускаем приложение, все должно работать. Для завершения процесса отключим автозапуск службы сервера 1С, которая для работы клиента не нужна, это необязательно, но желательно по соображениям экономии ресурсов и безопасности, для этого выполним:\n1systemctl disable srv1cv83 Как видим, ничего сложного в установке клиентской платформы 1С:Предприятие на Linux нет. Достаточно придерживаться инструкции и установить все необходимые зависимости.\nПлатформа 8.3.13 и ошибка с libpng12 При установке или обновлении до платформы 8.3.13, актуальный релиз на сегодня - 8.3.13.1513, вы можете столкнуться с ситуацией, когда 1С отказывается запускаться, эта ошибка проявляется в Debian 9 и Ubuntu 18.04.\nЕсли запустить приложении из консоли, то мы увидим ошибку: После чего все становится на свои места. В новых дистрибутивах библиотеку libpng12 заменила libpng16, но 1С продолжает искать старую библиотеку (причем только последний релиз 8.3.13), оставим это на совести разработчиков 1С.\nЧто делать? Скачать нужный пакет из репозитория Debian 8 или Ubuntu 16.04. Непосредственно на системе это можно сделать командой (для x64 систем):\n1wget http://ftp.ru.debian.org/debian/pool/main/libp/libpng/libpng12-0_1.2.50-2+deb8u3_amd64.deb Для 32-х битных систем аналогичная команда будет:\n1wget http://ftp.ru.debian.org/debian/pool/main/libp/libpng/libpng12-0_1.2.50-2+deb8u3_i386.deb Затем установим пакет:\n1dpkg -i libpng12-0_1.2.50-2+deb8u3_amd64.deb или для 32-х бит:\n1dpkg -i libpng12-0_1.2.50-2+deb8u3_i386.deb После чего 1С снова начнет запускаться.\nАктивация программной лицензии Основным типом защиты современных конфигураций 1С является программная лицензия, поэтому в данной статье мы не будем касаться HASP-ключей. Как показали отзывы, у многих возникают затруднения в активации программной лицензии на платформе Linux, поэтому коротко коснемся одной особенности.\nЕсли запустить информационную базу в режиме 1С:Предприятия, то получим сообщение о том, что не найдена лицензия, при этом программа даже не предложит ввести лицензию. Поэтому запустите базу в режиме конфигуратора, и вы увидите привычное окно получения лицензии: Надеемся, что после прочтения данной статьи у вас не возникнет проблем с установкой клиентской платформы 1С на базе современных версий Debian / Ubuntu, также мы всегда готовы ответить на ваши вопросы в комментариях.\n","id":"56463fc5e2564af54ede41d809365eb1","link":"https://interface31.ru/post/ustanovka-klienta-1spredpriyatie-83-na-debian-ubuntu/","section":"post","tags":["1С Предприятие 8.х","Debian","Ubuntu Server","Развертывание"],"title":"Установка клиента 1С:Предприятие 8.3 на Debian / Ubuntu"},{"body":"В самом начале 2018 года широкую компьютерную общественность буквально огорошили сообщениями о двух серьезных уязвимостях - Meltdown и Spectre. Пожалуй, впервые за всю историю компьютерной индустрии столь серьезная уязвимость оказалась аппаратной и касается практически всех современных процессоров. Ситуацию дополнительно усугубило то, что все доступные варианты устранения последствий данной ошибки ведут к падению производительности, в ином случае значительной. Сейчас, когда вся информационная пена схлынула, настало время трезво разобраться насколько это серьезно и что следует делать.\nПочему все так серьезно? Есть одна известная старая шутка, в которой две новости и обе плохие. В данной ситуации она как никогда уместна. Начнем с того, что обе указанные уязвимости аппаратные, причем связанные не с ошибкой реализации конкретной модели процессора, а с изъянами некоторых положенных в основу современных CPU архитектурных решений. Это означает, что уязвимо все то, что было выпущено в обозримом прошлом, то, что лежит на прилавках и то, что сходит с конвейеров в настоящее время.\nДанные уязвимости нельзя закрыть без серьезной переработки многих технологий работы процессора, которые направлены в первую очередь на увеличение производительности. Тем более до сих пор не понятно ограничится ли дело только Meltdown и Spectre, либо будут найдены новые ошибки в аппаратных алгоритмах. Как бы там ни было, первые процессоры с аппаратно исправленными ошибками скорее всего еще находятся в бумагах разработчиков, поэтому нам всем придется принять новую реальность и как-то к ней приспосабливаться.\nКоротко о Meltdown Данная уязвимость использует особенности спекулятивного выполнения и позволяет программе получить доступ к памяти используемой ядром операционной системы. Спекулятивное выполнение - это специальный механизм, предназначенный для ускорения работы процессора, который заключается в том, что если у процессора есть код, но еще нет данных, то он пытается их предсказать и произвести вычисления. Если предсказание было неудачным, то код выполняется заново, а ошибочный результат некоторое время находится в кеше, откуда его можно получить через данную уязвимость.\nЕсли говорить проще, то основная опасность Meltdown именно в том, что процесс может прочитать память ядра, это позволяет запустить специальный код внутри виртуальной машины и получить данные хоста или других виртуальных машин. Т.е. теперь, чтобы украсть с VPS ваши данные, пароли, ключи шифрования больше не нужно атаковать, взламывать или заражать систему, достаточно вполне легально купить еще одну виртуальную машину на том же хосте.\nПод угрозой Meltdown находятся в первую очередь хостеры и операторы облачных сервисов, а также их клиенты. Причем клиенты тут находятся в заведомо проигрышном положении, так как для закрытия уязвимости исправления должен установить хостер.\nИз процессоров уязвимы только Intel и ARM, продукция AMD данной уязвимости не подвержена.\nКоротко о Spectre Если Meltdown - уязвимость достаточно простая и понятная, то Spectre гораздо глубже и до сих пор полностью не изучена. Она также связана со спекулятивным выполнением, но с другим его механизмом - блоком прогнозирования ветвлений, проще говоря, если код пять раз выполнился по ветви A, то в шестой раз процессор, не дожидаясь данных исполнит код по этой ветви. Злоумышленник может при помощи специального кода обучить этот блок таким образом, что когда придет запрос от атакуемой программы, то она будет предварительно выполнена по заложенному им сценарию и когда неудачные данные будут отброшены, то в кеше окажется интересующая его информация.\nОбнаружить такие атаки крайне сложно, так как они не изменяют никаких данных, а только читают их, следовательно, не вызывают сбоев или ошибок и вообще не выделяются аномальной активностью. При этом уязвимы практически все современные процессоры: Intel, AMD, ARM, с последними ситуация осложняется тем, что сама ARM процессоров не производит, продавая лицензию и документацию, поэтому разновидностей этого семейства существует великое множество и уязвимы они могут быть в разной степени. Насколько все плохо? На первый взгляд может показаться, что все пропало и все мы находимся в списке потенциальных жертв. Но, если взглянуть на проблему трезво, то станет ясно, что Meltdown и Spectre - это локальные уязвимости. Их нельзя использовать удаленно, с их помощью нельзя получить доступ к системе либо как-то нарушить ее работу. Их можно эксплуатировать только легально запустив на целевом узле программный код.\nПервое, что приходит на ум - это виртуалки, выше мы рассматривали этот сценарий. Но и на локальной системе легально запустить код в общем-то не сложно, достаточно специально написанного java-скрипта встроенного в сайт самого безобидного содержания. Однако такая возможность активно устраняется разработчиками браузеров.\nНу и никто не отменял классического вредоносного ПО, потому что практика показывает, что если пользователь хочет запустить какой-то файл, то он это сделает, несмотря на все уровни защиты системы и наличие в ней антивирусов. Эпидемии шифровальщиков отличное тому подтверждение.\nНо в остальном, если на вашей системе нет возможности легально запускать сторонний код, то непосредственного риска от данных уязвимостей нет. Если у вас внутри периметра находятся рабочие сервера, на которых крутится только известное и проверенное ПО, то реальных сценариев атаки с помощью Meltdown и Spectre остается крайне немного - разве что вы сами запустите сторонний код.\nТакже на сегодняшний день не зафиксировано реального использования данных уязвимостей, что связано с высокой сложностью их реализации и крайне высокими требованиями к квалификации. С одной стороны, хорошо, что условный Джон Смит, Вася Пупкин или Чжан Сань не смогут на коленке собрать троян, ворующие пароли к онлайн-банку, но плохо то, что если такое ПО будет реализовано, то его уровень будет гарантированно высоким.\nИсправления и производительность Так как уязвимость аппаратная, то устранить ее без замены процессора невозможно физически, все существующие патчи устраняют возможность эксплуатации уже обнаруженных уязвимостей программным методом. На сегодняшний день выпущены как обновления микрокода CPU, так и программные заплатки для всех актуальных систем и это, вполне ожидаемо, привело к снижению производительности. Общая оценка снижения: от 10 до 30%.\nIntel провела собственные исследования, согласно которым в большинстве задач на системах c SSD и процессорами 8-го поколения (Kaby Lake, Coffee Lake) падение производительности составило около 6%, на более старых процессорах и системах с HDD значение оказалось немного более высоким - около 10%. Однако есть задачи, на которые негативное влияние более существенно:\nТест, который показал наибольшее снижение производительности -- SYSMark 2014 SE Responsiveness. Он показал, что производительность снижается на величину до 21% для рабочих нагрузок, таких как запуск приложений, запуск файлов, просмотр веб-страниц с несколькими вкладками, многозадачность, копирование файлов, шифрование и сжатие файлов, а также установка фонового приложения.\nИсполнительный вице-президент Microsoft по Windows Терри Маерсон (Terry Myerson) в официальном блоге привел также различные данные:\nНа компьютерах под управлением Windows 10 на современных процессорах (относящихся к поколениям 2016 года или более новым, то есть Skylake, Kabylake и более новые), тесты продемонстрируют замедление от силы на единицы процентов, которое подавляющее большинство пользователей не сможет заметить, так как в абсолютных величинах разница будет измеряться миллисекундами. Компьютеры с Windows 10 на относительно старых процессорах (относящихся к поколениям до 2015 года включительно, Haswell и более старые) в некоторых тестах могут показать более значительное падение производительности, возможно некоторые пользователи смогут его заметить. Производительность систем под управлением Windows Server на любых процессорах заметно пострадает, особенно на приложениях, интенсивно использующих ввод-вывод, при активации изоляции недоверенного кода.\nВ Linux ситуация также обстоит не лучшим образом, исследования показывают падение производительности в пределах 5-30%. Довольно подробные исследования провели специалисты RedHat, их результаты во много перекликаются с предыдущими исследованиями:\nНаибольшее проседание производительности (8-20%) наблюдается в работе СУБД на нагрузках OLTP, при случайном доступе к прокэшированной памяти, при активном буферизированном вводе/выводе, при большой интенсивности переключения контекста между ядром и пользовательским уровнем (выполнение системных вызовов). Большие потери наблюдаются в тестах tpc, sysbench, pgbench, netperf (до 256 байт) и fio (случайный доступ к памяти NvME). Падение производительности на 3-7% отмечается при выполнении аналитических запросов в СУБД, в системах поддержки принятия решений (DSS) и в Java VM, в моменты интенсивного обмена информацией по сети или при обращениях к диску. Снижение производительности на 2-5% наблюдается в решениях HPC (High Performance Computing) при большой вычислительной нагрузке на CPU.\nКак видим, менее всего пострадали обычные рабочие станции и домашние ПК, в большинстве задач их пользователи могут совсем не заметить разницы. Для того, чтобы не быть голословными мы провели тестирование своей настольной системы с включенной и выключенной защитой от Meltdown и Spectre. Как и ожидалось, для процессора 4-го поколения i5-4670 (Haswell) потеря производительности составила около 10%. При этом различные показатели производительности системы пострадали примерно равномерно, разве что практически не затронуло работу с ОЗУ. При этом в большинстве повседневных задач такое снижение практически не ощущается, поэтому можно сказать, что большинство пользователей, которые используют ПК для домашних или офисных нужд не должны почувствовать каких-либо ухудшений.\nНо этого нельзя сказать про профессиональные применения, на этой же рабочей станции мы обнаружили сильное падение производительности дисковой подсистемы, которая выразилась в сильном увеличении времени отклика и росте очереди при операциях записи большого объема информации (например, при постановке виртуальных машин на паузу) или активном случайном доступе.\nТакже достаточно сильно страдают операции с СУБД, начиная от внутренней базы 1С и заканчивая PostgreSQL и MS SQL, особенно это заметно на операциях переиндексации и реструктуризации, а также выгрузки-загрузки дампов (где дополнительно сказывается снижение производительности дисковой подсистемы).\nПромежуточные выводы Однозначно что-то советовать в данной ситуации нельзя, следует трезво взвесить все риски и выбрать наиболее оптимальное решение. Однозначно не следует отключать защиту, если вы предоставляете услуги хостинга, либо не контролируете запуск и выполнение стороннего кода на ваших серверах (виртуальные и терминальные среды, в которых работают пользователи).\nРабочие станции находятся в группе риска, однако он невелик, на текущий момент (осень 2018) нет известного вредоносного ПО, которое бы использовало данные уязвимости. Однако если вы не испытываете проблем с производительностью, то мы бы также не советовали отключать защиту.\nА вот на серверах приложений и СУБД, а также в тестовых виртуальных средах защиту будет лучше выключить, риски в данном случае близки к нулю, а производительность страдает значительно, особенно если у вас не самое свежее железо.\nВ любом случае хорошо все обдумайте, а только потом действуйте, также будет неплохо выполнить объективный замер производительности с включенной и выключенной защитой, после чего еще раз оценить принятое решение.\nВключаем / выключаем защиту от Meltdown и Spectre в Windows Сразу хотим обратить ваше внимание, что описанные ниже методы работают только в том случае, если вы установили все требуемые обновления, в противном случае вносимые изменения не дадут никакого результата. Проще говоря, если патчи не стоят, то от правки реестра защита не включится. Полный список необходимых обновлений можно найти в официальной статье.\nДля включения отключения защиты следует воспользоваться правкой реестра, официальные рекомендации Microsoft предлагают следующие варианты:\nОтключение защиты от Meltdown и Spectre 1reg add \u0026#34;HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Session Manager\\Memory Management\u0026#34; /v FeatureSettingsOverride /t REG_DWORD /d 3 /f 2reg add \u0026#34;HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Session Manager\\Memory Management\u0026#34; /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Включение защиты от Meltdown и Spectre 1reg add \u0026#34;HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Session Manager\\Memory Management\u0026#34; /v FeatureSettingsOverride /t REG_DWORD /d 0 /f 2reg add \u0026#34;HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Session Manager\\Memory Management\u0026#34; /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Отключение защиты только от Spectre (актуально для AMD) 1reg add \u0026#34;HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Session Manager\\Memory Management\u0026#34; /v FeatureSettingsOverride /t REG_DWORD /d 1 /f 2reg add \u0026#34;HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Session Manager\\Memory Management\u0026#34; /v FeatureSettingsOverrideMask /t REG_DWORD /d 1 /f Включение защиты только от Spectre 1reg add \u0026#34;HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Session Manager\\Memory Management\u0026#34; /v FeatureSettingsOverride /t REG_DWORD /d 0 /f 2reg add \u0026#34;HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Session Manager\\Memory Management\u0026#34; /v FeatureSettingsOverrideMask /t REG_DWORD /d 1 /f После применения изменений компьютер следует перезагрузить. Если вы не хотите возиться с реестром, то можно воспользоваться специальной утилитой InSpectre, которая позволяет выяснить статус защиты вашей системы, влияние ее на производительность, а также включать и отключать ее. Включаем / выключаем защиту от Meltdown и Spectre в Linux Также, как и в Windows описанные ниже методы будут работать только если вы обновили свою систему и установили все необходимые патчи. Ознакомиться с текущим состоянием защиты можно на официальных сатах используемых вами дистрибутивов, например, для Debian или Ubuntu. Если коротко, то изменения сводятся к включению опцииKernel Page Table Isolation (PTI), которая как раз негативно влияет на производительность и пачту от Google - retpoline, влияние которого на систему крайне незначительно.\nПрежде всего выясним текущий статус защиты, в системах Debian / Ubuntu для этого можно воспользоваться пакетом spectre-meltdown-checker.\nПроще всего владельцам Ubuntu 18.04, для установки пакета им достаточно набрать:\n1apt-get install spectre-meltdown-checker В Debian 9 потребуется сначала подключить репозиторий stretch-backports, для этого выполним команду:\n1add-apt-repository \u0026#34;deb http://ftp.debian.org/debian stretch-backports main\u0026#34; Затем обновим список пакетов и установим нужный нам пакет с прямым указанием репозитория:\n1apt-get update 2apt-get install -t stretch-backports spectre-meltdown-checker Для Ubuntu 16.04 и Debian 8 проще всего будет скачать пакет вручную (первая команда сменит текущую директорию на домашнюю):\n1cd ~ 2wget http://ftp.ru.debian.org/debian/pool/main/s/spectre-meltdown-checker/spectre-meltdown-checker_0.39-1~bpo9+1_all.deb И установить его командой:\n1dpkg -i spectre-meltdown-checker_0.39-1~bpo9+1_all.deb Теперь запустим проверку, так как выводится достаточно большое количество информации для удобства сразу перенаправим вывод утилите more:\n1spectre-meltdown-checker | more На экране вы должны увидеть примерно следующее: Как видим, наша система (в данном случае Debian 9.5) защищена от уязвимостей, PTI включен.\nДля отключения, негативно влияющего на производительность PTI, необходимо добавить специальную опцию загрузки. Для этого откроем /etc/default/grub и найдем там параметр GRUB_CMDLINE_LINUX_DEFAULT, в кавычках расположены опции данного параметра, в самый их конец, через пробел, добавим nopti, например, в Debian 9 у вас должно получиться:\n1GRUB_CMDLINE_LINUX_DEFAULT=\u0026#34;quiet nopti\u0026#34; Сохраним файл и обновим загрузчик:\n1update-grub Перезагрузимся и вновь запустим проверку: Как видим, система стала уязвима к Meltdown (Variant 3), но осталась защищена от Spectre Variant 1 и 2, потому что для защиты от них используется retpoline, который не вызывает снижения производительности.\nЗаключение Надеемся, что после прочтения данной статьи вы будете лучше представлять, что такое Meltdown и Spectre, какие угрозы они несут и как от них можно защититься. Также сможете правильно оценить степень риска именно для вашей системы и принять правильное решение по включению или отключению защиты.\nСледует помнить, что любая безопасность имеет свою стоимость и если она оказывается дороже, чем возможный ущерб от ее отсутствия, то такой уровень безопасности явно является чрезмерным. Поэтому любые решения следует принимать на основе объективных показателей и здравого смысла, а не под воздействием медийного шума.\n","id":"a1e3aa627e79433f77c1cce9f83c1bae","link":"https://interface31.ru/post/meltdown-i-spectre-trezvo-ocenivaem-risk/","section":"post","tags":["CPU","Meltdown","Spectre","Безопасность","Уязвимости"],"title":"Meltdown и Spectre - трезво оцениваем риски или безопасность против производительности"},{"body":"Распределенные информационные базы 1С:Предприятия давно и широко применяются пользователями. Основным механизмом обмена данными в таких системах является синхронизация. К сожалению, штатные механизмы предусматривают только синхронизацию по расписанию и для этого должна быть запущена программа (либо работать в клиент-серверном варианте), что несколько снижает гибкость и удобство этого механизма. Поэтому предлагаем воспользоваться нашей утилитой Exch1C, которая предназначена для внешнего управления синхронизацией в базах 1С:Предприятие.\nКто давно работает с 1С, тот должен помнить, что в конфигурациях прошлого поколения, работавших на платформе 8.2, в настройках синхронизации была возможность выполнять обмен по событиям, например, запуск и завершение работы программы. Это позволяло реализовать простые сценарии работы для удаленных торговых точек, когда программа гарантированно получала перед началом рабочего дня все необходимые изменения и отправлять в центральную базу итоги работы за день. В новых конфигурациях, построенных на базе Библиотеки стандартных подсистем, возможности автоматизации сократили только до расписания. С другой стороны, БСП обеспечила конфигурациям требуемую унификацию, что позволяет довольно просто разрабатывать для них собственные решения. Кроме уже описанного нами сценария существует целый пласт аналогичных задач, которые требуют выполнять синхронизацию в привязке к какому-либо событию, либо во внерабочее время. Тем более привлекательно использовать для этого возможности штатного планировщика задач Windows. Можно еще долго растекаться мыслю по дереву в данном направлении, но мы думаем, что любой, кто работал с РИБ (распределенными информационными базами) самостоятельно найдет применение нашей утилите, поэтому перейдем к ее описанию.\nСистемные требования Утилита написана с использованием .NET Framework и будет работать в любой версии Windows c поддержкой данной технологии. Все современные ОС содержат в своем составе .NET Framework и поэтому ничего лишнего доустанавливать не придется.\nМы собираем утилиту в двух вариантах, с поддержкой .NET 3.5 и .NET 4.0, это сделано потому, что Windows 7 и Server 2008 R2 имеют в своем составе .NET 3.5 из коробки, а Windows 8 / 10 и Server 2012 / 2016 .NET 4.х, а .NET 3.5 по умолчанию отключен.\nНесмотря на то, что с большой долей вероятности на большинстве систем будут обе версии .NET, мы предлагаем сразу использовать подходящий вариант утилиты, по сложившейся в нашей \u0026quot;внутренней кухне\u0026quot; традиции такие версии мы маркируем индексами 35 и 40 после номера версии. Т.е. если утилита имеет номер 1.1.35 - то она собрана с поддержкой .NET 3.5, а 1.1.40 - с поддержкой .NET 4.0. Никаких иных отличий между утилитами нет.\nДля своей работы утилита использует COM-подключение к информационной базе, поэтому в системе должен быть зарегистрирован COM Connector для используемой версии платформы, это можно сделать командой:\n1regsvr32 \u0026#34;C:\\Program Files (x86)\\1cv8\\8.3.xx.xxxx\\bin\\comcntr.dll\u0026#34; Для отмены регистрации используйте:\n1regsvr32 /u \u0026#34;C:\\Program Files (x86)\\1cv8\\8.3.xx.xxxx\\bin\\comcntr.dll\u0026#34; Поддерживаемые конфигурации Как мы уже говорили, благодаря применению в современных конфигурациях БСП наша утилита может работать с любой из них, необходимое условие - наличие поддерживаемого плана обмена. Из типовых на сегодняшний день проверены и поддерживаются:\nБухгалтерия предприятия, редакция 3.0 Зарплата и Управление Персоналом, редакция 3 Комплексная автоматизация, редакция 2 Розница, редакция 2.2 Управление нашей фирмой, редакция 1.6 (начиная с 1.6.11) Управление торговлей, редакция 11 Cинтаксис Для файловой базы\n1Exch1C -F:[каталог ИБ] -U:[пользователь] -P:[пароль] -N:[код узла обмена] -E:[план обмена] Для клиент-серверного варианта\n1Exch1C -S:[кластер серверов] -R:[имя ИБ] -U:[пользователь] -P:[пароль] -N:[код узла обмена] -E:[план обмена] Основные опции -F - путь к каталогу файловой информационной базы -S - имя кластера серверов для клиент-серверного режима работы -R - имя информационной базы на кластере серверов -U - имя пользователя информационной базы -P - пароль пользователя информационной базы -N - код целевого узла обмена, два символа, совпадают с префиксом узла -E - код плана обмена, один символ, подробности см. ниже Если указываемый параметр содержит пробелы, то такое значение следует взять в кавычки.\nПоддерживаемые планы обмена O - по организации, используется в Бухгалтерия 3.0, Управление нашей фирмой 1.6 F - полный, используетя в Бухгалтерия 3.0, Управление торговлей 11, Управление нашей фирмой 1.6, Комплексная автоматизация 2 S - по магазину, используется в Розница 2.2 W - по рабочему месту, по магазину, используется в Розница 2.2 T - с отборами, используется в Управление торговлей 11 Z - распределенная информационная база, используется в Зарплата и управление персоналом 3 Использование Прежде всего определимся, как определить план обмена, самый верный способ - посмотреть в конфигураторе. Для примера показаны планы обмена УНФ 1.6 В самой программе они могут называться иначе, но особых сложностей разобраться нет. Код целевого узла обмена - это префикс того узла РИБ с которым вы хотите совершить обмен, его можно всегда посмотреть в настройках синхронизации. Для примера запустим обмен по организации с узлом У2 в файловой базе:\n1Exch1C -F:С:\\1C\\My_Base -U:Иванов -P:123 -N:У2 -E:O Или полный обмен с узлом Ц2 в клиент-серверной:\n1Exch1C -S:Server -R:Base -U:\u0026#34;Иванов Иван\u0026#34; -P:123 -N:Ц2 -E:F Скачать Скачать утилиту вы можете с прямо с нашего сайта, архив содержит обе версии:\nСкачать Exch1C 1.1 (33,1 КБ) MD5 2C63A67291269EDBC4C498D8D3980E78\n","id":"8084599220d714ebeeefa5f3d45b77f6","link":"https://interface31.ru/post/exch1c-prostaya-utilita-dlya-upravleniya-sinhroizaciey/","section":"post","tags":["1С Предприятие 8.х","Автоматизация","Автообмен"],"title":"Exch1C - простая утилита для управления синхронизацией в 1С:Предприятие"},{"body":"Начиная с версии Debian 9 популярную систему управления базами данных MySQL заменила MariaDB. Данная СУБД является ответвлением от MySQL созданная ее первоначальными разработчиками, которые оказались недовольны лицензионной политикой Oracle и испытывали опасения, что MySQL может стать более закрытым продуктом. MariaDB является полностью совместимой с MySQL, а это значит, что замена произойдет максимально прозрачно и все приложения, которые работали с MySQL также будут работать с MariaDB. А мы же рассмотрим некоторые особенности этого перехода.\nПрежде всего скажем, что все команды, инструкции, скрипты и т.д. и т.п. которые раньше работали с MySQL будут также работать с MariaDB, никаких изменений вносить не нужно и многие пользователи просто могут не заметить, что работают с другой СУБД.\nНо есть и отличия, прежде всего они касаются безопасности и были внесены командой Debian. Одним из основных отличий является то, то MariaDB входящая в состав Debian 9 не запрашивает пароль root при установке. После чего пользователь остается в некоторой растерянности, а что делать дальше? Масла в огонь подливает тот факт, что большинство инструкций в сети интернет рассматривают управление MySQL сугубо через панель управления phpMyAdmin, и не имеющие навыков работы в командной строке пользователи оказываются в особо беспомощном состоянии.\n\u0026quot;Как установить пароль root в MariaDB\u0026quot; в разных вариациях является одним из популярных поисковых запросов, связанных с этой СУБД. Но не будем рубить с плеча, а сначала разберемся, что сделали разработчики Debian и для чего.\nСамой большой проблемой безопасности MySQL является то, что учетные данные для доступа к БД хранятся в конфигурационных файлах веб-приложений открытым текстом. С учетом того, что многие пользователи не заморачиваются и делают владельцем всех баз суперпользователя root - проблема становится довольно серьезной. А если учесть, что доступ к файлам веб-приложений может иметь достаточно широкий круг лиц, включая не только сотрудников, но и фрилансеров - становится совсем плохо.\nПоэтому в Debian для суперпользователя root в MariaDB предусмотрена аутентификация через UNIX-сокет и реализована она таким образом, что неограниченный доступ к MariaDB может получить только суперпользовтаель системы и только в режиме командной строки. С точки зрения безопасности это очень правильно, так как теперь сторонние пользователи и веб-приложения не смогут получить доступ с правами root, даже если они каким-то образом узнали пароль.\nВсе это хорошо, но что делать обычному пользователю, который поставил MariaDB на свой сервер и хочет залить на нее дамп базы сайта? Прежде всего завести пользователя, лучше даже не одного. Для этого поднимем свои права в системе до root через su или sudo и выполним команду:\n1mysql -u root После чего вы окажетесь в командной строке MariaDB. Для того, чтобы создать нового пользователя выполним команду:\n1create user \u0026#39;andrey\u0026#39;@\u0026#39;localhost\u0026#39; identified by \u0026#39;password\u0026#39;; В нашем примере мы создали пользователя andrey с паролем password.\nТеперь назначим ему права. Прежде всего явно заберем права на чужие базы:\n1grant usage on *.* to \u0026#39;andrey\u0026#39;@\u0026#39;localhost\u0026#39;; И выдадим полные права на базы с шаблоном имени andrey_basename, такой подход позволит автоматически давать права всем новым базам которые будет создавать пользователь.\n1grant all privileges on `andrey\\_%`.* to \u0026#39;andrey\u0026#39;@\u0026#39;localhost\u0026#39;; Обратите внимание, что шаблон оборачивается символами грависа (`), который находится на клавише с русской буквой Ё.\nОстается только перезагрузить привелегии и выйти из консоли MariaDB\n1flush privileges; 2quit; После чего можно вернуться к привычным инструментам работы с MySQL/MariaDB, например, phpMyAdmin: Обратите внимание, что данный способ, в отличие от распространенных рекомендаций \u0026quot;включить root в MariaDB\u0026quot;, позволяет сохранить повышенную безопасность системы, что важно, если доступ к ней будут иметь третьи лица. Также мы не советуем держать все базы под одним пользователем, в идеале один сайт (или иное приложение) - один пользователь, это позволит без лишних затрат времени и сил сменить пароль в случае его компрометации или ее потенциальной возможности (скажем вы привлекали для работ с сайтом фрилансера).\nУстановка MariaDB из репозиториев разработчика Операционная система Debian имеет много достоинств, одно из них, за которое его больше всего любят - это стабильность. Настроил и забыл - это как раз про него, но оборотной стороной такого подхода является консервативность, многие пакеты имеют не столь свежие версии, как иногда хотелось бы. В настоящий момент вместе с Debian 9 поставляется MariaDB 10.1, в то время как текущими версиями являются 10.2 и 10.3.\nПоэтому если вам нужны какие-то новые функции MariaDB или вы просто хотите использовать последние стабильные версии софта, то можете установить MariaDB непосредственно из репозиториев разработчика. Сделать это несложно, но перед любым потенциально опасным действием следует сделать полную резервную копию вашего сервера.\nДля этого выполните в консоли сервера с правами суперпользователя следующую команду:\n1mysqldump -u root --all-databases \u0026gt; ~/my_backup.sql Эта команда сохранит все базы MariaDB, включая служебные, в файл my_backup.sql в директории /root и, если что-то пойдет не так, вы всегда сможете восстановить состояние вашего сервера на момент создания копии.\nПолучить инструкции по установке можно на специальной странице официального сайта. Сделана она очень удобно: вы выбираете свой дистрибутив, его выпуск, версию СУБД и зеркало - после чего получаете готовую инструкцию для установки. Чтобы сэкономить вам время приведем ее здесь (мы будем устанавливать MariaDB 10.3 на Debian 9):\n1apt-get install software-properties-common dirmngr 2apt-key adv --recv-keys --keyserver keyserver.ubuntu.com 0xF1656F24C74CD1D8 3add-apt-repository \u0026#39;deb [arch=amd64,i386,ppc64el] http://mirror.mephi.ru/mariadb/repo/10.3/debian stretch main\u0026#39; Чтобы вы понимали, что делаете кратко прокомментируем эти команды. Первая из них добавляет в систему нужные зависимости, вторая устанавливает ключ, которым подписаны пакеты и третья, наконец, добавляет в систему сам репозиторий.\nТеперь обновим список пакетов:\n1apt-get update и установим новую версию MariaDB:\n1apt-get install mariadb-server Обратите внимание, что пакетный менеджер корректно удалит предыдущую версию и установит новую, все базы данных при этом сохранятся и продолжат работать с новой версией MariaDB. Второй момент, при установке MariaDB от разработчиков инсталлятор попросит у вас задать пароль root, так как в этой версии аутентификация через UNIX-сокет не используется. Кого-то может это и порадует, но если вы успели понять и оценить все достоинства способа от разработчиков Debain, то возникнет резонный вопрос: а можно ли вернуть как было? Можно. Для этого откройте конфигурационный файл /etc/mysql/mariadb.conf.d/50-server.cnf и добавьте в секцию [mysqld] строку:\n1plugin-load-add = auth_socket.so Перезапустим СУБД:\n1service mysqld restart Попробуем войти из учетной записи обычного пользователя: Несмотря на то, что система спросит нас пароль и мы его правильно введем - в доступе нам будет все равно отказано. Повторим попытку через phpMyAdmin: И здесь успеха у нас не будет. Отлично! Теперь доступ с правами суперпользователя СУБД имеет только суперпользователь системы и нам не нужно беспокоиться, что пароль root MariaDB станет известен кому-либо.\n","id":"b3fe05c23ae92f818ca84af6084afa0d","link":"https://interface31.ru/post/osobennosti-ustanovki-i-nastroyki-mariadb-v-debian-9/","section":"post","tags":["Debian","MySQL","Безопасность"],"title":"Особенности установки и настройки MariaDB в Debian 9"},{"body":"Данный материал открывает новую тему на нашем сайте - эргономику. Затронутая тема, можно сказать, выстрадана, так как пользователи с завидным упорством продолжают наступать на одни и те же грабли. Сегодня мы поговорим о мониторах, так как это один из важнейших рабочих инструментов и от его правильного выбора зависит не только производительность труда, но и здоровье. К сожалению, нужными знаниями в этой области не располагают не только пользователи, но и многие технические специалисты, поэтому приглашаем всех желающих восполнить данный пробел.\nВ чем заключается проблема Как обычно происходит покупка монитора, особенно если это монитор для простой офисной работы? Чаще всего основным критерием является колонка с ценой в прайс-листе. К этому добавляется расхожее мнение, что большой монитор для офисной работы не нужен, достаточно чего-нибудь \u0026quot;обычного\u0026quot; и \u0026quot;недорогого\u0026quot;.\nБолее продвинутые пользователи читают обзоры и более внимательно подходят к покупке, выбирая тип матрицы, время отклика, параметры цветопередачи и т.д. и т.п. Но весь парадокс ситуации состоит в том, что откровенно плохую матрицу купить сегодня достаточно сложно, а большинство пользователей в повседневных задачах просто не заметит разницы между разными типами матриц.\nПри этом обычно все забывают о таком параметре, как разрешение монитора. Понятие разрешение применимо только к устройствам вывода информации и показывает сколько линий (LPI), точек (DPI) или пикселей (PPI) приходится на один дюйм физического носителя, очень часто эти виды единиц измерения путают, используя везде понятие DPI. Особой беды в этом нет, и если не брать профессиональные применения, то можно считать, что данные значения будут равны, хотя для цифровой техники предусматривающей вывод изображения на экран правильно использовать термин PPI.\nТрадиционно разрешение монитора указывается как количество пикселей по горизонтали и вертикали изображения, например, 1920x1080. По сути, данное значение не является разрешением в прямом смысле этого слова, поэтому, чтобы не вносить путаницу, для указания фактического разрешения используется иной термин - плотность пикселей.\nА теперь углубимся немного в историю и вспомним, как создавались первые графические интерфейсы, так как именно там скрыты корни многих современных проблем с отображением информации на экране.\nС появлением полноценных графических интерфейсов возникла привычная сегодня всем концепция WYSIWYG (что видишь, то и получишь), которая подразумевала экранное отображение документа максимально близко к тому, что пользователь получит на бумаге. Один из основных вопросов при этом - масштаб, т.е. размеры элементов на экране должны соответствовать размерам на бумаге.\nПервой озадачилась данным вопросом фирма Apple, которая приняла для своих мониторов разрешение в 72 PPI, данное значение было взято из типографского дела, где шрифт с кеглем 72 имел размер приблизительно в 1 дюйм, позже данное соотношение было закреплено Adobe в языке PostScript. Таким образом размер типографской точки был равен размеру одного пикселя и шрифт, набранный с размером в 12 пунктов, на экране занимал ровно 12 пикселей.\nMicrosoft пошла иным путем, она решила, что 14\u0026quot; монитор может вмещать 1024 x 768 пикселей и исходя из этого вывели значение разрешения в 96 PPI (что соответствует видимой области в 13,5\u0026quot;). Таким образом тот-же шрифт размеров в 12 пунктов на мониторах с Windows занимал уже не 12, а 16 пикселей, но по физическим размерам соответствовал 12 пикселям на экранах Макинтошей. Говоря современными терминами Microsoft выбрала большую плотность пикселей, что позволило при тех же размерах экрана выводить большее количество информации и получать более четкую картинку.\nНо разговор сейчас не об этом, со временем 96 PPI стали стандартом де-факто и вокруг этих значений строились все традиционные графические интерфейсы - размеры кнопок, иконок, шрифтов и прочих элементов рабочего окружения. Долгое время это не вызывало никаких проблем, так как стандартные разрешения для типовых размеров диагонали мониторов давали итоговую плотность пикселей близкую к 96 PPI и шрифты, и интерфейсные элементы были везде примерно одного размера.\nЧто делал пользователь, если изображение казалось ему мелким? Он уменьшал разрешение, при этом уменьшалась плотность пикселей, и картинка становилась крупнее. Ниже, в качестве примера, мы выразили в одном масштабе два разрешения для ЭЛТ-монитора в 17\u0026quot; (видимая область 16,5\u0026quot;). Первый звоночек прозвенел при появлении на рынке жидкокристаллических мониторов, для которых появилось понятие \u0026quot;рекомендованного разрешения\u0026quot;, при иных значениях которого качество картинки заметно ухудшалось. Это связано с технологическими особенностями работы ЖКИ-мониторов. ЭЛТ-мониторы по сути являлись аналоговыми, изображение на них формировалось пучком электронов, который последовательно пробегал экран, строка за строкой, уменьшая плотность пикселей мы просто увеличивали ширину электронного пучка, что на качестве картинки практически не сказывалось, разве что более крупный пиксель становился более заметен.\nЖКИ-мониторы являются цифровыми и представляют матрицу с определенным количеством пикселей. Поэтому, когда пиксель на экране совпадает с пикселем на мониторе, мы получаем отменное качество картинки, в противном случае изображение подвергается интерполяции, чтобы получить нужное количество пикселей и это приводит к существенному падению его качества. Чтобы понять суть происходящих процессов просто увеличьте в графическом редакторе изображение и полюбуйтесь на результат. Для примера мы интерполировали изображение с разрешением экрана в 1024 х 768 к матрице размером 1280 х 1024, эффект замыливания виден, что называется невооруженным глазом. Но даже сегодня многие пользователи, если им мелко, продолжают изменять разрешение, портя зрение размытой картинкой и сетуют на то, что работа за компьютером плохо на него влияет.\nОднако не будем забегать вперед. Пока что только примем к сведению тот факт, что изменять разрешение на ЖКИ-мониторах для работы недопустимо. В тоже время это не касается игр, так как там картинка подвергается различным обработкам и сглаживаниям, а также в играх не требуется фокусировать зрение на мелких элементах интерфейса.\nДействительно серьезные проблемы начались с повсеместным внедрением HD-разрешений даже для небольших по размеру мониторов, если открыть современный прайс, то мы запросто в нем увидим модели с FullHD разрешением 1920 х 1080 начиная уже от моделей с диагональю в 21,5\u0026quot;. Как несложно заметить, все модели с разрешением 1920 х 1080 имеют повышенную плотность пикселей, а следовательно, изображение на них будет мелким. Но есть и иные подводные камни. Если мы посмотрим на 19,5\u0026quot; модели, то можем заметить, что одна из них имеет низкую плотность пикселей в 87 PPI, т.е. картинка на нем будет более крупная и заменив такой монитор на такую же по диагонали модель, но с нормальной плотностью пикселей в 94 PPI вы можете столкнуться с заявлением, что картинка на мониторе мелкая.\nНа первый взгляд разница в плотности пикселей не сильно существенна, но визуальные ощущения не находятся в линейной зависимости от разрешения, ниже мы привели к единому масштабу картинку интерфейса при разной плотности пикселей. А теперь вспомним, о чем мы говорили в самом начале статьи. Покупка монитора для работы чаще всего осуществляется исходя из его цены. При этом существует расхожее мнение, что большой монитор на рабочем месте не нужен, поэтому первыми кандидатами на покупку окажутся модели с диагоналями 20,7\u0026quot; и 21,5\u0026quot;, которые почти поголовно имеют повышенную плотность пикселей.\nЧестно говоря, нам непонятны причины, по которым все современные мониторы оснащаются FullHD матрицами начиная от размера диагонали в 20\u0026quot;, разве что маркетинговыми соображениями, да и то, всерьез предполагать, что маленький (по современным меркам) монитор будет приобретаться для игр и мультимедиа ни один здравомыслящий человек не будет.\nВ свое время у автора данных строк был монитор Acer X223W с диагональю 22\u0026quot; и разрешением 1680 x 1050, плотность пикселей у него составляла вполне комфортные 90 PPI. Да, картинка была немного крупновата, но если следовать эмпирическом правилу - сидеть не ближе расстояния 1,5 диагоналей от монитора, то работать с ним было вполне комфортно.\nСегодня, в эпоху FullHD оптимальными можно считать мониторы с диагональю в 23,8\u0026quot; (93 PPI) и 24\u0026quot; (92 PPI), которые обеспечивают наиболее комфортную работу с привычным размером элементов на экране. С дальнейшим ростом диагонали при сохранении разрешения плотность пикселей падает и для 27\u0026quot; монитора она составит уже 82 PPI. Поэтому надо четко осознавать, что при переходе с 24\u0026quot; монитора на 27\u0026quot; вы не получите увеличения рабочего пространства, просто изображение станет крупнее.\nПокупка более крупного монитора оправдана в том случае, если вы собираетесь также использовать его для игр и мультимедиа, никто ведь не будет спорить, что смотреть фильм на большом экране лучше, чем на маленьком. На рабочем месте такой монитор может, наоборот, добавить проблем, так как для комфортной работы с ним потребуется отодвинуть его подальше (1,5 диагонали), что не всегда возможно.\nНо как быть обладателям массовых моделей с небольшой диагональю и высокой плотностью пикселей? Изменять разрешение у монитора нельзя, а работать с мелким изображением некомфортно и вредно для зрения.\nСамое время вспомнить о масштабировании. В настоящее время существуют и активно применяются несколько методов масштабирования, каждый из которых имеет свои особенности, поэтому будем рассматривать их в порядке их возникновения и развития.\nМасштабирование в стиле Windows XP Одним из первых методов является Масштабирование в стиле Windows XP, который предусматривает масштабирование шрифтов и отдельных элементов интерфейса (ярлыки, курсоры и т.п.). Мы думаем, что с данным типом масштабирования хоть раз сталкивался каждый. Но не все знают, что можно приложить к экрану дюймовую линейку и точно выставить масштаб ползунком мыши. Если быть честными, то данный вид масштабирования возник задолго до выхода Windows XP и такое название скорее всего связано с тем, что когда в Windows Vista появились новые способы масштабирования, то для обозначения старого способа недолго думая выбрали название предыдущей системы. Ниже на скриншоте Windows 95, как видим, с тех давних пор до Windows ХР мало что изменилось. Как это работает? Мы взяли для примера одно из самых распространенных в то время приложений - 1С:Предприятие 7.7, сначала посмотрим как оно выглядит при нормальной плотности пикселей в 96 PPI (100%): А теперь 120 PPI (125%): Сразу бросается в глаза, что текст стал крупнее, в тоже время оставаясь четким, но кнопки остались того-же размера, а следовательно, стали мельче, также начали проявляться ошибки разработки интерфейса, несложно заметить, что надписи Поставщик, Покупатель и т.п. выводятся предопределенным размером шрифта и не масштабируются. Мы не зря заострили на этом внимание, сам по себе метод масштабирования в стиле Windows XP неплох, но все портит неумение самого интерфейса подстраиваться под изменившееся разрешение и более крупный размер шрифта, в особо запущенных случаях мы можем увидеть что-то вроде этого: Таким образом масштабирование в стиле Windows XP применимо только для небольшой плотности пикселей, до 120 PPI, более высокие значения сделают интерфейс полностью нерабочим. Для примера мы выставили разрешение в 192 PPI (200%), комментарии, как нам думается, излишни...\nDPI виртуализация\nЕсли во времена выхода Windows XP вышеописанное не представляло серьезной проблемы, так как найти мониторы с высокой плотностью пикселей было довольно проблематично, то по мере роста диагоналей и перехода на HD разрешения проблема начала вставать в полный рост. Поэтому, начиная с Windows Vista, был предложен новый метод масштабирования - DPI виртуализация, суть его заключается в следующем: изображение формируется со стандартным разрешением в 96 PPI и масштабируется перед выводом на экран в соответствии с реальным значением плотности пикселей.\nКазалось бы, найдено идеальное решение проблемы, но вернемся к тому, что мы говорили про изменение разрешения ЖКИ монитора, а именно про интерполяцию. Интерполяция неизбежно приведет к замыливанию изображения и если для высоких PPI (скажем 326 PPI на дисплеях iPhone) это не важно, так как из-за небольшого физического размера пикселя его не будет видно, то при масштабировании до 100-120 PPI замыливание будет видно невооруженным глазом.\nПоэтому было принято компромиссное решение: до разрешения в 120 PPI включительно используется масштабирование в стиле Windows XP, выше - DPI виртуализация. Ниже показан интерфейс программы в разрешении 144 PPI, замыленность, конечно, присутствует, но это гораздо лучше чем то, чтобы мы увидели при масштабировании в стиле Windows XP (еще раз посмотрите на скриншот выше). Но, гладко было на бумаге, давайте изменим разрешение до 120 PPI и что мы увидим? Система применила масштабирование в стиле XP, но приложение оказалось не готово к такому масштабированию, размеры окон привязаны к абсолютным значениям и увеличение масштаба текста и некоторых элементов управления привело к тому, что они просто перестали помещаться на свои места.\nЧто делать? Можно отключить масштабирование в стиле XP, сняв соответствующую галочку в настройках: Для данного приложения это поможет, но может одновременно все испортить для тех, кто нормально понимает масштабирование в стиле XP, переключив их принудительно в режим DPI виртуализации.\nПриложения и масштабирование Все это время мы говорили только про систему, полностью игнорируя приложения, которые могут вести себя по-разному. Разработчики прикладного софта, также, как и разработчики ОС, имеют те же самые проблемы и должны быть заинтересованы в их решении. Все современные приложения проектируются таким образом, чтобы одинаково хорошо выглядеть при разных разрешениях экрана и могут использовать свои методы масштабирования. Такие приложения должны сообщить системе о том, что умеют работать с высокими разрешениями и к ним не будет применяться DPI виртуализация.\nДля того, чтобы сообщить системе о том, что приложение поддерживает высокие значения разрешения оно должно иметь специальный флаг DPI-Aware, на самом деле там все несколько сложнее, но для понимания технологии можно остановиться на этом допущении.\nПриложения, имеющие DPI-Aware флаг и умеющие масштабировать собственный интерфейс полностью беспроблемны, и одинаково хорошо будут выглядеть при любых настройках разрешения. А вот с иными приложениями могут быть различные варианты.\nНачнем со старых приложений и приложений, которые не умеют масштабироваться, пример такого приложения вы видели выше, они не имеют DPI-Aware флага и для них будет использоваться DPI виртуализация. По умолчанию DPI виртуализация используется для разрешений выше 120 PPI и поэтому при меньшем разрешении такие приложения могут выглядеть плохо. Обозначенная нами выше настройка позволяет отключить масштабирование в стиле XP для всех приложений без DPI-Aware флага и принудительно использовать DPI-виртуализацию.\nВторой вариант, это приложения, которые умеют масштабироваться, но не имеют DPI-Aware флага, до разрешения в 120 PPI включительно проблем с ними не будет, а вот при более высоких разрешениях для них будет включена DPI виртуализация и интерфейс может стать размытым.\nИ, наконец, самый худший вариант, это когда приложение имеет DPI-Aware флаг, но не умеет масштабироваться, здесь ситуация полностью на совести разработчиков и выглядеть такие приложения могут весьма неожиданно.\nЧто касается приложений, которые умеют масштабироваться, но не имеют DPI-Aware флага, то DPI виртуализацию для них можно отключить, для этого на закладке Совместимость следует установить галочку Отключить масштабирование изображения при высоком разрешении экрана. Данные настройки доступны начиная с Windows Vista и позволяют более-менее корректно отображать на экранах с высоким разрешением различные типы приложений, однако в Windows 8.1 убрали возможность принудительно выключать режим масштабирования в стиле Windows XP. Это означает, что для приложений без DPI-Aware флага при разрешениях до 120 PPI включительно всегда будет применяться масштабирование в стиле Windows XP, что может повлечь некорректное отображение некоторых приложений, в остальном все осталось без изменений. Режим DPI-виртуализации можно отключать для приложений в индивидуальном порядке.\nМасштабирование в Windows 10 С момента выхода Windows Vista до первого релиза \u0026quot;десятки\u0026quot; прошло около 8 лет, по меркам компьютерной индустрии - целая эпоха, и если в те далекие годы HD-разрешения были последним словом техники, то сегодня в нашу жизнь уверенно входит 4K, что требует принципиально иного подхода. Скажем монитор 31.5\u0026quot; с разрешением 3840?2160 будет иметь разрешение в 140 PPI, т.е. требовать масштаба в 150%, а наиболее доступные 27\u0026quot; мониторы с таким же разрешением будут иметь вообще 163 PPI. Понятно, что ни о каком масштабировании в стиле XP тут и речи быть не может.\nПоэтому Windows 10 по умолчанию применяет только DPI-виртуализацию для любых разрешений, понятно, что при небольших масштабах изображение будет замыливаться, поэтому было сделано ряд шагов, чтобы исправить эту ситуацию. Например, появилась дополнительная опция Однако, сказать честно, мы не особо заметили эффект от ее включения, гораздо интереснее персональные настройки масштабирования для приложений. Windows 10 предлагает гораздо больше настроек, которые теперь выделены в отдельный пункт Изменить параметры высокого DPI. Как мы уже говорили, Windows 10 по умолчанию использует DPI виртуализацию для любых разрешений. Пункт Приложение отключает DPI-виртуализацию и приложение должно будет либо отмасштабироваться само, либо к нему фактически будет применено масштабирование в стиле Windows XP. По сути, это та же самая настройка, которая раньше называлась Отключить масштабирование изображения при высоком разрешении экрана. Мы запустили в данном режиме не умеющее масштабироваться приложение и вполне ожидаемо получили крайне неприглядную картину с масштабированием в стиле Windows XP.\nСледующий пункт - Система - на наш взгляд избыточен, он соответствует настройкам по умолчанию, это равносильно тому, что вы выключите все настройки на данной закладке. В этом случае применяется DPI-виртуализация и изображение вполне ожидаемо окажется размытым. Наиболее интересен третий пункт - Система (Расширенная), в этом случае также используется DPI-виртуализация, но при этом реализован иной механизм прорисовки текста, что делает его гораздо более четким. Особенно сильно этот эффект заметен на приложениях, содержащих большое количество текстовой информации, работа с ними становится гораздо более приятной, чем просто в режиме DPI виртуализации, при этом, в отличие от масштабирования в стиле XP соблюдаются все привычные пропорции элементов интерфейса. Ниже показан внешний вид 1С:Предприятие 7.7 в разрешении 144 PPI (150%). Можно сказать, что в Windows 10 разработчикам удалось добиться оптимальных параметров масштабирования, когда для любого старого приложения можно подобрать наиболее подходящий ему режим. Поэтому, если вы хотите приобрести монитор с высокой плотностью пикселей, но по какой-либо причине еще не перешли на Windows 10, то у вас появляется повод это сделать.\nМультимедиа и игры Все это время мы говорили о масштабировании пользовательского интерфейса, а также текстовой информации, не касаясь мультимедийных форматов. И этому есть причина, так как мультимедиа не масштабируется. Действительно, если у нас есть фотография с размером, скажем, 800 х 491 px, то на любом мониторе с любой плотностью пикселей ее размеры останутся неименными, изменится только физический размер. Чем выше будет разрешение, тем меньше будут физические размеры мультимедийного объекта.\nЭтот факт способен вызвать определенные разочарования, так как приобретение монитора большего размера всегда ассоциируется у пользователя с улучшением качества картинки. Начнем с более простой ситуации, увеличилась только диагональ монитора, без увеличения разрешения, т.е. уменьшилась плотность пикселей. Это значит, что при неизменных размерах изображения или ролика его физические размеры увеличатся, что в сочетании с более крупным размером пикселя способно ощутимо ухудшить визуальное восприятие картинки.\nЕсли раньше какие-то дефекты и артефакты изображения были незаметны благодаря высокой плотности пикселей, то теперь многое выйдет наружу. Тоже самое касается и любителей игр. Допустим у пользователя был монитор с диагональю в 21,5\u0026quot; с FullHD разрешением и слабая видеокарта, поэтому в игре он выбирал разрешение 1280 х 720 и был вполне доволен соотношением производительность / качество картинки.\nПосле этого он покупает монитор с тем же FullHD разрешением и диагональю в 27\u0026quot;, что изменилось? Технически - ничего, однако физически размер изображения увеличился на 25%. Визуально это отличие будет выглядеть так: В итоге может получиться так, что на более крупном мониторе качество игровой картинки перестанет быть приемлемым, что повлечет за собой новые траты на более мощную видеокарту.\nДругой, также неочевидный случай, допустим у нас имеется видеоролик с разрешением 492 х 360 px, далеко не самое лучшее качество, по сегодняшним временам, но вполне соответствует разрешению любительских камер десятилетней давности. Разрешение ролика будет неизменным при любом размере диагонали и плотности пикселей, но физический размер окажется различным. Ниже приведено к единому масштабу отображение такого ролика с разрешениями 96 и 144 PPI. Как видим, физический размер изображения стал существенно меньше (в 1,5 раза) и если мы захотим вернуть ему привычный размер, то нам потребуется во столько-же увеличить его разрешение, что приведет к интерполяции и объективному ухудшению качества картинки.\nСледует понимать, что увеличение диагонали монитора в любом случае предъявляет более высокие требования к качеству мультимедийных материалов. Если мы увеличили диагональ не меняя разрешение экрана, т.е. уменьшили плотность пикселей, мы сделаем изображение крупнее и тем самым сделаем более заметными все его недостатки. Если мы повышаем плотность пикселей, то тем самым уменьшаем физический размер картинки и для отображения ее в привычном размере нам потребуется интерполяция, которая также ухудшит качество изображения.\nДля любителей бюджетно поиграть увеличение диагонали монитора как правило всегда потребует апгрейд видеокарты, либо придется смириться с субъективно более низким качеством картинки.\nВыводы Итак, на что следует обратить внимание при покупке нового монитора? Прежде всего рассчитайте с какой плотностью пикселей вы работаете сейчас и какой она будет у нового монитора, для этого можно воспользоваться онлайн-калькулятором. Затем подумайте, как будут выглядеть при этом ваши приложения, потребуется ли масштабирование и насколько они умеют это делать. Проверить это просто, измените настройки масштабирования на текущем мониторе и посмотрите результат с поправкой на размер нового монитора.\nЕсли речь идет об офисном применении, то не стоит экономить и брать самую небольшую и дешевую модель, лучше всего взять тот монитор, плотность пикселей которого будет близка к стандартным 96 PPI или немного меньше. Также обратите внимание, что если пользователь работал на мониторе с низким разрешением, скажем 87 PPI, то даже стандартные 96 PPI могут показаться ему мелкими, особенно если человек имеет сниженную остроту зрения.\nЕсли вы любитель бюджетно поиграть, то сразу прикиньте, потянет ли ваша видеокарта увеличение разрешения кратное увеличению диагонали, а затем думайте, готовы ли вы мириться с ухудшением качества картинки, либо сразу закладывайте в бюджет новую видеокарту.\nТакже следует понимать, что увеличение диагонали экрана без увеличения его разрешения, т.е. уменьшение плотности пикселей, не приведет к качественному изменению картинки, а только увеличит ее, однако это имеет смысл для игр и мультимедиа, следует только убедиться, что ваша видеокарта способна обеспечить максимальное качество для данного разрешения.\nЕсли же вы работаете в графических редакторах или САПР и вам требуется расширение рабочего пространства, то следует выбирать мониторы с максимально возможным разрешением, не забывая о соизмеримых физических размерах. Например, сегодня можно купить монитор с разрешением 3840?2160 и диагональю 23,8\u0026quot;, что даст нам плотность пикселей в 185 PPI. Что мы получим в итоге? Расширение рабочего пространства? Возможно, но сможете ли вы что-то там рассмотреть? Зато довеском получите полный спектр проблем с масштабированием, а также отображением мультимедиа и играми.\nПоэтому всегда старайтесь придерживаться разумного компромисса и только после того, как уясните наиболее оптимальные для себя разрешение и диагональ можете переходить к выбору матрицы и прочих не менее важных параметров вашего нового монитора.\n","id":"422c16ce6fa022be23a0e2671bdeb066","link":"https://interface31.ru/post/ergonomika-rabochego-mesta-chast-1-monitory/","section":"post","tags":["Мониторы","Рабочее место","Эргономика"],"title":"Эргономика рабочего места. Часть 1 - Мониторы"},{"body":"Работа с мультимедиа сегодня перестала быть уделом узких специалистов и широко двинулась в массы. То, что еще недавно казалось сложным и требовало профессиональной техники и программ теперь считается частью повседневности. Мы уже затрагивали в своих статьях тему подготовки видеоуроков, а сегодня коснемся несколько иной темы - конвертации форматов.\nТот, кто застал времена становления мультимедиа на ПК должен помнить в какой забавный квест мог превратиться поиск кодека для очередного скачанного фильма. Сегодня с этим попроще, большинство плееров поддерживают все распространенные форматы, но если вы занимаетесь обработкой видео, то не все так просто.\nИсходный материал может попасть к вам в самых различных форматах, отличаясь размерами кадра, битрейтом и качеством звуковой дорожки. Поэтому перед тем, как что-то делать с ним дальше было бы неплохо привести все к единому знаменателю.\nДругой актуальный вопрос - быстро пережать видео для выкладывания в Youtube и социальные сети. Можно, конечно, загрузить как есть, но если вы ограничены временем и шириной канала, то это не самый лучший вариант.\nИ давно прошли те времена, когда данные заботы были актуальны для небольшого количества специалистов, сегодня многие предприятия имеют свои сайты и блоги, страницы в соцсетях и видеоканалы, поэтому возможность быстро разместить информацию о каком-либо актуальном событии, акции и т.д. становится вопросом получения конкурентного преимущества.\nЧто толку в хорошо продуманной акции к выходным или праздникам, если по техническим причинам ее смогли разместить только перед самым окончанием рабочего дня? Или в чем актуальность репортажа о мероприятии, который будет загружен только через пару дней и все заинтересованные лица уже смогли посмотреть его у конкурентов.\nТехнически особой сложности в конвертации мультимедийных форматов нет, есть множество бесплатных утилит, онлайн сервисы и т.п. Но все это хорошо ровно до тех пор, пока эту задачу не потребуется поручить человеку без глубоких технических знаний.\nЗдесь могут быть разные точки зрения на данный вопрос, но наша позиция такова, что человек должен включить компьютер и работать, а становиться специалистом в области видеоформатов ему ни к чему. Следовательно, возникает потребность в простом и удобном в обращении продукте для первично работы с видео.\nКогда нам предложили в этом качестве посмотреть на Movavi Конвертер Видео(https://www.movavi.ru/support/how-to/how-to-convert-webm.html), то мы сначала не проявили большого энтузиазма, ну конвертер, притом платный, что там может быть интересного. Но продукт оказался достаточно интересным и кроме непосредственно конвертации предлагает достаточно иных возможностей. На первый взгляд перед нами самое обычное приложение «для домохозяек», крупные иконки, простейшие действия. Кроме того, еще сразу предлагается подключить мобильное устройство. И это, кстати, работает. Наш телефон без проблем определился и для него были выставлены оптимальные настройки конвертации. Это удобно если вы хотите накачать на свое устройство фильмов в дорогу, конвертация в оптимальный формат позволит сэкономить место на устройстве и заряд батареи, избавив девайс от лишней работы по переконвертации. А большое количество устройств в базе позволяет охватить практически весь актуальный сегмент. Будем честными, большинство устройств имеют одинаковые настройки, но простому пользователю проще выбрать именно свое устройство (или определить его автоматически), чем получить мало, о чем говорящую ему строку MP4 H.264 - HD 720p.\nНо мы отклонились от основной темы. Непосредственно конвертацию можно выполнить в программе не просто, а очень просто. Перетаскиваем или открываем файл, выбираем выходной формат, жмем Старт и готово! Но если бы на этом функции данной программы исчерпывались, то этой статьи скорее всего бы не было.\nОбратим внимание на верхнее меню, а именно раздел Инструменты, который также окажется доступным по кнопке Редактировать на самом видео. Мы оказались приятно удивлены, перед нами не просто конвертер, а практически небольшой видеоредактор. Да, для создания полноценного «блокбастера» он не сгодится, но, чтобы быстро превратить отснятый только что материал в репортаж с колес вполне пойдет.\nМы специально взяли видео не самого высокого качества отснятое с рук и применили к нему Стабилизацию, так как местами изображение сильно дрожало. При необходимости ролик легко можно подрезать, удалив ненужные части. Результат обработки нас порадовал, видео стало выглядеть намного лучше. Но это только начало. Добавив сразу несколько роликов, мы можем применить к ним все действия как порознь, так и одновременно, скажем наложив на все сразу водяной знак. А установив переключатель Объединить мы получим из нашей россыпи роликов готовый репортаж в одном файле.\nКроме того, конвертер (если его уместно так называть) может помочь вам сразу разместить ролики на популярных видеохостингах и соцсетях, правда для этого потребуется установка дополнительного ПО, но при наличии сети это будет сделано автоматически. Подведем небольшой промежуточный итог: мы достаточно легко и просто при помощи только лишь Movavi Конвертер Видео произвели первичное редактирование и обработку сырого видео, создали из него полноценный ролик и автоматически выгрузили его в интернет. Неплохо для простого «конвертера». Но это еще не все, кроме работы с видео конвертер работает также и с изображениями. С его помощью весьма просто выполнить одну из самых востребованных операций - пакетно изменить размер фотографий для выкладывания на веб-ресурсе.\nМожно задать собственные настройки, а можно взять готовый шаблон, например, Изображение для LiveJournal - на наш взгляд неплохо подходит для указанной цели. Таким образом мы не только по-быстрому смонтировали репортаж, но и также быстро можем обработать фотографии для сайта или соцсетей.\nСкажем честно, сначала мы скептически отнеслись к возможностям данного продукта, но после того, как мы с его помощью полностью закрыли один из наиболее часто встречающихся в нашей практике сценариев, наше мнение сильно изменилось.\nЧто еще может предложить Movavi Конвертер Видео? Здесь бы мы выделили простую работу с DVD, с одной стороны этот формат давно устарел, с другой его до сих пор продолжают использовать при съемке различных мероприятий, особенно детских.\nСкладывается довольно парадоксальная ситуация: техники, воспроизводящей данный формат на руках все меньше и меньше, его поддержка убрана из современных ОС, но производить контент в формате DVD продолжают.\nКроме того, на руках достаточно много видео в данном формате. прежде всего семейного, которое просто неоткуда получить в ином виде.\nНо это только полбеды. DVD - типичный SD-формат (720 x 576) и на современных HD-экранах качество картинки будет желать лучшего. Выход тут один - конвертация с увеличением размера до 720p (1280 x 720). Сделать это в Movavi достаточно просто, достаточно указать DVD-диск или папку с видеофайлами, и программа сама соберет все части в один фильм, также доступны готовые предустановки конвертации из SD в HD. Мы выбрали одну из них: MP4 H.264 Увеличение до HD 720p и результат нас порадовал. Ниже приведены образцы видео до и после конвертации, проигрывание производилось при помощи VLC-плеера на экране монитора с разрешением 1920 x 1080. Понятно, что такое видео не превратится в HD, но визуально картинка будет выглядеть гораздо более привлекательно, в нашем случае это видно невооруженным глазом.\nНу и напоследок покажем достаточно интересные функции для продвинутых пользователей, в основном для веб-мастеров.\nОчень часто на сайте нужно показать короткую последовательность действий, при этом набор изображений не всегда может отразить нужную информацию, а полноценное видео явно будет избыточным. В этом случае поможет создание GIF-анимации.\nМы взяли одно из наших рабочих видео, отражающих действия кассира в РМК и вырезали из него короткий ролик с самым интересным (15 сек) при помощи инструмента Обрезка. Затем выбрали выходной формат GIF и установили собственные настройки по желаемому размеру GIF-файла. Следует отметить, что в данном случае программа не очень точно рассчитывает размер выходного файла и лучше сделать пробную конвертацию, чтобы оценить реальный размер получаемой GIF-анимации. В нашем случае вместо обещанных 24 МБ мы получили всего 9,62 МБ.\nНеплохой альтернативой GIF-анимации может служить HTML5 видео. Это специальный формат (набор форматов), который придерживается современными браузерами в рамках языка разметки HTML5. Его достоинство в том, что вам не нужно никаких плееров, видеохостингов и т.п. Достаточно просто вставить в веб-страницу специальный тег с указанием видеофайла и он будет показан любым поддерживающим стандарт браузером. Недостатки - устаревшие браузеры не умеют работать с HTML5 и ничего вам не покажут.\nНо и здесь легко выйти из ситуации, можно сделать страничку так, что пользователи современных браузеров увидят HTML5-видео, а устаревших - GIF-анимацию или SVF-ролик.\nДля создания HTML5 видео в программе можно выбрать один из имеющихся шаблонов. Мы выбрали формат WebM и получили выходной файл размером всего в 484 КБ, что гораздо меньше GIF-анимации. Выглядеть на страничке такой файл будет следующим образом:\nКак видим Movavi Конвертер Видео - это не только конвертер, но и достаточно функциональный и удобный инструмент первичной обработки видео и понятным и удобным интерфейсом. Это позволяет широко использовать его даже неподготовленными пользователями и добиваться при этом отличных результатов.\n","id":"d6892da11e1a7b603b58c2a61336194b","link":"https://interface31.ru/post/movavi-konverter-video-ne-tol-ko-lish-konverter/","section":"post","tags":["Movavi","Документация","Обучение"],"title":"Movavi Конвертер Видео - не только лишь конвертер"},{"body":"После неудачи мюнхенского проекта перехода на свободное ПО многие посчитали, что вопрос внедрения свободного ПО в государственные учреждения закрыт, либо отложен на неопределенное время. А сам факт отказа стал одним из весомых аргументов в дискуссиях о роли и месте свободного ПО. Однако если отбросить медийный шум и спокойно разобраться в ситуации, то выяснится, что причины мюнхенского отказа носили вовсе не технический характер, а сама идея остается весьма привлекательной. Предлагаем вашему вниманию статью от нашего зарубежного коллеги созданную на основе публикаций в немецкой прессе.\nЗемельный парламент земли Шлезвиг-Гольштейн в городе Киле (откуда килька) собрался совершить долгосрочный переход всех структур правительства на программное обеспечение с открытым кодом (open-source). На первом этапе, до 2020 года, необходимо провести исследование самой возможности перехода на программное обеспечение с открытым кодом. Правящая коалиция из трёх партий (ХДС, Зелёные и Свободные демократы) официально заявили о совместном пожелании усиленно внедрять свободное ПО в государственных структурах. Цель таких мероприятий: «обеспечить современное и работоспособное управление». Как естественный шаг в таком случае воспринимается уход от продуктов фирмы Майкрософт. Такие планы в Германии не являются чем-то новым, но они всё ещё находятся или на стадии эксперимента или уже потерпели неудачу. Из последних примеров -- столица Баварии город Мюнхен, где с большой помпой в начале 2000-ых приступили к переводу всех структур госаппарата на Linux и в настоящее время разворачиваются назад к Windows. Мюнхенский проект «обратной миграции» продлится до 2022 года и будет стоить дополнительно 50 миллионов евро.\nКратко о проекте в Мюнхене В 2003 году правительство Мюнхена рассмотрело идею о переводе всех структур градоуправления на свободное ПО и Линукс в качестве операционной системы. Несмотря на потуги руководства Майкрософта, постановление о замене всех лицензий Windows было принято, проект запущен и поэтапный перевод всех рабочих мест в аппарате городской управы стартовал в 2006 году. В 2013 году было заявлено об «успешном завершении миграции» всех систем. С 2015 года появились разногласия, многие депутаты и сотрудники жаловались на неудобства в обращении с приложениями под системой Линукс. После долгих дебатов, Мюнхен решил начать миграцию назад к продуктам Майкрософт и ОС Windows.\nНа ошибках учатся Но в Киле не пугаются, наоборот -- из опыта Мюнхена можно почерпнуть много полезного. Проблема была не в самом программном обеспечении, но в том, как сотрудники мюнхенских государственных структур пользовались программами open-source. Именно недовольство сотрудников и привело к прощанию с проектом LiMux (мы писали). Поэтому проект в Киле во многом направлен, в первую очередь, на успешную перестановку всех компьютерных структур. «Одна из наибольших проблем, возникающих в процессе дигитализации, это огромная и растущая власть малочисленных концернов, которые господствуют на рынке», -- так заявили в правящей коалиции. Поэтому политика и госаппарат должны потрудиться «стать дигитально суверенными и независимыми». Кроме того, политики считают, что применение открытого ПО поможет избежать проблем с «обусловленными спецификой производителей дыр в безопасности».\nНо не только в Германии думают о программах с открытым кодом...\nШвейцария поднимает паруса open source Опрос 200 швейцарских фирм и учреждений показал -- свободное ПО играет всё большую роль. Open-Source-Software (OSS) играет важную роль среди прочих программ на компьютерах пользователей, 56 процентов респондентов указали, что используют OSS. В списке такие приложения как Mozilla Firefox, 7-Zip, VLC и LibreOffice. Немалый объём свободного ПО применяется и в облачных технологиях, такие программы как Docker или Nextcloud прочно заняли место ранее используемых коммерческих приложений. Больше «за», чем «против» Семь из десяти опрошенных используют Linux и технологии apache на серверах, так-же в ходу серверные приложения nginx или lighttpd. Большой интерес у фирм вызывает свободное ПО для менеджмента клиентов (CRM), управления товарными потоками (ERP). Важнейшим аргументом для применения OSS является широкая поддержка стандартов и совместимость свободного ПО. «Повышенная безопасность» или «стабильность» значительно важнее для фирм, экономия средств попала на шестое место среди аргументов. Значительно уменьшились сомнения по поводу ответственности за безопасность программного обеспечения, что обосновано ростом числа профессиональных консультантов для свободного ПО. Страхи по переходу от коммерческого к свободному ПО отходят на второй план.\nАвтор: Виктор Хартманн (Берлин)\n","id":"7c79e38dd67cfc1eb4c5ec8bc6c859c8","link":"https://interface31.ru/post/v-budushhee-bez-maykrosoft/","section":"post","tags":["Linux","Внедрение","Планирование"],"title":"В будущее без Майкрософт"},{"body":"Сегодня формат видеоуроков приобретает все большую популярность, действительно иной раз лучше один раз увидеть, чем сто раз прочитать. И хотя видеоуроки не могут служить заменой печатной документации, они способны отлично дополнить ее и значительно улучшить подачу материала. В данной статье мы поговорим о Movavi Screen Capture Studio - специализированной программе для этих целей.\nПрежде всего не будем впадать в крайности. Как мы уже говорили, видеоуроки не замена печатной документации и инструкциям, а дополнение. Давайте вспомним как обычно построен процесс обучения: вы собираете обучаемых, вживую показываете им приемы работы с программой, а затем вручаете бумажные инструкции, в которые они могут подсматривать по мере появления вопросов.\nВидеоуроки - это как раз аналог этапа живой демонстрации. Таким образом вы можете существенно сэкономить свое время и одновременно расширить охват аудитории, например, удаленных офисов. Отправить качественно сделанный учебный ролик будет гораздо эффективнее, чем показать приемы работы в «телефонном» режиме или через TeamViewer.\nСледующий вопрос, который неизбежно встанет перед вами, это техническое обеспечение процесса производства видеоуроков. Ведь нужно захватить изображение с экрана, системные звуки, записать озвучку, смонтировать, снабдив в нужных местах поясняющими элементами. Для неподготовленного человека процесс может показаться излишне сложным, что заставит его отказаться от данной затеи.\nНо не стоит впадать в уныние, существуют специализированные программные комплексы, которые позволяют просто и с успехом решить поставленную задачу. Мы предлагаем познакомиться с Movavi Screen Capture Studio: https://www.movavi.ru/screen-capture/.\nПочему именно Movavi? Начнем с того, что это отечественное ПО, причем выполненное на высоком технологическом уровне, что вдвойне приятно. Для администраторов, уставших от бесчисленных поделий различных ФГУП, созданных при помощи доисторических технологий, это прямо как бальзам на душу.\nТакже само собой подразумевается русский язык в программе, русскоязычная справка и поддержка на родном языке, также Movavi предлагает своим пользователям несколько приятных бонусов, которых мы коснемся позже.\nНу и решающим моментом является цена, которая более чем демократична, бессрочная бизнес лицензия стоит всего 2890 руб., домашним пользователям программа обойдется немного дешевле - 2490 руб.\nПрограмма поддерживает все актуальные версии Windows, включая Windows XP (с некоторыми ограничениями), а также MacOS. С установкой проблем возникнуть недолжно, разве что любители ставить программы не читая могут быть удивлены появлением в системе дополнительных программ, по умолчанию вместе с программой устанавливается набор софта от Яндекса. Однако никакого криминала здесь нет, вы можете выбрать только нужные элементы дополнительного ПО, либо вовсе отказаться от его установки. Справедливости ради скажем, что ПО Яндекса достаточно удобно, особенно если вы пользуетесь другими их сервисами, а также, в отличии от софта другой известной компании, ведет себя в системе корректно и ненавязчиво.\nПосле запуска нас встречает лаконичное меню, в котором перечислены основные действия. Также можно перейти в компактный режим, в котором данное меню будет всплывать вверху экрана, что удобно, если в процессе работы надо сделать дополнительную запись, либо быстро снять скриншот. Прежде чем переходить к непосредственно захвату видеоматериала, сделайте небольшую паузу и взяв в руку бумагу и карандаш набросайте короткий план будущего видеоурока.\nПомните, что у вас не так уж и много времени - оптимальная продолжительность ролика около 15 минут. Мало кто может уделить час рабочего времени ради просмотра обучающего материала, в лучшем случае ваш ролик просмотрят «по диагонали».\nПоэтому сядьте и подумайте, чтобы вы хотели показать и рассказать, а что можно потом найти в документации. Подготовьте все необходимое, чтобы в процессе записи не пришлось судорожно искать нужные документы или доустанавливать какие-либо программы. Положите перед глазами краткий план и можно начинать.\nПеред началом захвата программа предложить вам выбрать область экрана с которой будет происходить запись. Можно просто обвести нужное окно рамкой, для лучшего позиционирования рядом с перекрестием есть специальный «прицел», который позволяет поймать размеры пиксель в пиксель. Однако мы предлагаем пойти другим путем. В настройках утилиты захвата выберите один из стандартных форматов, лучше всего ориентироваться на популярный HD 720p, он же 1280*720, это позволит размещать видео на популярных хостингах без дополнительного перекодирования и ухудшения качества картинки. При этом, в отличии от HD 1080p, картинка в данном разрешении остается все еще достаточно крупной, что позволяет комфортно просматривать ролик, не разворачивая его на весь экран.\nПосле чего вам предстоит обратная задача - подогнать окно приложения под область захвата. Также не забудьте заранее разместить в данной области свернутые окна, если вы собираетесь на них переключаться по ходу записи. Затем следует настроить источники звука. Вы можете одновременно записывать системные звуки и озвучку с микрофона, которые будут записаны в разные звуковые дорожки, что позволит потом обрабатывать их по отдельности.\nТакже можно дополнительно записывать изображение с веб-камеры, скажем если вы готовите запись с какого-либо мероприятия. Это позволит затем в нужных местах переключать фокус с выступающего на презентацию на экране и наоборот.\nВсе готово? Начинаем! Хотя нет, не спешите, а загляните предварительно в настройки, там можно найти много интересного, например, подсветку действий мышью или захват нажатия горячих клавиш. Удобно? Безусловно, особенно если нужно делать акцент именно на приемах работы с мышью.\nТеперь готовы? Тогда начинаем. В режиме захвата программа показывает текущую длительность ролика, а также его размер и размер свободного места на диске. Также по ходу записи можно делать скриншоты, для этого нажмите кнопку с фотоаппаратом в шапке зоны захвата или воспользуйтесь горячей клавишей F8.\nДанную возможность трудно переоценить, так как она позволяет одновременно с видеоуроком подготовить графические материалы для письменной документации.\nЧто касается практических приемов записи, однозначные советы давать здесь сложно, так как манера подачи материала - дело достаточно индивидуальное, но попробуем сформулировать общие рекомендации.\nВо-первых, держите перед глазами план, это позволит вам не «растечься мыслью по дереву» и не уйти в сторону от основной темы повествования.\nВо-вторых, делайте паузы между предложениями, при дальнейшем монтаже это позволит произвольным образом нарезать аудиодорожку и при необходимости легко поменять эпизоды местами или заменить неудачные.\nЕсли вы допустили ошибку, оговорку или вам просто не понравился эпизод, то сделайте паузу и перепишите его заново. Если вам в ходе повествования пришли в голову какие-то новые идеи, то также запишите еще один дубль.\nЧем больше вариантов вы запишите во время захвата, тем легче будет потом выбрать лучший. Помните, что записать дополнительные дубли сейчас, когда вы погружены в проект и он у вас в голове гораздо проще, чем дописать что-либо потом.\nПо окончании записи вы попадете в окно мини-редактора, где можно просмотреть получившийся результат и, при необходимости, обрезать видео. Мы не советуем сразу записывать большой объем видео, особенно если у вас недостаточно опыта. Сделайте несколько дублей по несколько минут и оцените получившийся результат. Это поможет выбрать правильный темп повествования, интонацию озвучки, а также оценить реальное качество видео еще до записи основного проекта.\nСогласитесь, обидно будет записать час сырого видео и понять, что оно никуда не годится, так как микрофон сильно фонит и голос тонет на уровне шумов.\nПосле того, как вы получите удовлетворяющий вас результат можно переходить к записи основного проекта и его монтажу.\nДля этого следует перейти в редактор, который представляет обычный нелинейный видеоредактор, что не должно вызвать проблем с его освоением.\nРабочее пространство организовано по привычной схеме: монтажная линейка с видео и аудиодорожками внизу экрана, окно просмотра и меню с инструментами, эффектами и фильтрами вверху. На первый взгляд возможности редактора могут показаться скромными, но не будем забывать, что наша цель не создание блокбастера и обилие «спецэффектов» в обучающем видео будет просто неуместно.\nВ тоже время программа содержит хоть и небольшой, но неплохо подобранный набор звуков, музыки, фонов - всего того что может вам пригодиться при оформлении своего видео.\nДополнительным бонусом пользователям предлагается доступ к сервису Storyblocks images https://www.movavi.ru/stock-photos который представляет собой фотобанк лицензионных изображений.\nПочему мы заостряем на этом внимание? После того, как ваше видео попадет в публичный доступ вопрос авторских прав на использованные в нем материалы перейдет из теоретической плоскости в практическую. Например, YouTube умеет автоматически распознавать наличие в ролике нелицензированной музыки.\nК чему это может привести? В лучшем случае к невозможности монетизации ролика и показу в нем чужой рекламы, в худшем - к его блокировке или даже судебному иску. Поэтому к подбору материалов для ролика следует подходить ответственно, отдавая предпочтение лицензионному контенту.\nЧто может предложить редактор для оформления видео? Как мы уже говорили, набор инструментов относительно невелик, но для поставленных задач более чем достаточен.\nПрименять их тоже достаточно просто: перетаскиваем инструмент на нужную дорожу, настраиваем его длительность, а затем прямо на экране просмотра указываем область и проверяем его действие. Освоение основных функций программы не займет много времени, даже если у вас нет навыков видеомонтажа.\nТак как видео у нас обучающее, то особый интерес представляют инструменты для создания пояснений, которыми данный редактор отличается от своих собратьев «общего применения».\nСтрелки, значки, надписи, пояснения - все это просто перетаскивается на видео и интерактивно настраивается, позволяя быстро расставить акценты на необходимых элементах видеоролика и дополнить его поясняющим текстом. Отдельный интерес представляет инструмент цензуры, позволяющий быстро и аккуратно скрыть часть информации на экране, например, персональные данные. Любой монтаж неразрывно связан с нарезкой первоначального ролика, скажем больше, наша практика показывает, что для создания качественного 15-минутного видео потребуется где-то час-полтора исходного видеоматериала.\nПри этом не всегда удается плавно состыковать различные участки видео, чтобы избежать резкой смены изображения на экране следует использовать переходы, которые не только логически разделят видео на разделы, но и добавят вашему ролику эстетической привлекательности. Применять их тоже очень просто, находим понравившийся переход и перетаскиваем его на стык двух участков видео, затем проверяем результат в окне просмотра.\nЧто касается набора самих переходов, то их набор, количество и качество приятно нас удивили.\nИ вот наше видео готово, переходим к выводу нашего проекта: Вы можете еще раз настроить формат и качество видео и аудио, оптимизировать его для устройств и телевизоров, либо сразу выложить результат на YouTube.\nНа этом можно было бы закончить данную статью, но мы не могли не остановиться на еще одной важной функции - работе со скриншотами.\n«Скриншоты, эка невидаль...» может подумать иной читатель и будет неправ. Одно дело, когда вам нужно сделать один снимок и от руки, коряво, обвести нужную область, чтобы послать по почте коллеге. И совсем другое, когда вы готовите документацию или статью и скриншотов вам нужно много, хорошего качества и с пояснениями. Готовые стрелки, рамки и надписи позволят быстро и профессионально оформить изображения в едином стиле.\nА возможности утилиты захвата по выделению области захвата позволят существенно сэкономить время на обрезку. Например, можно захватывать только часть окна, отсекая не несущие информационной нагрузки части изображения еще на этапе его захвата. Исходя из собственной практики, можем сказать, что данный инструмент нужен порой гораздо чаще, чем видеоредактор, и его необходимость трудно переоценить.\nЧто можно сказать в заключение? Movavi Screen Capture Studio - отличный специализированный продукт, который позволяет значительно облегчить работу по созданию не только видеоуроков, но и письменной документации, позволяя эффективно организовать работу со скриншотами.\nСкажем честно, нам данный продукт понравился, учитывая многолетний опыт в данной области, мы в первую очередь попытались найти какие-то недостатки, однако были приятно удивлены возможностями программы.\nДа, блокбастер вы в ней не создадите. Но этого от нее и не требуется, зато со своей основной задачей она справляется хорошо, а невысокая стоимость делает ее доступной как организациям, так и частным лицам.\n","id":"d729021aad6aac0e15f7bda430d930f6","link":"https://interface31.ru/post/movavi-screen-capture-studio-sozdaem-sobstvennye-videouroki/","section":"post","tags":["Movavi","Документация","Обучение"],"title":"Movavi Screen Capture Studio - создаем собственные видеоуроки"},{"body":"Не так давно мы уже писали про принтеры этикеток и 1С:Предприятие, однако массовый перевод основных конфигураций на управляемое приложение заставляет вносить коррективы. Не сказать, что они существенны, имея некоторый опыт вы без труда разберетесь в новой системе, но есть и неочевидные детали, которые обычно не отражены в документации, хорошо известны специалистам и способны серьезно отравить жизнь новичкам. Поэтому мы решили вернуться к принтерам этикеток и подробно рассказать о подключении этого типа оборудования.\nМы не будем останавливаться на общих вопросах подключения торгового оборудования в управляемом приложении и если вы недостаточно владеете вопросом, то рекомендуем прочитать нашу статью: Подключаем торговое оборудование к 1С:Предприятие 8.\nПерейдем к конкретике. Что такое принтер этикеток? Это специализированное печатающее устройство для печати текста и несложной графики, включая штрихкоды, на специальном носителе - самоклеящейся этикете.\nПринтеры разделяются на две большие группы по способу печати: с прямой термопечатью и термотрансфертной. Наиболее просты и дешевы в обслуживании устройства с термопечатью, в ее основе лежит специальный материал этикетки, который темнеет под действием высоких температур. Никаких других расходников, кроме термоэтикеток, вам не нужно, а обслуживание такого принтера сводится к замене рулона этикеток. Основной недостаток этого способа - недолговечность этикетки и ее чувствительность к внешним воздействиям. Термоэтикетки чувствительны к воздействию высоких температур, прямых солнечных лучей, некоторых химических соединений, а также недолговечны, так как изображение на них выцветает со временем.\nАльтернативой ему служит метод термотрансфертной печати, в этом случае кроме этикетки вам потребуется специальная лента переноса, такой принтер сложнее обслуживать, и общая стоимость печати выходит дороже. Зато термотрансфертные этикетки способны долгое время сохранять первоначальный вид даже в неблагоприятных условиях хранения. Также учтите, что этикетки для термотрансфертной печати нельзя использовать в принтерах с прямой термопечатью и наоборот.\nПодход к выбору здесь довольно прост: если маркированный товар не будет длительно храниться (более полугода) или испытывать воздействие прямого солнечного света и повышенных температур - то выбирайте термопринтер, в противном случае - термотрансфертный.\nОпределившись с типом печати следует обратить внимание на остальные характеристики, прежде всего это максимальная ширина этикетки и скорость печати. Если с шириной этикетки все понятно, то скорость печати следует выбирать исходя из объема товара, подлежащего маркировке, например, модель со скоростью печати 102 мм/сек напечатает набор этикеток 58*40 на 1000 позиций товара за 6,5 минут, а модель со скоростью в 203 мм/сек за три с небольшим минуты. Если объем товара большой - то скорость печати может стать существенным фактором, замедляющим работу.\nРазрешение большинства недорогих моделей составляет 203 dpi, для этикеток этого вполне достаточно, но накладывает некоторые ограничения на минимальный размер объектов, так для недорогих линейных сканеров минимальный уверенно считываемый размер штрихкода EAN13 составляет 1,5 - 2 см, если требуется печатать более мелкие изображения или коды, то следует посмотреть в сторону моделей с разрешением 300 dpi, однако в большинстве случаев переплачивать за разрешение смысла нет.\nНа что еще стоит обратить внимание? Конечно же на интерфейсы подключения принтера, обычно представлена классическая связка USB + RS-232, но не недорогих моделях может быть один только USB, также принтера могут комплектоваться сетевыми интерфейсами, но обычно данные опции следует указывать отдельно при заказе.\nВообще данный вопрос мы рекомендуем изучить отдельно, так как количество доступных опций к термопринтерам может быть достаточно велико: это внешние держатели рулонов большого объема, отрезчики и отделители этикеток, смотчики готовых этикеток и т.д.\nДля продвинутых пользователей определенный интерес может представлять поддержка принтером языков разметки этикеток, наиболее часто встречаются ZPL и EPL, это позволяет работать с принтером напрямую, исключая прослойки в виде Win-драйвера или драйверов оборудования 1С, но требует соответствующей доработки вашего ПО.\nНиже мы будем рассматривать стандартные способы подключения принтеров этикеток к 1С которые не требуют программирования и подойдут большинству пользователей.\nПринтер поддерживается через БПО Как мы уже говорили, работа с торговым оборудованием в современных конфигурациях 1С осуществляется через Библиотеку подключаемого оборудования, которая позволяет унифицировать работу с ТО в рамках платформы 1С. Все оборудование подразделяется на сертифицированное, которое поддерживается 1С, и поддерживаемое сертифицированными драйверами, т.е. с поддержкой от производителя оборудования. Большой разницы для пользователя между этими типами оборудования нет, разве что драйвера для первых включены в состав БПО, а вторые надо скачивать с сайта поставщика.\nСразу обратим внимание на еще один момент, драйвера торгового оборудования, даже сертифицированного, могут оказаться платными. Это нормальная практика, но очень часто необходимость дополнительной оплаты становится неприятным сюрпризом для незадачливых автоматизаторов и их заказчиков. Поэтому уточните этот вопрос заранее.\nС полным списком поддерживаемых через БПО принтеров этикеток можно ознакомиться здесь: http://v8.1c.ru/common/printer.htm#models. Сразу обратите внимание на колонку драйвер, продукция фирмы Гексагон является платной и только она подходит для популярной линейки термопринтеров Zebra.\nБудем считать, что вы определились с выбором и перед вами стоит вопрос подключения такого принтера к 1С:Предприятие. Нет ничего сложного, переходим в Подключаемое оборудование, выбираем новый тип оборудования - Принтеры этикеток и создаем новый экземпляр. Не забудьте предварительно установить драйвера для самого принтера и компоненту интеграции для 1С. Указываем драйвер, соответствующий модели принтера, выбираем модель оборудования и указываем настройки подключения. Особых сложностей здесь возникнуть не должно. Перед дальнейшими действиями не забудьте перейти в настройки принтера и выставить в нем используемый тип и размер этикеток. А также выполните калибровку согласно инструкции. Затем следует создать необходимые шаблоны этикеток в самой 1С. Сделать это несложно, перейдите в Администрирование - Печатные формы, отчеты и обработки - Шаблоны этикеток, ценников и чеков ККМ и создайте новую этикетку по шаблону Этикетка (ценник) принтера этикеток. После чего вы окажетесь в специальном конструкторе, который достаточно легко осваивается сотрудниками после небольшой предварительной подготовки. Работать с ним очень просто, сначала выбираем формат этикетки, затем выделяем требуемую область и указываем её содержимое. В результате у вас должно получиться что-то похожее на это: При необходимости вы можете создать разные варианты этикеток для разных случаев. В дальнейшем при печати этикеток вы просто выбираете необходимый формат и указываете нужное количество. Обратите внимание, что шаблоны для принтера этикеток обозначаются специальным значком, для их печати будет автоматически использоваться подключенный к рабочему месту принтер этикеток. Как видим, ничего сложного в подключении принтера этикеток, поддерживаемого через БПО нет, а полноценно использовать его, включая создание новых этикеток, могут и простые пользователи без привлечения технических специалистов.\nПринтер не поддерживается через БПО Если вы внимательно изучили список поддерживаемого через БПО оборудования, то могли обратить внимание, что количество поддерживаемых моделей ограничено, а поддерживаемых бесплатно - еще меньше. Что делать если вашего принтера нет в списке или вы не хотите приобретать платный драйвер? В этом случае следует использовать принтер этикеток как обычный принтер.\nУстановите драйвера и также, как и в предыдущем разделе не забудьте настроить в свойствах принтера параметры носителя. Кстати, данный режим имеет один существенный плюс, вы можете открыть общий доступ к принтеру и печатать этикетки сразу из нескольких мест.\nБудем надеяться, что перечисленные выше шаги никакой сложности у вас не вызовут и поэтому перейдем к настройкам 1С. Нам также потребуется создать шаблон этикетки, но делать это придется уже иным образом.\nТочно также переходим в Администрирование - Печатные формы, отчеты и обработки - Шаблоны этикеток, ценников и чеков ККМ, но выбираем Этикетка (ценник) для товара. После чего откроется похожий конструктор, но готовых шаблонов под размеры этикеток в нем нет, все придется настраивать самостоятельно. Процесс не сказать, чтобы сложный, но простой пользователь с ним явно не справится, поэтому все шаблоны придется готовить техническим специалистам. При этом не обязательно выполнять этикетку строго по размерам носителя, главное - соблюсти пропорции, также не забудьте задать область печати по размеру этикетки. Количество этикеток по горизонтали и вертикали выставляем равными единице.\nТеперь очень важный момент! Обязательно перейдите в Параметры страницы и установите там:\nПринтер - принтер этикеток Ориентация - ландшафт Масштаб - по ширине страницы Поля и колонтитулы - равными нулю. Важно! Важно! Если этого не сделать, то данные параметры придется задавать вручную при каждой печати!\nДля проверки нажмите Еще - Предварительный просмотр и оцените расположение элементов на этикетке. В данном режиме некоторые поля могут выходить за пределы страницы, на это можно не обращать внимание, поведение текста в ячейках в любом случае задается в ее свойствах: обрезать, забивать переносить и т.д. Что касается практического использования такого шаблона, то оно ничем не отличается от работы с шаблонами для БПО, в обработке печати ценников и этикеток выбираем созданный шаблон, который будет помечен значком текущего принтера и осуществляем печать. Программа автоматически, не задавая лишних вопросов, пошлет задание на принтер этикеток в соответствии с настройками, которые мы задали в параметрах страницы при создании этикеток. Именно поэтому мы заостряли ваше внимание на обязательности этого шага. Как видим, никаких существенных затруднений при использовании неподдерживаемого через БПО принтера этикеток нет. Для пользователей вообще нет особой разницы. Единственный минус - подготовка шаблонов этикеток ложится на плечи технических специалистов.\nНадеемся данный материал окажется вам полезен и поможет полноценно и без лишних проблем эффективно использовать принтеры этикеток совместно с 1С.\n","id":"5c8e86c5e08bb956430898a58ded297f","link":"https://interface31.ru/post/podklyuchaem-printer-etiketok-k-1spredpriyatie-v-upravlyaemom-prilozhenii/","section":"post","tags":["1С Предприятие 8.х","Автоматизация","Торговое оборудование","Штрих-код"],"title":"Подключаем принтер этикеток к 1С:Предприятие в управляемом приложении"},{"body":"Любому системному администратору приходится постоянно работать удаленно, но случаются ситуации, когда нужно срочно подключиться к узлам внутренней сети, доступ к которым снаружи закрыт. Хорошо если есть доступ на другие узлы данной сети, но бывает, что доступа из глобальной сети нет вообще, в этих случаях обычно используют TeamViewer или аналогичное ПО, но если к такой сети есть возможность подключиться через SSH или установить соединение с промежуточным SSH-сервером, то можно быстро и просто организовать доступ без привлечения стороннего ПО.\nОчень часто, когда речь заходит об удаленном доступе к сетям с низким уровнем безопасности, первое что приходит на ум - это VPN, однако ради административных соединений поднимать VPN не всегда целесообразно, особенно если речь идет об аутсорсинге или \u0026quot;приходящем админе\u0026quot;. Кроме того, не всегда условия связи позволяют поднять устойчивое VPN-соединение, особенно если приходится использовать мобильные сети.\nПри этом практически в любой сети можно найти устройство или сервер, к которому возможен доступ по SSH, либо имеется такой промежуточный сервер, например, VPS в глобальной сети. В таком случае отличным решением будут SSH-туннели, которые позволяют с легкостью организовывать безопасные каналы связи в том числе и через промежуточные узлы, что снимает проблему наличия выделенного IP-адреса.\nСтрого говоря, SSH-туннели не являются полноценными туннелями и это название следует рассматривать как сложившееся в профессиональной среде устойчивое наименование. Официальное название технологии - SSH Port Forwarding - это опциональная возможность протокола SSH, которая позволяет передать TCP-пакет с одной стороны SSH-соединения на другую и произвести в процессе передачи трансляцию IP-заголовка по заранее определенному правилу.\nТакже, в отличие от VPN-туннелей, которые позволяют передавать любой трафик в любом направлении, SSH-туннель имеет точку входа и может работать только с TCP-пакетами. По факту это больше всего похоже на проброс портов (о чем и говорит официальное название), только поверх протокола SSH.\nРассмотрим работу SSH-туннеля более подробно. В качестве примера возьмем классический случай обеспечения доступа к некоторому удаленному серверу по протоколу RDP. Допустим, что в удаленной сети существует целевой сервер с адресом 192.168.0.105, но доступа к нему из внешней сети нет, единственное устройство к которому мы можем подключиться - это маршрутизатор с адресом 192.168.0.1 с которым мы можем установить SSH-соединение.\nОстановимся на очень важном моменте: все параметры SSH-туннеля устанавливает инициатор подключения, он же SSH-клиент, вторым концом туннеля всегда является сервер, к которому мы подключаемся, он же SSH-сервер. В данном контексте следует понимать клиент и сервер сугубо как стороны соединения, например, в роли SSH-клиента может выступать VPS-сервер, а в роли SSH-сервера ноутбук админа.\nТочка входа может располагаться с любой стороны соединения, там открывается TCP-сокет с указанными параметрами, который будет принимать входящие подключения. Точка выхода принимать соединения не может, а только маршрутизирует пакеты в соответствии с правилами трансляции.\nРассмотрим схему выше. Мы установили SSH-туннель с локальной машины к удаленному маршрутизатору, указав локальную точку входа 127.0.0.1:3389 и правило трансляции 192.168.0.105:3389. Еще раз обращаем ваше внимание, что правило трансляции не указывает на точку выхода, а определяет узел, которому будут посланы пакеты по выходу из туннеля. Если вы укажете недействительный адрес, либо узел не будет принимать соединения, то SSH-туннель установится, но доступа к целевому узлу не будет.\nСогласно указанной точке входа служба SSH создаст локальный TCP-сокет, который будет ожидать подключений на порт 3389. Поэтому в окне RDP-подключения указываем в качестве назначения localhost или 127.0.0.1, RDP-клиент открывает динамический порт и отсылает пакет с адресом назначения 127.0.0.1:3389 и адресом источника 127.0.0.1:61256, о реальном назначении получателя пакета ему ничего не известно. С точки входа данный пакет будет отправлен на другую сторону SSH-туннеля, а адрес назначения согласно правила трансляции будет изменен на 192.168.0.105:3389, и SSH-сервер примет дальнейшее решение согласно собственной таблицы маршрутизации, заменив адрес источника на свой собственный, в противном случае целевой сервер попытается отправить ответный пакет на локальный адрес.\nТаким образом RDP-клиент работает с локальным сокетом и далее этого узла RDP-пакеты не уходят, внутри туннеля они передаются поверх протокола SSH в зашифрованном виде, а вот между SSH-сервером и RDP-сервером в сети 192.168.0.0 устанавливается обычное RDP-соединение, в открытом виде. Это следует учитывать при использовании небезопасных протоколов, твердо запомнив, что если правило трансляции указывает за пределы узла с точкой выхода, то такое соединение (между точкой выхода и узлом назначения) не защищается посредством SSH.\nРазобравшись в общих чертах как работают SSH-туннели перейдем к практическим вариантам их использования, в качестве платформы мы будем рассматривать Linux-системы семейства Debian/Ubuntu, но все нижеизложенное с небольшими поправками будет справедливо для любой UNIX-подобной системы.\nSSH-туннель с локальной точкой входа Туннели с локальной точкой входа используются для получения доступа к узлам в удаленной сети при возможности установить SSH-соединение с одним из ее узлов, что предполагает наличие у удаленной сети выделенного IP-адреса.\nМы будем рассматривать все тот-же вариант, RDP-подключение к удаленному серверу, оранжевым пунктиром на схеме обозначено безопасное SSH-соединение, синими стрелками - обычное TCP-подключение. В самом простом варианте мы просто устанавливаем соединение с клиентского ПК к маршрутизатору в удаленной сети, указывая в правиле трансляции целевой узел:\n1ssh -L 127.0.0.1:3389:192.168.0.105:3389 user@rt.example.com Ключ -L указывает на то, что точка входа расположена локально, затем через двоеточие указываются адрес и порт точки входа и адрес, порт правила трансляции. Точкой выхода является узел, к которому мы подключаемся, т.е. rt.example.com.\nЕсли в вашей сети также присутствует маршрутизатор (или иной Linux-сервер), то можно сделать точкой входа его, что позволит подключаться к удаленному серверу любому RDP-клиенту из локальной сети. В теории для этого следует поднять такой туннель:\n1ssh -L 192.168.31.100:3389:192.168.0.105:3389 user@rt.example.com В таком случае служба SSH должна будет открыть TCP-сокет на интерфейсе 192.168.31.100, но на практике этого не произойдет. Это связано с особенностями реализации OpenSSH, который является стандартом для подавляющего большинства UNIX-подобных систем.\nПо умолчанию OpenSSH открывает точку входа только на локальном интерфейсе. В этом несложно убедиться: Для того, чтобы предоставить доступ к TCP-сокету с внешних интерфейсов следует использовать ключ -g, либо добавить в конфигурационный файл /etc/ssh/sshd_config опцию:\n1GatewayPorts yes Однако после этого сокет будет принимать соединения с любого сетевого интерфейса инициатора: Это значит, что порт 3389 будет открыт на всех сетевых интерфейсах, поэтому если точка входа является пограничным устройством, то следует ограничить доступ к сокету, например, средствами iptables. Для примера заблокируем доступ из внешней сети (интерфейс eth0):\n1iptables -A INPUT -i eth0 -p tcp --dport 3389 -j DROP Таким образом рабочий туннель следует поднимать командой:\n1ssh -L -g 3389:192.168.0.105:3389 user@rt.example.com Обратите внимание на еще один момент: если точка входа совпадает с локальным интерфейсом, а для OpenSSH это всегда так, то его можно опустить, сразу начиная команду с порта точки входа.\nТакже мы советуем использовать по возможности ключ -g, а не добавление опции в конфигурационный файл, так как в последнем случае вы рискуете, забыв об этой настройке, открыть наружу доступ к незащищенным службам удаленной сети.\nSSH-туннель с удаленной точкой входа Туннель с удаленной точкой входа позволяет наоборот опубликовать любую локальную службу в удаленной сети, одно из наиболее частых применений - доступ в сети без выделенного IP-адреса, однако это требует \u0026quot;белый\u0026quot; IP со стороны сети администратора. В первом варианте удаленный сервер сам устанавливает подключение с маршрутизатором локальной сети. Это можно сделать простой командой:\n1ssh -R 3389:127.0.0.1:3389 user@rt.example.com Ключ -R указывает открыть точку доступа с удаленной стороны туннеля, затем указываем порт для TCP-сокета и трансляцию, так как приходящие на точку выхода пакеты следует обрабатывать локально, то также указываем локальный интерфейс.\nВнимательный читатель заметит, что мы не указали ключ -g, да, это так. Дело в том, что для туннелей с удаленной точкой входа данный ключ неприменим и следует использовать опцию\n1GatewayPorts yes на стороне SSH-сервера.\nВ целях безопасности мы рекомендуем применять данную настройку с политикой по-умолчанию DROP для цепочки INPUT, это позволит избежать случайной публикации на внешнем интерфейсе внутренних служб и ресурсов. В минимальной конфигурации следует добавить в самое начало цепочки INPUT четыре правила:\n1iptables -P INPUT DROP 2iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT 3iptables -A INPUT -i eth1 -j ACCEPT 4iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT Первое из них задает запрещающую политику по умолчанию для входящих пакетов, второе разрешает входящие пакеты, инициированные самим хостом (ответы на исходящие пакеты), а третье разрешает все подключения из локальной сети. Наконец четвертое правило открывает 22 порт для входящих SSH-подключений, таким же образом можно открыть любой другой порт для внешних подключений.\nВторой вариант представленный на схеме предусматривает, что SSH-туннель поднимают маршрутизаторы сетей, в этом случае команда будет выглядеть следующим образом:\n1ssh -R 3389:192.168.0.105:3389 user@rt.example.com Снова обратим ваше внимание, что точка входа у нас располагается на противоположной стороне туннеля, поэтому трансляция указывается для стороны инициатора туннеля, т.е. в данном случае SSH-клиент устанавливает два соединения: одно SSH с rt.example.com, а второе RDP c 192.168.0.105, тогда как при туннеле с локальной точкой входа инициатор устанавливает единственное соединение с SSH-сервером.\nДвойной SSH-туннель Достаточно часто возникают ситуации, когда требуется соединить два узла не имеющих выделенных IP-адресов. В этом случае обычно используется TeamViewer или аналогичное стороннее ПО, но если у вас есть доступный сервер с выделенным IP-адресом, то можно поступить проще. Обратим внимание на схему выше. SSH позволяет строить целые цепочки туннелей, соединяя точку входа следующего с точкой выхода предыдущего. Таким образом, чтобы получить туннель с ПК админа на RDP-сервер, при этом оба узла с \u0026quot;серыми\u0026quot; IP-адресами, нам нужно создать два туннеля с промежуточным узлом.\nТуннель с локальной точкой входа на ПК админа:\n1ssh -L 3389:127.0.0.1:3390 user@vps.example.com И туннель с удаленной точкой входа на RDP-сервере:\n1ssh -R 3390:127.0.0.1:3389 user@vps.example.com Мы специально указали на удаленном сервере нестандартный порт для большей наглядности и теперь давайте посмотрим, как все это работает. Начнем с RDP-сервера, он поднимает туннель с удаленной точкой входа, открывая на промежуточном сервере TCP-сокет, который будет принимать подключения на порт 3390, в качестве трансляции укажем сам RDP-сервер - 127.0.0.1:3389, т.е. все пришедшие на вход этого туннеля пакеты будут направлены на локальный порт 3389.\nТуннель с локальной точкой входа на ПК админа открывает локальный сокет на порт 3389, куда будет подключаться RDP-клиент, в качестве трансляции мы указываем точку входа второго туннеля - 127.0.0.1:3390.\nКак мы уже говорили, никаких ограничений на количество туннелей в цепочке нет, однако на практике потребность в туннелях с более чем одним промежуточным узлом возникает достаточно редко. При этом следует помнить, что с каждым новым промежуточным узлом будет падать надежность всей схемы, а итоговая скорость будет упираться в скорость самого медленного участка пути.\nДинамический SSH-туннель В отличие от рассмотренных выше динамический туннель работает иначе, он открывает на хосте локальный TCP-сокет, который можно использовать как SOCKS4/SOCKS5 прокси для выхода в интернет через удаленный SSH-сервер. Это может быть полезно для обхода некоторых ограничений, когда поднимать полноценный VPN в другой юрисдикции нет необходимости, а использовать публичные прокси или VPN нельзя по соображениям безопасности. Такой вид туннеля особенно удобен, если требуется разовый выход в интернет с другого узла. Простой пример: мой хороший знакомый привез из Штатов два операторских контрактных iPhone и попросил их разблокировать. Сложностей данная операция не таит, если условия контракта не были нарушены, то достаточно зайти на сайт оператора и заполнить заявку на разблокировку. Но проблема оказалась в том, что у оператора T-Mobile доступ к данному разделу сайта был доступен только для жителей США, а соединения с публичных прокси и VPN отвергались как небезопасные.\nДинамический SSH-туннель позволил быстро решить эту проблему используя VPS в Штатах. Чтобы создать такой туннель введите команду:\n1ssh -D 1080 user@vps.example.com Где 1080 - порт на котором будет доступен наш SOCKS-прокси. Остается только настроить браузер на использование локального прокси-сервера. Еще одним плюсом подобного метода является то, что прокси-сервер существует только локально на вашем хосте, никаких дополнительных портов во внешнюю сеть открывать не надо, а между клиентом и сервером существует только SSH-соединение.\nЭто позволяет скрыть от постороннего наблюдателя характер вашей интернет-деятельности, что может быть полезно в публичных сетях, где есть веские основания предполагать, что трафик может быть перехвачен и проанализирован третьими лицами. В этом случае SSH-туннель обеспечивает надежное шифрование передаваемых данных в небезопасной сети, но это требует полного доверия к тому серверу, через который вы выходите в интернет.\nНесколько слов о безопасности Хоть это и выходит за рамки темы статьи, мы не могли упомянуть об одной особенности, которая может преподнести достаточно неприятные сюрпризы. Подняв SSH-туннель одной из приведенных выше команд, вы получите кроме туннеля также открытую консоль на сервере, к которому подключаетесь. Внимательно посмотрите на строку приглашения на скриншоте ниже. Вверху мы видим приглашение локального хоста, а внизу, после поднятия туннеля - уже удаленного сервера. Это удобно, если нужно проверить канал связи или выполнить определенные настройки с удаленной стороны, но в обычной жизни это может привести к серьезным неприятностям, если вы забудете или не обратите внимание на то, к какому серверу подключена консоль и выполните на удаленном сервере команды, предназначенные локальному узлу, особенно если вы подключаетесь с правами суперпользователя.\nПоэтому после того, как вы проверили работоспособность туннеля запускать его следует с ключом -N, который запрещает выполнение команд на удаленном сервере, например:\n1ssh -N -L -g 3389:192.168.0.105:3389 user@rt.example.com И, конечно же, не следует использовать для подключения к серверу аккаунт суперпользователя, лучше всего заведите для этих целей обычную учетную запись.\nSSH-туннели в Windows На протяжении всей статьи мы рассматривали SSH-туннели на примере Linux-систем и у пользователей Windows могло сложиться впечатление, что им данные возможности недоступны. Но это не так, под Windows существует множество SSH-клиентов, которые поддерживают создание тоннелей. Мы будем рассматривать наиболее популярного из них - PuTTY. Также под Windows можно запустить и SSH-сервер, но это требует определенной квалификации и не всегда можно добиться стабильной работы, поэтому этот вариант мы рассматривать не будем.\nОткроем PuTTY и в левой части дерева перейдем в Connection - SSH -Tunnels: Перед нами откроется следующее окно, основные настройки туннеля сосредоточены внизу, и мы выделили их красной рамкой. Source port - предназначен для указания порта точки входа, которая всегда располагается на локальном интерфейсе (127.0.0.1). Destination - трансляция, т.е. куда будут отправлены пакеты с точки выхода. Радиопереключатели Local - Remote - Dynamic задают тип туннеля и аналогичны ключам -L, -R и -D.\nПосле того, как вы заполнили все необходимые поля можно добавить туннель кнопкой Add. Чтобы разрешить внешним узлам доступ к локальному сокету точки входа установите галочку Local ports accept connections from other hosts. В данном случае следует также ограничить доступ к открытым портам средствами брандмауэра Windows или стороннего сетевого фильтра.\nСервер, к которому мы подключаемся, задается в ином разделе - Session, который знаком каждому, кто хоть раз использовал PuTTY, там же вы можете сохранить параметры сессии для дальнейшего использования. Как видим, SSH дает в руки администратора гибкий и мощный инструмент для безопасного удаленного доступа без необходимости открытия портов или организации VPN-каналов. Надеемся, что данный материал окажется вам полезен и позволит освоить новые возможности на первый взгляд привычных инструментов.\n","id":"da253516bcb27168f2f1ba448276849c","link":"https://interface31.ru/post/ssh-tunneli-na-sluzhbe-sistemnogo-administratora/","section":"post","tags":["SSH","VPN","Безопасность","Сетевые технологии","Удаленное администрирование"],"title":"SSH-туннели на службе системного администратора"},{"body":"Бюджетный сегмент рынка SSD представлен преимущественно брендами второго эшелона, которых и производителями назвать сложно, так как их основная задача сводится к наклейке собственных этикеток на продукцию крупных OEM-производителей, например, Phison. Поэтому появление на рынке дисков от одного из производителей NAND-памяти и тем более в бюджетном сегменте представляет определенный интерес. В нашей лаборатории побывала 120 ГБ модель обзор которой мы предлагаем вашему вниманию.\nВыход Toshiba на рынок твердотельных дисков был вполне ожидаемым, имея собственно производство памяти для твердотельных дисков было бы странным не выпустить собственные решения в этой области. Тем более есть более чем успешный пример Samsung, чья линейка EVO является признанным лидером в своей ценовой категории.\nНо попытка оказалась какой-то робкой. Бюджетная серия A100 представлена двумя моделями 120 и 240 ГБ на базе собственного контроллера Toshiba TC58NC1010 и TLC-памяти. Также присутствуют более дорогие линейки Q300 на TLC и Q300 Pro на MLC-чипах. Но в отечественной рознице они практически не представлены, а из обозреваемой линейки в основном можно найти 240 ГБ модель.\nВозможно причины кроются в нежелании создавать внутреннюю конкуренцию другому своему бренду - OCZ, однако в глазах обычного покупателя последний практически никак не связан с компанией, кроме того репутация бренда оказалась подмочена историей с банкротством и частичным отказом от гарантийных обязательств после покупки бизнеса Toshiba.\nНо не будем углубляться в дебри и лучше посмотрим, что же компания выпустила на рынок под собственным брендом. У нас в руках Toshiba A100 THN-S101Z1200E8 емкостью 120 ГБ упакованный в яркую фирменную коробку. Продукт выглядит весьма привлекательно и выгодно отличается от соседей по полке, тех же Smartbuy, упаковка и комплектация которых отличаются крайней скромностью. Учитывая, что цена 120 ГБ модели составляет около 4 тыс. руб., что всего лишь на пару сотен дороже Smartbuy, то можно сказать, что диск выглядит значительно дороже своего ценника. В наличии качественная коробочка, которая кроме диска содержит картонные вставки и полиграфию, а также сам диск в металлическом корпусе со строгим и привлекательным дизайном. По совокупности факторов, таких как известный бренд, невысокая цена и презентабельный внешний вид диск неплохо подойдет на роль подарка.\nПриступим к тестам, традиционно начнем с CrystalDiskMark5: Диск, вполне ожидаемо звезд с неба не хватает, перед нами крепкий середнячок, для TLC-памяти мы провели два измерения с объемами рабочих данных в 1 ГБ и 32 ГБ, что позволяет сделать первые выводы о производительности TLC-памяти за пределами SLC-кеша. Следует отметить, что скорость работы осталась на достаточно комфортном уровне, с учетом что в реальных задачах вам вряд-ли понадобиться единовременно записать столь большой объем данных.\nAIDA64 линейное и случайное чтение: Опять-таки никаких сюрпризов, перед нами вполне типичный недорогой TLC-диск с вполне типичными показателями.\nAIDA64 линейная и случайная запись: Линейная запись показывает наличие 4 ГБ SLC-буфера, который пишется на полной скорости, затем скорость записи падает до 90 МБ/с. Для недорогих TLC это неплохой результат, тем более что среди прямых конкурентов можно найти модели с гораздо худшей производительностью, например, Revival 2 c крайне некомфортными 37 МБ/с.\nПри случайном характере доступа на высокой скорости удается записать около 25 ГБ, что для повседневных нужд более чем достаточно.\nHD Tune Pro, файловый тест: Результаты данного теста вполне ожидаемы и соответствуют среднему уровню в своем сегменте, если сравнивать с прямыми конкурентами, то аналогичный уровень показывают диски от Phison, опережая недорогие Marvell и Silicon Motion.\nВремя случайного доступа: Здесь можно говорить об очень неплохом результате в своей группе, на уровне первого Revival и значительно лучше, чем у большинства бюджетных конкурентов. Это вполне позволяет использовать диск для работы с приложениями чувствительными к данному параметру, например, 1С:Предприятие в рабочей группе.\nAS SSD Benchmark. Общий тест: Как и CrystalDiskMark данный тест демонстрирует вполне средние показатели, однако ожидать чего-то иного в данном сегменте явно не следует.\nТест копирования данных: Результат также вполне типичный и для своей группы неплохой, во всяком случае для повседневного применения производительности диска вполне достаточно.\nНапоследок перейдем к реальным сценариям в Intel NASPT: Несмотря на различия в синтетике реальные тесты чаще всего показывают более близкие результаты. Это легко объяснимо тем, что синтетика помогает выявить предельные режимы, а реальная эксплуатация подобных нагрузок не предусматривает. Данный диск тем не менее выглядит достаточно неплохо, вполне уверенно справляясь с любым характером повседневных задач, представляя собой хорошую \u0026quot;рабочую лошадку\u0026quot;.\nВыводы Все что можно сказать про Toshiba A100 THN-S101Z1200E8 - хороший, крепкий середнячок, без каких либо ощутимых недостатков. С учетом того, что в бюджетном сегменте преобладают последнее время максимально удешевленные, модели имеющие ряд слабых сторон, особенно среди TLC-дисков, то однозначно рекомендовать что-либо к покупке после замены отличного Revival на очень неоднозначный (говоря мягко) Revival 2 было затруднительно. Но данный диск - приятное исключение.\nОднако не все так просто и радужно, найти в продаже данные диски достаточно сложно, о чем мы уже говорили в начале статьи. Тем не менее, если он вдруг попадется вам на полках магазинов можете без сомнений приобретать, в настоящее время это, пожалуй, лучший выбор среди недорогих TLC-моделей.\n","id":"8fa0b1af4eaf57a2e5e41f3494d3f7eb","link":"https://interface31.ru/post/toshiba-a100-nedorogie-ssd-nakopiteli-ot-izvestnogo-brenda/","section":"post","tags":["SSD","Toshiba"],"title":"Toshiba A100 - недорогие SSD-накопители от известного бренда"},{"body":"Производительность OpenVPN является для многих администраторов больной темой. Очень часто скорость внутри туннеля в разы отличается от скорости канала в меньшую сторону. К сожалению многие сетевые ресурсы дают по этому поводу неверные или вообще вредные советы, либо заявляют, что это \u0026quot;нормально\u0026quot;, мол шифрование, работа в userspace, накладные расходы и т.д., и т.п. Мало кто пытается разобраться в реальных механизмах, влияющих на производительность OpenVPN, другая же часть просто дает готовые рекомендации, не поясняя откуда они получены и почему надо делать именно так.\nДля примера возьмем один реальный случай. К нам обратился один знакомый системный администратор и пожаловался на низкую скорость через OpenVPN в двух новых торговых точках организации, в то время как в остальных местах проблем с производительностью канала не было.\nСтали разбираться вместе и обнаружили, что при реальной скорости канала около 15 Мбит/с OpenVPN не разгоняется свыше 3-4 Мбит/с, да и это, по словам нашего коллеги, еще \u0026quot;хорошая\u0026quot; скорость. Перед тем, как обратиться за помощью наш знакомый перепробовал массу рекомендаций из сети, но ни одна из них не принесла успеха. При этом выяснилось, что доступ к двум новым точкам осуществляется по радиоканалу и пинг, в зависимости от погодных условий, находится в пределах 100-200 мс, в то время как к остальным филиалам он гораздо ниже, около 50 мс. А теперь самое время вспомнить о таком параметре, как размер буферов приема и отправки. Если не вдаваться в подробности работы сетевых протоколов, то размер буфера определяет максимальный объем данных, которые могут быть переданы за единицу времени. Наиболее чувствительный к размеру буфера протокол TCP, так как размер окна TCP, т.е. количества одновременно отправляемых пакетов не может превышать размер буфера. Протокол UDP работает иначе, но и его производительность также ограничена размерами буферов.\nПроведем простую аналогию. Нам нужно перевезти некий груз из пункта A в пункты Б и В, в пункт Б ведет хорошая автомагистраль со средней скоростью 90 км/ч, а в пункт B грунтовка, разогнаться на которой можно до 45 км/ч. Понятно, что, используя один и тот-же транспорт за одно и тоже время в пункт Б удастся доставить в два раза больше груза, чем в пункт В.\nВ сетях все происходит аналогично. Исторически сложилось так, что размер буфера OpenVPN составляет 64 КБ, в Linux системах это значение устанавливается принудительно, в Windows вроде бы как отдается на откуп ОС, но по факту чаще всего мы имеем все те же 64 КБ. В этом несложно убедиться заглянув в лог:\n1Socket Buffers: R=[65536-\u0026gt;65536] S=[65536-\u0026gt;65536] Теперь вооружимся калькулятором и посчитаем. Объем данных отправляемых или принимаемых за одну передачу не может превышать объем буфера, а количество отправок в единицу времени ограничено скоростью прохождения пакетов (пингом). Таким образом при пинге в 50 мс мы можем осуществить 20 передач в секунду, а при 200 мс только пять. Отправить за один раз мы можем 64 КБ, считаем, при 50 мс это будет 1280 КБ/сек (1,25 МБ/с) или 10 Мбит/с. Результат довольно неплохой и при общей скорости канала филиалов в 15-20 Мбит/с данное ограничение легко списать на служебный трафик, шифрование и т.п.\nПри пинге в 200 мс все гораздо более печально, мы упремся в потолок 320 КБ/с или 2,5 Мбит/с. Таким образом, путем несложных математических вычислений мы ответили на главный вопрос: \u0026quot;Почему тормозит OpenVPN\u0026quot;. Как видим, ни шифрование, ни \u0026quot;накладные расходы\u0026quot; тут не причем, проблема в физических ограничениях канала.\nЧто же делать? Ответ прост - увеличивать размер буферов. Сделать это просто, откройте конфигурационный файл сервера и добавьте туда строки:\n1sndbuf 524288 2rcvbuf 524288 Это установит объем буферов в размере 512 КБ и позволит достичь скоростей при 50 мс - 80 Мбит/с, а при 200 мс - 20 Мбит/с.\nВ большинстве руководств советуют добавить такие же строки и в конфигурационный файл клиента, но как выяснилось на практике, со стороны клиента данные опции не работают, поэтому следует передать размеры буферов со стороны сервера, поэтому в конфигурацию сервера добавим еще две строки:\n1push \u0026#34;sndbuf 524288\u0026#34; 2push \u0026#34;rcvbuf 524288\u0026#34; Чтобы убедиться, что настройки работают заглянем в лог на клиенте, там мы должны обнаружить примерно следующее:\n1Socket Buffers: R=[65536-\u0026gt;524288] S=[65536-\u0026gt;524288] Также в ряде источников выражается мнение, что данная проблема (размеров буфера) актуальна только для Linux систем, а в Windows все должно работать быстро, однако уже у другого клиента мы обнаружили что в одном из филиалов, при проводном подключении, Windows Server 2008 R2 устанавливал размеры буферов в 8 КБ:\n1Socket Buffers: R=[8192-\u0026gt;8192] S=[8192-\u0026gt;8192] А это даже при хорошем пинге в 50 мс не более 1,25 МБит/с, при скорости канала в десятки раз превышающем это значение.\nВ нашем же случае увеличение буфера до 512 КБ позволило достичь скоростей 11-12 Мбит/с, что вполне соответствует реальной скорости канала. Поэтому мы советуем не полагаться на значения по умолчанию, а взять управление в свои руки, и реально оценив условия доступа рассчитать и установить необходимые значения буферов приема и отправки, что позволит полностью утилизировать канал и более не задаваться вопросом: \u0026quot;Почему OpenVPN тормозит?\u0026quot;.\n","id":"60ed501f73e4291eee9069ee0923e19c","link":"https://interface31.ru/post/pochemu-tormozit-openvpn-razmer-buferov-priema-i-otpravki/","section":"post","tags":["OpenVPN","Производительность","Сетевые технологии"],"title":"Почему тормозит OpenVPN? Размер буферов приема и отправки"},{"body":"Начиная цикл статей о шифровании при помощи сертификатов Let's Encrypt мы упоминали Certbot как официальный клиент. Несмотря на простоту, его установка и использование может таить некоторые подводные камни, особенно для начинающих, и поэтому мы решили посвятить ему отдельную статью, чтобы более не возвращаться к данному вопросу. Также мы рекомендуем ознакомиться с данной статьей и более опытным пользователям, особенно если вы планируете в дальнейшем использовать наши материалы по SSL.\nЧто такое Certbot? Это клиент протокола ACME предназначенный для автоматического управления SSL-сертификатами от Let's Encrypt, он позволяет полностью автоматизировать процесс получения и продления сертификата, а при использовании соответствующих плагинов даже может автоматически конфигурировать веб-сервер или иное, использующее сертификат приложение.\nВсе дальнейшие инструкции будут предназначены для пользователей актуальных версий Debian и Ubuntu, но многое будет справедливо и для иных дистрибутивов Linux.\nУстановка в Debian 8 Jessie Debian 8 является на сегодня основной \u0026quot;рабочей лошадкой\u0026quot; в своем семействе. Однако в официальных репозиториях Certbot отсутствует и для его установки вам потребуется подключить специальный backports-репозиторий. Он содержит скомпилированные для использования в среде текущего дистрибутива пакеты из более новых версий, которые могут быть недостаточно стабильными или иметь некоторые иные проблемы, поэтому использовать его следует с осторожностью.\nОткроем файл /etc/apt/sources.list и добавим в него следующую строку:\n1deb http://ftp.debian.org/debian jessie-backports main Затем обновим список пакетов:\n1apt-get update Теперь установим пакет с явным указанием репозитория:\n1apt-get install certbot -t jessie-backports Так как Certbot написан на Python при его установке будет автоматически подтянуто довольно большое количество python-пакетов по зависимостям, однако это не должно вызвать каких-либо проблем.\nУстановка в Debian 9 Stretch В новом выпуске Debian все просто, отныне Certbot представлен в официальном списке пакетов и для его установки достаточно выполнить одну простую команду:\n1apt-get install certbot В остальном процесс ничем не отличается от Jessie, также будет подтянуты необходимые python-зависимости. Установка в Ubuntu 14.04/16.04 В отличие от разработчиков Debian в Ubuntu пошли другим путем, оформив Certbot в виде отдельного PPA. Данная технология позволяет любому желающему создать собственный репозиторий и хорошо известна любому пользователю Ubuntu, однако вся ответственность за содержимое PPA лежит только на их авторах, поэтому использовать их следует с определенной долей осмотрительности и осторожности.\nПрежде всего установим необходимое для работы с PPA программное обеспечение:\n1apt-get install software-properties-common Затем добавим нужный PPA:\n1add-apt-repository ppa:certbot/certbot Обновим список пакетов:\n1apt-get update и установим Certbot:\n1apt-get install certbot Последовательность действий для всех дистрибутивов Ubuntu одинаковая, при подключении PPA автоматически определяется выпуск Ubuntu и добавляются нужные репозитории. Точно также можно установить Certbot на промежуточные релизы (16.10 или 17.04) но мы не рекомендуем их использование в производственных средах.\nПодготовка к получению сертификатов В предыдущей статье цикла мы довольно подробно разбирали работу плагина webroot, который позволяет автоматически получать сертификаты используя уже установленный в системе веб-сервер. Если коротко, то вы указываете путь к корневой директории сайта, для которого получаете сертификат в файловой системе, Certbot создает там необходимую структуру папок и размещает необходимый для проверки файл.\nВ случае с одним доменом это не вызывает проблем, но если их много или вам требуется сертификат сразу на несколько доменов (основной домен и поддомены), корневые директории у которых отличаются, то у вас возникнут затруднения. Поэтому сам Let's Encrypt рекомендует перейти в таком случае на единую точку подтверждения сертификатов. Сделать это несложно, и мы сейчас расскажем, как.\nВ доступной для веб-сервера директории создадим отдельную папку, скажем, letsencrypt, которую затем мы будем использовать для всех обслуживаемых доменов и установим ее владельцем веб-сервер:\n1 mkdir /var/www/letsencrypt 2chown www-data:www-data /var/www/letsencrypt Теперь нам нужно сделать так, чтобы любой запрос вида:\n1http://example.com/.well-known/acme-challenge приводил к физическому размещению:\n1/var/www/letsencrypt/.well-known/acme-challenge Это несложно, но для каждого из веб-серверов делается по-разному, ниже мы рассмотрим самые популярные из них.\nApache 2.x Apache является самым распространенным и популярным веб-сервером, актуальной версией является 2.4.x, для его подготовки к работе с Certbot добавьте в основной конфигурационный файл /etc/apache2/apache2.conf следующую секцию:\n1Alias /.well-known/acme-challenge/ /var/www/letsencrypt/.well-known/acme-challenge/ 2 3\u0026lt;Directory \u0026#34;/var/www/letsencrypt/.well-known/acme-challenge/\u0026#34;\u0026gt; 4 Options None 5 AllowOverride None 6 ForceType text/plain 7 Require all granted 8 RedirectMatch 404 \u0026#34;^(?!/\\.well-known/acme-challenge/[\\w-]{43}$)\u0026#34; 9\u0026lt;/Directory\u0026gt; Для устаревшей версии Apache 2.2 данный блок должен выглядеть следующим образом:\n1Alias /.well-known/acme-challenge/ /var/www/letsencrypt/.well-known/acme-challenge/ 2 3\u0026lt;Directory \u0026#34;/var/www/letsencrypt/.well-known/acme-challenge/\u0026#34;\u0026gt; 4 Options None 5 AllowOverride None 6 ForceType text/plain 7 Order allow,deny 8 Allow from all 9 RedirectMatch 404 \u0026#34;^(?!/\\.well-known/acme-challenge/[\\w-]{43}$)\u0026#34; 10\u0026lt;/Directory\u0026gt; Данная секция создает для любого запроса к**/.well-known/acme-challenge** алиас (псевдоним), указывающий на физическую директорию /var/www/letsencrypt/.well-known/acme-challenge, а ее расположение в основном конфигурационном файле позволит распространить действие директив для любого обслуживаемого домена. Остальные параметры задают необходимые параметры безопасности.\nNginx Nginx - второй по популярности веб-сервер (и первый среди продвинутых пользователей) предполагает несколько иной подход к настройке. Для каждого виртуального хоста в секциюserver следует добавить блок:\n1location ^~ /.well-known/acme-challenge/ { 2 default_type \u0026#34;text/plain\u0026#34;; 3 root /var/www/letsencrypt; 4} 5location = /.well-known/acme-challenge/ { 6 return 404; 7} Если вы настраивали сервер по нашей инструкции, то мы рекомендуем вынести указанный блок в отдельный шаблон, например, /etc/nginx/templates/letsencrypt.conf и впоследствии подключать в конфигурацию виртуального хоста именно его и в общих чертах это должно выглядеть так:\n1server { 2 server_name example.com 3 .. 4 include /etc/nginx/templates/letsencrypt.conf; 5} Данный подход является хорошей практикой, так как в случае внесения каких-либо изменений их придется делать только в одном месте, вне зависимости от числа обслуживаемых виртуальных хостов.\nLighttpd В русскоязычной среде данный веб-сервер недостаточно распространен, так как пользователи отдают предпочтение Nginx, но в мировом масштабе он входит в число наиболее популярных веб-серверов. Если вы используете именно его, то откройте основной конфигурационный файл /etc/lighttpd/lighttpd.confи убедитесь, что в секции server.modules присутствует значениеmod_alias, в противном случае его необходимо добавить. 1$HTTP[\u0026#34;url\u0026#34;] =~ \u0026#34;^/.well-known/\u0026#34; { 2 server.document-root = \u0026#34;/var/www/letsencrypt/.well-known/\u0026#34; 3 alias.url = ( \u0026#34;/.well-known/\u0026#34; =\u0026gt; \u0026#34;/var/www/letsencrypt/.well-known/\u0026#34; ) 4 dir-listing.activate = \u0026#34;enable\u0026#34; 5} Не забывайте, что после внесения изменений в конфигурационные файлы любой веб-сервер необходимо перезапустить.\nРегистрация в Let's Encrypt Да, вы не ошиблись, именно регистрация. Обычно этот пункт пропускают, так как регистрация автоматически выполняется при первом получении сертификата. Но так как мы подробно разбираем работу Certbot, то решили коротко коснуться и этого момента.\nРегистрация нужна для формирования ключевой пары, которой впоследствии подписываются все запросы, что позволяет удостовериться в подлинности отправителя. Это важно, так как все запросы передаются по открытым каналам и теоретически возможен их перехват и модификация.\nАдрес электронной почты указываемый при регистрации используется для рассылки уведомлений, например, при неудачной попытке продления сертификата, поэтому следует указывать рабочий ящик, лучше всего собственный. Один и тот-же адрес можно использовать для регистрации на разных хостах, ограничений по этому параметру нет.\nДля регистрации выполните команду:\n1certbot register -m admin@example.com Для успешного прохождения процедуры вам потребуется всего-лишь согласиться с условиями использования. Учетная информация будет сохранена в каталог /etc/letsencrypt/accounts, если содержимое данной директории будет утрачено, то вы не сможете продлить сертификаты и вам придется получать их заново, создав новый аккаунт. Это следует учитывать, например, при переносе системы на новый сервер.\nЕсли вам необходимо изменить адрес электронной почты аккаунта, скажем при смене администратора, то это можно сделать командой:\n1certbot register --update-registration -m new_admin@example.com Следует помнить, что технической возможности восстановления аккаунта нет и в случае его утраты вам придется заново выпускать все сертификаты.\nПолучение сертификата Наконец-то мы подошли к самому главному - получению сертификата, но не стоит спешить, количество запросов на сертификат в единицу времени ограничено (20 запросов на регистрацию в неделю и 5 неудачных запросов в час), поэтому следует убедиться, что все сделано правильно. Для этого следует использовать возможность тестового запуска Certbot, наберем в консоли:\n1certbot certonly --dry-run --webroot -w /var/www/letsencrypt -d example.com -d www.example.com Ключ**--dry-run** включает тестовый режим, при котором производится симуляция получения сертификата,--webroot - указывает используемый плагин, после ключа -w указываем путь к директории для letsencrypt, а затем через ключ**-d** указываем домены для которых мы получаем сертификат. Как минимум это должно быть основное имя сайта и имя c www, хотя никто не мешает включить вам в сертификат все нужные поддомены или вообще разные домены. Лимит на количество доменов в сертификате равен 100.\nПри удачном прохождении теста вы получите краткий ответ: А в случае неудачи довольно развернутый лог, который обычно легко позволяет понять, что именно пошло не так и оперативно исправить ошибки: После того как тестовый запуск увенчался успехом можно переходить к получению сертификата:\n1certbot certonly --webroot -w /var/www/letsencrypt -d example.com -d www.example.com Сертификат получен, отлично! Но где нам его искать? Перейдем в /etc/letsencrypt/live где для каждого полученного сертификата будет создана папка с именем первого указанного в запросе домена, т.е. для нашего примера - example.com. Внутри будут находиться четыре файла:\ncert.pem - собственно сертификат chain.pem - цепочка доверия, включает корневой и промежуточный сертификаты Let's Encrypt fullchain.pem - полная цепочка, включающая кроме содержимого chain.pem сам сертификат privkey.pem - закрытый ключ сертификата, данный файл является секретным. Именно эти файлы следует использовать в конфигурационных файлах служб при настройке SSL, конкретные реализации выходят за рамки данной статьи и это будет сделано в отдельных материалах, мы же заглянем еще глубже под капот.\nПри внимательном рассмотрении выяснится, что файлы в директории live являются символьными ссылками на аналогичные файлы в /etc/letsencrypt/archive: Настоящие файлы хранятся в аналогичной по структуре директории archive и имеют в наименовании порядковый номер, который увеличивается при каждом продлении сертификата. Например, при первом получении сертификата ссылка cert.pem из live будет указывать на cert1.pem из archive, после продления туда добавится cert2.pem, и ссылка начнет указывать на него. Как видим процесс обновления сертификатов реализован прозрачно для использующих их служб и достаточно все настроить один единственный раз, остальное Certbot берет на себя.\nСледует отметить и то, что старые файлы сертификатов не удаляются, это позволяет избежать ошибок в том случае, если какие-то службы оказались неправильно настроены и не смогли переключиться на новый сертификат. Они продолжат работу по защищенному протоколу, но посетители начнут получать сообщение об ошибке сертификата.\nПолученный сертификат можно в любой момент расширить, добавив в него новые домены, для этого следует использовать ключ --expand:\n1certbot certonly --webroot -w /var/www/letsencrypt --expand -d example.com -d www.example.com -d forum.example.com Таким образом вы всегда можете добавить в сертификат нужные домены не затрагивая остальной инфраструктуры, напомним, что лимит составляет 100 доменов на один сертификат.\nПродление сертификатов После того, как все сертификаты получены и настроены сайты и службы их использующие встает вопрос об их продлении. Мы помним, что срок действия сертификата - 90 дней, поэтому если их много и получены они в разное время, то вручную следить за всем этим хозяйством будет весьма и весьма проблематично.\nПоэтому основное назначение Certbot - это именно автоматическое продление сертификатов. Производится оно одной простой командой renew. Если мы заглянем в /etc/cron.d то найдем там файл certbot в котором дважды в день запланирован запуск команды:\n1certbot -q renew Как видим, никаких дополнительных параметров не передается, и Cerbot сам определяет что нужно продлевать. Каким образом он это делает? Вернемся в /etc/letsencrypt и заглянем еще в одну директорию renewal, там мы обнаружим некие конфигурационные файлы с именами доменов, например, example.com.conf, откроем его. В начале будут перечислены файлы сертификата и пути к ним, эта информация нас мало интересует, гораздо интереснее вторая часть файла, которая выглядит примерно так:\n1# Options used in the renewal process 2[renewalparams] 3authenticator = webroot 4installer = None 5account = 4073d66415ef4c5a89e2cbca53e5f899 6[[webroot_map]] 7example.com = /var/www/letsencrypt 8www.example.com = /var/www/letsencrypt 9forum.example.com = /var/www/letsencrypt Секция renewalparams указывает основные параметры получения сертификата: плагин - webroot, инсталлятор сертификата - в нашем случае отсутствует и аккаунт, к которому привязаны данные сертификаты. В секции webroot_map перечислены требующие продления домены и указан путь к корневой папке для Let's Encrypt.\nЗдесь скрыт один из подводных камней, допустим сначала у вас был один домен, и вы просто получали сертификат для него указывая:\n1--webroot -w /var/www/example.com Затем доменов стало больше, и вы перешли на единую точку подтверждения сертификатов /var/www/letsencrypt, но в конфигурационном файле по-прежнему останется /var/www/example.com и такой домен автоматически продлиться не сможет.\nПоэтому мы рекомендуем всегда проверять возможность продления командой:\n1certbot renew --dry-run Как и в случае с получением сертификата ключ --dry-run предписывает провести тестовый запуск с симуляцией продления, что позволит своевременно выявить возможные ошибки и устранить их.\nСама же команда renew, как многие успели догадаться, последовательно получает конфигурационные файлы из директории renewal и выполняет продление согласно указанным там параметрам.\nВ принципе, убедившись в успешности тестового продления можно оставить все как есть, но лучше произвести тонкую настройку. Прежде всего добавим к команде продления ключ**--allow-subset-of-names**:\n1certbot -q renew --allow-subset-of-names Данный ключ предписывает получать сертификат для неполного набора доменов, это нужно для того, чтобы если один из доменов, перечисленных в сертификате вдруг окажется недоступным, сертификат был получен для остальных.\nПростой пример из жизни. Вы собираетесь провести серьезную переработку сайта, для этого вы создаете новый домен new.example.com и производите разработку и тестирование на нем, его же вы добавляете в сертификат. Затем вы переносите новый сайт на основной домен, а старый перемещается на old.example.com, который также добавляется в сертификат. Через какое-то время кто-то отключает new.example.com за ненадобностью и потом в одно не очень прекрасное утро сайт \u0026quot;порадует\u0026quot; вас просроченным сертификатом.\nНо это еще не все, после того как сертификат будет продлен нужно перезапустить все службы его использующие, например, веб-сервер. Можно прописать еще одно задание в cron, но правильно будет сделать по-другому. Certbot поддерживает специальные ключи, которые позволяют выполнять некие действия перед и после запуска утилиты:\n--pre-hook PRE_HOOK - позволяет выполнять некие действия перед запуском certboot --post-hook POST_HOOK - выполняет указанные действия после запуска certboot --renew-hook RENEW_HOOK - выполняет действия только после успешного продления сертификата. Наиболее удобным в использовании является ключ --renew-hook, который будет перезапускать службы только тогда, когда получит новый сертификат, а не два раза в день, как это будет делать --post-hook.\nКак использовать данные ключи? В простейшем случае можно просто добавить их к команде продления в cron:\n1certbot -q renew --allow-subset-of-names --renew-hook \u0026#34;service apache2 reload; service vsftpd restart\u0026#34; В указанном нами примере будут перезапущены веб-сервер Apache и ftp-сервер vsftpd. Однако разные сертификаты могут быть привязаны к разным службам, поэтому более правильно будет указать эти параметры в конфигурационных файлах в директории renewal. Для этого в секцию [renewalparams] добавьте:\n1renew-hook = service apache2 reload; service vsftpd restart Обратите внимание на синтаксис, который несколько отличается от синтаксиса, используемого при указании в составе команды.\nНадеемся, что данный материал поможет вам лучше понять работу Certboot, что в дальнейшем позволит нам не обращаться этой теме, а уделить больше внимания конкретным реализациям защиты c помощью SSL для различных приложений.\n","id":"7246ee34b3dad1fc6158790d326811a6","link":"https://interface31.ru/post/poluchaem-sertifikaty-lets-encrypt-pri-pomoshhi-certbot/","section":"post","tags":["Apache","Certbot","Debian","Let's Encrypt","lighttpd","Nginx","PKI","SSL","Ubuntu Server","Безопасность"],"title":"Получаем сертификаты Let's Encrypt при помощи Certbot"},{"body":"Операционные системы семейства Linux с каждым годом вызывают все больший интерес среди пользователей 1С:Предприятия, особенно после выпуска платформы для наиболее популярных дистрибутивов. Наиболее часто Linux используется как серверная платформа для 1С, но в последнее время все чаще можно встретить рабочие станции на базе этой операционной системы. Если дополнить такую рабочую станцию веб-сервером, то можно легко и просто организовать удаленный доступ к информационным базам, сегодня мы расскажем, как сделать это в файловом режиме.\nНесмотря на кажущуюся простоту, настройка веб-доступа к файловым базам несколько сложнее, чем к серверным, это связано с тем, что необходимо правильно установить права доступа для всех участников данной схемы. Официальная документация довольно скупо освещает этот вопрос, поэтому ниже мы уделим ему повышенное внимание:\nПосле выполнения публикации необходимо предоставить пользователю, от лица которого запускается Apache, права на каталог исполняемых файлов (/opt/1C/v8.3/i386/ для 32-разрядной версии или /opt/1C/v8.3/x86_64/ для 64-разрядной версии) конкретной версии системы «1C:Предприятие» (чтение и выполнение). В случае файлового варианта информационной базы необходимо дать права на модификацию каталога информационной базы пользователю, от лица которого работает веб-сервер.\nИтак, рассмотрим подробнее всех участников нашей схемы. Ключевую роль в ней занимает информационная база, права на модификацию которой должны иметь все подключающиеся к ней клиенты, а также исполняемые файлы платформы, к которым должен иметь доступ веб-сервер. Гораздо интереснее с информационной базой, изначально ее владельцем является локальный пользователь user:user, который является также членом одноименной персональной группы. По умолчанию он имеет все необходимые права доступа к базе (чтение и запись). Аналогичные права также должен иметь веб-сервер, который работает от имени www-data:www-data.\nСуществуют способы запустить Apache от имени нужного пользователя, но на практике выяснилось, что 1С не работает с mpm-itk, даже если веб-сервер запущен от системного пользователя, практически сразу после запуска базы вы будете получать следующую ошибку: Сеанс отсутствует или удален. Набор 775/664 дает права чтения/записи как владельцу, так и группе, а 755/644 - только владельцу. Таким образом в Ubuntu набор прав по умолчанию полностью подходит для наших целей, а в Debian потребуется изменить umask на 002.\nЧто касается прав, то потребуется взаимное включение пользователя и веб-сервера в персональные группы друг друга, а также веб-сервера в группу владельца бинарных файлов 1С. Теория понятна, перейдем к практике.\nУстановка модуля расширения веб-сервера Будем считать, что у вас уже установлена платформа согласно нашему руководству Установка клиента 1С:Предприятие на Ubuntu 12.04. В таком случае нам понадобятся пакеты 1c-enterprise83-ws и 1c-enterprise83-ws-nls из поставки сервера. Обратите внимание, что версия и разрядность данных пакетов должна совпадать с версией и разрядностью установленной платформы.\nСкопируем указанные пакеты в произвольную папку и установим их командой:\n1dpkg -i 1c*.deb Обратите внимание, что данная команда установит все пакеты из текущего расположения по маске 1с*, поэтому будьте внимательны и убедитесь, что в ней нет ничего лишнего.\nЗатем установим нужного владельца для платформы:\n1chown -R usr1cv8:grp1cv8 /opt/1C на этом установка модуля веб-сервера окончена.\nУстановка Apache 2.4 Начиная с платформы 8.3.8 добавлена поддержка актуальной версии Apache 2.4, теперь нет необходимости понижать версию пакета, если вы используете более раннюю версию платформы, то вам потребуется понизить Apache до версии 2.2, как это сделать описано в нашей статье Используем APT Pinning для закрепления пакетов в Debian и Ubuntu.\nТакже мы категорически не советуем использовать экземпляр Apache используемый для 1С:Предприятия для иных целей, как мы уже видели, 1С оказалась несовместима с mpm-itk, кроме того 1С достаточно вольно обращается с файлами конфигурации, игнорируя виртуальные хосты и дописывая свои директивы прямо в основной конфигурационный файл Apache.\nКонечно, можно вручную настроить все красиво, но это потребует повышенных затрат на администрирование при добавлении новых баз, поэтому более разумным решением будет выделение для 1С собственного экземпляра Apache.\nЕго установка производится одной единственной командой:\n1apt-get install apache2 После установки следует уточнить какой MPM-модуль использует ваш сервер:\n1apachectl -V | grep -i mpm Если это будет prefork или event, то их следует отключить:\n1a2dismod mpm_prefork или\n1a2dismod mpm_event А затем включить модуль worker:\n1a2enmod mpm_worker Затем откройте /etc/apache2/mods-available/mpm_worker.conf и внесите следующие изменения:\n1StartServers 1 2MinSpareThreads 1 3MaxSpareThreads 1 После чего перезапустите веб-сервер:\n1service apache2 restart его настройка завершена.\nНастройка необходимых прав доступа Если вы используете Debian, то прежде всего следует изменить umask системы на 002, для этого откройте файл /etc/pam.d/common-session и добавьте в его конец строку:\n1session optional pam_umask.so umask=0002 Затем включим пользователя веб-сервера в группы 1С и текущего пользователя системы:\n1usermod -a -G grp1cv8 www-data 2usermod -a -G user www-data Также включим текущего пользователя в группу веб-сервера:\n1usermod -a -G www-data user где вместо user следует использовать имя текущего пользователя.\nПосле чего нужно установить права на папки с информационными базами, допустим они находятся в /opt/1C_bases:\n1chmod -R u=rw,g=rw,o=r,a+X /opt/1C_bases Закончив с установкой прав следует перезагрузить сервер.\nПубликация информационной базы Публикацию базы можно выполнить двумя путями: через Конфигуратор и при помощи командной строки. Ниже мы рассмотрим оба способа.\nПеред публикацией создадим директорию для нее в рабочем каталоге веб сервера, по умолчанию это /var/www, мы будем публиковать Бухгалтерию 3.0 поэтому назовем директорию acc30:\n1mkdir /var/www/acc30 Запустим 1С:Предприятие с повышенными правами, для этого в терминале от имени суперпользователя выполните для 32-разрядной системы:\n1/opt/1C/v8.3/i386/1cestart для 64-разрядной:\n1/opt/1C/v8.3/x86_64/1cestart Откроется стандартное окно запуска 1С из которого откроем в Конфигураторе нужную нам базу. Затем перейдем в Администрирование - Публикация на веб-сервере и заполним небольшую форму: Заполнив все необходимые поля нажмите кнопку Опубликовать, затем согласитесь с предложением перезапустить веб-сервер.\nДля публикации из командной строки следует перейти в директорию с бинарными файлами 1С, в 32-разрядной системе выполните:\n1cd /opt/1C/v8.3/i386/ в 64-разрядной:\n1cd /opt/1C/v8.3/x86_64/ После чего запустите утилиту webinst со следующими параметрами:\n1./webinst -publish -apache24 -wsdir acc30 -dir /var/www/acc30/ -connstr \u0026#34;File=\u0026#34;\u0026#34;/opt/1C_bases/acc30/\u0026#34;\u0026#34;;\u0026#34; -confpath /etc/apache2/apache2.conf На первый взгляд ее синтаксис довольно сложен, но на самом деле все довольно просто, давайте разберем каждый параметр:\npublish - указывает необходимое действие, в данном случае публикацию, может быть опущен, так как это действие по умолчанию. apache24 - задает тип веб-сервера, для Apache 2.2 следует указывать apache22. wsdir - имя алиаса публикации, по которому к базе следует обращаться из браузера. dir - путь публикации, созданная нами директория в рабочем каталоге веб-сервера connstr - строка соединения, состоит из трех частей, каждая из которых взята в кавычки: \u0026quot;File=\u0026quot; - указывает что база файловая, \u0026quot;/opt/1C_bases/acc30/\u0026quot; - путь к каталогу ИБ, \u0026quot;;\u0026quot; - служебный символ. confpath - путь к конфигурационному файлу веб-сервера. Опубликовав базу следует восстановить владельца папки публикации:\n1chown -R www-data:www-data /var/www Теперь можем попробовать запустить базу, обратившись к ней в браузере по имени хоста или IP-адресу, добавив через слеш нужный алиас, на локальной машине можно набрать http://127.0.0.1/acc30. Если вы внимательно следовали инструкции и не допустили нигде ошибок, то все должно работать. Однако при выборе режима работы, через браузер или тонкий клиент, учитывайте особенности лицензирования. При работе в режиме веб-клиента (через браузер) веб-сервер ищет доступные лицензии на собственном хосте, а тонкий клиент использует локальную лицензию рабочего места. Более подробно об особенностях лицензирования читайте в статье: Особенности применения программных лицензий 1С:Предприятие.\nНесколько слов о производительности По-хорошему здесь должен был быть завершающий абзац статьи с заключением и пожеланиями, но наш материал был бы неполным без темы производительности данного решения. Так как веб доступ в файловом режиме обычно используют небольшие предприятия, то в роли веб-сервера чаще всего используется обычный офисный ПК. В его роли мы использовали виртуальную машину, которой выделили два ядра от Core i5-4670 и 4 ГБ оперативной памяти, что соответствует неплохой офисной машине.\nЕсли по процессорным или дисковым ресурсам вопросов не возникло, то вот расход оперативной памяти нас не порадовал. Ниже показана система сразу после загрузки: Затем мы запустили два экземпляра базы (один в веб-клиенте, другой в тонком) локально и два экземпляра по сети: Как видим, свободная память в системе закончилась, и она ушла в своп, а если немного поработать в базах, то быстро закончится и файл подкачки. При этом, кроме 1С, на данном ПК больше ничего не запущено, что для обычной офисной машины не характерно. Эмпирическим путем мы выяснили, что на каждый сеанс работы с такими конфигурациями, как Бухгалтерия предприятия 3.0 требуется иметь 1 ГБ оперативной памяти.\nХорошо, закрываем все сеансы, но что это? Система не спешит освобождать ресурсы, а переключившись на первую вкладку мы обнаружим запущенные процессы Apache, которые и не думают завершаться. Ошибка в платформе? Нет, начиная с платформы 8.3.9.1818 был реализован новый механизм работы с сеансами веб-сервисов, подробнее об этом можно прочитать в статье: Повышение производительности веб-сервисов.\nЕсли коротко, то раньше веб-сервисы 1С работали как CGI-приложение, т.е. при каждом запуске веб-клиента или обращении к веб-сервисам происходил запуск рабочего процесса Apache, который загружал модуль веб-расширения 1С, а по завершении работы выгружал его и закрывался сам. Недостатком подобного метода являются высокие накладные расходы на запуск и завершение процесса.\nТеперь модель работы веб-сервисов соответствует FastCGI-приложению, которое запускается один раз и продолжает оставаться запущенным даже при завершении сеансов работы с ним. Процитируем разработчиков 1С:\nСеансы в пуле хранятся в разрезе типа сервиса, наименования сервиса, пользователя/пароля, значений разделителей и безопасного режима. Причём в пуле может быть несколько сеансов с одинаковыми значениями перечисленных реквизитов. При вызове платформа проверяет, есть ли простаивающий сеанс с подходящим сочетанием этих реквизитов. Если такой сеанс есть, то он выделяется для обработки вызова. Если такого сеанса нет, то создается новый сеанс и выделяется для обработки. Сеанс автоматически завершается по истечении периода бездействия (ВремяЖизниСеанса).\nЧто из этого следует? А то, что если вы одновременно запустите 4 сеанса работы с веб-сервером, то по их завершении рабочие процессы Apache продолжат работу в ожидании новых подключений, а если их не будет, то по окончании времени жизни сеанса, которое по умолчанию составляет 20 минут, будут завершены.\nТаким образом вам нужно иметь достаточное количество оперативной памяти для обеспечения одновременной работы максимально возможного числа одновременно подключившихся клиентов, в противном случае ваша система может катастрофически снизить производительность по причине отсутствия свободной памяти. Даже если эти подключения будут носить кратковременный характер память под них будет \u0026quot;зарезервирована\u0026quot; в течении еще 20 минут.\nДля небольших фирм мы можем рекомендовать установить объем оперативной памяти исходя из соображений 1 ГБ на одну свободную лицензию 1С, это позволит всегда иметь необходимый запас свободной памяти и избежать неприятных ситуаций с недоступностью сервера в разгар работы.\n","id":"083c9bf1ba9fd22ce9c76bb566f93aad","link":"https://interface31.ru/post/nastraivaem-veb-dostup-dlya-1spredpriyatiya-v-faylovom-rezhime/","section":"post","tags":["1С Предприятие 8.х","Apache","Debian","Ubuntu","Web-сервер"],"title":"Настраиваем веб-доступ для 1С:Предприятия в файловом режиме на платформе Linux"},{"body":"Несмотря на то, что цены на SSD за последние годы значительно снизились, твердотельные диски все еще существенно проигрывают классическим HDD в стоимости хранения информации. Поэтому многие пользователи продолжают стоять перед дилеммой: купить быстрый, но небольшого объема SSD или гораздо более емкий, но медленный HDD. Хорошо, когда финансы и техническая возможность позволяет приобрести и то, и другое. В противном случае придется идти на компромиссы, одним из которых может стать гибридный жесткий диск.\nВ свое время мы делали обзор на один из первых гибридных дисков - Seagate Momentus XT, тогда это было действительно удачное решение, позволявшее получить некоторые преимущества SSD в сочетании с емкостью жесткого диска. С тех прошло достаточно много времени, особенно по меркам IT-индустрии, жесткие диски стали больше емкостью и быстрее, а SSD успели сменить несколько поколений, стали надежнее, быстрее и дешевле.\nВ те далекие годы (конец 2011) доступные широким массам SSD ограничивались 60 ГБ моделями, все остальное стоило непристойно дорого. Вполне понятно, что уже тогда 60 ГБ, даже под систему, в большинстве случаев означало жестко ограничить себя во всем. На этом фоне гибриды выглядели вполне привлекательно, тем более, что показатели SSD тогда были тоже достаточно скромными.\nСегодня \u0026quot;народными\u0026quot; дисками являются модели на 120-240 ГБ, этого вполне хватает для системы и приложений, позволяя просто работать за ПК, а не считать каждый гигабайт. Гибридные диски так и не приобрели широкой популярности, вопреки многим ожиданиям, и представлены на рынке весьма скромно. Основным производителем гибридов продолжает оставаться Seagate, остальные производители тоже пытались как-то отметиться в этой нише, но найти в широкой продаже их продукцию достаточно сложно.\nПочему так произошло? В первую очередь потому, что гибрид - это компромисс, а на компромиссы идти приходится обычно вынуждено. Если в самом начале этой истории гибриды еще выглядели достаточно выгодно, то сегодня это сугубо нишевой продукт для достаточно ограниченных сценариев применения.\nРаз уж речь зашла о Seagate, обратим внимание на их основную настольную модель - Barracuda (она же Desktop HDD), диск получился очень удачным: недорогой, быстрый, надежный. Купить современную модель этой линейки емкостью в 1 ТБ можно чуть более чем за 3000 руб (~52$). Гибридная Firecuda построена на основе этой же линейки, но стоит уже 5500 руб (~92$) за модель той же емкости. Это существенно дороже многих массовых 120 ГБ SSD, а если немного добавить, то можно купить тверодотельный диск на 240 ГБ. С гибридом вы получите жесткий диск настольной серии и всего-лишь 8 ГБ NAND.\nКак известно, покупатель голосует кошельком и результаты этого голосования сложились не в пользу гибридов. Однако есть ситуации, когда на компромисс все-таки приходится идти. Это могут быть некие компактные системы, где просто физически невозможно установить два диска или серьезные ограничения по бюджету, особенно если 120 ГБ по объективным причинам будет недостаточно.\nТак и произошло в одном нашем случае. Компактный корпус, ограничения по бюджету и потребность в значительном дисковом пространстве заставили нас вернуться к теме гибридов. Выбирать на рынке особо не из чего и поэтому был приобретен Seagate Firecuda 1 ТБ ST1000DX002. Выглядит диск достаточно презентабельно, Seagate тоже не выдержала и пошла на поводу модной тенденции - клеить на диски красочную этикетку. Но по одежке всего лишь встречают, поэтому перейдем к тестам.\nТрадиционно начнем с CrystalDiskMark: Уже сейчас можно сказать, что перед нами обычный настольный диск от Seagate с некоторыми \u0026quot;бонусами\u0026quot; в виде записи в твердотельный кеш.\nAIDA 64 - линейное чтение и запись: Тестируя SSD мы уже отвыкли от таких графиков, но против физики не пойдешь, чем дальше от начала диска - тем ниже скорость, но тем не менее показатели для механики достаточно неплохие. Скорость в начале диска около 200 МБ/с, в конце - около 100 МБ/с, для первого гибридаSeagate Momentus XT 100 МБ/с в начале были нормой жизни, что наглядно показывает эволюцию HDD за прошедшие годы.\nAIDA 64 - случайные чтение и запись: Полученные результаты снова показывают, что Seagate делают очень хорошие диски, только пока никаких заслуг гибридной технологии мы не заметили.\nHD Tune Pro, файловый тест: Сразу обращает на себя внимание скорость записи с небольшим размером блока, это снова вступает в дело \u0026quot;гибридность\u0026quot;, запись идет сразу в твердотельный кеш, что позволяет обеспечивать высокие результаты, однако чтение по-прежнему производится с пластин HDD, демонстрируя решительную разницу между жесткими дисками и флеш-памятью.\nТест времени случайного доступа: Никаких сюрпризов здесь нет, 70 IOPS вполне ожидаемое и характерное для дисков данного семейства значение.\nИ в заключение набор реальных сценариев Intel NASPT: Здесь все ожидаемо и предсказуемо, кроме теста Dir copy to NAS, в силу небольшого объема данных в данном сценарии отлично отработал NAND-кеш, выдав недостижимые для обычных дисков результаты.\nЧто мы имеем в сухом остатке? Самый обычный, хотя и неплохой, настольный HDD, способный, благодаря твердотельному кешу, весьма эффективно обрабатывать операции записи. И это все? Нет, не все. Согласно документации производителя, NAND-кеш использует собственные алгоритмы, которые позволяют эффективно кешировать системные файлы, тем самым ускоряя загрузку ОС, а затем наиболее часто используемые программы.\nДля проверки алгоритма кеширования мы использовали утилиту BootRacer, первый запуск которой был произведен на обычном HDD, а все последующие на гибриде: Эффект от гибридной технологии виден, как говориться, невооруженным глазом. Уже к третьему запуску время загрузки до экрана приветствия упало со 100 сек до 15 сек, т.е. в 6 раз. Это отличный результат, также реально увеличивается скорость запуска наиболее часто используемых программ. В этом плане вполне можно говорить о получении сравнимых с обычным SSD результатом.\nВыводы Как мы снова убедились, гибридная технология имеет свои вполне ощутимые плюсы, но практически все их перекрывает один достаточно жирный минус - цена. Гибридная 1 ТБ Firecuda стоит дороже, чем 2 ТБ Barracuda (92$ и 72$), в этом плане более интересно выглядит покупка 2 ТБ Firecuda (115$), однако это вполне сравнимо с ценами на 240 ГБ SSD, так что снова есть над чем подумать.\nС учетом всего вышесказанного мы не можем рекомендовать к покупке диски серии Firecuda, в первую очередь из-за завышенной, на наш взгляд, цены. Однако советуем обратить на эту линейку пристальное внимание, когда бюджет или технические условия не позволяют приобрести отдельно быстрый SSD и емкий HDD. В этом случае Firecuda окажется желаемой золотой серединой, когда и волки окажутся сыты и овцы целы.\n","id":"d12647480290076c7ed9feb0d3f1c18a","link":"https://interface31.ru/post/seagate-firecuda---sovremennyy-vzglyad-na-gibridy/","section":"post","tags":["HDD","Seagate","SSD"],"title":"Seagate Firecuda - современный взгляд на гибриды"},{"body":"В арсенале каждого системного администратора со временем накапливаются удобные инструменты, которые значительно облегчают выполнение ряда повседневных задач. Чаще всего это небольшие, но удобные утилиты или скрипты. Мы постоянно знакомим наших читателей с различными инструментами из нашей коллекции и на этот раз речь пойдет о простом, но достаточно функциональном PowerShell-скрипте для односторонней синхронизации каталогов.\nСинхронизация каталогов - довольно часто встречающаяся задача, когда необходимо поддерживать соответствие содержимого в нескольких местах. От копирования данная операция выгодно отличается тем, что позволяет передавать только новые или измененные объекты, что позволяет существенно сократить трафик и время выполнения задачи. В Linux системах для этой цели есть мощная и удобная утилита rsync, а в Windows - robocopy, которые давно зарекомендовали себя и широко используются системными администраторами.\nНо не так давно мы нашли один интересный PowerShell-скрипт который может послужить удобной заменой robocopy для простых задач автоматизации. Скрипт написан энтузиастом и выложен на сайте автора. Также архив со скриптом можно скачать по прямой ссылке:\nСкачать Sync-Folder MD5: 9C4CB005E298223B7A112F2E264BF519\nВнутри находится собственно скрипт Sync-Folder.ps1, который следует разместить в любом удобном месте.\nЧто интересного может предложить нам этот скрипт? На наш взгляд, основное его достоинство - это поддержка конфигурационных файлов в формате XML, в которых мы можем описать сразу несколько заданий с параметрами, которые будут выполнены последовательно. Кстати, robocopy тоже позволяет создавать файлы заданий, но один файл может содержать только одно задание и предназначен прежде всего для того, чтобы каждый раз не вводить все опции.\nДавайте распакуем наш скрипт в произвольную папку, скажем C:\\ADM и разместим там же файл конфигурации MySyncJob.xml. Будучи запущен без параметров скрипт ищет рядом с собой файл Sync-FolderConfiguration.xml и выполняет записанное в нем задание, это может быть удобно, но на наш взгляд удобнее давать конфигурационным файлам осмысленные наименования, что облегчит в последующем поиск нужных заданий, а также убережет от возможного нежелательного выполнения задания в случае случайного запуска скрипта. Все свои действия скрипт записывает в файл лога, который располагается в своей рабочей директории. Откроем блокнотом XML-файл и внесем в него следующее содержимое (пример взят с сайта автора скрипта):\n1\u0026lt;Configuration\u0026gt; 2 \u0026lt;SyncPair\u0026gt; 3 \u0026lt;Source\u0026gt;C:\\synctest\\source1\u0026lt;/Source\u0026gt; 4 \u0026lt;Target\u0026gt;C:\\synctest\\dest1\u0026lt;/Target\u0026gt; 5 \u0026lt;Filter\u0026gt;*.txt\u0026lt;/Filter\u0026gt; 6 \u0026lt;ExceptionList\u0026gt; 7 \u0026lt;Exception\u0026gt;*p234*.txt\u0026lt;/Exception\u0026gt; 8 \u0026lt;/ExceptionList\u0026gt; 9 \u0026lt;/SyncPair\u0026gt; 10 \u0026lt;SyncPair\u0026gt; 11 \u0026lt;Source\u0026gt;C:\\synctest\\source2\u0026lt;/Source\u0026gt; 12 \u0026lt;Target\u0026gt;C:\\synctest\\dest2\u0026lt;/Target\u0026gt; 13 \u0026lt;Filter\u0026gt;*.txt\u0026lt;/Filter\u0026gt; 14 \u0026lt;/SyncPair\u0026gt; 15\u0026lt;/Configuration\u0026gt; Начинается файл конфигурации с тега \\Configuration\u0026gt;, который следует обязательно закрыть в конце. Задания синхронизации находятся внутри тегов \u0026lt;SyncPair\u0026gt;, обязательными являются два тега - путь к источнику данных и \u0026lt;Target\u0026gt; - место назначения. Можно указывать как локальные, так и сетевые расположения.\nТег \u0026lt;Filter\u0026gt; позволяет задать некоторую маску для копирования, например, только txt-файлы. Обратите внимание, что это именно маска, а не перечень расширений и т.п. Допускается использование подстановочных выражений, но фильтр может быть только один. Например, такая конструкция работать не будет, хотя ошибкой не является:\n1\u0026lt;Filter\u0026gt;*.jpg, *.png\u0026lt;/Filter\u0026gt; Использование в пределах одного задания двух тегов \u0026lt;Filter\u0026gt; приведет к синтаксической ошибке, поэтому если вам нужно копировать только файлы двух типов, скажем PNG и JPG, то следует создать два задания с одинаковыми параметрами, но разными фильтрами.\nЗаданное без подстановочных знаков выражение будет восприниматься буквально. Если вы хотите синхронизировать все файлы, содержащие в имени строку old, то следует указать:\n1\u0026lt;Filter\u0026gt;*old*\u0026lt;/Filter\u0026gt; А выражение\n1\u0026lt;Filter\u0026gt;old*\u0026lt;/Filter\u0026gt; отберет все файлы, которые начинаются с old, т.е. файл oldfile.txt будет скопирован, а fileold.txt - нет, в то время как с предыдущим фильтром были бы скопированы оба.\nКроме фильтра можно задавать исключения, которых может быть много и для их описания используется тег \u0026lt;ExceptionList\u0026gt;, внутри которого располагается список исключений, каждое из которых оформляется тегами \u0026lt;Exception\u0026gt;. В приведенном примере будут пропущены все файлы txt имеющие в имени строку p234.\nПосле того, как файл конфигурации создан самое время проверить его в деле, запустим консоль PowerShell и запустим наш скрипт, указав ему пусть к конфигурационному файлу:\n1C:\\ADM\\Sync-Folder.ps1 -configurationfile:\u0026#34;C:\\ADM\\MySyncJob.xml\u0026#34; По результатам работы скрипта вы получите короткий отчет, более подробную информацию можно почерпнуть из лога, который очень хорошо читается и предоставляет исчерпывающую информацию, откуда и куда копируем, какой фильтр, какие исключения и какие именно действия были предприняты. Если вы отлаживаете сложный сценарий, то столь подробный лог окажется очень к месту, также можно включить интерактивный вывод результатов в консоль, используя ключ -Verbose:\n1C:\\ADM\\Sync-Folder.ps1 -configurationfile:\u0026#34;C:\\ADM\\MySyncJob.xml\u0026#34; -Verbose Если необходимо вызывать скрипт из командной строки или пакетного файла, то следует использовать следующую конструкцию:\n1Powershell -Command \u0026#34;\u0026amp; {C:\\ADM\\Sync-Folder.ps1 -configurationfile:\u0026#34;C:\\ADM\\MySyncJob.xml\u0026#34;}\u0026#34; В целях безопасности PowerShell-скрипты могут исполняться только интерактивно, т.е. сначала нужно запустить оболочку PowerShell, а затем в ней вызвать скрипт. В нашем случае сначала запускается оболочка, которой передается нужная команда на исполнение скрипта, аналогичная тому, как это было бы сделано интерактивно.\nСуществует также другой метод, когда файл скрипта передается оболочке в качестве аргумента, он достаточно широко распространен в различных материалах в сети, но не является рекомендуемым, так как в этом случае некоторые механизмы скриптов могут работать некорректно. В нашем случае будет неправильно определена автоматическая переменная\n1$PSScriptRoot В итоге скрипт попытается записать файл лога не рядом с собой, а в корень диска C:, что обычно запрещено политиками безопасности и приведет к ошибке. Чтобы добавить наш скрипт в планировщик заданий следует поступить аналогичным образом, создадим новую задачу, установим условия ее выполнения и на закладке Действия в качестве действия выберем Запуск программы, в поле Программа или сценарий укажем\n1Powershell а в поле Добавить аргументы внесем команду на исполнение скрипта, также как мы это делали в командной строке:\n1-Command \u0026#34;\u0026amp; {C:\\ADM\\Sync-Folder.ps1 -configurationfile:\u0026#34;C:\\ADM\\MySyncJob.xml\u0026#34;}\u0026#34; Как видим, данный скрипт не делает ничего такого, что не умела бы robocopy, но благодаря возможности использовать конфигурационные файлы позволяет упростить многие задачи по синхронизации данных. В один конфигурационный файл можно добавить нужное число заданий, а простой и структурированный синтаксис позволяет легко читать данные файлы. Добавьте к этому подробные и понятные логи.\nКроме того, использование для автоматизации PowerShell скриптов гораздо более безопасно, чем пакетных файлов, так как это исключает возможность ошибочного или случайного запуска просто по двойному клику.\nНадеемся, что данный материал окажется вам полезен и указанный скрипт займет достойное место в применяемых вами инструментах.\n","id":"7610a897a9281e9bdb0d1518cf83e243","link":"https://interface31.ru/post/adminu-na-zametku-21-ispolzuem-powershell-dlya-sinhronizacii-katalogov/","section":"post","tags":["PowerShell","Синхронизация"],"title":"Админу на заметку - 21. Используем PowerShell для синхронизации каталогов"},{"body":"Служба обновления Windows в современных реалиях относится к числу критически важных, поэтому неполадки с ней следует решать в первую очередь, ведь своевременное получение обновлений - это залог безопасности системы. Особенно это касается старых систем, которые просто в силу возраста могут иметь большее количество потенциально уязвимых служб и компонентов. Сегодня мы расскажем вам об одном интересном случае, когда Windows 7 полностью перестает искать и устанавливать обновления, точнее делает этот процесс бесконечным.\nСудя по отзывам в сети интернет, появление данной неисправности совпало с переходом Windows 7 на новую систему обновлений, поэтому многие привычно винят в происходящем компанию Microsoft, а особо активные даже составляют списки \u0026quot;нерекомендуемых\u0026quot; обновлений, куда иногда попадает даже Convenience Rollup для Windows 7 (KB3125574). Такой подход вряд ли можно назвать разумным, так как на наш взгляд многие путают причину со следствием.\nПереход на новую систему обновлений - мера во многом вынужденная, так как количество необходимых для Windows 7 обновлений, а также возможных вариантов их комбинаций давно превысило все разумные пределы и говорить о какой-либо стабильности и предсказуемости данной системы стало решительно невозможно. Наш опыт показывает, что гораздо чаще к подобным проблемам приводят выборочные обновления, но винить пользователей в этом сложно.\nЕсли система только установлена или автоматическое обновление выключено, то приведение ее в актуальное состояние способно занять большое количество времени, в тоже время для работы необходимо обновить некоторые компоненты, скажем Internet Explorer, а также закрыть наиболее критичные уязвимости. В результате набор установленных на машину обновлений более напоминает сборную солянку и может приводить к самым неожиданным результатам.\nОднажды обновления отказалась устанавливать одна из виртуальных машин в лаборатории, которую мы обновляли от случая к случаю. Основным симптомом данной неисправности является бесконечный поиск обновлений: Если скачать и попробовать установить обновления вручную, то получим аналогичную картину: Никакие наиболее очевидные способы исправления такого поведения системы, в том числе описанные на сайте Microsoft, успеха не принесли, поэтому мы взялись за подробное изучение логов системы, которые можно найти в директории C:\\Windows\\Logs\\CBS. Довольно скоро стало понятно, что система не может завершить установку ряда обновлений, оставляя в логе следующие сообщения:\n1CBS Appl: detectParent: package: Package_40_for_KB3210131~31bf3856ad364e35~amd64~~6.1.1.0, no parent found, go absent Налицо типичный пример нарушенных зависимостей, пакет обновления пытается найти родительский пакет и не может этого сделать, что выливается в бесконечный цикл поиска.\nПримерный сценарий возникновения данной проблемы такой: система скачивает некоторое количество обновлений и пытается произвести их установку, но так как это длительный процесс, то завершить его чаще всего не удается. Например, достаточно распространен сценарий, когда пользователи просто принудительно выключают системный блок, получив при завершении работы сообщение, что следует установить пару десятков обновлений.\nЗатем в систему руками устанавливается обновление, которое ломает зависимости для уже скачанных и начавших устанавливаться пакетов. В результате система безуспешно пытается разрешить зависимости, полностью парализуя работу службы.\nТакже при принудительном выключении системы в процессе обновления может возникнуть несколько иная ошибка, которая связана с повреждением устанавливаемого пакета, что приводит к бесконечному процессу установки: Теперь, когда причины возникновения и механизм действия проблемы понятен, следует найти способ ее исправления. В данном случае нам на помощь придет инструмент DISM, запустим командную строку от имени администратора и выполним короткую команду:\n1Dism /Online /Cleanup-Image /ScanHealth Её выполнение может занять продолжительное время и в результате вы должны получить сообщение, что операция успешно завершена. Подробное описание найденных ошибок можно посмотреть в файле лога по указанному пути: После чего желательно удалить все содержимое папки C:\\Windows\\SoftwareDistribution\\Download и перезагрузить систему. Теперь можем снова попробовать выполнить поиск и установку обновлений, все должно работать. Как видим, мы не только устранили проблему, но и разобрались в причинах ее возникновения, что гораздо более важно. Так как именно понимание происходящих в системе процессов дает необходимые знания и позволяет осмысленно подходить к процессам диагностики, в отличие от бездумного копирования найденных в интернете команд.\n","id":"f45cffff5399ab707c2943909e874fdb","link":"https://interface31.ru/post/windows-7-i-beskonechnyy-poisk-obnovleniy/","section":"post","tags":["Windows 7","Windows Update","Восстановление системы","Диагностика"],"title":"Windows 7 и бесконечный поиск обновлений"},{"body":"Тема, обозначенная нами в заголовке статьи не нова и довольно избита, мы вообще не планировали к ней обращаться, если бы не одно обстоятельство. К нам с завидной регулярностью обращаются клиенты, читатели, знакомые с просьбой помочь в с переносом сайта и это несмотря на огромное количество статей на эту тему. Решив разобраться в ситуации, мы провели беглое ознакомление с данной темой и выяснили, что подавляющее большинство материалов написаны словно под копирку и содержат одни и те же ошибки. Поэтому, отбросив сомнения, мы сели за перо.\nПрежде всего обозначим основные критерии, которыми мы будем руководствоваться при разработке плана действий. Основной актив любого сайта - это его посетители, которых требуется всячески оберегать и способствовать росту их числа. Заинтересовать посетителя может контент, это второй, равнозначный по важности, актив. Хороший, интересный и полезный контент - залог привлечения и удержания посетителей. При этом под контентом следует понимать не только созданные вами материалы, но сопутствующие им комментарии, отзывы и т.п. содержимое создаваемое самими посетителями. Очень часто читать комментарии бывает интереснее самой статьи.\nНо кроме интересного и полезного контента посетителю не менее важна стабильная и быстрая работа вашего сайта. Никто не будет ждать пока ваша страница загрузится, посетитель закроет вкладку и уйдет к конкурентам, также никто не будет ждать окончания технических работ, кроме постоянных посетителей, остальные просто уйдут, скорее всего навсегда. А ушедшие посетители и неработающий сайт - это как прямые финансовые убытки, так и разного рода косвенные издержки, например, репутационные.\nПоэтому очень важно поддерживать бесперебойную работу вашего ресурса и актуальность, и полезность информации на нем. Одним из факторов, влияющих на работу сайта является хостинг. Пока сайт небольшой многие пользуются услугами недорого виртуального хостинга, однако по мере роста ресурса возникает потребность в более мощной площадке и очень часто это оказывается совсем другая хостинговая компания, что потребует переноса вашего проекта.\nЕсли вы владелец VPS, то переезжать вам придется даже внутри одного провайдера, например, при смене операционной системы или тарифа. Да и переносить придется скорее всего не один сайт. В любом случае - процесс этот ответственный и требует тщательного планирования и подготовки. Однако, если подойти к делу серьезно, то выполнить перенос можно практически незаметно для посетителей, даже если вы раньше никогда этого не делали.\nБольшинство найденных нами материалов в сети предлагали совершенно ошибочную последовательность:\nПеренаправление доменного имени Перенос базы данных Перенос содержимого сайта. Основная ошибка - преждевременное перенаправление домена, из-за чего посетители начнут переходить на еще не готовый сайт, разворачиваться и уходить. А если в процессе переноса что-то пойдет не так?\nМноголетний опыт позволил нам выработать принципиально иную последовательность действий, которая обеспечивает максимально безболезненный процесс переноса. Последний этап - перенаправление доменного имени, но не следует спешить. Прежде всего выполните все настройки сайта на новом месте и убедитесь, что все работает как надо, также переезд - прекрасный повод внедрить новые серверные решения, например, настроить NGINX вместо Apache. С учетом того, что содержимое сайта и базы данных перенесены вы можете делать это \u0026quot;вживую\u0026quot;, но спокойно, без всякой спешки, а пользователи пока будут продолжать ходить на старый хостинг.\nИ только как все будет готово и проверено следует перенаправить домен и принимать посетителей уже на новом сервере. Давайте теперь рассмотрим все этапы более подробно.\nЭтап 1. Планирование и подготовка Настоятельно не рекомендуем пропускать этот этап, даже если на первый взгляд все просто. Здесь уместно вспомнить поговорку \u0026quot;гладко было на бумаге, да забыли про овраги\u0026quot;, которая как нельзя лучше подходит для описания многих таких \u0026quot;лихих\u0026quot; переносов.\nПрежде всего выясните все \u0026quot;явки и пароли\u0026quot;, а таких может быть много: учетные данные в админку сайта, в панель управления хостингом, в личный кабинет регистратора доменных имен, параметры доступа к FTP, MySQL и т.д. Если на сайте установлен разного рода партнерский или рекламный код, то уточните доступ в соответствующие личные кабинеты. Если используется обмен с товароучетной системой, то также уточните параметры доступа с обоих сторон.\nЗатем произведите полную инвентаризацию старого хостинга, какие настройки и модули веб-сервера установлены и применяются, где расположены файлы, и кто является их владельцем, какие имеются пользователи и какие у них права доступа. Чем больше вы проверите и запишете, тем проще будет работать в дальнейшем. Очень часто на этом этапе всплывают неочевидные вещи, о которых все давно забыли, но которые способны доставить ряд серьезных неприятностей.\nНе забудьте уточнить версии используемых CMS и модулей к ним, после чего обязательно проверьте их совместимость с планируемым к использованию на новом сервере ПО, в частности следует обратить внимание на версию PHP. При необходимости запланируйте их обновление, которое лучше всего попробовать выполнить на стенде еще до начала всех мероприятий.\nПосле того, как все учтено и записано переходите к планированию. Старая шутка говорит, что полученное при предварительном расчете время нужно смело умножать на два и переходить к значениям более высокого порядка. Но в любой шутке есть доля истины. Наш опыт показывает, что минимальным запасом времени для выполнения всех операций следует считать неделю, а лучше всего две. Именно на это время у вас должен быть оплачен старый хостинг. Не следует заниматься переносом в самом конце оплаченного периода. Также не забудьте продлить домены, если они истекают в ближайшее время.\nЭтап 2. Управление доменным именем Доменное имя - это самый ценный актив вашего сайта, именно доменное имя и связанные с ним URL являются физическим воплощением вашего сайта. Потеря контроля над доменным именем равносильная потере сайта. У вас может остаться весь контент, но потеряв доменное имя вы потеряете все ссылки на него и вам придется начинать все сначала. Поэтому мы уже говорили, что начинать делать сайт на бесплатном домене или домене, контролируемом не вами - это очень и очень плохая идея. Но даже если домен и куплен вами, то не все так просто.\nМногие начинающие веб-мастера покупают свой первый домен вместе с хостингом, поэтому управлять доменом скорее всего будет хостер и далеко не факт, что у вас будет полноценный доступ к DNS-зоне. Поэтому, даже если вы пока не собираетесь уходить от данного хостера, следует установить полный контроль над доменом и DNS-зоной. Кроме того, это может быть еще и экономически выгодно.\nКак это сделать? Прежде всего следует выяснить регистратора домена, для этого воспользуйтесь сервисом Whois: Кодовое имя регистратора содержится в строчке registrar, в нашем случае это R01-RU, что соответствует компании Регистратор R01. Вы можете перенести домен непосредственно к регистратору или одному из его реселлеров, список которых обычно можно найти на сайте регистратора. Если хорошо поискать, то можно найти реселлера с достаточно привлекательными ценами и условиями оплаты. Сегодня можно регистрировать и продлевать домены по 120 - 130 рублей, а если хорошо поискать - то и еще дешевле.\nВыбирая реселлера обращайте внимание на две вещи: стоимость продления и способы оплаты. Есть распространенная \u0026quot;фишка\u0026quot; - указывать на видном месте цены регистрации, не указывая цен продления, которые могут быть гораздо выше, возьмем для примера одного довольно крупного и известного реселлера: На первый взгляд все довольно привлекательно, но если найти ниже неприметную ссылочку \u0026quot;показать цены продления\u0026quot;, то картина нарисуется совсем не радужная: Мы не будем сейчас касаться вопроса порядочности и этичности такого поведения, но обращаем внимание, что перенос домена менее чем за месяц до продления обычно невозможен, поэтому контролируйте цены на продление своевременно.\nВторой \u0026quot;фокус\u0026quot; состоит в разных комиссиях при оплате через разные платежные системы, на некоторые из которых она может оказаться совершенно неприличной. Для сравнения скриншот из панели еще одного реселлера: Если вы планируете оплату через электронные платежные системы, то заодно поинтересуйтесь комиссией на их пополнение доступными для вас способами. Очень часто оказывается, что суммарная комиссия (комиссия на пополнение электронного кошелька + комиссия платежной системы + комиссия реселлера) делает такой способ оплаты совсем невыгодным. По нашему опыту ориентироваться всегда стоит на банковские карты и PayPal, выбирать электронные деньги имеет реальный смысл тогда, когда у вас есть регулярные поступления в данной платежной системе.\nСледующий вопрос, который неизбежно задают все новички: насколько безопасно переносить домены к небольшим реселлерам, про которых неизвестно практически ничего. Сразу успокоим - это безопасно, вы в любой момент можете перенести свои домены к регистратору или любому иному реселлеру в течении нескольких часов, даже если ваш текущий реселлер \u0026quot;приказал долго жить\u0026quot;.\nЗдесь мы вплотную перешли к процессу передачи домена. В пределах одного регистратора это делается очень просто: вы или обращаетесь в техподдержку текущего реселлера или хостера с просьбой передать ваш домен под управление указанного вами партнера, или заполняете аналогичное заявление для самого регистратора. Более подробно данный процесс описан на сайтах реселлеров и регистратора, там же находятся и образцы заявлений. Как показывает наш опыт быстрее и эффективнее направлять заявление самому регистратору. В рабочий день весь процесс передачи не занимает более нескольких часов.\nРазобравшись с размешением и оплатой домена, мы плавно переходим к следующему, очень важному вопросу - управлению DNS-зоной. Если вы не знаете, что такое служба DNS и как она влияет на работу сайта, то рекомендуем отвлечься и прочитать нашу статью \u0026quot;Создаем свой сайт. Настройка DNS-зоны\u0026quot;.\nУ разных реселлеров присутствуют разные инструменты для работы с DNS, с разным набором возможностей, у кого-то есть полноценный доступ, кто-то позволяет указать только NS-записи, а кто-то предоставляет данную услугу за деньги. Кроме того, опыт показывает, что реселлеры - это очень интересные товарищи, вполне вменяемый и недорогой реселлер может в одночасье потерять стыд и совесть, резко взвинтив цены. В общем всегда надо быть готовым собрать чемодан и переместиться туда, где условия остаются приемлемыми.\nСделаем небольшое отступление, некоторым может показаться странной подобная суета из-за сотни-другой рублей. Да, если у вас доменов один-два, то проще перенести их к регистратору и сидеть спокойно, но если их несколько десятков, то экономия пары сотен на каждом домене выглядит достаточно существенно, тем более, как мы уже говорили, перенести домены от одного реселлера к другому занимает пару часов в рабочий день.\nПоэтому, чтобы обеспечить своим доменам свободу перемещения, следует держать DNS-зоны на каком-либо нейтральном и, желательно, бесплатном DNS-сервере. Теоретически можно поднять собственный DNS-сервер, но экономически и организационно эту затею можно признать удачной только в том случае, если доменов у вас действительно много и есть техническая возможность поддерживать высокодоступный сервис. В противном случае проблем будет больше, чем преимуществ.\nИз бесплатных DNS-хостингов мы можем посоветовать Яндекс, который предоставляет DNS-сервера в рамках услуги Почта для домена, при этом саму почту настраивать абсолютно не обязательно, но такая возможность идет дополнительным плюсом, особенно если вам нужно всего пару технических почтовых ящиков, наподобие admin@example.com или webmaster@example.com. Это дополнительно облегчит вопросы переноса вашего сайта, так как отпадает необходимость каждый раз переносить и настраивать почту.\nПроцесс переноса доменов на Яндекс несложен и подробно описан в документации, у регистратора или реселлера вам всего лишь потребуется указать NS-сервера Яндекса, что является базовым минимумом и присутствует абсолютно у всех.\nОднако будьте внимательны, если вы используете виртуальный хостинг, то ваша DNS-зона обслуживается и должна продолжать обслуживаться хостером, попытки перенести ее на сторонние сервера скорее всего закончатся неработоспособностью сайта.\nЭтап 3. Подготавливаем домен к переносу Наиболее длительным и неконтролируемым этапом при переносе является изменение настроек DNS, которые должны перенаправить посетителей на новый сервер. Обычно считается что DNS-сервера обновляются от нескольких часов до суток и повлиять на этот процесс нельзя. Но ранее мы не зря говорили, что очень важен собственноручный контроль над DNS-зоной. Найдем в ней SOA-запись, это основная запись зоны и нас в ней должен интересовать параметр Minimum TTL - это минимальное время жизни ресурсных записей зоны, которое указывает другим серверам сколько времени они могут хранить в кеше полученную информацию. В нашем случае это значение равно 14400 секундам или 4 часам, непосредственно перед переносом данное значение следует уменьшить до нескольких минут, скажем 5 или 15. Это позволит гораздо быстрее обновить информацию на основных DNS-серверах в сети, однако не все сервера строго следуют значению TTL домена, небольшие провайдеры или корпоративные сети могут игнорировать это значение и кешировать DNS-запросы на более продолжительный срок.\nНо это скорее исключение, чем правило и уменьшение TTL гарантированно позволяет быстро переключить основную аудиторию на новый сервер в течении небольшого промежутка времени.\nЭтап 4. Перенос сайта и его настройка на новом сервере После того, как все подготовительные действия выполнены и новый сервер настроен можно пытаться переносить на него ваш сайт. Обычно для этого следует любым доступным путем скопировать со старого сервера на новый все содержимое и выгрузить/загрузить дамп базы данных. Мы не будем особо останавливаться на этом процессе, так как если вы решили самостоятельно переносить сайт, то такие действия не должны представлять для вас сложности.\nПереносить и проверять сайт крайне желательно с его настоящим доменным именем, а не с техническим, как это советуется в некоторых руководствах. Но DNS-записи пока продолжают указывать на старый сервер, поэтому самое время вспомнить о таком файле как hosts, добавляем туда запись типа:\n1111.222.333.444 example.com где 111.222.333.444 - IP-адрес нового сервера.\nЕсли вы используете виртуальный хостинг, то обязательно привяжите к нему свой домен, но не изменяйте пока NS-записи (чтобы сайт работал на старом сервере). После чего хостер выдаст вам технический адрес вида example.hoster.com по которому можно выяснить IP-адрес сервера размещения и внести его в файл hosts.\nПосле этой нехитрой процедуры вы перенастроите ваш и только ваш ПК на работу с сайтом на новом сервере и можете спокойно настраивать и проверять его работу, в то время как все остальные посетители продолжат работу с его экземпляром на старом месте.\nВажно! Важно! Обратите внимание, что если вы используете непрозрачный прокси, то указанный метод работать не будет, так как в этом случае DNS-запросы отправляет не клиент, а прокси-сервер.\nНа этом этапе следует досконально проверить работу всех модулей сайта и обязательно убедиться, что работают все основные функции, особенно это относится к таким, критически важным, как регистрация, восстановление пароля, оформление заказа и т.п.\nЭтап 5. Заключительная синхронизация и перенаправление домена Допустим вы все проверили и убедились, что на новом месте все хорошо. Теперь следует выполнить заключительные штрихи и окончательно перенести ресурс на новый сервер. Для этого переведите старый сайт в режим только чтение. Не следует включать режим обслуживания или как-либо еще делать его недоступным для посетителей, просто отключите возможность пользователям изменять его содержимое или размещать заказы. Также обязательно разместите на видном месте сообщение о технических работах.\nТеперь следует синхронизировать последние изменения между старым и новым сервером, если доступно подключение через SSH - то удобно использовать rsync, в противном случае просто заново залейте содержимое на новый сервер, указав перезаписывать только явно измененные файлы. Это не должно занять много времени. Затем выгружаем дамп базы данных и загружаем его на новом сервере. Переводим сайт в нормальный режим и отключаем режим только чтение.\nПосле чего изменяем DNS-записи таким образом, чтобы они указывали на новый сайт. Если вы предварительно уменьшили TTL, то первые посетители начнут приходить уже через 10-15 минут. Кстати не забудьте после изменения DNS-записей снова увеличить TTL.\nЕсли вы все сделали правильно, то для большинства посетителей переезд пройдет незамеченным, особенно если вы подгадаете заключительный этап на время с наименьшей посещаемостью (ночное время, выходной или праздничный день). Самые настойчивые в течении короткого времени будут видеть сообщение, что идут технические работы и некоторые функции сайта ограничены. Полностью переход обычно завершается в течении суток, но не следует забывать о тех DNS-серверах, которые игнорируют TTL, поэтому мы рекомендуем держать старый сервер в работе еще некоторое время, как минимум неделю. В своей практике мы оставляем его в работе до конца оплаченного периода.\nВместо заключения. Некоторые финансовые вопросы. Хостинг - услуга платная и, чаще всего, долгосрочная. Поэтому не следует пренебрегать финансовыми вопросами, особенно если вы не хотите небольших, но иногда достаточно неприятных проблем. Отечественные хостеры как правило практикуют предоплату на срок от месяца, наиболее выгодно оплачивать годовое размещение. Перед окончанием оплаченного периода вам нужно внести новую оплату или услуги вам будут приостановлены.\nЕсли вы этого не сделали, то никаких финансовых санкций к вам применено не будет, а через некоторое время (обычно месяц) все ваши данные будут удалены, до истечения этого периода у вас будет возможность их забрать. Также если вы приобретали у данного поставщика иные услуги, то на них это никак не отразится, будет блокирована, а затем удалена только неоплаченная услуга. Это достаточно просто и понятно и к этому все привыкли.\nУ зарубежных хостеров практикуется принципиально иной подход. Чаще всего оплата списывается ежемесячно, в автоматическом режиме с кредитной карты или через PayPal, если это невозможно, то ежемесячно выставляются счета, которые вы должны самостоятельно оплатить в течении некоторого времени, обычно 14 дней. При этом контракт может быть заключен на больший срок, чаще всего на год.\nСроки расторжения контракта указываются отдельно, для обычно не позже чем за 6 недель до его окончания. Т.е. если вы хотите закончить сотрудничество в конце текущего месяца вы должны были уведомить об этом хостера еще в середине предыдущего. Кроме того, годовой контракт не всегда можно расторгнуть досрочно без уплаты неустойки.\nЧто будет если вы не уведомите провайдера о расторжении контракта? Вам будет выставлен счет за следующий период, либо будет произведено автоматическое списание средств. И даже если вы сразу после этого заявите о расторжении, то вам скорее всего придется оплатить этот месяц и следующий.\nЕсли вы не оплатите счет, то предоставление услуг будет вам приостановлено, но это не освобождает вас от оплаты, так как контракт продолжает действовать. При этом приостановлены могут быть все услуги на вашем аккаунте, что особенно актуально в тех случаях, когда вы приобретаете новую услугу с отказом от старой в пределах одного хостера. Это может оказаться неприятным сюрпризом и привести к дополнительным финансовым тратам.\nВ том случае, если вы покидаете хостера и отключили автоплатеж в его пользу, то взыскать с вас он вряд ли чего сможет, но кто знает, как повернется ситуация и не придется ли вам к нему вернуться. Поэтому лучше не портить свою финансовую репутацию и содержать свои дела в порядке.\nОписанная схема наиболее характерна для европейских хостеров, американские компании могут предлагать иные условия, но опять-таки все упирается в понятие контракта и его автоматическое продление. Так американский хостер может брать оплату сразу за год и если вы явно не откажетесь от его услуг, то контракт будет автоматически продлен, и вы окажетесь перед необходимостью оплатить еще год размещения, либо расторгать контракт через поддержку с уплатой неустойки, остальные ваши услуги на это время могут оказаться заблокированы.\nТакже обратите внимание, что большинство американских хостеров не предоставляют безлимитный трафик, выделяя в рамках тарифа определенный ежемесячный объем, после превышения которого вам выставят дополнительный счет, либо потребуют приобрести дополнительный пакет трафика, услуга при этом также может быть заблокирована. Поэтому при выборе тарифа в Штатах уделите отдельное внимание этому вопросу, может оказаться, что вполне привлекательный по цене тариф окажется неподходящим из-за малого объема трафика, особенно обидно будет это осознать, заплатив за год вперед.\nВ любом случае перед приобретением услуг хостинга, как в России, так и за рубежом внимательно изучите финансовую сторону дела, особенно процесс оплаты и расторжения договора, в т.ч. досрочного, если вам что-то непонятно, то не стесняйтесь уточнить этот момент в поддержке. Не бойтесь показаться назойливым, лучше выяснить все подводные камни и особенности перед заключением контракта, чем столкнуться с неприятным сюрпризом в процессе работы или при его расторжении.\n","id":"81cdb061aa313bbf0aaf4ef59cd0fc65","link":"https://interface31.ru/post/kak-perenesti-sayt-na-drugoy-hosting-bez-prostoya-i-poteri-dannyh/","section":"post","tags":["DNS","Планирование","Сайт","Сетевые технологии"],"title":"Как перенести сайт на другой хостинг без простоя и потери данных"},{"body":"\u0026quot;Учиться, учиться и учиться\u0026quot; - эти слова Владимира Ильича сегодня актуальны как никогда. ОС Windows - сложная система и всегда может найтись очередной ее механизм, который пойдет вразрез с уже имеющимися у администратора знаниями и опытом. Но стоит немного углубиться в теорию и разобраться - как стройная картина будет восстановлена, в противном случае возможна паника на ровном месте и принятие абсолютно необоснованных решений, которые могут очень дорого обойтись.\nНачнем мы с одной реальной истории. Ничто не предвещало беды... На один из самых обычных дней мы запланировали определенный объем работ на территории клиента, довольно крупной компании, имеющей представительства в нескольких городах. Однако утром того дня администратор позвонил мне и сказал, что у них ЧП, организация подверглась хакерской атаке и все отменяется, хотя если мне интересно, то я могу приехать.\nХакерские атаки происходят не каждый день, поэтому я сразу же выехал на объект, где выяснились довольно интересные вещи... Панику поднял молодой администратор регионального представительства, в ходе обычных мероприятий он натолкнулся не некоторые необычные файлы, которые были загружены с привилегиями системы, но отсутствовали на жестком диске. Администратор позвал друга, большого поклонника и постоянного читателя журнала \u0026quot;Хакер\u0026quot;...\nСовместными усилиями молодые специалисты пришли к выводу, что вся их инфраструктура была взломана и в систему были внедрены руткиты. Об этом было незамедлительно сообщено в головной офис и там тоже обнаружились следы хакерской атаки...\nДальнейшее развитие событий могло претендовать на хороший хакерский роман, но все оказалось гораздо прозаичнее и проще. Но обо всем по порядку.\nЕсть одна неплохая утилита от одного из разработчиков Лаборатории Касперского - AVZ, в умелых руках это мощный и удобный инструмент. Но возможности не должны опережать знания. Есть в данной утилите инструмент - Модули пространства ядра, который позволяет посмотреть какие библиотеки и драйвера запущены и работают на уровне ядра. И в выводе данного инструмента неожиданно были обнаружены некоторые интересные вещи. С привилегиями ядра работают три драйвера, которые мало того, что не имеют никаких цифровых подписей, но и просто отсутствуют физически по указанному пути. Если мы откроем C:\\Windows\\System32\\drivers, то указанных файлов мы там не обнаружим.\nО чем тут можно подумать? Версия о взломе кажется в таких условиях вполне реальной и когда проверка выявляет подобные файлы на каждом ПК, то ситуация приобретает совсем невеселый оборот. Но не стоит впадать в панику, все довольно просто.\nНа самом деле это виртуальные драйвера, которые используются для создания дампов аварийного отказа системы.\nВедь даже если внимательно изучить их наименования: dump_diskdump.sys и dump_iaStorA.sys, то напрашиваются мысли, что эти файлы как-то связаны с дисковым драйвером и драйвером дисковой системы от Intel. В порядке эксперимента запустим виртуалку и посмотрим на модули ядра в ней: Там мы видим тот же самый dump_diskdump.sys и dump_LSI_SAS.sys, так как виртуальная машина от VMWare эмулирует именно SAS-диски на контроллере от LSI.\nЧто же - будем разбираться. Для чего нужны эти драйвера? Когда происходит критический отказ системы она не может доверять ни одному процессу, даже файловой системе или драйверу блочного устройства. Ведь отказ системы мог был вызван и этими драйверами.\nПоэтому в момент запуска система резервирует место на диске для записи аварийного дампа и клонирует драйвера, которые отвечают за запись на диск. Если происходит сбой, то система не доверяет работающим драйверам, а использует для записи аварийного дампа на диск их клоны. Смысл данного действия состоит в том, что после клонирования данные драйвера находятся в приостановленном состоянии, сводящем к минимуму ситуацию, когда они окажутся повреждены.\nУтилиты, которые обращаются к этим драйверам пытаются найти файл и считать метаданные и подписи по указанному пути, но эти драйвера не были загружены из файла, поэтому данная попытка не увенчается успехом, и вы увидите картину, приведенную нами выше. Для неподготовленного администратора зрелище довольно неприятное - в системе резвятся процессы, которых нет на диске и которые не имеют цифровых подписей. Ну как тут не уверовать во всемогущих хакеров?\nОднако, как мы только что выяснили, данные файлы абсолютно легальны и предназначены для записи аварийного дампа, как мы могли заметить - их имена довольно очевидны и по ним легко можно определить назначение модуля. Исключение составляет dump_dumpfve.sys, который расшифровывается как Full Volume Encryption и более известен как BitLocker.\nНо это еще не всё...\nВ той же системе обнаружился реально \u0026quot;стремный\u0026quot; драйвер-призрак, имеющий непонятное имя и запускаемый из временной папки: Но тревога снова оказалась ложной, данный процесс оказался драйвером от DrWeb, который нарочно использует такой метод, чтобы ввести в заблуждение вредоносное ПО, выбирая при каждом запуске случайное имя виртуального драйвера.\nС учетом вышесказанного мы только подтвердим лозунг \u0026quot;учиться, учиться и учиться\u0026quot;, потому как без знаний администратор подобен слепому на минном поле. В данном случае все закончилось благополучно, без лишних материальных затрат, простоев. Но это произошло только благодаря нашему вмешательству и терпеливому просвещению всех заинтересованных лиц. И чтобы данная история не повторилась с вами - постоянно повышайте свои знания, которые лишними не бывают.\nПри подготовке статьи использованы материалы: What are these ghost drivers named dump_diskdump.sys and other dump_*.sys that didn't come from any file?\n","id":"3c1bb321070624c3bd7fc3bceddaaddf","link":"https://interface31.ru/post/chto-takoe-drayvery-prizraki-s-imenem-dump-diskdumpsys-i-analogichnym/","section":"post","tags":["Windows 10","Windows 7","Windows 8","Windows Server","Безопасность","Диагностика"],"title":"Что такое драйвера-призраки с именами dump_diskdump.sys и аналогичными"},{"body":"Популярная линейка твердотельных накопителей Smartbuy Ignition продолжает обновляться, к сожалению общие тенденции в бюджетном сегменте таковы, что производители пытаются максимально удешевить свою продукцию. Мы уже рассматривали новую модель линейки Revival построенную на контроллере PS3111-S11, теперь этот контроллер появился и в MLC-семействе дисков. Самое время проверить, что из себя представляет новинка, а также сравнить ее с коллегами по полке.\nНесмотря на то, что в сети относительно новой модели находятся преимущественно положительные отзывы, не будем забывать о том, что Phison PS3111-S11 не является заменой или развитием PS3110-S10, как это иногда пытаются представить. Это контроллеры одного поколения, S10 является основной моделью, а S11 - высокоинтегрированным и более дешевым решением для промышленного применения, в первую очередь для встраиваемых систем.\nС технической точки зрения Phison PS3111-S11 достаточно эффективный контроллер, но специфичность его назначения накладывает вполне ощутимые ограничения, например, отсутствие буферной микросхемы DRAM. В бюджетном сегменте он также пришелся ко двору благодаря более низкой стоимости и достаточно неплохим характеристикам. Но ожидать, что диски на новом контроллере окажутся производительнее старых мы бы не стали.\nНа этот раз в лабораторию к нам попала 60 ГБ модель SmartBuy Ignition Plus SB060GB-IGNP-25SAT3, столь небольшая по нынешним временам емкость обусловлена назначением, партия данных дисков предназначена для кассовых узлов, где большая емкость просто останется невостребованной. Так как 60 ГБ накопители обычно менее производительны, чем 120 ГБ диски, то сравнивать напрямую разные модели будет некорректно, в тоже время общие характеристики и поведение дисков в различных режимах сопоставить вполне возможно.\nДиск поставляется в традиционной комплектации, точнее в полном ее отсутствии, и отличается от других моделей новым, ярким дизайном этикетки. В фантазии дизайнерам из Smartbuy не откажешь, чего не сказать о чувстве фирменного стиля. А слово Plus в названии модели должно, по мнению маркетологов, указать на превосходство этой модели над внутренними конкурентами. В общем, с потребительской точки зрения продукт выглядит достаточно привлекательно. Самое время подключить диск и посмотреть, что предлагают нам под привлекательной оберткой. Начнем традиционно с CrystalDiskMark5: AIDA64 линейное и случайное чтение: Результат ожидаемо хороший, однако как-то выделить диск в этом тесте нельзя, показатели среднестандартные по данному ценовому сегменту. Хотя с чтением у SSD как-раз-таки особых проблем нет, это их традиционно сильная сторона, гораздо интереснее тесты на запись.\nAIDA64 линейная и случайная запись: А вот в отношении записи все далеко не так радужно, в линейном сценарии отработав некоторый кеш объемом в несколько ГБ на высокой скорости, что позволило ему обойти Stels в первом тесте, скорость доступа упала до скромных 168 МБ/с (против стабильных 250 МБ/с у Stels), о сравнении с Ignition 4 речи и вовсе не идет.\nВ сценарии со случайной записью Ignition Plus и Stels выглядят примерно одинаково, данная картина характерна для недорогих контроллеров без DRAM-буфера, к которым относится и PS3111-S11, и SMI2246XT. В тоже время полноценный PS3110-S10 (Ignition 4) в данном тесте показывает стабильные 265 МБ/с на всем объеме записи.\nHD Tune Pro файловый тест: Данный тест использует небольшой объем данных и Ignition Plus за счет внутреннего кеша показывает гораздо лучший результат на запись чем Stels, соперничая на равных со старшим Ignition 4. В повседневных задачах такое поведение гораздо более предпочтительнее, чем равномерная скорость по всему объему (хоть это и красиво выглядит в тестах). Редко кто будет писать на бюджетные диски большие объемы информации, а вот оперировать файлами в пределах гигабайта приходится часто.\nHD Tune Pro время случайного доступа: По этому параметру диск ожидаемо превосходит Stels и уступает Ignition 4, но большого смысла серьезно сравнивать этот показатель у дешевых дисков нет, в сервера их никто в трезвом уме не поставит, а для настольного применения значения более чем достаточны.\nAS SSD Benchmark. Общий тест: По попугаям новинка опять гораздо ближе к Ignition 4 (828), чем к Stels (428), что позволяет сделать выводы, что перед нами хоть и бюджетный контроллер, но хороший бюджетный контроллер. Если не насиловать диск большими объемами данных, то его показатели немногим уступают \u0026quot;старшим товарищам\u0026quot;.\nТест копирования данных: В этом тесте контроллер от Phison уверенно обходит бюджетный Silicon Motion, в тоже время разница между S10 и S11 в данном сценарии практически не видна, что позволяет надеяться на неплохие результаты в реальных задачах.\nА это мы традиционно проверяем при помощи Intel NASPT: В реальных сценариях диск показывает себя достаточно неплохо, немного уступая Ignition 4 и в ряде треков серьезно опережая Stels. Как мы уже не раз убеждались синтетические тесты хорошо помогают понять особенности работы диска, но не говорят, как он будет работать под реальной нагрузкой. Поэтому не стоит пугаться \u0026quot;плохих\u0026quot; результатов в некоторых тестах, но их следует иметь ввиду, чтобы они не стали узким местом именно в вашем случае.\nВыводы Начнем с того, что Phison PS3111-S11 - это хороший бюджетный контроллер, а Ignition Plus - хороший бюджетный диск. Применение MLC-памяти позволило сгладить его слабые стороны, которые существенно испортили впечатление от Revival 2. Но будет ошибкой сравнивать его, как и любые диски на PS3111-S11, с Igniton 4 (PS3110-S10) - это разные контроллеры одного поколения и S10 в любом случае будет производительнее.\nНе стоит верить маркетингу, который позиционирует новые диски как замену старым в пределах своей линейки. Но если рассматривать их отдельно, то все становится на свои места, хотя правильнее было бы назвать новинку не Ignition Plus, а Ignition Lite, что наиболее точно отражает реальный расклад.\nСтоит ли покупать? С учетом того, что Ignition 4 все реже можно встретить в продаже, то выбирать вам придется между Ignition Plus и Stels (мы говорим о моделях с MLC-памятью) и последний явно уступает герою нашего обзора. Поэтому покупать стоит. В большинстве задач данный диск будет не хуже предшественника. Но имейте ввиду и его слабые стороны - низкую скорость запись на больших объемах, если это критично, то придется обратить внимание на более дорогие модели.\nЧудес, к сожалению, не бывает, но если говорить о своем сегменте, то Phison с новым контроллером продолжает удерживать лидирующие позиции и данная модель еще одно тому подтверждение.\n","id":"d1556ba2533291d37391947f4c24154e","link":"https://interface31.ru/post/smartbuy-ignition-plus---byudzhetnoe-prodolzhenie-lineyki/","section":"post","tags":["Phison","Smartbuy","SSD"],"title":"Smartbuy Ignition Plus - бюджетное продолжение линейки"},{"body":"Дедупликация Windows - отличная технология, которая позволяет гораздо более оптимально использовать дисковое пространство и существенно сократить затраты на хранение данных. Но существуют сценарии, при которых использование дедупликации является нежелательным, например, хранилище виртуальных машин и в случае вынужденного включения дедупликации на таких томах, от нее следует отказаться при первой возможности. Однако этот процесс имеет свои особенности, которые мы подробно разберем в данной статье.\nВопреки традициям начнем с короткого практического вступления. После апгрейда дисковой подсистемы в нашей виртуальной лаборатории мы решили отключить дедупликацию и восстановить дедуплицированные данные. Общий объем данных на томе составлял 2,9 ТБ, в сжатом виде он занимал 1,2 ТБ, а емкость дискового массива равнялась 3,63 ТБ. Вроде бы все в порядке и проблем возникнуть не должно, места для восстановленных данных хватает с запасом. Ну тогда запускаем!\nЧерез какое-то время мы с некоторым удивлением наблюдали следующую картину: Но не будем спешить, а прежде всего разберемся в сути происходящих процессов. Начнем с дедупликации, что происходит во время оптимизации данных? Давайте посмотрим на схему ниже: Уникальные данные обозначены синим цветом, а одинаковые блоки зеленым и красным. В процессе дедупликации такие блоки копируются в специальное хранилище и в таблице файлов (MFT) ссылки на них заменяются ссылками на блок хранилища. Оптимизированные блоки могут быть сразу очищены, безо всякого опасения потери данных, тем самым достигается выигрыш в дисковом пространстве.\nВ нашем примере степень дедупликации составила 25%, при этом объем данных на диске уменьшился с 4 ГБ до 2,5 ГБ, но еще 0,5 ГБ оказалось помещено в хранилище.\nА теперь рассмотрим обратный процесс. При восстановлении дедуплицированных данных система последовательно находит блоки, имеющие ссылку на хранилище, извлекает из хранилища нужные данные и записывает их на диск для каждого файла отдельно, заменяя в MFT ссылки на хранилище ссылками на реальные данные. Но блоки их хранилища удалять нельзя, так как они могут быть использованы во множестве иных мест. Процесс удаления неиспользуемых блоков хранилища (уборка мусора) будет запущен после процесса восстановления.\nТаким образом для успешного восстановления нам нужно иметь запас свободного пространства равный размеру данных + размеру хранилища! Размер хранилища в свою очередь зависит от разнородности данных, чем более разнообразные данные хранятся на томе, тем большее количество блоков будет находиться в хранилище и может оказаться так, что свободного места на томе для одновременного расположения восстановленных данных и хранилища не хватит.\nЧто делать в таком случае? Остановить процесс восстановления и принудительно выполнить уборку мусора. Обычно администраторы нервно реагируют на прерывание процессов обработки данных, но в данном случае бояться нечего.\nЦелостность данных обеспечивается на уровне файловой системы NTFS, блок может быть или восстановлен, тогда ссылка в MFT будет указывать на блок данных, либо дедуплицирован - ссылка указывает на хранилище. Даже если произойдет аварийное завершение работы, то NTFS при загрузке изучит журнал и зафиксирует завершенные транзакции и откатит незавершенные.\nДавайте посмотрим еще на одну схему: В процессе восстановления система успела восстановить два нижних файла и частично один верхний, но затем да диске закончилось свободное место. Останавливаем восстановление и запускаем уборку мусора. Сборщик мусора произведет анализ и выяснит, что на красный блок хранилища ссылок в MFT нет и его можно удалить. Таким образом часть места будет освобождена и процесс восстановления можно будет продолжить.\nКак оценить размер необходимого свободного пространства? Достаточно просто, сначала откройте свойства диска, затем выделите все пользовательские данные и оцените их размер. Как видим размер оптимизированных данных 20,7 ГБ, полный размер 64,5 ГБ из них на диске 32,8 МБ. Что это значит? А это означает, что остальной объем данных расположен в хранилище. Так как размером в 38 МБ можно пренебречь, то мы имеем размер хранилища в 20,7 ГБ, поэтому для успешного восстановления данных нам потребуется 85,2 ГБ.\nТеперь, когда вы владеете теорией, можно переходить к практике. Прежде всего отключите все регламентные задания, связанные с дедупликацией, не удаляйте, а именно отключите. Затем откроем консоль PowerShell с правами администратора и запустим процесс восстановления данных:\n1Start-DedupJob -Volume D: -Type Unoptimization Если свободного места для завершения операции нам не хватает, то остановим операцию:\n1Stop-DedupJob -Volume D: Так как данная операция автоматически выключает дедупликацию для тома снова включим ее:\n1Enable-DedupVolume -Volume D: И запустим уборку мусора:\n1Start-DedupJob -Volume D: -Type GarbageCollection По окончании данного процессора снова можно запустить процесс восстановления данных. Для контроля выполняемых процессов используйте команду:\n1Get-DedupJob Однако имейте в виду, что большую часть времени индикатор выполнения находится на нулевом значении, а потом быстро пробегает до 100%, косвенно оценить выполнение задания можно по дисковой активности системы. Скорость восстановления несколько выше скорости дедупликации, но все равно ниже скорости обычного копирования данных. Поэтому если есть возможность скопировать данные, отформатировать том и вернуть их назад - так и следует поступить, будет гораздо быстрее.\nМожно ли работать с данными во время процесса восстановления? Да, можно, но придется мириться с некоторым снижением производительности дисковой подсистемы. Как показывает наш опыт, критического падения производительности не происходит, мы даже смогли запустить несколько виртуальных машин и работать с ними, не испытывая сильного дискомфорта.\nПосле того, как все операции будут завершены еще раз проверьте состояние дедупликации командой:\n1Get-DedupVolume Дедупликация тома должна быть выключена (False в колонке Enabled), если это не так, то выполните:\n1Disable-DedupVolume -Volume D: Как видим, располагая знаниями о происходящих процессах, мы можем успешно выполнить операцию отключения дедупликации и восстановления данных без нервных срывов, простоев и судорожных действий сомнительного содержания, хотя в самом начале ситуация представлялась нестандартной и непонятной.\nПоэтому мы в очередной раз выразим свое твердое мнение, что системный администратор должен в обязательном порядке владеть необходимым минимумом знаний о применяемых им в работе технологиях.\n","id":"efdb5af699e99fb3d9fae7d0a96785d6","link":"https://interface31.ru/post/polnost-yu-vyklyuchaem-deduplikaciyu-v-windows/","section":"post","tags":["PowerShell","Windows 10","Windows 8","Windows Server","Дедупликация"],"title":"Полностью отключаем дедупликацию в Windows"},{"body":"Проблемы, связанные с повреждением профиля пользователя, являются одними из самых распространенных, обычно они сопровождаются сообщениями \u0026quot;Не удается войти в учетную запись\u0026quot; и \u0026quot;Вы вошли в систему с временным профилем\u0026quot;. Поэтому сегодня мы решили рассказать, как устроен профиль пользователя, что может привести к его повреждению и какими методами можно восстановить нормальную работу системы.\nНачнем с симптомов, первым признаком того, что что-то пошло не так служит надпись Подготовка Windows на экране приветствия, вместо Добро пожаловать. Затем вас \u0026quot;порадует\u0026quot; сообщение \u0026quot;Не удается войти в учетную запись\u0026quot; с вариантами повторного входа и продолжения работы. Если закрыть данное окно, то мы увидим еще одно сообщение, немного проливающее свет на происходящее \u0026quot;Вы вошли в систему с временным профилем\u0026quot;. Если профиль временный, то получается, что по какой-то причине постоянный профиль пользователя загрузить не получилось. Поэтому не будем пороть горячку, а постараемся разобраться, что такое профиль пользователя, какие данные он содержит и что может быть причиной невозможности его загрузки.\nВ самом первом приближении профиль пользователя - это содержимое директории C:\\Users\\Name, где Name - имя пользователя, там мы увидим привычные всем папки Рабочий стол, Документы, Загрузки, Музыка и т.д., а также скрытую папку AppData. С видимой частью профиля все понятно - это стандартные папки для размещения пользовательских данных, кстати мы можем спокойно переназначить их на любое иное расположение. В последних версиях Windows переназначить можно даже Рабочий стол. Это вполне удобно и оправданно, с учетом того, сколько всего пользователи держат на рабочих столах, а те же SSD далеко не резиновые. Но речь не об этом, гораздо интереснее то, что скрыто от глаз простого пользователя.\nПапка AppData предназначена для хранения настроек и пользовательских данных установленных программ и в свою очередь содержит еще три папки: Local, LocalLow и Roaming. Рассмотрим их подробнее:\nRoaming - это \u0026quot;легкая\u0026quot; и, как следует из названия, перемещаемая часть профиля. Она содержит все основные настройки программ и рабочей среды пользователя, если в сети используются перемещаемые профили, то ее содержимое копируется на общий ресурс, а затем подгружается на любую рабочую станцию, куда выполнил вход пользователь.\nLocal - \u0026quot;тяжелая\u0026quot; часть профиля, содержит кеш, временные файлы и иные, применимые только к текущему ПК настройки. Может достигать значительных размеров, по сети не перемещается.\nLocalLow - локальные данные с низкой целостностью. В данном случае мы снова имеем неудачный перевод термина low integrity level, на самом деле уровни целостности - это еще один механизм обеспечения безопасности. Не вдаваясь в подробности можно сказать, что высокой целостностью обладают данные и процессы системы, стандартной - пользователя, низкой - потенциально опасные. Если заглянуть в данную папку, то мы увидим там данные связанные с браузерами, флеш-плеером и т.п. Логика здесь проста - в случае какой-либо нештатной ситуации или атаки процессы запущенные из этой папки не будут иметь доступа к данным пользователя.\nА теперь самое время подумать, повреждение каких из указанных данных может привести к проблемам с загрузкой профиля? Пожалуй, что никаких. Следовательно в профиле должно быть что-то еще. Конечно оно есть, и если внимательно посмотреть на скриншот профиля пользователя выше, то мы увидим там файл NTUSER.DAT. Если включить отображение защищенных системных файлов, то мы увидим целый набор файлов с аналогичными именами. Вот мы и подобрались к сути. В файле NTUSER.DAT находится ветвь реестра HKEY_ CURRENT_USER для каждого пользователя. И именно повреждение ветви реестра делает невозможным загрузку профиля пользователя. Но не все так плохо, как может показаться на первый взгляд. Реестр достаточно хорошо защищен от возможных сбоев.\nФайлы ntuser.dat.LOG содержат журнал изменений реестра с момента последней удачной загрузки, что делает возможным откатиться назад в случае возникновения каких-либо проблем. Файлы с расширением regtrans-ms являются журналом транзакций, что позволяет поддерживать ветку реестра в непротиворечивом виде в случае внезапного прекращения работы во время внесения изменений в реестр. В этом случае все незавершенные транзакции будут автоматически откачены.\nНаименьший интерес представляют файлы blf - это журнал резервного копирования ветки реестра, например, штатным инструментом Восстановление системы.\nТаким образом, выяснив из чего состоит профиль пользователя и повреждение какой именно его части делает невозможным загрузку, рассмотрим способы восстановления системы.\nСпособ 1. Устранение проблемы в профиле пользователя Прежде всего, при возникновении проблем со входом в учетную запись следует проверить на ошибки системный том, для этого загрузитесь в консоль восстановления или среду Windows PE и выполните команду:\n1chkdsk c: /f В некоторых случаях этого может оказаться достаточно, но мы будем рассматривать худший вариант. Проверив диск загрузимся в систему и откроем редактор реестра, перейдем в ветку\n1HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ProfileList Слева увидим некоторое количество разделов с именем типа S-1-5 и длинным \u0026quot;хвостом\u0026quot;, которые соответствуют профилям пользователей. Для того чтобы определить какой профиль принадлежит какому пользователю обратите внимание на ключ ProfileImagePath справа: Итак, нужный профиль найден, теперь снова смотрим в дерево слева, в котором должны находиться две ветки, одна из которых с окончанием bak. Теперь наша задача переименовать основной профиль в bak, аbak в основной. Для этого добавляем к основному профилю любое расширение, скажем .ba, затем переименовываем резервный профиль в основной, убрав из его имени .bak, и снова переименовываем ba в bak.\nКстати, могут быть ситуации, когда для вашей учетной записи существует только ветка bak, в этом случае просто уберите ее расширение.\nЗатем находим в новом основном профиле два ключа RefCount и State и устанавливаем значения обоих в нуль. Перезагружаемся. В большинстве случаев, если профиль серьезно не поврежден, данные действия приведут к успеху, в противном случае переходим к способу 2.\nСпособ 2. Создание нового профиля и копирование туда пользовательских данных Официальная документация Microsoft советует в данном случае создать новую учетную запись и скопировать туда данные профиля. Но такой подход порождает целый пласт проблем, так как новый пользователь - это новый субъект безопасности, а, следовательно, мы сразу получаем проблему с правами доступа, кроме того потребуется заново подключить все сетевые учетные записи, заново импортировать личные сертификаты, сделать экспорт-импорт почты (если используете Outlook). В общем развлечений хватит и не факт, что все проблемы удастся успешно преодолеть.\nПоэтому мы рекомендуем иной способ. Снова открываем редактор реестра переходим в\n1HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ProfileList и удаляем все ветви, относящиеся к вашему профилю. Перезагружаемся.\nПосле этого Windows создаст для вашей учетной записи новый профиль, как будто бы первый раз вошли в данную систему. Но ваш идентификатор безопасности (SID), при этом останется неизменным, вы снова окажетесь владельцем всех собственных объектов, сертификатов и т.д., и т.п.\nДля дальнейших действий вам понадобится еще одна учетная запись с правами администратора, создадим ее, в нашем случае - это учетная запись temp. После чего выходим из нашей основной учетной записи (или перезагружаемся) и входим во вспомогательный аккаунт. Наша задача - скопировать все содержимое старой папки профиля, кроме файлов NTUSER, в новую папку. Для этих целей лучше использовать файловый менеджер (Total Commander, Far и т.д.) запущенный с правами администратора.\nПо окончании процесса копирования снова входим в свою учетную запись и проверяем работу аккаунта. Все данные и настройки должны снова оказаться на своих местах. Однако не спешите удалять старую папку и дополнительную учетную запись, возможно некоторые данные потребуется перенести еще раз. Это может быть связано с тем, что некоторые программы, хранящие настройки в поврежденной ветви реестра могут решить, что выполнена новая установка и перезаписать перенесенные файлы, в этом случае достаточно выборочно скопировать необходимые данные.\nПосле того, как вы некоторое время поработаете с системой и убедитесь, что всё находится на своих местах и работает как надо - можете удалить старую папку и дополнительную учетную запись.\n","id":"e2be945ee45cde988c99e32713425e60","link":"https://interface31.ru/post/ustranenie-oshibki-windows-ne-udaetsya-voyti-v-uchetnuyu-zapis/","section":"post","tags":["Windows 10","Windows 7","Windows 8","Восстановление системы"],"title":"Устранение ошибки Windows \"не удается войти в учетную запись\""},{"body":"Взаимоотношения Windows и Linux долгое время были натянутыми, а совместному применению обеих систем мешало большое количество разного рода барьеров, многие из которых были возведены искусственно. Но в последнее время все поменялось и Microsoft неожиданно для многих представила подсистему Windows для Linux, более известную как \u0026quot;Ubuntu в Windows 10\u0026quot;. В данной статье мы расскажем, чем данная подсистема является, чем не является и для чего ее можно использовать.\nЧто такое подсистема Windows для Linux (Windows Subsystem for Linux, WSL)? Это не эмулятор и не виртуальная машина, а именно подсистема, основная задача которой - создать для разработчиков и тестеров привычное Linux окружение в среде Windows. Цели создать полноценную систему у разработчиков не стояло и не стоит, поэтому не следует рассматривать WSL как полноценную замену виртуальной машине, у WSL иные задачи.\nКроме предоставления пользователям Windows привычного Linux окружения разработчики WSL поставили во главу угла вопрос максимальной интеграции двух систем, чтобы вы могли без особых затруднений работать с вашими данными из любой среды. Собственно, с этим и связан ряд ограничений.\nПрежде всего это коснулось файловой системы, для работы Linux подсистемы с диском используется дополнительный слой абстракции в виде Virtual File System (VFS), которая позволяет Linux работать с собственными файлами, расположенными на NTFS, и вообще вся инсталляция Linux представляет собой обычную папку, которую вы можете открыть через проводник, точно также в среде Linux вы можете перемещаться по файловой системе Windows. Удобно? Да. Но ради этого пришлось отказаться от собственных инструментов Linux по работе с файловой системой и дисками, также вы не сможете использовать FUSE.\nВторое ограничение связано с сетью, в Windows 10 1607 сетевая подсистема Linux в WSL не реализована, частично это исправлено в Windows 10 1703, но рассчитывать на полноценную работу с сетью не стоит, потому как сетевой стек Linux в WSL заменен еще одним слоем абстракции, позволяющим использовать для работы сетевые возможности Windows.\nПосле прочтения этих строк многим может показаться, что Microsoft подсунула им какую-то урезанную версию Linux, но здесь следует остановиться и еще раз перечитать первые абзацы данной статьи: WSL - не виртуальная машина, это - подсистема.\nВ чем плюсы данного подхода? Во-первых - экономия ресурсов, запущенная виртуальная машина гарантированно потребляет нужный для работы ОС объем оперативной памяти, не оптимально расходует дисковое пространство, хотя бы потому что вам придется держать две копии рабочих файлов, на хосте и внутри виртуалки. Это может быть критично для слабых машин, например, для ноутбука, который, зато удобно брать с собой для демонстрации результата работы заказчику.\nВо-вторых, простой совместный доступ к данным из обоих сред. Вы можете редактировать нужный файл в любимом редакторе под Windows и тут-же видеть результаты в работающем на Linux приложении.\nИ наконец, это полноценная Linux среда, аналогичная производственной, поэтому вы можете быть уверены, что с переносом в рабочую среду проблем у вас не возникнет, особенно если там вы используете аналогичные версии ПО.\nКак установить подсистему Windows для Linux Установить WSL довольно просто, для начала воспользуйтесь новой Панелью управления и включите в ней Режим разработчика. Затем в классической Панели управления откройте оснастку Программы и компоненты - Включение и отключение компонентов Windows и установите компонент Подсистема Windows для Linux (бета-версия). Теперь откройте командную строку и выполните команду:\n1bash затем ответьте на несколько простых вопросов.\nВажно! Важно! Для успешной установки WSL вы должны осуществить вход в систему с учетной записью Microsoft.\nНа этом установка закончена и вас встречает командная строка Linux, можете начинать обживать систему. В этом плане WSL ничем не отличается от обычного Linux, в вашем распоряжении привычный пакетный менеджер и родные репозитории Ubuntu. В Windows 10 1607 это Ubuntu 14.04 LTS, а в выпуске 1703 - Ubuntu 16.04 LTS, которая также была доступна в инсайдерских версиях. Подсистема установлена, это хорошо, самое время рассмотреть ее типичные применения.\nАдминистрирование Linux-систем Как известно, для удаленного администрирования Linux нет ничего лучше Linux. Если же ваша основная система Windows, то для работы с Linux серверами вам потребуется сразу несколько инструментов, как правило джентельменский набор составляют PuTTY и WinSCP, если вы используете аутентификацию по ключам, то к ним еще добавится Pageant. Это проверенные временем и эффективные инструменты, но постоянно переключаться между ними не совсем удобно.\nИспользуя WSL, вы окунаетесь в родную среду и вам не нужно постоянно скакать между окнами. Тем более что SSH позволяет делать много интересных вещей. Например, удаленно выполнять команды и скрипты, получая результат на свой ПК. Допустим вы хотите скопировать с рабочего сервера свой конфиг Squid, чтобы разместить его на форуме. Нет ничего проще, выполните что-то вроде:\n1ssh user@example.com \u0026#39;cat /etc/squid3/squid.conf\u0026#39; | grep -v \u0026#39;^#\u0026#39; | sed \u0026#39;/^$/d\u0026#39; \u0026gt; /mnt/c/Users/andrey/Desktop/mysquid.conf.txt Первая часть команды соединяется по SSH с удаленным сервером example.com под учетной записью user и выводит в стандартный поток локальной системы содержимое squid.conf. Затем мы выбираем все строки, кроме комментариев, удаляем пустые, и выводим то, что осталось в файл на рабочем столе Windows-системы. Как видим, WSL позволяет удобно соединить в единое пространство удаленную систему, локальный Linux и вашу Windows. Никаких преград больше нет, передавайте и обрабатывайте файлы не задумываясь где они находятся и откуда и куда их надо скопировать или переместить.\nТакже вы можете легко выполнять на удаленном сервере локальные скрипты, особенно если их размещение в удаленной системе нежелательно (потенциально небезопасны, содержат приватные данные и т.д.). Для этого выполните:\n1ssh user@example.com \u0026#39;bash -s\u0026#39; \u0026lt; local_script.sh Вообще на данную тему можно говорить бесконечно, а так как задача данной статьи познакомить вас с основными применениями WSL, то закончим на этом и пойдем дальше.\nРазработка Если вы занимаетесь разработкой на PHP, Python и т.п. языках, то вы можете отлаживать собственные проекты сразу в родной среде, продолжая при этом использовать привычные инструменты разработки. Достаточно разместить проект в контейнере WSL и одновременно работать с ним из Windows-приложений, так как все данные внутри WSL доступны через обычный проводник.\nЭто удобно тем, что вы сразу видите результат ваших действий, достаточно просто сохранить изменения. Не нужно передавать измененный файл на тестовый сервер, контролировать версии и т.д., и т.п.\nКроме того, можно и наоборот использовать Linux-инструменты для работы с Windows проектами, например, git. Да, он существует и под Windows, но более удобно работать с ним в его родной среде.\nЧтобы создать git-репозиторий, скажем, проекта Visual Studio, достаточно перейти в в его каталог и инициализировать новый репозиторий:\n1cd /mnt/c/Users/andrey.DESKTOP-D6QHDVP/Documents/Visual\\ Studio\\ 2017/Projects/WindowsApp1/ 2git init Собственно, данная задача - одно из основных предназначений WSL - предоставить разработчикам удобную мультиплатформенную среду. Следует признать, что это у Microsoft получилось.\nСайтостроение Мы сознательно не стали включать этот вид деятельности в разработку, так как при всей схожести они имеют и достаточно различий. Если разработка подразумевает написание собственного веб-приложения или серьезную доработку существующего, то сайтостроение чаще подразумевает работу с готовыми решениями, а основные изменения как правило касаются внешнего вида и вносятся на уровне шаблона или CSS.\nВ качестве тестового сервера для такой работы обычно используется что-то вроде XAMMP/Денвер/Open Server и т.д. Нисколько не умаляя достоинств этих пакетов следует признать и их серьезные недостатки. Главный из которых - существенное отличие тестовой среды от производственной, что может породить проблемы при переносе проекта. Это могут быть как ошибки в путях, так и более серьезные проблемы, связанные с неправильным конфигурированием веб-сервера (например, через директивы htaccess), либо отсутствием каких-либо модулей.\nКроме того данные пакеты не позволяют выполнить еще одну важную задачу - проверку производительности и ее тонкую настройку, которую придется выполнять уже в производственной среде.\nПодсистема Windows для Linux будет настоящей находкой в данном случае, потому что позволяет запустить локально полную копию производственной среды и работать в условиях максимально приближенным к реальным. А дополнительное удобство обеспечивается тем, что все файлы вашего сайта также будут доступны локально в Windows-системе, что дает возможность использовать привычные инструменты для работы с ними. Кроме того, вы можете использовать все богатство инструментов Linux для отладки вашего сайта, например, curl для работы c HTTP-запросами. Да, curl есть и под Windows, но в Linux мы легко можем передать результат по конвейеру и обработать его нужным нам образом. Довольно распространенной задачей при переходе на HTTPS является поиск небезопасного содержимого, обычно это картинки или скрипты подключенные в коде страницы по небезопасному протоколу, эту задачу легко решить, скомбинировав работу двух команд:\n1curl https://example.com/index.html | grep http:// Как видим, для веб-разработчика WSL представляет не только удобную тестовую среду, но и является удобным инструментом по отладке, заменяя множество отдельных утилит и инструментов.\nРабота с файлами и данными Windows Мы думаем, что каждый, кто работал в Linux отмечал все богатство и широкие возможности консольных утилит в плане обработки и изменения данных. Быстро найти и отобрать по фильтру, произвести замену одного значения на другое, причем все это одновременно и с выводом результата в нужное место. Теперь все это доступно вам и в Windows.\nМногие задачи, которые в Windows требуют применения стороннего софта или написания пакетных файлов в Linux часто решаются в одну строку. Например, пакетное переименование по маске:\n1rename \u0026#39;s/DSCN/My_Photo/g\u0026#39; *.JPG Приведенная выше команда переименует в текущей директории все файлы JPG с именем типа DSCN1023.JPG в файлы вида My_Photo1023.JPG. Другая распространенная задача - заменить пробелы в именах файлов на подчеркивание. Тоже очень просто:\n1rename \u0026#39;s/ /_/g\u0026#39; * Задача посложнее. Есть некая база в формате CSV, которая содержит ФИО, телефон и еще некоторую информацию, допустим нам надо отобрать из нее записи по каждому из мобильных операторов. Отлично, набираем в консоли:\n1cat base.csv | egrep \u0026#34;7910|7919|7980\u0026#34; \u0026gt; mts.csv После ее выполнения получим новый файл, который содержит записи только с телефонами оператора МТС, коды которого мы указали как условие для утилиты egrep.\nЕстественно, возможности подсистемы Windows для Linux не исчерпываются перечисленными примерами, мы привели лишь некоторые из них, чтобы вы могли лучше понять, для чего предназначена данная подсистема и что можно делать с ее помощью. Надеемся, что данный инструмент займет достойное место в вашей системе и поможет наиболее эффективно использовать все достоинства каждой из ОС.\n","id":"988fb347be7602051442dc816e110036","link":"https://interface31.ru/post/obshhiy-vzglyad-na-podsistemu-windows-dlya-linux/","section":"post","tags":["Ubuntu Server","Windows 10","WSL"],"title":"Общий взгляд на подсистему Windows для Linux"},{"body":"Стремительное развитие технологий хранения данных в течении последних нескольких лет приучили нас к тому, что параметры твердотельных дисков постоянно улучшаются, а цены на них падают. Однако сегодня уже можно говорить о том, что рынок подошел к своему нижнему пределу, за которым дальнейшее снижение цены становится невозможным. Особенно это заметно в бюджетном сегменте, где падать больше некуда, и многие производители пошли по пути оптимизации устройств с целью получения большей прибыли.\nЕсли посмотреть на ситуацию со стороны производителя, то устройства нижнего ценового диапазона - это продукция с высоким спросом и низкой прибылью на единицу. Проще говоря - нужно считать каждую копейку и никакие расточительства здесь неуместны. Покупатель в бюджетном сегменте голосует исключительно кошельком и в конкурентной борьбе победит тот, кто сумеет получить лишний рубль, поддерживая близкую к конкурентам цену.\nВ свою очередь грамотный покупатель стремится получить за свои деньги не просто недорогое устройство, а лучшее из того, что есть на рынке за эти деньги, таким образом оказываясь с противоположной стороны баррикад. Несмотря на то, что данное противостояние старо как мир, в последнее время всё большую роль в нем играет фактор маркетинга, который способен напустить туману и значительно исказить реальную картину. Поэтому мы предпочитаем вместо слепой веры в маркетинговые обещания проверять устройства на практике и делать самостоятельные выводы.\nПрежде чем переходить к обзору новинки предлагаем вам вспомнить историю контроллеров Phison и принципы построения линейки продуктов. Первыми шагами компании на рынке SSD были контроллеры PS3105-S5 и PS3107-S7, но первый блин вышел комом, производительностью контроллеры не блистали, а кроме того имели аппаратные проблемы и ошибки в прошивках. Но сразу отметим одну особенность, если PS3105-S5 представлял собой \u0026quot;обычный\u0026quot; контроллер, то PS3107-S7 являлся высокоинтегрированным промышленным решением, более дешевым и более компактным, в первую очередь для встраиваемых решений и mSATA.\nДля достижения требуемых характеристик в S7 отказались от внешней микросхемы DDR-буфера, встроив небольшое количество DRAM (16-32 МБ) в сам контроллер. Последствия такого решения очевидны - S7 имел более низкий уровень производительности, особенно на операциях записи. Но следует понимать, что для тех систем, куда он был предназначен, на первое место выходили вопросы компактности, стоимости и энергопотребления, нежели производительности.\nУчтя первый опыт и проделав работу над ошибками Phison выпустила на рынок контроллер PS3108-S8, который стал своего рода бюджетной легендой, предоставляя отличные показатели за разумные деньги. Например, на нем выполнен популярный Smartbuy Ignition 2, который позволил компании прочно закрепиться на рынке SSD дисков. В пару к S8 был выпущен промышленный PS3109-S9, который также отличался меньшей производительностью, но более высокой степенью интеграции и более низкой стоимостью.\nВ следующем поколении контроллеров Phison представил, без преувеличения, отличный PS3110-S10, выполненные на нем как MLC, так и TLC диски заслуженно получили нашу высокую оценку и были рекомендованы к приобретению. Так в чем же интрига? А в появлении PS3111-S11, как уже понял внимательный читатель, это промышленная модель, менее производительная, но более дешевая и более интегрированная вариация S10. Да, это так, но к компании Phison у нас нет никаких претензий, а вот к маркетологам Smartbuy вопросы у нас будут, но обо всем по порядку.\nКак поставщик недорогих SSD Smartbuy успел себя неплохо зарекомендовать, а некоторые модели, такие как Ignition 2/4 и Revival стали настоящими хитами, предлагая за очень скромный ценник характеристики заметно выше чем у конкурентов. И вот недавно на полках магазинов стало появляться второе поколение популярных линеек, в том числе и Revival, скромно обозначаемое числом \u0026quot;два\u0026quot; в названии. При этом новые диски внешне абсолютно идентичны старым, имеют точно такую же наклейку и упаковку, отличие только в наименовании.\nВ нашу лабораторию поступил 120 Gb SmartBuy Revival 2 SB120GB-RVVL2-25SAT3 поставляемый в традиционной для Smartbuy картонной коробке с полным отсутствием в комплекте еще чего либо: Если сравнивать с упаковкой первой модели, то самое время поиграть в \u0026quot;найди 10 отличий\u0026quot;, кроме одинакового внешнего вида обе модели имеют еще и одинаковую цену, в российской рознице они стоят примерно 57-59$. Так в чем же подвох? А подвох в контроллере: Revival построен на базе PS3110-S10, а Revival 2 на PS3111-S11. На чем сказалась такая замена мы еще увидим ниже, но для неподготовленного покупателя новая модель будет выглядеть как продолжение неплохой линейки и ожидать он будет характеристик на уровне старой модели, во всяком случае не хуже. Консультанты тоже вряд ли что смогут подсказать, мы специально несколько раз задавали вопрос \u0026quot;в чем отличие моделей\u0026quot;, получая малосвзяный ответ \u0026quot;новая модель, новый контроллер\u0026quot;.\nА раз так, то только тестирование и сравнение обоих моделей способно внести окончательную ясность в данный вопрос, чем мы собственно сейчас и займемся. Далее в иллюстрациях, если не будет указано иного, результаты для Revival будут располагаться слева, а Revival 2 - справа.\nПервый тестом будет уже традиционный CrystalDiskMark5: На первый взгляд большой разницы у дисков нет, не считая провал на чтении с большой глубиной очереди, но это нехарактерная для настольных применений нагрузка. А в остальном общие характеристики у обоих моделей совпадают. Если ограничиться только этим тестом, то диски можно смело ставить рядом на полку и заявлять, что они \u0026quot;практически одинаковы\u0026quot;, но мы пойдем дальше.\nHD Tune Pro, чтение: В тестах на чтение оба диска снова показывают практически одинаковый результат, но обращает на себя внимание гораздо более высокое время доступа у Revival 2 - 0.188 мс, против 0,042 мс.\nHD Tune Pro, Revival, запись: AIDA 64, Revival 2, запись: А вот здесь видны первые отличия, если Revival заполнив SLC-кеш просто переключается в TLC-режим и пишет остаток диска на стабильной скорости около 90 МБ/c, то Revival 2, при схожем размере SLC-кеша падает потом до совсем низких 35-40 МБ/с. И если 90 МБ/с хоть и немного, но вполне сравнимо с жестким диском и психологически приемлемо, то 40 МБ/с скорость присущая более флешкам и абсолютно некомфортная. Да, единовременная запись большого объема информации - задача для повседневного использования нетипичная, но столкнувшись с ней, например, устанавливая большой программный пакет или игру вы будете неприятно удивлены.\nМы провели эразц-тест - отправили на отформатированный Revival 2 примерно 100 ГБ крупными файлами, результат в дополнительных комментариях не нуждается: HD Tune Pro, файловый тест: Размер данных данного теста полностью помещается в SLC-кеш, поэтому разница между дисками снова не столь очевидна, однако Revival в этом тесте показывает немного более высокую производительность.\nВремя случайного доступа: Результат Revival2 ожидаемо оказался ощутимо более низким. Разница в тесте с размером блока 4 КБ (основной для современных систем) достигает почти двукратной величины. В целом результат для промышленной модели неплохой, но по сравнению с предыдущей моделью в линейке Smartbuy - это однозначно шаг назад.\nAS SSD Benchmark. Общий тест: Опять таки, если не копать вглубь, то общие результаты могут создать ошибочное впечатление, что новые диски ничуть не хуже, а в чем-то может и лучше старых. Но уже следующий тест показывает, что это не так: Данные сценарии более приближены к реальным и на них новый диск уступает старому приблизительно на 10-20%. В общем и целом, ситуация вполне понятна и результат вполне ожидаем, но это после того, как мы выяснили что у дисков внутри. А вот что делать тем, кто, прочитав отличные отзывы о Revival пошел и купил Revival2?\nДа, за эти деньги трудно рассчитывать на что-то более производительное, но вся соль ситуации в том, что Revival и Ignition 4, продававшиеся по очень невысокой цене, стояли на голову выше своих коллег по ценовому диапазону. В общем, как говорится, осадочек останется.\nНу и напоследок посмотрим реальные сценарии из Intel NASPT: Полученные результаты ярко иллюстрируют все то, о чем мы писали выше. На задачах чтения или там, где записываемые данные помещаются в SLC-буфер Revival 2 показывает близкую к Revival производительность. А вот там, где возникает необходимость записать достаточно большое количество данных результаты становятся иногда просто неприличными (например, запись HD-видео).\nВыводы В начале данной статьи мы не зря делали отступление касательно экономики бюджетного сегмента, потому как полученные результаты нужно рассматривать сугубо через экономическую призму. С технической точки зрения Revival 2 объективно хуже Revival, что соответствует заявленной разнице в производительности контроллеров PS3110-S10 и PS3111-S11.\nНазвать последний контроллер плохим тоже нельзя, это бюджетный контроллер нишевого применения. Там, куда он нацелен, просто не предусмотрены задачи, в которых он откровенно слаб. Ну не будет никто на встраиваемых системах копировать большие объемы данных или записывать HD-видео. То, что он используется для дисков широкого применения не делает его хуже, но накладывает определенные ограничения, которые следует учитывать.\nСам Revival 2 также не является плохим диском, в своей ценовой нише, рядом с теми же Splash и Stels он выглядит вполне адекватно. Другое дело, что Revival и Ignition 4 были гораздо более производительными моделями и объективно должны были стоять на более высокой ступени ценового диапазона. А так как чудес не бывает, особенно там, где считают каждую копейку, то произошло то, что должно было произойти. Как только у производителя (пусть даже \u0026quot;производство\u0026quot; сводится к упаковке и поклейке своих наклеек) появилась возможность сэкономить лишний рубль, то он сразу же это сделал, пусть и ценой некоторого ухудшения производительности.\nСтоит ли покупать Revival 2? Ответ зависит от того, что вы хотите получить. Если вам нужен диск в обычный офисный ПК, кассовый узел или автоматизированное рабочее место, то почему бы и нет. Особенно если вы точно знаете, что задач, которые упрутся в его слабую сторону, у вас не предусмотрено.\nЕсли же вам нужен недорогой хороший SSD, то следует поискать Revival или Ignition 4 (или вообще любую иную модель на PS3110-S10).\nК сожалению, экономика бюджетного сегмента нацелена на максимальное удешевление производства и поэтому то, что мы видим на примере Revival 2 является нормой. Это как раз та планка производительности, которая стоит заявленных денег. Модели на PS3110-S10 были приятным исключением, но недолго, только до выхода PS3111-S11. Хотя не исключено, что мы скоро снова их увидим, только под другой этикеткой и с другим ценником.\n","id":"36df9c8a6b1b4936665f592ff42c88ee","link":"https://interface31.ru/post/smartbuy-revival-2-nedolgo-muzyka-igrala/","section":"post","tags":["Phison","Smartbuy","SSD"],"title":"Smartbuy Revival 2 - недолго музыка играла..."},{"body":"Своевременное и полное обновление является залогом безопасной и стабильной работы современных операционных систем. Поэтому системные администраторы должны всегда иметь актуальные знания о работе систем автоматического обновления. Однако практика показывает, что внесенные Microsoft осенью 2016 года изменения в модель работы Windows Update до сих пор остаются неизвестными достаточно большому количеству специалистов, что способно вызвать серьезные проблемы в работе службы обновления Windows.\nНадо отметить, что данные нововведения уже успели собрать волну негативных отзывов, особенно от владельцев Windows 7, для неподготовленного администратора ситуация выглядит примерно следующим образом: \u0026quot;столько лет все работало, а тут взяли и поломали...\u0026quot;. Однако, прежде чем делать скоропалительные выводы следует разобраться в причинах, побудивших Microsoft к изменению модели обновления. Для примера мы будем рассматривать Windows 7, так как она позволяет наиболее полно показать ситуацию, однако сказанное ниже справедливо для всех выпусков Windows, исключая Windows 10, в которой новая модель была внедрена изначально.\nОсновная проблема старой модели обновления заключалась в том, что чем больше времени проходит с момента выпуска ОС, тем сложнее и запутаннее становится ситуация с обновлениями. Во-первых, это большой объем обновлений которые следует скачать и установить после чистой установки ОС. Подобную картину, мы думаем, неоднократно видел каждый: По данным Microsoft, начиная с выпуска Windows 7 SP1 было опубликовано свыше 4000 обновлений. Конечно, общее число обновлений к установке будет меньше, так как многие обновления были заменены или поглощены более свежими версиями, но это только запутывает ситуацию и создает сильную фрагментацию конечных систем.\nКосвенно оценить масштаб проблемы можно опираясь на размер ОС, так после чистой установки размер занимаемый Windows 7 составляет около 9,25 ГБ, после последовательной установки всех обновлений он вырастет до 26 ГБ, очистка от устаревших обновлений позволит уменьшить занимаемое место примерно до 18 ГБ. Таким образом объем выбывших из игры обновлений приближается к объему чистой системы и составляет около 8 ГБ.\nНо основная проблема не в занимаемом обновлениями месте, 8 ГБ по меркам современных систем - это пренебрежимо мало, проблема в фрагментации. Разные системы могут иметь разный набор обновлений, что приведет к бесконечно большому количеству сочетаний версий библиотек и системных файлов, способному вызывать разнообразные конфликты и неполадки. Мы неоднократно сталкивались с ситуацией, когда внешне одинаковые системы, на одинаковом железе, с одинаковым набором софта вели себя в некоторых ситуациях по-разному, в большинстве случаев ситуацию спасало методичное выкачивание и установка всех доступных обновлений.\nТакая ситуация, когда две внешне одинаковых системы являются одинаковыми только внешне - настоящий кошмар для любой службы техподдержки и разработчиков ПО и с этим надо было что-то делать. В итоге в Windows 10 применили принципиально иной подход - кумулятивные пакеты обновлений, когда для приведения системы в актуальное состояние достаточно получить всего лишь один, последний, пакет обновлений. Кстати, аналогичным образом работает и система обновления в Linux, вы всегда получаете последний срез репозитория пакетов.\nВ связи с этим, начиная с октября 2016 года, все системы, выпущенные перед Windows 10 переводятся на новую модель обновлений, которую схематически можно представить следующим образом: Начиная с этого момента будет доступно два основных вида обновлений: обновления безопасности и ежемесячные накопительные пакеты. Обновления безопасности не являются накопительными и содержат пакеты исправлений только за текущий месяц, данное обновление предназначено для корпоративных клиентов и распространяется только через WSUS и SCCM, а также доступно для загрузки вручную в Каталоге Microsoft Update.\nЕжемесячные накопительные пакеты содержат в себе обновления безопасности и обновления ОС за текущий и предыдущие месяцы. Они доступны для загрузки через Windows Update, WSUS, SCCM и Каталог Microsoft Update.\nОба типа пакетов выпускаются каждый второй вторник месяца. Так, например, во второй вторник октября будут выпущены обновление безопасности за октябрь и накопительный пакет, в который войдет октябрьское обновление безопасности и октябрьские обновления ОС.\nКаждый третий вторник месяца дополнительно выпускается предварительный ежемесячный пакет обновлений, который кроме содержимого октябрьского пакета содержит предварительные версии обновлений ОС за следующий месяц (ноябрь), он не является обязательным, но может быть загружен для тестирования.\nВо второй вторник ноября также будет выпущен ноябрьский пакет безопасности, который будет содержать только обновления безопасности текущего месяца, и ноябрьский ежемесячный пакет, который будет содержать обновления безопасности и обновления ОС за два месяца - октябрь и ноябрь. В третий вторник ноября увидит свет предварительный ежемесячный пакет, в котором будут уже декабрьские обновления ОС.\nВ декабре выйдет обновление безопасности за декабрь и ежемесячный пакет, который будет содержать обновления уже за три месяца.\nНа этом месте внимательный читатель заметит, что обновления в накопительные пакеты начинают собираться только с октября 2016, а как быть с обновлениями, выпущенными до этого времени?\nПонимая, что нельзя в одночасье поменять всю систему, Microsoft запланировала поэтапный переход на новую модель:\nМай - Сентябрь 2016 - новые обновления упаковываются в ежемесячные пакеты Октябрь 2016 - Январь 2017 - в ежемесячные обновления включаются пакеты предыдущих месяцев Февраль - Июнь 2017 - в пакеты будут активно включаться обновления предыдущих периодов Июль 2017 - окончание поддержки - ежемесячный пакет обновлений содержит все доступные обновления Кроме этого в марте 2016 года был выпущен Convenience Rollup для Windows 7 (KB3125574), который содержит все обновления начиная с выпуска SP1 в 2011 году. Таким образом для обновления системы в период до июля 2017 года вам понадобится:\nУстановить Convenience Rollup для Windows 7 и Windows Server 2008 R2 Установить \u0026quot;ноябрьское обновление\u0026quot; KB3000850 для Windows 8.1 и Windows Server 2012 R2 Установить все доступные обновления, выпущенные до октября 2016 Установить последнее ежемесячное обновление Еще один актуальный вопрос, который возникает после ознакомления с новой моделью обновлений, это размер ежемесячного пакета обновлений. Однако, вопреки опасениям многих, катастрофического размера загружаемых обновлений не произойдет. Например, Convenience Rollup, содержащий обновления за 5 лет, имеет объем всего 476,9 МБ. Это объясняется тем, что вместо последовательного набора обновлений данный пакет содержит самые последние версии файлов, исключая все промежуточные варианты. Объем чистой системы после установки Convenience Rollup также вырастет всего лишь с 9,25 ГБ до 12 ГБ.\nТаким образом многочасовые поиск, скачивание и установка обновлений потихоньку отходят в прошлое и очень скоро установив систему с дистрибутива любой степени давности достаточно будет скачать единственный пакет обновлений относительного небольшого размера и получить актуальную версию используемой системы.\n","id":"e701211f8cd8f18cf0fc18c2d16ce42f","link":"https://interface31.ru/post/kak-rabotaet-novaya-nakopitel-naya-model-obnovleniya-windows/","section":"post","tags":["Windows 7","Windows 8","Windows Server","Windows Server 2012","Windows Update"],"title":"Как работает новая накопительная модель обновления Windows"},{"body":"Суета, сопровождавшая внедрение ЕГАИС, к счастью прошла. Система перешла из разряда нового и непривычного в повседневную действительность и теперь самое время задуматься об оптимизации инфраструктуры. Не секрет, что внедрение ЕГАИС часто проходило под лозунгом \u0026quot;успеть сделать как-нибудь, лишь бы работало\u0026quot;, поэтому многое следует переделывать. В этом ключе определенный интерес вызывает размещение УТМ на платформе Linux, о чем и пойдет речь в настоящей статье.\nВнимание! Важно! Данная статья рассказывает об установке устаревшей версии УТМ, которая не пригодна для работы с ЕГАИС. Для установки актуальной версии УТМ 4 воспользуйтесь материалом: ЕГАИС. Устанавливаем УТМ 4.2.0 на Debian (Ubuntu)\nЦелевой платформой для разработчиков УТМ - АО «ЦентрИнформ» - является Debian 7 / 8, архитектура пакетов x86. В наше время, когда 32-х разрядные системы практически сходят со сцены, это выглядит несколько странно, но лучше так, чем вообще никак. Разработчикам следует сказать спасибо только за то, что поддержка Linux есть и она не на словах, а на деле. Мы протестировали в рабочих условиях УТМ на Debian 8 и Ubunu 16.04 LTS и убедились в стабильной работе транспортного модуля, что дает возможность смело рекомендовать такое решение к применению.\nЗдесь же хочется сказать много \u0026quot;интересного\u0026quot; в адрес разработчиков ФСРАР, однако по причине непечатности делать этого не будем. Понятно, что полноценная поддержка Linux госорганами - это пока недостижимая мечта, но ориентироваться при разработке современной онлайн-системы на Internet Explorer - не выдерживает никакой критики. Да, мы про Личный кабинет на сайте egais.ru, для доступа в который вам придется найти машину с Windows и Internet Explorer.\nНо это все лирика, поэтому перейдем непосредственно к установке. Несмотря на то, что мы для тестов использовали настольные системы Linux, УТМ никак не привязан к графической оболочке и будет прекрасно работать в серверном варианте установки ОС.\nПрежде всего добавим поддержку 32-битной архитектуры:\n1dpkg --add-architecture i386 Затем скачаем и установим ключ репозитория ЦентрИнформа (предварительно перейдя в домашнюю папку):\n1cd 2wget http://46.34.133.83/CenterInform-pubkey.asc 3apt-key add CenterInform-pubkey.asc После чего создадим файл со списком источников пакетов в /etc/apt/sources.list.d\n1touch /etc/apt/sources.list.d/utm.list и разместим в нем следующий текст:\n1deb [arch=i386] http://46.34.133.83/ wheezy main Теперь следует обновить список пакетов командой:\n1apt-get update Теперь установим зависимости:\n1apt-get install libc6:i386 libncurses5:i386 libstdc++6:i386 libssl1.0.0:i386 Информация Важно! В Debain 9 вместо пакета libssl1.0.0:i386 следует установить пакет libssl1.0.2:i386\nИ необходимые для работы ключа пакеты:\n1apt-get install pcscd libpcsclite1:i386 Также установим пакет supervisor, который понадобится нам для управления службами УТМ:\n1apt-get install supervisor После чего установим сам транспортный модуль:\n1apt-get install u-trans Службы УТМ будут автоматически запущены после установки. Для работы с ними следует использовать службу supervisor, которая позволяет автоматически запускать и управлять работой программ, не являющихся службами Linuх. Такой подход разработчиков довольно оправдан, вместо того, чтобы писать стартовые скрипты для всего набора актуальных дистрибутивов и отслеживать актуальные тенденции, такие как переход на systemd, проще запускать УТМ через системный сервис, правильная загрузка которого обеспечивается самой системой.\nЧтобы просмотреть весь список работающих через supervisor программ наберите:\n1supervisorсtl status В качестве результата вы увидите все три службы УТМ и статус каждой из них. Для управления программами используйте:\n1supervisorсtl start | stop | restart | status programm где programm - имя нужной программы. Например, следующая команда покажет статус службы utm:\n1supervisorсtl status utm а эта перезапустит ее:\n1supervisorсtl restart utm Если вы изменили тип ключа, скажем заменили JaCarta на Рутокен, то УТМ следует переустановить:\n1apt-get remove u-trans После чего замените ключ и снова выполните:\n1apt-get install u-trans Сам УТМ располагается в директории /opt/utm и по структуре папок ничем не отличается от своего Windows-аналога, логи также следует искать в привычном расположении внутри папок УТМ, а не в /var/log.\nВ остальном работа с УТМ происходит как обычно и никаких затруднений использование Linux-платформы вызывать не должно.\n","id":"e40461cf958ccd4737bf04bc9f76fecd","link":"https://interface31.ru/post/egais-ustanavlivaem-utm-na-debian-ubuntu/","section":"post","tags":["Debian","Ubuntu","Автоматизация","ЕГАИС"],"title":"ЕГАИС. Устанавливаем УТМ на Debian (Ubuntu)"},{"body":"В наших прошлых материалах мы рассматривали установку бесплатного гипервизора Hyper-V как одной из ролей Windows Server. Одним из недостатков этого метода является необходимость наличия лицензии на серверную OC, что в ряде случаев может привести к дополнительным затратам, в тоже время существует автономный продукт Hyper-V Server, который позволяет использовать одноименный гипервизор без каких-либо ограничений совершенно бесплатно. Однако он более сложен в установке и первоначальной настройке, которые и станут предметом нашей сегодняшней статьи.\nПрежде всего внесем ясность в термины. Hyper-V - это бесплатный гипервизор от компании Microsoft, работающий на платформе Windows. Первоначально поддерживались только серверные версии, но начиная с Windows 8 (редакции не ниже Pro) его можно использовать и в настольных ОС. Несмотря на то, что Microsoft явно не обозначает редакции гипервизора, новые поколения ОС содержат в себе новые версии Hyper-V. Так как степень интеграции Hyper-V в ОС достаточно велика, то вы не можете обновить версию гипервизора отдельно от версии ОС.\nЕсли ориентироваться по версии конфигурации виртуальных машин, то можно говорить о восьми поколениях Hyper-V, версию 8.0 содержат Server 2016 и Windows 10 (1607). Наиболее распространенные Windows Server 2012 R2 (и Windows 8.1) имеют пятое поколение гипервизора.\nТаким образом, если мы хотим использовать последнюю версию гипервизора, то нам нужна последняя версия ОС. А так как лицензии на Windows не допускают использования более поздних выпусков ОС, то бесплатный Hyper-V может оказаться не таким уж бесплатным. Аналогичные затруднения возникают при виртуализации уже существующих сред, покрытых лицензиями на более ранние версии Windows или виртуализации UNIX-систем. Специально для таких случаев Microsoft выпустила специальный продукт - Hyper-V Server.\nHyper-V Server - специальный выпуск на основе Windows Server Core с сильно урезанными функциями, обеспечивающими только работу гипервизора и его обслуживание. При этом, вопреки распространенному мнению, никакой разницы между Hyper-V Server и Hyper-V в качестве роли Windows Server нет. Это один и тот-же продукт.\nКогда говорят о Hyper-V Server и Windows Server Core, то в первую очередь пытаются сделать упор на экономию ресурсов за счет отсутствия GUI, однако это мнение ошибочно. При создании данных продуктов вопрос экономии ресурсов стоял в последнюю очередь, да и глупо говорить о каком-либо \u0026quot;недостатке ресурсов\u0026quot; на гипервизоре.\nОсновная цель создания Windows Server Core и Hyper-V Server - это сокращение количества работающих служб и компонентов системы, что позволяет уменьшить площадь атаки (меньше служб - меньше уязвимостей) и существенно сократить затраты на сопровождение системы, например, меньшее количество перезагрузок при обновлении системы и меньшее время установки обновлений. Поэтому о внедрении именно Hyper-V Server стоит подумать даже если вы не испытываете затруднений с лицензированием.\nУстановка и первоначальная настройка Hyper-V Server Образ для установки можно получить на официальном сайте, после регистрации, если у вас до сих пор не было учетной записи Microsoft. Процесс установки ничем не отличается от установки иных версий Windows и не должен вызвать затруднений. По ее завершению нас встречает предельно лаконичный интерфейс с двумя открытыми окнами: командной строки и текстовой утилиты конфигурирования. Если вы закрыли последнее, то чтобы снова вызвать данную утилиту просто выполните команду:\n1sconfig А вот если вы закрыли все окна, включая окно командной строки, то можете внезапно оказаться перед черным экраном без средств управления системой вообще. В этом случае нажмите Ctrl+Shift+Esc (данная комбинация работает также через RDP) и при помощи вызванного диспетчера задач запустите нужный вам процесс, например, командную строку. Перейдем к настройке. В первую очередь следует настроить сеть, указать имя сервера, его членство в нужной рабочей группе или домене и разрешить удаленный рабочий стол. Также, если вы хотите, чтобы ваш сервер отвечал на команду ping, то следует перейти в пункт 4) Настройка удаленного управления и выбрав опцию 3) Настройка отклика сервера на сообщение проверки связи явно разрешить это действие. Затем укажите параметры обновления сервера и установите все имеющиеся на данный момент обновления. С ручной установкой связан один \u0026quot;сюрприз\u0026quot;: указанные в утилите символы не действуют, и чтобы скачать и установить все доступные обновления нужно при запросах вводить маленькую русскую букву т. После завершения настройки и установки обновлений сервер следует перезагрузить. Здесь может возникнуть вполне закономерный вопрос: а что делать дальше? Как им управлять? Для управления Hyper-V Server понадобится еще один компьютер с установленными средствами управления Hyper-V, а настройки самого сервера можно производить из консоли MMC. Для этого создадим нужные разрешающие правила в брандмауэре. Для этого запустим PowerShell и последовательно выполним следующие команды:\n1powershell 2Enable-NetFirewallRule -DisplayGroup \u0026#34;Удаленное управление Windows\u0026#34; 3Enable-NetFirewallRule -DisplayGroup \u0026#34;Удаленное управление журналом событий\u0026#34; 4Enable-NetFirewallRule -DisplayGroup \u0026#34;Удаленное управление томами\u0026#34; 5Enable-NetFirewallRule -DisplayGroup \u0026#34;Дистанционное управление рабочим столом\u0026#34; На этом настройку сервера следует считать законченной, можно проверить подключение к нему средствами RDP и, если все прошло нормально, переходить к настройке клиентской станции.\nНастройка клиента для работы с Hyper-V Server Для управления Hyper-V Server вам понадобится ПК с ОС не ниже Windows Server 2012R2 или Windows 8.1 редакции Pro или Enterprise, мы будем рассматривать дальнейшую настройку на примере клиентских ОС. Домашние и 32-разрядные версии ОС не подойдут, так как в них нет возможности установить диспетчер Hyper-V.\nТак как сетевое обнаружение и общий доступ к файлам и принтерам на сервере выключен, то нужно добавить для него на DNS-сервера запись типа А, связывающую имя сервера и его IP-адрес или внести соответствующую строку в файл hosts, в нашем случае она выглядит так:\n1192.168.18.145 HV-CORE-2012R2 Если ваш сервер находится в рабочей группе, то следует добавить параметры подключения к нему, иначе клиент будет пытаться выполнить подключение из-под текущего пользователя.\n1cmdkey /add:ServerName /user:UserName /pass:password где ServerName - имя сервера Hyper-V, UserName - имя администратора сервера Hyper-V и password - его пароль.\nЕсли вы используете Windows 10, то дополнительно запустите командную строку (или консоль PowerShell) от имени администратора и выполните там команды:\n1winrm quickconfig 2winrm set winrm/config/client \u0026#39;@{TrustedHosts=\u0026#34;ServerName\u0026#34;}\u0026#39; где ServerName - имя сервера Hyper-V. Затем запустите оснастку dcomcnfg, через Win+R или из командной строки, и разверните дерево Службы компонентов - Компьютеры - Мой компьютер. После чего в по щелчку правой кнопки мыши выберите Свойства и перейдите на закладку Безопасность COM - Права доступа - Изменить ограничения и в открывшемся окне установите для пользователя АНОНИМНЫЙ ВХОД права Удаленный доступ. Выполнив данные настройки можно запустить консоль MMC Управление компьютером и щелкнув правой кнопкой на одноименном корневом пункте выберите Подключение к другому компьютеру и укажите имя сервера Hyper-V. После чего вы можете управлять удаленным сервером используя привычный набор инструментов. Для решения большинства повседневных задач оснастки Управление компьютером вполне достаточно, особенно если учесть, что большинство настроек делаются всего один раз. Для того, чтобы использовать оснастку Управление дисками предварительно потребуется запустить службу Виртуальный диск, это можно сделать прямо здесь, через оснастку Службы. Единственной недоступной оснасткой будет Диспетчер устройств, настроить его работу можно, но практического смысла в этом нет, так как работать он все равно будет в режиме \u0026quot;только чтение\u0026quot;. К тому же по факту это не представляет проблемы: база драйверов Windows Server достаточно обширна и если вы проявили разумную предусмотрительность при выборе оборудования, то к вопросу драйверов вам вообще обращаться не придется.\nВ противном случае вам следует обратиться к инструментам командной строки для работы с драйверами: 1.6. Установка оборудования и управление драйверами (локально)\nНаконец мы подошли к самому главному. Перейдем в классическую Панель управления - Программы и компоненты - Включение и отключение компонентов Windows и установим Средства управления Hyper-V. После чего вы получите в свое распоряжение привычный инструмент управления Hyper-V который позволяет полноценно управлять гипервизором. Никаких особенностей в работе с Hyper-V сервер нет, поэтому мы не будем останавливаться на этом вопросе более подробно.\nДля того, чтобы передавать на гипервизор файлы, например, образа для установки, можно воспользоваться стандартными общими ресурсами, скажем, набрав в адресной строке проводника:\n1\\\\ServerName\\C$ вы попадете на диск С: сервера.\nДля примера мы создали новую виртуалку и установили туда свежую версию Debian, не испытав каких-либо затруднений ни при работе с гипервизором, ни с самой виртуальной машиной. Как видим, несмотря на несколько более сложный процесс установки и настройки Hyper-V Server представляет собой удобный и надежный инструмент, который к тому же можно использовать полностью бесплатно.\n","id":"f6b19438af9bfcc5872391e76d1081a3","link":"https://interface31.ru/post/ustanovka-i-nastroyka-hyper-v-server-2012-r2/","section":"post","tags":["Hyper-V","Windows Server","Windows Server 2012","Windows Server Core","Виртуализация"],"title":"Установка и настройка Hyper-V Server 2012 R2"},{"body":"Бюджетный сегмент твердотельных накопителей продолжает пополняться новыми моделями. В большинстве своем это модели на основе TLC-памяти, которые прочно обосновались в самом нижнем ценовом диапазоне, но бывают и исключения. Недавно компания Smartbuy выпустила на рынок один из самых недорогих дисков - Stels, который сразу привлек к себе внимание используемой памятью - MLC, обычно применяемую в более дорогих моделях. Поэтому мы, как только представилась возможность, отправили экземпляр диска в нашу тестовую лабораторию.\nС самого момента появления массовых моделей на TLC вокруг типа памяти было сломано немало копий. Основных аргументов два: меньший ресурс работы TLC и низкая скорость записи после заполнения SLC-кеша. Что касается ресурса, то было уже неоднократно рассчитано и доказано, что даже при интенсивной перезаписи ресурса диска хватит на очень большой срок, который превышает срок морального устаревания оборудования.\nСо скоростью записи все не так просто. Да, низкая скорость записи в TLC - факт. Но практические сценарии не показывают существенного преимущества у MLC-дисков. Почему? Да потому что редко какой из повседневных сценариев предусматривает запись большого количества информации за короткий промежуток времени. Даже при копировании тяжелого контента по сети или с другого диска вы будете ограничены скоростью сети или скоростью чтения с HDD, которые сравнимы, либо ниже скорости записи в TLC.\nНо с распространенными предрассудками бороться тяжело и, если покупатель хочет недорогой MLC - он его получит. А вот какими окажутся реальные параметры ответить может только тестирование.\nИтак, перед нами SmartBuy Stels SB120GB-STLS-25SAT3, который поставляется в традиционной \u0026quot;спартанской\u0026quot; комплектации и оформлен в полном соответствии с \u0026quot;фирменным стилем\u0026quot;, но это уже придирки. Сложно требовать от бюджетного производителя каких-то изысков, кого интересует упаковка или комплектация вполне могут купить тот же самый диск от других брендов. Производителем заявлено использование контроллера Silicon Motion SMI2244, в то время как есть информация что фактически в диске установлен SMI2246XT, особенностью бюджетных моделей Silicon Motion этих серий является отсутствие DRAM-буфера. Т.е. перед нами недорогая модель на бюджетном контроллере, но с MLC-памятью. Даст ли это нам какие-либо преимущества? Посмотрим.\nНачнем, как всегда, с CrystalDiskMark5: Для бюджетной модели достаточно неплохо, но если сравнивать с ближайшими конкурентами, то можно поставить данный диск только на одну ступень со Smartbuy Splash (Marvell 88NV1120), Revival и Ignition 4 на базе PS3110-S10 показывают более высокую производительность.\nЛинейное и случайное чтение каких-либо сюрпризов не принесли: Значения для данной ценовой категории вполне стандартные и вполне достаточные для повседневных задач.\nА как обстоят дела с записью? Линейная запись: Результат вполне ожидаемый для MLC и для своей ценовой категории, сравнивать с TLC-дисками тут не имеет никакого смысла, а из ближайших MLC-конкурентов Ignition 4 показывает ненамного более высокий результат.\nСлучайная запись: А вот здесь, скорее всего, сказывается бюджетность контроллера, скорость записи предельно нестабильна, особенно после некоторого объема, что можно объяснить отсутствием DRAM-буфера, который должен был эти броски сглаживать. Итоговая средняя скорость мало чем отличается от недорогих TLC-собратьев, всего 112 МБ/с.\nМы повторили тест в другом пакете и получили аналогичный результат: Является ли это недостатком данной модели? Нет. Нам трудно представить реальную задачу, которая бы потребовала записи в случайном порядке свыше 30 ГБ данных. Это именно то значение, после которого производительность диска падает. До этой отметки запись идет на вполне приемлемых 180 - 190 МБ/с.\nЗато это прекрасно иллюстрирует ситуацию в бюджетном сегменте, где, покупая MLC по цене TLC, вы не получите ровным счетом никаких преимуществ. Чудес не бывает и, если производитель ставит более дорогую память, значит он компенсирует это чем-то иным, в данном случае дешевым контроллером. Если же вам нужен действительно MLC с нормальными характеристиками, то стоит доплатить и взять тот же Ignition 4.\nФайловый тест: Результат производительностью не блещет, примерно на уровне Splash и явно не дотягивая до Revival или Ignition 4.\nВремя случайного доступа: Результат достаточно скромный, даже для своего сегмента, но вполне достаточный для стандартных сценариев применения данного диска, а покупать его для работы с СУБД в здравом уме никто не будет.\nПлавно переходим к AS SSD Benchmark. Общий тест: Результат довольно ожидаемый и еще раз показывающий, что в бюджетном сегменте большую роль играет контроллер, нежели тип памяти. По общему результату диск гораздо ближе к бюджетному Marvell на TLC, серьезно уступая Phison. Если сравнить результаты теста записи Stels и Revival, то получим весьма близкие результаты, несмотря на то, что Revival построен на базе TLC-памяти.\nТест копирования данных: И снова результат, мягко говоря, неважный. В сценариях с программами и играми диск уступает даже Splash, имея значения, более подходящие для HDD.\nНа этом мы закончим с синтетикой и перейдем к реальным сценариям с помощью Intel NASPT: Из предыдущих тестов могло показаться, что с данным диском все плохо. Однако синтетика и жизнь - вещи разные. В большинстве практических сценариев Stels оказался ожидаемо более медленным в задачах записи, но о каком-либо катастрофическом отставании говорить нельзя.\nВыводы Коротко итог можно подвести одной строкой: чудес не бывает. Покупая бюджетный диск, вы получите ровно столько сколько заплатили, производитель далеко не добрый волшебник, а тоже хочет заработать денег. В этом плане применение MLC-памяти в сочетании с бюджетным контроллером не более чем маркетинговый ход. Если в синтетике, на критичных к типу памяти тестах, еще можно обнаружить разницу с бюджетными TLC-моделями, то в реальных сценариях разница практически незаметна.\nЕсли же говорить за бюджетный сегмент в целом, то сегодня лидерство в нем однозначно занимает Phison, который и следует рассматривать как основного кандидата к покупке. Что касается Stels, как и его \u0026quot;брата\u0026quot; Splash, то приобретение данных дисков вполне допустимо для использования в качестве системных в неигровых домашних ПК, офисных станциях, ноутбуках.\nПокупать или нет данный диск? Однозначного ответа здесь нет, если рядом на полке находятся модели на Phison, то выбор следует отдать им. В иных случаях это будет вполне неплохая покупка, если только вы будете понимать, что покупаете бюджетную модель со скромными характеристиками и не будете проявлять к ней завышенных ожиданий.\nОтдельно стоит упомянуть о многочисленных китайских моделях на базе SMI2246, которые широко представлены на AliExpress и иных площадках под брендами KingFast, Kingspec, KingDian и т.п. В большинстве случаев это будут прямые аналоги Stels, хотя, как показывают обзоры, среди них можно приобрести модели на SMI2246EN, с DRAM-буфером на борту, которые должны иметь несколько более высокие показатели. Однако следует понимать, что контроллер от этого не перестает быть бюджетным и ожидать от него чудес явно не стоит. Хотя за свою цену, если не брать во внимание вопрос гарантии, они могут быть весьма неплохим приобретением.\n","id":"d4dc67ba37031518bb3fdf46c2b5648e","link":"https://interface31.ru/post/smartbuy-stels-nedorogoy-mlc-nakopitel/","section":"post","tags":["Silicon Motion","Smartbuy","SSD"],"title":"Smartbuy Stels - недорогой MLC-накопитель или чудес не бывает"},{"body":"В практике автоматизации часто возникает потребность в быстрой и эффективной печати разного рода оперативной информации: сведений о заказе, предварительных счетов, марок на кухню, скидочных купонов и т.д., и т.п. Так как длительное хранение таких данных не подразумевается, а сам процесс печати должен быть предельно прост и недорог, то правильным решением будет использование специализированного устройства - чекового принтера. Сегодня мы рассмотрим, как обеспечить совместную работу данного типа оборудования и 1С:Предприятия 8.3.\nНаиболее широко данный тип оборудования известен в общепите, там даже есть для него собственное обозначение - \u0026quot;кухонный принтер\u0026quot;. В данной отрасли он широко используется для печати кухонных марок (заказов на кухню), а также предварительных чеков для гостей. Печать на термобумаге позволяет значительно удешевить процесс и сделать максимально простым его обслуживание. За пределами общепита чековые принтеры встречаются гораздо реже, но во многом это связано с более низкой степенью автоматизации иных отраслей и использования для печати дополнительной информации обычных принтеров.\nТем не менее чековый принтер идеально подходит для печати любой нефискальной информации которая не требует длительного хранения или допускает печать на термобумагу. Например, различного рода талоны, билеты, скидочные купоны, товарные чеки, словом все, что должно быть быстро напечатано и отдано клиенту, желательно с минимальными затратами. К достоинствам термопечати относится предельная дешевизна расходных материалов: вам понадобится только термобумага, никаких красящих лент, заправок картриджей и т.д., и т.п. Но есть и недостатки, основной из них - неустойчивость напечатанного образца к воздействию прямых солнечных лучей, высокой температуры, а также некоторых типов химических веществ.\nОднако в большинстве случаев достоинства перевешивают недостатки, а дополнительным аргументом в пользу принтера чеков является его возможность работать в неблагоприятных внешних условиях: на кухне, в цеху, на складе. А возможность сопровождать печать звуковым сигналом или задействовать при этом внешнее оборудование позволяет успешно решать сопутствующие задачи, например, привлечения внимания сотрудников к появлению нового задания.\nТакже принтер чеков можно использовать в ряде случаев для печати нефискальных чеков, но для данного сценария мы бы рекомендовали приобретение принтера документов (принтера ЕНВД), так как принтер чеков не содержит фискальной памяти и снять с его помощью стандартные кассовые отчеты (Z-отчет и X-отчет), а, следовательно, проконтролировать кассовую дисциплину, не представляется возможным.\nПодключение и настройка Posiflex Aura-6900 Перейдем непосредственно к оборудованию. В нашей статье мы рассмотрим работу с одной из самых популярных и зарекомендовавших себя моделей Posiflex Aura-6900. Принтер представляет собой достаточно простое и компактное устройство, допускающее установку как в горизонтальном, так и в вертикальном положении, оснащен автоотрезом и позволяет осуществлять загрузку термобумаги по принципу \u0026quot;положил и печатай\u0026quot;. Предельная простота данной операции снижает порог освоения устройства персоналом и практически исключает возможность вывода устройства из строя неквалифицированными действиями оператора.\nНо нам, как автоматизаторам, значительно интереснее иное, обратим внимание на заднюю панель принтера: PP-6900 - базовая модель, дополнительная плата ввода-вывода отсутствует PP-6900S - оснащена дополнительно последовательным портом (COM) PP-6900P - установлен дополнительный параллельный порт (LPT) PP-6900L - сетевой вариант, установлен LAN-адаптер PP-6900W - комплектуется беспроводным Wi-Fi-адаптером Как видим, производитель предлагает довольно широкий выбор вариантов подключения, но обратите внимание, что базовая модель имеет только USB-интерфейс и если вам нужен принтер для подключения по последовательному интерфейсу, то вам нужно выбрать модель с индексом S. Эта особенность очень часто играет с начинающими автоматизаторами злую шутку, привыкнув, что COM-порт является штатным интерфейсом фискального регистратора или принтера документов, они переносят свои ожидания на принтер чеков и получают неприятный сюрприз.\nСледует помнить, что в большинстве товароучетных программ штатным интерфейсом подключения принтера чеков является COM-порт, поэтому вам понадобится или базовая модель, которая умеет работать в режиме эмуляции COM-порта или модель с дополнительным последовательным интерфейсом. Вторые широко применяются в случаях, когда принтер надо установить на некотором удалении от управляющего ПК, в этом случае можно просто удлинить последовательный интерфейс обычной витой парой.\nВ ряде случае для этих целей можно использовать и сетевые варианты принтера, которые даже более привлекательны, так как не требуют наличия управляющего ПК, но поддержка сетевой печати на принтеры чеков должна быть реализована в товароучетном ПО, поэтому обязательно уточните такую возможность перед покупкой.\nСледующий важный момент - выясните какие драйвера торгового оборудования (не путать с драйверами для ОС) понадобятся для подключения принтера к вашей товароучетной системе, учтите, что во многих случаях могут потребоваться платные драйвера. Сразу предупредим, не следует голословно верить утверждениям продавцов или иных заинтересованных лиц о том, что оборудование работает с \u0026quot;бесплатным\u0026quot; драйвером. Очень часто бывает так, что бесплатный драйвер не предусматривает законченного решения, в этом случае вам потребуется доработка товароучетной системы, стоимость которой может превысить затраты на приобретение платного драйвера.\nБудем надеяться, что вы сразу проявили разумную предусмотрительность и приобрели принтер именно той модели, которая вам необходима. Но не спешите подключать его к компьютеру. На дне устройства есть небольшое окно, закрытое металлической крышкой, под которым находится 8 переключателей. Перемычки имеют следующие установки по умолчанию: Полное назначение перемычек описано в документации и часть их них перекрывается программными настройками, поэтому нас интересует только положение переключателей 1,2 и 6. Первые два переключателя задают скорость передачи данных и показанное их положение (1 - OFF, 2 - ON) соответствует скорости 115200 бит/с. Гораздо интереснее переключатель 6, точнее его положение по умолчанию, в выключенном состоянии он обозначает использование дополнительного интерфейса.\nЭтот момент достаточно важен. Несмотря на то, что основным является USB-интерфейс, с завода принтеры настроены на использование дополнительной платы ввода-вывода, даже в ее отсутствие. Это означает что базовые модели, которые имеют только USB-интерфейс, приходят с завода имея его в отключенном состоянии.\nПарадокс? Возможно, но мы в очередной раз хотим напомнить, чековые принтеры, в отличие от массового железа, являются специализированным оборудованием и имеют свои особенности применения. Поэтому при работе с подобным оборудованием, особенно если это первый раз, необходимо внимательно изучить инструкцию.\nВ нашем случае для включения интерфейса USB потребуется установить переключатель 6 в положение ON, а если необходима работа в режиме виртуального COM-порта, то дополнительно перевести во включенное состояние потребуется также переключатель 1. После того, как вы правильно установили перемычки принтер можно подключить к ПК и, если необходимо, установить драйвера. Но это только первый этап, обеспечивающий взаимодействие принтера с операционной системой. Для подключения оборудования к 1С:Предприятие нам потребуется дополнительный программный посредник - драйвер торгового оборудования.\nВ актуальных конфигурациях 1С:Предприятие использующих в своем составе Библиотеку подключаемого оборудования осуществляется штатная поддержка принтеров чеков работающих по протоколу ESC\\POS. Для добавления нового принтера чеков достаточно перейти в Администрирование - Подключаемое оборудование и выбрать нужный тип в предлагаемом списке: Драйвер от 1С поддерживает два типа подключения: Windows POS Printer и COM-Port POS Printer. Первый тип предназначен для работы с принтерами чеков установленными в системе как обычный Windows-принтер, это дает возможность печатать на принтере, не имеющем COM-порта (USB, LAN, Wi-Fi и т.д.), в настройках вы должны выбрать установленный в системе принтер, указать ширину ленты, кодовую таблицу и кодировку строки. Поля Порт и Скорость для данного типа подключения игнорируются. Особое внимание обратите на кодовую таблицу принтера, в списке присутствует две кодовых таблицы кириллицы Page07 и Page17, в случае с Posiflex Aura-6900 нужно выбрать вторую - Page17, кодировка строки должна быть CP866. Тип подключения COM-Port POS Printer позволяет работать с принтером непосредственно через СOM-порт (физический или виртуальный) и данный режим является предпочтительным, так как позволяет 1С напрямую взаимодействовать с оборудованием и получать от него обратную связь. Настроек данного режима аналогичны предыдущим, но теперь вместо принтера вам потребуется указать Порт и Скорость подключения, а поле Принтер в данном случае игнорируется. Важным моментом здесь является соответствие указанной в настройках скорости подключения и значения, установленного на принтере при помощи перемычек - они должны совпадать. Если вам требуется понизить скорость, например, для обеспечения стабильной работы на большой длине кабеля, то делать это нужно одновременно и в программе, и в принтере.\nПо окончании настройки проверьте ее правильность, нажав вверху формы кнопку Тест устройства, если все сделано без ошибок, то вы увидите следующую \u0026quot;тестовую страницу\u0026quot;: Если вы смогли прочитать четверостишие, то ваш чековый принтер полностью готов к работе.\nНастройка Posiflex Aura-6900 в Linux Последние тенденции показывают, что фирма 1С плотно взяла курс на обеспечение кроссплатформенности 1С:Предприятие, а это предусматривает в том числе и поддержку торгового оборудования для альтернативных ОС. Драйвер принтера чеков выполнен по технологии NativeAPI, а, следовательно, поддерживает работу в среде Linux.\nНебольшое ограничение: в Linux возможна работа только с подключением типа COM-Port POS Printer, поэтому нам подойдут только модели с последовательным интерфейсом или с подключением по USB в режиме виртуального COM-порта.\nЕсли вы подключаете устройство с интерфейсом USB, то прежде всего следует убедиться, что оно правильно определилось системой, для этого выполните команду:\n1lsusb Несложно увидеть, что устройство нормально определилось в системе и следующим шагом следует выяснить какой именно последовательный порт оно занимает. Выполним еще одну команду:\n1dmesg | grep tty Для того, чтобы вы могли осознанно разобрать ее вывод, сделаем небольшое отступление. В Linux последовательные порты являются стандартными терминалами ввода-вывода, что позволяет очень просто работать с ними используя потоки. Для обозначения терминалов используется обозначение tty, физические последовательные порты обозначаются как ttySn, где n - номер порта начиная с нуля. Виртуальные COM-порты, в зависимости от реализации, обозначаются как ttyACMn и ttyUSBn.\nЕсли коротко, то отличие ttyACM-устройств от ttyUSB сводится к тому, что первые имеют аппаратную реализацию последовательного интерфейса поверх USB и представляются системе стандартными устройствами связи (модемами, хотя могут таковыми не являться). Устройства ttyUSВ являются простыми преобразователями интерфейса, т.е. не имеют собственного контроллера последовательного порта, возлагая все коммуникационные задачи на драйвер и устройство находящееся на другой стороне кабеля.\nКак можно видеть из вывода, к нашей системе подключены два физических COM-порта (ttyS0 и ttyS1), один переходник на микросхеме PL-2303 (ttyUSB0) и один виртуальный порт (ttyACM0). Путем несложных логических умозаключений можно определить, что наш принтер подключен именно к ttyACM0.\nПомня о том, что последовательный порт - это терминал, мы можем попробовать что-нибудь послать принтеру, но если мы попробуем выполнить команду:\n1echo \u0026#34;TEST\u0026#34; \u0026gt; /dev/ttyACM0 то получим сообщение \u0026quot;Отказано в доступе\u0026quot;, если же выполнить эту команду от имени суперпользователя, то принтер успешно напечатает слово TEST. Очевидно, что не хватает прав, но каких? Самое время вспомнить, что в Linux всё есть файл, в том числе и устройства ввода-вывода. Это упрощает задачу, наберем в терминале:\n1ls -l /dev/ttyACM0 Вывод команды сообщает нам, что права на чтение и запись в устройство имеют пользователь root (владелец) и группа dialout, чтобы наш пользователь, а, следовательно, и работающая от его имени 1С могли работать с портом надо включить его в группу dialout. Для этого выполним команду:\n1sudo usermod -a -G dialout username где username - имя вашего пользователя. Чтобы изменения вступили в силу нужно завершить сеанс пользователя или перезагрузить систему.\nВыходим, заходим, проверяем - принтер должен напечатать отправленную на него строку. Убедившись, что у вас есть права для работы с принтером, можно переходить к настройке 1С. Особых сложностей там нет, но 1С решила использовать собственные обозначения для COM-портов, представив ttyS - как просто COM, ttyACM - как Virtual COM, а ttyUSB - как USB COM. Также обратите внимание, что нумерация портов начинается не с нуля, а с единицы. Таким образом ttyACM0 в обозначениях 1С будет Virtual COM1, а скажем ttyS1 - COM2. В остальном настойки ничем не отличаются от тех, что мы рассматривали для платформы Windows. В принципе каких-либо особых сложностей с подключением принтера чеков в Linux нет, для более-менее грамотного Linux-администратора не составит труда справиться с данной задачей самостоятельно. Но учитывая, что администраторы 1С часто недостаточно хорошо знают Linux этот момент было бы неплохо отразить в документации или добавлять пользователя в нужную группу автоматически при регистрации компоненты драйвера. Встроенная справка предельно лаконична и вряд ли сможет реально помочь с подключением оборудования. Поэтому мы еще раз выразим свою убежденность, что хороший профессионал должен знать не только свою узкую область (в данном случае 1С), но и основы администрирования системы, в которой ему приходится работать. В противном случае даже простые вопросы могут вызвать нешуточные сложности.\n","id":"ca95e89a0b5bd4bf635534437e426ad0","link":"https://interface31.ru/post/podklyuchaem-printer-chekov-k-1spredpriyatie-na-primere-posiflex-aura-6900/","section":"post","tags":["1С Предприятие 8.х","Linux","Ubuntu","Автоматизация","Торговое оборудование"],"title":"Подключаем принтер чеков к 1С:Предприятие на примере Posiflex Aura-6900"},{"body":"Нас довольно часто просят помочь с выбором конфигурации компьютера, сердцем которого без преувеличения можно назвать центральный процессор, поэтому данному вопросу изначально уделяется повышенное внимание. Правильный выбор осложняет довольно большое количество параметров так или иначе влияющих на производительность или стоимость ПК, которые к тому же не всегда очевидны простому пользователю, а также разнообразные маркетинговые приемы, способные создать ложный акцент на каком-либо одном параметре.\nКогда-то давно, когда деревья были большими, а центральные процессоры имели только одно ядро, все решали мегагерцы (а затем гигагерцы) и сделать свой выбор было предельно просто: чем выше тактовая частота, тем выше производительность процессора. То, что это не совсем так, в свое время первой показала фирма AMD, но покупатель по-прежнему гнался за частотой и AMD продолжала маркировать свои процессоры специальным индексом, который примерно соответствовал частоте аналогичного по производительности процессора Intel.\nНо гонка гигагерц довольно скоро уперлась в физические ограничения и процессоры пошли развиваться по пути увеличения количества ядер и переносу в ядро ЦПУ различных контроллеров. В настоящее время довольно сложно быстро оценить производительность процессора по его маркировке, понятно, что Core i5 производительнее чем Core i3, но насколько? А если нужно сравнить процессоры от разных производителей?\nТакже следует отметить, что разные семейства процессоров в разных условиях могут показывать разную производительность. Например, при работе со старыми, однопоточными приложениями, более производительным может оказаться более дешевый двухядерный процессор с более высокой тактовой частотой, чем более дорогой, но с меньшей частотой, четырехядерный. Поэтому, если основная задача под который вы покупаете компьютер вам известна, то следует начинать свой выбор с поиска тестов, где фигурирует именно ваше приложение.\nВ вышеописанном случае все достаточно просто. А вот как быть если компьютер нужен для самого широкого круга задач? Так, чтобы и поработать, и поиграть, а если вдруг возникнет необходимость, то и фотографии обработать, и виртуалку запустить. В этих случаях следует обратить внимание на общие рейтинги. Они, конечно, дают только общее представление о производительности, и вполне может оказаться, что в каком-то наборе задач более слабый процессор будет обходить более мощный, но ведь и задачи у нас тоже общие. Так что в большинстве случаев процессор с более высоким рейтингом окажется в общем зачете более быстрым, чем процессор с рейтингом пониже.\nВторой важный аспект - цена. Всегда хочется получить максимум за свои деньги, а если удастся сэкономить, так это вообще замечательно. А с ценой на процессоры тоже далеко не все очевидно, также, как мы увидим ниже, некоторые не очевидные аспекты могут существенно изменить общий расклад.\nИ все-таки, как же подойти к выбору процессора? Есть два варианта: исходить из цены или из производительности. Первый вариант довольно прост: определяем доступный бюджет, подбираем конфигурацию будущего ПК без процессора, а на оставшиеся деньги стараемся приобрести что-то наиболее оптимальное. Во втором варианте все немного сложнее, сначала определяется нужный уровень производительности, а затем уже формируется конфигурация, основную трудность здесь составляет выбор конкретного процессора в линейке, так как разница в производительности неочевидна, а разница в цене может быть весьма ощутимой.\nПредупредим, сразу забудьте о конфигурации \u0026quot;на вырост\u0026quot;, когда \u0026quot;временно\u0026quot; берется слабый CPU чтобы потом заменить его более мощным. Как показывает практика, этот светлый день наступает только при покупке нового компьютера. Подобные фокусы удаются только в том случае, если вы непосредственно связаны с торговлей железом и продать старый процессор для вас не представляет проблемы. Поэтому откажитесь лучше от дискретной видеокарты или SSD, все это можно свободно докупить потом, не придумывая куда деть недешевое, но ненужное теперь железо.\nДля того, чтобы облегчить выбор мы подготовили несколько сравнительных обзоров. За основу мы взяли рейтинги с сайта nix.ru - одного из крупнейших поставщиков компьютерной техники, формируемый ими рейтинг на наш взгляд достаточно взвешенный и позволяет сформировать общую картину соотношения производительности разных моделей.\nДля сравнения мы выбрали две актуальных линейки процессоров (OEM-версии): Intel на платформе LGA1151 и AMD на Socket AM3+. Значения цены и производительности мы нормировали, т.е. взяли наибольший вариант в группе за 100% и рассчитали остальные значения относительно него. Это позволяет абстрагироваться от конкретных цифр и быстро оценить именно соотношения, так как, скажем фраза \u0026quot;процессор А дороже процессора Б на 2000 руб\u0026quot; мало о чем говорит, в отличие от \u0026quot;процессор A дороже процессора Б на 15%\u0026quot;.\nДля начала давайте рассмотрим каждую линейку в отдельности. Начнем с Intel: В нижнем ценовом сегменте все довольно просто, процессоры стоят примерно также как работают. Если у вас совсем немного денег, то неплохим приобретением станет Celeron G3900, который незначительно уступает Pentium G4400, но при этом ощутимо дешевле.\nСемейство Core i3 представляет собой новую ступень производительности и интерес там представляют две младшие модели в линейке, а вот i3-6320 назвать удачной покупкой нельзя, разница в цене с i3-6300 заметно больше разницы в производительности.\nCore i5 - очередная ступенька, только здесь интерес представляют старшая и младшая модели, i5-6500 завис в крайне непонятной ситуации, по цене он гораздо ближе к более производительному i5-6600, а по производительности ближе к более дешевому i5-6400. Вывод здесь простой: нет денег на i5-6600 - покупаем i5-6400 и радуемся паре тысяч рублей экономии. Также нет никакого смысла брать топовую модель с разблокированным множителем i5-6600K, если только вы не энтузиаст и не собираетесь заняться его разгоном, в обычных условиях никакой разницы с обычным i5-6600 вы не заметите.\nНу и Core i7 - лебединая песня линейки, здесь рост цены соответствует росту производительности, другой вопрос нужно ли вам ее столько или может есть смысл потратить деньги более рационально.\nЛинейка Intel никаких сюрпризов не преподнесла, в общем рост цены эквивалентен росту производительности, а если присмотреться к ней повнимательнее, то можно найти несколько приятных способов немного сэкономить.\nПосмотрим, что происходит в стане AMD: Процессоры данной компании переживают сегодня не самые лучшие дни, уже довольно продолжительное время выполняя роль догоняющих. Но сравнение с конкурентом мы сделаем позже, а сейчас посмотрим на соотношение сил в линейке.\nДогонять, так догонять - AMD сразу заходит с четырехядерных моделей, в линейке FX-4xxx заслуживают внимания две младших модели, а вот старшая FX-4350 даже немного сдает позиции при более высокой цене. чуть позже мы еще вернемся к этому моменту и многое станет более ясно, но пока принимаем результат как есть.\nСледующую группу составляют шестиядерные процессоры, младшая из них выглядит откровенно слабой, а вот две старшие показывают гораздо более высокий уровень производительности, хотя ценник на старшую FX-6350 следует считать завышенным. Объективно к покупке здесь можно рекомендовать только FX-6300, FX-6100 довольно слаб, а FX-6350 необоснованно дорог, в последнем случае лучше уже добавить денег и взять более производительный FX-8350.\nА вот восьмиядерная линейка начинается с ощутимого провала. Младший FX-8300 при близкой цене реально уступает младшему FX-6350, оказавшись примерно посередине между ним и гораздо более дешевым FX-6300. Данная ситуация ярко показывает текущие проблемы AMD: ядер много, но эффективность их невелика. По хорошему их следовало бы поменять местами с FX-6350, но увы, маркетологи не поймут, это же ведь \u0026quot;целых восемь ядер\u0026quot;!\nДальше тоже хорошего немного, FX-8320 и FX-8350 без сомнения заслуживают внимания, а вот FX-8370 явно предлагает вам заплатить только за цифры на крышке процессора. Поэтому ни младшую, ни старшую модель к покупке рекомендовать мы не можем.\nТоповые модели семейства FX-9xxx также имеют по 8 ядер, но это как раз тот случай, когда цены растут быстрее производительности. Во всяком случае достаточно сравнить разницу в цене и производительности между FX-8350 и FX-9370 чтобы усомниться в разумности данного приобретения (а дальше мы еще подкинем камней в огород топовых процессоров AMD).\nПосле стройной и логичной линейки Intel, процессоры от AMD вызывают местами сильное недоумение. Есть мнение что компании надо что-то делать или с инженерами, или с маркетологами, в нынешнем виде линейка выглядит довольно слабо.\nТеперь самое время сравнить продукцию обоих производителей, мы еще раз нормировали графики, собрав все процессоры в одну группу. Сразу можно отметить, что процессоры AMD довольно выгодно отличаются своею ценой. Так линейка FX-4xxx и младший FX-6100 органично вписались в промежуток между Pentium и Core i3, FX-6300 весьма интересно выглядит в ряду i3, а FX-8320 и FX-8350 радуют своим ценником в линейке i5. А два старших топа AMD сглаживают переход от i5 к i7. По всем признакам продукция AMD выглядит более привлекательно, нежели процессоры от Intel, но почему тогда AMD плетется в догоняющих? Сила бренда? Заговор маркетологов? Или все-таки есть объективные причины? Попробуем разобраться.\nРассматривая процессоры, мы упустили из виду еще один немаловажный параметр - тепловыделение. А ведь от этого зависит стоимость системы охлаждения и комфортность работы. При неправильно подобранном кулере работа за компьютером будет омрачаться громким шумом вентиляторов и падением производительности вследствие перегрева процессора, либо вообще приводить к сбоям в работе.\nУ Intel c тепловыделением дела обстоят неплохо: 51 Вт у младших моделей, включая Core i3, 65 Вт у Core i5 и i7, исключая модели с индексом K, которые имеют тепловой пакет в 91 Вт. А вот у AMD с тепловыделением явные проблемы: младшие модели линеек FX-4xxx и FX-6xxx имеют тепловыделение в 95 Вт, FX-4350 и FX-6350, а также вся линейка FX-8xxx имеют тепловой пакет в 125 Вт, не говоря уже о топах, для которых заявлены и вовсе запредельные 220 Вт.\nОднако сами эти числа еще ни о чем нам не говорят, гораздо интереснее вычислить относительную энергоэффективность, т.е. сколько условных единиц мощности приходится на условную единицу производительности. Таким образом самым неэффективным процессором стал FX-4350, основная задача которого, учитывая скромную производительность, сводится к обогреву окружающего воздуха. Этим же прекрасно объясняется его низкий результат в тестах: производительность уперлась в тепловой пакет. Тоже самое можно сказать и про FX-8370, где столь скромные результаты можно объяснить только попыткой удержать тепловыделение в рамках теплового пакета, а куда оно может устремиться хорошо видно у топовых моделей.\nРанее в своих выкладках мы не учли систему охлаждения, подразумевая ее как само собой разумеющееся. Действительно, для процессоров с тепловыделением до 90 Вт вполне пойдут недорогие кулеры средней стоимостью в 450 руб, которые особой погоды не делают. На 91-95 Вт уже придется брать что-нибудь подороже, но и средняя стоимость кулеров этого класса в 700 руб также не выглядит пугающей. А вот для более горячих процессоров потребуются уже более серьезные решения, так на 125 Вт потребуется уже что-то из ценовой категории со средней стоимостью в 1250 руб. Ну а, чтобы эффективно отводить 220 Вт придется раскошелится на суперкулер, стоимость которых стартует в районе планки в 4000 руб, а это уже серьезный удар по бюджету.\nПоэтому мы пересчитали стоимость процессоров с учетом систем охлаждения и добавили на график еще один ряд - относительную энергоэффективность, которая показывает сколько энергии затрачивает процессор на единицу производительности (меньше - лучше). Значения также нормированы, за 100% взят самый энергонеэффективный процессор. Не секрет, что все недорогие процессоры имеют слабую энергоэффективность. Производительность у них невелика, а воздух греют наравне со старшими коллегами. Но именно здесь процессоры AMD выделяются чудовищной неэффективностью, которая заставляет по-новому взглянуть в их сторону. С учетом того, что абсолютная разница в цене бюджетных процессоров не столь велика, а производительность не столь критична, возможно имеет смысл купить более дорогой или менее производительный Intel, но абсолютно не беспокоиться о шуме и перегреве.\nБолее-менее интересно выглядят только FX-6300, FX-8320 и FX-8350, это как раз те самые случаи, когда можно получить хорошую производительность за меньшие деньги принимая высокое тепловыделение данных процессоров и вытекающие отсюда неудобства как разумную плату за экономию. Старшие модели AMD, с учетом стоимости систем охлаждения, выглядят вообще беспомощно, особенно на фоне холодных по сравнению с ними Intel. Все-таки 220 Вт - это не шутки и в случае отказа охлаждения последствия могут вылиться в физическую порчу процессора и/или материнской платы, в то время как отказ кулера даже на топовом Intel приведет разве что к нестабильной работе системы.\nВыводы Мы всегда стараемся объективно подходить к результатам тестирования, но в данном случае остается только признать, что сегодня AMD не имеет в своем распоряжении эффективной технологии, поэтому выжимает все что может из того, что имеет (и что уже порядком устарело). Единственный плюс, который позволяет продукции этой компании держаться на рынке - это цена.\nПроцессоры от AMD все еще можно назвать хорошей покупкой, если вы стеснены в средствах и отчетливо себе представляете все сопутствующие минусы. Но будьте внимательны, если в линейке от Intel нет откровенно плохих моделей, то с AMD все обстоит иначе и за свои деньги вы можете приобрести модель, которая не только менее производительна, чем более дешевая, но и еще имеет худшие потребительские качества в виде высокого тепловыделения.\nВ младшей группе, где разница меду моделями процессоров редко превышает 500-1000 руб мы бы безоговорочно отдали предпочтение Intel, разница в производительности здесь не столь велика, чтобы ради нее отказываться от низкого энергопотребления и тишины. Теоретически можно присмотреться к FX-4330, но, на наш взгляд, тогда уж лучше немного добавить и взять FX-6300, получив модель уже уровня Core i3.\nВ среднем сегменте среди Core i3 следует отметить две младшие модели 6100 и 6300, а среди i5 младшую 6400 и старшую 6600. Покупка этих процессоров будет оптимальным вложением денежных средств. В качестве альтернативы можно рассмотреть уже упомянутый нами FX-6300, а также FX-8320 и FX-8350, уже как альтернативу Core i5. Однако учтите, что процессоры AMD реально горячие, если взять Intel с тепловым пакетом в 65 Вт и AMD в 95 Вт, то первый будет большую часть времени работать в холодном состоянии, разогреваясь при постоянной высокой нагрузке, а второй практически постоянно будет \u0026quot;кочегарить\u0026quot; на полную, отмечая даже небольшое повышение нагрузки громким завыванием процессорного вентилятора.\nВ топовом сегменте никакой альтернативы Core i7 нет и вряд ли скоро появится. Мы, например, не представляем себе, как можно комфортно и эффективно использовать систему с тепловым пакетом процессора в 220 Вт. В свое время у автора этих строк был топовый AMD Athlon 64 X2 6400+ с заявленным тепловым пакетом в 125 Вт (хотя многие тесты говорят о 150 Вт) и эффективно отвести тепло от него представляло очень непростую задачу. Даже с суперкулером температура в простое стартовала от 47-50 °С и далее приходилось мучительно выбирать между тишиной и температурой в системном блоке.\nНадеемся, что данный материал окажется вам полезен и позволит по-новому взглянуть на вопрос выбора центрального процессора для своего ПК.\n","id":"d3a3fc08023d1a2acc54085c8fbe2451","link":"https://interface31.ru/post/pravil-nyy-vybor-central-nogo-processora-chitaem-prays-mezhdu-strok/","section":"post","tags":["AMD","CPU","Intel","Производительность"],"title":"Правильный выбор центрального процессора. Читаем прайс между строк"},{"body":"Установка и обновление современных дистрибутивов Ubuntu давно не представляет никакой сложности. Можно установить и долгое время полноценно работать в системе ни разу не прикоснувшись к терминалу. С одной стороны, это хорошо, так как позволяет приблизить Linux к конечному пользователю, который просто хочет включить компьютер и работать. С другой - понимание работы системы отходит на второй план и поэтому, если вам интересно, что происходит за кулисами графического интерфейса давайте углубимся в подробности.\nКак известно, теория без практики мертва, практика без теории - это вообще сродни шаманскому камланию с бубном, но изучать теорию лучше всего применительно к реальным задачам. Тем более что как-раз подвернулся подходящий случай - в нашей виртуальной лаборатории нашлась одна система на Ubuntu 15.04, поддержка которой давно завершена.\nЗдесь мы сделаем небольшое отступление и напомним современную политику поддержки дистрибутивов Ubuntu. Если коротко, то основу линейки составляют дистрибутивы с длительным сроком поддержки - LTS, именно они рекомендуются для стабильной работы или серверного применения. В промежутках между выпусками LTS выпускаются \u0026quot;стандартные \u0026quot; релизы, в которых могут обкатываться новые технологии и поэтому они могут работать нестабильно.\nLTS - релизы выходят раз в два года в апреле, стандартные следуют полугодовому графику и имеют поддержку в течении 9 месяцев с даты выпуска. Таким образом после выхода очередного стандартного (или LTS) релиза у вас остается всего три месяца чтобы обновить систему, если вы, конечно, хотите своевременно получать обновления. Ниже мы привели официальный график поддержки текущих и планируемых релизов. Как видим, на момент написания данной статьи, актуальными являются LTS-релизы 12.04, поддержка которого заканчивается в апреле 2017, 14.04 и 16.04. Из стандартных релизов поддерживается только текущий - 16.10. Однако если мы заглянем в репозитории, то увидим там директории для уже снятых с поддержки дистрибутивов 15.04 и 15.10, а также находящегося в разработке 17.04. О чем это говорит? О том, что вы можете получить все последние версии пакетов для указанных дистрибутивов, а также о том, что должна поддерживаться возможность штатным образом обновиться на один из актуальных релизов.\nОптимальная стратегия обновления для снятых с поддержки выпусков - это обновление до ближайшего LTS-релиза, а только затем, если у вас есть такое желание, можно обновиться до одного из стандартных. Почему так? Потому что LTS-релизы наиболее стабильны и достаточно хорошо изучены, что облегчает работу по выявлению и устранению возможных ошибок, в то время как стандартные выпуски могут работать нестабильно, а информации о проблемах и решениях может оказаться недостаточно.\nИтак, вернемся в нашу систему и займемся ее обновлением. Прежде всего скачаем и установим все доступные обновления, это можно сделать через графический интерфейс или двумя короткими командами:\n1apt-get update 2apt-get upgrade После того, как все последние обновления будут скачаны и установлены система наконец \u0026quot;порадует\u0026quot; вас сообщением о прекращении поддержки и предложить обновиться на одну из доступных версий. Однако если мы попробуем выполнить обновление, то столкнемся с малоинформативным сообщением об ошибке в системной программе, запустив процесс обновления в терминале получим более развернутую информацию. В принципе данная ошибка легко устраняется беглым поиском, но это будет всего лишь частным случаем, который не добавит вам опыта и знаний, а с учетом того, что мы в самом начале решили заглянуть под капот процесса обновления, то нам представился хороший повод.\nКроме того, умение вручную обновлять систему может пригодиться вам и в иных ситуациях, например, когда штатный процесс завершился сбоем и загрузить систему в нормальном режиме невозможно, в этом случае вас не испугает черное окно терминала и вы успешно доведете процесс до конца. Или вам понадобится обновить один из производных дистрибутивов, авторы которого прекратили его поддержку, а штатных механизмов его обновления на \u0026quot;чистую\u0026quot; Ubuntu просто нет.\nПервое, что вы должны сделать перед обновлением - это внимательно изучить список источников пакетов. Для начала заглянем в /etc/apt/sources.list.d, обычно в данной директории располагаются дополнительные репозитории для стороннего софта, во избежание конфликтов и недоразумений их следует отключить. Для этого достаточно просто удалить или переместить все содержащиеся там файлы.\nЗатем откроем /etc/apt/sources.list по умолчанию данный файл содержит только \u0026quot;родные\u0026quot; репозитории, но на всякий случай проверим его содержимое и удалим или закомментируем адреса сторонних репозиториев (если обнаружим). Подробнее о том, какие репозитории являются штатными можно прочитать здесь. Следующим шагом нам потребуется обновить источники пакетов, используя для этого адреса репозиториев целевого дистрибутива, на который мы хотим обновиться. Так как наша цель - 16.04 (Xenial) то вам потребуется во всех строках заменить кодовое имя текущего выпуска - vivid на кодовое имя целевой системы - xenial.\nВ общем, никто не мешает сделать это вручную, но не будем забывать, что в руках у нас Linux со своими богатыми возможностями утилит командной строки. Поэтому наберем в терминале следующее \u0026quot;заклинание\u0026quot;:\n1sed -i \u0026#34;s/vivid/xenial/g\u0026#34; /etc/apt/sources.list Снова откроем файл и убедимся, что все нужные нам строки \u0026quot;волшебным образом\u0026quot; изменились. Затем обновим список пакетов командой:\n1apt-get update И перейдем непосредственно к обновлению:\n1apt-get dist-upgrade В отличие от просто upgrade данная команда не только обновляет уже установленные пакеты, но и устанавливает новые, а также удаляет отсутствующие в актуальных репозиториях версии. Перед тем как начать процесс обновления утилита выдаст вам список изменений и предложит подтвердить их выполнение. Помните, что данное действие является необратимым и перед тем как нажать Enter следует еще раз подумать. Дальнейший процесс, в зависимости от скорости интернет и вычислительной мощности компьютера займет некоторое время, в ходе которого следует время от времени поглядывать на экран, система может спросить, что делать с измененными файлами конфигурации, действие по умолчанию (рекомендуемое) - оставить текущий файл.\nПосле завершения процесса обновления не спешите перезагружать систему, в ней наверняка остались пакеты, которые никому не нужны (старые версии библиотек, старые ядра и т.п.) и фактически являются мусором. Их следует удалить, для этих целей есть специальная команда:\n1apt-get autoremove После выполнения уборки можно наконец перезагрузиться. Мы сразу визуально заметим, что наши действия увенчались успехом, но на всякий случай проверим:\n1lsb_release -a Как видим - мы успешно обновили снятую с поддержки 15.04 до актуальной 16.04 LTS. Вот так сложная на первый взгляд задача оказалась очень простой в реализации. По сути весь процесс обновления дистрибутива Linux (не обязательно Ubuntu или Debian) сводится к одному главному действию: заменить текущие пакеты из репозитория А более новыми пакетами из репозитория Б. Все остальное пакетный менеджер сделает самостоятельно.\nТеперь можно обживаться в обновленной системе, доустановить стороннее ПО, выполнить тонкую настройку под собственные вкусы, а можно снова обновить систему до самого свежего стандартного релиза. И в этом процессе, глядя на стадии обновления в графическом интерфейсе, вы поймете, что его действия больше не являются для вас тайной, каждый указанный этап вам знаком, ведь вы только что выполняли его вручную. На этом наша статья подошла к завершению, и мы надеемся, что после ее прочтения белых пятен в устройстве Linux для вас станет меньше. Что вы больше не будете воспринимать процесс обновления как \u0026quot;черный ящик\u0026quot;, а наоборот почувствуете в себе силу и уверенность, когда именно вы управляете системой, а не она вами.\n","id":"46c2c99c1eb2559cc4983ce1538787ed","link":"https://interface31.ru/post/obnovlyaem-snyatyy-s-podderzhki-distributiv-ubuntu/","section":"post","tags":["APT","Ubuntu","Восстановление системы"],"title":"Обновляем снятый с поддержки дистрибутив Ubuntu"},{"body":"Каждый администратор 1С:Предприятия знает, что задача разделения прав пользователей и соответствующего изменения рабочего интерфейса является одной из основных при внедрении учетной системы или появления в ней новых пользователей. От того, насколько качественно будет выполнена данная задача зависит эффективность работы и безопасность данных. Поэтому сегодня мы поговорим об особенностях настройки пользовательских прав и интерфейса в управляемом приложении.\nПрежде всего хочется отметить основные аспекты данного вида настроек. Многие подходят к этому вопросу однобоко, рассматривая их сугубо как меру защиты от несанкционированного доступа к данным или неквалифицированной их модификации. При этом забывают о другой стороне медали: создания для пользователя простой и удобной рабочей среды. В тех случаях, когда рабочий интерфейс пользователя перегружен не нужными ему пунктами, смысл которых к тому же ему до конца не ясен, возникает ложное представление об излишней сложности программы и появляется боязнь допустить ошибку. Понятно, что это никак не способствует повышению производительности труда сотрудника.\nВ идеале каждый сотрудник, должен видеть только те элементы интерфейса, которые нужны ему для выполнения своих непосредственных обязанностей. Тогда и работать будет проще, и соблазнов полазить там, где не надо не возникнет. Причем выполнять подобные настройки есть смысл и тогда, когда какие-то подсистемы просто не используются или ограничение доступа к ним не требуется. Это сделает интерфейс более простым и понятным, а, следовательно, работать пользователю будет проще и комфортнее.\nЕсли мы вернемся немного в прошлое, то можем вспомнить, что в обычных конфигурациях Роли и Интерфейсы были частью конфигурации и для их тонкой настройки требовалось включить возможность внесения изменений, а в базовых версиях было невозможным вообще. Недостатки данного подхода очевидны: это и усложнение обслуживания информационных баз, и возможные конфликты при последующих обновлениях, когда измененные объекты конфигурации требуют изменения прав доступа.\nВ управляемом приложении настройки прав и интерфейсов были наконец вынесены в пользовательский режим и настраиваются непосредственно из интерфейса программы. Права пользователя назначаются на основе его членства в группах доступа. Перейдем в Администрирование - Настройки пользователей и прав - Группы доступа - Профили групп доступа, где мы увидим уже предустановленные профили для основных групп доступа. Пользователь может входить сразу в несколько групп доступа, в этом случае итоговые права будут суммироваться. В общем все достаточно понятно и привычно, разве настройки теперь выполняются в пользовательском режиме, а не в конфигураторе.\nА вот если мы попытаемся найти настройки интерфейсов, то нас постигнет фиаско. В управляемом приложении интерфейс рабочей области формируется автоматически, на основе прав доступа. Для примера сравним интерфейсы Панели разделов Администратора и Менеджера по продажам: Также пользователь может самостоятельно настраивать свое рабочее пространство в пределах имеющихся у него прав доступа. На первый взгляд все выглядит неплохо, но без ложки дегтя не обошлось. Механизма, позволяющего централизованно настроить и назначить пользователям интерфейс \u0026quot;по умолчанию\u0026quot; в управляемом приложении нет.\nЕсли мы заглянем в Администрирование - Настройки пользователей и прав - Персональные настройки пользователей - Настройки пользователей то увидим там перечень всех объектов, настройки которых были изменены пользователем, однако никак не сможем их изменить. Т.е. нам предлагают зайти непосредственно под пользователем и настроить рабочий интерфейс от его имени. Спорное решение, особенно если пользователей не два и не три. К счастью разработчики предусмотрели возможность копирования настроек пользователя, что позволяет, настроив интерфейс одного из пользователей так, как нам надо быстро применить настройки для всех остальных.\nЧтобы не быть голословными разберем практический пример. В рамках подготовки к переходу на онлайн-кассы было решено автоматизировать кассовые места небольшой сети стоматологических клиник. Основу автоматизации клиник составляло отраслевое ПО не на базе 1С и не предусматривающее возможность подключения фискального регистратора, поэтому было принято решение для автоматизации кассовых мест использовать конфигурацию Бухгалтерия предприятия 3.0, которая содержит все необходимые функции.\nЗдесь мы столкнулись с двумя сложностями, хотя если посмотреть повнимательнее, то обнаружится, что это две стороны одной и той же медали. Если коротко: персонал никогда до этого не работал с 1С и поэтому требовалось создать максимально простую в освоении рабочую среду, при этом оградив информационную базу от возможного неквалифицированного воздействия персонала. Управляемое приложение позволяет достаточно просто совместить приятное с полезным, сделав так, чтобы и пользователя ограничить, и в тоже время позволить ему комфортно работать, не замечая ограничений.\nНачнем. Прежде всего необходимо создать профиль группы пользователей. Если мы откроем стандартные профили, то увидим, что возможность их изменять отсутствует. Это, на наш взгляд, правильно, история знает массу примеров, когда в приступе служебного рвения стандартные права были перелопачены до такого состояния, что их приходилось восстанавливать из эталонной конфигурации. Также это способно ввести в заблуждение иных пользователей или администраторов этой базы, которые под стандартными профилями ожидают увидеть стандартные наборы прав.\nПоэтому найдем наиболее подходящий для наших задач профиль, в нашем случае это Менеджер по продажам, и сделаем его копию, которой дадим название Кассир. Теперь мы можем настраивать права по собственному усмотрению. Однако плоский список, предлагаемый по умолчанию, не совсем удобен для работы, если только вам не нужно быстро найти уже известную вам опцию, в большинстве случаев гораздо удобнее работать со списком включив группировку по подсистемам. Мы не будем подобно останавливаться на этом вопросе, так как назначение прав зависит от конкретных задач, стоящих перед пользователем, можем только посоветовать проявлять благоразумие и не скатываться в крайности. Помните, что ваша задача - создание удобной и безопасной рабочей среды, а не тотальное запрещение всего чего только можно.\nСоздав профиль назначаем группу доступа нужным пользователям и запускаем программу под одним из них. В зависимости от назначенных прав вы увидите автоматически сформированный интерфейс. В принципе уже довольно неплохо, но в нашем случае все только начинается. К нашему удивлению очень многие пользователи и администраторы до сих пор не имеют понятия как настраивается интерфейс \u0026quot;Такси\u0026quot; продолжая жаловаться на его \u0026quot;неудобства\u0026quot;.\nПерейдем в Главное меню - Вид, где увидим целый ряд настроек, касающихся интерфейса. Начнем с настройки панели разделов, в нашем случае ассортимент был ограничен коротким списком услуг, поэтому раздел склад оказался лишним, чтобы не усложнять и не утяжелять интерфейс просто уберем его. Затем в каждом разделе, нажав на шестеренку в верхнем правом углу, последовательно настроим навигацию и действия. Здесь также уберем все не нужное в повседневной работе, а нужное, наоборот, вынесем на первый план. Можно даже сравнить, как было и как стало: И в заключение выполним настройку панелей. Так как разделов у нас немного, то панель разделов имеет смысл переместить вверх, а панель открытых вниз, тем самым расширив рабочее пространство по горизонтали, что актуально для мониторов с небольшой диагональю или формата 4:3. После завершения следует еще раз проверить все настройки, лучше всего это сделать, имитируя реальные действия кассира, что сразу поможет оценить удобство работы с интерфейсом. В нашем случае получилось простое и удобное рабочее место кассира, во всяком случае проблем с его освоением персоналом не возникло: Теперь снова войдем в программу под администратором и перейдем в Администрирование - Настройки пользователей и прав - Персональные настройки пользователей - Копирование настроек. Наша задача распространить сделанные нами изменения на оставшихся пользователей группы Кассиры. Сама операция достаточно проста: выбираем пользователя, настройки которого мы копируем, указываем кому и выбираем что именно. Ну и напоследок можно запретить пользователю самостоятельно настраивать интерфейс, для этого снова вернитесь к профилю группы и снимите галочку с действия Сохранение данных пользователя. Как видим, настройка интерфейса и прав пользователей в управляемом приложении достаточно проста и несмотря на некоторые недостатки предоставляет администраторам гораздо большую гибкость и удобство, позволяя быстро создавать удобные и безопасные рабочие среды.\n","id":"d47eba8e496bc36aa40d9aa61c5fca86","link":"https://interface31.ru/post/1spredpriyatie-8-nastraivaem-prava-i-interfeys-pol-zovatelya-v-upravlyaemom-prilozhenii/","section":"post","tags":["1С Предприятие 8.х","Персонализация","Рабочее место"],"title":"1С:Предприятие 8. Настраиваем права и интерфейс пользователя в управляемом приложении"},{"body":"Безопасный режим часто является единственным доступным вариантом работы с внезапно отказавшей системой, особенно когда под руками больше ничего нет. И во многих случаях его оказывается вполне достаточно, особенно если неисправность вызвана несовместимой версией ПО или неудачными обновлениями. Однако неприятным сюрпризом может оказаться то, что служба Windows Installer в данном режиме отключена. К счастью, это несложно исправить и сегодня мы расскажем как.\nЛогику разработчиков иной раз понять трудно. Основное предназначение безопасного режима - это устранение проблем, мешающих загрузке системы, в т.ч. удаление несовместимого ПО или драйверов. Но штатную службу установщика Windows по какой-то причине посчитали небезопасной и в безопасном режиме отключили. Получился замкнутый круг: чтобы удалить несовместимое ПО мы должны загрузиться в нормальный режим, чему это самое ПО активно препятствует. Как быть? Обратиться в службу поддержки, несомненно, \u0026quot;ценный\u0026quot; совет, но восстановить систему обычно нужно здесь и сейчас, особенно если \u0026quot;виновник торжества\u0026quot; известен. Попытка запустить службу вручную тоже не увенчается успехом: Текст ошибки на скриншоте выше должен навести на некоторые размышления, если система безоговорочно заявляет, что эта служба не может работать в безопасном режиме, то где-то должен иметься список служб, которые работать в данном режиме могут.\nТакой список содержится в системном реестре в ветке:\n1HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Minimal для безопасного режима и в ветке:\n1HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Network для безопасного режима с поддержкой сети.\nОткроем редактор реестра и создадим в указанной ветви раздел с именем MSIServer, откроем его и присвоим параметру Default значение Service. Чтобы облегчить себе работу можно создать готовые файлы реестра, для этого в любом текстовом редакторе создайте файл, внесите в него указанное ниже содержимое и сохраните с расширением .reg.\nДля безопасного режима:\n1Windows Registry Editor Version 5.00 2 3[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Minimal\\MSIServer] 4@=\u0026#34;Service\u0026#34; Для безопасного режима с поддержкой сети:\n1Windows Registry Editor Version 5.00 2 3[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Network\\MSIServer] 4@=\u0026#34;Service\u0026#34; После внесения изменений в реестр перезагрузка не требуется, можно сразу запускать нужную службу. Для этого или откройте оснастку Управление компьютером - Службы и приложения - Службы или воспользуйтесь командной строкой:\n1net start msiserver Теперь вы сможете штатным образом удалить приложения, использующие службу Windows Installer в безопасном режиме. Аналогичным образом можно запускать и иные службы, но при этом следует проявлять разумную осторожность, так как если данная служба является источником сбоя, то повторно загрузиться с безопасный режим уже не получится и придется принимать иные меры для восстановления системы.\n","id":"07e6ba46b2d49c66f59c8034f8c1567f","link":"https://interface31.ru/post/adminu-na-zametku-20-kak-vklyuchit-windows-installer-v-bezopasnom-rezhime/","section":"post","tags":["Windows 10","Windows 7","Windows 8","Windows Server","Восстановление системы"],"title":"Админу на заметку - 20. Как включить Windows Installer в безопасном режиме"},{"body":"Повсеместный переход на защищенные соединения один из основных трендов последних лет. В связи с этим возникает вопрос получения, установки и своевременного продления сертификатов. Задача не сказать, чтобы сложная, но требующая определенных знаний, а также временных и финансовых затрат, что никак не способствовало широкому внедрению криптографии в массы. Так было до появления нового центра сертификации Let's Encrypt, основной задачей которого служит предоставление SSL-сертификатов всем желающим в автоматическом режиме и бесплатно.\nLet's Encrypt управляется Internet Security Research Group (ISRG), которая является благотворительной организацией и ведет свою деятельность на благо общества. Основной целью компании является сокращение финансовых, технологических и образовательных барьеров на пути к безопасной связи через интернет. К основным спонсорам организации относятся такие компании, как Mozilla, Google, Cisco, Akamai и другие.\nВ основу своей деятельности Let's Encrypt ставит прозрачность: протокол взаимодействия с центром сертификации Automated Certificate Management Environment (ACME) и сам клиент открыты и распространяются под свободными лицензиями. Это является хорошим залогом безопасности, так как открытый код и открытый протокол взаимодействия резко снижают количество возможных необнаруженных уязвимостей или программных закладок, а также дают возможность всем желающим принять участие в дальнейшем развитии проекта.\nВ настоящий момент Let's Encrypt выдает только DV (Domain Validation) сертификаты, выпуск сертификатов с расширенным уровнем проверки не поддерживается. Срок действия сертификатов - 90 дней, перевыпуск осуществляется не ранее чем за месяц до окончания действия сертификата, т.е. при автоматизации этого процесса замена сертификатов будет происходить каждые два месяца. Столь короткий срок выбран для того, чтобы уменьшить возможные негативные последствия от возможной компрометации сертификата, не будем забывать, что сервис предназначен для самого широкого круга пользователей, многие из которых не обладают должным уровнем технических знаний.\nДля работы с удостоверяющим центром Let's Encrypt используется клиентское ПО (Certbot), которое также может в автоматическом режиме конфигурировать веб-сервер (при помощи соответствующих плагинов). Т.е. во многих случаях для перехода сайта с HTTP на HTTPS будет вполне достаточно установить клиентское ПО и выполнить одну короткую команду.\nСразу скажем, мы не сторонники полной автоматизации и предпочитаем настраивать свои сервера вручную, но существует огромное количество пользователей, которые просто хотят работать со своим сайтом, а не ковыряться в непонятных для них настройках веб-сервера. Также автоматизация идеально подойдет хостингам, которые смогут предоставить своим клиентам возможность получить и использовать сертификат простой установкой галочки в личном кабинете.\nНам же, как техническим специалистам, гораздо интереснее то, что под капотом. Также мы имеем глубокое убеждение, что прежде чем браться за внедрение той или иной технологии, следует хотя бы в общих чертах разобраться как она работает. Поэтому мы предлагаем вам ознакомиться, как работает протокол ACME, по которому происходит взаимодействие между клиентом и удостоверяющим центром.\nПротокол ACME является клиент-серверным протоколом, работающим по принципу \u0026quot;запрос-ответ\u0026quot; и в настоящий момент предложен IETF (Инженерный совет Интернета) в качестве интернет стандарта.\nДля того, чтобы работать с удостоверяющим центром следует установить на целевой узел ACME-клиент, который генерирует уникальную для данного узла ключевую пару из закрытого и открытого ключей, которые авторизует при первом обращении к удостоверяющему центру.\nЭто действие аналогично созданию аккаунта при обычном способе регистрации, впоследствии авторизованный ключ будет использоваться для подписания всех запросов между клиентом и сервером, что обеспечивает дополнительный уровень безопасности. Чтобы авторизовать ключевую пару клиент генерирует некий набор контактной информации, подписывает ее закрытым ключом и вместе с открытым ключом передает ее серверу. Сервер проверяет подлинность подписи в случае открытого ключа и передает клиенту подтверждение авторизации, после чего клиент может приступить к получению сертификатов.\nЧтобы успешно получить сертификат клиент должен доказать серверу факт владения доменом, т.е. совершить некоторые действия, которые доступны только его владельцу, например, разместить некий файл по некоторому доступному из интернета пути.\nРассмотрим этот процесс более подробно, так как у многих возникают вопросы, насколько это надежно и не сможет ли кто-нибудь получить сертификаты для чужого домена. Желая получить сертификат клиент формирует стандартный запрос в формате PKCS#10 и подписав его закрытым ключом передает запрос удостоверяющему центру. Чтобы проверить владение доменом сервер удостоверяющего центра прежде всего проверяет подпись, а затем передает клиенту задание, скажем разместить в корневой директории сайта файл с именем roSg9ti6Y15j.\nКлиент выполняет полученное задание и сообщает серверу о его выполнении. Сервер проверяет результат, в данном случае существование файла http://example.com/roSg9ti6Y15j и в случае успеха генерирует и передает клиенту сертификат.\nЧто будет если кто-то перехватит передаваемую информацию? Ничего страшного не произойдет, сертификат и запрос сертификата не являются секретными, а задание может выполнить только тот, кто фактически контролирует данное доменное имя. Единственным секретным компонентом в данной схеме является закрытый ключ, который не покидает пределов клиентского узла и доступ к нему имеет только лицо фактически контролирующее данный узел (а, следовательно, и домен).\nАналогично происходит и процедура отзыва сертификата. Клиент формирует запрос на аннулирование сертификата, подписывает закрытым ключом и передает серверу. Сервер удостоверяющего центра производит отзыв и сообщает клиенту результат выполненной операции.\nКак видим, протокол достаточно прост, но в тоже время обеспечивает необходимую надежность при проверке владения указанным доменом. Собственно, для данного типа сертификатов (DV) большего и не требуется, их предназначение - подтверждение того, что вы установили защищенное соединение именно с указанным в сертификате сайтом и соединение между вами безопасно.\nОфициальным ACME-клиентом является Certbot, взаимодействие с ним осуществляется с помощью специальных плагинов. В официальную поставку входит ряд плагинов, которые мы разберем подробнее.\nManual - плагин для ручной работы с серверами Let's Encrypt, особого интереса не представляет, разве что вы хотите самостоятельно разобраться как работает протокол ACME.\nStandalone - полностью автономный плагин, не требующий вмешательства в ПО вашего сервера, имеет в составе собственный веб-сервер с помощью которого и происходит все взаимодействие с Let's Encrypt. Однако для работы с ним потребуется остановить ваш рабочий веб-сервер, что не всегда приемлемо. С другой стороны, его использование удобно для разработки и тестовых сред, когда требуется исключить привязку к конкретному ПО или расположениям файлов.\nApache и Nginx - плагины для автоматической конфигурации указанных веб-серверов, могут быть использованы для автоматического конфигурирования типовых инсталляций или неопытными пользователями.\nWebroot - данный плагин использует для работы существующий веб-сервер, однако не вносит никаких изменений в конфигурационные файлы. Так как в дальнейшем мы будем преимущественно использовать его, то остановимся на его работе несколько подробнее.\nПри запуске плагина ему передается путь к корневой директории сайта, сертификат для которого мы хотим получить, в файловой системе сервера. После чего Certbot создает там структуру директорий для хранения временных файлов:\n1${webroot-path}/.well-known/acme-challenge Сервер Let's Encrypt поверяет наличие временного файла в указанном расположении запросом типа:\n1 http://example.com/.well-known/acme-challenge/HGr8U1IeTW4kY_Z6UIyaakzOkyQgPr_7ArlLgtZE8SX Если временный файл существует, то владение доменом успешно подтверждено.\nВроде бы все просто, но есть одна особенность, для всех указанных для получения сертификатов имен используется общий путь к корневой директории, это может вызвать сложности если мы пытаемся получить сертификат для домена и поддомена, содержимое которого находится в иной корневой директории. В нашем примере мы запросили сертификат для имен example.com и forum.example.com, каждый из которых технически является самостоятельным сайтом и расположен в своей корневой директории, /var/www/example.com и /var/www/forum.example.com. Если мы укажем в качестве корневого пути папку одного из сайтов, скажем, /var/www/example.com, то example.com пройдет валидацию, а forum.example.com - не пройдет, так как расположение**/var/www/forum.example.com/.well-khown** не существует.\nЧтобы выйти из ситуации, можно запросить два отдельных сертификата, для каждого имени, но можно поступить иначе. Создадим отдельную директорию, например,/var/www/letsencrypt, которую укажем в качестве корневой для Certbot. А для каждого из сайтов настроим алиас для .well-khown, чтобы при запросе данного расположения веб-сервер реально обращался к директории /var/www/letsencrypt. Данный подход удобен тем, что в настройках Certbot будет указан путь к собственной директории, это позволяет впоследствии изменять расположение директорий на сервере, не затрагивая настройки для получения и продления сертификата.\nКроме вышеперечисленных также существуют плагины от сторонних разработчиков для работы с иными системами, например, системой виртуализации Proxmox или почтовыми серверами Postfix/Exim.\nВ дальнейших наших материалах, когда мы будем рассматривать практическую работу с сертификатами Let's Encrypt мы будем подразумевать, что читатель располагает базовым объемом знаний, как минимум на уровне данной статьи.\n","id":"bf61ebfe33b583fe9b712a0325e28b04","link":"https://interface31.ru/post/lets-encrypt-kriptografiya-stanovitsya-blizhe/","section":"post","tags":["Let's Encrypt","PKI","SSL","Безопасность"],"title":"Let's Encrypt - криптография становится ближе"},{"body":"Тема ограничения скорости через прокси-сервер squid уже поднималась на страницах нашего блога, однако тогда мы рассмотрели вариант с ограничением для узлов сети и ее сегментов, не касаясь вопросов аутентификации пользователей. В тоже время перед администраторами крупных сетей встает вопрос об ограничении скорости именно пользователей и групп, в том числе на основе членства в группах Active Directory. Сегодня мы расскажем, как это можно сделать.\nМы не будем подробно возвращаться к механизму ограничения скорости в Squid, полагая что читатели данной статьи владеют необходимым минимумом знаний, в противном случае рекомендуем прежде ознакомиться с нашим материалом:\nUbuntu Server. Ограничиваем скорость клиентов через Squid Как известно, первые три класса пулов работают с сетями, подсетями и конкретными узлами. Существуют распространенные заблуждения, что пулы работают с элементами ACL, а их содержимое не столь важно. Признаемся, мы сами одно время находились под их влиянием, но самый лучший способ развеять заблуждения - проверить все на собственном опыте.\nЭмпирическим путем было выяснено, что если элемент ACL для пулов 1-3 классов не содержит описания сетей, подсетей или хостов, то его содержимое при работе delay pools будет проигнорировано. Таким образом для работы с пользователями следует применять только пулы 4 класса, которые кроме настроек для сетей и хостов содержат отдельную настройку для аутентифицированного пользователя.\nИ если описание пула 3-го класса выглядит так:\n1delay_parameters n общие подсеть узел то в 4-ом классе к ним добавляются настройки пользователя\n1delay_parameters n общие подсеть узел пользователь Поэтому в применяемом для пула 4-го класса элементе ACL обязательно должны присутствовать пользователи, в противном случае такой пул работать не будет.\nКак применять данный класс пулов? Начнем с самой простой задачи: ограничим скорость всем пользователям, которые прошли проверку подлинности на прокси.\nПрежде всего зададим элемент ACL для них:\n1acl auth proxy_auth REQUIRED Затем опишем пул:\n1delay_pools 1 2delay_class 1 4 3delay_access 1 allow auth 4delay_parameters 1 -1/-1 -1/-1 -1/-1 1250000/1250000 Первой строкой мы указали количество пулов, затем перечислили их указав номер и класс, ниже разместили список доступа, разрешив работу с пулом только элементам ACL auth - т.е. всем аутентифицированным пользователям. И наконец задали ограничения скорости. Первые три опции мы выставили без ограничений, а в последней мы указали максимальную скорость для пользователя в 1,25 МБ/с = 10 Мбит/с.\nПроверяем: При этом данный пул можно использовать и для ограничения скорости для узлов и подсетей. Для этого укажите там соответствующие настройки и добавьте еще один список доступа с ACL содержащим узлы и сети, в этом случае работа пула ничем не будет отличаться от пула 3-го класса, а настройки для пользователей будут проигнорированы.\nНапример:\n1acl public_pc src 192.168.31.111 2acl auth proxy_auth REQUIRED 3 4http_access allow public_pc 5http_access allow auth 6 7delay_access 1 allow public_pc 8delay_access 1 allow auth 9delay_parameters 1 -1/-1 -1/-1 1250000/1250000 1250000/1250000 Мы создали два элемента ACL: для некого публичного ПК, с которого доступ в сеть будет осуществляться без аутентификации, и для прошедших проверку подлинности пользователей. Затем разместили список доступа для публичного ПК выше списка доступа пользователей, в противном случае прокси прежде потребует аутентификацию.\nИ наконец задали два списка доступа для пула, в данном случае их порядок особо неважен, так как элементы ACL содержат разные типы данных и не перекрывают друг друга. В настройках пула мы задали скорость в 10 Мбит/с как для узла, так и для пользователя. Комбинируя настройки следует учитывать их вложенность, ограничения для пользователя также учитывают ограничения для узла, подсети и для пула в целом. Например, ограничив для узла скорость в 1 Мбит/с и оставив 10 Мбит/с для пользователя мы все равно не получим скорости выше 1 Мбит/с.\nКстати, такую комбинацию удобно использовать для терминальных серверов, когда требуется ограничить не только скорость каждого пользователя, но и скорость всего сервера в целом. Не забудьте только задать ACL с адресом сервера.\nДо сих пор мы оперировали общим понятием пользователи, но в большинстве случаев требуются ограничения для конкретных пользователей или групп. Если Squid самостоятельно занимается аутентификацией пользователей, то можно просто перечислить в описании ACL необходимые имена. Для примера разделим интернет в небольшой группе для босса и подчиненных.\n1acl boss proxy_auth boss 2acl sotrudniki proxy_auth ivanov petrov sidirov Теперь у нас два элемента ACL, в первый попадает пользователь с именем boss, а во второй сотрудники Иванов, Петров и Сидоров.\nСоздадим два пула четвертого класса и укажем списки доступа для них:\n1delay_pools 2 2delay_class 1 4 3delay_class 2 4 4delay_access 1 allow boss 5delay_access 2 allow sotrudniki Теперь зададим параметры пулов. Для босса ограничений нет и на первый взгляд было бы логично указать:\n1delay_parameters 1 -1/-1 -1/-1 -1/-1 -1/-1 Но опытным путем было установлено, что при такой настройке доступ в интернет будет затруднен, на практике это выражается в бесконечной загрузке некоторых сайтов. Поэтому следует явно указывать значения скорости, например, полную скорость канала, либо заведомо большее значение. В нашем случае укажем 100 Мбит/с для босса и 10 Мбит/с для сотрудников.\n1delay_parameters 1 -1/-1 -1/-1 -1/-1 12500000/12500000 2delay_parameters 2 -1/-1 -1/-1 -1/-1 1250000/1250000 Если вы используете аутентификацию через внешние службы, например, через каталог Active Directory, то гораздо удобнее оперировать не пользователями, а группами. Для получения сведений о членстве пользователя в той или иной группе применяются внешние утилиты - хелперы, работа с которыми производится специальной директивой external_acl_type. Более подробно об этом можно прочитать в статье:\nНастраиваем Squid для работы с Active Directory. Часть 3 - Авторизация на основе групп AD Мы не будем подробно останавливаться на этом вопросе и возьмем в качестве примера настройки из указанной статьи. Мы будем проверять членство пользователей в двух доменных группах и на основании этого помещать их в один из элементов ACL:\n1acl squid-admin external squid-admin 2acl squid-user external squid-user Дальнейшая настройка ничем не отличается от вышеприведенного примера, достаточно только прописать в списки доступа ACL с авторизованными на основе групп доменными пользователями.\n1delay_access 1 allow squid-admin 2delay_access 2 allow squid-user А как быть с теми, кто не попал ни в какой список? Если оставить все как есть, то никакие ограничения к ним не применятся. Поэтому создадим третий пул, убедившись перед этим, что у нас есть элемент ACL для всех пользователей.\n1acl auth proxy_auth REQUIRED Затем укажем для них список доступа и поставим его самым последним. Списки обрабатываются в порядке очередности и до первого совпадения, поэтому в него попадут только те, кто не попал ни в один другой список. Т.е. правильно будет так:\n1delay_access 1 allow squid-admin 2delay_access 2 allow squid-user 3delay_access 3 allow auth При этом взаимное расположение списков для админов и пользователей особой роли не играет, так как их содержимое не пересекается, однако если вдруг какой-либо пользователь окажется сразу в нескольких группах, то для него сработает ограничение того пула, правило для которого находится выше в списке, хотя таких ситуаций следует по возможности избегать.\nДля лучшего понимания работы и отладки правил можно включить расширенные логи, для этого добавьте в соответствующую секцию конфигурационного файла директиву:\n1debug_options ALL,1 77,9 После чего в файл /var/log/squid3/cache.log будут записываться события связанные с пулами задержки. Взглянем на пример такого лога: Из отладочной информации прекрасно видно какой пользователь попадает в какой пул, поэтому мы советуем включать отладку всегда, когда вы испытываете затруднения с распределением пользователей по пулам или с непонятной работой последних. Однако не следует включать эту опцию на рабочих серверах во избежание стремительного роста файла лога, ну и не забывайте выключать ее после настройки.\nКак видим, ничего сложного в ограничении скорости для пользователей нет, надо всего лишь понимать принцип работы пулов задержки и не путать объекты, к которым применяются ограничения.\n","id":"01d723137c1b83be701d55d1e5199299","link":"https://interface31.ru/post/nastraivaem-ogranichenie-skorosti-dlya-pol-zovateley-v-squid/","section":"post","tags":["Active Directory","Debian","Squid","Ubuntu Server","Сетевые технологии"],"title":"Настраиваем ограничение скорости для пользователей в Squid"},{"body":"Виртуализация сегодня находит широкое применение даже на небольших предприятиях и вполне закономерно встает вопрос об использовании ресурсов гипервизора. Если внимательно изучить настройки Windows, то можно прийти к выводу, что многие из них для работы в виртуальной среде избыточны, также, как и не нужны некоторые службы. И если на обычных ПК мы не тратим свое время на отключение ненужных компонентов ради пары десятков мегабайт оперативной памяти или процентов процессорного времени, то в условиях виртуальной среды из таких \u0026quot;мелочей\u0026quot; можно получить существенную экономию ресурсов.\nОстается только один вопрос: как это лучше сделать? Настраивать каждую виртуальную систему вручную? К счастью компания VMWare предлагает в свободном доступе достаточно интересный инструмент VMware OS Optimization Tool который можно бесплатно скачать здесь. Несмотря на то, что основным предназначением данной утилиты является оптимизация настольных ОС для работы в среде VMware Horizon View (средства виртуализации настольных ПК), ее можно с успехом применять для любых виртуальных машин, работающих на любом гипервизоре.\nПо сути перед нами специальный \u0026quot;твикер\u0026quot;, который производит тонкую настройку ОС для работы в роли виртуального рабочего стола (VDI) в виртуальной среде. Следует понимать, что такая оптимизация не увеличивает быстродействия, а направлена в первую очередь на экономию вычислительных ресурсов гипервизора, что не отменяет субъективного повышения комфортности работы - система становится более отзывчивой, производит меньше фоновых операций, которые могли приводить к снижению скорости работы.\nРабота с утилитой чрезвычайно проста, запускаем единственный файл и выбираем один из доступных для нашей ОС профилей, после чего вам будет предложен список изменений с кратким пояснением по каждому из них. Несмотря на то, что русский язык отсутствует, сложностей возникнуть не должно, хороший специалист как минимум должен обладать английским на уровне \u0026quot;читаю со словарем\u0026quot;, а большего здесь и не требуется. Можно, конечно, сразу нажать кнопку Optimize, но следует помнить, что встроенные профили предназначены для достаточно узкой задачи и не все предлагаемые изменения могут быть полезны именно вам. Поэтому не поленитесь хотя бы бегло просмотреть список, чтобы потом не удивляться неожиданно странному поведению системы. Помните, что это всего лишь инструмент, который с одинаковым успехом может привести как к положительному, так и к отрицательному результату. Проще говоря, молотком можно забить гвоздь, а можно отбить пальцы. Но разве молоток в этом виноват?\nПредлагаемые настройки не догма и то, что подходит VMWare может не подходить лично вам. Например, довольно спорные опции отключения UAC и Windows Update. Но не бойтесь экспериментировать. В случае, если что-то пойдет не так вы всегда сможете выполнить откат внесенных изменений. Обратите внимание, что разные шаблоны предлагают различные варианты оптимизации, поэтому не поленитесь внимательно изучить все предлагаемые варианты, а также не спешите применять к системе первый попавшийся шаблон. На скриншоте выше ясно видно, что если VMWare (справа) предлагает довольно взвешенный подход, то LoginVSI гораздо более радикальны, предлагая, между прочим, удаление современных приложений из Windows 10. В общем здравый смысл и разумная осторожность вам не помешают.\nЕсли десктопные настройки в первую очередь преследуют цель экономии ресурсов, то серверные также повышают стабильность системы и ее безопасность, например, включают автоматическое завершение зависших задач и задают соответствующие таймауты. Итак, вы просмотрели все имеющиеся шаблоны и ни один из них вас полностью не устраивает. Самое время создать собственный шаблон, тем более что для этого есть все возможности. Однако прежде мы советуем ознакомиться с шаблонами от сообщества, откуда можно почерпнуть интересные идеи, для этого достаточно перейти на закладку Public Templates и скачать любой понравившийся шаблон. Для создания собственного шаблона откройте раздел My Templates, выберите шаблон, который вы желаете взять за основу и нажмите Copy and Edit. Теперь можно приступать к воплощению собственных идей, вы не только можете редактировать уже имеющиеся настройки, но и создавать свои собственные. Доступны операции с реестром, службами, выполнение произвольных команд и управление планировщиком заданий. Инструменты, безусловно, богатые и позволяют выполнить весьма тонкую настройку системы под собственные нужды. Из минусов можно отменить довольно высокий порог вхождения, так как необходимые ключи реестра или команды вы должны вводить самостоятельно. Но, возможно, это и к лучшему, так как резко снижает возможности убить систему легким нажатием мышки, не задумываясь над смыслом производимых действий.\nПодобные возможности открывают гораздо более широкие перспективы применения утилиты, нежели виртуальные среды. Никто не мешает создать шаблоны на все случаи жизни и применять их по мере необходимости.\nК сожалению, работа с шаблонами построена в утилите не совсем прозрачно, так, например, кнопка Export Template создает html-файл с описанием настроек, а Import Template требует xml-файл. Поэтому нам пришлось самостоятельно разобраться в этом вопросе, благо это несложно.\nПользовательские шаблоны автоматически сохраняются в директорию:\n1%ProgramData%\\VMware\\OSOT\\My Templates Имена xml-файлам присваиваются автоматически на основании id шаблона, их следует скопировать и впоследствии использовать для импорта. Также можно присвоить им собственные, понятные наименования.\nЗдесь иной читатель может пожать плечами и сказать, мол все это умеет любой \u0026quot;твикер\u0026quot;, зачем нужна еще одна программа. Действительно зачем, что выгодно отличает VMware OS Optimization Tool от иных аналогичных программ, если не брать во внимание уже готовые шаблоны для виртуальных машин?\nГлавным достоинством этой утилиты мы считаем максимально открытый формат шаблонов. Мы нисколько не умаляем достоинств иных программ и качество их исполнения, но вы можете точно сказать, что именно делает, например, эта настройка? А в случае инструмента от VMWare вам доступна самая подробная информация: Да, вы можете доверять автору \u0026quot;твикера\u0026quot;, особенно если он вас не подводил, но возможность посмотреть вносимые в систему изменения значат гораздо больше любого доверия. Особенно если вы сомневаетесь в назначении той или иной опции.\nНу и напоследок об эффективности. Утилита показывает нам достаточно привлекательные диаграммы, которые отражают степень уплотнения виртуальных машин после проведения оптимизации, но лучше один раз увидеть, чем сто раз услышать. Мы взяли одну из виртуальных машин в нашей тестовой лаборатории и проанализировали ее состояние сразу после загрузки (повторив процесс три раза, для достоверности результата). Здесь хочется обратить внимание на несколько моментов. Во-первых, явно виден запуск неких фоновых процессов с высокой утилизацией процессорных ресурсов. Также следует отметить высокую дисковую активность сразу после загрузки и наконец просто запомним потребление оперативной памяти.\nТеперь применим стандартный шаблон для Windows 8.1 от VMWare: Результат, как говорится, налицо. Во-первых, больше нет фоновых процессов, нагружающих ЦП, пропала высокая дисковая активность после загрузки и уменьшились аппетиты относительно ОЗУ. Субъективно работа с системой стала также более комфортной.\nПоэтому мы можем смело рекомендовать данную утилиту к применению, при этом хочется отметить, что VMware OS Optimization Tool является не только средством оптимизации виртуальных машин, но может быть эффективно использован для тонкой настройки любых систем под управлением ОС семейства Windows.\n","id":"a6cb21e8ab2a8c253625505095681555","link":"https://interface31.ru/post/otpimiziruem-windows-dlya-raboty-v-virtual-nyh-sredah/","section":"post","tags":["Hyper-V","VMWare","Виртуализация","Производительность"],"title":"Оптимизируем Windows для работы в виртуальных средах"},{"body":"С выпуском новой версии Windows Server в конце сентября 2016 года компания Microsoft в очередной раз поменяла правила лицензирования. Можно сколько угодно выражать свое отношение к этому шагу, но незнание правил не спасает от ответственности. Поэтому, чтобы не попасть в неприятную ситуацию мы рекомендуем всем системным администраторам вместе с нами разобраться в тонкостях лицензирования новой серверной операционной системы.\nИзменения коснулись не только правил лицензирования, но и продуктовой линейки. В основную ее часть входит три редакции:\nStandard - для физических систем и небольшого количества виртуальных сред; Datacenter - для систем с высоким уровнем виртуализации и облачных сред; Essentials - для малого бизнеса до 25 пользователей и 50 устройств. Также существуют редакции:\nMultiPoint Premium Server - предусматривает множественный доступ пользователей к одному компьютеру, доступна только академическая лицензия; Storage Server - доступна только в OEM-канале для специализированных систем хранения. Начнем с редакции для малого бизнеса. В отличии от Server 2012 теперь осталась только одна редакция - Essentials, которая предусматривает до 25 учетных записей и доступ до 50 устройств. Лицензии клиентского доступа не требуются. При текущей стоимости лицензии около 25 000 руб. это, на наш взгляд, очень неплохое приобретение для небольших предприятий.\nЧто касается убранного из линейки Foundation, то это практически никак не отразится на пользователях, так как данная редакция была доступна только в OEM-канале, т.е. конечный пользователь мог получить ее исключительно в составе готового сервера, в то время как Essentials можно приобрести в канале корпоративного лицензирования и использовать с имеющимся железом.\nВ составе основных редакций также произошли изменения. Если в Server 2012 отличия между Standard и Datacenter заключались только в правах на запуск виртуальных машин, то в Server 2016 снова появились различия в функциональном составе. Так пользователям Datacenter будут доступны:\nНовые функции хранилища, включая Storage Spaces Direct и Storage Replica Новые экранированные виртуальные машины Новый сетевой стек Как видим, разделение вполне логичное, новые возможности касаются преимущественно виртуальных сред, основной редакцией для которых позиционируют именно Datacenter.\nКроме того, в Windows Server 2016 появились новые возможности, доступные в обоих редакциях:\nКонтейнеры Windows Server (на основе Docker) Nano Server -- урезанная версия Windows Server, без пользовательского интерфейса, предназначенная для обеспечения работы дистанционно управляемых служб. Хорошая новость: контейнеры Windows доступны без дополнительного лицензирования и не имеют ограничений по количеству запущенных экземпляров. Контейнеры также будут поддерживаться в Windows 10 редакций Pro и Enterprise, начиная с версии 1607 (Anniversary Update).\nРазобравшись с редакциями, перейдем собственно к лицензированию. Ключевым отличием Server 2016 от Server 2012 является то, что теперь лицензируются не физические процессоры, а физические процессорные ядра. Если раньше приобретенная лицензия покрывала физические процессоры, вне зависимости от числа ядер (одна лицензия Server 2012 покрывала 2 физических процессора), то теперь каждое физическое ядро нуждается в собственной лицензии. Минимальные требования: не менее 8 лицензий на процессор и не менее 16 лицензий на сервер.\nПереход от лицензирования процессоров к лицензированию ядер в общем понятен и логичен, современные технологии позволяют поместить на один кристалл достаточно большое количество ядер и получить очень высокие вычислительные возможности не увеличивая число физических сокетов.\nТак ранее можно было собрать высокопроизводительную систему на базе 14-ядерных Xeon E5-2660 V4 и лицензировать ее за достаточно смешные деньги. Стоимость одной лицензии Server 2012 Datacenter примерно соответствовала стоимости пары процессоров. Для владельцев серверов начального уровня (до 8 ядер на CPU) все останется по-прежнему. Лицензии на ядра продаются парами, стоимость одной пары лицензий установлена в размере 1/8 стоимости лицензии Windows Server 2012 соответствующей редакции. Что касается прав на виртуализацию, то здесь все осталось по прежнему: лицензия Standard разрешает запуск двух виртуализированных экземпляров, при этом хостовая система может использоваться только для обслуживания виртуальных машин. При необходимости увеличить число виртуальных машин нужно заново лицензировать все процессорные ядра с учетом минимальных требований. Таким образом, для двухпроцессорного сервера с 4-ядерными процессорами нужно будет купить еще 16 лицензий на ядро, что будет соответствовать еще одной лицензии Server 2012. Это позволит запускать еще одну пару виртуальных машин. Насколько это выгодно или имеет смысл перейти на Datacenter?\nБерем в руки калькулятор и считаем. Стоимость лицензий Standard и Datacenter отличаются примерно в 7 раз, таким образом можно запустить до 14 виртуальных машин на лицензии Standard и заплатить за это меньше, чем стоит Datacenter. С учетом того, что аппетит приходит во время еды, мы бы советовали руководствоваться следующими соображениями: если у вас планируется до десятка виртуальных машин, то следует купить нужное количество лицензий редакции Standard, если виртуалок будет больше десятка, то следует задуматься по приобретении Datacenter.\nЛицензирование клиентских подключений каких-либо изменений не претерпело, и мы не видим смысла повторяться, все, кого интересует данная тема, могут ознакомиться с ней в нашей статье: Лицензирование Windows Server 2012.\nЕсли коротко, то любое подключение либо использование служб сервера, в том числе и опосредованное, должно быть лицензировано приобретением лицензии на пользователя, либо на устройство. Аналогичным образом лицензируются все терминальные подключения.\n","id":"d84a953041658002b58de50abe086d4a","link":"https://interface31.ru/post/licenzirovanie-windows-server-2016/","section":"post","tags":["Windows Server","Windows Server 2016","Лицензирование"],"title":"Лицензирование Windows Server 2016"},{"body":"С криптографией сегодня мы сталкиваемся на каждом шагу и это неудивительно. Широкое распространение портативных устройств с доступом к сети интернет заставило по-новому взглянуть на безопасность процесса передачи данных. В тоже время для многих криптография остается неким черным ящиком и если для простых пользователей это простительно, то недостаток знаний у технических специалистов способен привести к серьезным проблемам с безопасностью. Поэтому приглашаем всех желающих повысить свой уровень знаний в данном вопросе ознакомиться с нашим новым материалом.\n\u0026quot;Какая криптография, зачем? Мне скрывать нечего!\u0026quot; - подобные утверждения часто можно слышать от пользователей если речь заходит о шифровании данных. К сожалению, во многом стараниями масс-медиа, криптография и шифрование у простого обывателя четко ассоциируется со шпионами, хакерами или иными представителями андеграунда. Однако, если поставить вопрос по-другому, хотят ли они, чтобы их переписка в социальных сетях, содержимое почтового ящика или учетные данные от банковского счета стали достоянием широкой общественности - то ответ будет сугубо отрицательным.\nВ современном мире применение криптографии вызвано не попытками скрыть от окружающих и государства какие-то неблаговидные моменты деятельности, а насущной необходимостью обеспечить безопасность данных передаваемых по общим каналам связи. Чем большую роль в нашей жизни стал играть интернет, тем большее количество мошенников и любителей легкой наживы стало появляться в нем, а размах и обороты киберпреступников давно уже заставляют воспринимать виртуальные угрозы со всей серьезностью.\nОсновная цель современной прикладной криптографии - это защита передаваемых данных от доступа к ним третьих лиц, либо возможности их подмены. Задача это не простая, поэтому и мы начнем с самого начала, сознательно упрощая модель до уровня, позволяющего понять азы без углубления с технические и математические подробности и не требующего наличия специальных знаний.\nИтак, Алиса хочет отправить сообщение Бобу...\nСимметричное шифрование Итак, Алиса хочет отправить сообщение Бобу, но так, чтобы любопытная Ева не могла ознакомиться с его содержимым. Где и как будет передаваться сообщение - Алиса не знает, но знает, что Ева - особа крайне любопытная и при случае обязательно сунет нос в их с Бобом переписку.\nДля того чтобы Ева не могла прочитать сообщение Алиса решает его зашифровать. Существует много способов сделать это, для примера мы возьмем довольно простой, но достаточно эффективный и широко применявшийся в прошлом способ - книжный шифр. Суть его состоит в том, что каждый символ в исходном сообщении заменяется на некую цифровую последовательность, скажем номер строки и номер символа в ней. Взяв с полки томик любимого автора Алиса достаточно быстро превращает текст:\n1Привет Боб в последовательность чисел:\n13/9 1/8 5/1 7/1 2/2 6/3 4/3 1/5 1/13 Теперь данное сообщение можно смело передавать по незащищенным каналам, но ни Боб, ни Ева не могут прочитать его, так как не владеют ключом. Что такое ключ? В нашем случае это вполне определенная страница вполне определенной книги. Даже зная каким именно текстом зашифровано это сообщение Ева не сможет его прочитать, пока точно не будет знать издание, так как в другой книге на указанной странице, в указанных позициях могут оказаться совсем иные буквы.\nСовременная вычислительная техника, базируясь на достижениях высшей математики, способна совершать гораздо более сложные преобразования информации, но все современные алгоритмы базируются на тех же самых базовых принципах. Алгоритм может быть сколь угодно сложным, но он не представляет тайны, наоборот, даже лучше, если алгоритм открыт и общедоступен, это резко снижает встраивание в него механизмов, позволяющих расшифровать любое сообщение без знания ключа.\nКлюч - основа секретности любого криптографического алгоритма и должен сохраняться в тайне.\nВ нашем случае, как несложно заметить, для шифрования и расшифровки информации используется один и тот же ключ, такое шифрование называется симметричным. К преимуществам симметричных алгоритмов можно отнести относительную простоту реализации и, как следствие, высокую скорость работы, но есть и недостатки, причем довольно существенные.\nИтак, Алиса успешно зашифровала сообщение и отправила его Бобу. Но возникает новая сложность - каким образом передать Бобу ключ? Послать второй экземпляр книги по почте? Сообщить название и тип издания по телефону? Ни один из этих способов не дает гарантии, что ключ получит именно Боб и что он не станет известен Еве. Ведь располагая секретным ключом Ева не только может читать переписку Алисы и Боба, но и общаться с Бобом от имени Алисы, а с Алисой от имени Боба.\nПеребрав все возможные варианты Алиса и Боб не находят никакого иного способа, кроме как встретиться лично и передать ключ из рук в руки. Именно этот факт затрудняет массовое применение симметричного шифрования в информационных системах, мало кто захочет для работы с почтовым сервисом лично ехать в офис почтовой службы получать ключ.\nТем не менее симметричное шифрование широко применяется во многих отраслях, например, в банковском деле. Во многих системах дистанционного банковского обслуживания клиент (чаще всего корпоративный) должен лично явиться в банк и получить ключевой носитель для шифрования обмена данными с банком.\nЕще один недостаток симметричного шифрования - это крайняя уязвимость всего канала связи от компрометации ключа. Потому как его утеря дает возможность читать не только текущие сообщения, но и расшифровать все ранее перехваченные. Поэтому, находясь в командировке, Боб сто раз подумает, следует ли отправлять сообщение Алисе из интернет кафе, так как он не может быть уверен, что компьютер с которого он будет это делать совершенно надежен и утечки ключа не произойдет. Чтобы избежать подобного сценария существуют токены с неизвлекаемым ключом, но их применение только удорожает систему и делает ее непригодной для массового применения.\nАлгоритм Диффи-Хеллмана Передача ключа по незащищенному каналу была большой проблемой криптографии в XX веке. Действительно, возникал некий, неразрешимый на первый взгляд, парадокс: для защиты открытого канала стороны должны прежде обменяться секретной информацией, которую нельзя передавать по открытым каналам. Однако в 1976 году Уитфилдом Диффи и Мартином Хеллманом, а также независимо от них Ральфом Мерклом был предложен алгоритм, получивший впоследствии название алгоритм (протокол) Диффи-Хеллмана. В основу данного алгоритма были положены односторонние вычисления, не вдаваясь в подробности можно сказать, что это такие математические преобразования, при которых выполнить исходное вычисление достаточно просто, а вот обратное преобразование будет невозможным, либо займет значительное количество времени.\nОдним из таких преобразований являются вычисления по модулю и именно они и легли в основу данного алгоритма. Чтобы понять его суть, проведем следующую аналогию: односторонние вычисления можно сравнить со смешиванием краски, сделать это легко, а вот разделить полученную смесь на исходные составляющие чрезвычайно трудно, практически невозможно. Этим мы и воспользуемся.\nИтак, Алиса хочет послать сообщение Бобу... Для того, чтобы выработать общий секрет, который впоследствии будет использоваться в качестве ключа шифрования, Алиса и Боб договариваются о некотором общем цвете. Пусть это будет один из оттенков желтого, данная информация является общедоступной и может быть известна Еве.\nЗатем каждый добавляет к одной части общей краски часть секретной, которая известна только Алисе или только Бобу, в итоге получается некий промежуточный цвет, который можно отправить по открытому каналу другой стороне. Даже перехватив оба этих цвета и располагая сведениями об общем цвете Ева в разумный промежуток времени не сможет быстро восстановить исходные цвета Алисы и Боба.\nВ случае с вычислениями по модулю это потребует практически полного перебора всех возможных исходных значений, что способно занять очень много времени, особенно если исходные данные 1024 и 2048-битные числа.\nВ итоге, получив от другой стороны промежуточный цвет, Алиса и Боб снова добавляют туда одну часть своего секретного цвета, в итоге у каждого из них получится оттенок, который в равных частях содержит оба секретных и общий цвета. Но при этом никакая секретная информация по открытому каналу не передается! Таким образом Алиса и Боб оказываются владельцами общего секрета, который они могут использовать для шифрования переписки не боясь, что ее содержимое станет известно Еве.\nОбратите внимание, что алгоритм Диффи-Хеллмана не является алгоритмом шифрования, а представляет только протокол обмена ключами. Полученный таким образом ключ может быть использован для шифрования по любым доступным сторонам алгоритмам.\nКроме очевидных достоинств, алгоритм Диффи-Хеллмана имеет и существенные недостатки, один из которых - отсутствие взаимной аутентификации сторон, т.е. у Алисы нет уверенности, что промежуточный цвет прислал ей именно Боб и наоборот. Это делает возможными атаки типа \u0026quot;человек посередине\u0026quot; о которых мы поговорим позже.\nТем не менее достоинства алгоритма не менее очевидны, одним из которых является возможность любой стороне изменять собственный секрет без согласования с другой стороной и получая при этом каждый раз уникальный ключ шифрования. Эта особенность используется в настоящее время для обеспечения режима прямой секретности, когда стороны, выполнив предварительно взаимную аутентификацию, генерируют уникальный сессионный ключ для каждого нового сеанса связи. Таким образом, даже если ключ будет утерян, то это даст возможность расшифровать только текущий сеанс, но не ранее накопленные данные.\nАсимметричное шифрование Годом позже изобретения алгоритма Диффи-Хеллмана была представлена первая асимметричная система шифрования с открытым ключом - RSA. Можно сказать, что с этого момента произошло возникновение массовой криптографии в том виде, в котором мы ее знаем сейчас. Принципиальное отличие асимметричных систем состоит в создании ключевой пары: открытого и закрытого (приватного) ключей. Открытый ключ является общедоступным, но все что зашифровано с его помощью не может прочесть никто, кроме владельца закрытого ключа.\nВернемся к нашим героям. Алиса генерирует ключевую пару и, поместив закрытый ключ в надежное хранилище, публикует открытый в виде сертификата. Сертификат, кроме собственно ключа, содержит ряд служебной информации, которая помогает определить личность владельца ключа, срок его действия и некоторые иные параметры. Никакой тайны данные сведения не составляют и наоборот являются общедоступными, в чем можно удостовериться, открыв для просмотра любой сертификат. Боб, желая написать сообщение Алисе получает от нее сертификат и шифрует свое сообщение содержащимся в нем открытым ключом. Точно такой же сертификат может получить и Ева, но это не даст ей ничего, так как прочитать зашифрованное открытым ключом не может никто, кроме Алисы.\nЧтобы отправить обратное сообщение можно воспользоваться аналогичной схемой: Алиса берет открытый ключ Боба... Но на практике данная схема не нашла своего применения по целому ряду причин. Одна из них - крайне низкая производительность асимметричных алгоритмов, вторая - необходимость формирования ключевой пары для всех участников переписки.\nПредположим, что Алиса имеет интернет-магазин, а Боб простой покупатель в нем. При этом для Алисы не составит проблем сгенерировать ключевую пару, надежно защитить закрытый ключ и опубликовать открытый. Но как быть Бобу, который просто хочет что-то приобрести, а слова криптография и шифрование прочно ассоциируются у него со шпионскими романами? К счастью все гораздо проще, получив от Алисы открытый ключ Боб формирует на основе некоторых данных общий секрет, который, зашифровав открытым ключом, направляет Алисе. В дальнейшем, согласовав один из симметричных алгоритмов, стороны переходят к симметричному шифрованию, используя общий секрет в качестве ключа.\nПриведенный нами пример в упрощенной форме показывает, как работает алгоритм RSA, широко применяемый в настоящее время для обеспечения безопасных коммуникаций. Обратите внимание, что асимметричное шифрование используется только на начальном этапе, для защиты передачи сессионного ключа, в последующем стороны переходят на симметричное шифрование, которое имеет гораздо более высокую производительность при требуемом уровне надежности.\nНо у данного подхода есть один существенный недостаток, так как сессионный ключ передается внутри зашифрованного канала, то в случае компрометации закрытого ключа Алисы любопытная Ева сможет расшифровать с его помощью все сессионные ключи, а затем прочитать всю перехваченную ею переписку. Чтобы этого избежать в настоящее время для формирования сессионного ключа используется алгоритм Диффи-Хеллмана, который позволяет создать общий секрет без передачи его по каналу связи.\nАтака \u0026quot;Человек посередине\u0026quot; Как мы уже отмечали, одним из краеугольных принципов криптографии является взаимное доверие и аутентификация сторон. Действительно, во всех наших примерах подразумевалось, что Алиса и Боб знают друг друга и могут убедиться в том, что на другом конце канала связи находится именно один из них. В реальной жизни мы не можем убедиться, что сервер на другом конце канала связи - это именно тот узел, который нам нужен, а это оставляет широкий простор для атак типа \u0026quot;человек посередине\u0026quot;. Встречаем нового персонажа - Мэллори. Если Ева была просто любопытной особой, то Мэллори не только любопытная, но и деятельная. Когда Боб хочет отправить сообщение Алисе он обращается к ней за открытым ключом, Мэллори перехватывает это сообщение и отправляет Бобу собственный открытый ключ. После чего она обращается к Алисе и получив ее сертификат также устанавливает защищенный канал связи с ней.\nТаким образом и Алиса, и Боб думают, что общаются друг с другом, у обоих имеется защищенное соединение, однако на самом деле их канал полностью контролирует Мэллори. Получив сообщение от Боба, зашифрованное сеансовым ключом Мэллори-Боб, она расшифровывает его, при необходимости изменяет, и, зашифровав сеансовым ключом Алиса-Мэллори отправляет уже Алисе. Это уже гораздо более серьезная уязвимость, так как позволяет не только перехватывать, но и изменять передаваемую в таком канале информацию.\nВ данном случае мы показали классический пример атаки на RSA, но точно таким же образом Мэллори может осуществить атаку и на алгоритм Диффи-Хеллмана.\nКто уязвим перед такого рода атаками? Прежде всего пользователи самоподписанных сертификатов. Существует распространенный миф, что шифрование при помощи таких сертификатов ненадежно, однако это не так, по стойкости шифра самоподписанные сертификаты не отличаются от тех, которые выдаются за деньги, но есть одна большая разница. Если мы не знаем, кто именно выпустил данный сертификат, то рискуем вместо сертификата Алисы принять сертификат от Мэллори со всеми вытекающими.\nВторая группа риска - системные администраторы, которые в целях контроля перехватывают защищенный трафик из внутренней сети. В этом случае шлюз выступает в роли Мэллори, так как отдает клиенту собственный ключ (которому клиент доверяет) и сам осуществляет соединение с запрошенным узлом, расшифровывая и контролируя проходящий через него трафик.\nЕсли шлюз настроен таким образом, что будет подавлять сообщения об ошибках сертификата, то появление настоящей Мэллори может пройти незамеченным. Это может привести к тому, что, попав на фишинговый сайт клиент не заметит подвоха и отдаст свои учетные данные мошенникам, так как внешне все будет выглядеть пристойно, потому что соединение от клиента до шлюза надежно, о чем и будет сообщать браузер, показывая на странице зеленый замочек.\nУдостоверяющий центр Итак, пример с Мэллори нам показал, что одной только криптографии недостаточно для надежной защиты канала связи, так как не менее важно знать кто именно находится на другом его конце и тот ли он, за кого себя выдает.\nДля этого есть несколько способов. Самый простой из них, когда, получив сертификат Алисы, Боб может лично ей позвонить и спросить некую контрольную сумму, скажем, SHA-хэш (отпечаток ключа), данные алгоритмы построены таким образом, что даже малейшее изменение исходного значения дает принципиально иной результат для функции хэширования.\nТакой подход применяется, например, при установлении соединений через SSH, при первой попытке подключения в обязательном порядке сообщается хэш используемого открытого ключа, который администратор может сравнить с известным ему значением (либо спросить его лично у администратора сервера). В дальнейшем значение хэша кешируется и при последующих соединениях отпечаток ключа сервера сравнивается со значением из кеша. Поэтому получив повторно подобный запрос с иным значением хеша следует глубоко задуматься и незамедлительно начать расследование, так как изменение отпечатка говорит о том, что вы подключаетесь к иному узлу (либо администратор переустановил ОС или вручную перегенерировал ключи).\nПонятно, что такой способ подходит только для служебных соединений, когда количество лиц, использующих его ограничено, все они знают друг друга лично и могут быстро удостовериться в подлинности отпечатка.\nТакже Алиса может выпустить и передать Бобу сертификат своего удостоверяющего центра (CA, Certification authority), который содержит открытый ключ, позволяющий проверить подлинность любого выпущенного Алисой при помощи данного удостоверяющего центра сертификата. Здесь возникает еще один интересный момент. Сертификат CA не содержит секретных сведений, но его не следует передавать по незащищенным каналам, а также следует хранить его так, чтобы избежать доступа к нему третьих лиц.\nПочему так? Весь вопрос в доверии, если Боб доверяет Алисе, то он доверяет ее УЦ, а установив сертификат УЦ он автоматически будет доверять любому выпущенному Алисой сертификату. Поэтому если Мэллори подменит сертификат \u0026quot;по дороге\u0026quot; или сделает это позже, в незащищенном хранилище, то Боб станет автоматически доверять сертификатам Мэллори, думая, что это сертификаты Алисы.\nОднако данная схема вполне работоспособна, например, в пределах организации, когда выпуском и распространением сертификатов занимается доверенный узел и все сотрудники организации автоматически доверяют сертификатам выпущенным данным УЦ. При этом снова все упирается в доверие, в случае возникновения каких-либо сомнений сотрудник всегда может связаться лично с администратором и проверить с его помощью подлинность ключа.\nА как быть если стороны не знают друг друга? Скажем Боб хочет приобрести что-то в интернет магазине Алисы, про которую он читал много хороших отзывов, но он не знает Алису лично и не имеет возможности с ней встретиться, чтобы проверить подлинность сертификата. Да и Алиса вряд ли будет иметь столько свободного времени, чтобы иметь возможность лично знакомиться с каждым своим покупателем.\nКак же быть? Выход прост: потребуется третья сторона, чей авторитет неоспорим и которая может выступить гарантом подлинности, скажем, нотариус. Таким образом Алиса должна лично посетить нотариуса Трента, который сначала проверит личность Алисы, а затем заверит ее сертификат своей подписью. Получив такой сертификат Боб всегда может связаться с Трентом и получить от него образец подписи, который он может сравнить с тем, что на сертификате. Если подписи совпали, то данный сертификат действительно принадлежит Алисе, чему порукой авторитет Трента.\nЕсли сертификат не содержит подписи Трента, то Боб не может проверить, принадлежит данный сертификат Алисе, либо это проделки Мэллори и поэтому, при невозможности точно проверить подлинность, такие (самоподписанные) сертификаты следует отклонять.\nМожет ли Мэллори подписать свой сертификат у Трента? Вполне, но она сможет подписать его только от своего имени и представиться Алисой у нее уже не получится.\nВ современной инфраструктуре открытых ключей (PKI, Public Key Infrastructure) роль нотариуса Трента исполняют доверенные корневые центры сертификации, сертификаты которых поставляются в составе операционной системы и располагаются в защищенном хранилище. Это означает, что система будет автоматически доверять сертификатам, которые имеют подписи данных удостоверяющих центров, но что означает это доверие? Здесь мы вплотную подошли к тому, какие бываю типы сертификатов и что они удостоверяют. Выделяют три основных типа сертификатов, которые различаются уровнем удостоверения владельца и, соответственно, стоимостью.\nDV - Domain Validation - самый простой и недорогой вид сертификата, который можно получить очень быстро, а с некоторых пор и бесплатно. Данный вид сертификата всего лишь удостоверяет факт владения доменом, т.е. для его получения необходимо выполнить некоторые действия доступные только владельцу домена, например, разместить файл в определенном месте на сайте или ввести код отправленный на почтовый ящик, указанный во WHOIS.\nСоединение с сайтом, использующим DV-сертификат выглядит следующим образом, а в поле Субъект сертификата находится только доменное имя: О чем нам говорит этот сертификат? О том, что вы действительно связались с сайтом interface31.ru и передаваемые между вами данные недоступны третьим лицам. Однако он ничего не говорит о том, что владельцы данного сайта существуют или являются теми, за кого себя выдают. Само по себе наличие зеленого замка и защищенного соединения еще никак не обозначает, что данный сайт безопасен или не является мошенническим, единственное в чем вы можете быть уверены - что ваш канал связи защищен.\nПроще говоря, если Боб знает, что данный сайт принадлежит Алисе, то он может спокойно сообщать ему конфиденциальную информацию, а если он видит данный сайт в первый раз, то наличие защищенного соединения никоим образом доверия не добавит.\nНесмотря на это, DV - самый распространенный и используемый в сети вид сертификатов. Он идеально подходит тем сайтам, которым не нужно удостоверять личность владельца, а всего лишь надо предоставить своим пользователям защищенный канал.\nOV - Organization Validation - для получения данного сертификата требуется не только подтвердить факт владения доменом, но и факт существования компании владельца или личность физического лица. Это позволяет обеспечить дополнительный уровень доверия для сайтов, осуществляющих бизнес в сети.\nВнешне соединение с таким сайтом ничем не отличается от сайта с DV-сертификатом, но поле Субъект содержит дополнительные сведения о владельце. Данные сертификаты широко используются в бизнес-целях, когда требуется не только подтвердить факт безопасного соединения с данным ресурсом, но и факт его принадлежности определенной компании или физлицу. Так впервые попав на новый сайт Алисы и проверив поле субъект в OV-сертификате Боб может быть уверен, что принадлежит данный сайт именно Алисе, а не Еве или Мэллори.\nНо опять-таки, наличие OV-сертификата никоим образом не способно оградить вас от мошенничества. Стоят такие сертификаты недорого, и никто не мешает фирме-однодневке приобрести его для использования в неблаговидных целях. В общем вопрос доверия и здесь остается открытым, а здоровая бдительность не должна притупляться фактом наличия OV-сертификата.\nEV - Extended Validation - сертификат с расширенной проверкой, выдается только компаниям и только после ряда дополнительных проверок. В частности, проверяется не только факт существования компании, но и соответствие указанных сведений действительности, например, проверяется наличие компании по указанному адресу, принадлежность компании указанных телефонов и возможность по ним связаться и т.д., и т.п.\nСоединение с сайтом владеющим таким сертификатом визуально отличается крупным указанием компании владельца прямо в адресной строке браузера, а также сообщением, что подлинность компании подтверждена. В поле Субъект также присутствуют дополнительные сведения. Данный тип сертификата предусматривает гораздо более высокий уровень доверия. Например, Боб теперь может быть уверен, что данный сайт не просто принадлежит компании Алисы, но и если он пройдет по указанному в уставных документах адресу, то там он с большой вероятностью обнаружит указанную компанию и Алису собственной персоной.\nОднако не следует впадать в эйфорию и читать EV-сертификат залогом добросовестности компании или высокого качества ее работы, он всего лишь подтверждает, что компания не только существует, но и ведет свою деятельность по указанным координатам, ни больше, ни меньше. Так наличие у Почты России DV-сертификата нисколько не уменьшит уровень доверия к ним, ровно как наличие у ООО \u0026quot;Рога и копыта\u0026quot; сертификата уровня EV доверия к ним не повысит.\nВ заключение хочется сказать, что мы надеемся, что данный материал не только поможет вам разобраться в том, как работает криптография и почему соединение с зеленым замочком можно считать безопасным, но и заставит по-новому посмотреть на вопросы безопасности и доверия в сети, не ограничиваясь сугубо техническими аспектами. Ведь криптография - это всего лишь инструмент, который можно использовать как в благих целях, так и в неприглядных.\n","id":"063b0c8d373a05866ee972dce251b75b","link":"https://interface31.ru/post/vvedenie-v-kriptografiyu-obshhie-voprosy-problemy-i-resheniya/","section":"post","tags":["PKI","Privacy","SSL","Безопасность"],"title":"Введение в криптографию. Общие вопросы, проблемы и решения"},{"body":"Что такое Tox? Сеть \u0026quot;токс\u0026quot; - новая коммуникационная сеть в интернете, она призвана предоставить пользователям полноценную замену таких служб как Skype, Google Hangouts и прочих. Обозначение Tox даёт название всей технике, которая стоит за этой сетью и придаёт этой сети особенные признаки, которые отличают её от других служб.\n\u0026quot;Нееет... ещё один чат?!!\u0026quot; Так могут подумать многие. Целые наборы установленных программ от различных производителей необходимы нам, чтобы поддерживать связь с нашими друзьями в Skype, Facebook, WhatsApp... и так далее. Обычно эти программы поддерживают функции моментальных сообщение (чат), видеотелефонию и пересылку файлов.\nЗачем ещё одна сеть, которая делает то же самое? Просто: все эти системы не соответствуют современному развитию техники. И мы расскажем -- почему.\nКому некогда читать Преимущества сети Tox:\nпользователи сети не являются её клиентами, а именно активно участвуют в сети децентрализация сети и полная независимость от какого-то сервера прямая связь между участниками не нужны аккаунты или пароли шифрование -- обязательный компонент всей системы Tox Tox является открытой сетью и свободным ПО. Ну и всё-таки В качестве пользователя такой сети как Skype и прочих систем, ты никто иной как клиент гигантского концерна. Фирма предоставляет тебе свои услуги, а ты платишь за это своими личными данными и тебя засыпают массами рекламы или требуют за какие-то услуги натуральных денег. В сети Tox нет никакой фирмы -- все пользователи равны, никто не является клиентом, но все -- участники сети.\nTox не имеет какой-то центральной инстанции, здесь нет определённого организатора и владельца сети, который назначает цены за использование своего продукта. Вся сеть Tox находится в руках пользователей. Возникает вопрос: как может существовать такая сеть? Есть какие-то обязанности у пользователя? Вероятно, надо иметь большие компьютерные знания?\nТолько спокойствие. Для пользования сетью Tox не надо особых знаний. Сеть создана таким образом, что организуется и работает без активного труда пользователей. Просто веди свою коммуникацию и не думай о технической стороне.\nОбычно, для предоставления неких онлайн-служб используются серверы -- компьютеры, которые не имеют иной задачи, кроме как отдавать и принимать данные пользователей. Все услуги Facebook, Skype и прочих систем основаны на серверных приложениях и серверы принадлежат этим фирмам и эксплуатируются ими же.\nВ случае Tox никаких серверов не существует! Все \u0026quot;традиционные\u0026quot; системы связывают пользователей не напрямую, а через специальный сервер. Сеть Tox не использует серверные компьютеры, а связывает каждую программу напрямую. Для наглядности: представь себе, что ты сам лично доставляешь каждое письмо своим адресатам.\nТакая независимость обеспечивает большую свободу и безопасность для каждого пользователя.\nКому любопытно: сеть Tox налаживается от одного клиента к другому с помощью DHT (Dic Hash Tables). DHT обеспечивает программам по всему миру возможность вести коммуникацию напрямую.\nБезопасность После всех скандалов о прослушке телефонных разговоров и законах о сохранении данных пользователей интернета для вероятного использования полицией и прочими, тема безопасности общения стала особенно большой. Как из-под земли стали выскакивать новые и новые чат-клиенты, которые настойчиво утверждают о своей особенно высокой безопасности. Да, некоторые такие клиенты вполне безопасны, но зачастую их \u0026quot;шифрование\u0026quot; является дутым номером -- сообщения кодируются лишь во время передачи от клиента и к клиенту, но на сервере имеется возможность читать и перечитывать все сообщения сколько угодно. Именно так и работает, к примеру, WhatsApp. Это не безопасность -- это её видимость.\nЧто делает Tox? Сеть Tox кодирует сообщения на всём пути до получателя, к тому же -- сервер-посредник отсутствует как таковой и сама вероятность \u0026quot;перехватить\u0026quot; что-то на таком сервере отпадает. Пользователю не нужно задумываться о шифровании -- Tox делает всё сам.\nВ сети Tox не нужно заводить постоянный личный аккаунт. Сеть задумана так, что каждый участник получает \u0026quot;адрес\u0026quot;, по которому его и можно \u0026quot;законтачить\u0026quot; - так называемый Tox-ID. Такой адрес состоит из невероятно дикой и длинной комбинации символов, он генерируется самой системой во время первого посещения сети. Изменить этот адрес позднее невозможно.\nДа, запомнить такой адрес трудновато, но это и не нужно -- его можно сохранить в виде текстового файла и отправить далее. Длинный и абсолютно случайный адрес даёт полноценную анонимность, только те, с кем связываются пользователи Tox, знают -- кто находится за адресом. Вот и всё -- пароля не нужно, так как Tox-ID сохраняется на компьютере до тех пор, пока не будет уничтожен вместе с деинсталляцией самого клиента Tox. Таким образом имеются явные плюсы:\nне нужен пароль (и забыть его нельзя) аккаунт больше нельзя \u0026quot;угнать\u0026quot; или придётся непосредственно вламываться на компьютер пользователя Как минус можно принимать трудность использования своего аккаунта на другом компьютере, для этого придётся \u0026quot;вживить\u0026quot; на другую систему свой ID. Но как часто мы общаемся с чужих компьютеров?\nОбщаться с помощью Tox Это выглядит так:\nзапустить программу готово... Твой Tox-ID генерируется при первом старте, его можно отправить друзьям, они добавляют ID в контакты и можно начинать общение.\nСистема Tox -- открытое ПО Это означает -- программный код свободен для любого, каждый желающий может просто участвовать в развитии и продвижении этого проекта, исправлять ошибки и вносить улучшения. Любой, кто способен к этому, может сообщать разработчикам об ошибках или помогать новым пользователям.\nА как-же XMPP? Да, XMPP -- вещь хорошая, уже потому, что в этой системе тоже нет центрального сервера. Но XMPP всё-же нуждается в своих независимых серверах и тех, кто добровольно (и часто бесплатно) содержит и обслуживает эту инфраструктуру. Если какой-то XMPP-сервер прекратит по любой причине свою работу -- его пользователи останутся без связи.\nВозникают три недостатка:\nесли из сети выпадает сервер, на котором создан аккаунт XMPP, то пропадает и сам аккаунт несмотря на кодировку -- сообщения можно перехватить на сервере кто не имеет своего сервера, тот должен использовать предложение от третьих лиц. Система Tox, напротив:\nне может иметь проблем с сервером сохраняет кодировку всегда и везде позволяет не отдавать свою коммуникацию в чужие руки. Источник: Einfuehrung in das TOX-Netzwerk\nПеревод: Виктор Хартманн (Берлин)\n","id":"353997417ae06d47b5d892e532a4c863","link":"https://interface31.ru/post/vvedenie-v-set-tox/","section":"post","tags":["Privacy","Безопасность","Сетевые технологии"],"title":"Введение в сеть Tox"},{"body":"Так уж получилось, что за все время существования нашего ресурса мы ни разу не обращались к теме OpenVPN на платформе Linux. Несмотря на то, что это кроссплатформенный продукт, наши публикации, а точнее публикации наших авторов затрагивали только Windows платформу, поэтому мы решили устранить этот досадный недостаток и заодно самостоятельно проработать данную тему. Кроме того, данный материал, как и все наши материалы, органично связан с другими публикациями, что позволит легко вписать данный сервис в инфраструктуру созданную на основе наших статей.\nПрежде всего несколько слов о том, что такое OpenVPN - это свободная реализация технологии виртуальной частной сети (VPN) с открытым исходным кодом. Что это значит для простого пользователя? Прежде всего независимость от вендора и лицензионную чистоту данного решения, а также способность работать на любой платформе, даже на недорогих роутерах, если они позволяют использовать альтернативные прошивки (OpenWrt и т.п.).\nСледует понимать, что OpenVPN не накладывает каких-либо ограничений на платформы для работы сервера и клиентов, вы можете без проблем объединить в единую сеть устройства с разными ОС и аппаратными платформами и все это будет работать.\nОтдельного внимания заслуживают богатые сетевые возможности продукта, который может успешно работать даже в сложных сетевых конфигурациях, не допускающих прохождения некоторых видов трафика (например, мобильные операторы), а также возможность автоматической конфигурации узлов сети, в т.ч. настройки маршрутов.\nСхема сети и маршрутизация Мы специально не стали разворачивать для OpenVPN отдельную конфигурацию в наше лаборатории, а воспользовались уже существующими виртуальными машинами. В качестве сервера центрального офиса мы использовали роутер на базе Ubunutu Server 14.04 LTS, за которым находится сеть 192.168.31.0/24, в которой находится рабочая станция под управлением Windows 10. В филиале OpenVPN установлен на сервер с Debian 8, который принадлежит сети 192.168.18.0/24, в которой находится рабочая станция с Windows 8.1 и которая выходит в интернет через простой роутер начального уровня. Таким образом мы реализовали два основных варианта, когда машина с OpenVPN является шлюзом сети и когда она установлена на одном из узлов, что требует разной настройки маршрутизации.\nРассмотрим первый случай. Так как OpenVPN находится на шлюзе сети, то каких-либо дополнительных настроек маршрутизации нам делать не надо, все пакеты, не принадлежащие локальной сети, все равно будут отправлены шлюзу, а задачу их маршрутизации на самом шлюзе мы возложим на OpenVPN. В частности, нам нужно будет отправить пакеты к сети 192.168.18.0/24 на другой конец туннеля.\nВ случае, когда OpenVPN расположен на одном из узлов сети ситуация несколько иная. Так, например, пакеты к сети 192.168.31.0/24 будут также направлены шлюзу, который их просто отбросит, так как диапазоны частных сетей (\u0026quot;серые\u0026quot; IP) не маршрутизируются. Поэтому нам потребуется явно задать маршрут к OpenVPN, который передаст эти пакеты дальше, согласно собственных настроек маршрутизации, а именно OpenVPN серверу. Это можно сделать, прописав соответствующий маршрут на роутере сети, либо, если роутер не позволяет этого сделать, непосредственно на каждой рабочей станции.\nВ нашем случае потребуется маршрут (на роутере или на клиентах):\n1192.168.31.0 mask 255.255.255.0 192.168.18.131 который будет направлять все пакеты к сети 192.168.31.0 узлу с установленным OpenVPN, дальнейшая маршрутизация на другой конец туннеля будет выполняться также силами OpenVPN.\nМы настоятельно рекомендуем прорабатывать данный вопрос перед развертыванием VPN-сети, чтобы у вас уже на этом этапе было полное понимание ее структуры и схемы маршрутизации между ее узлами. Более подробную информацию по данному вопросу можно получить в статье: Организация VPN каналов между офисами. Маршрутизация.\nНастройка сервера OpenVPN Прежде всего установим необходимые пакеты:\n1apt-get install openvpn easy-rsa Пакет easy-rsa предназначен для создания и управления сертификатами и по сути представляет собой автономный центр сертификации (CA), поэтом следует принять меры по недопущению доступа сторонних лиц к закрытым ключам CA. В тоже время мы считаем избыточными советы по выносу центра сертификации на отдельный хост, в небольших сетях это может оказаться более небезопасно, чем размещение на роутере, к которому имеет доступ только администратор.\nСкопируем рабочую директорию easy-rsa в папку с настройками OpenVPN:\n1cp -r /usr/share/easy-rsa /etc/openvpn В своей работе easy-rsa использует библиотеку openssl и содержит конфигурационные файлы для разных версий библиотеки. В современных системах повсеместно используется openssl-1.0.x поэтому сразу делаем символическую ссылку на нужный конфигурационный файл:\n1ln -s /etc/openvpn/easy-rsa/openssl-1.0.0.cnf /etc/openvpn/easy-rsa/openssl.cnf Теперь откроем файл /etc/openvpn/easy-rsa/vars и отредактируем в нем следующие строки, указав собственные учетные данные, например, так:\n1export KEY_COUNTRY=\u0026#34;RU\u0026#34; 2export KEY_PROVINCE=\u0026#34;BEL\u0026#34; 3export KEY_CITY= \u0026#34;Belgorod\u0026#34; 4export KEY_ORG=\u0026#34;Interface LLC\u0026#34; 5export KEY_EMAIL=\u0026#34;admin@interface31.lab\u0026#34; 6export KEY_OU=\u0026#34;Office\u0026#34; Сохраним файл и перейдем к созданию собственного CA, для этого перейдем в директорию easy-rsa и загрузим переменные:\n1cd /etc/openvpn/easy-rsa 2source ./vars Затем произведем очистку и инициализацию нашего центра сертификации:\n1./clean-all 2./build-ca Первая команда произведет полную очистку рабочей директории с ключами и служебными файлами и ее случайное выполнение на работающем CA приведет к его уничтожению. Вторая команда создаст комплект из открытого и закрытого ключей центра сертификации. В процессе создания ключа вы будете получать вопросы, ответы по умолчанию на которые содержатся в квадратных скобках и основаны на ваших данных из файла vars, поэтому просто подтверждаем их нажатием Enter (или вводим свои значения).\nПосле выполнения данной операции в папке /etc/openvpn/easy-rsa/keys появятся файлы ca.crt и ca.key. Первый является сертификатом с публичным ключом и должен присутствовать на всех узлах OpenVPN сети, а файл с расширением .key - закрытый (приватный) ключ и доступ к нему должен быть ограничен. Файл ca.key нужен исключительно для работы центра сертификации и не должен никуда копироваться или передаваться, особенно по незащищенным каналам.\nЗакончив с центром сертификации перейдем к формированию ключей и сертификатов сервера. Но сначала создадим файл параметров Диффи-Хеллмана. Данный алгоритм шифрования используется для обеспечения режима прямой секретности, которая сводится к тому, что даже если злоумышленник получит ключи, то он не сможет расшифровать перехваченные ранее данные, так как они зашифрованы с уникальным сеансовым ключом, который нигде не сохраняется.\n1./build-dh Результатом выполнения данной команды будет появление в директории с ключами файла dh2048.pem, который нужен только серверу, но в тоже время секретным он не является.\nНаконец сформируем ключи собственно для сервера:\n1./build-key-server server где server - имя ключа и сертификата сервера, мы рекомендуем давать осмысленные названия, например, по имени узла, чтобы потом не пришлось гадать, для какого именно сервера или клиента предназначен тот или иной сертификат или ключ.\nВ процессе генерации вам также придется подтвердить параметры из файла vars, либо указать свои, в конце вы получите два вопроса о подписи и выпуске сертификата, на оба отвечаем утвердительно. Теперь перейдем к настройке самого OpenVPN. Прежде всего создадим директорию для хранения ключей, несмотря на то, что можно указать пути к папке с ключами easy-rsa, мы все-таки советуем хранить серверные ключи отдельно.\n1mkdir /etc/openvpn/keys Перейдем в папку с ключами easy-rsa и скопируем необходимые ключи и сертификаты:\n1cd /etc/openvpn/easy-rsa/keys 2cp ca.crt dh2048.pem server.crt server.key /etc/openvpn/keys Затем распакуем и скопируем в /etc/openvpn шаблон файла конфигурации:\n1gzip -d /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz 2cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn Напомним, чтобы не набирать длинные пути можно воспользоваться автодополнением по клавише Tab.\nОткроем данный файл (/etc/openvpn/server.conf) и перейдем к его редактированию, если не указано иное, то приведенные ниже опции следует найти и привести к указанному виду, при необходимости раскомментировав. Опции перечислены в порядке их следования в файле.\n1port 1194 2proto udp 3dev tun Данные опции установлены по умолчанию и задают порт, протокол и тип туннеля, менять их не следует, однако на плохих каналах иногда имеет смысл использовать протокол tcp. Ниже добавим опцию, указывающую топологию создаваемой VPN-сети:\n1topology subnet Затем найдем и откорректируем пути к ключам и сертификатам:\n1ca keys/ca.crt 2cert keys/server.crt 3key keys/server.key 4dh keys/dh2048.pem Синтаксис конфигурационного файла допускает указание относительных путей, в этом случае корневой будет считаться папка /etc/openvpn.\nЗададим диапазон OpenVPN сети:\n1server 10.8.0.0 255.255.255.0 Следующая опция указывает файл для хранения выданных клиентам IP-адресов, так как OpenVPN прекрасно умеет назначать адреса мы не видим смысла делать это вручную:\n1ifconfig-pool-persist ipp.txt Укажем путь к директории с конфигурационными файлами, выполняемыми при подключении клиента:\n1client-config-dir ccd Затем перейдем к настройкам маршрутизации. Прежде всего укажем шлюз по умолчанию для OpenVPN сети, которым должен являться сервер:\n1route-gateway 10.8.0.1 Зададим маршрут к клиентской сети, если сетей несколько - то строк тоже должно быть несколько. Данная опция указывает OpenVPN при запуске создать маршруты в системе для указанных подсетей для направления предназначенных им пакетов в туннель.\n1route 192.168.18.0 255.255.255.0 Передадим всем клиентам аналогичную команду, но для сети за сервером:\n1push \u0026#34;route 192.168.31.0 255.255.255.0\u0026#34; Установим параметры проверки активности:\n1keepalive 10 120 Данная опция устанавливает интервал проверки узла (10 сек) и время после которого, при отсутствии ответа, клиент считается неактивным.\nУкажем тип применяемого шифрования, на выбор предлагается три вида шифра, но Triple-DES имеет самые большие накладные расходы, поэтому выбирать следует между Blowfish и AES. Однозначно дать рекомендации здесь трудно, но следует учитывать, что AES де-факто является промышленным стандартом и аппаратно поддерживается в процессорах Intel.\n1cipher AES-128-CBC Включим сжатие:\n1comp-lzo В целях безопасности понизим права запущенного сервера:\n1user nobody 2group nogroup При этом обязательно проконтролируйте наличие следующих опций, которые обеспечивают правильную работу с ресурсами после понижения прав:\n1persist-key 2persist-tun Укажем расположение логов:\n1status /var/log/openvpn-status.log 2log /var/log/openvpn.log Следующие опции задают подробность лога и количество повторяющихся в логе сообщений:\n1verb 3 2mute 20 Для отладки проблем с подключением уровень лога следует поднять до 5-6.\nНа этом настройка сервера закончена, сохраняем файл конфигурации и создаем директорию для конфигураций клиентов, иначе получите ошибку при запуске службы:\n1mkdir /etc/openvpn/ccd Теперь можно попробовать запустить сервер:\n1service openvpn start Убедимся в наличии сетевого интерфейса туннеля командой\n1ip a И проверим таблицу маршрутизации:\n1ip route Как видим - необходимые маршруты добавлены автоматически.\nНастройка клиента OpenVPN Настройка клиента начинается на сервере с генерации ключевой пары. Для этого снова перейдем в директорию easy-rsa и загрузим переменные (если вы создаете клиентские ключи одновременно с серверными, то повторно загружать переменные не нужно).\n1cd /etc/openvpn/easy-rsa 2source ./vars Выполним генерацию клиентских ключей и сертификатов командой:\n1./build-key client1 где client1 - имя ключа и сертификата.\nНа компьютер клиента нам нужно передать ca.crt, client1.crt и client1.key, последний файл является секретным и не должен передаваться в открытом виде по незащищенным каналам.\nТакже создадим в папке ccd файл с инструкциями для клиента, которые будут выполнены при его подключении. Имя файла должно совпадать с именем сертификата клиента, точнее с полем CN в нем, если вы не меняли это поле при создании ключевой пары оно будет соответствовать имени файла сертификата.\n1touch /etc/openvpn/ccd/client1 Откроем этот файл и внесем в него строки:\n1iroute 192.168.18.0 255.255.255.0 Данная команда создает маршрут в OpenVPN сети, направляя пакеты предназначенные сети 192.168.18.0 на внутренний адрес данного клиента. В таблице маршрутов ОС данный маршрут не отображается, но без него маршрутизация в OpenVPN сети правильно работать не будет.\nТеперь, взяв с собой необходимые ключи и сертификаты, переместимся на клиентский компьютер. В нашем случае это сервер с установленным Debian 8.\nУстановим необходимые пакеты:\n1apt-get install openvpn Создадим директорию для ключей и разместим в ней ключи и сертификаты:\n1mkdir /etc/openvpn/keys Скопируем файл с шаблоном конфигурации клиента:\n1cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn И перейдем к его редактированию:\n1client 2dev tun 3proto udp Данные опции задают режим - клиент, тип туннеля и протокол, последние должны совпадать с указанными на сервере.\nЗатем укажем адрес и порт нашего сервера:\n1remote ovpn.example.com 1194 Вместо доменного имени можно указывать IP-адрес, например, так:\n1remote 111.222.333.444 1194 Следующая опция предписывает бесконечное число попыток разрешить доменное имя сервера OpenVPN, рекомендуется для клиентов с нестабильным подключением к сети.\n1resolv-retry infinite Понижаем права службы после запуска (если конфигурационный файл предназначен для Windows-машин данные опции не нужны):\n1user nobody 2group nogroup Обязательно проверяем наличие:\n1persist-key 2persist-tun Указываем расположение ключей и сертификатов:\n1ca keys/ca.crt 2cert keys/client1.crt 3key keys/client1.key Следующая опция предотвращает потенциальные атаки класса \u0026quot;человек посередине\u0026quot;:\n1ns-cert-type server Затем укажем тип шифрования, он должен совпадать с тем, что вы указали на сервере:\n1cipher AES-128-CBC Включаем сжатие:\n1comp-lzo Задаем расположение логов и их детализацию:\n1status /var/log/openvpn-status.log 2log /var/log/openvpn.log 3 4verb 3 5mute 20 Сохраняем файл конфигурации и запускаем службу с явным указанием клиента, в противном случае будет выполнена попытка найти и запустить конфиг сервера:\n1service openvpn@client start Также убеждаемся в том, что туннельный интерфейс создался и необходимые маршруты добавлены: На скриншоте выше несложно заметить маршрут в сеть 192.168.31.0 через туннель, но так как данный компьютер не является шлюзом сети, то нам нужно будет добавить на шлюзе или клиентских ПК маршрут к сети 192.168.31.0 через локальный адрес данного компьютера, о чем мы говорили в начале статьи.\nНапример, мы добавили такой маршрут на клиентском ПК c Windows 8.1:\n1route add -p 192.168.31.0 mask 255.255.255.0 192.168.18.131 После чего без каких-либо проблем смогли получить доступ к компьютерам в сети офиса (добавленный вручную маршрут мы выделили на скриншоте). А также в обратном направлении. Обратите внимание, что в этом случае никаких дополнительных маршрутов к сети 192.168.18.0 на клиентском ПК прописывать нет необходимости.\n","id":"612def2fa9224d28e091e1b8db578669","link":"https://interface31.ru/post/organizaciya-kanalov-mezhdu-ofisami-pri-pomoshhi-openvpn-na-platforme-linux/","section":"post","tags":["Debian","OpenVPN","Ubuntu Server","VPN","Маршрутизация","Сетевые технологии"],"title":"Организация каналов между офисами при помощи OpenVPN на платформе Linux"},{"body":"Мы не будем в очередной раз напоминать насколько важно своевременно обновлять используемое ПО, будем считать, что наши читатели в полной мере представляют все угрозы и риски, которые несет работа с устаревшими программными продуктами. В данном материале мы подробно разберем процесс обновления Zimbra с версии 8.6 (или более ранней) до версии 8.7, так как данная операция имеет некоторые особенности.\nПроцесс обновления уже установленного сервера Zimbra достаточно прост: скачиваем дистрибутив, распаковываем и запускаем скрипт установки. Однако если попытаться таким образом обновить систему до 8.7, то вы можете столкнуться со следующим сообщением: В общем - ничего страшного, скрипт сообщает нам, что для версии 8.7 компоненты Proxy и Memcached являются обязательными и их нужно включить. Если вы устанавливали систему по нашим инструкциям, то данных компонентов у вас нет и их следует добавить к уже установленной версии перед тем как выполнять обновление. Для этой операции нам понадобится дистрибутив уже установленной версии Zimbra.\nВ нашем случае используется Zimbra 8.6.0 GA на платформе Ubuntu Server 14.04 LTS, поэтому перейдем в домашнюю папку и скачаем туда соответствующую версию:\n1cd ~ 2wget https://files.zimbra.com/downloads/8.6.0_GA/zcs-8.6.0_GA_1153.UBUNTU14_64.20141215151116.tgz Также вы можете скачать дистрибутив любым удобным образом со страницы загрузки и разместить его в домашней папке.\nРаспакуем скачанный архив:\n1tar -xvf zcs-8.6.0_GA_1153.UBUNTU14_64.20141215151116.tgz Напоминаем, чтобы не вводить вручную длинные имена воспользуйтесь автодополнением по клавише Tab.\nТеперь перейдем в папку с дистрибутивом и запустим процесс установки:\n1cd zcs-8.6.0_GA_1153.UBUNTU14_64.20141215151116 2./install.sh Соглашаемся на обновление системы и при выборе компонент добавляем zimbra-memcached и zimbra-proxy. 1cd ~ 2wget https://files.zimbra.com/downloads/8.7.0_GA/zcs-8.7.0_GA_1659.UBUNTU14_64.20160628202701.tgz Распакуем архив:\n1tar -xvf zcs-8.7.0_GA_1659.UBUNTU14_64.20160628202701.tgz И запустим скрипт установки:\n1cd zcs-8.7.0_GA_1659.UBUNTU14_64.20160628202701.tgz 2./install.sh Теперь все должно пройти гладко, никаких новых зависимостей версия 8.7 не требует и процесс обновления не должен вызвать затруднений. После обновления проверяем работу служб командой:\n1su zimbra 2zmcontrol status А также контролируем корректность обновления непосредственно в веб-интерфейсе. Если вы следовали нашим инструкциям и нигде не совершили ошибок, то в вашем распоряжении последняя версия Zimbra. Но помните, что обновление - операция потенциально опасная и необратимая, поэтому не забывайте создавать перед этим резервные копии.\n","id":"5d2666c822fabcd3f8f04187b76182e9","link":"https://interface31.ru/post/zimbra-obnovlyaem-ustanovlennuyu-versiyu-do-87/","section":"post","tags":["E-mail","Ubuntu Server","Zimbra"],"title":"Zimbra. Обновляем установленную версию до 8.7"},{"body":"Протокол iSCSI получил широкое распространение как простой и недорогой способ организации сетей хранения данных (SAN). Ранее мы рассказывали, как организовать iSCSI-хранилище на базе серверных операционных систем Windows, незаслуженно обделив вниманием свободные ОС. Поэтому сегодня мы решили устранить этот пробел и рассмотреть настройку iSCSI-хранилища на базе Ubuntu Server или Debian.\nВажно! Внимание! Начиная с Debian 9 Stretch и Ubuntu 18.04 LTS пакетiSCSI Enterprise Target (iscsitarget) был удален и ему на смену пришел Linux SCSI target (tgt), для настройки которого воспользуйтесь следующей статьей.\nВ качестве серверной ОС в данном случае мы выбрали Ubuntu Server 16.04 LTS, однако процесс настройки в ее среде ничем не отличается от Debian или любого иного дистрибутива, основанного на любой из этих двух систем.\nВ Linux-системах в качестве программной цели iSCSI используется iSCSI Enterprise Target (IET) - успевшее зарекомендовать себя надежное и проверенное решение. Для работы с ним потребуется установить два пакета:\n1apt-get install iscsitarget iscsitarget-dkms Первый пакет представляет собой собственно программную цель, а второй является DKMS-модулем ядра для поддержки программной цели. Технология DKMS позволяет динамически пересобирать модуль при обновлении версии ядра. Теперь вам не надо беспокоиться, что ваш модуль перестанет работать после обновления ядра, система обо всем позаботится сама. Налицо принцип - поставил и забыл.\nУстановка потянет за собой довольно много зависимостей, это не удивительно, так как будут установлены все необходимые компоненты для сборки модуля. Сама сборка будет выполнена в процессе установки и может занять некоторое время.\nПосле установки следует включить автоматический запуск службы цели iSCSI, для этого откройте файл /etc/default/iscsitarget и приведите к следующему виду строку:\n1ISCSITARGET_ENABLE=true Теперь можно приступить к созданию целей. На текущем этапе развития технологий в качестве LUN наиболее удобно использовать файлы виртуальных дисков, хотя никто не мешает вам выделить в LUN дисковое устройство или LVM-том. Прежде всего создадим папку для хранения виртуальных дисков и разместим в ней тестовый диск объемом в 2 ГБ:\n1mkdir /storage 2dd if=/dev/zero of=/storage/lun0.img bs=1M count=2048 Для создания файла диска мы воспользовались командой dd, опция bs указывает размер блока - 1 МБ, а опция count - количество этих блоков. Имя файла и расширение могут быть произвольными, в нашем случае это lun0.img.\nДля создания программной цели (таргета) откроем файл /etc/iet/ietd.conf и добавим в него следующие строки:\n1Target iqn.2009-02.lab.interface31:ubuntu-1604-test-lun0-target 2 IncomingUser test Pa$$word1234 3 OutgoingUser 4 Lun 0 Path=/storage/lun0.img,Type=fileio Разберем синтаксис подробнее. Первая строка задает собственно цель, точнее ее IQN, это полностью определенное имя цели, которое записывается в формате:\n1iqn.\u0026lt;year-mo\u0026gt;.\u0026lt;reversed_domain_name\u0026gt;:\u0026lt;unique_name\u0026gt; где:\nyear-mo - год и месяц регистрации домена reversed_domain_name - доменное имя, записанное в обратном порядке unique_name - уникальное имя цели IncomingUser определяет учетные данные (логин и пароль) для подключения к данной цели, если аутентификация не требуется можно оставить пустым. OutgoingUser - учетные данные для аутентификации на инициаторе в случае использования взаимной проверки подлинности, если не используется - также оставляется пустым. Обратите внимание, согласно стандарту, пароль должен содержать ровно 12 символов.\nИ наконец Lun описывает доступные для данной цели объекты (LUN), которых может быть несколько, нумерация LUN начинается с нуля. Path указывает путь к файлу виртуального диска, а Type указывает тип доступа. После запятой и перед Type пробел отсутствует.\nНапример, если мы хотим добавить в цель еще один диск, то следует добавить строку:\n1Lun 1 Path=/storage/lun1.img,Type=fileio Закончив настройку сохраняем файл конфигурации и запускаем службу. Управлять ею лучше \u0026quot;по-старинке\u0026quot;, через**/etc/init.d**, в этом случае вы получите наиболее информативный вывод и сообщения о возможных ошибках:\n1/etc/init.d/iscsitarget start Состояние запущенной службы можно посмотреть командой:\n1/etc/init.d/iscsitarget status Теперь можно попробовать подключитья к нашей цели. В качестве инициатора мы использовали Windows Server 2012R2, который без проблем обнаружил таргет и подключил диск после ввода учетных данных. Для ограничения доступа к целям служит файл настроек /etc/iet/initiators.allow, содержащий записи об инициаторах, IP-адресах или сетях, которым разрешен доступ. Первым указывается таргет, затем через запятую перечисляются объекты, имеющие к нему доступ. По умолчанию доступ разрешен всем к любым целям:\n1ALL ALL Как минимум имеет смысл ограничить доступ только сетью хранения данных, например:\n1ALL 192.168.18.0/24 При необходимости можно явно ограничить доступ к цели для конкретного инициатора и определенной сети:\n1iqn.2009-02.lab.interface31:ubuntu-1604-test-lun0-target 192.168.18.0/24, iqn\\.1991-05\\.com\\.microsoft:srv12r2-stor IQN инициатора может быть записан в виде регулярного выражения, поэтому даже если вы не используете данную возможность, то не забывайте использовать regexp-синтаксис, например, экранирование символа точки.\nКак видим, настройка iSCSI-хранилища на базе Linux предельно проста и позволяет быстро и с минимальными затратами развернуть необходимую инфраструктуру.\n","id":"fdccfc93833ef4979e6b0d2bf06e634c","link":"https://interface31.ru/post/nastroyka-iscsi-hranilishha-v-ubuntu-server-debian/","section":"post","tags":["Debian","High availability","iSCSI","Ubuntu Server"],"title":"Настройка iSCSI-хранилища iSCSI Enterprise Target в Ubuntu Server/Debian"},{"body":"Всем хорош веб-сервер Apache, кроме одного - потребления ресурсов. Многие \u0026quot;продвинутые\u0026quot; пользователи могут порекомендовать вообще отказаться от него в пользу того же Nginx, но это не всегда возможно, например, ваш движок использует сложные преобразования URL для получения красивых ссылок. Можно, конечно, переписать их под другой веб-сервер, но это требует определенной квалификации и затрат. Как быть? Поставить Nginx в качестве front-end к Apache, что позволит использовать сильные стороны каждого из продуктов.\nНачнем с теории Существует распространенное мнение, что Nginx \u0026quot;ускоряет\u0026quot; Apache - но это не так. Как мы уже говорили, веб-сервер - это достаточно сложный набор из нескольких компонент, каждая из которых выполняет свою роль и может оказывать свое влияние на производительность.\nВ формировании современного динамического контента принимают участие три основных службы: веб-сервер, сервер приложений и сервер СУБД. Если у вас проблемы с БД или не хватает производительности PHP, то никакая замена Apachе на Nginx вам не поможет. Но для чего тогда все продолжают ставить Nginx перед Apache? Давайте разбираться.\nНачнем с Apache, с его сильных сторон. Это прежде всего отличная производительность сервера приложений (чаще всего PHP), который является модулем веб-сервера и работает в общем с ним адресном пространстве, снижая потери на взаимодействие между процессами. Затем следует простота настройки и администрирования. Пользователь может сам настраивать веб-сервер для своего сайта через инструкции htaccess, причем в случае какой-либо серьезной ошибки перестанет работать только его сайт или его часть, не затрагивая остальные, которые обслуживаются данным сервером.\nПлюс большинство CMS и документация к ним также подразумевает использование Apache. Все это делает данный веб-сервер популярным и распространенным решением, особенно отлично подходящим новичкам. Но есть и обратная сторона медали - потребление ресурсов, в первую очередь оперативной памяти.\nРассмотрим следующую схему: В верхней ее части показан Apache, работающий в качестве самостоятельного сервера. Давайте посмотрим, что происходит, когда пользователь запрашивает веб-страницу. Прежде всего генерируется динамическое содержимое: запускается экземпляр Apache, его модуль mod_php собирает страницу и отдает пользователю. Но это только начало, каждая страница содержит ссылки на статическое содержимое: скрипты, стили, изображения и т.д. и т.п.\nА теперь вспомним немного об особенностях протокола HTTP/1.1: для каждого получаемого от веб-сервера ресурса создается отдельное HTTP-соединение, т.е. запускается отдельный процесс веб-сервера. Это серьезно упрощенная модель, но вполне достаточная для понимания происходящих процессов. Проще говоря, для того, чтобы отдать пользователю картинку мы вынуждены каждый раз запускать достаточно ресурсоемкий Apache со всеми его модулями, которые в данный момент не нужны.\nВ реальности процесс обработки запросов Apache гораздо более сложен, но смысл от этого не меняется: для того чтобы отдать статическое содержимое мы запускаем весьма ресурсоемкий процесс, большинство возможностей которого при этом избыточно.\nК чему это приводит? К тому что при некотором количестве активных клиентов у веб-сервера закончатся ресурсы, и он начнет тормозить или вообще перестанет отвечать на запросы. Это актуально для недорогих VPS c ограниченными ресурсами, особенно когда бюджет проекта не позволяет перейти на более дорогой тариф.\nВторая проблема Apache - это медленные клиенты, допустим некто через мобильный интернет плохого качества по минуте грузит каждую картинку - все это время он будет удерживать процесс Apache, занимая ресурсы сервера и не позволяя их использовать иным клиентам.\nЧто можно сделать в такой ситуации? Увеличение количества доступных ресурсов в данном случае мы не рассматриваем, остается второй путь - оптимизировать работу Apache. Вот здесь на сцену и выходит Nginx.\nNginx разрабатывался позже Apache, и его разработчик имел возможность учесть все проблемы связанные с эффективностью обработки запросов, что в итоге стало одной из сильных сторон данного веб-сервера. Действительно Nginx в пределах одного рабочего процесса может обрабатывать большое количество запросов, включая запросы от медленных клиентов, причем делать это предельно эффективно, с небольшим расходом ресурсов.\nОднако Nginx не поддерживает динамическую генерацию контента и несовместим с директивами htaccess, поэтому в тех случаях, когда от Apache отказываться нежелательно, Nginx устанавливают перед Apache в качестве front-end.\nНижняя часть схемы как раз отражает такую ситуацию. Apache по-прежнему генерирует динамический контент, остаются рабочими директивы htaccess, но теперь его клиентом выступает не браузер, а Nginx, причем очень быстрым клиентом, это позволяет оперативно забрать у Apache результат его работы и освободить занимаемые им ресурсы. Браузер посетителя получает созданное Apachе содержимое уже у Nginx, как и всю статику.\nЭто позволяет существенно высвободить ресурсы сервера - большую часть времени содержимое клиентам отдает эффективный и экономичный Nginx, а не ресурсоемкий Apache, решить проблему медленных клиентов и повысить предельное количество запросов, которые может обработать сервер.\nЕсли ваш сервер до этого уже работал на пределе своих возможностей, то установив Nginx перед Apache вы скорее всего увидите увеличение производительности. Если же ресурсов хватало, то \u0026quot;на глаз\u0026quot; ничего не изменится, но производительность вашего сервера вырастет, что позволит отсрочить, иногда существенно, переход на более дорогой тариф и более производительный сервер.\nПерейдем к практике Здесь и далее мы будем подразумевать, что веб-сервер настроен по нашей статье Настраиваем веб-сервер на базе Apache в Debian / Ubuntu Server, в иных случаях, возможно, вам потребуется уточнить некоторые детали.\nБольшинство инструкций в сети подразумевают следующий порядок: перенастроили Apache, установили и настроили Nginx, но такой подход несет в себе один недостаток - ваш сайт будет недоступен во время перенастройки, что обычно нежелательно. Поэтому мы пойдем иным путем, вспомнив, что изменения в конфигурационных файлах не будут применены до тех пор, пока вы не перезапустите службу.\nНачнем с Apache, откройте /etc/apache2/ports.conf и измените порты на которых принимает соединения веб-сервер, для этого\n1Listen 80 замените на\n1Listen 8080 Теперь перейдите в /etc/apache2/sites-available и в настройках каждого виртуального хоста приведите директиву VirtualHost к виду:\n1\u0026lt;VirtualHost 127.0.0.1:8080\u0026gt; Причем это нужно сделать и для отключенных сайтов, чтобы потом, подключив данный хост не получить неработающий сервер, так как Apache откажется перезагружаться из-за конфликта портов.\nПроверяем правильность конфигурации командой:\n1apachectl -t Если ошибок нет, то переходим к следующему этапу, на котором мы установим и настроим Nginx.\nNginx можно установить из двух источников: репозиториев дистрибутива и репозиториев разработчиков, мы рекомендуем последний вариант, так вы получите последнюю версию веб-сервера с поддержкой всех современных технологий, в то время как версии из репозиториев дистрибутива могут существенно отставать.\nПодключим репозитории разработчиков, для этого создадим в папке /etc/apt/sources.list.d файл nginx.list:\n1touch /etc/apt/sources.list.d/nginx.list и внесем в него следующие записи.\nДля Debian:\n1deb http://nginx.org/packages/mainline/debian/ codename nginx 2deb-src http://nginx.org/packages/mainline/debian/ codename nginx Для Ubuntu:\n1deb http://nginx.org/packages/mainline/ubuntu/ codename nginx 2deb-src http://nginx.org/packages/mainline/ubuntu/ codename nginx где codename - кодовое имя дистрибутива, например,jessie для Debian 8 или trusty для Ubuntu 14.04.\nЗатем скачаем и установим PGP-ключ для проверки подлинности пакетов:\n1cd 2wget http://nginx.org/keys/nginx_signing.key 3apt-key add nginx_signing.key Затем обновим список пакетов и установим Nginx:\n1apt-get update 2apt-get install nginx В процессе установки получим вполне закономерную ошибку: Nginx не сможет запуститься, так как 80-й порт продолжает занимать работающий Apache. Конфигурацию Nginx в файле /etc/nginx/nginx.conf приведем к следующему виду:\n1user www-data; 2worker_processes 2; 3 4error_log /var/log/nginx/error.log warn; 5pid /var/run/nginx.pid; 6 7events { 8 worker_connections 1024; 9 use epoll; 10} 11 12http { 13 14upstream apache24 { 15 server 127.0.0.1:8080; 16} 17 18include /etc/nginx/mime.types; 19default_type application/octet-stream; 20 21log_format main \u0026#39;$remote_addr - $remote_user [$time_local] \u0026#34;$request\u0026#34; \u0026#39; 22 \u0026#39;$status $body_bytes_sent \u0026#34;$http_referer\u0026#34; \u0026#39; 23 \u0026#39;\u0026#34;$http_user_agent\u0026#34; \u0026#34;$http_x_forwarded_for\u0026#34;\u0026#39;; 24access_log /var/log/nginx/access.log main; 25 26client_header_timeout 30; 27client_body_timeout 30; 28reset_timedout_connection on; 29client_max_body_size 32m; 30client_body_buffer_size 4m; 31 32sendfile on; 33tcp_nopush on; 34tcp_nodelay on; 35keepalive_timeout 65; 36 37proxy_buffering on; 38proxy_connect_timeout 300; 39proxy_send_timeout 300; 40proxy_read_timeout 300; 41proxy_buffer_size 64k; 42proxy_buffers 8 64k; 43proxy_busy_buffers_size 64k; 44proxy_temp_file_write_size 10m; 45 46gzip on; 47gzip_disable \u0026#34;msie6\u0026#34;; 48gzip_proxied any; 49gzip_min_length 1024; 50gzip_comp_level 4; 51gzip_types text/plain text/css application/json application/javascript application/x-javascript text/xml application/xml application/xml+rss text/javascript application/atom+xml application/rdf+xml; 52 53include /etc/nginx/conf.d/*.conf; 54include /etc/nginx/sites-enabled/*; 55} Мы не будем подробно комментировать все перечисленные опции, так как подробно останавливались на них в статье: Настраиваем веб-сервер на базе Nginx + PHP-FPM в Debian / Ubuntu Server. Отметим лишь новую секцию upstream apache24.\nДиректива upstream позволяет описывать сервер (группу серверов), которым Nginx может передавать свои запросы, такая конструкция удобна прежде всего тем, что в конфигурациях виртуальных хостов не фигурирует адрес и порт вышестоящего сервера, в нашем случае Apache, а только его символьное имя. В опции server, как вы уже догадались, указываем адрес и порт, на котором работает Apache.\nНа первый взгляд конфиг Nginx может показаться излишне сложным, но на самом деле это не так и если вы настраиваете данный сервер в первый раз, то мы советуем вам пройти по ссылке выше и ознакомиться с той частью статьи, которая описывает настройки Nginx.\nСледующий шаг - настройка виртуальных хостов. Создадим две папки для конфигураций сайтов и одну для хранения шаблонов:\n1mkdir /etc/nginx/sites-available 2mkdir /etc/nginx/sites-enabled 3mkdir /etc/nginx/templates Чтобы не писать из конфигурации в конфигурацию хостов одно и то-же создадим шаблон apache24.conf в котором укажем все основные опции подключения к вышестоящему серверу и работы со статическим содержимым. Создадим файл:\n1touch /etc/nginx/templates/apache24.conf И внесем в него параметры соединения с вышестоящим сервером:\n1location / { 2 proxy_pass http://apache24; 3 proxy_set_header Host $host; 4 proxy_set_header X-Real-IP $remote_addr; 5 proxy_set_header X-Forwarded-For $remote_addr; 6 proxy_connect_timeout 120; 7 proxy_send_timeout 120; 8 proxy_read_timeout 180; 9} Опция proxy_pass перенаправляет все запросы вышестоящему серверу, proxy_set_header нужным образом изменяют HTTP-заголовки страниц, последние три опции задают тайм-ауты соединения.\nНиже добавим секцию для работы со статическим содержимым:\n1location ~* \\.(gif|jpeg|jpg|txt|png|tif|tiff|ico|jng|bmp|doc|pdf|rtf|xls|ppt|rar|rpm|swf|zip|bin|exe|dll|deb|cur)$ { 2 access_log off; 3 expires 3d; 4 } Первая строка содержит список расширений, которые Nginx будет отдавать самостоятельно, список примерный и вы можете откорректировать его под свои потребности. Опция access_log off выключает логи доступа к статике, служит для уменьшения размера файлов лога, однако если ваш сайт находится в стадии разработки, то данная опция будет лишней, так как сделает отладку невозможной. Время кэширования на стороне браузера задается опцией expires, единого мнения на счет его значения нет, в любом случае стоит делать его достаточно большим, но без фанатизма.\nСледующая секция задает правила работы со скриптами и стилями:\n1location ~* \\.(css|js)$ { 2 access_log off; 3 expires 180m; 4 } Ее содержимое аналогично предыдущей, кроме времени кэширования, оно установлено в 180 мин (3 часа), как разумный компромисс между снижением нагрузки на сервер и возможным изменением их содержимого.\nНаконец запретим доступ к ht-файлам, в которых содержатся конфигурационные директивы Apache:\n1location ~ /\\.ht { 2 deny all; 3 } Если вы используете phpMyAdmin, то создайте еще один шаблон:\n1touch /etc/nginx/templates/phpmyadmin.conf Внесите в него следующее содержимое:\n1location /phpmyadmin { 2 root /usr/share/; 3 index index.php; 4 5 location ~ ^/phpmyadmin/(.+\\.php)$ { 6 try_files $uri =404; 7 root /usr/share/; 8 proxy_pass http://apache24; 9 } 10 location ~* ^/phpmyadmin/(.+\\.(jpg|jpeg|gif|css|png|js|ico|html|xml|txt))$ { 11 root /usr/share/; 12 expires 1M; 13 } 14} Теперь, когда шаблоны готовы, можно перейти к описанию виртуальных хостов, для этого в папке /etc/nginx/sites-available создадим для каждого сайта свой конфигурационный файл, для примера мы используем домен example.com:\n1touch /etc/nginx/sites-available/example.com.conf Внутри разместите следующий текст:\n1server { 2 listen 80; 3 server_name example.com www.example.com; 4 5 root /var/www/example.com; 6 charset utf-8; 7 8 access_log /var/log/nginx/example.com-access.log main; 9 error_log /var/log/nginx/example.com-error.log error; 10 11 index index.html index.htm index.php; 12 13 include /etc/nginx/templates/apache24.conf; 14 include /etc/nginx/templates/phpmyadmin.conf; 15} Данная секция server содержит настройки нашего виртуального хоста: порт, имя, кодировку, корневую папку, файлы логов и индексный файл. Директива root - корневая папка - должна указывать на директорию с содержимым сайта, а в директиве index лучше указать реально используемый тип индексного файла, например, только index.php.\nИ в самом конце подключим шаблоны для работы с вышестоящим Apache и phpMyAdmin.\nОбратите внимание, что приведенная настройка хоста будет обслуживать запросы как с www, так и без, если вы хотите использовать вариант только без www или наоборот, например, в целях SEO, то оставьте в директиве server_name только один хост:\n1server_name example.com; А в конфигурационный файл сайта добавьте еще одну секцию server:\n1server { 2 listen 80; 3 server_name www.example.com; 4 return 301 http://example.com$request_uri; 5} Данная конструкция осуществит редирект всех запросов с www, на страницы без www.\nСохраним и подключим файл конфигурации:\n1ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/ Проверим его правильность командой:\n1nginx -t И, если все хорошо, перезапустим оба веб-сервера:\n1service apache2 restart 2service nginx start Как видим, мы установили Nginx в качестве front-end к Apache на работающем сервере без простоя последнего, спокойно все настроив и проверив правильность настройки. Остается последний вопрос: как проверить, что статическое содержимое отдает действительно Nginx?\nОчень просто, если ваш движок принудительно не перехватывает страницы ошибок, то просто запросите несуществующий статический контент, скажем, изображение. Вполне закономерно мы получим ошибку 404, теперь смотрим, кто именно сообщил нам об этом - правильно, Nginx. А если запросить несуществующий динамический контент, то получим аналогичное сообщение, но от Apache: Как видим, установить Nginx перед Apache достаточно просто, несмотря на большой объем данной статьи. А имея некоторый опыт и готовые шаблоны данная операция вообще занимает несколько минут, в тоже время позволяя существенно повысить нагрузочную способность вашего сервера и в полной мере воспользоваться преимуществами каждого из веб-серверов.\n","id":"62fe299510c289f90bbddacd3c08f8e0","link":"https://interface31.ru/post/nastraivaem-veb-server-nginx-kak-front-end-k-apache/","section":"post","tags":["Apache","Debian","Nginx","Ubuntu Server","Web-сервер","Сайт"],"title":"Настраиваем Nginx как front-end к Apache для ускорения работы сайта"},{"body":"GNU/Linux как полностью открытая платформа открывает широкие возможности к творчеству, никто не мешает, взяв за основу один из ведущих дистрибутивов, собрать свой собственный или сделать это полностью с нуля. Но большинство из них представляет интерес лишь только узкому кругу лиц и никаких интересных особенностей не имеет. Однако время от времени все-таки попадаются интересные решения, которые чем-либо выделяются из общей массы. Сегодня мы рассмотрим два таких дистрибутива, это Zorin OS и Deepin.\nZorinOS 9/11 Строго говоря, Zorin OS не является полноценным дистрибутивом, так как использует пакетную базу и репозитории Ubuntu, устанавливая собственные элементы из подключаемого PPA, но с другой стороны это достаточно оригинальный и логически завершенный продукт, поэтому нет никаких причин отказывать ему в \u0026quot;звании\u0026quot; самостоятельного проекта.\nОсновной целью разработчиков Zorin было создание рабочей среды Linux максимально похожей на окружение Windows-систем, что должно помочь пользователям быстро освоиться в среде новой ОС и по полной использовать уже имеющийся у них пользовательский опыт. И надо отметить, что у них это получилось. Уже беглого взгляда на рабочее окружение достаточно, чтобы отметить весьма сильное сходство с привычным Windows-окружением. Разработчики провели достаточно большую работу по воссозданию привычной для многих пользователей среды. При этом каких-либо собственных оригинальных разработок в составе Zorin OS нет, в основу интерфейса положено существующее открытое ПО, должным образом настроенное и оформленное.\nПлохо это или хорошо? На наш взгляд такой подход вполне допустим, потому как ресурсами для качественной разработки собственного ПО располагают далеко не все и гораздо лучше предложить пользователю решение на базе уже проверенного и работающего софта, чем сомнительного качества собственное.\nТем более, что Zorin - это не одна ОС, а целое семейство. Официальный сайт, кроме бесплатных Core и Lite версий, предлагает Business и Ultimate версии по 8,99€ и 9,99€ соответственно. К сожалению, скачать данные версии без оплаты не представляется возможным, но разработчики утверждают, что они включают различное дополнительное ПО для бухгалтерии, розничной торговли, работы с СУБД и т.д. и т.п. Можно предполагать, что данные версии содержат предустановленное и настроенное свободное и бесплатное ПО, которое в обычных дистрибутивах по умолчанию не присутствует или устанавливается из дополнительных репозиториев.\nТак, например, бесплатная версия уже содержит в своем составе Wine и PlayOnLinux. С одной стороны, мелочь, а с другой существенное подспорье новичку, который еще плохо знаком с открытым ПО, не знает аналогов многих программ, не имеет навыков их установки. Или взять Менеджер браузеров: Сущий пустяк, если забыть о том, что установка того-же Crome или Opera с полноценной интеграцией в систему, что подразумевает подключение репозиториев, для новичка может оказаться невыполнимой задачей. Если исходить из этой точки зрения, то получить за менее чем 10€ систему с уже подобранным и установленным набором ПО для различных нужд - это довольно неплохая сделка. Во всяком случае пригласить специалиста для настройки системы и установки ПО выйдет дороже.\nКроме оформления в стиле Windows 7 разработчики предлагают еще два варианта: Windows XP и Gnome 2. Первый из них явно предназначен для завзятых ретроградов, которых, надо признать, до сих пор хватает. Точной копией классического интерфейса Windows это назвать нельзя, но самые характерные и любимые поклонниками черты интерфейса старательно воспроизведены: А вот что касается Gnome2, то его назначение не особо понятно, разве что в качестве Linux-экзотики для начинающих, потому как несмотря на внешнее сходство, это всего лишь эмуляция, и настоящим поклонникам Gnome 2 логичнее будет использовать форк этой рабочей среды Mate. Но как бы там ни было, темы оформления Zorin достаточно проработаны, удобны и радуют глаз, хотя без неких шероховатостей не обошлось. Так соседство \u0026quot;современных\u0026quot; плоских значков и полноцветных иконок вызывает некий визуальный дискомфорт, хотя ставить этот факт однозначно в упрек разработчикам не стоит. Современные версии Windows достигли некоторой графической однородности только в последних выпусках Windows 10, в той же Windows 8 спокойно соседствуют иконки и значки разных стилей, в том числе еще и времен Windows ХР и ранее, хотя внешне это не столь сильно бросается в глаза.\nТакже на наш взгляд откровенно не удались разработчикам темные темы, полноцветные значки выглядят в них абсолютно чужеродно, а остальное напоминает контрастные темы для слабовидящих. Кроме того, найти отличия между темами Blue и Dark еще следует постараться, ниже мы сделали коллаж, левая половина скриншота соответствует \u0026quot;синей\u0026quot; теме, правая \u0026quot;темной\u0026quot;. На этом обзор Zorin можно бы было заканчивать, но заглянув на страничку проекта в SourceForge мы обнаружили 10-ю и 11-ю версии дистрибутива. Может быть это новые версии, находящиеся в разработке или бета-тестировании? К сожалению, нет. После Zorin OS 9, основанной на LTS-дистрибутиве Ubuntu 14.04, разработчики выпустили две версии на основе промежуточных дистрибутивов Ubuntu и еще совсем недавно на сайте Zorin предлагалась к скачиванию 11-я версия на основе промежуточного дистрибутива Ubuntu 15.10. Вроде бы все по-честному, с одной стороны \u0026quot;твердокаменная надежность\u0026quot; Zorin OS 9 с долгосрочной поддержкой до апреля 2019, с другой \u0026quot;передовая и продвинутая\u0026quot; 11-я версия, с обновлениями безопасности по июль 2016. Только вот по окончанию поддержки 11-ю версию просто убрали подальше, как и не было.\nРешение странное и неоднозначное, но давайте все-таки посмотрим, что именно предлагала нам Zorin OS 11. В отношении программной части обе системы отличаются ровно настолько, насколько Ubuntu 15.10 отличается от 14.04 LTS. А вот что касается внешнего оформления, то здесь мы видим большую проделанную работу. Графический интерфейс тщательно отшлифован, значки и иконки приведены к единому стилю, соответствующему современным тенденциям в дизайне рабочего окружения ОС, цветовая палитра стала немного приглушенной и гораздо лучше воспринимается на глаз.\nТакже присутствуют темы Windows XP: И Gnome 2: Несмотря на то, что последняя содержит некую \u0026quot;сборную солянку\u0026quot; из монохромных плоских и цветных значков, выглядит интерфейс системы гораздо свежее, строже и современнее. Можно сказать, что теперь у системы появился свой визуальный стиль и его законченность. Практически ничего не выбивается из общей концепции и не режет глаз, как это было в Zorin OS 9.\nДля любителей кастомизации разработчики добавили цветов и доработали темные темы, теперь все выглядит достаточно достойно и неудачными какие-то варианты назвать сложно, хотя темные темы, на наш взгляд, для повседневной работы подходят слабо. Надо отметить, что пользоваться Zorin OS 11 действительно удобно и приятно. Поэтому ситуация с ее \u0026quot;исчезновением\u0026quot; вызывает множество вопросов. Во-первых вызывает недоумение, зачем нужно было брать за основу промежуточные релизы Ubuntu, когда все тоже самое можно было сделать на основе LTS-версии, ведь Zorin OS по большому счету всего лишь графическая надстройка над Ubuntu.\nВполне можно было выпустить Zorin OS 9.2 или 9.3, номер тут абсолютно не важен, в которую включить все новые разработки, не включаясь в гонку промежуточных релизов. А если уж включились, то следовало подумать о поддержке пользователей. По сути сейчас все пользователи Zorin OS 11 остались в подвешенном состоянии и фактически брошены на снятом с поддержки релизе.\nАльтернатив немного и все они для Zorin OS плохие. Это либо вернуться, с переустановкой, на 9-ю версию, что будет откровенным шагом назад, либо обновиться до актуальной версии Ubuntu, отказавшись от графического окружения Zorin. Учитывая, что система явно не занимает топовых позиций в рейтингах это серьезный прокол разработчиков, однако будем надеяться, что они предпримут шаги по исправлению ситуации и предложат актуальный дистрибутив на новом LTS-релизе.\nА еще говорят, что лучше один раз увидеть, поэтому предлагаем вам также посмотреть наш видеообзор:\nDeepin 15.2 Про Deepin мы уже довольно подробно рассказывали два года назад. Поэтому в данном обзоре мы только кратко остановимся на том, что изменилось в проекте за прошедшее время. В отличие от Zorin OS, Deepin - это полноценный дистрибутив, с собственными репозиториями, собственной рабочей средой DDE и набором собственного ПО.\nВнимание к мелочам чувствуется в Deepin буквально везде, начиная от установщика системы: Кстати, о ложке дегтя в бочку меда. Если Deepin 2014 был основан на пакетной базе Ubuntu, то в 15-й версии разработчики перешли на Debian и обновить старый Deepin до новой версии вам не удастся.\nНесмотря на это Deepin остается оригинальным дистрибутивом, отличающимся от разнообразных клонов Ubuntu/Debian собственным рабочим окружением. Deepin Desktop Environment (DDE) - собственная разработка, включающая в себя творческую переработку многих идей, предлагаемых иными рабочими средами. Так если док явно \u0026quot;позаимствован\u0026quot; от MacOS, то \u0026quot;горячие углы\u0026quot; наглядно показывают, как могла быть реализована эта идея в ОС Windows, где попытка их реализации в Windows 8 не выдерживает никакой критики. Если вы собираетесь всерьез обжиться в новой системе, но рекомендуем сразу изменить зеркала проекта, так как доступ к китайским серверам не отличается скоростью и стабильностью. Для этого перейдите к Свойствам системы и нажмите значок с шестеренкой рядом с пунктом Обновления. Система автоматически проводит тестирование зеркал и теперь вам не придется использовать метод \u0026quot;научного тыка\u0026quot; для выбора оптимального из них.\nТакже заметна серьезная работа по локализации и шлифовке графического интерфейса. Если в Deepin 2014 еще встречались некоторые огрехи, то теперь придраться решительно не к чему. Оформление интерфейса было обновлено в современном плоском стиле (появилось еще в последних выпусках версии 2014) и выглядит очень стильно и привлекательно.\nНо Deepin это не только собственное оформление графической оболочки, это еще и собственное программное обеспечение для нее, что постепенно выводит DDE на уровень рабочих сред первого эшелона, таких как Gnome или KDE, которые представляют полноценное рабочее окружение с собственным набором библиотек, программ и утилит.\nКак мы уже говорили, внимание к мелочам и качество их исполнения потрясают. Терминал Deepin при первой попытке повышения прав неожиданно выдал нам следующее сообщение: Весьма необычно, не находите? И что-то в этом есть от восточной философии, остановиться и на минуту задуматься... При этом все это на литературном русском и без ошибок.\nКроме Терминала в Deepin присутствует собственный магазин приложений, выполненный по образу и подобию мобильных магазинов. Предлагаемый софт тщательно отобран и представляет лучшие образцы не только свободного ПО. Более того, по поводу некоторых пунктов возникают определенные сомнения в их лицензионной чистоте, но, если честно, когда китайцев это волновало? Как и положено полноценной рабочей среде, Deepin в первую очередь стремится закрыть собственными приложениями повседневные потребности. Терминал мы уже видели, кроме них по умолчанию предустановлены аудио и видеоплееры. Первый ничем особым не выделяется, хорошее повседневное приложение для прослушивания музыки: поддерживает losless-форматы, сворачивается в трей и управляется оттуда без развертывания на экран, что еще надо? Видеоплеер отличается удобным минималистичным интерфейсом, стоит убрать мышку за пределы экрана или перестать ее двигать, то все элементы управления пропадают, чтобы ничего не отвлекало нас от просмотра фильма. Также можно отдельно установить Просмотрщик изображений Deepin, достаточно удобное приложение с некоторыми функциями каталогизации изображений: И файловый менеджер собственной разработки, который, скорее всего, в будущих релизах придет на замену Nautilus. Как видим, разработчики шаг за шагом движутся к своей цели - созданию полноценного рабочего окружения с собственным набором ПО, но даже сейчас DDE обращает на себя внимание и способен конкурировать с рабочими средами первого эшелона.\nСо своей стороны, мы можем смело рекомендовать Deepin, как минимум, к обязательному ознакомлению всем, кто интересуется Linux-системами, либо ищет дистрибутив для повседневной работы. А также предлагаем вам посмотреть еще одно видео.\n","id":"b36993d01dfb5d16f85ea557e80a360d","link":"https://interface31.ru/post/os-obzor-zorin-os-911-i-deepin-152/","section":"post","tags":["Debian","HTML5","Linux","Ubuntu","Персонализация"],"title":"OS-обзор. Zorin OS 9/11 и Deepin 15.2"},{"body":"Современный рынок компьютерных комплектующих давно и прочно облюбовали маркетологи, оно и понятно, новые модели железа не обеспечивают качественного увеличения производительности, а продавать их все равно надо. Особенно это касается сегмента жестких дисков, который в последнее время существенно уступает свои позиции твердотельным накопителям. Мы уже рассматривали \u0026quot;цветные\u0026quot; серии WD, когда производитель помещает в одну линейку модели разных поколений и разной производительности, а сегодня наше внимание привлекли новые диски от Toshiba.\nКому сегодня, при стремительно дешевеющих SSD, интересны жесткие диски - скажет иной читатель и будет неправ. При всех своих достоинствах твердотельные накопители пока ощутимо проигрывают в стоимости хранения 1 ГБ, для бюджетных моделей SSD она начинается от 16-20 руб/ГБ, в то время как HDD предлагают хранить данные всего за 3,5 руб/ГБ.\nПоэтому если речь идет о системном диске, который не предполагает большого объема данных, то выбор однозначно будет за SSD, а если надо хранить достаточно большой объем данных и работать с ним, то разумных альтернатив HDD пока нет.\nПрайс-листы недорогих массовых HDD не выделяются особым разнообразием, выбирать приходится из одной-двух моделей трех основных производителей: Seagate, WD и Toshiba, которая присоединилась к первым двум купив подразделение Hitachi по производству 3,5\u0026quot; дисков. В середине списка находится действительно неплохой Seagate Desktop HDD ST1000DM003 (он же Barracuda), крепкий середнячок, который стоит своих денег. Немного дороже Western Digital Caviar Blue WD10EZEX, который примерно настолько же более производителен. Чуть ниже (по цене), в той же \u0026quot;синей\u0026quot; линейке притаился хитрый Western Digital Blue WD10EZRZ, который отличается от \u0026quot;старшего брата\u0026quot; всего лишь одним словом в наименовании, но представляет решительно иную модель с низкой скоростью вращения шпинделя.\nСамым недорогим в ассортименте является Toshiba DT01ACA100, причем цена в данном случае неплохо отражает производительность. На второй позиции тоже Toshiba с новой моделью P300 HDWD110UZSVA, которая отличается от предшественницы вдвое увеличенным кэшем и новой, красочной этикеткой, которая, между прочим, обещает высокую производительность. При этом положение диска в нашей \u0026quot;Табели о рангах\u0026quot; как-бы намекает на то, что чудес не бывает. Или все-таки бывают? Попробуем ответить на этот вопрос.\nНачнем с традиционного CrystalDiskMark: Взглянем на диск более подробно с помощью HD Tune Pro: В данном тесте диск ничем не выделяется из одноклассников, разве что высоким временем случайного доступа 18,9 мс, как у предыдущей модели. В файловом тесте P300 также неплох, на уровне модели от Seagate, но по-прежнему уступая WD. В общем крепкий такой середнячок. А вот со случайным доступом результат ожидаемо неважный: 53 IOPS против 63 у WD и 70 у Seagate. Поэтому о применении в сценариях виртуализации, работы с СУБД, играх и т.п. данный диск, как и его предшественника использовать не рекомендуется.\nПерейдем от синтетики к реальным сценариям, Intel NASPT. В сценариях работы с HD-контентом диск существенно превосходит предшественника, выступая на равных с Seagate Desktop HDD, но не дотягивая до WD Caviar Blue. В остальных тестах диск идет уверенным середнячком, ожидаемо отставая только на случайном чтении (Dir copy from NAS).\nВыводы Если не обращать внимание на явно маркетинговые надписи на этикетке, то перед нами вполне неплохой недорогой диск для массового применения, практически ничем (кроме случайного чтения) не уступающий Seagate Desktop HDD, но стоящий немного дешевле. Однако надпись High-Performance явно способна ввести в заблуждение неискушенного покупателя, который в итоге получит не совсем то, что ожидал.\nС другой стороны, упрекать Toshiba в умышленном введении в заблуждение все-таки не стоит. По сравнению с предыдущей моделью P300 действительно более производительный диск и в своем сегменте выглядит вполне достойно. Также, в отличие от WD, Toshiba не подсовывает в одну линейку существенно отличающиеся по параметрам модели, например, как WD Blue и WD Caviar Blue.\nЧто можно сказать? Диск неплохой и если вам не требуется производительность в сценариях со случайным доступом, то можно смело выбирать эту модель, немного сэкономив от цены практически полностью аналогичного Seagate Desktop HDD. Ну а если требуется производительность в тяжелых задачах, то альтернативы WD Caviar Blue в данном ценовом диапазоне нет.\n","id":"aa4b40fa52075f230f50ac56522b7bce","link":"https://interface31.ru/post/toshiba-p300-krepkiy-serednyachok-s-neskromnoy-etiketkoy/","section":"post","tags":["HDD","Toshiba"],"title":"Toshiba P300 - крепкий середнячок с нескромной этикеткой"},{"body":"Любое программное обеспечение имеет свои жизненный цикл, а реалии сегодняшнего дня таковы, что использовать не имеющее поддержки ПО, особенно на серверах, крайне небезопасно. Поэтому хорошие администраторы планируют обновление серверного парка заранее, не дожидаясь крайних сроков. В зависимости от работающих на сервере служб процесс обновления может иметь свои особенности. Сегодня мы рассмотрим, как правильно обновить операционную систему для сервера электронной почты Zimbra.\nТак исторически сложилось, что основной парк обслуживаемых нами серверов Zimbra успешно работает на Ubuntu Server 12.04 LTS, однако поддержка этой версии заканчивается 26 апреля 2017 г. Поэтому вполне закономерно встал вопрос о переходе на более новую версию ОС, в качестве которой мы выбрали Ubuntu Server 14.04 LTS.\nПочему не 16.04 LTS? Во-первых, не стоит спешить, 14.04 проверена и отлажена, все подводные камни и способы их обхода известны, накоплен опыт эксплуатации и т.д. и т.п. Во-вторых, актуальная версия Zimbra 8.7.0 GA существует для 16.04 только в статусе Beta и потребует кроме обновления ОС также обновления текущей версии Zimbra (у нас практически везде используется 8.6.0). А одновременно обновлять ОС и Zimbra, тем более на Beta - задача со многими неизвестными, поэтому таких авантюр стоит избегать, отдавая предпочтение проверенным решениям.\nПрежде чем обновлять операционную систему - убедитесь, что для целевой системы есть выпуск установленной у вас версии Zimbra, если такой версии нет, то текущую установку Zimbra следует обновить. Так, например, установленная у нас 8.6.0 GA позволяет обновить ОС для 14.04 LTS, но, если мы захотим обновиться до 16.04 LTS, то это потребует обновления Zimbra до 8.7.0 GA. Обновление сервера - операция связанная с высоким риском, поэтому следует предпринять все меры, чтобы быстро восстановить систему, если что-то пойдет не так. Если у вас есть свободный диск, то будет не лишним сделать полную копию вашего HDD. Но в любом случае сделайте резервную копию текущей установки Zimbra.\nПоднимем права до суперпользователя и войдем под именем Zimbra:\n1sudo -s 2su zimbra Остановим службы Zimbra:\n1zmcontrol stop Выйдем из учетной записи почтового сервера:\n1exit И создадим архив с копией текущей установки в домашней папке:\n1tar -czvf ~/zimbra-backup-dd-mm-yyyy.tgz /opt/zimbra Теперь можно приступать к обновлению системы. Вначале убедимся, что у нас нет недонастроенных пакетов и неудовлетворенных зависимостей:\n1apt-get install -f 2dpkg --configure -a Первая команда ищет и пытается установить недостающие зависимости, а вторая выполняет настройку установленных, но не настроенных пакетов. Если у вас в системе все хорошо, то вы увидите примерно следующий вывод: Можно приступать к обновлению:\n1do-release-upgrade Программа проверит возможность обновления и предложит подтвердить свои действия, еще раз хорошо думаем - с этого момента отменить процесс будет нельзя. Пока загружаются пакеты можно пойти налить себе кофе, но далеко не уходите, объем закачки небольшой и не занимает много времени. После этого начнется установка новых пакетов. На вопрос об автоматическом перезапуске служб отвечаем утвердительно. А на предложения заменить конфигурационные файлы - отрицательно или просто нажимаем Enter (Нет - действие по умолчанию). Дальнейший процесс не содержит каких-либо подводных камней и осуществляется в штатном режиме. По окончании обновления вам будет предложено перезагрузить систему.\nИтак, операционная система обновлена, но если мы проверим статус Zimbra, то увидим следующее: Все правильно, обновив систему следует обновить сборку Zimbra. Для этого скачаем пакет с такой-же самой версии, но для текущего выпуска ОС, в нашем случае это 8.6.0 для Ubuntu 14.04, это можно сделать командой, которая скачает архив в домашнюю директорию пользователя:\n1cd 2wget https://files.zimbra.com/downloads/8.6.0_GA/zcs-8.6.0_GA_1153.UBUNTU14_64.20141215151116.tgz Либо сделайте это любым удобным способом посетив страницу загрузки.\nРаспакуем архив:\n1tar -xvf zcs-8.6.0_GA_1153.UBUNTU14_64.20141215151116.tgz Перейдем в каталог с релизом и запустим скрипт установки:\n1cd zcs-8.6.0_GA_1153.UBUNTU14_64.20141215151116 2./install.sh -s Обратите внимание, что запускать скрипт установки требуется с ключом -s, в противном случае вы получите сообщение об ошибке. На предложение произвести проверку БД также следует ответить отрицательно, иначе получите ту же самую ошибку.\n1 Do you want to verify message store database integrity? [Y] N Если в процессе проверки необходимых зависимостей вы получите ошибку, то нужно установить требуемые пакеты и повторить все сначала. В нашем случае не хватало пакета libperl5.18. Установим его:\n1apt-get install libperl5.18 Соглашаемся с обновлением уже установленных пакетов и отказываемся от установки новых, правило здесь одно: если вы не знаете нужен ли вам этот пакет - не ставите. Добавить пакеты всегда можно позже, запустив скрипт установки еще раз. Дальнейший процесс не займет много времени и только обновит версии пакетов, для полноценного обновления Zimbra нужно запустить установку еще раз, теперь без ключей.\n1./install.sh Снова проходим все этапы, на предложение проверить БД на этот раз отвечаем согласием. По окончании работы скрипта вы получите обновленную версию Zimbra для вашей версии ОС. Проверяем состояние служб:\n1su zimbra 2zmcontrol status Как видим - все работает нормально: Теперь можно войти в веб-интерфейс и проверить его работу: Обновление операционной системы на сервере с установленной Zimbra достаточно несложно и не занимает много времени, но помните - это потенциально опасный процесс, который может полностью вывести сервер из строя. Поэтому обязательно сделайте резервные копии и продумайте последовательность действий по восстановлению, если вдруг что-то пойдет не так.\n","id":"3bb421071cc6e07ff2abfb0e4c49bc3c","link":"https://interface31.ru/post/zimbra-obnovlyaem-ubuntu-server/","section":"post","tags":["E-mail","Ubuntu Server","Zimbra"],"title":"Zimbra. Обновляем операционную систему (Ubuntu Server)"},{"body":"Последние годы фирма 1С серьезно подошла к обеспечению кроссплатформенности своих продуктов. Появление \u0026quot;родного\u0026quot; клиента для Linux открыло новые возможности к применению этой ОС в рабочем процессе. Сегодня уже ничто не мешает развернуть на базе Linux рабочее место менеджера по продажам или расчетчика заработной платы, но вот с автоматизированными рабочими местами до сих пор все было не очень радужно. В тоже время есть все основания полагать, что в скором будущем ситуация изменится, подробнее в нашей статье.\nНачнем с объективных предпосылок использовать Linux на автоматизированных рабочих местах (АРМ). Это не только снижение затрат на ПО, хотя в небольших внедрениях отказ от приобретения даже \u0026quot;домашних\u0026quot; редакций ОС Windows способно принести ощутимую экономию, но и снижение затрат на последующее сопровождение.\nВ первую очередь это уменьшение количества инцидентов, связанных с вредоносным ПО, ущерб от которого, если это окажется шифровальщик, может быть крайне высок. Также уменьшается количество обращений по причине несанкционированного вмешательства персонала или третьих лиц, что актуально для компьютеров без централизованного управления и за периметром безопасности организации, т.е. расположенных на торговых точках, в офисах продаж и т.д. и т.п.\nЧто касается \u0026quot;сложности\u0026quot; администрирования и освоения Linux-систем персоналом, то любая система или прикладное ПО сложнее пасьянса требует от администратора определенных технических знаний. При этом для пользователей порог вхождения оказывается достаточно низким, так как они продолжают работать с привычным набором программ: 1С, браузер, офисный пакет, а принцип работы в большинстве графических оболочек ничем существенно не отличается от работы с проводником Windows.\nОднако до сих пор оставалось одно большое препятствие на пути применения Linux в автоматизации розницы: рабочее место кассира (РМК) и аналогичные ему АРМ предусматривает применение довольно широкого спектра торгового оборудования, с поддержкой которого в Linux наблюдались большие проблемы. Еще пару лет назад на вопрос о возможности использовать Linux на РМК мы однозначно отвечали: Нет!\nСейчас ситуация начала изменяться в лучшую сторону. Вместо разношерстного набора обработок обслуживания фирма 1С предлагает унифицированный подход к работе с торговым оборудованием в рамках БПО (библиотека подключаемого оборудования) и стремится обеспечить кроссплатформенность этого решения. Чтобы оценить, как далеко зашли ее усилия и как реально обстоят сегодня дела на этом направлении мы решили на практике проверить работу последнего релиза 1С:Розница 2.2 (2.2.4) с торговым оборудованием в среде Ubuntu 16.04 LTS.\nСогласно официальным источникам, линейка релизов 1С:Розница 2.2.4.х использует БПО версии 1.2.5.10, которая является наиболее современной на текущий момент, а Ubuntu 16.04 можно рассматривать как некий эталон пользовательских Linux-систем на ближайшие несколько лет в среде базирующихся на Debian дистрибутивов.\nЧтобы не растекаться мыслью по дереву рассмотрим, поддержка какого именно оборудования критична для РМК, а какого не критична, но желательна. Исходя из практического опыта, мы составили небольшую схему: Если от поддержки дисплея покупателя и считывателя магнитных карт можно без особых проблем отказаться, то необходимость прогружать весы непосредственно с рабочего места кассира часто возникает в небольших магазинах на одну - две кассы сетевого типа, где есть необходимость работы с весовым товаром, но отсутствует рабочее место товароведа, так как эти задачи решаются в центральном офисе.\nСканер штрихкода Сканер штрихкода наиболее простой тип торгового оборудования, большинство современных моделей работают либо в режиме клавиатуры, либо через RS-232 (COM-порт) или его эмуляцию. Обмен односторонний и весьма простой. БПО в полной мере поддерживает работу сканеров штрихкода в Linux через драйвер 1С:Сканеры штрих-кода (NativeAPI). Каких-либо проблем в работе подключенного в режиме клавиатуры сканера Datalogic мы не обнаружили.\nСчитыватели магнитных карт Новые драйвера 1С (NativeAPI) обеспечивают полноценную работу считывателей как в среде Windows, так и Linux, в том числе с поддержкой режима клавиатуры, что актуально для многих моделей программируемых клавиатур. Прежде для работы данных устройств, даже в среде Windows, требовалось применения платных драйверов от АТОЛ. Фискальные регистраторы Фискальный регистратор или принтер ЕНВД можно смело назвать сердцем кассового узла, однако сегодня ни одна из моделей ФР в Linux не поддерживается. Также вам не удастся установить эмулятор фискального регистратора от 1С, что делает невозможным развертывание полноценного РМК в среде Linux. В принципе это ограничение можно обойти, распечатывая чеки на чековом принтере, но этот способ подойдет только очень небольшим магазинам на спецрежиме, где владелец сам является продавцом и ему не нужен фискальный контроль. Однако и здесь могут возникнуть сложности, отсутствие фискального режима делает невозможным \u0026quot;снять кассу\u0026quot;, т.е. достоверно установить какое количество денежных средств должно находиться в ней на текущий момент.\nДисплей покупателя 1С не перестает удивлять и радовать. Появление \u0026quot;родного\u0026quot; драйвера для этого вида оборудования, да еще с неплохой поддержкой моделей способно значительно облегчить жизнь автоматизаторам вне зависимости от платформы. Учитывая, что дисплей оборудование тоже довольно простое и никакой сложной информации на него не выводится, стандартный драйвер способен обеспечить нормальную работу довольно широкого спектра оборудования, совместимого с одним из перечисленных наборов команд.\nЭквайринговые терминалы Эквайринг был и остается одним из самых проблемных участков, так как работать приходится не только с собственной учетной системой, но и с банковским ПО, а также с его поддержкой. Мы не раз сталкивались со случаями, когда сотрудники банка заявляли нам, что вот наше ПО, вот инструкция, мы уже третий раз по ней сделали, а почему не работает мы не знаем. Учитывая многочисленные проблемы на платформе Windows мы собственно и не ожидали увидеть ничего иного: С остальными банковскими системами ситуация ничуть не лучше. Говорить о поддержке Linux, когда даже поддержка БПО для этого типа оборудования остается где-то в \u0026quot;прекрасном далеко\u0026quot; как минимум преждевременно. Для небольших магазинов решением этой проблемы могут быть эквайринговые терминалы без подключения к ПК, но для крупных торговых предприятий такое решение будет по меньшей мере неудобно.\nВесы с печатью этикеток Как и с фискальными регистраторами поддержки данного типа оборудования для платформы Linux нет. Однако весы не являются непреодолимым препятствием для перевода РМК на Linux, в крупных предприятиях с весами работает товаровед, который может продолжать работать на Windows, а в удаленных магазинах, при наличии нормального канала связи это можно делать из основного офиса через VPN (потребуется сетевое подключение весов). Сложности могут возникнуть в небольших магазинах, но они редко покупают весы с печатью этикеток, так как этот вид оборудования достаточно дорог.\nПрочее оборудование В общем и целом, ситуация с поддержкой Linux в БПО такова, что пока это нужно одной фирме 1С, все новые версии ее драйверов (NativeAPI) без проблем работают на этой платформе. Сторонние производители не спешат реализовывать поддержку Linux для своих драйверов, хотя, как тот же АТОЛ, вполне могут использовать эту платформу для своих решений.\nС другой стороны, весовая категория фирмы 1С и охват аудитории ее продуктами может служить хорошим стимулом для начала поддержки этого семейства ОС. Так, например, мы с удивлением обнаружили поддержку Linux в драйверах принтера этикеток Godex от компании Сканкод. Правда пока поддерживается только подключение через LAN, но согласитесь, что это лучше, чем ничего. Потом нашелся Сканкод:Драйвер для ТСД CipherLAB 8x00 (NativeApi), который также работает в среде Linux, что говорит о том, что ситуация медленно, но верно переламывается в сторону поддержки кроссплатформенности со стороны производителей оборудования.\nРабочее место кассира Рассказывая про поддержку торгового оборудования в среде Linux мы не могли обойти стороной интерфейс РМК (рабочего места кассира). Здесь фирме 1С есть куда приложить свои усилия, шрифты на кнопках выглядят просто ужасно, в то время как к шрифтам в табличной части РМК и остальной программе никаких вопросов у нас не возникло. Кроме того, надписи на кнопках вверху и внизу РМК явно следует сделать побольше, ниже показано как это выглядит при разрешении экрана 1920x1080, которое сейчас можно встретить на мониторах с диагональю от 21\u0026quot;. Выводы Подведем небольшие итоги, для этого снова глянем на нашу схему: Единственное серьезное препятствие - отсутствие поддержки в Linux фискальных регистраторов. Определенные сложности способен доставить эквайринг, но эти проблемы он и так регулярно доставляет вне зависимости от платформы, наконец никто не мешает использовать автономный эквайринговый терминал.\nОсновные устройства ввода не вызывают никаких вопросов, как и программируемые клавиатуры, о которых мы ничего не сказали выше. Единственный момент - для их программирования, как и для настройки большинства типов торгового оборудования все-таки потребуется Windows система.\nДисплей покупателя мы отметили значком повышенного внимания, так как несмотря на появление стандартного драйвера 1С к выбору данного оборудования следует подойти осмотрительно.\nВесы - второй тип оборудования, который пока не позволяет однозначно рекомендовать Linux как платформу для РМК, опять-таки вся надежда здесь на производителей и решимость фирмы 1С требовать поддержки Linux в новых версиях совместимых с БПО драйверов. То, что это вполне осуществимо показывает пример фирмы Сканкод.\nДа, Linux сегодня еще не готов занять свое место на автоматизированных рабочих местах, но текущие тенденции позволяют говорить о том, что это только вопрос времени. Уже сегодня реализована поддержка многих типов оборудования и видны определенные подвижки со стороны производителей. Все это разительно отличается от ситуации еще несколько лет назад, когда на вопрос поддержки торгового оборудования в Linux вообще не стоял на повестке дня.\n","id":"a686a84c148db4841a8a3dfe96753920","link":"https://interface31.ru/post/1spredpriyatie-8-podderzhka-torgovogo-oborudovaniya-v-linux/","section":"post","tags":["1С Предприятие 8.х","Linux","Ubuntu","Автоматизация","Торговое оборудование"],"title":"1С:Предприятие 8. Поддержка торгового оборудования в Linux (Debian/Ubuntu)"},{"body":"В прошлой части нашего цикла мы рассмотрели работу протоколов семейства NTLM, отметив ряд их существенных недостатков, которые невозможно решить в рамках протокола. Поэтому вместе с Active Directory на смену им пришел более совершенный протокол Kerberos, который продолжает успешно применяться до сих пор. В данном материале мы рассмотрим общие принципы функционирования данного протокола, что позволит получить начальные знания в этой области самым широким массам читателей.\nПротокол Kerberos был разработан в Массачусетском технологическом институте (MIT) в рамках проекта «Афина» в 1983 году и долгое время использовался в качестве образовательного, пока версия 4 не была сделана общедоступной. В настоящий момент принята в качестве стандарта и широко используется следующая версия протокола Kerberos 5.\nОсновным недостатком протокола NTLM служит то, что он не предусматривает взаимную аутентификацию клиента и сервера, это во многом обусловлено тем, что протокол изначально разрабатывался для небольших сетей, где все узлы считаются легитимными. Несмотря на то, что в последних версиях протокола сделаны серьезные улучшения безопасности, но направлены они в основном на усиление криптографической стойкости, не устраняя принципиальных недостатков.\nВ доменных сетях протоколы NTLM вызывают повышенную нагрузку на контроллеры домена, так как всегда обращаются к ним для аутентификации пользователя. При этом также отсутствует взаимная идентификация узлов и существует возможность накопления пакетов для последующего анализа и атаки с их помощью.\nВ отличии от NTLM Kerberos изначально разрабатывался с условием, что первичная передача информации будет производиться в открытых сетях, где она может быть перехвачена и модифицирована. Также протокол предусматривает обязательную взаимную аутентификацию клиента и сервера, а взаимное доверие обеспечивает единый удостоверяющий центр, который обеспечивает централизованную выдачу ключей.\nПеред тем как продолжить, следует прийти к соглашению по поводу используемых в статье терминов. Так под термином клиент будет рассматриваться любой узел сети, обращающийся к любому иному узлу - серверу - с целью доступа к любому из его ресурсов.\nОсновой инфраструктуры Kerberos является Центр распространения ключей (Key Distribution Center, KDC), который является доверенным центром аутентификации для всех участников сети (принципалов). Область Kerberos (Realm) - пространство имен для которых данный KDC является доверенным, как правило это область ограниченная пространством имен домена DNS, в Active Directory область Kerberos совпадает с доменом AD. Область Kerberos записывается в виде соответствующего ему доменного имени DNS, но в верхнем регистре. Принципалом или учетной записью Kerberos является любой участник отношений безопасности: учетная запись пользователя, компьютер, сетевая служба и т.д.\nЦентр распространения ключей содержит долговременные ключи для всех принципалов, в большинстве практических реализаций Kerberos долговременные ключи формируются на основе пароля и являются так называемым \u0026quot;секретом для двоих\u0026quot;. С помощью такого секрета каждый из его хранителей может легко удостовериться, что имеет дело со своим напарником. При этом долговременные ключи не при каких обстоятельствах не передаются по сети и располагаются в защищенных хранилищах (KDC), либо сохраняются только на время сеанса.\nДля принципалов, которые не являются членами домена AD, могут использоваться специальные keytab-файлы, которые содержат сведения о клиенте, домене и его долговременный ключ. В целях безопасности keytab-файл нельзя передавать по незащищенным каналам, а также следует обеспечить его безопасное хранение у принципала.\nВ структуре Active Directory центр распространения ключей располагается на контроллере домена, но не следует путать эти две сущности, каждая из них является самостоятельной и выполняет свои функции. Так Kerberos отвечает только за аутентификацию клиентов, т.е. удостоверяет, что некто является именно тем, за кого себя выдает. Авторизацией, т.е. контролем прав доступа, занимается контроллер домена, в свою очередь разрешая или ограничивая доступ клиента к тому или иному ресурсу.\nРассмотрим каким образом происходит аутентификация клиента по протоколу Kerberos. Желая пройти проверку подлинности в сети, клиент передает KDC открытым текстом свое имя, имя домена и метку времени (текущее время клиента), зашифрованное долговременным ключом клиента. Метка времени в данном случае выступает в роли аутентификатора - определенной последовательности данных, при помощи которой узлы могут подтвердить свою подлинность.\nПолучив эти данные KDC извлекает долговременный ключ данного пользователя и расшифровывает метку времени, которую сравнивает с собственным текущим временем, если оно отличается не более чем на 5 минут (значение по умолчанию), то метка считается действительной. Эта проверка является дополнительной защитой, так как не позволяет использовать для атаки перехваченные и сохраненные данные.\nУбедившись, что метка времени действительна KDC выдает клиенту сеансовый ключ и билет (тикет) на получение билета (ticket granting ticket, TGT), который содержит копию сеансового ключа и сведения о клиенте, TGT шифруется с помощью долговременного ключа KDC и никто кроме него билет расшифровать не может. Сеансовый ключ шифруется с помощью долговременного ключа клиента, а полученная от клиента метка времени возвращается обратно, зашифрованная уже сеансовым ключом. Билет на получение билета является действительным в течении 8 часов или до завершения сеанса пользователя.\nКлиент в первую очередь расшифровывает сеансовый ключ, затем при помощи этого ключа метку времени и сравнивает ее с той, что он отправил KDC, если метка совпала, значит KDC тот, за кого себя выдает, так как расшифровать метку времени мог только тот, кто обладает долговременным ключом. В этом случае клиент принимает TGT и помещает его в свое хранилище.\nЧтобы лучше понять этот механизм приведем небольшой пример. Если злоумышленник перехватил посланный KDC запрос, то он может на основе открытых данных послать клиенту поддельный сеансовый ключ и TGT, но не сможет расшифровать метку времени, так как не обладает долговременным ключом. Точно также, он может перехватить отправленные клиенту TGT и сеансовый ключ, но также не сможет расшифровать последний, не имея долговременного ключа. Перехватить долговременный ключ он не может, так как они по сети не передаются.\nУспешно пройдя аутентификацию, клиент будет располагать сеансовым ключом, которым впоследствии он будет шифровать все сообщения для KDC и билетом на получение билета (TGT).\nТеперь рассмотрим ситуацию, когда клиент хочет обратиться к серверу. Для этого он снова обращается к KDC и посылает ему билет на получение билета, зашифрованную сеансовым ключом метку времени и имя сервера. Прежде всего KDC расшифровывает предоставленный ему TGT и извлекает оттуда данные о клиенте и его сеансовый ключ, обратите внимание, что сам KDC сеансовые ключи не хранит. Затем сеансовым ключом он расшифровывает данные от клиента и сравнивает метку времени с текущим. Если расхождения нет, то KDC формирует общий сеансовый ключ для клиента и сервера.\nТеоретически теперь данный ключ следует передать как клиенту, так и серверу. Но KDC имеет защищенный канал и установленные доверительные отношения только с клиентом, поэтому он поступает по-другому. Экземпляр сеансового ключа для клиента он шифрует сессионным ключом, а копию сеансового ключа для сервера он объединяет с информацией о клиенте в сеансовый билет (session ticket), который шифрует закрытым ключом сервера, после чего также отправляет клиенту, дополнительно зашифровав сессионным ключом.\nТаким образом клиент получает сессионный ключ для работы с сервером и сессионный билет. Получить содержимое билета, как и TGT, он не может, так как не располагает нужными долговременными ключами.\nТеперь, имея новый ключ и билет, клиент обращается непосредственно к серверу: Он предъявляет ему сеансовый билет и метку времени, зашифрованную сессионным ключом. Сервер расшифровывает билет, извлекает оттуда свой экземпляр ключа и сведения о клиенте, затем расшифровывает метку времени и сравнивает ее с текущим. Если все нормально, то он шифрует полученную метку своим экземпляром сессионного ключа и посылает назад клиенту. Клиент расшифровывает ее своим сеансовым ключом и сравнивает с тем, что было послано серверу. Совпадение данных свидетельствует о том, что сервер тот, за кого себя выдает.\nКак можно заметить, сеансовые ключи никогда не передаются по незащищенным каналам и не передаются узлам, с которыми нет доверительных отношений. У KDC нет доверительных отношений с сервером, и он не может передать ему сессионный ключ, так как нет уверенности, что ключ будет передан кому надо. Но у него есть долговременный ключ этого сервера, которым он шифрует билет, это гарантирует, что никто иной не прочитает его содержимое и не получит сессионный ключ.\nКлиент имеет билет и свой экземпляр ключа, доступа к содержимому билета у него нет. Он передает билет серверу и ждет ответ в виде посланной метки времени. Сервера, как и KDC, не хранят сеансовые ключи, а, следовательно, расшифровать метку времени сервер может только в том случае, если сможет расшифровать билет и получить оттуда сеансовый ключ, для чего нужно обладать долговременным ключом. Получив ответ и расшифровав его, клиент может удостоверить подлинность сервера, так как прочитать аутентификатор и извлечь из него метку времени сервер сможет только при условии расшифровки билета и получения оттуда сеансового ключа.\nНесмотря на то, что мы рассмотрели крайне упрощенную модель протокола Kerberos, надеемся, что данная статья поможет устранить пробелы и получить первоначальные знания, которые затем можно расширить и углубить уже осмысленно подойдя к прочтению более серьезных материалов.\n","id":"57dea7df6d745be2de40f27485f8516b","link":"https://interface31.ru/post/autentifikaciya-v-sistemah-windows-2-kerberos/","section":"post","tags":["Active Directory","Kerberos","Windows Server","Безопасность","Службы каталогов"],"title":"Аутентификация в системах Windows. Часть 2 - Kerberos"},{"body":"С необходимостью правильно оценить нагрузку на систему сталкивается каждый системный администратор. Если говорить о Linux-системах, то одним из основных терминов, с которым придется столкнуться начинающему администратору окажется Load Average (средняя загрузка). Однако, если говорить о русскоязычном сегменте сети интернет, описание данного параметра сводится к общим малозначащим фразам, в то время как за этими простыми цифрами кроется глубокий пласт информации о работе системы.\nЕсли обратиться к популярным источникам (Википедия), то можно найти примерно следующее:\nСредняя загрузка - среднее значение загрузки системы за некоторый период времени, как правило, отображается в виде трёх значений, которые представляют собой усредненные величины за последние 1, 5 и 15 минут, чем ниже, тем лучше. В UNIX это среднее значение вычислительной работы, которую выполняет система.\nПосле прочтения данного абзаца никаких новых знаний, кроме того, что масло таки масляное (средняя загрузка -- среднее значение загрузки) не возникает и понимания ситуации не прибавляется. Чем ниже, тем лучше, но насколько ниже и относительно чего.\nПосмотреть текущую загрузку системы можно командной\n1uptime Также ее значения выводят утилиты top и htop, а также множество других инструментов. В ответ мы получим что-то вроде:\n1load average: 0,12, 0,10, 0,03 Много это или мало? Хорошо или плохо? Давайте разбираться.\nЧтобы понять, что такое загрузка системы следует обратиться к логике работы центрального процессора. Вне зависимости от того, мощный у вас процессор или слабый, многоядерный или нет, он выполняет некий программный код для некоторых процессов. Если процесс один, то вопросов нет, а вот когда их несколько? Надо как-то распределять ресурсы между ними и, желательно, равномерно, чтобы один процесс, \u0026quot;дорвавшись\u0026quot; до CPU, не оставил без вычислений другие.\nЗдесь можно провести аналогию, когда несколько игроков хотят поиграть на одной приставке. Что обычно делают в таких случаях? Договариваются о времени, скажем каждый играет по 15 минут, затем дает поиграть другому.\nПроцессор поступает аналогичным образом. Каждому нуждающемуся в вычислениях процессу выделяется некий промежуток времени, который зависит от типа процессора и системы, если говорить о современных процессорах Intel, то это значение обычно составляет 10 мс и называется тиком. Каждый тик процессорное время отдается какому-то одному процессу в порядке очереди, но если процесс имеет повышенный или пониженный приоритет, то он, соответственно получит большее или меньшее количество тиков.\nКоличество использованных тиков, в первом приближении, и представляет загрузку системы. В Linux для оценки загрузки используется интервал в 500 тиков (5 секунд), при этом учитываются как работающие процессы (использованные тики), так и ожидающие (которым не хватило тика, либо они не смогли его использовать, ожидая завершения иной операции).\nЕсли мы используем все тики за указанный промежуток времени и у нас не будет ожидающих сводного тика процессов, то мы получим загрузку процессора на 100% или load average (LA) равное 1.\nДавайте рассмотрим следующую схему: Для простоты мы будем использовать в расчетах более короткий интервал - 9 тиков. На схеме слева мы видим, что процессорные ресурсы сначала понадобились системе, затем браузеру и файловому менеджеру, потом активности в системе не было, затем еще один тик взял файловый менеджер и еще два браузер, последние два тика также не понадобились никому. Несложные расчеты показывают, что мы использовали 67% процессорного времени или load average системы составил 0,67.\nСправа показана ситуация, когда каждый тик был занят своим процессом, но некоторые процессы так и не получили своего тика или не смогли получить, например, ждали окончания операции ввода-вывода. В таком случае загрузка процессора составит все те же 100%, но load average вырастет до 1,33, указывая на наличие очереди.\nЧтобы лучше понять ситуацию давайте представим себе небольшой супермаркет, касса представляет собой аналог процессора, тик - среднее время обслуживания покупателя (скажем, 1 минута), а процессы - это покупатели. В разгар рабочего дня людей в магазине немного, и вы спокойно прошли на свободную кассу, рассчитались и пошли по своим делам. Это хорошо, но как оценить нагрузку на кассу? Для этого нужно взять некий промежуток времени, допустим 10 минут. Если за 10 минут в магазине кроме вас было еще три человека, то средняя загрузка составит 0,4.\nА теперь зайдем в магазин вечером, все кассы заняты, и чтобы оплатить покупки придется ждать. Теперь если за 10 минут касса обслужила 10 человек и еще 10 стоят в очереди, то средняя загрузка будет равна 2, хотя касса загружена всего на 100%.\nВернемся к процессору и еще одному моменту, процессам, ожидающим окончания операций ввода-вывода (диск, сеть и т.п.). Во многих источниках указывается, что такие процессы искажают результат load average и мы можем получить высокие значения LA при отсутствии загрузки процессора. Да, это так. Посмотрим на еще одну схему ниже: Как видим, из 9 тиков было использовано только 6, т.е. процессор загружен всего на 67%, но так как три процесса ждут данные от диска, то load average по-прежнему равен 1.\nЕсли продолжать аналогию с супермаркетом, то похожая ситуация возникает, когда вы уже подошли к кассе и уже собрались выгружать продукты на ленту, но ваша супруга говорит вам, что она забыла купить хлеб, и вы тут стойте, а она сбегает. Собственно, все что вам остается до того, как она принесет хлеб, это стоять рядом с кассой и ждать, пропуская тех, кто находится в очереди позади вас.\nИскажают ли такие процессы значение load average? На наш взгляд нет. Следует понимать, что средняя загрузка - это не показатель производительности процессора, не результат бенчмарка, не текущая нагрузка, а отношение числа процессов, которым требуются вычислительные ресурсы системы к имеющимся в наличии ресурсам.\nТ.е. если у нас имеется 1 процессор и 500 тиков, но за это время процессорные ресурсы требуются тысяче процессов, то нагрузка у нас явно вдвое превышает имеющиеся ресурсы. И то, что часть процессов ждут жесткий диск и процессор работает вхолостую, не говорит о том, что система находится в простое, наоборот, она не может обработать нагрузку, правда по другой, не зависящей от процессора причине.\nПользователю ведь все равно по какой причине тормозит сайт или приложение, тем более что недостаток дисковых ресурсов обычно выражается подвисании приложения, в то время как при недостатке процессорных оно просто начинает тормозить.\nПодведем промежуточный итог. Load average показывает отношение имеющихся запросов на вычислительные ресурсы к количеству этих самых ресурсов (тиков). Для одного процессора (одного процессорного ядра) использование всех имеющихся ресурсов обозначает load average = 1. Причем это будет справедливо и для Core i7 и для Pentium I, хотя производительность у этих двух процессоров разная.\nТеперь перейдем к многопроцессорности и многоядерности. При появлении второго процессора или второго ядра у нас появляются дополнительные вычислительные ресурсы, т.е. же самые 500 тиков. Но за эти 500 тиков система уже может обработать уже 1000 запросов, что покажет нам load average = 2.\nЗначит ли это, что производительность выросла в два раза? Нет! Производительность зависит от того, сколько вычислений способен произвести процессор в течении одного тика. Понятно, что более мощный процессор выполнит за этот промежуток времени больше вычислений, но оба из них сделают одинаковое число тиков (для каждого процессорного ядра). В многопроцессорных (многоядерных) системах часть процессорного времени вместо вычислений занимают задачи межпроцессорного взаимодействия, переключения контекста и т.д. Поэтому появление второго ядра никогда не даст 100% прироста производительности, но всегда позволяет обработать вдвое большее количество запросов.\nЭто хорошо видно на примере технологии Hyper-threading, которая позволяет сделать из одного физического ядра процессора два виртуальных. Физическая производительность ядра процессора, т.е. количество производимых им вычислений в единицу времени не меняется, но появляется, хоть и виртуальное, но второе ядро, а это еще 500 тиков. Как показывают тесты, прирост производительности от Hyper-threading составляет 15-30%, что еще раз подтверждает старую поговорку, что лучше плохо ехать, чем хорошо стоять. Второе ядро, хоть и виртуальное, позволяет обрабатывать вычислительные запросы тех процессов, которые в одноядерном варианте стояли бы в очереди.\nНепонимание этого момента приводит к тому, что load average ошибочно связывают не с доступностью и достаточностью вычислительных ресурсов, а с производительностью процессора, что приводит к неверным выводам.\nНапример, переводчик довольно неплохой статьи на Хабре делает ошибочный вывод в отношении Hyper-threading:\nХабраюзер esvaf в комментариях интересуется, как интерпретировать значения load average в случае использования процессора с технологией HyperThreading. Однозначного ответа на данный момент я не нашел. В данной статье утверждается, что процессор, который имеет два виртуальных ядра при одном физическом, будет на 10-30% более производительным, чем простой одноядерный. Если принимать такое допущение за истину, считаю, при интерпретации load average стоит брать в расчет только количество физических ядер.\nА Википедия вообще написала полную ерунду (что для технических статей там совсем не редкость):\nСредняя нагрузка -- это не очень точная характеристика (хотя бы потому, что она определяет усреднённые значения). И если на компьютере есть несколько процессоров, то такой характеристике верить нельзя. Располагая двумя процессорами, можно (теоретически) одновременно выполнять в два раза большее число программ. Это означает, что средняя нагрузка 2.00 (на двухпроцессорном компьютере) будет эквивалентна средней нагрузке 1.00 (на однопроцессорном компьютере). На самом деле это не совсем так. Из-за дополнительной нагрузки, вызванной планированием и некоторыми другими факторами, двухпроцессорный компьютер не обеспечивает удвоения быстродействия по сравнению с однопроцессорным вариантом.\nУбедиться, что это не так довольно легко. Если запустить бесконечный цикл командой\n1 perl -e \u0026#39;while(1){}\u0026#39; то мы обеспечим полную загрузку одного процессорного ядра и load average = 1 (в данный момент смотрим только на первые, минутные показания данного параметра). Два процесса: Четыре: Мы не знаем, сколько именно операций в единицу времени выполняет наш процессор, но нам и не нужно знать это, гораздо важнее понимать, что на текущий момент все вычислительные ресурсы системы задействованы, но недостатка в них нет.\nЗапустим пятый процесс: Что изменилось? Загрузка процессора осталась на уровне 100%, это и понятно, выше головы не прыгнешь, но load average вырос до 5, что означает нехватку вычислительных ресурсов примерно на 20%. Таким образом понимание сути значения средней загрузки позволяет администратору однозначно сделать выводы о текущей ситуации, чего не скажешь, глядя просто на индикатор загрузки CPU.\nТеперь касательно HyperThreading, виртуализации и т.п. случаев, когда процессор, с которым работает система далеко не соответствует физическому процессору, искусственно создадим данную ситуацию. Для этого запустим на хосте параллельно с виртуальной машиной какой-нибудь ресурсоемкий процесс, например, кодирование видео. Виртуальная машина будет рассчитывать на 4 полных процессорных ядра, а по факту получит в лучшем случае половину их производительности. Проверим? На что следует обратить внимание? В текущих условиях виртуальная машина получает примерно 30-40% загрузки физического процессора. Внутри виртуалки мы видим ожидаемые 100% загрузки процессора, однако если обратить внимание на колонку CPU%, то мы увидим там весьма интересные значения 157-162% загрузки процессора. Почему так происходит? Внутри виртуальной системы тиков CPU хватает всем, но реально гипервизор не выделяет виртуалке процессорного времени. Но это все лирика, что нам показывает load average? Налицо недостаток вычислительных ресурсов - 4,55. Соответствует это реальному положению дел? Да. Нужно ли вносить какие-то коррективы? На наш взгляд - нет.\nТеперь уберем стороннюю нагрузку. Гипервизор тут же передаст максимум ресурсов виртуальной машине. Как видим, вычислительных ресурсов снова стало достаточно и load average опустился до значения 4.\nКакие выводы мы можем сделать из этого примера? Что значение load average корректно отражает загрузку системы даже в тех условиях, когда иные показатели не дают корректного представления о происходящих процессах. Так нагрузка на CPU в 157% явно противоречит здравому смыслу, а вот LA = 4,55 вполне реально отражает ситуацию. Поэтому никаких корректив на виртуальные ядра, виртуализацию и т.п. вносить не надо. Load average является относительной величиной и от реальной производительности CPU не зависит в тоже время показывая наличие или дефицит вычислительных ресурсов.\nТеперь разберемся с самими цифрами. Мы получаем три значения load average для промежутков в 1, 5 и 15 минут. Как гласит та же Википедия - это средние значения за указанный промежуток времени, что снова неправильно. Для отображения load average используется экспоненциально взвешенная скользящая средняя, подобный тип кривых используется для для сглаживания краткосрочных колебаний и выделения основных тенденций или циклов.\nНапример, скользящие средние широко применяются в финансовом анализе, для выделения общих тенденций движения курсов валют и акций, позволяя отбросить так называемый \u0026quot;биржевой шум\u0026quot; и понять общие тренды рынка. То, что подходит финансисту, наверняка подойдет и системному администратору. В чем основное преимущество скользящих средних? В том, что они позволяют выделить основные тенденции, отбросив кратковременные колебания. Это достоинство, а не недостаток, как пытается убедить нас Википедия:\nСредняя нагрузка -- это не очень точная характеристика (хотя бы потому, что она определяет усреднённые значения).\nИменно усредненные по особому алгоритму значения позволяют нам окинуть ситуацию взглядом вширь и вглубь и разглядеть за деревьями лес. В этом отношении временные значения load average представляют собой не время, за которое посчитали среднее значение, а период времени относительно которого проводится усреднение.\nБлагодаря автору Хабра ZloyHobbit, который не поленился изучить исходный код Linux, можно точно смоделировать различные значения load average при заданной модели нагрузки. Мы смоделировали ситуацию, когда первые 30 минут единственное ядро CPU было нагружено на 100%, без ждущих в очереди процессов, в последующие полчаса нагрузка была полностью снята. Как видим, разные периоды усреднения дают совершенно различные результаты, так LA 1 (1 min), начинает показывать реальные значения где-то через 4 минуты, LA 5 для отражения текущей нагрузки потребовалось уже 20 минут, а LA 15 за полчаса полной загрузки вышла только на 0,8.\nО чем это говорит и как интерпретировать данные значения? Можно сказать, что LA 1 представляет собой недавнее прошлое (несколько минут назад), LA 5 прошлое (полчаса-час) и LA 15 отдаленное прошлое (несколько часов).\nТеперь, располагая этим багажом знаний, мы можем правильно интерпретировать простые, на первый взгляд, три числа load average.\nДля примера возьмем такое значение:\n1load average: 0.99 0.75 0.35 Это говорит о том, что имеет место достаточно кратковременный (около десятка минут) всплеск нагрузки, при этом вычислительных ресурсов пока достаточно.\nА вот значение:\n1load average: 0.00 0.36 0.59 Говорит о том, что не так давно система испытывала значительные нагрузки в течении довольно продолжительного времени (полчаса-час).\nА вот такая картина:\n1 load average: 4.55 4.22 4.18 Для четырехядерного процессора означает, что он работает на пределе своих возможностей в течении длительного времени (несколько часов).\nКак видим, load average, несмотря всего на три цифры, способна представить системному администратору огромный пласт информации о фактической загрузке системы на протяжении последних нескольких часов.\nТеперь самое время дать ответы на вопросы, поставленные нами в начале статьи: \u0026quot;Много это или мало? Хорошо или плохо? \u0026quot; Для одного ядра мы считаем приемлемыми следующие значения:\nLA 1 - может превышать 1.00, свидетельствуя о кратковременной пиковой нагрузке на систему. LA 5 - не должен превышать 1.00, в противном случае налицо явный недостаток вычислительных ресурсов. LA 15 - максимальное значение 0.7 - 0.8, но в любом случае не выше 1.0, в противном случае вы можете получить в три часа ночи звонок от руководства с вопросом: \u0026quot; А что это с нашим сервером???\u0026quot; На многоядерной (многопроцессорной) системе значения load average следует откорректировать пропорционально числу ядер. Узнать их количество можно командой\n1nproc или\n1cat /proc/cpuinfo | grep \u0026#34;cpu cores\u0026#34; Так, например, с учетом вышесказанного, для четырехядерной системы LA 15 не должен превышать 3.00, для двухядерной 1.5, а для одноядерной 0.75.\nТеперь, понимая, что такое load average и каким образом формируются его значения вы всегда сможете быстро оценить производительность собственной системы и вовремя принять меры если в работе вашего сервера возникнут узкие места.\n","id":"5a41d10dbc25eb03a4b75c4d0ac3d72b","link":"https://interface31.ru/post/linux-nachinayushhim-chto-takoe-load-average-i-kakuyu-informaciyu-on-neset/","section":"post","tags":["CPU","Debian","Ubuntu Server","Производительность"],"title":"Linux - начинающим. Что такое Load Average и какую информацию он несет"},{"body":"Новая версия операционной системы - это не только новые возможности, но и новые проблемы. К сожалению, это так, современные программы достаточно сложны и избежать ошибок в них практически невозможно. Но еще чаще к проблемам приводит игнорирование новых механизмов и возможностей, вместе с применением старых подходов к решению некоторых задач. Наш сегодняшний случай как раз из таких.\nДанная история произошла абсолютно случайно. Находясь по своим делам в одном из офисных центров, я решил зайти выпить кофе к своим хорошим знакомым, у которых здесь был офис небольшой семейной фирмы. В процессе распития кофе они попросили меня глянуть на новый компьютер, который начал вести себя как-то неадекватно.\nОсновная жалоба была на то, что перестали открываться фотографии и сканы, но как скоро выяснилось - перестали запускаться все современные приложения (Modern Apps). Внешне это проявлялось вот таким незатейливым сообщением: Прежде всего насторожило упоминание встроенной учетной записи администратора, однако пользователь вошел в систему под своей обычной учеткой. Но почему система считает, что мы пытаемся запустить приложение от имени локального админа? Уже в этот момент стали закрадываться первые подозрения...\nНо сделаем небольшое отступление и подумаем над тем, что нам выдала система. Некоторые могут привычно начать возмущаться, как-так, почему я не могу запустить что-то от имени администратора, что это за администратор такой?! Да, администратор Windows - это далеко не root в Linux, который может все, даже легким движением руки убить систему, но концепция безопасности Linux и не предполагает запуск приложений из-под root и даже открыто осуждает такую практику.\nВ Windows пользователь традиционно работал от имени локального администратора, что со временем стало представлять достаточно серьезную проблему безопасности. Чтобы исправить данную ситуацию Microsoft ввела в новую линейку ОС такую технологию как UAC, которая во многом повторяет концепцию безопасности в Linux. Все программы запускаются в контексте пользователя, а если требуется повышение прав, то оно явно запрашивается таким образом, чтобы программно нажать кнопку \u0026quot;Да\u0026quot; у приложения возможности не было.\nА что будет если мы отключим UAC? Приложения начнут запускаться с полными правами...\nЯ думаю, многие уже догадались. Что же - проверим. Так и есть, ползунок UAC стоит в крайнем нижнем положении. Как показало небольшое \u0026quot;расследование\u0026quot;, проблемы начались после того, как на данный компьютер была установлена система электронной сдачи отчетности сотрудником оператора.\nВ общем для нас остается загадкой, зачем в 2016 году нужно полностью отключать UAC. За десять лет существования данной технологии, которая в Windows Vista была достаточно назойливой, не настраиваемой и несовместимой со многим ПО, ее успели отшлифовать до идеального состояния, а сторонние разработчики привели свои программы в совместимое состояние.\nПричина, по которой MS запрещает запускать современные приложения с правами администратора тоже понятна, особенно с учетом того, что данные приложения будут устанавливаться самыми широкими массами из магазина. Здесь можно обратиться к примеру Android, где несмотря на все старания в магазин время от времени просачивается откровенно вредоносное или шпионское ПО. А о том, зачем \u0026quot;Фонарику\u0026quot; доступ к контактам, звонкам и СМС большинство пользователей как-то не задумывается.\nВ общем проблема понятна, как и понятны пути ее решения. Поднимаем ползунок UAC вверх и перезагружаем компьютер. Как и ожидалось, после включения UAC все современные приложения снова начали работать. А я в очередной раз задумался над вопросом, что заставляет людей сознательно отказываться от новых технологий и понижать безопасность и стабильность работы системы?\n","id":"c44b825b05fdc4f1daeacb488c2a7239","link":"https://interface31.ru/post/windows-10-prilozhenie-nevozmozhno-otkryt-ispolzuya-vstroennuyu-uchetnuyu-zapis-administratora/","section":"post","tags":["Windows 10","Диагностика"],"title":"Windows 10. Приложение невозможно открыть используя встроенную учетную запись администратора"},{"body":"Не так давно мы представляли новый недорогой диск на TLC-памяти с контроллером Phison выпускаемый под маркой Smartbuy Revival, который очень неплохо показал себя в нижнем ценовом сегменте и вот недавно ему в компанию добавили еще одну модель - Splash. Чем интересен данный диск? Прежде всего ценой, как и Revival, это один из самых дешевых SSD. Также обращает на себя внимание контроллер Marvell, что довольно интересно, так как данный производитель ранее не имел бюджетных решений. Обо всем этом - ниже.\nЕсли глянуть на состав нижнего ценового сегмента рынка SSD, то мы увидим там преимущественно SandForce, Silicon Motion или Phison, как типичных производителей, поставляющих либо готовые устройства, либо конструкторы, которые позволяют \u0026quot;собирать\u0026quot; диски, не имея собственных производственных мощностей и инженерных кадров.\nMarvell долгое время находился с другой стороны \u0026quot;баррикад\u0026quot;, он поставлял контроллер, документацию и эталонную прошивку, отдавая все остальное на откуп разработчикам. Как следствие продукцию на контроллерах данного производителя выпускали бренды первого эшелона, располагающие собственными разработчиками и производством. Но сегодня, когда рынок SSD начал активно осваивать бюджетный сектор, такой подход оставлял Marvell за бортом этого действа, что заставило производителя пересмотреть политику и выпустить несколько бюджетных решений.\nВ основе Smartbuy Splash лежит контроллер Marvell 88NV1120, который на текущий момент (лето 2016) широко на российском рынке не представлен. Кроме Smartbuy продукцию на данном контроллере выпускает ADATA, в виде линейки Premier SP580. И широко представленный на Али LD/Rueng M1. Если за 120 ГБ диск от ADATA придется отдать примерно 48$ (3150 руб.), то цены на Smartbuy Splash в российской рознице и на Rueng M1 на китайских площадках примерно одинаковы и составляют около 36-39$ (2500 руб.) за модель емкостью 120 ГБ. Ровно столько же сегодня стоит и уже рассмотренный нами Smartbuy Revival, тем более будет интереснее сравнить две эти модели.\nЕсли брать общие характеристики, то за исключением контроллера, параметры обеих моделей достаточно близки, обе построены на базе TLC памяти, обе имеют по 4 ГБ SLC-кэша (информация из неофициальных источников). Разве что для Revival \u0026quot;производителем\u0026quot; заявлена более высокая скорость записи и большее количество IOPS. Все это несложно проверить на практике, поэтому перейдем к обзору и тестированию.\nИнформация Для тех, кто не знает, чем TLC память отличается от MLC и что такое SLC-кэш мы советуем прочитать наш предыдущий обзор, где мы делали довольно подробное теоретическое отступление на данную тему.\nИтак, в наших руках SmartBuy Splash SB120GB-SPLH-25SAT3. Начнем, как всегда с внешнего вида. Комплект поставки и упаковка традиционная для Smartbuy и выполнена в узнаваемом стиле, только используя другую цветовую палитру, кроме коробочки и диска в комплекте больше ничего нет, однако, учитывая цену, было бы странно желать большего. Общий тест CrystalDiskMark5: Для снятия параметров чтения/записи мы воспользовались тестом AIDA64, отказавшись от HD Tune Pro, по причинам большей наглядности данного тестового пакета. Линейное чтение: Никаких сюрпризов здесь нет, все выглядит вполне ожидаемо и для бюджетного диска весьма неплохо.\nЛинейная запись: Отлично виден SLC-буфер на 4 ГБ, который пишется на высокой скорости, затем диск показывает реальную производительность недорогой TLC-памяти, обеспечивая скорость записи около 70 МБ/с. Как показывает реальный опыт эксплуатации подобный объем буфера является вполне достаточным, редко, когда в повседневных задачах требуется быстро записать на диск более 4 ГБ данных.\nСлучайное чтение: Здесь тоже все достаточно неплохо, случайный доступ - это одна из сильных сторон любого, даже самого старого SSD накопителя, благодаря чему повышается визуальная скорость работы (скорость загрузки, отзывчивость системы и т.п.).\nСлучайная запись: Сразу обращает на себя внимание два момента: гораздо более низкие (примерно вдвое) скорости записи, как в кэш, так и в TLC-память, но зато кэш позволяет записать на повышенной скорости около 32 ГБ. Мы несколько раз повторяли данный сценарий, получая одинаковый результат, видимо, учитывая меньшую скорость заполнения, контроллер до некоторого объема полученных данных успевает достаточно эффективно освобождать SLC-кэш.\nФайловый тест: В этом тесте Marvell показал неожиданно низкий результат при работе с блоками размером менее 64 КБ, что подтверждается низкими результатами в сценариях случайного доступа. На этих же задачах Phison выглядит гораздо более выигрышно.\nВремя случайного доступа: Результат, ожидаемо, хуже, чем у Revival (при работе с малым размером блока примерно на 25-30%), но для бюджетного диска вполне неплох. Мы еще раз отметим, что для повседневных задач домашнего или офисного ПК такой производительности более чем достаточно, применять же данный диск в системах критичных к случайному доступу (сервера БД, веб-сервера и т.п.) никто в здравом уме не будет.\nСледующий набор тестов, AS SSD Benchmark. Общий тест: И снова можно отметить более низкую производительность на задачах с небольшим размером блока, отставание от Revival в общем зачете (по попугаям) как-раз составляет 30%, что примерно совпадает с отставанием в производительности с блоком в 4К. Как можно заметить, работа в случайных сценариях с небольшими блоками данными является слабой стороной контроллера Marvell 88NV1120.\nКопирование данных: И снова ситуация не в пользу Marvell, если в сценарии с ISO отставание от Phison составляет всего 15%, то на программах и играх отставание составляет 30% и 40%.\nТест сжатия данных: Как видим, производительность контроллера также не зависит от степени сжимаемости данных и находится на максимальном для данной модели уровне.\nНапоследок, ставшее уже традиционным тестирование на реальных сценариях при помощи Intel NASPT: В целом результаты для бюджетного диска вполне достойные, но если сравнивать с Revival, то Splash ожидаемо отстает в операциях записи и при работе с небольшими файлами, разница в производительности при этом достигает 20-30% в пользу решения от Phison.\nВыводы Попытка Marvell выйти на бюджетный рынок с контроллером Marvell 88NV1120 оказалась довольно удачной, получился довольно таки неплохой дешевый диск. Однако его позиционирование, особенно в линейке Smartbuy вызывает вопросы. Учитывая, что на момент написания статьи цены на Splash и Revival практически одинаковы, а используемый в Revival Phison PS3110-S10 выглядит значительно лучше и местами существенно опережает Marvell, то смысл покупки Splash как-то теряется.\nНет, мы вовсе не хотим сказать, что покупать данную модель не следует. Если вам нужен системный диск в неигровой домашний ПК, ноутбук или офисную станцию, то Splash будет неплохим приобретением. А учитывая его цену, альтернатив можно найти немного, в любом случае Splash значительно лучше донельзя порезаного SandForce в поделиях Silicon Power. Однако если рядом на полке находится Revival или аналогичная модель на PS3110-S10, скажем от Kingston, то предпочтение однозначно следует отдать Phison.\nТакже мы не видим смысла приобретать модель от ADATA, так как выставленный ими ценник явно не соответствует производительности данного диска. Это же можно сказать и о китайском диске, мы не хотим сказать ничего плохого, но смысл покупать SSD без гарантии и ждать месяц, когда за эти же самые деньги можно здесь и сейчас купить полностью аналогичную модель.\n","id":"9df55c30131dc04619c9e4299bbda666","link":"https://interface31.ru/post/smartbuy-splash---eshhe-odin-nedorogoy-ssd/","section":"post","tags":["Marvell","Smartbuy","SSD"],"title":"Smartbuy Splash - еще один недорогой SSD"},{"body":"При работе с прокси-сервером Squid вы можете столкнуться с ситуацией, когда служба Windows Update или WSUS перестанут получать обновления. Ситуация действительно неприятная и проявляется она чаще всего уже \u0026quot;по факту\u0026quot;, когда клиентские машины перестают получать обновления и нужно срочно принимать меры. Однако такое поведение службы обновления давно известно и отражено в документации. Сегодня мы разберем подробно причину возникновения ошибки и покажем возможные действия по ее устранению.\nВнешнее проявление неисправности сводится к тому, что служба Windows Update не может загрузить обновления и сопровождается одним из кодов ошибки:\n0x80244017 0x80244018 0x80244019 0x8024401B 0x80244021 Для ее возникновения требуется сочетание нескольких факторов: наличия в сети прокси-сервера с аутентификацией пользователей и службы WPAD. Неподготовленного администратора данная ошибка застает врасплох, однако существует статья KB896226, которая подробно проливает свет на проблему и способы ее решения:\nЧтобы устранить эту проблему, убедитесь, что прокси-сервер или брандмауэр настроены для анонимного доступа к веб-сайту Центра обновления Windows.\nЕсли коротко, то суть происходящих событий следующая: для доступа к серверам Центра обновлений система использует службу Windows HTTP (WinHTTP), которая в свою очередь поддерживает автоматическое получение настроек прокси через WPAD. Т.е. все запросы к серверам обновлений будут автоматически направлены на прокси, это не доставляет проблем до тех пор, пока прокси-сервер не начинает требовать аутентификации клиентов. Службы Windows Update не могут пройти аутентификацию и возникает проблема с получением обновлений.\nЧтобы избавиться от этой ошибки следует выполнить рекомендации Microsoft и обеспечить анонимный доступ к серверам обновлений. Сделать это можно достаточно просто и несколькими способами. Рассмотрим их подробнее.\nSquid Система контроля доступа Squid дает в руки администратора мощный инструмент управления и этим следует пользоваться. Тем более что стоящая перед нами задача ничем не отличается от URL-фильтрации по спискам, о которой мы рассказывали ранее.\nСоздадим отдельный список для служб Windows Update:\n1touch /etc/squid3/wu и внесем в него следующие записи:\n1update\\.microsoft\\.com 2windowsupdate\\.microsoft\\.com 3download\\.microsoft\\.com 4ntservicepack\\.microsoft\\.com 5c\\.microsoft\\.com 6crl\\.microsoft\\.com 7productactivation\\.one\\.microsoft\\.com За его основу мы взяли список из KB896226 который актуализировали и дополнили исходя из собственного опыта и наработок коллег.\nТеперь создадим элемент ACL для работы со списком:\n1acl wu url_regex -i \u0026#34;/etc/squid/wu\u0026#34; Для того, чтобы обеспечить анонимный доступ к указанным ресурсам следует создать список доступа и разместить его раньше списков, требующих аутентификацию или производящих авторизацию, лучше всего сделать его одним из первых.\n1http_access allow wu После чего перезапустите прокси-сервер и проверьте доступ к серверам обновлений, он должен восстановиться.\nWPAD Существует также еще один вариант - направить трафик к серверам обновлений минуя прокси-сервер. В этом нам поможет протокол WPAD, точнее специальные правила в PAC-файле. На наш взгляд этот метод менее предпочтителен, но вполне имеет право на существование.\nДля его реализации добавьте в файл wpad.dat следующие инструкции:\n1if (dnsDomainIs(host, \u0026#34;update.microsoft.com\u0026#34;)) {return \u0026#34;DIRECT\u0026#34;;} 2if (dnsDomainIs(host, \u0026#34;windowsupdate.microsoft.com\u0026#34;)) {return \u0026#34;DIRECT\u0026#34;;} 3if (dnsDomainIs(host, \u0026#34;download.microsoft.com\u0026#34;)) {return \u0026#34;DIRECT\u0026#34;;} 4if (dnsDomainIs(host, \u0026#34;ntservicepack.microsoft.com\u0026#34;)) {return \u0026#34;DIRECT\u0026#34;;} 5if (dnsDomainIs(host, \u0026#34;c.microsoft.com\u0026#34;)) {return \u0026#34;DIRECT\u0026#34;;} 6if (dnsDomainIs(host, \u0026#34;crl.microsoft.com\u0026#34;)) {return \u0026#34;DIRECT\u0026#34;;} 7if (dnsDomainIs(host, \u0026#34;productactivation.one.microsoft.com\u0026#34;)) {return \u0026#34;DIRECT\u0026#34;;} Изменения вступают в силу сразу, перезапускать службы не требуется.\nПри использовании данного метода следует принять во внимание еще один момент - если вы принимали меры по запрету обхода прокси, например, при помощи iptables, то следует явно разрешить соединения к серверам обновлений. На текущий момент указанным серверам соответствуют следующие IP-адреса:\n123.78.92.229 280.68.78.155 380.68.78.146 494.245.126.128 5134.170.58.221 6134.170.58.222 7134.170.185.126 8191.232.80.55 9207.46.22.245 Собственно, поэтому не рекомендуем данный способ, так как поддерживать один список доменных имен для Squid проще, чем два, тем более что соответствие доменных имен IP-адресам может меняться. В любом случае теперь вы понимаете источник проблемы и можете самостоятельно выбрать наиболее предпочтительный способ ее решения.\n","id":"7ce180ddabb5ed22f874c4fce17cfd75","link":"https://interface31.ru/post/ustranyaem-oshibki-windows-update-pri-rabote-cherez-proksi-server-squid/","section":"post","tags":["Squid","Windows 10","Windows 7","Windows 8","Windows Server","Windows Update","Windows XP","WPAD","WSUS"],"title":"Устраняем ошибки Windows Update при работе через прокси-сервер Squid"},{"body":"Время от времени возникает необходимость подключения серверной операционной системы Windows к беспроводной сети. На первый взгляд задача элементарная: подключил адаптер, поставил драйвер... Однако ее практическая реализация способна вызвать нешуточные сложности. Мы уже готовы услышать привычные сетования в адрес компании Microsoft, но на самом деле все довольно просто и логично, единственное, что можно поставить в упрек разработчику, так это неинформативное поведение системы в данной ситуации, на наш взгляд вполне можно было бы добавить подсказки или отразить событие в логах.\nНачнем с того, что обозначенная в заголовке задача для серверных систем довольно нетипична, но иногда такая потребность все-таки появляется. Решается она тоже просто, покупкой нужного беспроводного адаптера. В общем все идет достаточно привычно, до тех пор, пока вы не попытаетесь подключиться к беспроводной сети. В этот момент выяснится, что сервер не видит не одной сети, а сам адаптер находится в состоянии Отключено. Попытка включить его не приводит к успеху, адаптер делает попытку включиться, но тут же снова переходит в отключенное состояние. При этом система не выдает никаких сообщений и не делает никаких записей в журналах событий.\nВнешне ситуация выглядит как некая несовместимость и на поиск \u0026quot;подходящего\u0026quot; драйвера можно потратить достаточно много времени или, решив, что проблема с адаптером, даже купить новый, с таким же эффектом. Поэтому не спешите тратить время и деньги, давайте лучше разберемся в ситуации.\nКак мы уже говорили, данная задача для серверного применения нетипична, поэтому, следуя общей тенденции развития серверных операционных систем Microsoft, данная возможность была оформлена в виде отдельной компоненты, которая по умолчанию не установлена.\nВ целом такое решение разработчиков логично и правильно, меньше неиспользуемых служб - меньше потребляемых ресурсов, меньше возможных уязвимостей. С другой стороны, добавить какие-либо подсказки или записывать в журнал событие с ошибкой все-таки стоило бы, иначе для неподготовленного пользователя ситуация выглядит достаточно неоднозначно.\nДля того, чтобы Windows Server мог работать с беспроводными сетями следует установить компоненту Служба беспроводной локальной сети, после чего сервер потребуется перезагрузить. Казалось бы, проблема решена, но не стоит спешить. После перезагрузки Служба автонастройки WLAN автоматически не запускается, хотя в ее настройках установлен автоматический запуск.\nЭта ситуация не является ошибкой и описана в документации, хотя такое поведение службы непонятно. Вам потребуется запустить службу вручную или еще раз перезагрузить сервер. После этого можно включить беспроводной адаптер и подключиться к нужной сети.\nИнтересно, что если после первой перезагрузки вы вставите новый адаптер, то по завершению установки драйвера служба автоматически запустится. Возможно в связи с этим в некоторых руководствах в сети присутствует рекомендация после добавления компоненты удалить и заново установить драйвер адаптера.\nТакой же самый результат можно получить гораздо быстрее используя PowerShell, для этого выполните всего одну простую команду:\n1Add-WindowsFeature wireless-networking После чего точно также потребуется перезагрузить сервер и запустить службу вручную. Быстро это сделать можно еще одной командой:\n1net start wlansvc Как видим, для успешного администрирования Windows Server, вопреки расхожему мнению, что в нем все делается интуитивно понятно и мышкой, все-таки желательно знать структуру и базовые принципы устройства системы, что избавит вас от возможных трат впустую времени и денег.\n","id":"4d933b3c3efea2b638497577034c5f51","link":"https://interface31.ru/post/nastraivaem-rabotu-s-besprovodnymi-setyami-wi-fi-v-windows-server/","section":"post","tags":["PowerShell","Wi-Fi","Windows Server"],"title":"Настраиваем работу с беспроводными сетями (Wi-Fi) в Windows Server"},{"body":"Если автоматическая настройка сетевых параметров сегодня стала \u0026quot;нормой жизни\u0026quot; даже в небольших сетях, то автоматическое получение настроек прокси-сервера по-прежнему вызывает некоторые затруднения. Для этих целей существует протокол автоматической настройки прокси - WPAD, который позволяет достаточно гибко управлять трафиком и избежать необходимости настраивать браузеры и иное сетевое ПО вручную.\nПротокол WPAD Прежде всего немного теории. Давайте разберемся, как работает протокол и какие сетевые службы нужны для этого.\nАвтоматическая настройка системы на работу с прокси-сервером производится специальным набором инструкций на JavaScript, который называется PAC-файл (Proxy Auto Configuration), для нахождения его расположения в локальной сети используется протокол WPAD (Web Proxy Auto-Discovery Protocol).\nРассмотрим следующую схему: Получив запрос от пользователя браузер пытается найти расположение PAC-скрипта используя различные сетевые механизмы. В первую очередь отправляется DHCP-запрос, ответ на который должен содержать URL PAC-файла в специальном поле ответа, для этого используется опция 252 протокола DHCP.\nЕсли в ответе DHCP-сервера искомый адрес не найден, то посылается DNS-запрос для хоста wpad в текущем домене. Некоторые браузеры, например, Firefox, не используют DHCP-запросы, а сразу обращаются к DNS. С механизмом поиска службы WPAD через DNS связана одна серьезная уязвимость. Если в текущем домене хост с именем wpad не найден, то поиск будет произведен в вышестоящем домене, при этом выход за пределы домена организации никак не контролируется.\nЧто это значит? Допустим клиент расположен в домене office.spb.example.com, то поочередно будет произведен поиск следующих хостов:\nwpad.office.spb.example.com wpad.spb.example.com wpad.example.com wpad.com Пользуясь этим, злоумышленники могут расположить PAC-файл по адресу за пределами домена предприятия и направить весь трафик на свои прокси сервера, в том числе и зашифрованный, в отношении которого можно осуществить атаку типа \u0026quot;человек посередине\u0026quot; с подменой сертификата.\nВ связи с этим DNS-сервер от Microsoft начиная с Windows Server 2008 содержит хост wpad в черном списке и не разрешает данное имя, даже если соответствующая запись на данном сервере существует.\nВ среде OC Windows, если предыдущие попытки не принесли результата, производится поиск хоста WPAD на WINS-сервере и посредством широковещательных протоколов LLMNR (Link-Local Multicast Name Resolution)и NBNS (NetBIOS Name Service).\nПосле того, как расположение PAC-файла установлено, система делает попытку получить его из корневой директории веб-сервера по полученному через WPAD адресу, предопределенное имя PAC-файла - wpad.dat. Здесь таится еще одна тонкость. Разные браузеры по-разному формируют запрос к веб-серверу. Например, Firefox обращается по доменному имени - http://wpad.example.com/wpad.dat, а Internet Explorer использует для этого IP-адрес - http://192.168.0.100/wpad.dat.\nПоэтому, если данный веб-сервер использует виртуальные хосты, хост wpad должен являться хостом по умолчанию (или корневым хостом), т.е. его содержимое должно отдаваться при обращении к данному серверу без указания имени хоста, просто по IP-адресу.\nТакже, в целях безопасности, PAC-файл не должен быть доступен за пределами локальной сети.\nPAC-файл Как мы уже упоминали, PAC-файл является JavaScript-скриптом, однако количество инструкций в нем жестко ограничено. Разберем некоторые из них.\nisPlainHostName(host) - истина если host - \u0026quot;плоское\u0026quot; имя хоста, т.е. обычное NetBIOS-имя и т.п. Позволяет определять обращения к хостам локальной сети по простому имени.\ndnsDomainIs(host, domain) - истина, если домен в запросе (host) совпадает с заданным в директиве domain.\nisResolvable(host) - истина, если доменное имя удается разрешить. Данную инструкцию следует использовать осторожно, так как она делает дополнительный DNS-запрос, что может увеличить нагрузку на сервера и ухудшить время отклика.\nisInNet(host, pattern, mask) - истина, если IP-адрес хоста совпадает с шаблоном, где pattern - шаблон сети, mask - маска. Например, 192.168.0.0, 255.255.255.0.\nshExpMatch(str, shexp) - истина, если строка совпадает с шаблоном, в качестве строки можно использовать host или url, при этом следует помнить, что шаблон не является регулярным выражением.\nЭтих инструкций вполне достаточно, чтобы составить достаточно подробные и разветвленные правила для работы с прокси-сервером. Попробуем составить реальный сценарий.\nПрежде всего укажем функцию:\n1function FindProxyForURL(url, host) 2{ 3... 4} Данная функция получает от браузера URL и host из запроса и в ответ должна вернуть адрес прокси-сервера. Внутри фигурных скобок следует располагать инструкции и условия, в зависимости от выполнения которых браузеру будет возвращен тот или иной результат.\nНачнем с того, что не следует направлять на прокси. Прежде всего это \u0026quot;плоские\u0026quot; имена, когда к какому-либо ресурсу пытаются обратиться по короткому имени, например, http://server, так как это однозначно ресурс локальной сети.\n1if (isPlainHostName(host)) {return \u0026#34;DIRECT\u0026#34;;} Согласно данной записи, если в поле host запроса содержится \u0026quot;плоское\u0026quot; имя, то возвращаем браузеру директиву DIRECT, что означает, что прокси-сервер для этого соединения использовать не следует.\nТаким же образом предписываем обращаться напрямую по запросам с IP-адресами локальной сети:\n1if (isInNet(host, \u0026#34;192.168.31.0\u0026#34;, \u0026#34;255.255.255.0\u0026#34;)) {return \u0026#34;DIRECT\u0026#34;;} И локальным адресам:\n1if (shExpMatch(host, \u0026#34;127.0.0.1\u0026#34; )) {return \u0026#34;DIRECT\u0026#34;;} 2if (shExpMatch(host, \u0026#34;*/localhost*\u0026#34; )) {return \u0026#34;DIRECT\u0026#34;;} Кстати, первое правило можно переписать по-другому:\n1if (isInNet(host, \u0026#34;127.0.0.1\u0026#34;, \u0026#34;255.255.255.255\u0026#34;)) {return \u0026#34;DIRECT\u0026#34;;} В доменной сети также следует настроить прямое соединение для внутренних ресурсов:\n1if (dnsDomainIs(host, \u0026#34;.interface31.lab\u0026#34;)) {return \u0026#34;DIRECT\u0026#34;;} Аналогичным образом можно направить мимо прокси какие-либо критичные внешние ресурсы, например, интернет-банки или площадки электронных торгов.\nЕсли ваш прокси не обрабатывает https запросы, то их тоже следует направить мимо, обратите внимание, что вместо host в данном правиле мы используем url:\n1if (shExpMatch(url, \u0026#34;https:*\u0026#34;)) {return \u0026#34;DIRECT\u0026#34;;} Тоже самое следует сделать и для ftp запросов:\n1if (shExpMatch(url, \u0026#34;ftp:*\u0026#34;)) {return \u0026#34;DIRECT\u0026#34;;} И наконец все, что не попало ни под одно правило отправляем на прокси:\n1return \u0026#34;PROXY srv-gw01.interface31.lab:3128\u0026#34;; Разобравшись с тем, как устроен PAC-файл перейдем к сценариям практической реализации служб WPAD в сети.\nСети Active Directory Так как все наши статьи преемственны, то далее будет подразумеваться что WPAD настраивается для работы с роутером в сети Active Directory, описанного нами в цикле Настраиваем Squid для работы с Active Directory, таким образом данный материал может служить его логическим завершением.\nНачнем с настройки DHCP, откроем соответствующую оснастку и перейдем к списку серверов, щелкните правой кнопкой мыши на пункт IPv4 и выберите Предопределенные параметры. В открывшемся окне нажмите Добавить Имя - WPAD Тип данных - строка Код - 252 Затем нажмите ОК и в поле Значение - Строковое введите адрес расположения PAC-файла, в нашем случае это http://wpad.interface31.lab После чего перейдите в Область - Параметры области - Настроить параметры и добавьте созданную нами опцию WPAD. Если в вашей сети более одного DHCP-сервера, то аналогичные настройки нужно выполнить на каждом их них.\nСледующим шагом будет настройка DNS, прежде всего откорректируем черный список, для этого на DNS-сервере откроем редактор реестра и перейдем в раздел:\n1HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\DNS\\Parameters Откроем опцию GlobalQueryBlockList и удалим оттуда значение wpad, после чего службу DNS нужно перезапустить. Данную операцию следует выполнить на каждом DNS-сервере в вашей сети.\nЗатем добавьте запись типа A для хоста wpad, которая должна указывать на веб-сервер с PAC-файлом. Закончив настройки DHCP и DNS следует наконец установить на выбранный хост веб-сервер и разместить на нем wpad.dat. Никаких ограничений здесь нет, вы можете настроить любой веб-сервер на любом узле сети. В нашем случае напрашиваются два варианта: веб-сервер непосредственно на роутере, мы рекомендуем для этих целей простой и легкий lighttpd или веб-сервер на одном из контроллеров домена, в этом случае предпочтение следует отдать IIS.\nВ данной части статьи мы рассмотрим вариант с IIS, а к lighttpd вернемся чуть позже, когда будем говорить об одноранговых сетях. Мы не будем подробно останавливаться на установке роли Веб-сервер (IIS), достаточно просто пройти все шаги мастера со значениями по умолчанию. После установки роли перейдите в Диспетчер служб IIS - Сайты - Default Web Site в настройках которого выберите Типы MIME. Для правильной работы с PAC-файлом добавьте новый тип MIME, указав расширение .dat и тип MIME application/x-ns-proxy-autoconfig. Выполнив данную настройку не забудьте перезапустить веб-сервер и разместите в его корневой директории C:\\inetpub\\wwwroot файл wpad.dat.\nКак правило, дальнейших действий не требуется. Internet Explorer и Edge по умолчанию имеют настройку автоматического определения настройки параметров прокси-сервера. Но можно подстраховаться и создать отдельную политику в GPO, для этого используйте Конфигурация пользователя - Настройка - Параметры панели управления - Параметры обозревателя. Браузеры на основе Google Chrome (в т.ч. Opera, Яндекс) используют настройки, заданные для IE. Проблемы, как всегда, возникают с Firefox, который с настройкой по умолчанию Использовать системные настройки прокси игнорирует их и ходит напрямую, поэтому данную опцию следует изменить на Автоматически определять настройки прокси для этой сети. Одноранговая сеть В одноранговых сетях обычно применяются прозрачные прокси, не требующие настройки параметров браузера, однако в ряде случаев, например, для аутентификации, от прозрачности приходится отказываться, следовательно, возникает потребность в WPAD. Далее мы будем рассматривать настройку на примере роутера, настроенного по нашей статье: Ubuntu Server. Настраиваем роутер NAT + DHCP + Squid3.\nТак как в большинстве случаев лишних серверов в небольших сетях нет, то все службы будем располагать в пределах роутера. DHCP и кэширующий DNS у нас уже есть, в виде пакета dnsmasq, а в качестве веб-сервера можно установить легковесный lighttpd. На первый взгляд все необходимое имеется и особых проблем возникнуть не должно.\nА теперь вспомним, как происходит поиск PAC-файла. Если браузер не получил нужной опции по DHCP или не умеет ее получать, он делает DNS-запрос для хоста wpad в текущем домене. Мы специально выделили ключевой момент - в текущем домене. А какой текущий домен в одноранговой сети? Правильно, никакого...\nЧтобы убедиться в этом, следует проверить DNS-суффикс текущего подключения. Для этого в консоли PowerShell выполните команду:\n1Get-DnsClient Ниже показан вывод команды для одноранговой и доменной сетей, разница в отсутствии DNS-суффикса отлично видна \u0026quot;невооруженным глазом\u0026quot;. Если все оставить как есть, то тот же Firefox не сможет получить настройки прокси и будет требовать ручного ввода параметров. Что делать? К счастью в протоколе DHCP есть опция 015, позволяющая передавать клиенту DNS-суффикс подключения.\nОткроем /etc/dnsmasq.conf и последовательно изменим в нем следующие опции:\n1local=/interface31.local/ Данная опция указывает, что домен interface31.local - локальный и разрешать его имена на вышестоящих DNS-серверах не следует.\n1address=/wpad.interface31.local/192.168.31.1 Данная запись в формате dnsmasq является аналогом A-записи для хоста wpad, где 192.168.31.1 - адрес хоста, на котором будет расположен веб-сервер (в нашем случае это роутер).\n1domain=interface31.local DNS-имя домена, передаваемое клиенту в опции 015 DHCP.\n1dhcp-option=252,http://wpad.interface31.local/wpad.dat Задает расположение PAC-файла.\nПерезапустим службу:\n1service dnsmasq restart Теперь заново получим IP-адрес и снова проверим DNS-суффикс, также можно попробовать разрешить любое плоское имя (существующего хоста) командой nslookup. Если все сделано правильно - у подключения появится указанный нами суффикс, а плоские имена будут дополняться до FQDN. Теперь можно переходить к настройке веб-сервера.\nУстановим lighttpd:\n1apt-get install lighttpd Затем откроем его конфигурационный файл /etc/lighttpd/lighttpd.conf и добавим туда опцию:\n1server.bind = \u0026#34;192.168.31.1\u0026#34; Это ограничит работу веб-сервера только локальной сетью.\nПосле чего следует убедиться, что в файле /etc/mime.types присутствует запись:\n1application/x-ns-proxy-autoconfig pac dat Если такой записи нет, то ее следует добавить.\nПерезапустим веб-сервер:\n1service lighttpd restart На этом настройка сервера закончена, осталось разместить PAC-файл в директории /var/www и проверить работу браузеров.\nПоскольку одноранговая сеть не предоставляет таких возможностей по управлению клиентскими ПК как ActiveDirectory, то следует предпринять меры по предотвращению обхода прокси. Это можно сделать через iptables, запретив форвардинг пакетов с назначением на 80-й порт. Но лучше поступить иначе.\nВ /etc/nat добавим следующее правило:\n1# Запрещаем обход прокси 2iptables -t nat -A PREROUTING -i eth1 ! -d 192.168.31.0/24 -p tcp -m multiport --dport 80,8080,3128 -j REDIRECT --to-port 80 Данная конструкция перенаправит все запросы к веб-серверам или сторонним прокси на порт 80 нашего роутера, где работает собственный веб-сервер.\nВ конфигурацию lighttpd добавим опцию (не забудьте перезапустить веб-сервер):\n1server.error-handler-404 = \u0026#34;/index.html\u0026#34; Теперь в /var/www создадим файл index.html со следующим содержимым:\n1\u0026lt;!DOCTYPE html\u0026gt; 2\u0026lt;html\u0026gt; 3 \u0026lt;head\u0026gt; 4 \u0026lt;meta charset=\u0026#34;utf-8\u0026#34;\u0026gt; 5 \u0026lt;/head\u0026gt; 6 \u0026lt;body\u0026gt; 7 \u0026lt;h3\u0026gt;Ваш браузер настроен неправильно. Доступ запрещен!\u0026lt;/h3\u0026gt; 8 \u0026lt;p\u0026gt;Обратитесь к системному администратору\u0026lt;/p\u0026gt; 9 \u0026lt;/body\u0026gt; 10 \u0026lt;/html\u0026gt; После чего при попытке обхода прокси пользователь увидит сообщение: В качестве примера мы привели самый простой вариант странички запрета, вам же ничего не мешает сделать ее более информативной, например, разместив на ней краткие инструкции по самостоятельной настройке браузера.\nЕсли вам нужно разрешить работу с некоторыми сайтами напрямую, минуя прокси, то перед запрещающим правилом добавьте:\n1iptables -t nat -A PREROUTING -i eth1 -d xxx.xxx.xxx.xxx -j ACCEPT где xxx.xxx.xxx.xxx - IP-адрес требуемого ресурса.\nКак видим, настроить автоматическое получение параметров прокси совсем несложно и можно эффективно применять данную технологию как в крупных, так и в небольших сетях.\n","id":"a8286d0fc14eb540a660cafc681b977f","link":"https://interface31.ru/post/wpad-ili-avtomaticheskaya-nastroyka-parametrov-proksi/","section":"post","tags":["DHCP","DNS","Dnsmasq","iptables","Squid","WPAD","Безопасность","Сетевые технологии"],"title":"WPAD или автоматическая настройка параметров прокси"},{"body":"Как показывает читательский отклик, существуют такие, простые на первый взгляд вопросы, которые тем не менее возникают снова и снова. Это свидетельствует о том, что данный момент остался не проработан и решение неочевидно определенной части читателей. Поэтому будет справедливо вернуться к таким вопросам и сделать дополнительные разъяснения. Сегодня мы решили окончательно внести ясность в вопрос о том, как \u0026quot;научить\u0026quot; контент-фильтр Dansguardian передавать прокси-серверу Squid IP-адрес клиента.\nПрежде всего коротко обрисуем суть проблемы. Прокси-сервер Squid имеет развитую и мощную систему контроля доступа, которая широко используется многими администраторами. Одним из наиболее популярных элементов этой системы является IP-адрес клиента, на основе которого принимаются решения о предоставлении доступа.\nТакже именно IP-адреса клиентов из логов Squid служат основой для построения статистики любыми анализаторами логов, например, SARG.\nВсе это прекрасно работает до тех пор, пока мы не установим контент-фильтр Dansguardian, после чего все завязанные на IP-адреса правила перестают работать, а статистика показывает одного единственного клиента с адресом 127.0.0.1. Чтобы понять, что случилось и почему так происходит, давайте рассмотрим следующую схему: Согласно приведенной схемы клиенты с адресами из диапазона 192.168.31.101 - 192.168.31.199 обращаются к роутеру посылая ему HTTP-запросы и получая в ответ содержимое веб-страниц, при условии, что данное содержимое проходит все установленные администратором фильтры.\nТеперь самое время вспомнить о спецификациях протокола HTTP, а именно то, что они не предусматривают передачи адреса клиента в заголовках запроса. Пока Squid был один, он самостоятельно фиксировал адреса обратившихся к нему клиентов, но с появлением в схеме Dansguardian ситуация изменилась.\nТак как все клиентские запросы первым обрабатывает контент-фильтр, то именно он может фиксировать реальные адреса клиентов, что он собственно и делает, записывая их в лог. Находящийся за ним Squid получает все запросы от локального процесса (если Dansguardian находится с ним на одном физическом сервере) и не имеет никакой возможности определить истинный источник запроса, поэтому в логе окажется только один адрес - 127.0.0.1 и все основанные на IP-адресах правила перестанут работать. К счастью разработчики протокола предусмотрели подобную ситуацию и ввели в протокол специальный заголовок X-Forwarded-For, который позволяет передавать в составе запроса адрес клиента. В нашем случае, для исправления ситуации следует настроить Dansguardian на добавление в запрос таких заголовков, а Squid на их обработку, причем сделать это действительно несложно.\nВ конфигурационном файле Dansguardian /etc/dansguardian/dansguardian.conf найдите и приведите к следующему виду опцию:\n1forwardedfor = on Теперь откройте файл конфигурации Squid**/etc/squid3/squid.conf** и после секции с элементами ACL найдите и раскомментируйте:\n1follow_x_forwarded_for allow localhost После чего Dansguardian начнет добавлять к запросам заголовки X-Forwarded-For, а Squid их обрабатывать.\nВажно! Обратите внимание! Если вы используете старые версии Squid, младше 3.3, то убедитесь, что задан следующий элемент ACL - acl localhost src 127.0.0.1, начиная с версии 3.3 данный элемент является предопределенным и указывать его отдельно не требуется.\nДля применения изменений перезапустим службы:\n1service dansguardian restart 2service squid3 restart Теперь можно еще раз заглянуть в логи Squid и убедиться, что нужный заголовок передается и обрабатывается. Надеемся, что наш материал поможет вам лучше понять происходящие процессы и осмысленно подойти к настройке роутера, отказавшись от бездумного копирования непонятных команд.\n","id":"99c2a606daba1eb93dd8792ccdf79851","link":"https://interface31.ru/post/dansguardian-nastraivaem-peredachu-ip-adresa-klienta-v-squid/","section":"post","tags":["DansGuardian","Squid","Ubuntu Server","Сетевые технологии"],"title":"DansGuardian. Настраиваем передачу IP-адреса клиента в Squid"},{"body":"Старый друг лучше новых двух - эта поговорка как нельзя лучше отражает подход к эксплуатации ПО в корпоративной среде. Особенно это касается ПО непосредственно завязанного на ключевые бизнес-процессы, например, обслуживающего розничные продажи. Однако, если затраты на поддержку устаревшего ПО становятся излишне высоки, самое время задуматься о переходе на новые версии. Сегодня мы поговорим о переходе с популярной конфигурации 1С:Розница 1.0 на современную версию 2.2, отдельно остановившись на подводных камнях и возможных сложностях, которыми изобилует данный процесс.\nОсновным катализатором перехода служит отказ фирмы 1С от дальнейшего развития функций ЕГАИС в старых конфигурациях:\nИнформация для пользователей и партнеров №21042 от 12.02.2016 До 31.07.2016 в редакции 1.0 конфигурации \u0026quot;Розница\u0026quot; планируется поддерживать изменения законодательства и исправлять обнаруженные ошибки. Развитие интеграционного интерфейса с ЕГАИС по передаче данных о движении алкогольной продукции не планируется.\nНачиная с 01.08.2016 поддержка редакции 1.0 не планируется.\nТаким образом пользователи 1С:Розница 1.0 становятся перед выбором: переходить на редакцию 2.2 или поддерживать \u0026quot;единичку\u0026quot; собственными силами. Последний вариант связан со значительными рисками при невозможности своевременно и в полном объеме реализовать последние изменения в ЕГАИС, которые могут вылиться как в прекращение продаж алкогольной продукции, так и в применение к предприятию штрафных санкций от Росалкогольрегулирования.\nНесмотря на то, что переход с редакции 1.0 на 2.2 официально поддерживается 1С, процедура конвертации таит в себе довольно много подводных камней и не все из них удается обойти с первого раза, поэтому мы рекомендуем сначала отработать эту процедуру в тестовой среде и только потом переходит к конвертации рабочей базы. Такой подход позволяет реально оценить необходимые затраты времени и сил, а также составить подробный план действий по переходу.\nСразу обратим ваше внимание, процесс конвертации базы достаточно длительная процедура, поэтому сразу выделите для этих целей мощный ПК с хорошим процессором, также не будет лишним наличие в нем SSD, как показал наш опыт, твердотельный накопитель позволяет уменьшить время конвертации на 20-25%, но для этого, на нем должна быть расположена не только сама информационная база, но и временная папка того пользователя ОС, который проводит конвертацию.\nПодготовка исходной базы. Общие процедуры Перед тем как приступать к переходу следует выполнить ряд необходимых подготовительных действий. Закройте все кассовые смены, выполните все обмены и синхронизации, завершите регламентные процедуры. Проверьте информационную базу на предмет наличия непроведенных и незавершенных документов, потому как перепроводить конвертированные документы в новой базе фирма 1С настоятельно не рекомендует. Завершите все операции прихода и перемещения по ордерным схемам. Обработайте уже загруженные ТТН ЕГАИС.\nПроще говоря, необходимо завершить все начатые в исходной базе хозяйственные операции. После чего отключите все регламентные задания и удалите помеченные объекты (которые возможно удалить).\nПодготовка исходной базы. Ценообразование В редакции 1.0 с ценообразованием есть небольшая путаница, существуют два документа установки цен: Установка цен номенклатуры и Установка цен в магазине. Данные о ценах также хранятся в двух регистрах: Цены номенклатуры и Цены номенклатуры магазинов. С точки зрения пользователей действие обоих документов выглядит одинаково и очень часто может сложиться следующая ситуация: записи о ценах есть только в регистре Цены номенклатуры магазинов, регистр Цены номенклатуры при этом пуст. В редакции 2.2 остался единственный регистр Цены номенклатуры, который при конвертации заполняется на основе документов Установка цен номенклатуры, а документ Установка цен в магазине конвертируется в документ Применение цен новой конфигурации.\nТаким образом, если конвертировать подобную базу, то вы останетесь без цен номенклатуры. Что делать? Решение довольно простое - необходимо создать документ Установка цен номенклатуры и заполнить его текущими ценами магазина (одного из магазинов). Если у вас разные магазины имеют разные цены, то следует создать несколько типов цен, например, \u0026quot;Розничная Магазин Ромашка\u0026quot;, \u0026quot;Розничная Магазин Василек\u0026quot; и т.д. После чего создать документы Установки цен номенклатуры для каждого типа цен, заполнив их ценами соответствующего магазина.\nЭто обусловлено разным подходом к ценообразованию в редакциях, в редакции 1.0 цены магазинов хранились в специальном регистре, в редакции 2.2 регистр остался один и разные цены в разных магазинах достигаются установкой для каждого своего типа цен.\nПодготовка исходной базы. Проверка ссылочной целостности Ссылочная целостность - важное качество любой базы данных и 1С:Предприятие не является исключением. Однако с точки зрения платформы наличие ссылок на несуществующие объекты не является ошибкой и подобные ситуации вполне могут иметь место, не причиняя при повседневной работе никаких неудобств. Но все тайное рано или поздно становится явным и ссылки на несуществующие объекты способны добавить немало головной боли при конвертации, поэтому следует позаботиться о решении этой проблемы заранее.\nВообще, выполнять Тестирование и исправление (ТиИ) информационной базы перед любыми серьезными манипуляциями с ней - очень и очень правильная идея. Однако по умолчанию 1С не выполняет никаких действий со ссылками на несуществующие объекты, поэтому решение нужно принять самостоятельно. Например, в нашем случае, мы столкнулись с многочисленными ссылками на несуществующий объект, такие ссылки правильно будет очистить. Закончив подготовку исходной базы обязательно сделайте ее резервную копию, чтобы, если в процессе конвертации что-то пойдет не так, можно было вернуться сразу к этому месту и не выполнять подготовительные действия заново.\nКонвертация информационной базы Для выполнения конвертации вам понадобится Переходная конфигурация 2.0.1.10, которую можно получить на портале 1C:Обновление программ, не следует путать ее с одноименным релизом редакции 2.0, с его помощью выполнить конвертацию не удастся.\nДля начала процесса конвертации выполните обновление вашей текущей конфигурации Розница 1.0 на переходную конфигурацию при помощи cf-файла из комплекта ее поставки. Если конфигурация информационной базы дорабатывалась, а чаще всего этот так, вы можете получить примерно следующее сообщение: В этом случае мы рекомендуем привести исходную конфигурацию в оригинальное состояние, для этого загрузите конфигурацию из cf-файла из комплекта поставки требуемого релиза: После чего обязательно сделайте Тестирование и исправление, сохраните копию базы и повторите обновление на промежуточную конфигурацию. После обновления откройте настройки пользователя, под которым будет выполняться конвертация и установите ему следующие права: Администрирование, Запуск толстого клиента, Запуск тонкого клиента, Полные права. Теперь можно запустить промежуточную конфигурацию в режиме 1С:Предприятия. При этом автоматически запустится обработка конвертации данных, кстати это единственное действие доступное в данном режиме, если закрыть обработку работа с конфигурацией будет завершена. Дальнейший процесс не требует вашего непосредственного участия, но способен занять значительный промежуток времени, который придется учитывать при планировании реального перехода. А пока можем переключиться на другие задачи, время от времени посматривая на экран. Если в процессе конвертации возникнут ошибки, то следует загрузить копию базы, сохраненную перед обновлением на промежуточную конфигурацию, устранить ошибки и повторить конвертацию.\nПосле успешного завершения конвертации следует обновить промежуточную конфигурацию до актуального релиза редакции 2.2 штатным образом или при помощи cfu-файла из поставки обновления. При обновлении конфигурации базы данных вы можете получить следующее предупреждение: После исполнения в списке не осталось бы ни одного пользователя с административными правами. Снова откройте список пользователей и добавьте вашему административному пользователю роли Администрирование и Администратор системы. Может случиться так, что сразу после обновления роль Администратор системы будет недоступна в списке, поэтому выполните запуск конфигурации в режиме предприятия, а когда получите сообщение о невозможности входа в систему - вернитесь в Конфигуратор и добавьте необходимую роль.\nНачальная настройка После завершения перехода на редакцию 2.2 следует выполнить первоначальную настройку. Начните с раздела Администрирование и внимательно просмотрите настройки в пунктах: Настройки номенклатуры, Маркетинг, Запасы и закупки, Продажи. Затем настройте подключаемое оборудование на рабочих местах, для этого перейдите в Администрирование - Подключаемое оборудование. Мы не будем подробно останавливаться на этом процессе, он подробно освещался нами в статье Подключаем торговое оборудование к 1С:Предприятие 8.\nТеперь переходим в раздел НСИ и настраиваем параметры Магазинов, Складов, Касс и Касс ККМ. Особое внимание уделите новому пункту - Кассы ККМ, теперь привязка к рабочему месту и торговому оборудованию выполняется здесь, а не в настройках подключаемого оборудования, как было в редакции 1.0.\nНастройка пользователей и групп доступа\nКак вы уже успели заменить, от пользователей редакции 1.0 переносятся только наименования, все права и роли пользователей придется настроить заново. Для этого перейдите в Администрирование - Пользователи и права, но не спешите переходить к списку пользователей. В редакции 2.2 права пользователей назначаются на основе Групп доступа и их следует настроить в первую очередь.\nКроме уже существующей группы Администратора, нам понадобятся группы Кассир, Кассир операционной кассы и Пользователь синхронизации данных, это минимальный набор групп для кассиров, работающих в режиме РМК. Также не будет лишним создать группы и для других сотрудников, скажем Кладовщик или Маркетолог, которые следует добавлять пользователям, выполняющим соответствующие функции, также не забывайте про Пользователя синхронизации данных, для работы с различного рода синхронизациями и обменами (РИБ, ЕГАИС и т.д.). После чего произведите настройку пользователей, включив их в нужные группы доступа и настроив остальные параметры. Не забудьте заглянуть в раздел Дополнительные права пользователей, где произведите тонкую настройку прав, особенно тех, что касаются настроек РМК для кассиров. Для удобства настроек пользователей следует объединять в группы и выполнять настройку для групп. Настройка РМК Настройка РМК производится в разделе Продажи. Сам пункт настроек никаких принципиальных изменений не претерпел, однако добавилась возможность гибкой настройки нижней панели и были расширены возможности по работе с быстрыми товарами, для этого перейдите в пункт Палитра быстрых товаров.\nЧтобы быстро настроить рабочее место, можно воспользоваться довольно удобным Помощником настройка кассового места, который следует запускать непосредственно на кассовом узле. Здесь же можно сразу перейти в режим РМК и проверить его работу. Однако не обошлось без ложки дегтя, в редакции 2.2 многие горячие клавиши режима РМК были изменены и, если вы используете программируемые клавиатуры вам придется создать для них новую раскладку и залить ее в оборудование на кассах. В целом переход на новый РМК не вызывает существенных сложностей, и кассиры привыкают к изменениям уже за несколько часов работы, в тоже время рекомендуем на этом этапе приставить к ним уже освоившего новый РМК сотрудника (или технического специалиста) для своевременного разрешения возникающих сложностей и недоразумений, чтобы не собирать очереди и не вызывать недовольство покупателей.\nВесовой товар Казало бы после настройки РМК можно открывать магазин и начинать обслуживать покупателей, продолжая остальные настройки в рабочем режиме, но не спешите этого делать, на вашем пути остались несколько абсолютно неочевидных, но существенных проблем.\nЗначительную часть ассортимента продовольственных магазинов составляют весовые товары для работы с которыми используются весы с печатью этикеток, это удобно и для магазина, и для покупателей. Кассиры просто \u0026quot;пробивают\u0026quot; весовой товар по штрихкоду, а покупатель сразу видит вес и стоимость товара.\nДля работы с весовым товаром в редакции 1.0 использовались PLU-коды и особая структура штрих кода, которая включала в себя PLU товара и его вес. Для хранения PLU-кодов был использован специальный регистр Коды товаров PLU.\nВ редакции 2.2 работа с весовым товаром была изменена, в частности появились регистры Коды товаров SKU, который является аналогом регистра Коды товаров PLU редакции 1.0 и Коды товаров PLU на оборудовании, который позволяет сопоставлять внутренние коды оборудования (PLU) кодам товаров из ИБ (SKU), это удобно и позволяет более гибко работать с оборудованием, но сейчас речь не об этом. После конвертации оба этих регистра пусты.\nЧтобы оценить масштаб проблемы выйдите в торговый зал и оцените количество весового товара, а затем обратите внимание на то, какое количество товара уже расфасовано...\nВ общем решение проблемы понятно, надо заполнить регистр Коды товаров SKU записями из регистра Коды товаров PLU редакции 1.0, но как это быстро сделать? Ведь наша основная задача - выполнить переход с минимальным простоем продаж в магазине.\nВернемся в исходную базу и откроем регистр Коды товаров PLU, затем через менюДействия выберем Вывести список и в открывшемся окне оставим только PLU и Номенклатура. Полученный список сохраним как табличный документ Excel. Получившийся файл следует немного отредактировать, оставив в нем PLU только весового товара и убрав штучные, в нашем случае весовые PLU занимают диапазон от 0 до 99 999 (зависит от настроек в базе). Теперь в редакции 2.2 запустим стандартную обработку Загрузка данных из табличного документа, которая доступна на дисках ИТС, и загрузим в нее наш файл. На первой вкладке выберем загрузку в регистр сведений, а в качестве регистра укажем Коды товаров SKU. На второй вкладке проверим соответствие колонок нашему файлу и уберем лишние галочки, оставив для загрузки только SKU и Номенклатуру. Если колонки в вашем файле не совпадают с порядком в регистре, то потребуется указать колонки вручную, для этого выберите Еще - Нумерация колонок - Ручная нумерация колонок табличного документа. После того, как все будет готово, нажимаем Загрузить данные и проверяем результат открыв регистр Коды товаров SKU. Для настройки работы с весами вернемся в Администрирование - Подключаемое оборудование и установим галочку Обмен с подключаемым оборудованием в разделе Оборудование Offline, а затем перейдем к Правилам обмена с подключаемым оборудованием. В правилах обмена выбираем тип оборудования (Весы с печатью этикеток) и заполняем параметры выгрузки в них. Можно ограничить выгружаемые данные принадлежностью к группе или сегменту номенклатуры. В больших магазинах удобно сделать несколько правил обмена: для колбасного отдела, для овощного, для рыбного и т.д. Затем можно перейти на вкладку Прайс-лист и проверить, какая именно номенклатура будет выгружена по созданным нами правилам. Теперь подключим весы как обычное торговое оборудование, единственный момент - не забудьте в настройках назначить весам правила обмена. Работа с весами осуществляется в разделе Продажи - Обмен с подключаемым оборудованием. Логика работы с весами осталась прежней и каких-либо сложностей у вас возникнуть не должно.\nСкидки, дисконтные карты, программы лояльности В отличии от весового товара, этот момент отражен в документации к переходной конфигурации:\nПереносятся только наименования элементов справочника Скидки (наценки). Пользователю нужно создать условия скидок и настроить перенесенные скидки.\nНо документацию читают не все и не все аспекты в ней отражены, поэтому остановимся на скидках более подробно. Вместе с весовым товаром это главное препятствие к началу продаж. Нет, мы конечно можем в любой момент изменить действие скидочной программы или приостановить ее, но покупатели отнесутся к этому крайне негативно, особенно если они принимали решение посетить ваш магазин именно из-за скидок или наличия дисконтной карты.\nЕсли перейти в Маркетинг - Маркетинговые акции, то увидим, что сами маркетинговые акции перенеслись нормально, дополнительных действий здесь не требуется. А вот от скидок остались действительно одни названия и все условия придется заполнить заново. Также пустыми будут условия предоставления скидок и их тоже потребуется создать самостоятельно. Но это еще не все, для управления скидками часто используются сегменты номенклатуры, внешне с ними все в порядке и данные соответствующего регистра на месте, однако при попытке сформировать сегмент или изменить его настройки мы столкнемся с ошибками. Для примера вверху показаны настройки перенесенного сегмента, внизу - вновь созданного. Как показала практика, перенесенные сегменты полностью непригодны к использованию и все сегменты номенклатуры следует создать заново, не забыв потом заменить ссылки в документах со старых сегментов на новые.\nИнформация о дисконтных картах и накоплениях по ним переносится корректно.\nПосле того, как скидочная система заработает можно открывать магазин, все остальные настройки непосредственно на продажи не влияют.\nЧтобы подсластить пилюлю, отметим новый вид скидки - Запретить розничную продажу, с помощью которого можно удобно запретить продажу алкоголя в ночное время, раньше для этого приходилось прибегать к установке нулевой цены на алкоголь в ночное время с запретом нулевых цен на кассе.\nИ снова ценообразование Ценообразование в редакции 2.2 вызывает больше всего нареканий у тех, кто привык работать с редакцией 1.0. Действительно, принципы и механизмы ценообразования в новой редакции достаточно сильно отличаются от таковых в старой. Но стали ли они хуже? Нет. Наоборот добавилось много новых возможностей по автоматизации этого процесса, что позволит значительно сократить время и уменьшить количество ошибок.\nСамое распространенное возражение: у нас ручной режим установки цен. Однако, если разобраться, то выясниться, что система ценообразования укладывается в определенный набор правил, скажем: молочка - 15%, алкоголь - 35%, остальное - 30%. Причем эти группы могут идти вперемешку в пределах одной накладной, что и является основной причиной для заявлений о \u0026quot;ручном режиме\u0026quot;. Но все это не сложно автоматизировать. Для этого перейдем в Администрирование - Маркетинг - Ценообразование и включим Ценовые группы. Также обратите внимание на опцию Применение цен, ее удобно использовать если цены для магазинов устанавливаются централизованно, чтобы не произошло ситуации, когда цены в магазине после обмена изменились, а ценники остались старые. С этой опцией для цены в магазине изменятся только после проведения одноименного документа.\nВключив ценовые группы вернемся в раздел Маркетинг и создадим отдельные группы для каждого вида товара со своими правилами наценки. Принадлежность номенклатуры к той или иной ценовой группе задается в карточке номенклатуры, быстро изменить ценовую группу у большого количества элементов можно при помощи групповой обработки. Перейдем к Администрирование - Поддержка и обслуживание - Корректировка данных - Групповое изменение реквизитов. Дальше проще, выбираем справочник Номенклатура и делаем отбор нужных позиций, например, по вхождению в нужную группу. Затем указываем новое значение требуемого реквизита и применяем изменения.\nПосле чего возвращаемся в Маркетинг - Виды цен, скорее всего там будет одна или несколько (по числу магазинов) розничных цен. Для нормальной работы системы ценообразования в новой версии прежде всего добавимзакупочную цену. Способ установки цены указываем как Заполнять по данным ИБ при поступлении, схема компоновки данных - Цены поступления. Теперь переходим к розничной цене, устанавливаем способ задания цены Рассчитывать по другим видам цен и задаем правила ее вычисления и округления, при этом для каждой ценовой группы можно задать собственную формулу. Если у вас несколько магазинов, то выполните аналогичные настройки для розничных цен каждого магазина. Затем в Маркетинг - Правила ценообразования создайте свое правило для каждого магазина, указав в нем нужный вид цены. Связать правила ценообразования с магазинами можно в НСИ - Предприятие - Магазины.\nМы не будем дальше углубляться в настройки ценообразования, это отдельная, достаточно обширная тема, ограничившись лишь базовыми навыками настройки, необходимыми для начала нормальной работы с новой редакцией.\nШаблоны ценников и этикеток Как и со скидками, из предыдущей редакции переносятся только названия шаблонов. Можно, конечно, создать их заново, но есть способ облегчить свой труд. Снова войдем в старую базу Сервис - Этикетки и ценники - Шаблоны этикеток и ценников. Откроем нужный нам шаблон на редактирование и выгрузим его в mxl-файл, нажав на кнопку с дискетой. В новой базе переходим в Администрирование - Печатные формы, отчеты и обработки - Шаблоны этикеток, ценников и чеков ККМ, открываем нужный нам шаблон и импортируем в него содержимое mxl-файла. Все что вам теперь остается - это заменить переменные редакции 1.0 на переменные новой редакции. Сделать это несложно, выделяем нужную переменную, удаляем текст и добавляем новую переменную из списка слева. Все размеры и форматирование при этом сохраняется. Затем задайте количество на странице, чтобы быстро определить нужные значение можно пойти на маленькую хитрость - задайте заведомо большее значение и попытайтесь сохранить шаблон, система сама подскажет вам нужное количество. Таким образом можно быстро перенести даже достаточно сложные шаблоны, избавив себя от сомнительного удовольствия создавать их заново.\nРаспределенная информационная база (РИБ) Все настройки синхронизации при конвертации теряются и должны быть настроены заново. В случае с РИБ это осложняется необходимостью максимально уменьшить возможное время простоя. Вопрос этот по большому счету более организационный, чем технический, но хороший технический специалист как раз отличается расширенным кругозором и умеет принимать во внимание не только технические аспекты выполняемой работы.\nВ связи с этим при планировании перехода предусмотрите время на настройку основной базы, формирование начальных образов РИБ и их передачу на удаленные точки. Как правило это подразумевает простой удаленных магазинов в течении определенного времени, поэтому будет неплохо совместить переход с другими плановыми операциями, предусматривающими закрытие магазина, например, санитарным днем.\nЗаключение Несмотря на то, что данный материал получился достаточно объемным, мы рассмотрели в нем только самые общие вопросы перехода, постаравшись провести вас в обход основных подводных камней, которые могут встретиться вам на пути. Но это только одна из составляющих успеха.\nЧтобы переход прошел максимально безболезненно необходимо провести хронометраж пробного перехода, чтобы иметь точное представление о затратах времени на ту или иную операцию, после чего составить подробный план, в котором распределить роли всех участников перехода и выполняемые ими на том или ином этапе действия. Согласитесь, что гораздо лучше, когда каждый действует согласно заранее составленного плана, чем пытается \u0026quot;помочь побыстрее запустить магазин\u0026quot; в меру своего понимания и разумения.\nОсобенно важно планирование на этапе настройки новой базы, так как многие операции в ней можно выполнять параллельно, при этом приоритет следует отдавать задачам необходимым для начала продаж. Если же вас ждут еще распределенные базы в филиалах, то потребуется соблюдать взятый темп, чтобы успеть выполнить все необходимые операции в разумный срок. Также будет совсем не лишним подготовить краткие иллюстрированные инструкции для персонала, чтобы они смогли быстро освоить новую систему, не дергая каждый раз технический персонал.\n","id":"8986ae9d89b3a11696c3d1fcce95a89e","link":"https://interface31.ru/post/perehod-s-1sroznica-10-na-1sroznica-22-prakticheskoe-rukovodstvo/","section":"post","tags":["1С Предприятие 8.х","Автоматизация","Внедрение","ЕГАИС","Планирование"],"title":"Переход с 1С:Розница 1.0 на 1С:Розница 2.2. Практическое руководство"},{"body":"Вынесенный нами в заголовок статьи вопрос является актуальным для многих системных администраторов, работающих с данным продуктом. По мере возможностей мы стараемся рассказывать о параметрах, влияющих на производительность 1С и развенчивать популярные мифы. Сегодня, на примере одного недавнего случая, мы хотим рассказать вам об еще одном аспекте, способном серьезно влиять на производительность - регламентных заданиях.\nНачнем с реального случая. Не так давно к нам обратился один наш клиент с жалобой на \u0026quot;тормоза\u0026quot; 1С у одного из его сотрудников. Симптомы выражались в том, что через некоторый промежуток времени конфигурация Управление Торговлей 10 начинала сильно тормозить, а проще говоря подвисала на какое-то время.\nПри более подробном разборе ситуации выяснилось, что это происходит только у одного сотрудника, причем на любом рабочем месте, происходит давно, но если раньше \u0026quot;тормоза\u0026quot; продолжались около секунды, то теперь, после обновления, они могут продолжаться до 15-20 секунд, что делает работу крайне некомфортной.\nВ принципе, исходных данных уже достаточно, чтобы сделать первые выводы. Приведем их еще раз:\n\u0026quot;Тормоза\u0026quot; происходят постоянно, с определенной периодичностью \u0026quot;Тормозит\u0026quot; только у одного пользователя \u0026quot;Тормозит\u0026quot; на любом рабочем месте Чтобы подтвердить свои догадки заглянем в Настройки параметров учета: Действительно, \u0026quot;проблемный\u0026quot; пользователь указан как пользователь для выполнения регламентных заданий. Как выяснилось, когда-то давно от имени этого пользователя работало задание автообмена РИБ. Осталось посмотреть, что именно являлось причиной эпизодического \u0026quot;торможения\u0026quot;. Это тоже несложно сделать: А вот и \u0026quot;виновник торжества\u0026quot; - задание обновления индекса полнотекстового поиска, которое запускалось один раз в 2,5 минуты. В данном случае проблема была полностью решена отключением выполнения регламентных заданий под этим пользователем, однако это не всегда возможно или целесообразно, поэтому ниже мы рассмотрим каким образом можно управлять регламентными заданиями и как сделать так, чтобы они не оказывали негативного влияния на производительность.\nОбычное приложение В конфигурациях на основе обычного приложения единого инструментария для управления регламентными заданиями нет. Во многом это связано с тем, что на момент их первоначальной разработки сама концепция регламентных заданий была развита довольно слабо.\nУправление многими регламентными заданиями производится через настройку связанных с ними подсистем. Например, настройки регламентных заданий, связанных с обменом данными следует искать в настройках обмена, связанные с ЕГАИС в настройках торговлей алкоголем и т.д. На первый взгляд все довольно логично, но отсутствие единого инструмента затрудняет возможность контроля за настроенными регламентными заданиями и оптимальностью их настроек. Хорошо, если заданий одно - два, а если их больше или, как в нашем случае, есть подозрение на какое-либо из регламентных заданий, но вы не имеете представления кто и что настраивал в этой базе.\nВ этом случае следует воспользоваться внешней обработкой КонсольЗаданий (JobsConsole), которая входит в набор стандартных обработок на диске ИТС. Обработка предоставляет единый интерфейс для всех заданий и позволяет выполнять их централизованную настройку, а также контролировать выполняющиеся в текущее время задания. Данный список нужно тщательно изучить, все ненужные задания следует отключить, а у нужных привести расписание в соответствие с насущными потребностями и здравым смыслом. Например, в нашем случае, нет никакой необходимости обрабатывать ответы ЕГАИС раз в 30 секунд (эта настройка сделана для тестирования) и в рабочем режиме вполне достаточно будет делать это скажем раз в полчаса.\nУправляемое приложение В конфигурациях на основе управляемого приложения регламентным заданиям отведена более значительная роль, с их помощью могут выполняться различные задания по обслуживанию информационной базы и поддержанию ее в актуальном состоянии, но в тоже время именно регламентные задания чаще всего становятся причиной \u0026quot;тормозов\u0026quot;.\nДля управления регламентными заданиями предназначен отельный пункт в меню Администрирование - Поддержка и обслуживание. Сразу можно отметить, что заданий значительно прибавилось (для примера мы взяли одну и ту же конфигурацию - Розница) и их грамотная настройка способна существенно улучшить производительность информационной базы. Настройки по умолчанию выполнены 1С исходя из потребностей средней сферической фирмы в вакууме и не являются оптимальными даже близко. Прежде всего отключаем то, что явно ненужно, с чем вы не работаете. Потом оптимизируем расписание редко используемых функций, скажем обновление классификатора банков в Рознице, как и проверку контрагентов, можно проводить раз в неделю в нерабочее время или в конце (начале) рабочего дня.\nОтдельное внимание следует уделить всему, что связано с поисковым индексом. Полнотекстовый поиск безусловно удобная вещь, но работа с его индексом является весьма и весьма ресурсоемкой задачей. Поэтому не стоит впадать в крайность и отказываться от него, но следует серьезно пересмотреть и настроить его параметры.\nНачнем с извлечения текста, данная операция позволяет производить поиск по содержимому приложенных файлов, поэтому если вы не используете их, не производите поиск по ним, или у вас там одни изображения - то данную операцию можно отключить, в любом случае выполнять ее раз в 85 секунд - явный перебор. Обновление индекса ППД - одна из самых ресурсоемких операций, по умолчанию выполняется раз в минуту. А теперь подумаем, как часто в базе добавляется либо обновляется информация, по которой вы наиболее часто проводите поиск? Явно не каждую минуту, поэтому вполне достаточно будет обновлять индекс гораздо реже: раз час, раз в день или вообще раз в неделю.\nТоже самое относится и к слиянию индекса ППД, если вы обновляете индекс раз в день, то следует настроить слияние на выполнение раз в неделю, при этом выбрав в качестве начала задания наименее мешающее работе время. Эти несложные операции позволят вам без особого ущерба для функциональности конфигурации поднять комфортность работы с ней на новый уровень за счет отказа от частого выполнения достаточно ресурсоемких операций. Только не следует впадать в крайности, грамотно рассудите, насколько вам необходимы те или иные возможности и как часто следует выполнять связанные с ними задания.\n","id":"74d1cf0ef560e5f9b602d505140f3cbd","link":"https://interface31.ru/post/pochemu-tormozit-1s-reglamentnye-zadaniya/","section":"post","tags":["1С Предприятие 8.х","Диагностика","Производительность"],"title":"Почему тормозит 1С. Регламентные задания"},{"body":"Не так давно мы в очередной раз поднимали тему троянов-шифровальщиков и оценивали способность популярного антивирусного ПО противостоять угрозам. После прочтения данного материала наши немецкие друзья нашли доклад BSI (Bundesamt fuer Sicherheit in der Informationstechnik - Федеральное ведомство по вопросам информационной безопасности) посвященный угрозам от Ransomware - вымогательского ПО. Данный материал, по нашему мнению, будет интересен широкому кругу читателей и мы подготовили его сокращенный перевод.\nВведение Ransomware - вредоносные программы, которые ограничивают доступ к файлам и системам, возобновление пользования возможно только после уплаты выкупа (англ. ransom). Такие действия являются покушением на безопасность и расцениваются как своеобразная форма шантажа.\nС конца 2015 года угрозы, связанные с ransomware, значительно возросли. По причине того, что ущерб от атак довольно высок, многие пострадавшие уплатили требуемые суммы. Эти «успехи» привели к тому, что преступники постепенно перевели своё внимание с банковских троянов и фишинга на шантаж, а бот-сети распространяют по интернету ransomware.\nНачало применения ransomware приходится примерно на 2010-2011 годы. Самые простые варианты выдавали на экран компьютера «заглушку» с требованием выкупа и не давали пользоваться системой.\nДальнейшее развитие породило варианты вирусов, которые шифровали файлы, и даже после полного удаления вредоносной программы затронутые данные больше не были доступны. Кроме локальных файлов, шифровке могут подвергаться сетевые диски и облачные службы хранения. Для шифрования данных всё чаще используются алгоритмы, которые можно считать практически неприступными для декодирования без специального ключа.\nС точки зрения преступников, атаки с помощью ransomware имеют определённые преимущества -- платежи производятся напрямую от пострадавших через анонимные службы (биткоин и прочие). В таком случае нет нужды в посредниках и агентах, которые канализируют и переправляют деньги.\nДля пострадавших разница заключается в том, что ущерб и соответствующие последствия возникают практически моментально после атаки.\nФинансовый ущерб, в таком случае, не возместит никакой банк, но пропадают важные документы, фотографии родных и близких, предприятия не в состоянии вести свою деятельность...\nВ общем и целом, «спасение» в таких случаях только в профилактических мероприятиях, в основном это резервные копии файлов и всей системы.\nСитуация Атаки ransomware являются в среде киберпреступников хорошо отлаженной моделью «бизнеса». Нападениям подвергаются операционные системы персональных компьютеров на базе Windows и MacOS, сервера, в т.ч. на Linux, и мобильные ОС как, к примеру, Android.\nОсновным вектором распространения вредоносных программ стал спам с вирусными приложениями. С декабря 2015 года BSI отмечает нарастающие волны массовых рассылок ransomware. В основном для этого используется инфраструктура сети ботов Dridex, которая раньше рассылала банковские трояны и фишинг.\nТакже используются заражённые сайты и поддельные рекламные баннеры.\nРост угрозы выражен в графике: Направления атак Спам Атаки посредством спама используют приёмы социальной инженерии и подвигают пользователей на открытие приложенных вирусных файлов: мнимые счета или подтверждения неких заказов, документы, факсы... Всё это с применением реальных адресов отправителя, часто очень точно повторяя стиль настоящих сообщений.\nВ приложении к письму содержится загрузчик, который скачивает вредоносную программу из интернета. Таким образом бот-сеть сохраняет свою оперативную гибкость и способна подменять вирусы, обновлять алгоритмы шифрования и маскироваться от антивирусов.\nЗагрузка шифровальщиков происходит с заражённых серверов, как правило для проникновения на сервер используются уязвимости на небольших сайтах с более простыми и устаревшими CMS.\nСлабая защита самой серверной системы так же может послужить открытой дверью для преступников, иногда через другие троянские программы перехватываются логины и пароли веб-серверов.\nСамые многочисленные, на сегодняшний день, спам-кампании применяли для распространения вирусов файлы MS Office с использованием скрытых макросов, java-script или VBScript.\nПримерно в середине февраля 2016 произошла переориентировка специализированной сети ботов DRIDEX -- сеть стала рассылать спам с вирусом-шифровальщиком LOCKY. Примерно 60 тысяч компьютеров в Германии были с тех пор включены в эту сеть и управлялись со специальных командных серверов.\nРассылка спама, чаще всего, ведётся из слаборазвитых стран, поскольку там просто нет хороших шансов монетизировать вирусные атаки «на местах».\nИнфекция Drive-By, с применением Exploit-Kit Профессионально разработанные командами хакеров наборы программ (Exploit-Kit), которые способны заражать компьютеры пользователей через зараженные сайты во время просмотра таковых (drive-by -- от анг. «на ходу»), на протяжении уже нескольких лет входят в арсенал киберпреступников.\nДовольно быстро новые обнаружения уязвимостей в программном обеспечении встраиваются в системы Exploit-Kit и применяются для распространения ransomware и прочих вредоносных программ. В последние месяцы особенно заметна активность сетей:\nAngler Neutrino Nuclear Magnitude Rig от них исходила большая часть атак.\nУязвимости серверных систем Программа-шифровальщик CTB-Locker использует слабости веб-серверов, заражает их и кодирует содержание сайтов.\nНезащищённый удалённый доступ В случаях с применением шифровальщика GPCode иногда использовался дополнительный способ подхода к распространению вируса. Преступники активно сканировали интернет на предмет наличия открытых портов удалённого управления, к примеру, Microsoft Remote Desktop. Проводилась брутфорс-атака, при успешном овладении логином устанавливалась вредоносная программа.\nНо сам вирус GPCode не имел широкого распространения.\nВарианты ransomware По данным BSI, в феврале 2016 года больше всего обнаружений пришлось на шифровальщиков семейств TeslaCrypt, Locky и CryptoWall. Эти числа показывают так же, что 95% всех атак совершались именно вирусами-шифровальщиками. Простенькие блокираторы Windows уже не играют никакой роли. Анализ предоставлен службой abuse.ch\nАктуальное положение Происшествия с вирусами-шифровальщиками явно показывают всяческие недочёты в профилактической работе IT-персонала. Плохо администрируемые системы, устаревшие или отсутствующие резервные копии, ненадёжные пароли, неправильное построение сети и прочее... Всё это будет «отомщено» полученным ущербом.\nНо и поведение сотрудников (пользователей) может играть большую роль. Некоторые атаки просто невозможно распознать, но, если некоторые вирусы пытаются перехватить банковские данные или проводят DDoS-атаки на другие системы -- ими даже можно пренебречь, однако шантаж с помощью шифровальщиков имеет непосредственный вред, от которого уже нельзя отвернуться.\nВ результате атак ransomware приходится активно реагировать на частичную или полную невозможность следовать ежедневным задачам своего бизнеса, такие случаи могут привести к дискредитации фирмы в глазах общественности.\nНесколько происшествий в немецких больницах привели к тому, что пресса раздула такие факты до картины, которая изображает полную некомпетентность ответственных лиц. Однако BSI провело исследования и собеседования со многими IT-сотрудниками и выяснило, что практически все клиники имеют рутинные процедуры по предотвращению вреда от компьютерных вирусов.\nПотенциальные угрозы Можно говорить о нескольких видах вреда от вирусных атак на организации:\nличный ущерб ущерб репутации ущерб третьим лицам В зависимости от способов рассмотрения проблематики, стоимость «обороны» своих систем также можно причислить к потерям от вирусов. Личный ущерб -- это финансовые последствия перебоев работы фирмы, в случае если повреждены частично или полностью производственные IT-структуры. Кроме того, могут возникнуть расходы на услуги сторонних фирм, обучение сотрудников и так далее.\nРепутация фирмы страдает, если в результате кибератаки в массы попадает негативная информация о компании, уходят клиенты, падают курсы акций. Для того, чтобы восстановить своё доброе имя, необходимо снова вкладывать ресурсы в рекламу, привязку клиентов и прочее.\nТретьи лица страдают, если не выполняются законные или договорные обязательства, особенно для критичных инфраструктур (центральное водоснабжение, например) ущерб третьим лицам может перевесить все остальные потери и быть очень высоким.\nОценка реальной стоимости ущерба от ибер-атаки зависит от данностей конкретной организации. Успешная акция с применением ransomware может одновременно затронуть все указанные аспекты. Очень важно здраво оценивать степень подготовки к вероятным угрозам, то как фирма способна реагировать на проблемы с информационной безопасностью. Даже если профилактические мероприятия не принесли успеха -- ограничить ущерб можно при правильном планировании восстановительных работ.\nМониторинг BSI показал широкий спектр подавления вредоносных атак: «мы нашли и обезвредили причину в кратчайшие сроки» или «через 4 часа система была восстановлена из резервных копий, и мы продолжили нормальную работу» и даже «целую неделю мы могли работать только в аварийном режиме».\nИз опросов можно сделать выводы о факторах, влияющих на масштабы ущерба:\nПрофилактика Мы выяснили основные направления атак ransomware, пора осветить мероприятия по предотвращению заражения компьютеров этими вирусами.\nОбновления Принципиально важно, для предотвращения повреждений системы через обнаруженные уязвимости, незамедлительно устанавливать обновления и патчи после их публикации. Для сетей идеален вариант раздачи и установки обновлений через центральную службу.\nНаибольшая опасность исходит от программ, которые открывают/используют контент из сетей: браузеры, почтовые-клиенты, офисные пакеты.\nСократите фронт нападения Чем меньше программ в состоянии открывать незнакомые файлы и запускать неизвестный код, тем меньше шансов использовать слабые места системы для совершения вирусной атаки. Поэтому следует принципиально удалять с компьютеров излишние приложения.\nВ браузерах необходимо ограничить запуск активного контента и удалить необязательные плагины (flash, java, silverlight).\nЧастично ransomware распространяется в виде вложенных файлов с электронной почтой, необходимо проверить подопечные системы и определить возможность полностью отключить в операционной системе запуск скриптов java-script или VBA.\nОбращение с почтой Одна из очень эффективных возможностей избежать ошибок и предотвратить скрытое проникновение вредоносного кода на компьютер -- отключить в почтовом клиенте возможность отображения сообщений, отформатированных в HTML. Таким простым образом уже невозможно спрятать под текстом с «правильным» адресом ссылку на заражённый ресурс и нет возможности воспроизводить некие активные элементы из содержания HTML.\nВ обращении с документами MS Office следует произвести настройки, которые не позволят автоматически запускать скрипты JS/VBS простым кликом мышки, и использовать только проверенные макросы в отведённой системной папке.\nСледует принципиально ограничить запуск приложений только из разрешенных папок. Спам необходимо отфильтровывать или помечать на стороне сервера. Все приложения или активные файлы должны блокироваться или перемещаться в карантин: .exe, .scr, .chm, .bat, .com, .msi, .jar, .cmd, .hta, .pif, .scf, кодированные архивы (.zip и прочие), файлы MS Office с макросами.\nВ тех случаях, когда фильтровать приложенные файлы невозможно, желательно хотя-бы помечать такие писма тегом «опасность!!!».\nНа самом почтовом сервере необходимо ограничить прохождение спама: настроить SPF (Sender-Policy-Framework), проверить его функциональность - «правильные» сообщения не должны попадать в корзину спама. Использование списков подозрительных серверов также давно принадлежит к основным инструментам антиспама.\nСетевые запоминающие устройства Все пользователи должны хранить важные файлы на сетевых хранилищах, которые входят в централизованную систему резервного копирования. Нельзя иметь лишь один экземпляр важных данных и тот на локальном компьютере. Доступ к архивам и бэкапам следует организовать так, чтобы пользователи не могли вносить изменения, в таком случае вирусы-шифровальщики не смогут произвести кодирование.\nЗащита от вирусов Новые версии вирусов редко обнаруживаются по стандартным сигнатурам антивирусов. В настоящее время, большинство инфекции новыми вариантами ransomware предотвращаются с помощью облачных и поведенческих технологий профессиональных антивирусных приложений.\nЖелательно дополнительно применять фильтр на основе списков подозрительных IP-адресов.\nВредоносные программы работают по схожему сценарию, имеет смысл расширить функции антивирусов и допустить к возможному запуску только определенные программы (белый список). Стоит спросить поставщика антивируса о такой возможности программы.\nРезервные копии Резервные копии - это шанс спасти свои данные. В особенности важно - держать копи на внешних носителях, физически отключенных от сети. Современные варианты ransomware способны шифровать файлы в облачных хранилищах, поражать файловые серверы и системные копии на компьютерах.\nОпять-же стоить заметить - все работы по резервному хранению файлов и восстановлению повреждённых данных должны продуманно планироваться и репетироваться.\nПодготовка сотрудников Два самых важных пути проникновения вирусов на системы - это:\nзаражение через запуск вирусного приложения к письму просмотр сайтов с вредоносными скриптами Общение по электронной почте требует осторожности - вирусы могут поступить не только с незнакомых адресов, но и распространяться по записям в адресной книге зараженных машин, таким образом с компьютера хороших знакомых также может поступить письмо с вредоносным приложением или ссылкой на заражённый сайт.\nЗдравая логика и доля скептицизма всегда полезны во всех контактах по интернету.\nЕсли от вашего знакомого пришло подозрительное сообщение - можно и позвонить для уточнения. «Осторожность - мать ящика с фарфором» - гласит немецкая поговорка.\nСегментация сетей С помощью грамотной политики разделения доступа и сегментации сети, можно во многом ограничить возможный ущерб от вирусов.\nУдалённое администрирование Как уже описано ранее - существует вариант атаки на сервер, когда преступники пытаются проникнуть на сервер через удаленный доступ и устанавливают там вредоносный софт.\nВсе внешние подключения должны быть заранее обеспечены каналами VPN и двухступенчатой системой идентификации. Дополнительно можно использовать список разрешенных IP-адресов.\nПолезно попробовать самим администраторам сервера разыграть атаку на свой сервер и проверить эффективность своих трудов.\nУчетные записи администраторов должны использоваться только для своего назначения - администрирования систем. Не следует читать или отправлять письма, просматривать сайты из-под аккаунта администратора, для всего этого есть пользовательские учетные записи.\nПрочие меры Защита программ с помощью EMET позволяет ограничить запуск эксплойтов Windows.\nFile Server Resource Manager предполагает централизованное администрирование файловых серверов, кроме того: классификацию файлов по типам, мониторинг, запрет доступа и запуска отдельных видов файлов, организация и управление отчётами о файлах...\nЦентральный лог-сервер поможет выяснить источник и цель и вероятную зону поражения.\nВ случае успешного проникновения ransomware на системы, необходимо сохранять хладнокровность и действовать по заранее заложенным сценариям.\nОчень важно, в случае шантажа с применением ransomware, сохранять спокойствие, устранять опасность и повреждения, но ни в коем случае не платить - это лишь утвердит преступников в их концепции «ведения бизнеса».\nНе менее важно -- сделать заявление в полицию и предоставить документацию об источниках и истории атаки. Грамотная работа полиции может помочь отследить преступников по платёжным информациям, добиться отключения от сети серверов, которые управляют бот-сетями, заблокировать определённые IP-адреса.\nДополнительная информация На сайте abuse.ch доступна полезная информация об актуальных угрозах от ransomware, имеется подробный трекер, список поражённых серверов и серверов, которые управляют атаками.\nИсточник: Ransomware. Bedrohungslage, Praevention \u0026amp; Reaktion.\nПеревод: Виктор Хартманн (Берлин)\n","id":"1f4d66a5dce85439c1df08a5ff125f78","link":"https://interface31.ru/post/ransomware---ocenka-ugrozy-predotvrashhenie-i-reagirovanie/","section":"post","tags":["Безопасность"],"title":"Ransomware - оценка угрозы, предотвращение и реагирование"},{"body":"Nginx - простой, но в тоже время быстрый и надежный веб-сервер, не перегруженный лишними функциями и отлично подходящий для работы в высоконагруженных системах. Особую популярность он завоевал как кеширующий прокси, позволяя существенно снизить нагрузку, на стоящий за ним веб-сервер, чаще всего Apache, но сегодня он все чаще используется как самостоятельный сервер. В нашей статье мы расскажем, как настроить Nginх для работы с PHP-приложениями при помощи менеджера процессов PHP-FPM на платформе Debian/Ubuntu.\nСразу охладим некоторые горячие головы - бытует мнение что Nginx быстрее Apache и вообще является чуть ли не панацеей от всех проблем. Но это не так. Nginx первоначально разрабатывался как кеширующий прокси и поэтому отлично справляется со своей основной задачей - кешированием и отдачей статического содержимого, что в общем-то и является основной задачей веб-сервера. В силу своей архитектуры он показывает выдающуюся производительность при множественных запросах даже в условиях ограниченных ресурсов.\nВ тоже время Nginx не умеет обрабатывать динамическое содержимое, для этого он должен отдать запрос серверу приложений одним из поддерживаемых способов, например, через FastCGI, дождаться и получить ответ, а затем уже отдать его клиенту. В среднем, что касается производительности PHP, то FastCGI будет в среднем в 10-15% медленнее, чем Apache + mod-php. Поэтому, если производительность вашего сервера упирается в производительность PHP, то никакой Nginx вам не поможет, а наоборот, только усугубит ситуацию.\nКроме того, работа с Nginx более сложна, чем с Apache, если с последним все популярные веб-движки работают из коробки, то для полноценной работы с Nginх может потребоваться дополнительная настройка. Исходя из этого мы не рекомендуем использовать Nginx, как самостоятельный веб-сервер, начинающим веб-мастерам, так как при отсутствии опыта и квалификации довольно трудно понять, связана ошибка с веб-приложением или веб-сервером. Да и на форумах для новичков вам вряд ли кто-нибудь подскажет по такой связке, а там, где \u0026quot;тусуются\u0026quot; работающие с Nginx специалисты подобные вопросы обычно не поднимаются, так как участники давно их \u0026quot;переросли\u0026quot;.\nЕсли вам нужен просто работающий веб-сервер, и вы не готовы глубоко вникать в тему, то лучше обратите свое внимание на Apache, если же вы готовы потратить некоторое время и силы на изучение и настройку, а также готовы самостоятельно решать возникающие проблемы, то добро пожаловать!\nУстановка Nginx Несмотря на то, что Nginх присутствует в репозиториях основных дистрибутивов, мы рекомендуем использовать версию от разработчиков, это позволит более оперативно получать новые версии и новые возможности. Существует две ветки Nginx, основная и стабильная, первая имеет нечетную, вторая четную нумерацию. Разработка происходит следующим образом, все изменения основной ветки, скажем 1.7 фиксируются и переходят в стабильную 1.8, которая перестает разрабатываться и получает только обновления безопасности, основная ветка после этого получает номер 1.9 и в нее вносятся все изменения.\nСами разработчики рекомендуют использовать основную ветку, если только нет каких-то особых требований по совместимости. По своему опыту можем сказать, что основная ветка достаточно стабильна и может быть использована на рабочих серверах.\nДля подключения репозиториев Nginx создадим в папке /etc/apt/sources.list.d файл nginx.list:\n1touch /etc/apt/sources.list.d/nginx.list Потом добавим в него строки. Для Debian:\n1deb http://nginx.org/packages/mainline/debian/ codename nginx 2deb-src http://nginx.org/packages/mainline/debian/ codename nginx Для Ubuntu\n1deb http://nginx.org/packages/mainline/ubuntu/ codename nginx 2deb-src http://nginx.org/packages/mainline/ubuntu/ codename nginx где codename - кодовое имя дистрибутива, например, jessie для Debian 8 или trusty для Ubuntu 14.04. Если вам не нужны исходные тексты, то репозитории deb-src можно не подключать (т.е. не добавлять эти строки).\nЗатем скачаем и установим PGP-ключ, необходимый для проверки подлинности:\n1cd 2wget http://nginx.org/keys/nginx_signing.key 3apt-key add nginx_signing.key После чего можно обновить список пакетов и установить nginx:\n1apt-get update 2apt-get install nginx Теперь, если набрать в браузере адрес нашего сервера, вы увидите стандартную заглушку Nginx. Также проверить состояние веб-сервера можно командой:\n1service nginx status Прежде всего изменим пользователя, от имени которого работает nginx, в Debian/Ubuntu веб-сервер работает от пользователя www-data и чтобы избежать в будущем возможных коллизий с правами доступа приведем строку к виду:\n1user www-data; Затем укажем количество рабочих процессов, рекомендуется выбирать их количество по числу доступных процессорных ядер, в нашем случае 2:\n1worker_processes 2; Приведем секцию events к виду:\n1events { 2 worker_connections 1024; 3 use epoll; 4} Первая опция задает количество соединений на рабочий процесс, вторая задает метод обработки соединений, явно укажем наиболее эффективный для Linux.\nТеперь перейдем в секцию http и после строки\n1access_log /var/log/nginx/access.log main; зададим следующие опции:\n1client_header_timeout 30; 2client_body_timeout 30; 3reset_timedout_connection on; Они задают таймаут (в секундах) на чтение клиентом тела и заголовка запроса, последняя опция разрешает сброс соединений по таймауту.\n1client_max_body_size 32m; 2client_body_buffer_size 128k; Эти параметры ограничивают максимальный размер тела запроса клиента и задают буфер для чтения заголовка запроса. Максимальный размер тела запроса ограничивает размер файла, который может быть загружен веб-сервером.\n1sendfile on; 2tcp_nopush on; Также разрешим передачу файлов и оптимизируем этот процесс.\nИзменим параметр:\n1keepalive_timeout 30; Он задает таймаут постоянных (keep-alive) соединений, которые позволяют повысить производительность протокола HTTP/1.1, но незакрытое соединений впустую использует ресурсы сервера и поэтому такие соединения следует принудительно завершать.\nНиже зададим параметры gzip-сжатия:\n1gzip on; 2gzip_disable \u0026#34;msie6\u0026#34;; 3gzip_proxied any; 4gzip_min_length 1024; 5gzip_comp_level 4; 6gzip_types text/plain text/css application/json application/javascript application/x-javascript text/xml application/xml application/xml+rss text/javascript application/atom+xml application/rdf+xml; Первая опция включает gzip-сжатие, затем отключаем его для младших версий IE (6 и ниже), если такие вдруг зайдут на наш сервер, разрешим сжимать проксированные запросы, это нужно для сжатия динамического содержимого, затем укажем минимальный размер сжимаемого ответа, чтобы не тратить ресурсы сервера на сжатие коротких ответов. Ниже задается уровень сжатия и типы сжимаемых данных.\nВ самом конце, после\n1include /etc/nginx/conf.d/*.conf; добавим\n1include /etc/nginx/sites-enabled/*; Это позволит подключать конфигурации виртуальных хостов из папки sites-enabled.\nСохраним и проверим конфиг командой:\n1nginx -t После чего можно перезапустить nginx:\n1service nginx restart Теперь можно перейти к настройке виртуальных хостов, создадим две папки:\n1mkdir /etc/nginx/sites-available 2mkdir /etc/nginx/sites-enabled В первой будут хранится настройки сайтов, а во второй мы будем создавать символьные ссылки для того, чтобы подключить настройки сайта к конфигурационному файлу nginx.\nПеред тем как описывать виртуальные хосты, создадим структуру папок для их хранения:\n1mkdir /var/www 2mkdir /var/www/example.org Затем создадим конфигурационный файл для нашего первого сайта:\n1touch /etc/nginx/sites-available/example.org.conf Какого-либо стандарта по названию файлов у nginx нет, поэтому можете придерживаться своей системы, главное, чтобы вам было понятно, какой файл за какой сайт отвечает. Теперь откроем его и внесем следующий текст:\n1server { 2 listen 80; 3 4 server_name example.org; 5 charset utf-8; 6 7 root /var/www/example.org; 8 index index.html index.htm index.php; 9 10 access_log /var/log/nginx/example.org_access.log; 11 error_log /var/log/nginx/example.org_error.log; 12} 13 14server { 15 listen 80; 16 server_name www.example.org; 17 return 301 http://example.org$request_uri; 18} Его синтаксис достаточно прост и понятен, первая секция server задает основные параметры сайта, его имя, кодировку, расположение корневой директории и файлов логов. Вторая секция нужна для перенаправления сайта с www на без www.\nДиректива index указывает индексные файлы, которые будет искать в данном расположении веб-сервер в порядке их перечисления, так если в директории имеются одновременно index.html и index.php - использоваться всегда будет первый. Указанная конструкция универсальна, но на практике лучше указать один тип индексного файла, тот что реально используется.\nСохраняем конфигурацию и подключаем ее к nginx:\n1ln -s /etc/nginx/sites-available/example.org.conf /etc/nginx/sites-enabled/ Проверяем конфигурацию и заставим nginx ее перечитать:\n1nginx -t 2service nginx reload Теперь поместим в корневую директорию сайта файл index.html со следующим содержимым:\n1\u0026lt;body\u0026gt;\u0026lt;h1\u0026gt;OK!\u0026lt;/h1\u0026gt;\u0026lt;/body\u0026gt; Теперь набираем в браузере имя нашего сайта и убеждаемся, что все работает. Прежде чем идти дальше рассмотрим еще один вопрос. Если к нашему серверу подключатся по IP-адресу или в запросе будет указано несуществующее имя хоста, то сервер ответит блоком по умолчанию, который покажет страницу-заглушку. Изменим это поведение и заставим сервер отбрасывать все такие запросы. Для этого откроем блок по умолчанию, который находится в файле /etc/nginx/conf.d/default.conf (если вы ставили nginx из стандартного репозитория, то /etc/nginx/sites-available/default) и заменим его содержимое на следующий блок:\n1server { 2 listen 80 default_server; 3 server_name _; 4 return 444; 5} Проверим конфигурацию и перезапустим сервер:\n1nginx -t 2service nginx reload Если теперь снова попробовать обратиться к серверу по IP, то такое соединение будет сброшено.\nУстанавливаем PHP-FPM Для работы с современными веб-приложениями вам потребуется поддержка популярного скриптового языка PHP, Nginx поддерживает работу через FastCGI, но не имеет собственного менеджера процессов, поэтому мы будем использовать для этой цели PHP-FPM.\nИнформация Важно! В современных дистрибутивах используется более новая версия PHP 7, чтобы работать с новой версией языка вместо php5 в приведенных ниже командах следует указывать php7.x или просто php например, вместо php5-imagick нужно набрать php7.0-imagick или php-imagick.\nУстановим его:\n1apt-get install php5-fpm Все необходимые пакеты и интерпретатор PHP будут установлены по зависимостям. Также имеет смысл сразу установить некоторые модули PHP, например, для работы с графикой:\n1apt-get install php5-gd php5-imagick Настройки PHP-FPM по умолчанию достаточно оптимальны и никаких вмешательств в них не требуется, однако следует подправить некоторые опции PHP, для этого откроем /etc/php5/fpm/php.ini и найдем там следующие опции:\n1post_max_size = 8M этот параметр задает максимальный размер данных загружаемых методом POST, влияет, например, на размер загружаемых средствами PHP файлов. По умолчанию 8 МБ, можем изменить по собственным потребностям.\nЕсли вы будете использовать PHP-приложения (CMS) работающие в кодировке отличной от UTF-8, то приведите к следующему виду опцию:\n1default_charset = \u0026#34;\u0026#34; Затем раскоменнтируйте и установите опцию:\n1cgi.fix_pathinfo=0 Это закроет возможную уязвимость в PHP.\nЕще ниже надо найти и увеличить размер максимально загружаемого файла:\n1upload_max_filesize = 8M Данное значение должно быть больше или равно значению post_max_size, иначе вы будете ограничены в загрузке файлов меньшим из указанных в этих опциях размером.\nСохраним изменения и перезапустим PHP-FPM:\n1service php5-fpm restart Теперь следует научить Nginx работать с PHP-FPM, для этого в файл конфигурации виртуального хоста нужно добавить настройки, которые будут перенаправлять (проксировать) все запросы к динамическому содержимому на FastCGI-шлюз.\nЕсли сайтов несколько, то аналогичные настройки потребуется добавить каждому виртуальному хосту, поэтому, чтобы не делать лишних действий, имеет смысл вынести данные настройки в шаблон и подключать к виртуальному хосту уже его. Такой подход имеет еще один плюс, если вам потребуется изменить настройки, то делать это придется только в одном месте.\nСоздадим директорию для хранения шаблонов:\n1mkdir /etc/nginx/templates После чего создадим в ней шаблон для работы с PHP-FPM:\n1touch /etc/nginx/templates/php-fpm.conf Откроем его и добавим следующий текст:\n1location ~ \\.php$ { 2 try_files $uri =404; 3 fastcgi_pass unix:/var/run/php5-fpm.sock; 4 fastcgi_index index.php; 5 include fastcgi_params; 6 fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; 7} Указанный нами блок location будет обрабатывать все запросы к php-файлам, первая директива в нем проверяет наличие запрошенного файла, в противном случае отдавая ошибку 404. Вторая устанавливает параметры соединения с FastCGI-шлюзом, в нашем случае с PHP-FPM, соединение устанавливается через UNIX-сокет, как наиболее производительный способ соединения. Затем указывается индексный файл и подгружаются настройки Nginx для FastCGI.\nИнформация Важно! Обратите внимание, что PHP 7 имеет иной путь к UNIX-сокету, поэтому следует указывать /var/run/php/php7.0-fpm.sock\nВ принципе этого уже достаточно, чтобы работать с динамическим содержимым, но не будем спешить и добавим в файл еще несколько блоков.\n1location ~ /\\.ht { 2 deny all; 3} Несмотря на то, что Nginx не использует htaccess-файлы, они, вместе с файлами htpasswd могут находиться в директории сайта, особенно если до этого он работал на Apache и будет правильно запретить доступ к ним в целях безопасности.\nТакже следует настроить кэширование статического содержимого:\n1location ~* \\.(gif|jpeg|jpg|txt|png|tif|tiff|ico|jng|bmp|doc|pdf|rtf|xls|ppt|rar|rpm|swf|zip|bin|exe|dll|deb|cur)$ { 2 expires 168h; 3} Данная конструкция включает кэширование на стороне браузера, сообщая тому, что \u0026quot;срок годности\u0026quot; указанных файлов - 168 часов (1 неделя) и при последующих обращениях на ваш сайт данные файлы следует брать из локального кэша. Мы привели примерный список, вы можете самостоятельно добавить в него нужные расширения файлов.\nТакже зададим кэширование для скриптов и стилей:\n1location ~* \\.(css|js)$ { 2 expires 180m; 3} Для них установим срок кэширования в 3 часа, что позволит соблюсти баланс между скоростью применения возможных изменений в этих файлах и уменьшением количества запросов к вашему сайту.\nТеперь откроем файл конфигурации виртуального хоста и в конце первой секции server добавим строку подключения шаблона:\n1include /etc/nginx/templates/php-fpm.conf; Сохраним все настройки, проверим конфигурацию и перезапустим Nginx.\n1nginx -t 2service nginx reload Чтобы проверить работу PHP создадим в корневой директории сайта файл test.php со следующим содержимым:\n1\u0026lt;?php 2phpinfo(); 3?\u0026gt; Теперь, если обратиться к данному файлу через браузер вы должны увидеть стандартную страницу с информацией о PHP. Установка MySQL и phpMyAdmin СУБД MySQL широко используется для хранения информации в современных веб-приложениях. Это один из самых важных компонентов веб-сервера, так как в базе данных обычно хранится вся информация сайта, кроме статического содержимого (изображений, файлов и т.п.).\nДля установки MySQL выполните:\n1apt-get install mysql-server php5-mysql Информация Важно! В свежих выпусках Debian (и его производных) вместо пакета mysql-server следует установить mariadb-server, который полностью совместим с MySQL.\nДанная команда установит MySQL сервер и модуль PHP для работы с ним. В процессе установки вас попросят ввести пароль суперпользователя СУБД (root), не путать с суперпользователем системы. Для повседневной работы с MySQL удобно использовать веб-приложение администрирования phpMyAdmin, установим его:\n1apt-get install phpmyadmin Установщик phpMyAdmin не умеет конфигурировать Nginx для работы с ним, поэтому ничего не выбираем на данном этапе, а все настройки выполним позже вручную. Для этого создадим еще один файл шаблона:\n1touch /etc/nginx/templates/phpmyadmin.conf и внесем в него следующий текст:\n1location /phpmyadmin { 2 root /usr/share/; 3 index index.php; 4 5 location ~ ^/phpmyadmin/(.+\\.php)$ { 6 try_files $uri =404; 7 root /usr/share/; 8 fastcgi_pass unix:/var/run/php5-fpm.sock; 9 fastcgi_index index.php; 10 include fastcgi_params; 11 fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; 12 } 13 location ~* ^/phpmyadmin/(.+\\.(jpg|jpeg|gif|css|png|js|ico|html|xml|txt))$ { 14 root /usr/share/; 15 expires 1M; 16 } 17} На первый взгляд синтаксис может показаться довольно сложным, но если разобрать правила по частям, то мы увидим, что ничего сложного нет. Все это мы уже обсуждали выше.\nДля подключения phpMyAdmin к сайту в описание виртуального хоста добавьте включение еще одного шаблона:\n1include /etc/nginx/templates/phpmyadmin.conf; Проверьте конфигурацию и перезапустите Nginx, после чего наберите в браузере имя вашего сайта, добавив после него /phpmyadmin, если все сделано правильно, то вы попадете в админ-панель приложения. В Ubuntu Server вы можете столкнуться с ошибкой отсутствия расширения mcrypt. Для ее устранения выполните:\n1ln -s /etc/php5/mods-available/mcrypt.ini /etc/php5/fpm/conf.d/ 2service php5-fpm restart Мы не будем подробно останавливаться на дальнейшей работе с MySQL и phpMyAdmin, об этом можно подробно прочитать в соответствующей части нашей статьи Настраиваем веб-сервер на базе Apache в Debian / Ubuntu Server.\nНа этом настройку нашего сервера можно считать законченной. При переносе или размещении на нем новых сайтов не забывайте правильно устанавливать права и владельца. Стандартный набор прав: 644 для файлов и 755 для папок, его можно быстро установить командой:\n1chmod -R u=rw,g=r,o=r,a+X /var/www/example.org Но учтите, что некоторые CMS требуют нестандартных прав на некоторые папки и файлы, поэтому уточните этот вопрос в документации.\nТакже не забывайте устанавливать правильного владельца, им должен быть пользователь, от имени которого работает веб-сервер, в нашем случае www-data, владелец устанавливается командой:\n1chown -R www-data:www-data /var/www/example.org Обычно данных мер достаточно, но встречаются CMS которые требуют дополнительной настройки для работы с Nginx, в этом случае следует обратиться к документации или на форум поддержки движка. Поэтому мы еще раз повторимся, что данное решение требует определенного опыта и квалификации и не рекомендуется начинающим, а также тем, кто не хочет возиться с настройками, а хочет быстро получить работающий сайт.\n","id":"096a674eb789fc0eb23c1d4a7e4a7fa8","link":"https://interface31.ru/post/nginx-php-fpm-debian-ubuntu/","section":"post","tags":["Debian","MySQL","Nginx","PHP","PHP-FPM","Ubuntu Server","Web-сервер","Сайт"],"title":"Настраиваем веб-сервер Nginx + PHP-FPM + MySQL в Debian / Ubuntu Server"},{"body":"Наши постоянные читатели в комментариях к статьям посвященным веб-технологиям часто просили нас пройти немного дальше просто настройки веб-сервера и рассказать, как установить один из популярных движков и сделать на нем полноценный сайт. Мы решили пойти навстречу данной просьбе и начали отдельный цикл статей, посвященный сайтостроению, в котором уже успели разобрать ряд теоретических вопросов, отдельно рассмотрели настройку сервера, а теперь пришло время перейти к практике.\nВсе описанные ниже действия мы будем производить на сервере настроенном по инструкции: Настраиваем веб-сервер на базе Apache в Debian / Ubuntu Server. Настоятельно рекомендуем с ней ознакомиться, чтобы в дальнейшем не было непонимания некоторых моментов и настроек. При этом используемый сервер абсолютно стандартен, что позволит вам повторить описываемые действия на любой иной системе, в том числе и на виртуальном хостинге, с небольшими поправками на особенности вашего случая.\nПочему мы решили начать с Wordpress? Потому, что это очень простой в освоении, но в то же время удобный и функциональный движок, позволяющий быстро создать с нуля работающий сайт. Wordpress снискал заслуженную популярность среди веб-мастеров и согласно данным W3Techs является самой популярной системой управления контентом (CMS), на которой работает четвертая часть сайтов. Все операции обслуживания и управления дополнениями также предельно упрощены и заключаются в буквальном нажатии на пару кнопок. При этом в вашем распоряжении огромная коллекция дополнений, выполненная в виде привычного всем магазина, с описанием, отзывами, рейтингом. Выбрали то, что понравилось, нажали установить, все остальное система сделает сама.\nОднако есть и обратная сторона медали. Концепция движка не предусматривает его глубокой ручной доводки, нет, вы конечно можете дорабатывать его как считаете нужным, но при следующем обновлении все ваши правки будут автоматически удалены. Также встроенный редактор движка имеет свои представления о верстке, которые могут не совпадать с вашими, если вы вдруг решите самостоятельно поправить HTML-код.\nВообще у нас при работе с Wordpress возникает некая аналогия с iPhone, также красиво, удобно, но лазить глубоко внутрь не дозволяется. Хорошо это или плохо? Однозначного ответа дать нельзя, для новичков однозначно хорошо, но если вы любите поковыряться внутри движка или имеете собственные требования к HTML-разметке, то скорее всего вам нужно будет взять иную CMS.\nОсновное назначение Wordpress - это блоги. Что такое блог? Это веб-сайт упрощенной структуры, который содержит регулярно добавляемые записи в обратном хронологическом порядке (т.е. новые сверху), которые могут быть объединены в категории и содержать специальные метки - теги, по которым легко можно найти похожие материалы. Данный формат пользуется большой популярностью и позволяет создавать сайты самого разного размера и тематики.\nЧтобы получить самый свежий дистрибутив Wordpress перейдите на страницу проекта ru.wordpress.org, там же вы можете ознакомиться с примерами сайтов на этом движке, ознакомиться с документаций или получить помощь на форуме.\nСам дистрибутив имеет небольшой размер и доступен в виде zip или tgz архива. Скачаем его к себе на компьютер и не распаковывая перенесем на сервер в любое удобное место, так как сервер у нас на Linux, то лучше скачивать tgz-архив. Почему именно так? Один большой файл будет закачан гораздо быстрее, чем большое количество маленьких. Хотя если у вас нет доступа к серверу, например, виртуальный хостинг, то архив придется предварительно распаковать и закачивать его содержимое уже в папку сайта. Затем перейдем на сервер и распакуем архив. Это можно сделать командой:\n1tar -xvf wordpress-4.5.2-ru_RU.tar.gz После чего в той же директории появится папка wordpress с содержимым поставки. Все что находится внутри нужно скопировать в корневую папку вашего сайта. Для этого можно воспользоваться файловым менеджером mc или выполнить еще одну команду:\n1cp -r wordpress/* /var/www/example.org При этом подразумевается, что вы находитесь в одной директории с архивом и распакованной папкой, а /var/www/example.org - корневая директория вашего сайта. В итоге должно получиться следующее: После копирования следует установить правильного владельца и группу для файлов движка, это может быть или пользователь www-data, если все сайты работают от имени веб-сервера, либо тот пользователь, который указан в настройках виртуального хоста, если вы используете запуск сайтов от имени пользователя через mpm-itk. Для установки прав введите:\n1chown -R user:user /var/www/example.org где user:user имя пользователя и группы, может быть www-data:www-data, либо andrey:andrey, как в нашем случае, а /var/www/example.org - директория с сайтом.\nТеперь, когда все файлы на своих местах, можно приступать к установке. Только не забудьте перед этим создать чистую базу данных MySQL в кодировке UTF-8. Для установки откройте браузер и наберите там адрес своего сайта, в нашем случае example.org. Вы попадете в веб-интерфейс установщика, который заботливо проведет вас через все этапы. Следующий шаг \u0026quot;самый сложный\u0026quot; в процессе установки, вам надо будет указать название созданной базы данных и параметры подключения к серверу СУБД. И нет, мы не шутим, это действительно самый сложный для неподготовленного пользователя этап установки, с остальным справится самостоятельно даже домохозяйка. После того как скрипт успешно соединился с базой вам нужно будет ответить еще на пару вопросов: указать название сайта, имя и пароль администратора и его электронную почту. Учтите, что на этот адрес будет приходить не только служебная почта, но и ссылка для восстановления пароля, поэтому указывайте реальный адрес. Всё! Установка закончена. Об этом мы и говорили выше - Wordpress максимально нацелен на неопытного пользователя и уже начиная с этапа установки старается быть простым и дружелюбным. Что дальше? Если знакомство с театром начинается с вешалки, то c CMS - с админки. После установки вам как раз предложат войти в нее. Разработчики и здесь не бросают нас, а заботливо подсказывают первые действия. На этом этапе мы советуем походить по админке, посмотреть возможности, настройки, в общем немного обжиться. Все предельно просто и дружественно, запутаться или заблудиться абсолютно негде, даже если это ваш первый сайт. Мы полностью согласны с разработчиками и предпочитаем начинать работу с новым сайтом с настройки темы оформления, как говориться, встречают по одежке. Для этого можно кликнуть по ссылке выберите другую тему в разделе Консоль или перейти Внешний вид - Темы - Добавить новую. После этого вы попадете в магазин, а дальше - на вкус и цвет товарищей нет. Выбирайте то, что нравится именно вам, ведь это ваш сайт и как он будет выглядеть выбирать тоже вам. Единственное, от чего хотим предостеречь - не пытайтесь удивить посетителей каким-то \u0026quot;крутым\u0026quot; дизайном, помните, что первично все-таки содержимое. Если на вашем сайте нечего читать, то никакой дизайн его не спасет и наоборот, если вы предлагаете качественный авторский контент, то пользователи будут читать вас вне зависимости от дизайна.\nНо это не значит, что оформить сайт можно в стиле тяп-ляп и готово. Вы же не выходите из дома в мятой рубашке и грязных брюках? Так и на сайте, не нужно никого удивлять \u0026quot;крутым\u0026quot; дизайном, эти времена давно прошли, достаточно чтобы все было опрятно и аккуратно.\nПонравилась тема? Просто нажмите на кнопку Установить, все остальное Wordpress сделает сам. После установки тему можно сразу активировать, но мы советуем перейти по ссылке просмотреть и примерить ее в живую. Учтите, что многие темы будут выглядеть вовсе не так красиво, как на картинках, некоторые из них предусматривают использование специальных типов записей или предлагают собственную структуру сайта. Например, есть темы, рассчитанные на мультимедийное содержимое (фото, видео) и для текстового контента подходят слабо.\nВ нашем примере видно, что скачанная тема предусматривает минималистский дизайн и многие элементы навигации расположить на нем решительно негде. Понятно, будем искать дальше... После того, как вы нашли подходящую тему не поленитесь изучить ее настройки. Сразу следует изменить описание сайта, загрузить логотип, расставить виджеты и проверить как будет выглядеть сайт на мобильных устройствах, для этого воспользуйтесь переключателями внизу страницы. Процесс настройки темы интуитивно прост, все ваши действия тут же отображаются справа и вы сразу видите, как будет выглядеть сайт с той или иной настройкой. Когда вам наконец все понравится просто нажмите вверху Сохранить и активировать.\nПосле этого вы попадете на сайт и уже можете начать работать с ним, используя для управления элементы верхнего меню, но лучше вернуться в админку, для этого щелкните на название сайта в меню и выберите Консоль. Яркие красные кружки с цифрами внутри обозначают наличие обновлений, в нашем случае доступно одно обновления для плагинов. Перейдем в этот раздел. Плагины можно обновлять как по одному, так и пакетно, для этого поставьте галочки напротив нужных плагинов, выберите Обновить в выпадающем меню и нажмите Применить. Мы рекомендуем поддерживать систему и плагины в актуальном состоянии, Wordpress - популярный движок, а это значит, что кроме пользователей к нему приковано пристальное внимание злоумышленников и наличие устаревшего кода может быть прямой угрозой безопасности вашего сайта.\nВместе с Wordpress поставляются два плагина, один из них бесполезный - Hello Dolly, а вот второй - Akismet, мы рекомендуем активировать, особенно если будете использовать штатную систему комментариев. После активации плагин появляется либо в разделе Настройки, либо отдельным пунктом в Консоли, если предоставляет дополнительную функциональность. Дополнительные плагины, как и темы, можно получить в Магазине просто выбрав пункт Добавить новый в разделе Плагины. Однако хотим вас предостеречь от распространенной ошибки, не следует сразу устанавливать все приглянувшиеся плагины. Большое количество плагинов может замедлять работу сайта, а так как это сторонний код, поддержкой которого занимаются разработчики, то следует помнить о возможных уязвимостях и вообще подходить к выбору плагинов осмотрительно.\nНесмотря на то, что в сети можно найти массу статей с названиями типа \u0026quot;100500 плагинов Wordpress которые нужно установить прямо сейчас\u0026quot;, мы не советуем вообще устанавливать плагины без необходимости. Появилась задача - ищем плагин, только так и никак иначе. Это позволит поддерживать ваш движок в \u0026quot;спортивной форме\u0026quot;, без ненужного кода, который отбирает ресурсы и может являться угрозой безопасности.\nЕдинственный плагин, который нужно поставить в самом начале - это All in One SEO Pack, данный плагин позволит оптимизировать ваши страницы для поисковиков и делает это хорошо даже с настройками по умолчанию. Плагин имеет множество настроек и достаточно неплохо документирован, что позволяет использовать его как новичку, так и опытным пользователям. Напоследок стоит заглянуть в раздел Настройки и пробежаться по всем пунктам. Несмотря на то, что настройки по умолчанию довольно оптимальны, следует все-таки просмотреть их и изменить некоторые из них под себя. Если вы хотите разрешить посетителям регистрироваться на вашем блоге, то включите эту возможность в разделе Общие. И обязательно проверьте раздел Обсуждение, спамеры тоже очень любят WordPress, причем появятся они там гораздо раньше реальных посетителей, поэтому максимально усложните им жизнь. Например, направляйте на модерацию любой комментарий содержащий ссылку, для этого уменьшите количество допустимых ссылок с двух до нуля. Теперь перейдем к главному - наполнению блога. Для этого перейдем в раздел Записи, где нам окажется доступен список всех существующих записей, рубрик и меток (тегов). При установке была создана одна запись и один комментарий к ней, вы можете ее удалить или изменить.\nТакже вы можете сразу создать нужные рубрики, но мы не советуем этого делать, так как при малом количестве информации на сайте пустые рубрики выглядят неуместно и вводят посетителей в заблуждение. Лучше всего создавать новые рубрики и метки сразу при добавлении новой информации, тогда ваш сайт будет гармонично развиваться и посетитель, переходя по заинтересовавшей его ссылке всегда будет получать ожидаемую информацию.\nДавайте создадим новую запись. После чего вы попадете в редактор, работать с ним достаточно просто, если у вас есть опыт работы с офисными пакетами, то затруднений возникнуть не должно. Набирайте текст, форматируйте его, добавляйте заголовки, списки, в общем поступайте также, как и при наборе обычного текста. Постарайтесь только не допускать больших непрерывных блоков текста, они плохо воспринимаются с экрана, старайтесь разбивать их на небольшие абзацы.\nЧтобы добавить в материал изображение установите курсор в место размещения картинки и нажмите кнопку Добавить медиафайл над редактором. Откроется специальное окно для работы с медиафайлами, при помощи которого вы можете выбрать уже загруженные изображения или загрузить новые. Просто выберите нужный файл и добавьте его в запись. Перед этим обратите внимание в нижний правый угол, где следует выбрать размер вставляемого изображение и задать его выравнивание на странице. Стандартные размеры изображений можно изменить в Настройках сайта. После того, как вы добавили текст и изображения не забудьте выбрать или создать рубрики, к которым будет относится статья и добавить метки (теги). Если с рубриками все понятно, то метки должны отражать какие-то ключевые слова, по которым посетители могут искать похожие статьи. Например, если в обзоре Ubuntu вы подробно рассматриваете LibreOffice и Firefox, то следует добавить метки с такими именами, это позволит быстро найти статьи о LibreOffice, вне зависимости от того, к какой рубрике они относятся.\nВроде бы все готово, но не спешите публиковать запись. Нужно еще отделить вступительный текст, иначе запись попадет в ленту полностью, что неудобно. Для этого поставьте курсор после той части текста, которая будет анонсом в ленте и нажмите кнопку Добавить тег \u0026quot;Далее\u0026quot;, в тексте при этом появится пунктирная линия. Теперь прокрутим страницу в самый низ и добавим к записи миниатюру, это изображение, которое будет выводиться в ленте над вступительным текстом. В качестве миниатюры можно поставить любое изображение, но учтите, что миниатюра, в зависимости от темы, имеет свои размеры, в нашем случае это 750x375 рх. Выбранное изображение будет масштабировано и обрезано по краям, поэтому, если хотите, чтобы ваш сайт выглядел аккуратно, то подготовьте для миниатюры отдельное изображение.\nДобавим еще одну или несколько записей и посмотрим, что у нас получилось. Вполне прилично, правда? И времени на это потребовалось немного. А самой \u0026quot;сложной\u0026quot; операцией оказалось указание параметров доступа к БД.\nНапоследок обратите внимание на Страницы, это особый тип записи, который не выводится в ленту, но отображается в меню сайта. Страницы предназначены для размещения информации, которая всегда должна быть на одном месте, это может быть информация о блоге и его авторе, контактные данные, правила перепечатки и т.д. Технически создание страниц ничем не отличается от создания записей. Ссылки на страницы, в зависимости от темы, отображаются в меню сайта и располагаются обычно на видном месте, в выбранной нами теме это верхний правый угол. Что дальше? А дальше, как бы банально это не звучало, следует заняться наполнением сайта. Размещайте новые интересные записи, отвечайте на комментарии и сами не заметите как появятся первые постоянные читатели, а на ваш блог начнут ссылаться другие сайты и поднимать в выдаче поисковики. Но учтите, что ведение сайта - это довольно тяжелый труд, и чтобы получить результат нужно много и упорно работать. А разве должно быть иначе?\n","id":"2892651da8ef3dcf8c24852818922deb","link":"https://interface31.ru/post/ustanovka-i-nastroyka-wordpress/","section":"post","tags":["Wordpress","Сайт"],"title":"Создаем свой сайт. Установка и настройка Wordpress"},{"body":"Трояны-шифровальщики можно смело назвать одной из самых серьезных угроз информационной безопасности. Их разработчики не стоят на месте и если еще несколько лет назад данные можно было расшифровать при помощи антивирусных лабораторий, то сегодня в большинстве случаев расшифровка невозможна. Остается либо платить, либо смириться с потерей данных. Два года назад мы уже поднимали тему защиты от шифровальщиков, однако с тех пор многое поменялось, и мы решили вернуться к этой теме.\nНачнем с того, что за прошедшее время вокруг данного вида вредоносного ПО выросла целая криминальная индустрия. Злоумышленники располагают развитой инфраструктурой в скрытой части сети, которая позволяет автоматизировать прием платежей и выдачу ключей, а также серьезно продумали вопросы безопасности. Во всяком случае связка Tor + Bitcoin существенно повышает шансы остаться в тени, с учетом того, что мало кто обращается в полицию, предпочитая или платить, или попрощаться с данными.\nТакое поведение в общем понятно, тем более что в большинстве случаев полиция ничем не сможет помочь, во всяком случае прецеденты нам неизвестны. С финансовой стороны дело тоже обстоит не очень радостно, в конце 2015 - начале 2016 года расценки на расшифровку стартовали с 10-15 тыс. руб. Сумма довольно чувствительная, но с другой стороны на кону могут стоять базы 1С, без которых работа предприятия просто остановится, или архив семейных фотографий за много лет.\nМетоды работы злоумышленников также значительно изменились, атаки стали более целевыми, что позволяет говорить о более тщательном подходе к выбору жертв. Ниже показан типовой вариант письма содержащий вредоносные объекты. Как видно, под прицел попадают организации, текст письма и тон в котором оно выдержано побуждают сотрудника открыть вложение. Даже не зная такого контрагента большая часть офисных работников все-таки попытается открыть письмо, чтобы удостовериться, что они не пропустят ничего действительно важного. Кроме того, мы несколько раз сталкивались, что в качестве отправителя фигурировал реальный контрагент организации. Совпадение? Возможно, но легче от этого не становится.\nОпытный пользователь, конечно, заметит ссылки в тексте письма вместо объектов, но будет ли вдаваться в такие подробности обычный менеджер, которому в день приходят пачки аналогичных по содержанию писем? Что там? Какой-то договор, сейчас глянем... Примерно так оно и происходит. Можно долго говорить о повышении компьютерной грамотности и прочих правильных вещах, но практика говорит об ином, если письмо не выбивается из привычного ряда, то никто обращать внимание на детали не будет, скачают и откроют.\nА дальше начинается самое интересное. Современный уровень развития коммуникаций позволяет авторам шифровальщиков активно использовать уязвимость нулевого дня, т.е. распространять вредоносное ПО сигнатуры которого отсутствуют в базах антивирусного ПО. Да, вирусные лаборатории реагируют на возникновение угроз достаточно быстро, но даже несколько часов форы способны привести к множественным случаям заражения.\nДополнительная сложность заключается в том, что многие из таких троянов с формальной точки зрения не являются вредоносным ПО и могут использовать вполне легальные компоненты, например, утилиту GnuPG. Поэтому надеяться на то, что антивирус вовремя распознает \u0026quot;заразу\u0026quot; не приходится, он может банально ее не знать. А, следовательно, на первый план выходят иные механизмы, такие как поведенческий анализ.\nКак мы тестировали С учетом всего вышесказанного нам интересно было посмотреть, как антивирусы различных производителей справляются с неизвестными шифровальщиками. Обязательным условием такого теста является отсутствие нужных сигнатур в антивирусной базе, но при этом все компоненты антивируса должны работать в штатном режиме, чтобы были задействованы все механизмы защиты. Наиболее простым способом для достижения этой цели в условиях нашей тестовой лаборатории стал откат виртуальных машин с тестируемыми антивирусами на снапшоты примерно двух-трех месячной давности.\nВ такой системе отключался интернет и проводилось испытание, затем мы обновляли антивирус и повторяли тест. Во всех случаях в качестве тестовой системы использовалась Windows 8.1 с настройками по умолчанию. Антивирусные пакеты также не настраивались дополнительно, так как наша цель - выяснить уровень защиты \u0026quot;из коробки\u0026quot;, т.е. тот, который с большой долей вероятности окажется у рядового пользователя.\nОценки выставляются по простой шкале: тест пройден - если все экземпляры вредоносного ПО успешно заблокированы и тест не пройден если произошло заражение.\nВ качестве экземпляров вредоносного ПО мы использовали три образца свежего вредоносного ПО полученного нами из реальных \u0026quot;писем счастья\u0026quot;. Слева направо представлены: два образца Trojan.Packed.62527, данный вредонос наиболее продуман и даже внешне маскируется под офисный документ, за ним следует BackDoor.Andromeda22, данный экземпляр судя по описанию не является шифровальщиком, представляя бекдор-загрузчик, однако в данном случае он оказался сразу \u0026quot;заряжен\u0026quot; шифрующим модулем, и наконец Trojan.Encoder.3470, который маскировался под Акт сверки от реально существующего контрагента.\nКак видим, злоумышленники даже не сильно пытаются маскировать свои поделия, только один внешний вид двух последних экземпляров уже должен вызвать сомнения в целесообразности его запуска у более-менее продвинутого пользователя. Однако большинство потенциальных жертв это не останавливает, и мы будем исходить из худшего сценария что даже когда антивирус предлагает выбор, то, если нет явно рекомендованного действия, пользователь будет продолжать попытки открыть файл.\nWindows Defender Про уровень защиты данного решения мы уже неоднократно писали, мягко говоря - его недостаточно. Какие-либо поведенческие механизмы в нем отсутствуют и поэтому, если шифровальщика нет в сигнатурной базе - то вам крупно не повезло. С обновленными базами все три экземпляра были успешно обнаружены и обезврежены. Результат: ТЕСТ НЕ ПРОЙДЕН\navast! Free Antivirus Данный продукт весьма популярен как бесплатный аналог коммерческим антивирусам и широко используется в нашей стране. Про бесплатный сыр известно кажется всем, но тем не менее многие продолжают экономить там, где экономия неуместна. Мы не спорим - avast! - неплохой продукт, но с современными 0day-угрозами бесплатная версия справляется слабо. Антивирус без обновлений никак не прореагировал на запуск вредоносного ПО, после обновления все три вредоноса были продетектированы и удалены. Результат:ТЕСТ НЕ ПРОЙДЕН\nAVG Free Antivirus Еще один популярный бесплатный антивирус, хотя у нас значительно уступает куда более \u0026quot;раскрученному\u0026quot; avast!, но в отличие от последнего имеет на борту полноценный поведенческий анализатор. Мы были приятно удивлены тем, что антивирус уверенно блокировал все три экземпляра вредоносного ПО по данным поведенческого анализа. После обновления базы сигнатур вредоносы начали обнаруживаться и антивирусным монитором: Забегая вперед, скажем, AVG Free Antivirus оказался единственным бесплатным антивирусом, чья работа не вызвала у нас никаких нареканий, чего нельзя сказать о некоторых коммерческих продуктах.\nРезультат: ТЕСТ ПРОЙДЕН\nAvira Free Antivirus Особой популярностью Avira никогда не пользовалась и звезд с неба не хватала, поэтому довольно неожиданно было получить от нее подозрение в двух случаях из трех (рисунок слева). К сожалению, на запуск Trojan.Encoder.3470 продукт никак не прореагировал и допустил заражение. После обновления сигнатур все вредоносы были найдены и обезврежены (рисунок справа). С одной стороны, два из трех - неплохой результат, но в данном случае антивирус, как сапер, права на ошибку не имеет, ставки слишком высоки.\nРезультат: ТЕСТ НЕ ПРОЙДЕН\nComodo Antivirus Еще один популярный бесплатный продукт с впечатляющим набором функций. Однако рассчитан он явно на подготовленного пользователя. Trojan.Packed.62527 уверенно отправился в песочницу и было довольно интересно наблюдать за его активностью в ней: Туда же был отправлен и BackDoor.Andromeda22, по списку процессов нетрудно заметить, что оба зловреда имеют одинаковый шифровальный модуль. А вот с Trojan.Encoder.3470 произошла заминка, антивирус предложил пользователю самостоятельно выбрать действие. Явных рекомендаций или указания на вредоносность здесь нет, и пользователь с большой долей вероятности нажмет на яркую зеленую кнопку, что приведет к заражению и потере данных.\nПосле обновления вирусных баз антивирус уверенно определил все угрозы, а при наличии интернета в дело вступает облачный сервис, который предоставляет дополнительную защиту от актуальных угроз. С Comodo мы попали в затруднительную ситуацию, если подходить формально - то тест следует признать проваленным. С другой стороны, в умелых руках из Comodo можно сделать весьма непробиваемый продукт, причем именно в плане угроз нулевого дня, благо все инструменты в нем есть. Однако настройки по умолчанию оставляют желать лучшего, обычный пользователь скорее всего отключит все \u0026quot;мешающие\u0026quot; механизмы защиты, так как в ту же песочницу попадает практически каждый второй файл, и окажется полностью беззащитным перед новыми угрозами.\nРезультат:ТЕСТ УСЛОВНО ПРОЙДЕН\nBitdefender Antivirus Free Edition Еще один достаточно популярный продукт, интересный прежде всего тем, что содержит крайне неплохой коммерческий антивирусный движок. Но бесплатная версия ограничена производителем во всем чем только можно. Минимум настроек и возможностей. Поэтому результат предсказуем - с обновленными базами бесплатный Bitdefender четко реагирует на зловредов, без сигнатур - полностью бесполезен. Это пример еще раз показывает, что для успешного отражения современных угроз антивирус должен представлять из себя комплексный продукт, отличный антивирусный движок - это хорошо, но явно недостаточно.\nРезультат: ТЕСТ НЕ ПРОЙДЕН\nNANO Антивирус Мы включили в тестирование бесплатную версию довольно интересного отечественного продукта, разработчики из Брянска создали действительно неплохой антивирус. По уровню сигнатурного детекта NANO соответствует многим другим бесплатным антивирусам, показав в нашем тесте результат 94%, против 98% у DrWeb и Касперского. Однако с поведенческим анализом дела обстоят неважно, никакой реакции на запуск неизвестного вредоносного ПО не последовало. После обновления сигнатур все вредоносы были успешно обезврежены. Мы не тестировали коммерческую версию антивируса, однако склонны предполагать, что результат окажется идентичным. Как следует из официальных источников Pro-версия не содержит дополнительных инструментов поведенческого анализа, а эвристический модуль присутствует в бесплатном варианте. Результат: ТЕСТ НЕ ПРОЙДЕН\n360 Total Security Еще один новый игрок, на этот раз из Поднебесной. Последнее время данный продукт активно рекламируется и начинает довольно широко использоваться как бесплатный аналог платным антивирусам. По умолчанию 360 Total поставляется со своим движком QVMII AI, однако можно дополнительно подключить движки от BitDefender и Avira. Если эффективность последних мы уже рассматривали выше, то с родным движком все плохо, даже будучи обновлен он не справился с защитой от шифровальщиков, обнаружив только Trojan.Packed.62527 и пропустив остальные угрозы. При наличии интернета немного спасает ситуацию облачный движок 360 Cloud, в этом случае начинает срабатывать эвристик и заражения удается избежать. Однако надеяться на облачные технологии явно не стоит, тем более что блокировать сервера антивирусных компаний умеют многие вредоносы, также может произойти ситуация, когда файл вложения будет запущен в отсутствие интернета, скажем по дороге с работы домой.\nПри подключении дополнительных движков ситуация в корне меняется, как мы уже видели выше и BitDefender, и Avira уверенно справляются с представленными экземплярами шифровальщиков. Однако в силу слабого модуля поведенческого анализа в случае появления свежего экземпляра вредоносного ПО они окажутся бессильны.\nРезультат: ТЕСТ НЕ ПРОЙДЕН\nPanda Antivirus Pro В комментариях к прошлым тестам нас просили включить в состав тестируемых антивирусов Panda, поэтому мы решили пойти навстречу и включить его в состав участников. Panda использует инновационные \u0026quot;облачной\u0026quot; технологии \u0026quot;коллективного интеллекта\u0026quot; (цитата с сайта производителя), а проще говоря основывается на облачном антивирусном движке и поведенческом анализаторе. Минус очевиден - эффективная работа зависит от активного интернет-соединения. Мы согласны, что сегодня подавляющую часть времени системы находятся онлайн, но полностью надеяться на облачный сервис на наш взгляд опрометчиво.\nВ отсутствии интернет-соединения Panda обнаружила Trojan.Packed.62527: удалила как подозрительный Trojan.Encoder.3470 Но пропустила BackDoor.Andromeda22, допустив заражение системы. При наличии доступа в сеть все три угрозы были успешно отражены.\nКак рассматривать полученные результаты? На наш взгляд - тест не пройден, так как скачанный вредоносный архив (а по умолчанию Panda не проверяет архивы) может быть открыт в иное время, когда компьютер окажется не подключен к сети.\nРезультат: ТЕСТ НЕ ПРОЙДЕН\nMcAfee Internet Security Довольно неплохой в прошлом продукт сегодня вызывает противоречивые впечатления, с одной стороны довольно неплохой антивирусный движок, с другой - полное отсутствие внятного поведенческого анализа. Без обновлений базы сигнатур все три образца были успешно пропущены и сделали свое темное дело. После обновления все угрозы были устранены. Результат: ТЕСТ НЕ ПРОЙДЕН\nNorton Security Новая линейка продуктов Symantec, призванная упорядочить существовавший до этого большой и достаточно беспорядочный набор продуктов. Фокусировка на единой линейке также позволила существенно подтянуть технологическую часть.\nВ прошлом тестировании мы были в недоумении от механизмов проактивной защиты в старой линейке Norton, но так как она продолжает использоваться параллельно с новыми продуктами, то мы решили испытать и ее, не включая в общий зачет. Так сказать, для того, чтобы наглядно оценить разницу.\nРаботу системы проактивной защиты SONAR в старой линейке продуктов Symantec отличной не назовешь, она вроде бы и работает, но как-то непонятно, во всяком случае ощущения надежности и защищенности от нее не чувствовалось. Сегодня мы в очередной раз в этом убедились. После некоторого раздумья SONAR сработал, заблокировав все активные угрозы, но оказалось уже слишком поздно... В новой линейке все принципиально по-иному. Проактивная защита в Norton Security работает на отлично, не оставляя шифровальщикам ни одной лазейки. После обновления сигнатур все угрозы начали успешно детектироваться антивирусным сканером.\nРезультат: ТЕСТ ПРОЙДЕН\nESET NOD32 Smart Security Один из тройки популярных коммерческих продуктов в нашей стране. Разработчик имеет собственную антивирусную лабораторию и имеет собственные технологии, в том числе и поведенческого анализа. А нахождение разработчиков в Восточной Европе позволяет своевременно реагировать на актуальные для нашего региона угрозы.\nНесмотря на отсутствие записей в базе сигнатур NOD32 оперативно пресек запуск всех трех экземпляров вредоносного ПО. Результат: ТЕСТ ПРОЙДЕН\nKaspersky Anti-Virus Несмотря на то, что сам производитель заявляет о том, что данный продукт в линейке базовый и не обеспечивает всесторонней защиты мы были приятно удивлены: Поведенческий анализатор сработал четко, а Лаборатория Касперского еще раз подтвердила свой статус одного из лидеров рынка.\nРезультат: ТЕСТ ПРОЙДЕН\nDr.Web Security Space Еще один не нуждающийся в представлениях продукт. Также следует отметить большой вклад сотрудников поддержки Dr.Web в борьбу с шифровальщиками и предоставлении помощи в расшифровке. Технологии поведенческого анализа можно смело назвать одним из серьезных преимуществ продукта, все три вредоносных образца были успешно обезврежены именно поведенческим модулем: Также мы не смогли пройти мимо нового продукта компании, несигнатурного антивируса Dr.Web Katana, который не имеет антивирусных баз и по сути представляет поведенческий анализатор и эвристик. Результат получился аналогичным: Единственно непонятной осталась для нас ценовая политика в отношении данного продукта, стоимость годовой лицензии в 1090 руб. нельзя назвать адекватной, можно добавить еще 200 руб. и купить полноценный Security Space, с другой стороны, при цене лицензии в 400-500 руб. можно было бы смело рекомендовать Katana как дополнение к другим антивирусам, прежде всего бесплатным.\nРезультат: ТЕСТ ПРОЙДЕН\nEmsisoft Anti-Malware Данный продукт не сильно популярен в нашей стране, а зря. Сочетание антивирусного движка Bitdefender с собственными технологиями показывают замечательный результат. Во всяком случае к работе поведенческого анализатора претензий нет, все три образца шифровальщиков были успешно заблокированы. Несмотря на то, что для пользователя доступны все варианты действий, имеется рекомендуемое действие - карантин, да и оформление окна выполнено в стиле сообщения об угрозе и не располагает к разрешающим действиям. После обновления антивирусных баз все угрозы начинают определятся антивирусным монитором.\nРезультат: ТЕСТ ПРОЙДЕН\nВыводы Результаты нашего сегодняшнего тестирования не обнадеживают. Уровень угроз со стороны вредоносного ПО постоянно растет, причем стало отчетливо видна его коммерциализация. Злоумышленники ставят перед собой простую и понятную задачу - заработать денег, способ тоже незамысловат - взять в заложники ваши данные. А уровень развития технологий и коммуникаций позволяют им легко уйти от ответа.\nМы не сгущаем краски, шифровальщики действительно представляют собой серьезную угрозу, которая способна нанести большой финансовый и иной ущерб вне зависимости от того, будете ли вы платить вымогателям или нет. При этом нам остается непонятным уровень беспечности многих пользователей, которые продолжают экономить там, где это лишено смысла.\nСтоимость годовой лицензии хорошего антивируса не превышает 1500 руб./год или 125 руб./месяц, на обед в кафе каждый из нас тратит больше.\nМожно ли обойтись бесплатными продуктами? В большинстве случаев - нет. Как мы могли убедиться, практически все бесплатные антивирусные решения не обеспечивают достаточного уровня защиты. Единственным исключением стал AVG, имеющий работоспособный модуль поведенческого анализа. Comodо, несмотря на все богатые возможности, также нельзя однозначно рекомендовать к применению, при грамотной настройке он способен стать неплохим рубежом защиты, в противном случае возьмите что-нибудь другое.\nИз коммерческих продуктов ожидаемо высокие результаты показала тройка ESET, Dr.Web и Kaspersky, также отлично выглядят продукты Norton и Emsisoft.\nMcAfee уже традиционно показывает недостаточный уровень защиты, а Panda сильно зависима от облачных технологий и наличия интернета.\nВ общем выбора как такового не остается, надежную защиту от современных угроз предоставляют только коммерческие решения лидеров рынка, с другой стороны стоимость годовой лицензии невелика и в любом случае значительно меньше суммы возможного ущерба.\n","id":"62bf567ade08c9e1d44f4c8b324c3f01","link":"https://interface31.ru/post/troyany-shifrovalshhiki-naskolko-zashhishheny-vashi-dannye/","section":"post","tags":["360 Total","avast","AVG","Avira","Bitdefender","Comodo","Dr.Web","Emsisoft","Kaspersky","McAfee","NANO","NOD 32","Norton","Panda","Windows Defender"],"title":"Трояны-шифровальщики. Насколько защищены ваши данные"},{"body":"Выводя на рынок различные редакции операционной системы Windows, производитель подразумевает, что пользователь будет выбирать то издание, которое наиболее соответствует его потребностям и финансовым возможностям. Однако в жизни все по-другому: уже готовые ПК идут обычно идут с предустановленной системой самого простого (и дешевого) издания, а нелицензионные пользователи, не сильно заморачиваясь, ставят один из старших выпусков. Все это часто приводит к тому, что редакцию Windows нужно изменить и желательно без переустановки системы.\nОсновная проблема заключается в том, что с необходимостью изменить редакцию Windows пользователь сталкивается тогда, когда система уже \u0026quot;обжита\u0026quot;: установлено и настроено необходимое ПО, оборудование, разложены привычным образом данные и т.д., и т.п.\nСуществуют два сценария изменения редакции. Один из них можно условно назвать \u0026quot;официальным\u0026quot;. Microsoft поддерживает переход с младших изданий на старшие вполне официально. Достаточно приобрести специальный ключ или коробку.\nХуже, когда редакцию надо понизить. Обычно это бывает при лицензировании пиратских версий, когда закупаются коробки или лицензии нужной редакции, которая не совпадает с тем, что реально стоит на компьютерах. Официально Microsoft не поддерживает таких изменений и рекомендует установить систему с нуля, однако есть одна недокументированная возможность, которую мы и рассмотрим.\nВсем известно, что если запустить инсталлятор Windows в загруженной ОС, то одной из доступных опций будет обновление системы с сохранением всех установленных приложений и настроек. Однако такое обновление возможно только в том случае, если редакция установленной системы совпадает с редакцией дистрибутива, иначе нам предложат только новую установку: Официальных способов обойти это ограничение нет, поэтому самое время обратиться к недокументированным возможностям. Мы затрудняемся предположить, почему Microsoft не поддерживает произвольное изменение редакции Windows, посредством ввода соответствующего ключа и/или обновления при помощи дистрибутива нужной редакции, тем более что технических препятствий здесь нет.\nЭмпирическим путем было установлено, что информацию о редакции системы установщик получает из ветви реестра:\n1HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion в виде значения параметра EditionID. Для успешного обновления со сменой редакции нам нужно изменить данный параметр таким образом, чтобы он соответствовал редакции целевого дистрибутива. В некоторых источниках также рекомендуется изменять параметр ProductName, однако это абсолютно излишне. После изменения EditionID следует сразу же выполнить обновление, не перезагружая систему. Данный способ подходит для всех актуальных клиентских систем Windows и ниже мы рассмотрим соответствие EditionID редакциям операционной системы.\nWindows 7 Данная версия Windows имеет самое большое официальное количество редакций, но при этом система именования проста и понятна, что позволяет легко идентифицировать нужную. Для Windows 7 допустимы следующие значения EditionID в зависимости от редакции:\nStarter - Начальная, самая ограниченная редакция, распространялась только в OEM канале, чаще всего с нетбуками HomeBasic - Домашняя базовая HomePremium - Домашняя расширенная Professional - Профессиональная Ultimate - Максимальная Enterprise - Корпоративная, распространяется только по программе корпоративного лицензирования Все редакции, кроме Начальной и Корпоративной, были доступны как в розницу, так и по OEM-каналам, не различаясь ничем, кроме типа лицензии, однако у вас не получиться обновиться с OEM-дистрибутива используя ключ от коробочной версии и наоборот.\nWindows 8.1 На первый взгляд редакций Windows 8 стало меньше, всего лишь Базовая, Профессиональная и Корпоративная. Но на самом деле Microsoft умудрилась сегментировать их так, что по факту редакций Windows 8.1 и допустимых значений EditionID оказалось даже больше:\nCore - Базовая CoreSingleLanguage - Базовая для одного языка, только OEM ConnectedCore - Базовая с Bing, бесплатная для крупных производителей OEM-версия CoreConnectedSingleLanguage - Базовая с Bing для одного языка, только для производителей Professional - Профессиональная ProfessionalWMC - Профессиональная с пакетом Windows Media Center Enterprise - Корпоративная, только в канале корпоративного лицензирования Как видим одних только Базовых редакций получилось четыре, хотя приобрести в розницу или в виде OEM-поставки вы можете только две из них: Базовую и Базовую для одного языка. Версии с Bing доступны только производителям, а вы можете получить ее только с оборудованием. Тем не менее необходимость возврата к этой версии может потребоваться если вы удалили предустановленную версию, а теперь хотите вернуть лицензию. В этом случае понадобится найти установочный дистрибутив, что довольно непросто (в открытом доступе их нет и не было).\nWindows 10 Ситуация с Windows 10 имеет тенденцию полностью повторить историю Windows 8.1, официально также заявлено о трех редакциях: Домашняя, Профессиональная и Корпоративная. Реально редакций больше, уже доступна Домашняя для одного языка и, возможно, будут появляться другие варианты.\nНа текущий момент можно говорить о четырех редакциях, однако данный список не претендует на полноту и будет пополняться по мере появления информации.\nCore - Домашняя CoreSingleLanguage - Домашняя для одного языка, только OEM Professional - Профессиональная Enterprise - Корпоративная, только в канале корпоративного лицензирования Для актуализации приведенных данных и их своевременного обновления мы просим наших читателей, особенно тех, кто приобрел устройства с предустановленной Windows 10 или обновили предустановленные версии Windows 8.1 проверить значение ключей EditionID и ProductName, а результаты, если они отличаются от приведенного списка, опубликовать в комментариях.\n","id":"1f4ad1244de17b7b9cfa3b5e2819e5cb","link":"https://interface31.ru/post/kak-izmenit-redakciyu-windows-bez-pereustanovki-oc/","section":"post","tags":["Windows 10","Windows 7","Windows 8","Лицензирование"],"title":"Админу на заметку - 19. Как изменить редакцию Windows без переустановки OC"},{"body":"Что такое веб-сервер? С точки зрения обывателя - это некий черный ящик, который обрабатывает запросы браузера и выдает в ответ веб-страницы. Технический специалист засыплет вас массой малопонятных терминов. В итоге начинающим администраторам веб-серверов бывает порой трудно разобраться во всем многообразии терминов и технологий. Действительно, область веб-разработки динамично развивается, но в основе многих современных решений лежат базовые технологии и принципы, о которых мы сегодня и поговорим.\nЕсли не знаешь с чего начать, то начинать надо сначала. Чтобы не запутаться во всем многообразии современных веб-технологий нужно обратиться к истории, чтобы понять, с чего начинался современный интернет и как развивались и совершенствовались технологии.\nHTTP-сервер На заре развития интернета сайты представляли собой простое хранилище специальным образом размеченных документов и некоторых связанных с ними данных: файлов, изображений и т.п. Для того, чтобы документы могли ссылаться друг на друга и связанные данные был предложен специальный язык гипертекстовой разметки HTML, а для доступа к таким документам посредством сети интернет протокол HTTP. И язык, и протокол, развиваясь и совершенствуясь, дожили до наших дней без существенных изменений. И только начавший приходить на смену принятому в 1999 году протоколу HTTP/1.1 протокол HTTP/2 несет кардинальные изменения с учетом требований современной сети.\nПротокол HTTP реализован по клиент-серверной технологии и работает по принципу запрос-ответ без сохранения состояния. Целью запроса служит некий ресурс, который определяется единым идентификатором ресурса - URI (Uniform Resource Identifier), HTTP использует одну из разновидностей URI - URL (Uniform Resource Locator) - универсальный указатель ресурса, который помимо сведений о ресурсе определяет также его физическое местоположение.\nЗадача HTTP-сервера обработать запрос клиента и либо выдать ему требуемый ресурс, либо сообщить о невозможности это сделать. Рассмотрим следующую схему: Пользователь посредством HTTP-клиента, чаще всего это браузер, запрашивает у HTTP-сервера некий URL, сервер проверяет и отдает соответствующий этому URL-файл, обычно это HTML-страница. Полученный документ может содержать ссылки на связанные ресурсы, например, изображения. Если их нужно отображать на странице, то клиент последовательно запрашивает их у сервера, кроме изображений также могут быть запрошены таблицы стилей, скрипты, исполняемые на стороне клиента и т.д. Получив все необходимые ресурсы браузер обработает их согласно кода HTML-документа и выдаст пользователю готовую страницу.\nКак уже многие догадались, под именем HTTP-сервера в данной схеме находится сущность, которая более известна сегодня под названием веб-сервер. Основная цель и задача веб-сервера - обработка HTTP-запросов и возврат пользователю их результатов. Веб-сервер не умеет самостоятельно генерировать контент и работает только со статическим содержимым. Это актуально и для современных веб-серверов, несмотря на все богатство их возможностей.\nДолгое время одного веб-сервера было достаточно для реализации полноценного сайта. Но по мере роста сети интернет возможностей статического HTML стало остро не хватать. Простой пример: каждая статическая страница самодостаточна и должна содержать ссылки на все связанные с ней ресурсы, при добавлении новых страниц ссылки на них потребуется добавить на уже существующие страницы, иначе пользователь никогда не сможет попасть на них.\nСайты того времени вообще мало походили на современные, например, ниже показан вид одного из пионеров русскоязычного интернета, сайт компании Rambler: А переход по любой из ссылок вообще может привести современного пользователя в недоумение, вернуться назад с такой страницы не представляется возможным, кроме как через нажатие одноименной кнопки в браузере. Попытка создать что-то более-менее похожее на современный сайт очень скоро превращалась в нарастающий объем работ по внесению изменений в уже существующие страницы. Ведь если мы что-то поменяли в общей части сайта, например, логотип в шапке, то нам нужно внести это изменение на все существующие страницы. А если мы изменили путь к одной из страниц или удалили ее, то нам надо будет найти все ссылки на нее и изменить или удалить их.\nПоэтому следующим шагом в развитии веб-серверов стала поддержка технологии включения на стороне сервера - SSI (Server Side Includes). Она позволяла включать в код страницы содержимое иных файлов, что давало возможность вынести повторяющиеся элементы, такие как шапка, подвал, меню и т.п. в отдельные файлы и просто подключать при окончательной сборке страницы. Стоит отметить, что SSI активно применяется и сегодня, там, где в код страницы нужно вставить некий статический контент, прежде всего благодаря простоте и нетребовательности к ресурсам.\nCGI Следующим шагом в развитии веб-технологии стало появление специальных программ (скриптов) выполняющих обработку запроса пользователей на стороне сервера. Чаще всего они пишутся на скриптовых языках, первоначально это был Perl, сегодня пальму лидерства удерживает PHP. Постепенно возник целый класс программ - системы управления контентом - CMS (Content management system), которые представляют полноценные веб-приложения способные обеспечить динамическую обработку запросов пользователя.\nТеперь важный момент: веб-сервера не умели и не умеют выполнять скрипты, их задача - отдача статического содержимого. Здесь на сцену выходит новая сущность - сервер приложений, который представляет собой интерпретатор скриптовых языков и с помощью которого работают написанные на них веб-приложения. Для хранения данных обычно используются СУБД, что обусловлено необходимостью доступа к большому количеству взаимосвязанной информации.\nОднако сервер приложений не умеет работать с протоколом HTTP и обрабатывать пользовательские запросы, так как это задача веб-сервера. Чтобы обеспечить их взаимодействие был разработан общий интерфейс шлюза - CGI (Common Gateway Interface). Следует четко понимать, CGI - это не программа и не протокол, это именно интерфейс, т.е. совокупность способов взаимодействия между приложениями. Также не следует путать термин CGI с понятием CGI-приложения или CGI-скрипта, которыми обозначают программу (скрипт) поддерживающую работу через интерфейс CGI.\nДля передачи данных используются стандартные потоки ввода-вывода, от веб-сервера к СGI-приложению данные передаются через stdin, принимаются назад через stdout, для передачи сообщений об ошибках используется stderr.\nРассмотрим процесс работы такой системы подробнее. Получив запрос от браузера пользователя веб-сервер определяет, что запрошено динамическое содержимое и формирует специальный запрос, которой через интерфейс CGI направляет веб-приложению. При его получении приложение запускается и выполняет запрос, результатом которого служит HTML-код динамически сформированной страницы, который передается назад веб-серверу, после чего приложение завершает свою работу.\nЕще одно важное отличие динамического сайта - его страницы физически не существуют в том виде, который отдается пользователю. Фактически имеется веб-приложение, т.е. набор скриптов и шаблонов, и база данных, которая хранит материалы сайта и служебную информацию, отдельно располагается статическое содержимое: картинки, java-скрипты, файлы.\nПолучив запрос веб-приложение извлекает данные из БД и заполняет ими указанный в запросе шаблон. Результат отдается веб-серверу, который дополняет сформированную таким образом страницу статическим содержимым (изображения, скрипты, стили) и отдает ее браузеру пользователя. Сама страница при этом нигде не сохраняется, разве что в кэше, и при получении нового запроса произойдет повторная генерация страницы.\nК достоинствам CGI можно отнести языковую и архитектурную независимость: CGI-приложение может быть написано на любом языке и одинаково хорошо работать с любым веб-сервером. Учитывая простоту и открытость стандарта это привело к бурному развитию веб-приложений.\nОднако, кроме достоинств, CGI обладает и существенными недостатками. Основной из них - высокие накладные расходы на запуск и остановку процесса, что влечет за собой повышенные требования к аппаратным ресурсам и невысокую производительность. А использование стандартных потоков ввода-вывода ограничивает возможности масштабирования и обеспечения высокой доступности, так как требует, чтобы веб-сервер и сервер приложений находились в пределах одной системы.\nНа текущий момент CGI практически не применяется, так как ему на смену пришли более совершенные технологии.\nFastCGI Как следует из названия, основной целью разработки данной технологии было повышение производительности CGI. Являясь ее дальнейшим развитием FastCGI представляет собой клиент-серверный протокол для взаимодействия веб-сервера и сервера приложений, обеспечивающий высокую производительность и безопасность.\nFastCGI устраняет основную проблему CGI - повторный запуск процесса веб-приложения на каждый запрос, FastCGI процессы запущены постоянно, что позволяет существенно экономить время и ресурсы. Для передачи данных вместо стандартных потоков используются UNIX-сокеты или TCP/IP, что позволяет размещать веб-сервер и сервера приложений на разных хостах, таким образом обеспечивая масштабирование и/или высокую доступность системы. Также мы можем запустить на одном компьютере несколько FastCGI процессов, которые могут обрабатывать запросы параллельно, либо иметь различные настройки или версии скриптового языка. Например, можно одновременно иметь несколько версий PHP для разных сайтов, направляя их запросы разным FastCGI процессам.\nДля управления FastCGI процессами и распределением нагрузки служат менеджеры процессов, они могут быть как частью веб-сервера, так и отдельными приложениями. Популярные веб-сервера Apache и Lighttpd имеют встроенные менеджеры FastCGI процессов, в то время как Nginx требует для своей работы c FastCGI внешний менеджер.\nPHP-FPM и spawn-fcgi Из внешних менеджеров для FastCGI процессов применяются PHP-FPM и spawn-fcgi. PHP-FPM первоначально был набором патчей к PHP от Андрея Нигматулина, решавший ряд вопросов управления FastCGI процессами, начиная с версии 5.3 является частью проекта и входит в поставку PHP. PHP-FPM умеет динамически управлять количеством процессов PHP в зависимости от нагрузки, перезагружать пулы без потери запросов, аварийный перезапуск сбойных процессов и представляет собой достаточно продвинутый менеджер.\nSpawn-fcgi является частью проекта Lighttpd, но в состав одноименного веб-сервера не входит, по умолчанию Lighttpd использует собственный, более простой, менеджер процессов. Разработчики рекомендуют использовать его в случаях, когда вам нужно управлять FastCGI процессами расположенными на другом хосте, либо требуются расширенные настройки безопасности.\nВнешние менеджеры позволяют изолировать каждый FastCGI процесс в своем chroot (смена корневого каталога приложения без возможности доступа за его пределы), отличном как от chroot иных процессов, так и от chroot веб-сервера. И, как мы уже говорили, позволяют работать с FastCGI приложениями расположенными на других серверах через TCP/IP, в случае локального доступа следует выбирать доступ через UNIX-сокет, как быстрый тип соединения. Если снова посмотреть на схему, то мы увидим, что у нас появился новый элемент - менеджер процессов, который является посредником между веб-сервером и серверами приложений. Это несколько усложняет схему, так как настраивать и сопровождать приходится большее количество служб, но в тоже время открывает более широкие возможности, позволяя настроить каждый элемент сервера четко под свои задачи.\nНа практике, выбирая между встроенным менеджером и внешним здраво оцените ситуацию и выбирайте именно тот инструмент, который наиболее подходит вашим запросам. Например, создавая простой сервер для нескольких сайтов на типовых движках применение внешнего менеджера будет явно излишним. Хотя никто не навязывает вам своей точки зрения. Linux тем и хорош, что каждый может, как из конструктора, собрать именно то, что ему надо.\nSCGI, PCGI, PSGI, WSGI и прочие Погружаясь в тему веб-разработки, вы непременно будете встречаться с упоминанием различных CGI-технологий, наиболее популярные из которых мы перечислили в заголовке. От такого многообразия можно и растеряться, но если вы внимательно прочитали начало нашей статьи, то знаете, как работает CGI и FastCGI, а, следовательно, разобраться с любой из этих технологий не составит для вас труда.\nНесмотря на различия в реализациях того или иного решения базовые принципы остаются общими. Все эти технологии предоставляют интерфейс шлюза (Gateway Interface) для взаимодействия веб-сервера с сервером приложений. Шлюзы позволяют развязать между собой среды веб-сервера и веб-приложения, позволяя использовать любые сочетания без оглядки на возможную несовместимость. Проще говоря, неважно, поддерживает ли ваш веб-сервер конкретную технологию или скриптовый язык, главное, чтобы он умел работать с нужным типом шлюза.\nИ раз уж мы перечислили в заголовке целую пачку аббревиатур, то пройдем по ним более подробно.\nSCGI (Simple Common Gateway Interface) - простой общий интерфейс шлюза - разработан как альтернатива CGI и во многом аналогичен FastCGI, но более прост в реализации. Все, о чем мы рассказывали применительно к FastGCI справедливо и для SCGI.\nPCGI (Perl Common Gateway Interface) - библиотека Perl для работы с интерфейсом CGI, долгое время являлась основным вариантом работы с Perl-приложениями через CGI, отличается хорошей производительностью (насколько это применимо к CGI) при скромных потребностях в ресурсах и неплохой защиты от перегрузки.\nPSGI (Perl Web Server Gateway Interface) - технология взаимодействия веб-сервера и сервера приложений для Perl. Если PCGI представляет собой инструмент для работы с классическим CGI интерфейсом, то PSGI более напоминает FastCGI. PSGI-сервер представляет среду для выполнения Perl-приложений которая постоянно запущена в качестве службы и может взаимодействовать с веб-сервером через TCP/IP или UNIХ-сокеты и предоставляет Perl-приложениям те же преимущества, что и FastCGI.\nWSGI (Web Server Gateway Interface) - еще один специфичный интерфейс шлюза, предназначенный для взаимодействия веб-сервера с сервером приложений для программ, написанных на языке Phyton.\nКак несложно заметить, все перечисленные нами технологии являются в той или иной степени аналогами CGI/FastCGI, но для специфичных областей применения. Приведенных нами данных будет вполне достаточно для общего понимания принципа и механизмов их работы, а более глубокое их изучение имеет смысл только при серьезной работе с указанными технологиями и языками.\nСервер приложений как модуль Apache Если раньше мы говорили о неком абстрактном веб-сервере, то теперь речь пойдет о конкретном решении и дело здесь не в наших предпочтениях. Среди веб-серверов Apache занимает особое место, в большинстве случаев, когда говорят о веб-сервере на платформе Linux, да и о веб-сервере вообще, то подразумеваться будет именно Apache.\nМожно сказать, что это своего рода веб-сервер \u0026quot;по умолчанию\u0026quot;. Возьмите любой массовый хостинг - там окажется Apache, возьмите любое веб-приложение - настройки по умолчанию выполнены под Apache.\nДа, с технологической точки зрения Apache не является венцом технологий, но именно он представляет золотую середину, прост, понятен, гибок в настройках, универсален. Если вы делаете первые шаги в сайтостроении - то Apache ваш выбор.\nЗдесь нас могут упрекнуть, что Apache уже давно неактуален, все \u0026quot;реальные пацаны\u0026quot; уже поставили Nginx и т.д. и т.п., поэтому поясним данный момент более подробно. Все популярные CMS из коробки сконфигурированы для использования совместно с Apache, это позволяет сосредоточить все внимание на работу именно с веб-приложением, исключив из возможного источника проблем веб-сервер.\nВсе популярные среди новичков форумы тоже подразумевают в качестве веб-сервера Apache и большинство советов и рекомендаций будут относиться именно к нему. В тоже время альтернативные веб-сервера как правило требуют более тонкой и тщательной настройки, как со стороны веб-сервера, так и со стороны веб-приложения. При этом пользователи данных продуктов обычно гораздо более опытны и типовые проблемы новичков в их среде не обсуждаются. В итоге может сложиться ситуация, когда ничего не работает и спросить не у кого. С Apache такого гарантированно не произойдет.\nСобственно, что такого сделали разработчики Apache, что позволило их детищу занять особое место? Ответ достаточно прост: они пошли своим путем. В то время как CGI предлагал абстрагироваться от конкретных решений, сосредоточившись на универсальном шлюзе, в Apache поступили по-другому - максимально интегрировали веб-сервер и сервер приложений.\nДействительно, если запустить сервер приложений как модуль веб-сервера в общем адресном пространстве, то мы получим гораздо более простую схему: Какие преимущества это дает? Чем проще схема и меньше в ней элементов, тем проще и дешевле сопровождать ее и обслуживать, тем меньше в ней точек отказа. Если для единичного сервера это может быть не так важно, то в рамках хостинга это весьма значительный фактор.\nВторое преимущество - производительность. Снова огорчим поклонников Nginx, благодаря работе в едином адресном пространстве, по производительности сервера приложений Apache + mod_php всегда будет на 10-20% быстрее любого иного веб-сервера + FastCGI (или иное CGI решение). Но также следует помнить, что скорость работы сайта обусловлена не только производительностью сервера приложений, но и рядом иных условий, в которых альтернативные веб-сервера могут показывать значительно лучший результат.\nНо есть еще одно, достаточно серьезное преимущество, это возможность настройки сервера приложений на уровне отдельного сайта или пользователя. Давайте вернемся немного назад: в FastCGI/CGI схемах сервер приложений - это отдельная служба, со своими, отдельными, настройками, которая даже может работать от имени другого пользователя или на другом хосте. С точки зрения администратора одиночного сервера или какого-нибудь крупного проекта - это отлично, но для пользователей и администраторов хостинга - не очень.\nРазвитие интернета привело к тому, что количество возможных веб-приложений (CMS, скриптов, фреймворков и т.п.) стало очень велико, а низкий порог вхождения привлек к сайтостроению большое количество людей без специальных технических знаний. В тоже время разные веб-приложения могли требовать различной настройки сервера приложений. Как быть? Каждый раз обращаться в поддержку?\nРешение нашлось довольно просто. Так как сервер-приложений теперь часть веб-сервера, то можно поручить последнему управлять его настройками. Традиционно для управления настройками Apache помимо конфигурационных файлов применялись файлы httaccess, которые позволяли пользователям писать туда свои директивы и применять их к той директории, где расположен данный файл и ниже, если там настройки не перекрываются своим файлом httaccess. В режиме mod_php данные файлы позволяют также изменять многие опции PHP для отдельного сайта или директории.\nДля принятия изменений не требуется перезапуск веб-сервера и в случае ошибки перестанет работать только этот сайт (или его часть). Кроме того, внести изменения в простой текстовый файл и положить его в папку на сайте под силу даже неподготовленным пользователям и безопасно для сервера в целом.\nСочетание всех этих преимуществ и обеспечило Apache столь широкое применение и статус универсального веб-сервера. Другие решения могут быть быстрее, экономичнее, лучше, но они всегда требуют настройки под задачу, поэтому применяются в основном в целевых проектах, в массовом сегменте безальтернативно доминирует Apache.\nПоговорив о достоинствах, перейдем к недостаткам. Некоторые из них просто являются обратной стороной медали. Тот факт, что сервер приложений является частью веб-сервера дает плюсы в производительности и простоте настройки, но в тоже время ограничивает нас как с точки зрения безопасности - сервер приложений всегда работает от имени веб-сервера, так и в гибкости системы, мы не можем разнести веб-сервер и сервер приложений на разные хосты, не можем использовать сервера с разными версиями скриптового языка или разными настройками.\nВторой минус - более высокое потребление ресурсов. В схеме с CGI сервер приложений генерирует страницу и отдает ее веб-серверу, освобождая ресурсы, связка Apache + mod_php держит ресурсы сервера приложений занятыми до тех пор, пока веб-сервер не отдаст содержимое страницы клиенту. Если клиент медленный, то ресурсы будут заняты на все время его обслуживания. Именно поэтому перед Apache часто ставят Nginx, который играет роль быстрого клиента, это позволяет Apache быстро отдать страницу и освободить ресурсы, переложив взаимодействие с клиентом на более экономичный Nginx.\nЗаключение Охватить в одной статье весь спектр современных технологий невозможно, поэтому мы сосредоточились только на основных из них, некоторые вещи умышленно оставив за кадром, а также прибегли к существенным упрощениям. Несомненно, начав работать в этой области вам потребуется более глубокое изучение темы, но для того, чтобы воспринимать новые знания нужен определенный теоретический фундамент, который мы постарались заложить данным материалом.\n","id":"98ed8eedf3c8bd5dd0b342b4be15cf4b","link":"https://interface31.ru/post/kak-ustroen-i-rabotaet-web-server/","section":"post","tags":["CGI","FastCGI","PHP","Web-сервер","Сайт"],"title":"Создаем свой сайт. Как устроен и работает веб-сервер"},{"body":"Достаточно часто при работе с Linux-системами возникает потребность в установке пакетов в версии отлично от той, что находится в репозиториях. Чаще всего для этих целей используется ручная установка нужной версии пакета с последующей заморозкой (при необходимости) или сборка пакета из исходников. В тоже время в основанных на Debian дистрибутивах существует штатная система закрепления пакетов APT Pinning, использование которой более предпочтительно, тем более что работать с ней совсем несложно.\nПрежде всего давайте разберемся, почему использовать ручную установку пакетов нежелательно. Конечно, если речь идет о какой-то отдельной библиотеке для внутренних нужд, скажем для сборки PostgreSQL от 1С, то нет никакого смысла городить огород, можно смело поставить пакет вручную и благополучно про него забыть. Совсем другое дело если вы таким образом установите какую-либо публичную службу, скажем, веб-сервер Apache или интерпретатор PHP.\nВ наше время всеобщей доступности интернета и развитых каналов коммуникаций информация об уязвимостях широко распространяется в самые короткие сроки, что заставляет ответственно подходить к вопросу своевременного обновления ПО. В случае с ручной установкой, а тем более сборкой из исходников, вся ответственность за дальнейшую поддержку лежит полностью на вас. Вам потребуется самостоятельно отслеживать выход обновлений и также самостоятельно поддерживать актуальное ПО на своем сервере.\nКак показывает практика - любая уязвимая система рано или поздно будет взломана. Причем узнать об этом вы можете в последнюю очередь, когда вашему хостеру или провайдеру придет претензия на то, что ваш сервер рассылает спам, участвует в DDoS-атаке или занимается еще какой-нибудь неблаговидной деятельностью.\nЧем же хорош APT Pinning? Эта технология основана выборе источника пакетов на основании заданных вами предпочтений. Т.е. вполне реально становиться подключить репозитории с нужными версиями пакетов, правильно настроить предпочтения и получать все обновления пакетов оттуда используя штатные механизмы. Это сразу снимает целый пласт проблем, связанных с поддержкой, если нужный пакет получает обновления ваша система тоже их получит.\nС чего начать? С источников пакетов, чаще всего это репозитории других версий этого дистрибутива, но можно подключить любые иные: репозитории разработчиков ПО, PPА (для Ubuntu) и т.п. Для их подключения нужно добавить адреса источников пакетов в список репозиториев системы.\nСписок репозиториев хранится в /etc/apt/sources.list, если мы откроем это файл, например, в Debian 8, то увидим следующее: По умолчанию подключено три репозитория: основной, обновления и обновления безопасности. Репозитории deb-src содержат исходные коды для сборки пакетов. Из типов репозиториев подключен только main - ПО, отвечающие критериям свободного ПО Debian. Также существуют репозитории contrib - ПО которое не соответствует критериям свободного ПО Debian и non-free - несвободное ПО. Поэтому полный набор репозиториев будет выглядеть так:\n1deb http://ftp.ru.debian.org/debian jessie main contrib non-free 2deb http://ftp.ru.debian.org/debian jessie-updates main contrib non-free 3deb http://security.debian.org/ jessie/updates main contrib non-free Как несложно заметить данный набор принадлежит к актуальному на текущий момент дистрибутиву Debain 8 \u0026quot;Jessie\u0026quot;, для других выпусков следует заменить jessie на кодовое имя другого дистрибутива.\nКроме кодовых имен Debian позволяет использовать класс релиза: stable, oldstable, testing, unstable. Текущий дистрибутив - это stable, предыдущий - oldstable, разрабатываемый -testing, нестабильный (sid) - unstable. Однако на практике такие обозначения не используются, так как если у вас вместо jessie указано stable, то с выходом следующего стабильного дистрибутива - stretch - произойдет автоматическое обновление на него, что на рабочих серверах может привести к неожиданным последствиям. Хотя если вы энтузиаст, то можете прописать везде testing и быть постоянно на переднем крае прогресса.\nВ Ubuntu набор репозиториев выглядит немного иначе: На первый взгляд репозиториев больше и вообще все более запутано. Однако все на самом деле очень просто. Как и в Debian нас интересуют три репозитория основной, обновления и обновления безопасности. Которые в свою очередь делятся на main - свободное ПО и restricted - несвободное ПО, поддерживаемые Canonical, а также universe и multiverse - свободное и несвободное ПО поддерживаемое сообществом.\nВ итоге список основных репозиториев можно привести к виду:\n1deb http://ru.archive.ubuntu.com/ubuntu/ trusty main restricted universe multiverse 2deb http://ru.archive.ubuntu.com/ubuntu/ trusty-updates main restricted universe multiverse 3deb http://security.ubuntu.com/ubuntu trusty-security main restricted universe multiverse В Ubuntu версия дистрибутива задается только по кодовому имени, в нашем случае это trusty - Ubuntu 14.04 LTS (Trusty Tahr).\nДобавить новые репозитории можно двумя способами: дописать их в основной файл /etc/apt/sources.list, либо создать новый файл с расширением .list в папке /etc/apt/sources.list.d, например, precise.list для репозиториев Ubuntu 12.04 и т.п., все файлы из этой папки с правильным расширением будут автоматически подключены к списку источников.\nПосле того как вы добавили новые репозитории нужно обновить список пакетов:\n1apt-get update Теперь самое время разобраться, как происходит выбор пакета для установки. Для этого можно выполнить команду:\n1apt-cache policy имя_пакета Давайте внимательно рассмотрим скриншот ниже, где мы выполнили указанную команду для пакета Nginx: В вывод команды попали все доступные пакеты, как из репозитория Debian, так и из репозитория Nginx. Но к установке предложен (и установлен) - 1.9.14, как наиболее новый. Еще обратите внимание на цифры перед именами источников. Это приоритет (вес) пакета. Пакеты в репозиториях имеют приоритет 500, установленные - 100. К установке всегда предлагается самый новый пакет с самым высоким приоритетом.\nЗначения веса приоритета могут быть следующими:\nP \u0026gt;= 1000 - пакет будет установлен, даже если это приведет к понижению версии уже установленного пакета 990 \u0026lt;= P \u0026lt; 1000 - пакет будет установлен, если не установлена более новая версия 500 \u0026lt;= P \u0026lt; 990 - пакет будет установлен, если нет пакета принадлежащего к целевому выпуску или не установлена более новая версия 100 \u0026lt;= P \u0026lt; 500 - пакет будет установлен, если нет кандидатов из других источников или установленного пакета более новой версии 0 \u0026lt; P \u0026lt; 100 - пакет будет установлен, если нет других кандидатов и установленных пакетов любой версии P \u0026lt; 0 - пакет не будет установлен ни при каких условиях P = 0 - неопределенное состояние, не используется Использовать вес выше 1000 следует с осторожностью, особенно если предпочтения включают отбор по маске, в этом случае вы можете без запроса провести понижение сразу целого набора пакетов (по зависимостям), что может привести к неожиданным результатам.\nВес от 990 до 1000 также производит обновление уже установленных пакетов, но только в случае повышения их версии. Опасность бесконтрольного применения этих двух режимов заключается в том, что могут быть поломаны зависимости, и в связи с этим удалены, сторонние пакеты, что может привести к полной или частичной неработоспособности системы.\nОтдельно остановимся на различиях между весом в диапазоне 500 - 990 и 990 - 1000.\nТак при весе от 500 и выше новый пакет будет всегда установлен и заменит уже существующий пакет если действие будет явно задано пользователем. Таким образом команды:\n1apt-get install имя_пакета или\n1apt-get upgrade обновят пакет или набор пакетов до самых последних версий при весе от 500 и выше. Например, у нас на Debian 7 установлен apache 2.2, добавим репозитории от Debain 8 и посмотрим кандидата на установку: При этом мы можем установить пакету apache2 любой вес от 500 до 1000, результат будет тот же самый. Так в чем же тогда разница между 500-990 и 990-1000?\nРазница состоит в понятии целевого выпуска, который по умолчанию не задан, поэтому поведение системы с весами от 500 до 1000 будет одинаковым. Чтобы задать целевой выпуск создадим в папке /etc/apt/apt.conf.d пустой файл без расширения, скажем, default и внесем в него следующую строку:\n1APT::Default-Release \u0026#34;wheezy\u0026#34;; Это установит в качестве целевого установленный выпуск Debian 7. Проверим что будет теперь: Даже несмотря на то, что мы присвоили apache2 из jessie вес 900, кандидатом на установку остается пакет из wheezy, так как принадлежит целевому выпуску. Чтобы изменить ситуацию, нужно присвоить пакету вес от 990 до 1000: Таким образом явное указание целевого выпуска служит хорошим предохранителем от случайного обновления дистрибутива при подключении репозиториев от более новых версий, но не препятствует установке новых пакетов из иных источников, если они принадлежат к указанному выпуску. Альтернативой может служить явное понижение веса репозиториев более нового дистрибутива ниже 500, но такой подход на наш взгляд менее надежен, так как более чувствителен к ошибкам администратора.\nРазобравшись с тем, как действуют приоритеты, самое время научиться указывать их самостоятельно. Для указания приоритета следует создать файл без расширения в папке /etc/apt/preferences.d и поместить в него ряд директив. Мы рекомендуем называть файлы по имени закрепляемых пакетов и не писать все настройки в один файл. Это позволит более гибко управлять процессом закрепления пакетов.\nВ самом файле следует разместить один или несколько наборов следующих директив:\n1Package: имя_пакета 2Pin: опции_прикрепления 3Pin-Priority: приоритет Имя пакета может быть задано как целиком, так и по маске, например, apache2*. Допускается также указание нескольких имен через пробел.\nВ качестве опций прикрепления могут выступать источник пакетов, версия и их происхождение. Например, следующий набор директив закрепит Perl на уровне линейки 5.10, а заданный вес пакета 1001 позволит понизить уже установленную версию (при необходимости).\n1Package: perl 2Pin: version 5.10* 3Pin-Priority: 1001 А эта конструкция указывает получать пакеты sqiud3 из репозитория example.com, например, если вам нужно использовать специальную сборку пакета и не допускать его замены штатным, даже если он будет новее.\n1Package: squid3 2 Pin: origin \u0026#34;example.com\u0026#34; 3 Pin-Priority: 999 И наконец привязка к определенному выпуску, например все пакеты по маске apache2* брать из репозиториев выпуска wheezy:\n1Package: apache2* 2 Pin: release n=wheezy 3 Pin-Priority: 900 Для Debian допустимо также использовать конструкцию:\n1Pin: release a=testing Для Ubuntu значение обоих ключей n и a совпадает и должно содержать кодовое имя релиза.\nЧтобы не быть голословными рассмотрим несколько практических сценариев.\nПонижение версии пакетов Наиболее часто требуется понизить версию Apache с 2.4 до 2.2, например, для нужд 1С предприятия. Поэтому прежде всего в систему следует добавить репозитории от предыдущего выпуска, который содержит нужную версию Apache, это wheezy для Debian или precise для Ubuntu. Дальше можно пойти двумя путями, например, задать вес 1001 и произвести замену нужных пакетов:\n1Package: apache2* 2 Pin: release n=wheezy 3 Pin-Priority: 1001 Это потенциально опасная операция, поэтому перед тем как производить установку следует выполнить ее тестирование:\n1apt-get install apache2 -s Если вывод не помещается в экран, то его следует перенаправить утилите less:\n1apt-get install apache2 -s | less После чего внимательно изучаем вывод. Наиболее пристальное внимание уделяем пакетам, которые будут удалены или заменены более старыми версиями. Если все в порядке, то можно проводить установку. Однако мы не рекомендовали бы использовать вес больше 1000, так как остается опасность случайного понижения пакетов, скажем при обновлениях. Более безопасно установить вес от 990 до 1000 и предварительно удалить уже установленные пакеты.\nДля того, чтобы удалить пакеты сначала нужно получить их список, для этого служит команда dpkg -l с последующим отбором по имени пакета.\n1dpkg -l | grep apache2 Установленные пакеты удаляем командой:\n1dpkg -r имя_пакета Также можно удалить и все настройки пакетов, для этого снова выполните\n1dpkg -l | grep apache2 и затем\n1dpkg -P имя_пакета Однако учтите, что данная операция уничтожит все настройки и данные относящиеся к пакету, в случае с MySQL или PostgreSQL это приведет к полной потере данных, поэтому предварительно сделайте копии нужного содержимого и настроек.\nПосле чего можно установить пакет, предварительно его протестировав. Конечный результат тот же, но сам процесс более безопасен, так как процесс установки только добавляет пакеты в систему, удаление пакетов производится вручную, что дает дополнительный контроль. В дальнейшем уже установленные пакеты будут получать обновления в рамках поддержки своего выпуска, но при этом не стоит опасаться того, что какие-либо пакеты могут быть понижены без нашего ведома, скажем вследствии ошибки в настройке закрепления пакетов.\nПовышение версии пакетов Теоретически, процесс повышение ничем не отличается от понижения. Подключаем репозиторий, устанавливаем предпочтения и обновляем пакеты. Но на практике данный процесс сталкивается с множеством сложностей. Основным затруднением становится то, что пакеты нового выпуска собраны в среде новых библиотек, в связи с чем требуют обновления многих зависимостей, те в свою очередь тянут за собой свои зависимости и т.д. и т.п.\nВообще правильным способом повышения пакета является его сборка в окружении текущего дистрибутива из исходных кодов репозитория deb-src от нового выпуска. Однако этот метод выходит за рамки данной статьи.\nМы же покажем вам практический пример попытки повышения версии пакета. Прежде всего, подключив репозитории от более свежего выпуска, не забудьте указать целевой выпуск или понизить их приоритет, например, следующими директивами:\n1Package: * 2 Pin: release n=stretch 3 Pin-Priority: 300 Это предпочтение мы рекомендуем расположить в отдельном файле, чтобы избежать его случайного изменения или удаления, после чего, в один явно не очень прекрасный день, вы можете \u0026quot;случайно\u0026quot; обновить дистрибутив на рабочем сервере с непредсказуемыми последствиями. Собственно, поэтому мы советуем указывать целевой выпуск, так как шанс непреднамеренно изменить данную настройку гораздо ниже.\nХорошо, дистрибутивы добавили, приоритеты выставили, кандидатов проверили, вроде бы все нормально. Попробуем установить пакет в тестовом режиме: Сразу сталкиваемся с проблемами зависимостей. Кроме того, пакет требует обновления dpkg, который является одним из ключевых компонентов системы. В этом случае пробуем установить зависимости вручную и получаем целый список пакетов, требующих повышения: Все эти пакеты также следует добавить в настройки предпочтений, после чего выполнить попытку установки заново и получить новый список неудовлетворенных зависимостей. По увлекательности данный процесс сродни прохождению хорошего квеста и может занять вас на продолжительное время.\nНу вот, вроде бы все добавлено, как видим в список предпочтений попали самые неожиданные пакеты (а мы хотели только обновить Apache): Тестируем установку и видим весьма неожиданный результат: Да, если оставить все как есть, то новый Apache мы поставим, но при этом удалим часть системных утилит. Это произойдет по причине поломанных зависимостей. Какой выход? Обновить их до версий из нового выпуска, т.е. снова начинаем решать квест с зависимостями. В этом, несомненно увлекательном процессе, самое главное - вовремя остановиться, оценить степень изменения дистрибутива и подумать о полноценном переходе на новую версию, вместо того, чтобы сооружать некое чудовище Франкенштейна.\nВыводы Как видим, технология APT Pinning дает в руки администратора весьма мощный и гибкий инструмент по управлению версиями пакетов. Но его использование требует должной осторожности и определенного уровня знаний, так как с одинаковым успехом позволяет как осуществить задуманное, так и привести систему в полностью неработоспособное состояние. К практическим аспектам применения данного метода мы относим понижение версии пакетов или закрепление версий из сторонних репозиториев. Использовать его для повышения пакетов мы категорически не рекомендуем, разве что в исследовательских и образовательных целях.\n","id":"6fbd45a016c02bb1921aa8a38fd601c9","link":"https://interface31.ru/post/ispolzuem-apt-pinning-dlya-zakrepleniya-paketov-v-debian-ubuntu/","section":"post","tags":["APT","Debian","Ubuntu Server"],"title":"Используем APT Pinning для закрепления пакетов в Debian и Ubuntu"},{"body":"Система архивации пришла на смену NTBackup с выходом Windows Server 2008 и на сегодняшний день является вполне зрелым и проверенным продуктом, но многие администраторы до сих пор не используют данную компоненту ОС, отдавая предпочтения альтернативным продуктам. Этому могут быть как объективные причины, так и непонимание принципов работы системы архивации Windows Server. Поэтому мы решили устранить возможные пробелы в знаниях при помощи данной статьи.\nМы довольно часто задавали знакомым системным администраторам вопрос: какие средства они используют для резервного копирования состояния своих серверов? И сильно удивлялись тому, что многие из них даже не упоминали систему архивации Windows Server. На следующий вопрос: почему они не используют этот инструмент, мы часто получали ответ, что они не понимают, как работает эта система, как управлять резервными копиями и т.д., и т.п. Отчасти причину можно назвать уважительной, когда нет понимания как работает то или иное средство то от его использования лучше отказаться.\nА еще лучше разобраться как оно работает и начать применять его на практике. В новой системе архивации многие ожидают увидеть преемника привычного NTBackup, однако Microsoft полностью переработала механизм создания резервных копий и перед нами совершенно иной инструмент. Основным хранилищем резервных копий является диск, который самостоятельно размечается системой архивации и скрыт от пользователя. Также можно использовать уже размеченный том или сетевой ресурс, однако эти способы имеют свои ограничения и сводят на нет все преимущества новой технологии.\nНовая система архивации самостоятельно управляет процессом резервного копирования, создавая основную и добавочные копии данных, а также сроком их хранения. Это одно из основных затруднений, которое возникает при использовании нового инструмента. Многие администраторы привыкли явно указывать тип создаваемого архива, их количество и срок хранения, поэтому не находя здесь необходимых опций они делают поспешные и неправильные выводы.\nВ системе архивации Windows Server вы отдаете в распоряжение службы целый диск, и она организует процесс хранения данных по собственному разумению. Хорошо это или плохо? На наш взгляд - хорошо. Потому что довольно часто встречаются ситуации, когда администратор неверно оценивает размер необходимого для хранения копий дискового пространства или происходит резкий скачок объема архивируемых данных. В этом случае очень велика вероятность получить отказ службы резервного копирования из-за отсутствия свободного места в самый неподходящий момент.\nВ Windows Server применяется принципиально иной подход. Проще всего провести аналогию с системами видеонаблюдения, когда поток непрерывно пишется на диск и в любой момент времени мы имеем некую продолжительность записи, определяемую объемом диска. Скажем, поставили диск на 500 ГБ - имеем неделю видео, заменили на 1 ТБ - две недели и т.д.\nСлужба архивации работает аналогичным образом, записывая копии на диск до исчерпания свободного пространства, затем самые старые копии перезаписываются. Таким образом вы всегда будете иметь постоянную глубину резервного копирования, ограниченную только объемом диска, даже резкое увеличение копируемых данных не приведет к негативным последствиям, сократится только количество доступных копий. Действительно, данную технологию сегодня поддерживают все системы, включая даже NAS ценовой категории чуть выше начальной, что позволяет грамотно распорядиться имеющимся дисковым пространством и организовать хранение архивов отдельно от систем. Microsoft рекомендует для хранения двух копий данных иметь в 1,5 раза больше дискового пространства, на наш взгляд данная цифра является несколько завышенной, особенно если вы копируете редко изменяемые данные, например, состояние сервера.\nМы немного забежим вперед и покажем результат архивирования тестового сервера с объемом архивируемых данных размером 29 ГБ: Для создания резервных копий используется механизм теневого копирования тома (VSS), который позволяет работать с открытыми и системными файлами, не прерывая работы системы и пользователей. Начиная с Windows Server 2012 система архивации позволяет также архивировать запущенные на хосте виртуальные машины Hyper-V и восстанавливать их состояние по отдельности. При использовании на сервере иного ПО использующего возможности теневого копирования система архивации имеет возможность сохранять журнал VSS, что обеспечит корректную работу этих служб при восстановлении.\nОтдельно следует коснуться резервного копирования баз данных, если с поддерживающими теневое копирование продуктами, такими как MS SQL Server или Exchange, проблем не возникает, то со сторонними продуктами, например, PostgreSQL могут возникнуть проблемы. Механизм теневого копирования не проверяет логической целостности файлов, просто делая снимок их состояния на определенный момент времени, системы, поддерживающие VSS, умеют обрабатывать этот момент, приводя базу к непротиворечивому состоянию перед моментом создания теневой копии. Для неподдерживаемых систем мы просто получим срез базы на определенное состояние времени, при восстановлении такой базы она будет приведена в непротиворечивое состояние средствами СУБД, проще говоря будут отменены все незавершенные транзакции и может произойти потеря данных.\nИсходя из вышесказанного можно сделать вывод, что система архивации Windows хорошо подходит для создания резервных копий системы и пользовательских данных, а также \u0026quot;родных\u0026quot; служб и приложений. Для архивации сложного стороннего ПО лучше использовать средства, предусмотренные производителем данного ПО.\nДля того, чтобы начать использовать систему архивации Windows Server сначала нужно установить одноименный компонент, это делается через Мастер добавления ролей и компонентов. Затем оснастку управления службой можно запустить либо через Средства в Диспетчере серверов, либо через ярлык в Панель управления - Администрирование. Оснастка абсолютно типична для служб Windows Server и не вызывает каких-либо затруднений при работе с ней. Беглый взгляд на экран сразу позволяет оценить текущие настройки и состояние службы, доступные действия сосредоточены справа. Их немного: Однократная архивация, архивация по расписанию и восстановление. Нас прежде всего интересует расписание, хотя однократная архивация тоже довольно удобный инструмент, который позволяет быстро сделать копию состояния сервера перед какими-нибудь потенциально опасными действиями, чтобы была возможность откатиться на самое их начало.\nНажав на Расписание архивации мы запустим одноименного мастера, который предлагает нам архивировать весь сервер целиком, либо указать объекты для выборочной архивации. Заархивировать все и сразу мы всегда успеем, поэтому выберем настраиваемый тип архивации. Следующим шагом нам будет предложено выбрать объекты для архивации. Для их добавления просто нажмите Добавить элементы. Если выбрать Восстановление исходного состояния системы, то автоматически будут добавлены Состояние системы, системный раздел (диск C:) и служебный раздел с загрузчиком. К этим данным мы в учебных целях добавили папку с базами MS SQL, которые должны представлять некие пользовательские данные.\nПеред тем как двигаться дальше не забудьте заглянуть в Дополнительные параметры, здесь можно настроить исключения, например, совсем ни к чему копировать временные файлы. А также задать параметры службы теневого копирования, если у вас есть приложения использующие данную службу, например, MS SQL Server, то следует выбрать настройку Копировать журнал VSS, что обеспечит их нормальное взаимодействие со службой теневого копирования, в том числе и при восстановлении. Затем нужно будет создать расписание, задача предельно простая, можно запускать архивацию как один, так и несколько раз в день, минимальный шаг интервала - полчаса. С расписанием разобрались, теперь самое время определиться с местом хранения архивов. На выбор предлагается три варианта, каждый из них довольно неплохо прокомментирован, что облегчает правильный выбор: Как мы уже говорили, оптимальным является выделение для архивации целого диска, мы рекомендуем использовать для этой цели iSCSI диски, что позволяет решить сразу две основные задачи: оптимально использовать дисковое пространство и хранить архивы отдельно от системы.\nОтдельно стоит остановиться на возможности разместить архив в сетевой папке, несмотря на жесткие ограничения этот способ удобно использовать при однократной архивации, когда нужно быстро создать архив и разместить его вне сервера.\nЕсли вы выбрали диск, то он будет отформатирован и скрыт, это обеспечивает дополнительную защиту от возможных деструктивных воздействий, например, троянов-шифровальщиков. На последнем шаге следует еще раз убедиться в правильности сделанных настроек и подтвердить их нажатием на кнопку Готово. Теперь осталось дождаться указанного времени и убедиться, что процесс архивации был выполнен без сбоев. При создании расписания следует принять во внимание нагрузку на сеть и дисковую подсистему хранилища, что может приводить к снижению их производительности.\nПосле того, как резервная копия создана будет не лишним проверить возможность восстановления из нее. Для этого выберем в оснастке одноименное действие, при этом будет запущен Мастер восстановления, который первым делом попросит указать расположение архива: Затем указываем дату и время создания резервной копии на которую мы хотим откатиться, доступные даты подсвечиваются полужирным шрифтом. После чего указываем, что именно мы хотим восстановить: Как видим, это могут быть файлы и папки, виртуальные машины Hyper-V, тома, приложения и состояние системы. Отдельно следует упомянуть о приложениях. Эта функция доступна только для зарегистрированных в системе архивации приложений, которые должны уметь работать с API этой службы и поддерживать VSS. Проще говоря, в этот список попадает ограниченное количество программ, в основном от самой Microsoft, а для стороннего софта данная функция бесполезна.\nВ тоже время трудно переоценить возможность восстановления состояния системы, которая позволяет выполнить откат состояния ОС, не затрагивая при этом пользовательские данные. Это сильно выручает в ситуациях, когда между внесением изменений в систему и выявлением их негативного эффекта прошло какое-то время.\nВосстановление состояния системы производится в два этапа каждый из которых завершается перезагрузкой. Причем второй этап выглядит как обычная загрузка ОС и не выводит никаких сообщений, просто выполняя перезагрузку через некоторое время. Может показаться что произошла ошибка или сбой, но это не так. Поэтому просто следует запастись терпением и дождаться сообщения об успешном завершении операции. В зависимости от скорости сети, производительности дисков и объема данных эта операция может занять значительное время. Альтернативой восстановления состояния системы может служить восстановление на уровне тома, при этом все данные будут уничтожены и том будет приведен в состояние, в котором он находился на указанную дату. Это может оказаться полезным в случае вирусного инцидента, когда вы хотите быть уверенным, что в системе не осталось закладок вредоносного ПО, а также в случаях, когда исходный том был поврежден.\nВ общем и целом, данная операция ничем не отличается от восстановления тома из образа любым иным ПО, например, Acronis. При восстановлении папок и файлов можно гибко управлять параметрами восстановления, например, сохранив обе версии файла: текущую и восстанавливаемую, это полезно в тех случаях, когда файл был случайно перезаписан, но результат текущей работы также нужен. При восстановлении можно также восстановить все права доступа на файлы и папки, что важно, если у вас используется сложная система назначения прав. Как видим, система архивации Windows Server представляет собой весьма функциональный и удобный инструмент, позволяющий осуществлять успешное восстановление данных на любом уровне и в тоже время снимающая с администратора значительную часть забот по управлению этим процессом. Поэтому если вы еще не используете данную систему архивации, то после прочтения данного материала самое время более пристально к ней присмотреться.\n","id":"d20a23d20b7ea8985769f7752c19e1d3","link":"https://interface31.ru/post/nastraivaem-sistemu-arhivacii-windows-server/","section":"post","tags":["Windows Server","Windows Server 2012","Резервное копирование"],"title":"Настраиваем систему архивации Windows Server"},{"body":"Популярная система управления базами данных MySQL широко применяется для различных нужд, в первую очередь как стандарт де-факто в области интернет хостинга. Не менее широко распространен пакет для управления данной СУБД - phpMyAdmin. Без сомнения, это хороший, удобный продукт, но очень часто случается так, что навыки работы с этим продуктом полностью заменяют навыки работы с самой СУБД. Поэтому в данном материале мы решили познакомить наших читателей с тем, как выполнять основные задачи администрирования MySQL из командной строки.\nКак могли заметить наши постоянные читатели, мы последовательно выступаем против применения начинающими разного рода панелей управления, какими бы удобными и распространенными они не были. В тоже время мы не отрицаем их существование и сами с удовольствием используем в повседневной деятельности.\nНо есть одно большое отличие: специалист, умеющий работать с командной строкой, используя панель, не заменяет ей умение работать с продуктом, а только облегчает себе выполнение повседневных задач. А новичок, привыкший совершать все действия в панели, в случае ее недоступности впадает в тихую панику, ведь теперь нужно вводить какие-то \u0026quot;заклинания\u0026quot; в эту непонятную черную консоль...\nНа самом деле работать с СУБД на уровне командной строки совсем несложно, а часть задач по администрированию проще и удобнее выполнять именно в ней. Сразу оговоримся, под администрированием мы подразумеваем именно администрирование сервера СУБД, а не самих баз данных. С ними, конечно, тоже можно работать из командной строки, но лучше использовать для этого более подходящие инструменты.\nУправление базами данных и пользователями в MySQL Если танцевать следует начинать от печки, то работу с СУБД следует начинать с создания баз данных и пользователей этих баз. Задачи по сути своей простые и прекрасно, а главное - просто, решаются из консоли. Для работы с сервером MySQL предназначена одноименная утилита mysql, работа с которой происходит в интерактивном режиме, поэтому вначале подключимся к серверу:\n1mysql -u root -p Где ключ -u задает имя пользователя, а -p указывает на аутентификацию по паролю, синтаксис команды позволяет указать пароль, вписав его без пробелов сразу после ключа, но в этом случае он сохранится в истории команд, что не совсем хорошо, поэтому лучше ввести пароль интерактивно. Выполнив эту команду, мы окажемся в среде MySQL, на что указывает изменившееся приглашение командной строки. Работа в данной среде имеет свои особенности: каждая команда должна завершаться символом ; или \\g, о чем, кстати, написано в первой строке приветствия. Выход из данного режима осуществляется командой:\n1quit; Сразу об одной очень распространенной ошибке: забыли поставить точку с запятой в конце команды. Что делать? Ничего страшного, просто добейте недостающие символы в следующей строке.\nДля начала посмотрим список баз:\n1show databases; Как говорится, без лишних подробностей, но для большинства административных задач этого достаточно: 1select user,host from mysql.user; Команда select выбирает указанные колонки user, host, опция from указывает откуда мы их выбираем, а именно из таблицы user базы данных mysql. Посмотреть владельцев баз можно следующим запросом:\n1select host,db,user from mysql.db; 1show grants for \u0026#39;ivanov\u0026#39;@\u0026#39;localhost\u0026#39;; Имя пользователя и хост оборачиваем одинарными кавычками. Первая строка сообщает, что у указанного пользователя отсутствуют привилегии (USAGE) на любую таблицу любой базы (.), вторая строка говорит о всех основных привилегиях для всех таблиц всех баз с префиксом ivanov_.\nПодробный разбор системы прав MySQL выходит далеко за пределы данной статьи, скажем только что ALL PRIVELEGES дает пользователь все права на свои базы, но не позволяет управлять правами доступа для других пользователей. Для этого используется набор прав ALL PRIVELEGES WITH GRANT OPTION, который имеет по умолчанию root. Для простого пользователя такой набор прав избыточен.\nПопробуем создать нового пользователя:\n1create user \u0026#39;petrov\u0026#39;@\u0026#39;localhost\u0026#39; identified by \u0026#39;password\u0026#39;; Синтаксис команды прост, мы указываем имя пользователя и хост, а также идентификационные данные в виде пароля. Все передаваемые значения оборачиваются в одинарные кавычки. Создав пользователя нужно задать ему права, это делается командой GRANT. Сначала явно лишим его привилегий на чужие базы:\n1grant usage on *.* to \u0026#39;petrov\u0026#39;@\u0026#39;localhost\u0026#39;; Затем можем выставлять права по своему усмотрению, например, выдача полных прав на базы с шаблоном имени petrov_:\n1grant all privileges on `petrov\\_%`.* to \u0026#39;petrov\u0026#39;@\u0026#39;localhost\u0026#39;; Обратите внимание, что шаблон следует обернуть символами грависа (`), которые расположены на клавише с русской буквой Ё. Выдать права на отдельную базу можно так:\n1grant all privileges on andrey_drupal8.* to \u0026#39;petrov\u0026#39;@\u0026#39;localhost\u0026#39;; Для отбора прав служит команда REVOKE, которая имеет аналогичный синтаксис, только to (кому), заменяем на from (у кого). Например:\n1revoke all privileges on andrey_drupal8.* from \u0026#39;petrov\u0026#39;@\u0026#39;localhost\u0026#39;; Для того чтобы MySQL сервер применил права следует заставить его перезагрузить кэш привилегий командой:\n1flush privileges; Также вам может понадобиться сменить пароль пользователя:\n1set password for \u0026#39;petrov\u0026#39;@\u0026#39;localhost\u0026#39; = password(\u0026#39;newpassword\u0026#39;); Переименовать его, причем переименование не обязательно обозначает смену именно имени пользователя, можно изменить как имя, так и хост, в любых комбинациях:\n1rename user \u0026#39;petrov\u0026#39;@\u0026#39;localhost\u0026#39; to \u0026#39;petr\u0026#39;@\u0026#39;127.0.0.1\u0026#39;; Ну и наконец удалить учетную запись:\n1drop user \u0026#39;petr\u0026#39;@\u0026#39;127.0.0.1\u0026#39;; Перейдем от пользователей к базам данных, в простейшем случае для создания новой базы достаточно команды:\n1create database petrov_newdb; Это создаст базу данных с кодовой страницей и кодировкой сравнения по умолчанию. Если сервер СУБД отдельно не настраивался, то такой кодировкой скорее всего будет latin1_swedish_ci, что в ряде случаев может вызвать проблемы, если не сейчас, то в дальнейшем, поэтому правилом хорошего тона будет явно указывать кодировку при создании базы. Для UTF-8 это будет так:\n1create database petrov_newdb default character set utf8 collate utf8_general_ci; Для Windows-1251:\n1create database petrov_newdb default character set cp1251 collate cp1251_general_ci; Для удаления базы используйте:\n1drop database petrov_newdb; Проверка, оптимизация, исправление ошибок баз данных MySQL По мере активной работы MySQL базы могут фрагментироваться, а также содержать ошибки в данных таблиц. Мы не говорим сейчас о серьезных сбоях, такие ситуации следует рассматривать индивидуально, а о простейших ошибках, которые успешно устраняются средствами самой СУБД. Для проверки, ремонта и оптимизации удобно использовать утилиту mysqlcheck.\nДля проверки базы данных выполните, где andrey_drupal8 - имя базы:\n1mysqlcheck -u root -p --check andrey_drupal8 Сразу все базы можно проверить командой :\n1mysqlcheck -u root -p --check --all-databases А так как весь вывод на экран скорее всего не поместится, то есть смысл перенаправить его команде less:\n1mysqlcheck -u root -p --check --all-databases | less Обратите внимание, что less позволяет прокручивать вывод как вниз, так и вверх, используя стрелки, для выхода нажмите q.\nЕсли в какой-либо из баз были обнаружены ошибки стоит попытаться их исправить, для этого укажите:\n1mysqlcheck -u root -p --auto-repair andrey_drupal8 Для оптимизации используйте ключ --optimize, оптимизировать можно отдельную базу или несколько, для этого перечислите их после ключа --databases:\n1mysqlcheck -u root -p --optimize --databases andrey_drupal8 petrov_newdb а также сразу все:\n1mysqlcheck -u root -p --optimize --all-databases Выгрузка и загрузка дампов БД MySQL Еще одна распространенная задача при администрировании любой СУБД, дампы баз используются как для резервного копирования, так и для переноса или создания копий. Если резервное копирование - процесс автоматизированный, то создание копий для переноса на другой сервер или перед какими-то существенными вмешательствами в структуру базы приходится делать вручную.\nА если дело касается больших баз, то тут phpMyAdmin плохой помощник, сказываются ограничения на время исполнения скриптов, размер загружаемого файла, доступную память и т.д. И если выгрузить большой дамп с его помощью еще можно, то вот загрузить обратно может и не получиться.\nНачнем с создания дампов, для этих целей используется утилита mysqldump, синтаксис которой повторяет синтаксис mysqlcheck. Для выгрузки дампа используйте команду:\n1mysqldump -u root -p andrey_drupal8 \u0026gt; ~/drupal8.sql Чтобы выгрузить сразу несколько баз используйте ключ --databases или --all-databases для создания дампа сразу всех баз. Вывод команды следует направить в файл и указать его расположение, в нашем случае это файл drupal8.sql в домашней директории. Также можно передать вывод по конвейеру архиватору и получить сразу архив:\n1mysqldump -u root -p andrey_drupal8 | gzip \u0026gt; ~/drupal8.sql.gz В целом мы не советуем использовать один дамп сразу для нескольких баз, лучшим вариантом будет свой дамп для каждой базы, в тоже время использование ключа --all-databases оправдано в случаях, когда вам надо быстро сделать резервную копию всего сервера, например, при обновлении или переустановке СУБД, чтобы можно было быстро восстановить информацию если что-то пойдет не так.\nДля того чтобы восстановить базу нужно направить дамп на вход утилиты mysql, для одиночных дампов всегда следует указывать базу приемник, например:\n1mysql -u root -p andrey_drupal8 \u0026lt; ~/drupal8.sql В качестве приемника вовсе не обязательно должна выступать база источник, но учтите, что если база уже существует, все ее содержимое будет заменено содержимым дампа.\nДля дампов, содержащих более одной базы просто укажите:\n1mysql -u root -p \u0026lt; ~/all.sql В этом случае каждая база будет загружена в свой источник, если база источник не существует, то она будет создана.\nКак видим, создание и восстановление дампов при помощи командной строки происходит буквально в одну строку и гораздо проще, и быстрее, чем с использованием phpMyAdmin или подобных ему инструментов.\nВосстановление забытого пароля root MySQL Еще одна очень популярная задача. Скажем сразу, восстановить пароль суперпользователя MySQL, как и любого другого пользователя, нельзя, но можно его сменить. Для этого нужно обладать правами суперпользователя операционной системы. Сначала остановим службу СУБД:\n1service mysql stop Затем запускаем ее в безопасном режиме с пропуском таблиц привилегий:\n1mysqld_safe --skip-grant-tables \u0026amp; Обратите внимание, что после выполнения данной команды приглашение командной строки пропадет, останется один мигающий курсор. Пишем прямо туда:\n1mysql -u root и попадаем в среду mysql с правами root без ввода пароля. Нам кажется, что многие уже догадались, что делать дальше, однако выполнить set password в данном режиме не получится, поэтому надо идти другим путем. Вспоминаем, что информация о пользователях хранится в таблице user служебной БД mysql. После чего выполним следующий запрос:\n1update mysql.user set password = password (\u0026#39;newpassword\u0026#39;) where user=\u0026#39;root\u0026#39;; Информация Важно! В новых версиях MySQL вместо колонки password таблицы user используется колонка authentication_string, поэтому вместо set password следует указывать set authentication_string.\nДанный запрос установит новый пароль newpassword для всех строк в колонке user которых значится root. Обновим кэш привилегий:\n1flush privileges; Выйдем из режима:\n1quit; Остановим службу и запустим в обычном режиме:\n1service mysql stop 2service mysql start Надеемся, что после прочтения данной статьи вы приобретете начальные навыки работы с MySQL из командной строки и сможете уверенно себя чувствовать даже тогда, когда phpMyAdmin недоступен, а может быть даже оцените удобство консольных команд и будете все реже заходить в панель, предпочитая управлять сервером напрямую.\n","id":"e21b92ab7ac2fe1720b3642fd98ec0e1","link":"https://interface31.ru/post/osnovy-administrirovaniya-mysql-pri-pomoschi-komandnoy-stroki/","section":"post","tags":["MySQL","Резервное копирование"],"title":"Основы администрирования MySQL при помощи командной строки"},{"body":"Необходимость проброса портов весьма часто встающая перед системным администратором задача. Обычно для этой цели используют службы маршрутизации и удаленного доступа (RRAS), но в ряде случаев использование данного инструмента избыточно. В тоже время немногие знают о такой службе как Portproxy, которая управляется из командной строки при помощи команд Netsh. Тем не менее данная служба позволяет справиться с поставленной задачей проще, быстрее и удобнее, чем инструменты графического интерфейса.\nЧасто можно услышать совершенно неверное утверждение, что в части сетевых настроек операционные системы Windows значительно уступают своим конкурентам (Linux и BSD). Отчасти такие суждения опираются на опыт администрирования стандартных ролей полностью игнорируя возможности командной строки.\nНачиная с Windows Server 2003 в состав системы был в введена команда Netsh, которая позволяет гибко управлять сетевыми настройками компьютера. Обзор всех возможностей этой утилиты займет не одну статью, поэтому мы остановимся на командах Netsh для интерфейса Portproxy, позволяющих непосредственно решить нашу задачу.\nДанный набор команд позволяет перенаправлять приходящие пакеты с IPv4 и IPv6 портов на любые IPv4 и IPv6 порты компьютера назначения в любых комбинациях. Единственное ограничение - portproxy может работать только с протоколом TCP, но в большинстве случаев этого достаточно.\nДля добавления перенаправления используется команда add v4tov4 (если требуется перенаправление с IPv4 в IPv6 используйте v4tov6 и т.д.), полный синтаксис будет такой:\n1netsh interface portproxy add v4tov4 listenaddress=xxx.xxx.xxx.xxx listenport=nnn connectaddress=xxx.xxx.xxx.xxx connectport=nnn где:\nlistenaddress - локальный адрес на котором принимаются соединения listenport - локальный порт на котором принимаются соединения connectaddress - удаленный или локальный адрес на который перенаправляются соединения connectport - удаленный или локальный порт на который перенаправляются соединения Для изменения уже существующего правила используется команда set v4tov4, которая имеет идентичный синтаксис, listenaddress и listenport - являются обязательными параметрами. Из необязательных параметров можно указывать только тот, который нужно изменить.\nДля удаления правил используйте delete v4tov6 с указанием входящих адреса и порта:\n1netsh interface portproxy delete v4tov4 listenaddress=xxx.xxx.xxx.xxx listenport=nnn Для просмотра существующих правил введите:\n1netsh interface portproxy show all Вместо all допустимо указывать v4tov4 или v6tov4 и т.п. для просмотра только соответствующих правил. 1netsh interface portproxy reset Чтобы не быть голословными рассмотрим практический случай использования portproxy в одной довольно непростой ситуации.\nУ одного нашего клиента имеется две аффилированных (т.е. принадлежащих одному владельцу) организации, имеющие разный вид деятельности и между собой не взаимодействующие. Одна из них находится в городе и не испытывает проблем с внешними коммуникациями. Вторая в сельской местности где доступен только среднего качества интернет, а о выделенном IP-адресе не может быть и речи.\nПоэтому, когда встал вопрос организации удаленного доступа к сети второй организации с административными и контрольными целями, то было принято решение использовать для этого ресурсы первой организации, при этом внутренние сети обоих компаний не должны видеть друг друга и вообще иметь какой-либо доступ к ресурсам другой организации.\nКроме того, выяснилось, что обе сети имеют одинаковый диапазон IP-адресов, что делало маршрутизацию между ними в принципе крайне затруднительной. По условиям задачи требовалось обеспечить доступ к RDP (порт 3389) сервера SRV-2-1 и SSH (порт 22) сервера SRV-2-2 второй организации, для этого выделялся сервер SRV-1-1 первой компании, при этом, как можно увидеть из схемы ниже, сервера обоих компаний также имеют одинаковые внутренние адреса. Теперь нам надо перенаправить все соединения на эти порты в сеть второй компании, но там нам доступен только SRV-2-1 по VPN-адресу, поэтому направим пакеты туда, для чего создадим два правила:\n1netsh interface portproxy add v4tov4 listenport=3390 listenaddress=192.168.0.200 connectport=3389 connectaddress=10.8.0.2 2netsh interface portproxy add v4tov4 listenport=22222 listenaddress=192.168.0.200 connectport=22222 connectaddress=10.8.0.2 Первое правило отправит все пакеты пришедшие на порт 3390 с адресом 192.168.0.200 (внутренний адрес SRV-1-1) в VPN-туннель серверу SRV-2-1, а так как он уже является целевым для службы RDP, то сразу меняем порт назначения на 3389. Первая часть задачи выполнена.\nВторое правило отправит к SRV-2-1 все пакеты с порта 22222 (SSH), теперь нам надо научить этот сервер как правильно доставить их адресату. Для этого добавим уже этому серверу следующее правило:\n1netsh interface portproxy add v4tov4 listenport=22222 listenaddress=10.8.0.2 connectport=22 connectaddress=192.168.0.201 Согласно которому сервер SRV-2-1 в сети второй компании будет слушать порт 22222 на интерфейсе VPN-сети и передавать все полученные пакеты на порт 22 (SSH) сервера SRV-2-2.\nКак видим мы весьма просто реализовали довольно сложную схему, так пакет к серверу SRV-2-2 проходит три промежуточных узла, но при этом мы не настраивали никакой маршрутизации и не устанавливали никакого дополнительного ПО и вообще обошлись минимальным вмешательством в инфраструктуру.\n","id":"d3436128863a6f3f85bb817294e3fc6b","link":"https://interface31.ru/post/nastraivaem-probros-portov-v-windows-pri-pomoshhi-komandnoy-stroki-i-portproxy/","section":"post","tags":["Netsh","Windows Server","Сетевые технологии"],"title":"Настраиваем проброс портов в Windows при помощи командной строки и Portproxy"},{"body":"В прошлой части нашего материала мы разобрали как устроена и какие особенности имеет файловая система Linux. Пора переходить от теории к практике. Так как основным инструментом администратора является консоль, то основное внимание мы уделим работе с утилитами командной строки, тем более, как вы уже должны были заметить, графические оболочки предоставляют весьма ограниченные возможности по работе с файловой системой. Да и многие вещи в Linux до сих пор проще, удобнее и быстрее сделать именно из командной строки.\nПозвольте, скажет иной читатель, но ведь есть же иные инструменты для работы с файлами и папками в консольном режиме, тот же mc (Midnight Commander). Действительно, это отличный классический двухпанельный файловый менеджер и мы активно используем его в повседневной работе. Скажем больше, это первое приложение которое мы ставим на новый сервер и вообще слабо представляем себе комфортную работу без него. Когда мы говорили о том, что консоль позволяет решить многие задачи проще и быстрее, то мы вовсе не имели в виду, что прочие инструменты плохи или несовершенны, напротив, командная строка Linux, включив в себя богатое наследство UNIX, представляет собой весьма гибкий, мощный и удобный инструмент, освоив который вы будете открывать терминал даже находясь в графическом режиме.\nНавигация и базовые операции Первый и естественный вопрос возникающий при работе с файловой системой: а где я сейчас нахожусь? Ответ на этот вопрос написан в приглашении командной строки. Если этой информации там по какой-либо причине нет, либо вы затрудняетесь в ее интерпретации, то узнать свое местоположение можно командой:\n1pwd На скриншоте ниже приглашение командной строки показывает, что мы находимся в домашней директории текущего пользователя, для ее краткого обозначения используется символ ~, команда pwd уточнит, что это /home/andrey. Получить список файлов и папок в текущей директории можно командой:\n1ls Подробную информацию, включая типы файлов, права, владельцев и размер можно получить добавив ключ -l:\n1ls -l Все бы хорошо, но размер файлов в байтах не очень хорошо воспринимается, поэтому добавим ключ -h, а ключ -a покажет скрытые файлы и папки:\n1ls -lha или\n1ls -l -h -a как вам больше нравится. Полный список ключей можно получить командой:\n1ls --help | less Передача вывода утилите less позволит выводить данные постранично, листание страниц производится клавишей Пробел, выход из режима кнопкой Q.\nТакже вы можете просмотреть содержимое любой интересующей вас директории, например:\n1ls -lh /var/www/deb8.lab Вывод покажет нам содержимое /var/www/deb8.lab, хотя мы продолжаем находиться в домашней директории. Для перемещения по файловой системе служит иная команда:\n1cd Если выполнить ее без параметров, она переместит нас в домашний каталог. Для перехода в иное место просто укажите каталог, можно использовать как абсолютные, так и относительные пути. Например:\n1cd /etc переместит нас в каталог /etc вне зависимости от нашего прошлого положения, если потом выполнить:\n1cd squid3 то мы попадем в /etc/squid3\nКоманда\n1cd .. позволяет быстро выйти на уровень вверх. При этом можно совершать интересные пируэты. Например, команда\n1cd /etc/php5 Перенесет нас в /etc/php5, а теперь выполнив\n1cd ../apache2 мы быстро сменим каталог на одноуровневый /etc/apache2. Это удобно когда вы находитесь в глубине файловой системы и набирать полный путь при помощи автодополнения может оказаться несколько утомительным.\nА ну ка, попробуйте быстро перескочить из /var/www/client/data/www/example.com в /var/www/client/data/log? Да запросто:\n1cd ../../log Следующий по важности вопрос, это найти где лежит некий файл или папка. Для этой цели служит команда find, в простейшем виде можно выполнить\n1find name Это произведет поиск файлов, папок, символьных ссылок и т.п. с именем name в текущей директории. Однако возможности команды find гораздо выше. Она позволяет не только искать файлы, но и выполнять над ними определенные действия.\nДля лучшего поиска мы можем указывать тип файла, используя ключ -type, в этом случае доступными опциями ключа будут f - файл, d - директория,l - ссылка, ключ -name осуществляет поиск по имени, допускаются подстановочные символы. Если мы хотим искать по регулярному выражению - используем ключ -regex. Условия поиска можно сочетать при помощи логического И (ключ -a) и логического ИЛИ (ключ -o).\nНапример найдем все символические ссылки в директории /home\n1find /home -type l Или найдем и выведем в файл все изображения JPG или PNG в папке с сайтом:\n1find /var/www/deb8.lab -name *.jpg -o -name *.png \u0026gt; ~/image.txt Отлично, в наших руках полный список изображений: Допустим мы хотим найти только те изображения, которые загрузили, отбросив служебные картинки. Дополнительным критерием отбора может стать размер, скажем, 100 КБ для JPG и 200 КБ для PNG.\n1find /var/www/deb8.lab -name *.jpg -a -size +100k -o -name *.png -a -size +200k \u0026gt; ~/image.txt А теперь на мгновение задумайтесь, каким образом можно было бы решить такую задачу в графической среде? И за какое время?\nОтдельно обратим ваше внимание на использование логических условий, несмотря на то, что нам нужно найти JPG и PNG мы используем оператор ИЛИ, так как файл не может являться одновременно и JPG и PNG. А добавляя условие размера используем И. Т.е. полностью условие читается так:\n1Найти если имя *.jpg И размер +100k ИЛИ имя *.png И размер +200k При передаче значения условиям оперирующим с цифровыми значениями (размер, время) мы можем использовать как точный размер, так и его границы. Просто число укажет на точное значение, знаки + и - читаются как больше и меньше.\nНапример, найдем все файлы в домашней директории измененные за последний час:\n1find ~ -mmin -60 Или найдем и удалим все бекапы старше 7 дней:\n1find /var/backup -name backup* -mtime +7 -delete Также команда find позволяет выполнять над найденными файлами произвольные действия, для этого используется ключ -exec command {} ;. Допустим нам надо быстро исправить права на папки и файлы в каталоге с сайтом:\n1find /var/www/deb8.lab -type d -exec chmod 0755 \u0026#34;{}\u0026#34; \\; 2find /var/www/deb8.lab -type f -exec chmod 0644 \u0026#34;{}\u0026#34; \\; Еще одна полезная команда cat - позволяет просмотреть содержимое какого-либо файла без запуска дополнительных приложений, при чтении больших файлов следует передавать их утилитам less или more для удобного отображения.\nНапример:\n1cat image.txt Также нельзя не упомянуть о команде tail, которая выводит на экран заданное количесто строк из указанного файла (по умолчанию 10), с ее помощью удобно просматривать последние логи. Например:\n1tail -2 /var/log/syslog выведет на экран две последние строки /var/log/syslog, а будучи запущена с ключом -f команда будет отслеживать добавление новых строк и выводить их в на экран в режиме реального времени.\n1tail -f /var/log/syslog Работа с файлами и папками Научившись перемещаться по файловой системе, искать и просматривать содержимое файлов и каталогов, самое время перейти к базовым операциям с ними. Начнем с создания файлов и папок.\nДля создания пустых файлов служит команда touch, в качестве аргумента которой передаем имя файла, можно нескольких, разделяя их пробелом. Если надо создать файл в директории отличной от текущей, то указываем полный путь к нему. Например следующая команда создаст два файла в текущей директории:\n1touch file1 file2 Если файл существует, то с ним ничего страшного не произойдет, команда просто обновит время последнего доступа (это кстати ее основное назначение).\nДля создания каталогов служит команда mkdir, в качестве аргументов мы можем указать один или несколько каталогов, если не указан абсолютный путь каталоги будут созданы в текущей директории. Например:\n1mkdir dir1 dir2 Используя ключ -p можно сразу создать дерево каталогов:\n1mkdir -p /dir2/dir3/dir4/dir5 Ключ -m позволяет сразу указать права доступа, например:\n1mkdir -m 0777 dir7 Как видим директория сразу создалась с нужными правами.\nДля копирования используется команда cp. Ее синтаксис предельно прост - указываем что копируем, затем указываем куда, как и в других командах путь можно указывать абсолютный или относительный. Например:\n1cp image.txt dir7 Скопирует файл image.txt в директорию dir7, учтите, что по умолчанию уже существующие файлы перезаписываются, чтобы этого избежать добавьте ключ -i.\n1cp -i image.txt dir7 Также можно явно запретить перезапись существующих файлов ключом -n, в сочетании с -i отменяет последний, существует также обратный по действию ключ -f, который включает принудительную перезапись файлов.\nДля копирования каталогов следует указать ключ -r, при этом будут скопированы все вложенные каталоги.\n1cp -r dir2 dir1 Для визуализации процесса можно использовать ключ -v, например:\n1cp -rv dir2 dir1 Это удобно когда вы вручную копируете значительное количество файлов и хотите видеть ход операции.\nПри копировании с перезаписью можно использовать ключ -u, который скопирует только те файлы, которые новее, порой это позволяет значительно сэкономить время.\nДля переименования и перемещения используется иная команда - mv, поначалу это может вызвать удивление, но с точки зрения файловой системы это одна и та же операция. Например, команда:\n1mv file1 file2 переименует файл file1 в file2, а команда:\n1mv file1 dir2 переместит file1 в каталог dir2, но если сделать так:\n1mv file1 dir2/file2 то мы переместим файл и переименуем одновременно.\nКоманда поддерживает ключи -i, -f и -n, которые означают тоже самое, что и у команды cp (спрашивать при замене, принудительно заменять и не заменять). При одновременном указании работает последний ключ. Также поддерживаются -v и -u, с теми же значениями, при работе с директориями указывать дополнительный ключ не надо.\nОбе команды поддерживают работу сразу с несколькими объектами, при этом источниками считаются все указанные объекты, кроме последнего, который является назначением.\n1cp (mv) источник1 источник2 ... источникN назначение Для удаления файлов используйте rm, она поддерживает ключи -r (рекурсивно) для удаления директорий, -i и -f, с теми же значениями, ключ -v также выведет на экран информацию о ходе операции.\nНапример удалим файл:\n1rm file1 затем папку\n1rm -r dir2 В этом месте нельзя не вспомнить об очень старой и очень злой \u0026quot;шутке\u0026quot;:\n1rm -rf / Данная команда полностью удаляла корневую директорию с диска, от чего пострадало большое количество начинающих, вбивавших \u0026quot;подсказанные\u0026quot; команды не думая. В современных системах есть защита от такого действия - удалить корень просто так нельзя. Но нет ничего невозможного, особенно если у вас есть root-права. Можно добавить ключ, услужливо подсказанный в выводе, а можно поступить проще:\n1rm -rf /* Казалось бы всего добавили один символ... Но смысл команды изменился, вместо удаления корневой директории она предписывает удалить ее содержимое. И удалит, все до чего дотянется. Тушим свет: Сливаем воду: Внимание! Внимание! Данные действия произведены нами сугубо в образовательных целях и привели к практически полному уничтожению данных. Не пытайтесь повторить это на работающей системе!\nВ любом случае к операции удаления надо подходить ответственно, особенно если вы удаляете директории. Если вы не уверены в своих действиях обязательно используйте ключ -i, который будет ожидать от вас подтверждения при удалении каждого файла.\nТакже никогда не используйте относительные пути с командой rm в скриптах, так как будучи перемещен в иное место такой скрипт способен вызвать самые непредсказуемые последствия.\nТеперь несколько слов о ссылках, для их создания предназначена команда ln, не путать с ls. На самом деле запомнить команды Linux не сложно, если знать что большинство из них связано с сокращенным наименованием действия. Так и здесь: link (ссылка) - ln, list (список) - ls.\nЗапущенная без ключей команда создает жесткую ссылку:\n1ln file1 file1-1 Как мы помним, жесткая ссылка - это еще одно имя файла и после выполнения данной операции определить где исходный файл, а где ссылка решительно невозможно. Поэтому используйте эту возможность только тогда, когда это действительно необходимо, чтобы избежать путаницы и неожиданного изменения содержимого файлов.\nВ повседневной работе удобнее всего использовать символические ссылки, для их создания потребуется указать ключ -s:\n1ln -s file1 file1-1 Если при создании ссылки использовались относительные пути, то ссылка тоже будет относительной, т.е. действительной только в текущем расположении. Например, если мы напишем:\n1ln -s file1 dir3/file1 то такая ссылка работать не будет. Но есть небольшая хитрость, ключ -r позволит выстроить к такой ссылке относительный путь, но работать такая ссылка тоже будет только в своем расположении.\n1ln -sr file2 dir3/file2 Как видим первая ссылка нерабочая, в то время как вторая правильно указывает путь в вышестоящую директорию, но если мы ее куда либо переместим, то работать она перестанет. Для чего это может быть полезным? Например, если вы находитесь в глубине файловой системы, скажем в /var/www/example/data/www/example.com/templates/system/images и вам надо сделать ссылку в соседний каталог. Это очевидный плюс. Но есть и еще один. Относительные ссылки будут работать даже при значительном изменении структуры размещения данных при условии, что ссылка и источник сохраняют взаимное расположение.\nПростой пример: директория с сайтом на веб-сервере. При переносе на другой сервер абсолютные пути к файлам могут измениться, но взаимное расположение файлов относительно корня сайта сохраняется. В этом случае символические ссылки с абсолютными путями сделаются неверны, а с относительными продолжат работать.\nВ любом случае при создании ссылки держите этот момент в голове и выбирайте тот вариант, который наиболее подходит к текущей задаче.\nРабота с архивами Теперь, когда вы умеете работать с файлами и папками самое время заняться архивами. Мы не будем подробно останавливаться на этой теме, уделив внимание только базовым операциям. Таких в повседневной работе ровно две: создать архив и извлечь его. В Linux наибольшее распространение получили архивы tar.gz или tar.bz, работа с которыми имеет свои особенности.\nВ привычном нам понимании архив - это сжатый файл, однако в Linux это не так. Архивом называется простой контейнер, содержащий в себе произвольные папки и файлы, для создания контейнеров используется команда tar. При необходимости полученный контейнер можно сжать, используя для этого любой поддерживаемый системой алгоритм сжатия. Стандартом де-факто является алгоритм gzip, который сочетает оптимальное соотношение потребляемых ресурсов, времени и степени сжатия. Если нужна более высокая степень сжатия и время создания или распаковки не играет особой роли, то используется алгоритм bzip2, обычно в таких архивах распространяется ПО. Не так давно мы проводили большое тестирование консольных архиваторов, которое показало, что в подавляющем большинстве случаев использование штатных алгоритмов является наиболее оптимальным и нет никакой необходимости \u0026quot;изобретать велосипед\u0026quot;.\nНо вернемся к команде tar, очень часто начинающие путаются с ключами и порядком их указания, но если разобраться в их значении, то все окажется очень просто. Самым первым указывается ключ основного действия, это может быть: -с - создать архив,-u - добавить файлы к архиву, -t - показать его содержимое и -х извлечь. Затем указываем дополнительные ключи, обычно это -v - выводить на экран ход операции. Данный ключ имеет смысл только в интерактивном режиме, в скриптах бесполезен.\nИ самым последним должен указываться ключ задающий тип носителя, в подавляющем большинстве случаев это файл, поэтому последний ключ всегда -f. После этого ключа первым указываем имя архива и только потом то, что мы хотим в него добавить или извлечь. Попробуем:\n1tar -cf archive.tar file1 Эта команда создаст архив archive.tar и поместит в него файл file1. Теперь добавим туда файл file2:\n1tar -uf archive.tar file2 И просмотрим его содержимое:\n1tar -tf archive.tar Обратите внимание на вывод второй команды, мы добавили к ней ключ -v, и если создание архива без этого ключа прошло без вывода сообщений на экран, то команда добавления вывела имя добавленного файла.\nТеперь извлечем содержимое архива:\n1tar -xf archive.tar Обратите внимание, что извлечение всегда происходит в текущий каталог, в приведенном виде команда извлечет содержимое архива целиком. Если нужно извлечь только отдельный файл или каталог, то его имя следует указать после имени архива. Например:\n1tar -xf archive.tar file1 Данная команда извлечет из архива только файл file1.\nИ, наконец, сжатие. Чтобы сжать архив следует указать один из ключей: -z для gzip и -j для bzip2. При извлечении указывать данные ключи не нужно. Например:\n1tar -czf archive.tar.gz file1 2tar -cjf archive.tar.bz2 file1 По общепринятой практике таким архивам присваивают расширения tar.gz или tgz для gzip и tar.bz2 или tbz2 для bzip2. Мы советуем следовать этому правилу, чтобы потом вам или вашему коллеге не пришлось гадать, а что это за файл тут лежит и чем именно он запакован.\nМонтируем съемные носители Тема монтирования дисковых носителей также довольно обширна и далеко выходит за рамки данной статьи, поэтому мы коснемся ее лишь стороной, в части работы со съемными носителями. Начнем с оптических дисков.\nДля работы с ними в Linux существует виртуальное устройство cdrom, которое представляет файл символической ссылки на блочное устройство, соответствующее дисководу, например, sr0. Чтобы смонтировать оптический диск выполните:\n1mount /dev/cdrom /media После чего содержимое оптического диска будет доступно в каталоге /media файловой системы. В принципе, вы можете смонтировать диск в любую точку файловой системы, но лучше придерживаться общепринятых соглашений.\nДля отмонтирования носителя используйте команду\n1umount /media Обратите внимание, что для успешного выполнения этих операций вам потребуются права суперпользователя.\nПодключив флешку в первую очередь следует узнать каким образом она определилась в системе, для этого от суперпользователя выполните:\n1fdisk -l Вывод покажет все дисковые накопители подключенные к вашей системе: Как видим, наша флешка определилась как /dev/sdb1 и имеет файловую систему FAT32, для монтирования используйте команду:\n1mount /dev/sdb1 /mnt Теперь содержимое флешки будет доступно в директории /mnt. Иногда требуется явно указать тип файловой системы, для чего используется ключ -t с указанием типа ФС. Например, для FAT32 - vfat, для NTFS - ntfs. Существует расхожее мнение, что тип файловой системы нужно указывать обязательно, это не так, данный ключ просто ограничивает список файловых систем для монтирования, без его указания тип ФС будет определен автоматически.\nИз опций монтирования вам может оказаться полезной опция -o ro, позволяющая смонтировать носитель только на чтение, оптические диски монтируются только на чтение автоматически. Например:\n1mount -o ro /dev/sdb1 /mnt Отмонитровать носитель также можно командой umount, при этом можно использовать ключ -f для небезопасного отключения.\nНа этом мы закончим и так получившуюся довольно большой статью. И хотя многие вещи остались за кадром, мы надеемся что после его прочтения вы будете уверенно ориентироваться в файловой системе Linux и без затруднений выполнять базовые операции.\n","id":"a320442843ef650c9ad661e6d3286e80","link":"https://interface31.ru/post/linux-nachinayushhim-chast-4-rabotaem-s-faylovoy-sistemoy-praktika/","section":"post","tags":["Debian","Ubuntu","Ubuntu Server"],"title":"Linux - начинающим. Часть 4. Работаем с файловой системой. Практика"},{"body":"Протокол FTP, несмотря на преклонный возраст и серьезные недостатки продолжает широко применяться, во многом благодаря простоте и поддержке со стороны самого широкого спектра устройств и ПО. FTP-сервер является неотъемлемой частью любого веб-сервера, применяется в системах автоматизированного обмена данными. Наиболее часто встающей перед администраторами таких систем задачей является создание сервера с виртуальными пользователями. Сегодня мы расскажем, как это сделать.\nПро настройку FTP-сервера на базе vsftpd мы уже рассказывали на страницах нашего сайта, недавно существенно дополнив и обновив статью Простой FTP-сервер на базе Ubuntu (vsftpd). В ней мы рассказали каким образом можно ограничить список пользователей, имеющих возможность подключаться к серверу, и их права. Однако локальные пользователи остаются при этом локальными пользователями и несмотря на ограниченные права могут оказаться объектом атаки, направленной на повышение прав, например, через уязвимости в каком-либо ПО.\nКроме того, ручное редактирование списков и настроек пользователей может оказаться весьма трудоемким делом если их не один-два, а существенно больше. Также иногда возникает ситуация, что светить данные реальных пользователей просто нежелательно, например, FTP используется движком сайта (CMS), связка пользователь-пароль явно прописана в конфиге и теоретически доступна любому работающему с сайтом сотруднику.\nВ таких ситуациях следует использовать виртуального пользователя, который будет иметь доступ исключительно к данному FTP-ресурсу и учетные данные которого можно смело сообщить всем принимающих участие в работе реальным сотрудникам.\nВ нашей статье мы настроим FTP-сервер для реализации следующей схемы: Важное замечание, в данной схеме все сайты должны работать от имени веб-сервера (www-data), если вы используете запуск каждого сайта от имени своего (реального) пользователя, то вам лучше настроить FTP-сервер для работы с реальными пользователями или дополнительно обеспечить нужные права доступа для виртуальных пользователей, что может представлять из себя нетривиальную задачу.\nПрежде всего установим соглашение: имя виртуального пользователя должно совпадать и именем корневой FTP-папки, в нашем случае папки сайта, а все такие папки должны располагаться в одном месте, т.е. подпадать под шаблон /var/www/$USER. Это позволит в дальнейшем с легкостью манипулировать сайтами и виртуальными пользователями, а также избежать путаницы в именах и настройках.\nОпределившись с моделью размещения данных можно переходить к настройкам ПО. Кроме vsftpd нам понадобятся пакеты libpam-pwdfile и apache2-utils. Последний входит в состав одноименного веб-сервера и если у вас уже работает Apache, то устанавливать его не надо.\nСама установка предельно проста:\n1apt-get install vsftpd libpam-pwdfile apache2-utils После чего перейдем к настройкам FTP-сервера, которые расположены в файле /etc/vsftpd.conf, мы перечислим опции в порядке их нахождения в файле.\nДанная опция запускает FTP-сервер как службу\n1listen=YES ниже имеется аналогичная взаимоисключающая опция:\n1listen_ipv6=NO Первая из них обеспечивает поддержку IPv4, вторая сразу IPv6 и IPv4, поэтому должна быть включена только одна из них.\nЗапрещаем анонимных пользователей:\n1anonymous_enable=NO И разрешаем локальных (и виртуальных) пользователей:\n1local_enable=YES Также разрешаем запись:\n1write_enable=YES и задаем маску для вновь создаваемых файлов и папок:\n1local_umask=022 Это обеспечит установку прав 755 на папки и 644 на файлы, т.е. полный доступ только владельцу и чтение для группы и остальных.\nЧтобы FTP использовал локальное время сервера, а не GMT установим:\n1use_localtime=YES И включим лог загружаемых и скачиваемых файлов:\n1xferlog_enable=YES Разрешаем передачу данных через порт 20, требуется для лучшей совместимости с некоторыми клиентами:\n1connect_from_port_20=YES Задаем путь к логу и его формат:\n1xferlog_file=/var/log/vsftpd.log 2xferlog_std_format=YES Укажем таймауты:\n1idle_session_timeout=600 2data_connection_timeout=120 Первый задает время отключения бездействующего пользователя, а второй время ожидания возобновления неоконченной передачи.\nДля корректной работы с текстовыми данными, в частности с символами переноса строки в разных ОС (CR+LF в Windows, LF в Linux) включим поддержку ASCII, это полезно, если вы скачиваете скрипты или файлы с Linux сервера, правите их в среде Windows и заливаете обратно. В этом случае FTP автоматически будет менять символы переноса строки для соответствия стандартам системы.\n1ascii_upload_enable=YES 2ascii_download_enable=YES Обязательно изолируем пользователя в корне его домашней директории и рядом впишем опцию, разрешающую запись в корень:\n1chroot_local_user=YES 2allow_writeable_chroot=YES Остальные опции оставляем без изменения.\nНиже добавим необходимые нам настройки. Разрешим пассивный режим и явно укажем диапазон портов:\n1pasv_enable=YES 2pasv_min_port=62000 3pasv_max_port=62999 Включим виртуальных пользователей:\n1guest_enable=YES Укажем от имени какого реального пользователя они будут работать, так как в нашем случае нам надо работать с содержимым веб-сервера, то указываем соответствующего пользователя www-data.\n1guest_username=www-data Применяем к виртуальным пользователям настройки локальных, иначе к ним будут применены ограничения анонимных.\n1virtual_use_local_privs=YES Укажем шаблон для автоматической генерации домашнего каталога виртуального пользователя:\n1user_sub_token=$USER Теперь можно задать сами домашние директории\n1local_root=/var/www/$USER Также иногда неплохо будет скрыть реальных владельцев содержимого, для этого добавьте:\n1hide_ids=YES Если вы используете Ubuntu, то добавьте следующую недокументированную опцию:\n1seccomp_sandbox=NO Это позволит избежать ошибки 500 OOPS: prctl PR_SET_SECCOMP failed, которая возникает из некорректной совместной работы vsftpd и системы безопасности seccomp, в Debian данная ошибка не проявляется.\nНа этом настройка FTP-сервера закончена, сохраняем файл и переходим к настройке правил аутентификации. Откроем /etc/pam.d/vsftpd, закомментируем в нем все строки и добавим две свои:\n1auth required pam_pwdfile.so pwdfile /etc/vsftpwd 2account required pam_permit.so После этого аутентификация локальных пользователей на FTP-сервере будет невозможна, работать будут только виртуальные. Опция pwdfile /etc/vsftpwd указывает путь к файлу паролей, его нам необходимо будет создать на следующем шаге.\nДля создания пользователей будем использовать утилиту htpasswd из состава apache2-utils, для создания файла паролей и первого пользователя введите:\n1htpasswd -c -d /etc/vsftpwd blue.lab Ключ -c предписывает создать файл паролей, если он существует, то все данные в нем будут очищены, а файл перезаписан, -d задает необходимый для vsftpd алгоритм шифрования хэша пароля.\nСледующие пользователи создаются командой (в нашем примере это пользователь green.lab):\n1htpasswd -d /etc/vsftpwd green.lab Для удаления пользователя используйте (удаляем red.lab):\n1htpasswd -D /etc/vsftpwd red.lab После чего можно перезапустить службу FTP-сервера и проверить его работу:\n1service vsftpd restart Как видим, настроить FTP-сервер с виртуальными пользователями по нашей инструкции (в отличие от многих иных \u0026quot;инструкций\u0026quot; в сети) абсолютно несложно и недолго. Если вы будете внимательно следовать всем нашим рекомендациям, то сложностей у вас возникнуть не должно.\n","id":"da92d3ed6ddfa2d7e0fd1565959e4cf7","link":"https://interface31.ru/post/nastraivaem-ftp-server-s-virtual-nymi-pol-zovatelyami-na-baze-vsftpd/","section":"post","tags":["FTP","Ubuntu Server","Web-сервер","Сетевые технологии"],"title":"Настраиваем FTP-сервер с виртуальными пользователями на базе vsftpd"},{"body":"Умение работать с файловой системой - один из наиболее важных навыков для начинающих. Действительно, о какой работе с системой может идти речь, если вы не знаете где и какие системные файлы расположены, не можете свободно перемещаться по дереву каталогов и выполнять элементарные операции с файлами? Тем более, что эти вопросы в руководствах обычно не поднимаются, предполагая, что читатель обладает необходимым минимумом знаний и умений. Поэтому очередная часть нашего цикла будет посвящена именно работе с файловой системой.\nПеред тем как начать, вспомним, что такое файловая система. Прежде всего, это порядок, определяющий способ организации, хранения и именования информации на устройствах хранения, а только потом практическая реализация этого порядка. Т.е. первичен некий свод правил: что где лежит, как называется и т.д. и т.п., а практические реализации файловых систем, например, NTFS или ext4, это технический способ организации информации на определенном типе носителя в соответствии с принятыми правилами.\nЗа примерами далеко ходить не надо, каждый пользователь Windows знает, что файлы лежат в папках, папки на разделах (логических дисках), а систему следует искать в папке Windows системного диска. Точно также любой Linux администратор будет искать настройки в /etc, логи в /var/log, а свои собственные документы в /home.\nТак как большинство начинающих Linux администраторов уже имеют достаточный опыт работы с файловой системой Windows, то прежде всего мы рассмотрим, что общего у двух систем, а чем они отличаются. Понимание этих моментов поможет по максимуму использовать уже имеющийся опыт, в тоже время, не совершая глупых ошибок.\nСтруктура файловой системы Начнем с привычного и понятного. В основу файловой системы Windows положен диск, символизирующий собой отдельное устройство хранения информации. При этом каждый диск содержит свою собственную файловую систему, корень которой составляет он сам и обозначается буквой. Т.е. запись вида C:\\ - обозначает корень файловой системы на диске С, а D:\\Работа - папку в корне файловой системы диска D. Подключая к системе новый носитель информации мы получаем еще одну или несколько файловых систем.\nЭто одна из самых больших привычек: подключили накопитель - в системе появился новый диск, если это не так, то накопитель либо не определился, либо неисправен.\nВ Linuх концепция принципиально иная. Вспомним: все есть файл, дисковые накопители -- это тоже определенный тип файла. Кроме того, файловая система Linuх иерархична, т.е. имеет один единственный корень, обозначаемый символом /.\nЭтот момент вызывает у новичков множество непониманий. Но на самом деле нет ничего сложного, файловая система в Linux просто организована по-другому, но при этом она по-своему стройна, логична и понятна.\nДавайте еще раз рассмотрим схему с Windows. На ней имеется один физический диск для системы, второй для пользовательских данных и компакт диск с музыкой. А теперь взглянем на другую схему, где мы показали аналогичную организацию размещения данных в среде Linux. Но диск, с точки зрения Linux, это тоже файл и может быть расположен в любом месте файловой системы. В нашем случае никто не мешает поместить его на место папки /home, где располагаются пользовательские данные. Такое действие называется монтированием, а место файловой системы, к которому присоединен носитель - точкой монтирования. Таким образом папка /home целиком окажется на втором жестком диске, что будет в какой-то мере аналогично переносу пользовательских данных на диск D.\nСъемные носители, такие как компакт-диски, флешки и т.п. в графической среде монтируются автоматически в предопределенную директорию /media, а в рабочем окружении появляется ярлык, что делает работу с ними неотличимой от Windows. В серверной среде вам потребуется монтировать съемные носители вручную, также вы можете выбрать произвольную точку монтирования, но лучше не изобретать велосипед, а использовать /media. Еще один момент, связанный с иерархичностью файловой системы Linuх - это неизменность путей к данным при изменении физической структуры дисков. Простой пример: у вас есть большая коллекция музыки, которую вы решили вынести на отдельный жесткий диск. В Windows все просто: купили новый диск, подключили, скопировали. Но есть один недостаток. Если до этого пути к музыке были D:\\Музыка, то стали E:\\Музыка и все ранее созданные ярлыки, плейлисты и т.п. стали неверны.\nВ Linux процесс выглядит немного посложнее: новый диск временно монтируется, скажем, в /mnt, затем на него переносится содержимое папки /home/Музыка, после чего он монтируется на постоянной основе в точку /home/Музыка. В итоге наша коллекция лежит на отдельном жестком диске, но все плейлисты как работали с /home/Музыка так и продолжают работать.\nЭту возможность трудно переоценить, особенно когда надо вынести на отдельный раздел не коллекцию музыки, а базу почтового сервера или содержимое хранилища виртуальных машин.\nИмена файлов и расширения Имена файлов и папок в Linux ограничены длинной в 256 символов и запретом на / (слеш). Отдельно следует упомянуть о символах . (точка) и ~ (тильда), точка перед именем файла или директории добавляют ему атрибут \u0026quot;скрытый\u0026quot;, а тильда после имени добавляет атрибут \u0026quot;архивный\u0026quot; и также делает файл скрытым. Например, .file - скрытый файл, а file~ - архивный.\nНо это не говорит о том, что можно называть файлы, как вам нравится, без оглядки на иные системы, прежде всего Windows. Допустим, мы решили вопреки всем правилам назвать файл \u0026lt;Правила?\u0026gt;, в Linux нам никто не помешает этого сделать, но уже попытавшись скопировать его на флешку с FAT32 нас постигнет наказание, имя файла превратится в набор подчеркиваний. Если передать его по SSH то ситуация будет немного получше, подчеркиваниями заменятся только запрещенные символы, а просто перетащив файл из окна виртуальной машины мы получили третий вариант именования файла. Поэтому, если вы не хотите превращения имени вашего файла в нечто совершенно неожиданное, то не используйте в именах символы:\n1\\ / : * ? \u0026#34; \u0026lt; \u0026gt; | Также не злоупотребляйте служебными символами в начале имени, например, никто не мешает создать вам файл с именем -text, однако при попытке скопировать его в консоли вы получите неожиданный результат: Еще одна важная особенность - Linux регистрозависимая система, это означает, что file.txt, File.txt и file.TXT - три разных файла!\nПока вы работаете с такими файлами в среде Linux проблем не будет, но если мы их попытаемся скопировать на флешку FAT32, то сразу возникнут затруднения. Но это цветочки, ягодки будут тогда, когда вам понадобиться перенести на Windows платформу, скажем, веб-сайт со всем содержимым, куда на протяжении длительного времени заливались многочисленные image.jpg, Image.jpg или image.JPG.\nПоэтому примите к сведению и постарайтесь соблюдать еще одно простое правило: все имена файлов набирать только в нижнем регистре, верхний регистр допускается там, где он уместен, например, в именах собственных. Также не забывайте о спецсимволах. Почему? Просто посмотрите на скриншот ниже: Отдельный разговор - это пробелы в именах файлов. Такая практика не запрещается, но считается в профессиональных кругах дурным тоном. По возможности избегайте таких имен.\nСледующая особенность Linux-систем - это расширения файлов. В Windows тип файла полностью определяется его расширением, от которого также зависит дальнейшее поведение системы при работе с таким файлом. Все знают, что для того, чтобы скрипт мог запускаться, ему нужно присвоить расширение bat или cmd. В Linux поведение системы в отношении того или иного файла зависит от его типа, а для возможности запуска файл должен иметь установленный атрибут \u0026quot;исполняемый\u0026quot;.\nОднако это не говорит, что Linux игнорирует расширения файлов. В графической среде, для удобства пользователя, расширения точно также ассоциируются с приложениями, как и в Windows. Но есть и отличия, вы можете дать файлу несуществующее расширение или оставить его без расширения вообще, система правильно определит тип содержимого и сопоставит его с программой. А вот присвоив ему зарезервированное расширение вы просто сопоставите файл программе, без учета его содержимого. Как видим документ LibreOffice успешно определяется последним невзирая на \u0026quot;левое\u0026quot; или отсутствующее расширение, но присвоив ему расширение jpg, мы сопоставим его программе просмотра изображений и получим ошибку при открытии.\nС изображением и иным медиаконтентом связана еще одна особенность, если у файла есть расширение, то система не будет определять его реальное содержимое и будет пытаться открыть его так, как указано в расширении. Простой пример: мы переименовали файл jpg в png, после чего получили ошибку при попытке его открыть, в тоже время тот же самый файл без расширения вообще открывается нормально. В Windows jpg переименованный в png (и наоборот) открываться будет нормально, разве что специализированный софт (например, Photoshop) станет ругаться. Поэтому если у вас в Linux перестали открываться мультимедийные файлы, которые нормально открываются в Windows, попробуйте просто удалить им расширение, чтобы система самостоятельно определила содержимое. Для примера мы специально удалили расширения у файлов различных типов, что из этого вышло можно увидеть ниже: Конечно не со всеми типами файлов все гладко, так документы формата MS Office 2007 и выше (docx, xslx и т.п.) будут определяться как zip-архивы, которыми на самом деле и являются, но мы думаем, что ситуация, когда вы получите офисный документ без расширения на практике вам не встретится.\nЖесткие и символические ссылки Начав работать с Linux вы обязательно столкнетесь с этим типом файлов. Они не имеют прямого аналога в файловой системе Windows и поэтому на них стоит остановиться подробнее.\nНачнем с символических ссылок, в первом и достаточно грубом приближении они напоминают ярлыки Windows, это специальный тип файла, который служит указателем на другой файл. Но при этом, в отличии от ярлыка, воспринимается системой прозрачно, т.е. не как файл ярлыка, а как файл типа, на который указывает ссылка. Проще говоря, мы не можем подсунуть Windows приложению ярлык на библиотеку вместо библиотеки, а в Linux это общепринятая практика.\nРазберем устройство символических ссылок подробнее, в дальнейшем это поможет понять их отличие от жестких ссылок и лучше понять сферу их применения. Как известно файл (или каталог) есть ничто иное, как некая именованная область на диске. Соответствие имени файла областям диска хранится в специальной таблице файловой системы (inode в Linux, MFT или FAT в Windows), т.е. файл - это указатель в inode на определенную область данных на диске.\nСимволическая ссылка - это отдельный файл, со своим inode, который указывает на изначальный файл. Если первоначальный файл будет удален или перемещен, символические ссылки останутся, но окажутся бесполезными. В тоже время мы можем как угодно перемещать символические ссылки или удалять их, что никак не скажется на первоначальном файле. Символические ссылки широко применяются в случаях, когда один и тот-же файл должен быть доступен под разными именами или в разных местах, но при этом его содержимое не должно меняться. Например, некое приложение требует библиотеку lib-1.0.1.so, в то время как есть совместимая библиотека lib-1.0.5.so, в этом случае создаем символическую ссылку на lib-1.0.5.so с именем lib-1.0.1.so и проблема решена. Другой случай, приложение требует lib-1.0.5.so, которая есть в системе, но ищет ее в другом месте, в этом случае делаем символическую ссылку с таким же именем, но в нужное расположение.\nВизуально символические ссылки можно определить по значку ярлычка в графическом окружении или по символу @ перед именем файла в mc (но, если вы создадите файл с началом имени на @ - символической ссылкой он не станет).\nДругое применение, это файлы настроек. Например, веб-сервер Аpache содержит два набора директорий: с доступными модулями и настройками, и применяющимися в текущий момент. Для того, чтобы подключить модуль или настройку достаточно сделать символическую ссылку из одной директории в другую, надо выключить - удаляем символическую ссылку. Сам файл модуля или настроек остается на своем месте и может быть использован в дальнейшем. Символические ссылки можно создавать не только на файлы, но и на каталоги. Также нет ограничения на физическое расположение символических ссылок в пределах одной физической файловой системы (одного раздела).\nЖесткие ссылки. Это принципиально иная сущность. Жесткая ссылка создает еще одну запись в inode файла, т.е. по сути является еще одним его именем, а внешне является полной копией первоначального файла, определить при этом где файл, а где жесткая ссылка практически невозможно. Отличие жесткой ссылки от копии заключается в том, что несмотря на разные имена, это один и тот-же файл и, если изменить одно из его имен - изменятся остальные. Также файл физически существует до тех пор, пока на него есть хоть одна ссылка (первоначальный это файл или символическая ссылка - значения не имеет). Для чего могут понадобиться жесткие ссылки? Самое распространенное их применение, это создание полных копий файла без лишних затрат дискового пространства. Например, инсталляционные пакеты. Допустим нам надо выложить на FTP несколько вариантов ПО, в каждый из наборов которого входят некие общие пакеты и документация, причем нужна синхронизация между этими файлами, например, если мы внесли изменения в документацию, это должно отразиться во всех наборах. Жесткие ссылки отлично решают эту задачу.\nВ тоже время жесткие ссылки создают дополнительную путаницу, особенно если вам нужно удалить файл во всех местах использования. Поэтому подходите к использованию жестких ссылок с осторожностью и не злоупотребляйте ими, так как в большинстве случаев символических ссылок более чем достаточно.\nЖесткие ссылки, так как являются дополнительной записью в inode, могут использоваться только в пределах одного физического раздела. Также спецификации POSIX запрещают создание жестких ссылок для каталогов.\nПрава доступа Еще одним неотъемлемым атрибутом любой файловой системы являются права доступа к файлам и папкам. Linux унаследовал классическую UNIX-систему прав, они не так гибки, как хотелось бы, но обеспечивают приемлемый уровень гибкости и безопасности для простых систем.\nПрава доступа к файлу (а как мы помним, в Linux все есть файл) хранятся в специальном 16-битовом поле атрибутов файла:\nПервые четыре бита устанавливают флаг типа объекта, они задаются при создании файла и не могут быть изменены. Флаг может иметь следующие значения:\n- -- Отсутствие флага - обычный файл l -- Символическая ссылка d -- Директория b -- Блочное устройство c -- Символьное устройство p -- Канал, устройство fifo s -- Unix-сокет Следующие три бита хранят особые признаки, влияющие на запуск исполняемых файлов и некоторые иные права, к ним мы вернемся несколько позже. И наконец следующие девять бит, разделенные на блоки по три бита содержат права доступа к файлу или директории.\nКаждый файл в UNIX должен иметь владельца (пользователь, user), группового владельца (группа, group) и остальных пользователей (остальные, other), каждый из этих пользователей может иметь права на чтение (r), запись (w) и исполнение (x).\nПрименительно к каталогам флаги имеют несколько иной смысл: r - право получения имен файлов в каталоге (но не их атрибутов), x - право получения доступа к файлам и их атрибутам, w - право манипулировать именами файлов, т.е. создавать, удалять, переименовывать. Минимальный разумный набор прав на каталог: rx-, так как только r позволит получить только имена файлов, но не их тип, размер и т.п. Ниже показан пример папки с набором прав r--. Как нетрудно заметить, w без х не имеет никакого смысла и равносильно его отсутствию.\nЗапись прав может производиться как в символьной, так и в числовой форме, для этого используют двоичное или восьмеричное (что удобнее) значение установленных битов.\nВ то время, как в системе используются преимущественно символьные обозначения, для целей администрирования обычно используются цифровые восьмеричные значения. Потому что проще, быстрее и удобнее написать, что права на файл должны быть 644, а не rw-r--r--. В тоже время символьная запись позволяет быстро оценить реальный набор прав, а не вспоминать, что значит 755. Стандартные права для вновь создаваемых файлов - 664, папок - 775, исключение - файлы и каталоги, созданные с правами суперпользователя, они получают 644 и 755 соответственно.\nНа практике из всех сочетаний флагов доступа реально используются только 0, 4, 5, 6, 7 для файлов и 0, 5, 7 для папок.\nРазобравшись с основными правами перейдем к особым признакам, таких три:\nНачнем с младшего бита, его установка означает установку sticky-бита для каталога, установка данного флага для файлов в современных системах игнорируется. Дословно sticky обозначает \u0026quot;липкий\u0026quot;, что довольно хорошо соответствует его смыслу. После установки данного флага удалить файл из каталога может только его владелец или суперпользователь, даже если на файлы и папку стоят права 777.\nЭта опция может быть использована для организации файловых серверов типа \u0026quot;файлопомойка\u0026quot;, когда нужно организовать доступ для всех, без разбора, но исключить возможность случайного или преднамеренного удаления чужих файлов. Установить sticky-бит может только суперпользователь, снять - суперпользователь или владелец каталога.\nОпции SUID и SGID позволяют любому пользователю запускать файл на исполнение с правами его владельца или группы. Для чего это нужно? В обычных условиях файл запускается с правами текущего пользователя, что не всегда достаточно для его работы. Например, таким образом работает утилита passwd, нам нужно чтобы пользователь имел возможность изменить свой пароль без повышения прав, но данная операция требует прав суперпользователя. Как быть? Использовать признак SUID. Если мы проверим права на утилиту, то увидим запись rwsr-xr-x или 4755. При установке признаков SUID и SGID они заменяют символ x на s в соответствующей группе символьного представления или записываются перед основными правами в восьмеричном виде. Вообще-то в цифровом виде все права следует записывать в четырехзначном формате, так как если особые признаки не установлены, то это 000 BIN или 0 OCT. Т.е. правильно писать не 777, а 0777, но обычно для краткости первый ноль опускают.\nЕсли установлены несколько признаков, то записывается восьмеричное число аналогичное установленным битам в двоичном формате, например, SUID + sticky это 101 BIN или 5 OCT. Установленный sticky-бит заменяет x на t в группе other. Ниже показан каталог с правами 7775 или rwsrwsr-t, что соответствует установке на него SUID, SGID и sticky-бит одновременно. Данная запись сделана нами исключительно в тестовых целях, так как установка SUID для каталога не имеет смысла, а установка SGID приведет к тому, что групповым владельцем создаваемых в нем файлов будет группа владельца каталога, а не группа создавшего его пользователя, как происходит по умолчанию. Также, ввиду потенциальной опасности, игнорируется установка SUID и SGID для скриптов.\nВ графической среде установка прав разнится в зависимости от выбранного настольного окружения, например, в Unity настройки выполнены в понятной пользователю форме, но особые признаки не отображаются и не могут быть установлены, а для папок присутствует бесполезный набор прав r--. В XFCE не потрудились задать понятные и логичные наборы для файлов и папок, ограничившись стандартным перечислением, включая бесполезные -w- и -wx, также отсутствует явное указание признака \u0026quot;исполняемый\u0026quot;, вместо этого флаг x автоматически добавляется к любому набору прав владельца. И наконец KDE сочетает достаточно лаконичный основной набор прав с возможностью установки признака \u0026quot;исполняемый\u0026quot; для файлов и sticky-бит для папок с возможностью явно указывать особые признаки в дополнительных настройках. В любом случае следует помнить, что графический интерфейс не является основным средством администрирования Linux, а представляет надстройку над средствами командной строки. В следующей части нашей статьи мы как раз уделим внимание приемам работы с файловой системой Linux в консольной среде.\n","id":"694cdc6c4d47d0a5498ea6003f94e1d2","link":"https://interface31.ru/post/linux-nachinayuschim-chast-4-rabotaem-s-faylovoy-sistemoy-teoriya/","section":"post","tags":["Debian","Ubuntu","Ubuntu Server"],"title":"Linux - начинающим. Часть 4. Работаем с файловой системой. Теория"},{"body":"Если программа ведет себя неправильно, то первым делом следует смотреть логи. 1С:Предприятие не исключение, однако, в отличие от большинства иных программ, использующих для этого системные инструменты, 1С реализовали собственный механизм, названный технологическим журналом. Он позволяет достаточно гибко настраивать собираемую информацию и способен удовлетворить различные категории пользователей: от администраторов до разработчиков.\nЧто такое технологический журнал? Это собственный формат логов 1С собирающий всю информацию о работе установленных на данном ПК приложениях 1С:Предприятие. По умолчанию технологический журнал настроен на сохранение минимальных дампов, возникающих при аварийном завершении программы.\nОднако, давайте честно, многие из читающих данную статью имеют знания и опыт чтобы работать с дампами? А те, кто все-таки умеют это делать, будут этим заниматься? Нет, так как практического смысла в этом немного. Процитирую В. Гилева:\nВ дампах могут разобраться только разработчики платформы! (только у них исходники :) )\nПоэтому сразу забываем о дампах и сосредотачиваемся на гораздо более простых и понятных вещах - логах. Для чтения логов не нужно иметь специфических знаний, достаточно просто инженерного опыта и общих представлений о работе операционной системы и непосредственно 1С:Предприятия.\nПлатформа Windows Для включения и настройки технологического журнала в среде Windows необходимо в папке C:\\Program Files (x86)\\1cv8\\conf создать специальный файл настроек logcfg.xml. В самом простейшем случае он может выглядеть так:\n1\u0026lt;?xml version=\u0026#34;1.0\u0026#34; encoding=\u0026#34;UTF-8\u0026#34;?\u0026gt; 2\u0026lt;config xmlns=\u0026#34;http://v8.1c.ru/v8/tech-log\u0026#34;\u0026gt; 3 \u0026lt;log location=\u0026#34;C:\\Program Files (x86)\\1cv8\\logs\u0026#34; history=\u0026#34;168\u0026#34;\u0026gt; 4 \u0026lt;event\u0026gt; 5 \u0026lt;ne property=\u0026#34;Name\u0026#34; value=\u0026#34;\u0026#34;/\u0026gt; 6 \u0026lt;/event\u0026gt; 7 \u0026lt;property name=\u0026#34;all\u0026#34;\u0026gt; 8 \u0026lt;/property\u0026gt; 9 \u0026lt;/log\u0026gt; 10\u0026lt;/config\u0026gt; Разберем структуру файла подробнее:\nlog location - расположение файлов лога, указанная директория должна существовать, и пользователь от имени которого запускается 1С должен иметь право записи в нее. history - время хранения логов в часах, в нашем примере 168 часов равно 7 суткам или неделе. event - таких секций может быть много, соответствуют фиксируемым событиям. В данном случае фиксируются все события. property - определяет попадание в журнал свойств событий. Конструкция property name=\u0026quot;all\u0026quot; включает записи в журнал всех свойств событий. Данная настройка может подойти для клиентского приложения, однако попытка использовать ее на сервере приведет к резкому раздуванию логов и падению производительности системы.\nВнимание! Внимание! 1С категорически не рекомендует включать подобный тип журнала на рабочих серверах!\nПоэтому настроим журнал на получение только нужной нам информации. Существуют разные варианты настройки технологического журнала, в зависимости от того, какие именно события нас интересуют. В первую очередь это нештатное поведение платформы, которое может быть связано с ошибками конфигурации или неправильной настройкой платформы. Фирма 1С рекомендует такую настройку журнала:\n1\u0026lt;?xml version=\u0026#34;1.0\u0026#34; encoding=\u0026#34;UTF-8\u0026#34;?\u0026gt; 2\u0026lt;config xmlns=\u0026#34;http://v8.1c.ru/v8/tech-log\u0026#34;\u0026gt; 3 \u0026lt;log location=\u0026#34;C:\\Program Files (x86)\\1cv8\\logs\u0026#34; history=\u0026#34;168\u0026#34;\u0026gt; 4 \u0026lt;event\u0026gt; 5 \u0026lt;eq property=\u0026#34;Name\u0026#34; value=\u0026#34;PROC\u0026#34;/\u0026gt; 6 \u0026lt;/event\u0026gt; 7 \u0026lt;event\u0026gt; 8 \u0026lt;eq property=\u0026#34;Name\u0026#34; value=\u0026#34;SCOM\u0026#34;/\u0026gt; 9 \u0026lt;/event\u0026gt; 10 \u0026lt;event\u0026gt; 11 \u0026lt;eq property=\u0026#34;Name\u0026#34; value=\u0026#34;CONN\u0026#34;/\u0026gt; 12 \u0026lt;/event\u0026gt; 13 \u0026lt;event\u0026gt; 14 \u0026lt;eq property=\u0026#34;Name\u0026#34; value=\u0026#34;EXCP\u0026#34;/\u0026gt; 15 \u0026lt;/event\u0026gt; 16 \u0026lt;event\u0026gt; 17 \u0026lt;eq property=\u0026#34;Name\u0026#34; value=\u0026#34;ADMIN\u0026#34;/\u0026gt; 18 \u0026lt;/event\u0026gt; 19 \u0026lt;event\u0026gt; 20 \u0026lt;eq property=\u0026#34;Name\u0026#34; value=\u0026#34;QERR\u0026#34;/\u0026gt; 21 \u0026lt;/event\u0026gt; 22 \u0026lt;property name=\u0026#34;all\u0026#34;\u0026gt; 23 \u0026lt;/property\u0026gt; 24 \u0026lt;/log\u0026gt; 25\u0026lt;/config\u0026gt; В данном примере фиксируются следующие события:\nPROC - события, относящиеся к процессу целиком и влияющие на дальнейшую работоспособность процесса. Например, старт, завершение, аварийное завершение и т.п. SCOM - события создания или удаления серверного контекста, обычно связанного с информационной базой. CONN - установка или разрыв клиентского соединения с сервером. EXCP - исключительные ситуации приложений системы 1С:Предприятие, которые штатно не обрабатываются и могут послужить причиной аварийного завершения серверного процесса или подсоединенного к нему клиентского процесса. ADMIN - управляющие воздействия администратора кластера серверов системы 1С:Предприятие. QERR - события, связанные с обнаружением ошибок компиляции запроса или ограничения на уровне записей и полей базы данных. Этого набора вполне хватает, для разбора ошибок в повседневной деятельности администратора. С полным перечнем настроек технологического журнала с пояснениями и примерами можно ознакомиться в разделе 3.17 Руководства администратора (та самая толстая желтая книжка, которую никто не читает).\nДля диагностики отдельных ситуаций можно применять и специфические настройки журнала. Если вы используете аппаратные ключи, то в случае возникновения проблем с ними примените следующую настройку журнала:\n1\u0026lt;event\u0026gt; 2 \u0026lt;eq property=\u0026#34;Name\u0026#34; value=\u0026#34;HASP\u0026#34;/\u0026gt; 3 \u0026lt;/event\u0026gt; Это позволит фиксировать события обращения к ключам защиты в том виде, в котором они фиксируются системой защиты HASP, в то время как 1С подменяет их своими сообщениями, типа \u0026quot;ключ защиты не обнаружен\u0026quot;, обладающими крайне низкой информативностью.\nИтак, файл создан. Чтобы события начали фиксироваться в журнале необходимо запустить клиентское приложение или перезапустить службу сервера. После чего директория с логами примет примерно следующий вид: Для каждого процесса создается отдельная папка с его именем и ID, каждая из которых содержит внутри текстовые файлы с именем формата ггммддчч, т.е. год-месяц-день-час, каждый час создается новый файл лога. Так, например, лог за 12 января 2016 года с 15 до 16 часов будет иметь имя 16011215.log, затем 16011216.log и т.д.\nДля примера приведем участок лога:\n125:25.282004-0,EXCP,0,process=ragent,Exception=81029657-3fe6-4cd6-80c0-36de78fe6657,Descr=\u0026#39;src\\ServerAgentImpl.cpp(697): 281029657-3fe6-4cd6-80c0-36de78fe6657: server_addr=W81-TEST descr=11001(0x00002AF9): Этот хост неизвестен. line=1102 file=src\\DataExchangeCommon.cpp\u0026#39; 325:35.876000-0,EXCP,1,process=ragent,ClientID=0,Exception=NetDataExchangeException,Descr=\u0026#39;server_addr=W81-TEST descr=11001(0x00002AF9): Этот хост неизвестен. line=1102 file=src\\DataExchangeCommon.cpp\u0026#39; Сразу видно, что система не может разрешить имя сервера W81-TEST, возможно из-за проблем в DNS. Как видим, логи вполне читабельны и понятны, что позволяет осмысленно подходить к разбору ошибок, особенно в тех случаях, когда явного сообщения об ошибке не выводится, скажем не стартует процесс сервера.\nПлатформа Linux Несмотря на то, что никаких отличий в настройке технологического журнала для разных платформ нет, в Linux имеются некоторые особенности, связанные с архитектурой системы и не всегда очевидные начинающим.\nПрежде всего расположение файла настроек. Он должен находиться в /home/usr1cv8/.1cv8/1C/1cv8/conf, по умолчанию данная директория не существует и ее нужно будет создать. Также, если вы предпочитаете графические инструменты настройки, учтите, что директория .1cv8 скрытая (на это указывает точка в начале имени) и просто так в файловом менеджере вы ее не увидите.\nМы предпочитаем работу в консоли, как более привычную и удобную для данной платформы. Поэтому создадим данную директорию:\n1mkdir /home/usr1cv8/.1cv8/1C/1cv8/conf а в ней файл настроек:\n1touch /home/usr1cv8/.1cv8/1C/1cv8/conf/logcfg.xml После чего можно приступать к его редактированию, содержимое должно быть полностью идентичным Windows-версии, за исключением пути хранения логов. В файловой системе Linux они традиционно располагаются в /var/log и мы не рекомендуем отступать от традиций, потому, что если с данным сервером придется работать другому специалисту, то он будет искать логи именно там.\nИзменим строку конфигурационного файла logcfg.xml следующим образом:\n1\u0026lt;log location=\u0026#34;/var/log/1C\u0026#34; history=\u0026#34;168\u0026#34;\u0026gt; Затем создадим папку для логов 1С\n1mkdir /var/log/1C А чтобы 1С могла писать туда, установим пользователя и группу 1С владельцем этого каталога:\n1chown usr1cv8:grp1cv8 /var/log/1C Теперь перезапускаем процесс сервера 1С\n1service srv1cv83 restart и отмечаем создание в директории папок и файлов с логами.\nДанная настройка будет вести технологический журнал сервера 1С, если вам нужно фиксировать события клиентского приложения, то следует выполнить ряд дополнительных действий.\nТак как клиентская платформа работает от имени запустившего его пользователя, то файлы настройки платформы хранятся в домашнем каталоге этого пользователя. Если таких пользователей несколько, то у каждого из них будет свой вариант настроек. Структура каталогов при этом полностью повторяет серверную, что не удивительно, в случае с сервером настройки хранятся в каталоге служебного пользователя от имени которого работает сервер 1С.\nЕсли посмотреть этот каталог, то увидим, что там кроме папки conf, присутствует также папка logs, в которой создаются папки для запущенных процессов, однако самих логов там нет. Попытка использовать для записи логов эту папку не приведет к успеху, папки процессов будут создаваться, но логи появляться не будут. Можно, конечно, перенастроить место хранения логов на любую папку в домашней директории, но лучше продолжить использовать для этого /var/log/1C.\nЧтобы запущенное от имени пользователя приложение могло писать в данную папку надо предоставить ему соответствующие права. Если вы единственный пользователь компьютера и серверной версии 1С у вас не установлено, то можно просто сделать текущего пользователя владельцем данной папки, если пользователей несколько, либо на этом же ПК стоит серверная часть и вы хотите включить журнал и для нее, то нужно настроить совместный доступ.\nПрежде всего добавим нужных пользователей в группу 1С:\n1usermod -a -G grp1cv8 andrey Затем изменим права на папку логов, чтобы писать в нее мог не только владелец, но и группа:\n1chmod 775 /var/log/1C Для применения прав нужно завершить сеанс пользователя и войти заново, после этого можно запустить клиентское приложение и убедиться, что в каталоге /var/log/1C создаются нужные папки логов. ","id":"5c548877f2d682c1077d16b6b40ec17d","link":"https://interface31.ru/post/vklyuchaem-tehnologicheskiy-zhurnal-dlya-1spredpriyatie/","section":"post","tags":["1С Предприятие 8.х","Диагностика"],"title":"Включаем технологический журнал для 1С:Предприятие"},{"body":"Бывают ситуации, когда причинно-следственная связь между источником проблемы и ее внешним проявлением совершенно неочевидна или размывается большим количеством сопутствующих событий, а решение, на первый взгляд, кажется нелогичным. Однако если хорошо подумать, то все сразу встает на свои места. Наш сегодняшний рассказ будет коротким, но как раз о таком случае. У вас стало запинаться онлайн-радио? Проверьте настройки антивируса!\nХм? А какая тут связь? - скажет иной читатель. Мы тоже сначала так подумали. Но начнем по порядку. Все началось с установки на рабочий ПК антивирусного пакета Dr.Web Security Space версии 11. Установка прошла в штатном режиме, как говорится, поставил и забыл.\nА через некоторое время стало запинаться онлайн-радио. Не всегда и с разной периодичностью. Когда раз в пять-десять минут, когда каждые 15-20 секунд. Иногда запиналось на мгновение, иногда не несколько секунд. В общем какой-либо системы не наблюдалось.\nСначала, традиционно, грешили на провайдера. Но постепенно начали замечаться странности. Запинались только прямые трансляции (стримы), когда нет возможности сделать опережающее кэширование. Любые музыкальные сайты, ролики на видеохостингах и т.п. проигрывались без проблем. Вторая странность - воспроизведение продолжалось ровно с того места, на котором и остановилось. Что для потокового вещания не свойственно, если пакеты пропали по дороге, то перепосылать их никто не будет и вещание должно продолжиться с нового места. Для проверки запустили IP-TV, картина оказалась идентичной.\nТаким образом был сделан вывод, что потоковый трафик по дороге кем-то с какой-то целью кешируется и по непонятной причине эпизодически задерживается. Ну дальше - проще. Отключаем все, что может каким-либо образом фильтровать сетевой трафик, в том числе и антивирус. Сразу стало лучше. Включаем по одному и приходим к парадоксальному выводу - это антивирус.\nПродолжая эксперименты с антивирусом выясняем, что причиной такого поведения является модуль SpiderGate, осуществляющий проверку трафика. Проблемы с радио... Онлайн радио Как выяснилось, проблема довольно стара и наблюдалась еще на 9-й и 10-й версиях, хотя у нас с \u0026quot;десяткой\u0026quot; таких проблем как раз не было, а озвученное решение сначала вызвало легкое удивление. Для устранения проблемы нужно в Дополнительных настройках модуля установить Параноидальный режим проверки. Действительно, после установки Параноидального режима, который к тому же разработчиком \u0026quot;не рекомендуется\u0026quot; проблема полностью исчезла. На первый взгляд нелогично, опыт работы с антивирусами говорит, как раз, об обратном. Если антивирус негативно влияет на производительность - снижать уровень проверки.\nА теперь отвлечемся от штампов и подумаем, а причем тут производительность? У нас начинает что-то тормозить? Грузится процессор? Да нет, ничего подобного, у нас, наоборот, запинается онлайн-поток. Осознав это еще раз прочтем название опции: Приоритет проверки. Чем выше приоритет, тем больше ресурсов выделяется процессу и тем сильнее он может влиять на производительность. Это верно, но у нас нет проблемы с производительностью. Чтобы убедиться в этом достаточно открыть Диспетчер задач и посмотреть потребление ресурсов процессами антивируса в процессе воспроизведения потокового мультимедиа.\nПоэтому повышение приоритета проверки в данном случае является абсолютно логичным. Почему запинается онлайн-поток? Потому что антивирус, анализируя общую нагрузку системы, по какой-то причине приостанавливает проверку проходящего трафика, уступая ресурсы другим процессам. В итоге трафик кэшируется, радио замолкает. Когда ресурсы освобождаются проверка возобновляется, радио продолжает играть с того же самого места. Более высокий приоритет заставляет модуль продолжать проверку даже в тех случаях, когда ресурсы требуется уступить.\nНа этом наш материал можно закончить. С одной стороны, это частный случай, интересный ограниченному кругу лиц, с другой - за пределами форума Dr.Web данная проблема практически неизвестна, да и не каждый будет вдаваться в тонкости и разбираться, тем более, что роль антивируса здесь как-бы неочевидна. Еще один повод, по которому мы решили опубликовать эту статью - это демонстрация шаблонности мышления, когда вместо того, чтобы вдумчиво проанализировать ситуацию используется вроде-бы подходящий опыт, причем - неправильно.\nПоэтому, если вдруг вроде бы привычные вещи ведут себя непонятным образом, который противоречит уже имеющемуся опыту, не спешите думать о \u0026quot;восстании машин\u0026quot;, а попытайтесь отбросить все привычные штампы и взгляните на проблему свежим взглядом.\n","id":"ed75d05ad947a3947dec74c877503a3e","link":"https://interface31.ru/post/adminu-na-zametku-18-drweb-i-potokovoe-onlayn-multimedia/","section":"post","tags":["Dr.Web","Антивирус","Диагностика","Рабочее место"],"title":"Админу на заметку - 18. Dr.Web и потоковое онлайн мультимедиа"},{"body":"Настольная версия мобильной платформы Intel особой популярностью не пользовалась. Процессоры семейства Atom оставались широко известными лишь в узких кругах - среди пользователей встраиваемых систем и автоматизированных рабочих мест, когда на первый план выходили стоимость и энергопотребление, а уже потом производительность. Однако с выходом Bay Trail-D ситуация начала меняться, сегодня процессоры этого семейства можно встретить не только в специализированных системах, но и в ноутбуках и моноблоках. Предлагаем и нашим читателям поближе познакомиться с этой платформой.\nСразу постараемся ответить на самый частый вопрос: кому они вообще нужны, эти \u0026quot;недопроцессоры\u0026quot;? С точки зрения обычного пользователя, которому надо и поработать, и поиграть, да чтобы еще и недорого, это действительно так. Производительностью данная категория процессоров похвастаться никогда не могла. Но если немного изменить ракурс и вспомнить о такой части рынка как встраиваемые системы и автоматизированные рабочие места, то все сразу встанет на свои места.\nБольшинство таких систем можно смело назвать \u0026quot;компьютером с одной программой\u0026quot;: кассовым или банковским ПО, оболочкой платежного терминала или информационного стенда. Производительность в таких случаях уходит на второй план, а актуальным становится энергопотребление и тепловыделение, так как работать данным устройствам часто приходится в сложных условиях, а также дешевизну и возможность быстрого ремонта.\nДействительно, плата с распаянным на ней процессором представляет недорогую и законченную систему с низким потреблением и гарантированной работоспособностью. При выходе из строя просто меняем плату и все. На надо ломать голову, где взять материнку под оставшийся процессор, заведется ли он с этой версией платы, потребуется ли прошивка BIOS, загрузится ли ОС и т.д., и т.п. В отдельный плюс можно записать низкое энергопотребление и, как следствие, безвентиляторную систему охлаждения, что снижает возможные точки отказа, особенно при работе в тяжелых условиях.\nПредыдущая версия платформы Cedar Trail, вызывала противоречивые впечатления, нарекания прежде всего были на производительность, которая балансировала на нижней грани допустимого для комфортной работы. Любые попытки использовать данную платформу в качестве обычного, пусть и не очень мощного, ПК сразу выявляли крайне низкий уровень производительности.\nС выходом Bay Trail ситуация значительно улучшилась, теперь производительности платформы вполне достаточно для использования в качестве простой рабочей станции, хорошим примером может служить достаточно большой ассортимент ноутбуков и моноблоков на этой платформе.\nНапример, Lenovo C260 на базе Intel Celeron J1900 вполне отлично справляется с большинством повседневных задач как под управлением Windows, так и Linux. Нас же больше интересует возможность предоставлять на базе данной платформы простые и недорогие решения для автоматизации торговых точек и малых офисов, когда одна и та же конфигурация вполне успешно выступает и в роли автоматизированного рабочего места и как обычная рабочая станция. Позволяя максимально унифицировать и удешевить комплект оборудования.\nОбщий взгляд на платформу Прежде всего отметим тот факт, что Bay Trail первая настольная платформа Intel выполненная в формате SoC - система на кристалле (System-on-a-Chip). Этот подход имеет ряд преимуществ - более простая схема платформы, так как нет потребности в южном мосте и дополнительных контроллерах, как следствие - более низкая цена и более низкое энергопотребление. Мы не будем подробно разбирать архитектуру процессора, для этого есть профильные ресурсы, но всего лишь коротко отметим основные возможности. Как видим, чип покрывает все основные потребности систем своего класса, обеспечивая поддержку современных технологий и интерфейсов, таких как USB 3.0, HDMI или DisplayPort, это позволяет использовать данную платформу в мультимедийных системах, благо производительность позволяет уверенно работать с HD контентом.\nВ настоящий момент семейство Bay Trail-D представлено следующими моделями:\nSoC Кол-во ядер Частота Частота графики L2 кэш TDP Цена* Intel Celeron Processor J1800 2 2.41/2.58 GHz 688/792 MHz 1 MB 10 W 65 $ Intel Celeron Processor J1900 4 2.00/2.42 GHz 688/854 MHz 2 MB 10 W 75 $ Intel Pentium Processor J2900 4 2.41/2.66 GHz 688/896 MHz 2 MB 10 W *- мы указали среднюю цену за готовую платформу: материнскую плату формата mini-ITX с распаянным на ней указанным SoC.\nК формированию продуктовой линейки явно приложили свою руку маркетологи, присвоив топовому процессору имя Pentium, хотя по факту это немного более быстрый Celeron J1900, в тоже время J1800 и J1900 - два разных процессора, а не близкие модели, как можно подумать по наименованию. В продаже в виде материнских плат доступны только J1800 и J1900, старшую модель мы встречали только в составе готовых изделий: моноблоков или настольных ПК, например, HP Slimline. Однако огорчаться по этому поводу не следует, переплачивать за слово Pentium на коробке - не самый лучший способ распорядиться деньгами, тем более что J1900 весьма и весьма неплох.\nУчастники тестирования Практическое знакомство с платформой начнем с младшей модели - J1800, который будет представлен материнской платой GIGABYTE GA-J1800N-D2H (rev. 1.0). Это одна из самых дорогих моделей на этом процессоре, ее стоимость на момент написания данной статьи составляла 70,8 $. Процессор, точнее SoC, установлен в центре, а вся обвязка располагается по кругу. С одной стороны, это упрощает разводку платы, а с другой заставляет располагать некоторые элементы весьма нестандартно, что может вызвать сложности при сборке. Так, например, вызывает нарекание расположении разъема COM-порта вверху платы рядом с разъемом доппитания, чтобы использовать его, придется специально приобретать планку с длинным кабелем и тянуть его через всю плату.\nТакже неудобен дополнительный USB справа, сразу за радиатором, к которому приходится тянуть кабель от передней панели корпуса через всю плату. Зато место традиционно занимаемое этими разъемами выделено для mini PCIe, который представляет интерес разве что для установки Wi-Fi адаптера.\nЕще один недостаток, с которым мы столкнулись - плата распознает не все USB-клавиатуры на начальном этапе загрузки, из-за чего попасть в настройки BIOS может оказаться проблематично. В остальном данные платы произвели только благоприятные впечатления, в том, что касается стабильности работы и надежности нареканий к ним нет.\nПредставлять старшую модель J1900 будет плата ASRock Q1900B - ITX стоимостью 73,8 $. В отличие от Gigabyte ASRock выбрала классическую компоновку, также можно назвать классическим и набор разъемов на задней панели, включая устаревший LPT. Для целей автоматизации данная плата представляет интерес наличием двух COM-портов, один на задней панели, второй - разъем на плате. Планки портов в данной модели расположены более удобно - справа внизу, там, где и ожидаем их увидеть.\nА для того, чтобы понять, насколько далеко Intel продвинулась вперед, мы решили сравнить данные SoC с одним из наиболее популярных процессоров прошлого поколения Atom D2550 с частотой 1.86 ГГц в виде платы ASRock AD2550B-ITX. Обе платы от ASRock внешне очень похожи и имеют схожую компоновку. В целом работа с ними не выявила каких-либо серьезных проблем, данные платы просто работают.\nОбщий взгляд на производительность Представители платформы Bay Trail-D (J1800 и J1900) поддерживают 8 и 16 ГБ оперативной памяти и имеют в своем составе видеоадаптер класса Intel HD Graphics, это позволяет уверенно чувствовать себя при работе с любой современной ОС. Платформа одинаково поддерживает 32-х и 64-х битные системы Windows и Linux. Производительность графики позволяет работать с HD-разрешением и всеми включенными графическими эффектами ОС, а также без проблем справляется с видео в формате HD.\nА вот у Cedar Trail (Atom D2550) все далеко не так радостно, но если отсутствие поддержки 64-х битных систем еще не так актуально, ввиду поддержки всего 4 ГБ ОЗУ, товидеоадаптер Intel GMA 3600 перечеркивает все попытки использовать эту платформу в качестве обычного, пусть и не особо мощного ПК. Попытка просмотра видео в HD-качестве еще как-то возможна для формата 720p, попытка просмотра FullHD заканчивается слайд-шоу.\nРабота в интерфейсе современных ОС также не отличается отзывчивостью и требует отключения практически всех графических эффектов. Если в среде Windows 7 и 8 Intel GMA 3600 еще как-то справляется с отрисовкой интерфейса, то в таких Linux DE как Unity или KDE мы столкнулись с жуткими тормозами, превращающими работу с интерфейсом ОС также в слайд-шоу. Получить приемлемый уровень производительности можно только с простыми DE, такими как XFCE или LXDE.\nСобственно уже это выводит Bay Trail-D на принципиально новый уровень, позволяя шагнуть со ступеньки \u0026quot;недокомпьютер для специфичных задач\u0026quot; на ступень \u0026quot;маломощный компьютер общего назначения\u0026quot;. А если трезво оценить потребности среднего офисного работника, то окажется что ресурсов J1800 или J1900 ему будет вполне достаточно.\nНо перейдем от лирики к физике. На основе каждой из материнских плат мы собрали системы с 2 ГБ ОЗУ Crucial CT25664BF160B PC3-12800 и SSD 60 Gb SmartBuy Ignition 2, установка HDD изначально не рассматривалась ввиду одинакового уровня цен на недорогие жесткие диски и твердотельные накопители. В качестве ОС использовалась Windows 8.1 x32.\nПрежде всего нас, в силу профессиональной деятельности, интересует работа платформы с популярным пакетом 1С:Предприятие. Общую производительность, не привязываясь к конкретной конфигурации, можно оценить тестом Гилева.\nНачнем с Atom D2550: Общая оценка - плохо, что примерно соответствует субъективным ощущениям. Платформа ограниченно годится к работе с 1С, позволяя запускать приложение в специфичных режимах, таких как РМК (рабочее место кассира) или производить простейшие операции. О какой-либо комфортной работе речи не идет.\nCeleron J1800: Новая платформа оказывается практически вдвое быстрее предшественника, занимая твердую отметку между удовлетворительно и хорошо, лично мы, выбирая между оценками 3+ или 4- более склонны к последней. Действительно, система на J1800 не испытывает проблем в работе с Розницей и УТ как в режиме РМК, так и в режиме менеджера, что позволяет смело использовать данный SoC не только для комплектации кассовых узлов, но и для рабочих мест товароведов и менеджеров.\nС Бухгалтерией и Зарплатой дела обстоят не столь радужно, но это более тяжелые конфигурации и комфортной работы с ними на бюджетном железе никто не обещал.\nCeleron J1900: Несмотря на дополнительные два ядра J1900 идет вровень со своим младшим коллегой, что вполне объяснимо спецификой 1С, которая более критична к тактовой частоте, чем к числу ядер. В остальном все сказанное для J1800 справедливо и для J1900, но если основное назначение рабочей станции будет именно работа с 1С, то лучше остановить свой выбор на J1800, в плюсы которому можно записать более низкую цену и более высокую частоту.\nСледующий, интересующий нас вопрос, это работа с интернет и веб-приложениями. Сегодня роль всемирной сети плавно переместилась от HTML-страничек с преимущественно текстом и изображениями к полноценным веб-приложениям: электронная почта, корпоративные порталы и т.п. Также выросла роль сети в качестве основного элемента коммуникации и можно смело сказать, что отсутствие интернета в ряде случаев может серьезно нарушить работу.\nДля оценки производительности в веб-приложениях мы использовали онлайн-тест WebXPRT 2015, который содержит базовые HTML5 и JavaScript сценарии. Чтобы иметь возможность сравнивать результаты мы провели еще один тест на нашей рабочей системе на базе Core i5-4670, которую трудно отнести к маломощным или бюджетным системам. Результаты в общем довольно ожидаемы, Bay Trail снова показывает вдвое выросшую производительность и довольно неплохие абсолютные результаты. Тратить 8 секунд там, где i5 справляется за три - это нормально, в отличие от 24 секунд у прошлого поколения, столько ждать явно никто не будет. Можно констатировать, что платформа преодолела нижнюю планку производительности для комфортной работы с интернет приложениями и нормально справляется с большинством задач, в тоже время ожидать от нее чудес в тяжелых приложениях, скажем браузерных играх, никто не будет.\nЕще один тест, неплохо отражающий реальные вычислительные возможности - это встроенный тест архиватора. Работать с архивами приходится довольно часто, например, при резервном копировании или установке нового ПО. Мы взяли два популярных пакета WinRAR 5.10 и7-Zip 9.35, полученные результаты для улучшения восприятия нормировали, т.е. приняли лучший результат за 100% и соответствующим образом пересчитали остальные значения. Архивация, как это еще раз показал тест, зависит от двух основных параметров: частоты и количества ядер. Таким образом гораздо более слабый Atom практически догнал J1800, а J1900 за счет четырех ядер обошел их почти вдвое.\nВ общем даже тот небольшой объем тестов, который мы провели, позволяет довольно четко позиционировать данную платформу как хорошее решение для автоматизированных рабочих мест и офисных ПК начального уровня.\nЧтобы определиться между старшей и младшей моделью мы провели еще несколько тестов из состава пакета PCMark 8.\nТест Home accelerated (слева J1800, справа J1900): Данный набор тестов повторяет наиболее типовые задачи для неигрового домашнего ПК. Как видим, с большинством задач оба процессора справляются одинаково, исключение составляют мультимедийные задачи, где J1900 обходит J1800 где-то на 35-40%.\nТест Work accelerated Как несложно понять из названия, следующий набор тестов представляет собой типичные задачи рабочего ПК, в качестве офисного пакета данный тест использует LibreOffice. Здесь снова трудно выделить лидера во всем, кроме декодирования видео, где J1900 получает те же самые 40% преимущества.\nТест Application Кроме общих тестов PCMark 8 позволяет оценить производительность в программных пакетах от Microsoft и Adobe, тестировать последний на данном железе не имеет смысла, а вот офисный пакет от Microsoft представляет определенный интерес. В отличие от LibreOffice два дополнительных ядра J1900 дают небольшой, около 15%, прирост производительности, который примерно соответствует разнице в цене.\nЭнергоэффективность Заявленная максимальная рассеиваемая мощность (TDP, Thermal Design Power) у процессоров семейства Bay Trail-D составляет 10 Вт, такая же TDP была заявлена и для Cedar Trail (Atom D2550), правда в последнем случае следует накинуть еще 2,5 Вт на южный мост Intel NM10, но цифры все равно получаются близкие.\nНа практике Atom D2550 показывает себя весьма горячей системой, радиаторы ощутимо греются и в ряде случаев может потребоваться вытяжной вентилятор. J1800 и J1900 показали себя полной противоположностью по сравнению с предшественником, за время тестов температура процессора не превышала 50-55 °С, а радиатор оставался теплым. На практике, заменив несколько систем на Atom D2550, располагавшихся в замкнутом и плохо вентилируемом пространстве, более современными J1800 мы получили существенное улучшение теплового режима для остальных компонентов, не считая объективного повышения производительности.\nВыводы Новая версия мобильно-настольной платформы от Intel оказалась на редкость сбалансированной и удачной. Производительности новых процессоров вполне хватает для простых офисных или домашних задач. Также открываются неплохие перспективы для создания экономичных и недорогих серверов начального уровня (роутер, веб-сервер и т.п.) или домашних медиацентров. Отдельный плюс - низкое энергопотребление и тепловыделение, что позволяет собрать по-настоящему тихую систему в компактном корпусе.\nОбе представленные на рынке модели неплохи, при этом J1800 можно смело использовать для офисных задач, в этой категории он идет на равных с J1900, в тоже время последний опережает его в мультимедийных задачах. Поэтому для домашнего ПК или медиацентра лучше выбрать четырехядерную модель.\nОпыт эксплуатации систем на базе этих процессоров сроком около года оставил только положительные впечатления. Поэтому мы можем смело рекомендовать данные модели к покупке и использованию как в специализированных ПК, так и офисных и домашних машинах класса \u0026quot;печатная машинка + интернет\u0026quot;, тем более невысокая цена делает эту платформу достаточно привлекательной в непростой экономической ситуации.\n","id":"f717bdc444ce3776f6fd688dea9c7661","link":"https://interface31.ru/post/vzglyad-na-vozmozhnosti-processorov-semeystva-bay-trail-d-celeron-j1800-i-j1900/","section":"post","tags":["Celeron","CPU"],"title":"Взгляд на возможности процессоров семейства Bay Trail-D: Celeron J1800 и J1900"},{"body":"Новогодние праздники - время покупать подарки, а также хороший повод делать покупки, которые до этого под разными предлогами откладывались. Хорошим подарком для вашего ПК или ноутбука будет замена медленного жесткого диска на быстрый HDD. А так как времена нынче непростые, то хочется, чтобы покупка не сильно ударяла по кошельку. Учитывая все вышесказанное, мы подготовили обзор двух самых доступных на рынке 120 Гб SSD от компании Smartbuy.\nНе так давно мы представляли вам SSD серии Ignition 2 на контроллере Phison PS3108-S8, которые очень неплохо себя показали. На смену им компания Phison подготовила несколько моделей на новом контроллере PS3110-S10, которые появились в ассортименте Smartbuy под названиями Ignition 4 и Revival. Если Ignition 4 можно рассматривать как продолжение удачной серии Ignition 2, то Revival - это что-то новенькое.\nДействительно, SmartBuy Revival SB120GB-RVVL-25SAT3 с ценой в 46 USD выглядит весьма привлекательно, даже на фоне своего ближайшего родственника SmartBuy Ignition 4 SB120GB-IGNT4-25SAT3, который продается в среднем за 51 USD. Контроллер у данных моделей один, разница только в памяти, если Ignition 4, как и Ignition 2, использует привычную для данных моделей память с ячейками MLC, то Revival построена на основе TLC NAND.\nСделаем краткое отступление и разберемся, какие типы памяти NAND существуют на сегодняшний день.\nSLC (Single Level Cell, ячейка с одним уровнем)- самый старый тип памяти, одна ячейка хранит один бит информации и отличается двумя значениями напряжения: высокое - логическая 1, низкое - логический 0. Отличается высокой ценой и не менее высоким быстродействием, а также повышенной надежностью. Диски на этом типе памяти не получили широкого распространения из-за высокой стоимости и используются в основном в серверном и высокопроизводительном сегменте.\nMLC (Multi Level Cell, ячейка с несколькими уровнями) - более дешевый тип памяти, каждая ячейка которого хранит два бита информации и работает с четырьмя отдельными значениями напряжения. По сравнению с SLC имеет меньшую производительность и больший износ ячеек, так как при последовательном изменении двух бит информации SLC перезапишет две ячейки, а MLC - два раза одну. Тем не менее MLC память представляет собой золотую середину по соотношению цена-производительность и широко используется в массовых моделях SSD.\nTLC (Three Level Cell, ячейка с тремя уровнями) - хранит в одной ячейке уже три бита информации и использует 8 уровней напряжения, имеет самую низкую стоимость хранения информацию, но также самый низкий ресурс и невысокую производительность. До настоящего момента TLC использовалась преимущественно в флешках, но последние модели памяти этого типа делают возможным использование ее в стандартных SSD, преимущественно бюджетного сегмента. От уровня помехоустойчивости напрямую зависит максимальная скорость, с которой может нормально работать данный тип памяти. Поэтому память TLC в SSD может использоваться только с обязательным применением коррекции ошибок (ECC), что дополнительно сказывается на производительности.\nОтсюда следует вопрос: стоит-ли избегать TLC памяти? Надеемся, что наше тестирование поможет найти ответ на этот вопрос, а также будет небезынтересно сравнить между собой модели на PS3110-S10 и PS3108-S8.\nИтак, встречаем участников нашего тестирования. SmartBuy Ignition 4 SB120GB-IGNT4-25SAT3 поставляется в достаточно презентабельной черной коробке, которая выполнена с некоторой претензией не более высокий статут продукта, но именно что с претензией. Бюджетность проглядывает везде, и в комплекте поставки, в который, уже традиционно, кроме самого диска не входит ничего, так и в оформлении самого диска, на котором присутствует только скромная этикетка с минимумом информации. Также можно отметить \u0026quot;фирменный\u0026quot; стиль наклейки гарантийного стикера, один конец которого постоянно отклеивается. С другой стороны, на эти мелочи можно смело не обращать внимания, особенно вспомнив, что диски полностью производятся компанией Phison, а роль Smartbuy сводится к наклеиванию этикеток и упаковке в коробки.\nУпаковка SmartBuy Revival SB120GB-RVVL-25SAT3 напоминает таковую у Ignition 2, только выполненную в красных тонах. Выглядит, надо сказать, довольно привлекательно, если поставить обе модели рядом на полке, рука непроизвольно потянется к Revival. В остальном все тоже самое: одинокая наклейка на лицевой стороне и спартанский комплект поставки. Небольшие изменения коснулись корпуса, он стал полностью металлическим с резкими формами (справа), в отличие от скругленного корпуса серии Ignition (слева). Еще одно небольшое наблюдение: если Ignition 2 имели с тыльной стороны небольшую наклейку, то теперь от нее отказались, что в общем-то понятно, модель бюджетная, производитель экономит на чем может.\nПерейдем к тестам. Слева будут показаны результаты Ignition 4, справа Revival.\nНачнем, по традиции, с CrystalDiskMark5: Несмотря на разный тип памяти диски показываю одинаковый результат, разница находится в пределах погрешности измерений. Это говорит о том, что практическая реализация работы с памятью TLC не уступает моделям на более дорогой MLC, по крайней мере в сегменте бюджетных решений. Если сравнивать с предыдущим поколением, то можно отметить выросшие показатели скоростей записи и лучшую работу с большой глубиной очереди (что для настольного применения не сильно критично).\nВ целом новое поколение дисков Phison продолжает радовать превосходными для данного ценового сегмента характеристиками. Перейдем к более детальным тестам при помощи пакета HD Tune Pro. Первый тест на скорость чтения: В этом тесте Ignition 4 показал неожиданно низкий результат - 250 МБ/с, что даже ниже модели предыдущего поколения, однако мы склонны рассматривать данный результат как особенность именно этого теста, так как более нигде данный результат не подтвердился, в том числе и в иных тестах данного пакета.\nТест записи: А вот здесь мы наглядно видим преимущества памяти MLC и недостатки TLC. Традиционно TLC-память страдала низкими скоростями записи. Современная ее реализация имеет, конечно, более лучшие показатели, но все равно до уровня MLC не дотягивает. Поэтому производители решили вопрос довольно просто: часть ячеек каждого модуля памяти работают как SLC, обеспечивая кеширование операций записи для поддержания высокого уровня производительности, затем данные спокойно переносятся в более медленную TLC-память, а SLC-кеш очищается. Точные данные об устройстве и размерах такого кеша производитель не разглашает, однако из результатов теста прекрасно видно, что 120 ГБ модель имеет 4 ГБ SLC-кеша, запись в который производится на полной скорости, а после его исчерпания мы видим настоящую скорость записи в TLC-ячейки, что-то около 90 Мб/с. Эффективную работу кеша показывает и предыдущий тест, оперируя объемом данных в 1 ГБ TLC-диск ни в чем не уступил своему MLC-собрату.\nЗдесь мы предвидим скоропалительные выводы некоторых читателей: мол TLC-память никуда не годится, а производитель со своими кешами наводит тень на плетень. Но не будем спешить. Данный диск относится к бюджетной серии и не предусматривает работу в системах с интенсивной записью. А найти в повседневных сценариях для домашнего или офисного ПК такой, чтобы потребовалось в короткое время записать свыше 4 ГБ довольно затруднительно. Разве что установка ОС или софта, но это задача, по сути, одноразовая и в повседневной работе совсем не имеет значения за какое время поставился тот или иной программный пакет, за пять минут или пятнадцать.\nС другой стороны, применение TLC позволяет значительно уменьшить стоимость памяти, что дает возможность выпускать более дешевые модели и не экономить при этом на размерах резервной области, компенсируя недостаточную производительность на запись некоторым объемом SLC-кеша. При этом еще раз напомним, что все вышесказанное относится только к операциям записи, на чтение TLC практически не уступает другим типам памяти.\nФайловый тест: На этот раз оба диска продемонстрировали неплохой результат: 375 МБ/с на чтение и 350 МБ/с на запись. Если сравнивать с результатами Ignition 2, то мы также не заметим разницы. Объясняется это просто, данный тест использует нулевые значения в качестве данных, с которыми контроллер Phison работает особым образом. Ячейки из чистых нулей не пишутся и не читаются в/из флеш-памяти, а помечаются в таблице транслятора, уходя в скрытый резерв. Таким образом данный набор тестов ставит контроллер в идеальные условия и позволяет оценить максимальную производительность именно контроллера, так как фактической записи в память в данном случае практически не происходит.\nВремя случайного доступа, один из самых важных тестов: Если Ignition 4 показал довольно ожидаемый результат, то Revival неожиданно вырвался вперед, хотя назвать опережение значительным мы не можем, все результаты укладываются в средние значения для этого контроллера и этой категории дисков, возможно, что имеют место некоторые отклонения конкретного экземпляра. В любом случае это значительно больше, чем у любого HDD и именно этот параметр отвечает за \u0026quot;отзывчивость\u0026quot; систем на SSD.\nСледующий набор тестов,AS SSD Benchmark. Общий тест: Если на чтение особых сюрпризов нет и результаты совпадают с данными других тестов, то в сценарии случайной записи с глубиной очереди 64 TLC-память показала существенно более низкий результат. Собственно, иного и не ожидалось, для высоконагруженных систем она не подходит. Однако практической ценности данный тест не имеет, так как данные нагрузки характерны для серверных систем и повседневных задачах не встречаются. Можно сказать, что в своей нише оба диска показывают практически одинаковый результат. Если же сравнивать с Ignition 2, то оба диска показывают ощутимо более высокую производительность.\nТест копирования данных: Здесь тоже никаких сюрпризов, оба диска идут вровень, при этом также ощутимо опережая модель предыдущего поколения.\nТест сжатия данных: Как мы помним, PS3108-S8 показывал более высокую производительность на хорошо сжимаемых данных, в новом контроллере разработчики проделали большую работу, производительность PS3110-S10, с любым типом памяти, не зависит от степени сжатия данных.\nПерейдем от синтетики к реальным сценариям. Intel NASPT: Данный пакет имитирует реальные действия с реальными наборами данных. Как видим оба диска показывают достаточно близкие результаты, разве что Ignition 4 несколько обходит Revival в тестах с одновременным воспроизведением сразу нескольких HD-роликов. Интересно, что ощутимое превосходство данных дисков над Ignition 2 в синтетике, в Intel NASPT практически не проявляется. Да, новые диски в чем-то быстрее, но в общем и целом можно говорить о близком уровне производительности. О чем это говорит? Только о том, что для большинства повседневных задач производительности SSD более чем достаточно и разницу между дисками в практическом использовании вы вряд ли заметите.\nВыводы: Начнем с того, что Phison снова удался на редкость сбалансированный контроллер. Диски на основе PS3110-S10 сочетают хорошую производительность с невысокой ценой, а применение памяти TLC дает основания предполагать дальнейшее снижение стоимости хранения и большую доступность твердотельных дисков.\nПри этом нет никаких оснований избегать памяти этого типа, несмотря на гораздо более низкую производительность TLC-ячеек при записи. Данная проблема успешно решается применением быстрого SLC-кеша, который успешно справляется с любыми реальными нагрузками для дисков данного сегмента, а ставить TLC-диски в нагруженные сервера никто в здравом уме не станет. В тоже время более низкая стоимость хранения единицы информации позволяет увеличить объем резервной области, что значительно повышает эффективность сборщика мусора, а, следовательно, и производительность диска в целом.\nЧто касается выбора между PS3110-S10 и PS3108-S8, то новые диски, конечно, предпочтительнее, но при их отсутствии можно смело покупать диски предыдущего поколения, вы вряд ли заметите разницу в повседневной работе.\nДа, кстати, если вас смущают наклейки SmartBuy на дисках, то вы можете купитьRevival с наклейкой Kingston UV300, переплатив за нее лишние 5$ (еще раз напомним, что Phison производит диски полностью самостоятельно и отгружает уже готовую продукцию).\n","id":"77647268c61cc5e9354eca7036d61a6b","link":"https://interface31.ru/post/obzor-dvuh-120-gb-ssd-diskov-smartbuy---ignition-4-i-revival/","section":"post","tags":["Phison","Smartbuy","SSD"],"title":"Обзор двух 120 Гб SSD дисков Smartbuy - Ignition 4 и Revival"},{"body":"Распределенная информационная база (РИБ) достаточно часто используется для организации работы филиалов и подразделений, позволяя оперативно обмениваться информацией, сохраняя нужную степень автономности. Несмотря на то, что данная технология достаточно надежна, время от времени ломается и она. Сегодня мы рассмотрим одну из довольно распространенных ошибок: Конфигурация узла распределенной ИБ не соответствует ожидаемой! Расскажем о причинах ее возникновения и методах борьбы с ней.\nНачнем, как всегда, с начала. После того, как вы создали РИБ все изменения в конфигурацию информационной базы можно вносить только в главном узле. Впоследствии, при следующем обмене, все изменения будут переданы в подчиненные узлы и автоматически применены там. Но гладко было на бумаге...\nНа практике иногда случается так, что между сеансами обмена, особенно если на периферии плохо с каналом, конфигурация главного узла успевает измениться дважды. Например, внесли изменения, выгрузили, периферийная база изменения получила, но еще не применила их, что может занять некоторое время, и подтверждения еще не прислала. Если в этот промежуток внести изменения еще раз и снова выгрузить обмен, то получится, что центр ожидает увидеть в периферийном узле конфигурацию №1 и попытается обновить ее на конфигурацию №3, а по факту столкнется там с конфигурацией №2. Иногда подобная ситуация возникает при динамическом обновлении центральной базы. В итоге обмен станет невозможным, и вы получите сообщение о том, что Конфигурация узла распределенной ИБ не соответствует ожидаемой! В общем мораль этой истории проста - не ведите активную доработку рабочей базы, а если ведете, то завершайте все сеансы обмена до внесения следующих изменений. Но как быть, если такая неприятность все-же произошла?\nРешение \u0026quot;в лоб\u0026quot; - создать новый образ подчиненного узла, однако на практике он обычно неприменим. Как правило возникновение серьезной ошибки при обмене фиксируется не сразу, а через некоторое время после того, как перестали поступать оперативные данные из периферийных баз. В зависимости от расписания обмена между моментом возникновения проблемы и ее обнаружением может пройти целый рабочий день, а то и более.\nЗдесь стоит кинуть камень в огород разработчиков, которые выдают как ошибку и точно также подсвечивают красным ситуацию Номер сообщения меньше или равен номеру ранее принятого сообщения, которая в общем-то является вполне нормальной. В итоге у пользователей восприятие ошибок притупляется, и они просто перестают читать выводимые сообщения, считая, что все хорошо и просто другая сторона еще не сделала обмен у себя. Но вернемся к нашей ошибке. Решение довольно простое и лежит на поверхности: привести конфигурацию периферийной базы к ожидаемой, т.е. привести ее в соответствие с конфигурацией центрального узла. Но на практике сделать это не так просто. Если мы откроем периферийную базу в конфигураторе, то увидим, что изменения заблокированы средствами управления РИБ. Чтобы изменить конфигурацию подчиненного узла потребуется временно отключить его от центральной базы. Для этих целей можно воспользоваться одной из обработок, которых достаточно представлено в сети, либо отключить ИБ от центрального узла с помощью параметра запуска Конфигуратора**/ResetMasterNode**.\nОткройте командную строку и введите (с учетом версии платформы и реального пути установки):\n1\u0026#34;C:\\Program Files (x86)\\1cv8\\8.3.6.2100\\bin\\1cv8.exe\u0026#34; config /ResetMasterNode После выполнения данной команды появится обычное окно стартера, выберите там нужную базу и нажмите кнопку Конифгуратор. Запуска ИБ при этом не произойдет, т.е. может показаться, что ничего не произошло, но открыв базу в Конфигураторе повторно, можно убедиться, что она отключена от главного узла и доступна для внесения изменений.\nВнимание! Внимание! На платформах 8.3.7 - 8.3.9 выполнение данной команды приводит к аварийному завершению работы. Ошибка исправлена в платформе 8.3.10.\nЕсли вы не хотите возиться с командной строкой, то можно воспользоваться одной из обработок, ниже представлена та, которую используем мы, она была найдена на просторах сети, и мы внесли в нее лишь косметические правки. Обратите внимание, обработка подходит лишь для обычного приложения, для конфигураций на управляемом приложении используйте ключ запуска Конфигуратора.\nСкачать Скачать обработку\nРабота с ней предельно проста, запускаем ее в режиме 1С:Предприятия, через Файл - Открыть, затем просто нажимаем нужную кнопку, в нашем случае Отключить главный узел. Теперь нам потребуется актуальная конфигурация из центрального узла. Для этого откроем центральную ИБ в Конфигураторе и выполним Конфигурация - Сохранить конфигурацию в файл. Полученный файл с расширением cf потребуется передать в периферийный узел. Затем в периферийном узле запускаем ИБ (предварительно отключив ее от главного узла) в Конфигураторе и снимаем с поддержки. Для этого выбираем: Конфигурация - Поддержка - Настройка поддержки. В открывшемся окне сначала включаем возможности изменения. А затем снимаем конфигурацию с поддержки. Теперь можно загружать конфигурацию из файла, для этого выберите Конфигурация - Загрузить конфигурацию из файла и укажите не переданный из центрального узла cf-файл. После чего вы получите предупреждение о том, что текущая конфигурация не пустая. Обращаем ваше внимание, что проделываемые нами манипуляции потенциально опасны и могут привести к необратимому повреждению ИБ, поэтому перед тем, как продолжать убедитесь, что у вас есть актуальная резервная копия. Ждем окончания загрузки конфигурации и обязательно обновляем конфигурацию базы данных. Теперь следует восстановить подключение базы к центральному узлу. Для конфигураций на базе обычного приложения (например, Розница 1.0) вам потребуется обработка. Запустите ее и выберите Восстановить главный узел. Для конфигураций на базе управляемого приложения (Розница 2.х и т.п.) ничего делать не надо. При первом запуске в режиме 1С:Предприятия они сами предложат восстановить связь с главным узлом. После того, как вы восстановили главный узел следует снова выполнить обмен данными и убедиться, что все работает нормально.\n","id":"7f5f8ea13524bd5840f1d6650f5995ae","link":"https://interface31.ru/post/1spredpriyatie-8-vosstanavlivaem-avtoobmen/","section":"post","tags":["1С Предприятие 8.х","Автообмен"],"title":"1С:Предприятие 8. Восстанавливаем автообмен"},{"body":"Продолжая тему подключения к ЕГАИС перейдем к практической части вопроса. К сожалению, разработчики системы меняют правила и технические условия буквально на ходу. Данный материал был уже практически готов, когда разработчики неожиданно ограничили список поддерживаемых браузеров одним IE, пришлось переделывать готовый материал. Поэтому, несмотря на то, что все наши статьи обязательно проверяются на практике, может получиться так, что данная информация окажется неверной или устаревшей, в тоже время мы будем стараться оперативно поддерживать данный материал в актуальном состоянии.\nПрежде всего убедитесь, что ваш компьютер соответствует системным требованиям для установки транспортного модуля. В частности, у вас должна быть установлены ОС Windows 7 или новее и Internet Explorer 9 или новее. Как видим, ничего особого от системы не требуется, если вы используете актуальные версии ОС и регулярно обновляете систему - все необходимое у вас уже есть, в противном случае необходимо будет привести ПО в соответствие. Также потребуется установка Java 8, которая требуется для работы транспортного модуля.\nУстанавливаем ПО для работы с крипто-ключом JaCarta Как мы уже говорили, используемый в системе крипто-ключ JaCarta содержит в себе два хранилища ГОСТ и PKI, для работы с каждым из них требуется свое ПО, которое можно скачать и установить по отдельности, также имеется единый клиент, который объединяет все необходимые инструменты в одном пакете. Перейдем на страницу http://www.aladdin-rd.ru/support/downloads/jacarta/ и ознакомимся со списком предлагаемого ПО. Первым в списке предлагается Единый Клиент JaCarta и JaCarta SecurLogon 2.7.0.1226, на наш взгляд - это наиболее удобное решение и нет причин от него отказываться. На настоящий момент Единый клиент не поддерживает Windows 10, поэтому если вы используете данную ОС, то вам потребуется скачать и установить пакеты JaCarta ГОСТ для Windows и JaCarta PKI для Windows. Собственно, установка указанного ПО производится обычным образом и не таит каких-либо трудностей. После установки ПО подключаем крипто-ключ и убеждаемся, что он определился в системе и были установлены все необходимые драйвера. Получение тестовой КЭП Если вы при покупке крипто-ключа сразу не получили квалифицированную электронную подпись (КЭП), что мы настоятельно рекомендуем сделать, на время настройки и проверки можно использовать тестовую КЭП. Для этого перейдите на страницу http://egais.ru/testkey/innkpp и введите ИНН и КПП организации. Все, что нас интересует на этой страничке - это ссылка на генератор, скачиваем его. Запускаем его, заполняем необходимые поля и нажимаем Генерация, ключ запросит пароль от хранилища ГОСТ, по умолчанию это 0987654321, вводим его и ждем окончания генерации запроса. Единственная тонкость - в качестве почтового адреса нужно указать тот, который использовался вами для регистрации в личном кабинете ФСРАР. Полученный запрос загружаем на сайт, не забудьте выбрать файл запроса, прежде чем нажать кнопку Загрузить и продолжить. Теперь можно пойти пообедать или заняться другими делами, сертификат генерируется в течении некоторого времени и будет прислан на почту. Скачайте его в любое удобное место и запишите в ключ используя утилиту генератора. После чего запустите Единый клиент JaCarta или утилиту для работы с хранилищем ГОСТ и убедитесь, что запись сертификата КЭП прошла успешно. Генерация RSA-ключа После того как вы получили КЭП следует выполнить генерацию сертификатов для торговых точек. Для этого перейдите на страницу https://service.egais.ru/checksystem и нажмите кнопку Ознакомиться с условиями и проверить их выполнение, появится страничка проверки системных требований. К сожалению, другого пути в личный кабинет нет и через проверку придется проходить каждый раз, благо посещать его нужно не столь часто. Если вы выполнили все требования к ПО, то первые два пункта проверки вы должны пройти успешно. Кстати, довольно интересно упоминание в первом пункте Windows XP, теоретически можно попробовать запустить транспортный модуль на его основе.\nИнформация Дополнено. С 13.12.15 в перечень поддерживаемых систем официально добавлена Windows XP SP3.\nСледующий шаг - установка модуля Фсрар-Крипто 2, для этого просто скачайте и запустите инсталлятор по ссылке. После чего, в очередной раз повторив проверку, вы наконец попадете в личный кабинет. Прежде всего нужно получить RSA-ключ для защищенного соединения, для этого перейдите в одноименный раздел и выберите нужную торговую точку. Учтите, что каждый ключ должен быть записан на свой токен, при этом проделать всю эту операцию можно и на одном компьютере. Процесс максимально прост. Выбираем торговую точку и нажимаем Сформировать ключ, затем вводим пароль от PKI хранилища, по умолчанию 11111111, после чего будет произведена генерация и запись ключа в токен. После успешной записи ключа токен полностью готов к работе и можно переходить к установке транспортного модуля. Установка транспортного модуля Для получения транспортного модуля снова перейдите в личный кабинет. Обратите внимание, что существует две версии транспортного модуля: тестовая и рабочая. Все передаваемые по рабочему УТМ данные фиксируются в ЕГАИС и использовать его для проверки и тестирования работы недопустимо. На этом этапе следует установить тестовый транспортный модуль и только после того, как вы настроите всю систему и убедитесь в ее работоспособности следует переустановить транспортный модуль на его рабочую версию. Скачайте нужный дистрибутив и запустите установку, особых затруднений первый этап установки вызвать не должен. А вот дальше потребуется крипто-ключ и определенная доля внимательности. Прежде всего будет неплохо найти для крипто-ключа постоянное место, так как при его отсутствии транспортный модуль не загрузится и его службы потребуется запускать вручную.\nПосле распаковки необходимых файлов будет произведена установка транспортного терминала, которая использует зашифрованные файлы и требует наличия ключа. Сначала инсталлятор спросит у вас пароль к PKI хранилищу (11111111) и предложит выбрать RSA-ключ. Это необходимо для установки защищенного соединения с серверами ЕГАИС. Запомните код сертификата, это ваш ФСРАР ИД, он потребуется вам позже, при настройке товароучетного ПО, также его можно всегда посмотреть в свойствах сертификата. Затем потребуется указать пароль к хранилищу ГОСТ (0987654321), содержащий КЭП, которая требуется для удостоверения подлинности передаваемых от имени вашей организации данных. После чего установка перейдет в заключительную стадию, на этом этапе инсталллятор подключится к серверам ЕГАИС, получит необходимые данные и произведет начальное конфигурирование ПО под конкретного клиента. Впоследствии работа с данным транспортным модулем будет возможна только при наличии того экземпляра крипто-ключа с которым производилась установка. Проверить работу транспортного модуля можно набрав в браузере IP-адрес или имя хоста с указанием порта 8080. Настройка товароучетного ПО В нашем примере будет использоваться товароучетное ПО системы 1С:Предприятие, если вы используете программные продукты иных производителей, то обратитесь к технической документации на них.\nПрежде всего следует обновить конфигурацию до актуальной версии с поддержкой ЕГАИС, на сегодня сертифицированной конфигурацией для ЕГАИС является 1С:Розница, но работа с ЕГАИС также поддерживается и в Управлении торговлей. В дальнейшем все примеры будут относиться к 1С:Розница 1.0, однако другие конфигурации 1С настраиваются идентичным образом, различия незначительны.\nПосле обновления конфигурации перейдем в параметры учета и на закладке Учет алкоголя установим галочку Учитывать алкогольную продукцию. Затем перейдем ниже по ссылке Транспортные модули и создадим настройку для работы с нашим УТМ. Название можете выбрать произвольно, правильно нужно указать ваш ФСРАР ИД и сетевой адрес УТМ. Напоминаем, ФСРАР ИД можно посмотреть в номере сертификата RSA-ключа. Ниже перейдем по второй ссылке Используемые транспортные модули и укажите транспортный модуль, используемый в данной торговой точке. Поясняем, справочник Транспортные модули магазинов содержит сведения обо всех УТМ во всех торговых точках, вам нужно из этого списка выбрать нужный. Данная настройка делает запись в регистр сведений которая связывает между собой место реализации (Магазин в терминах 1С:Розница), юридическое лицо и относящийся к ним УТМ. Наконец перейдем к настройке расписания, так как в начале работы с ЕГАИС приходится довольно часто запрашивать данные, то мы поставили повторение задания каждые 30 секунд, впоследствии это значение следует откорректировать в соответствии с реальными потребностями. Напоследок загляните на вкладку Обмен данными и убедитесь, что он включен и указан пользователь для выполнения регламентных заданий. Выполнив все необходимые настройки перезапустите программу, теперь в ней появится новый пункт меню - ЕГАИС. Назначения подпунктов вполне понятны, а работа с ними интуитивно понятна и не должна вызывать затруднений у любого уверенного пользователя 1С. Однако прежде чем начинать работу вам нужно выполнить сопоставление собственных справочников контрагентов и номенклатуры с классификаторами организаций и алкогольной продукции ЕГАИС. Для этого перейдите в соответствующий пункт меню и выполните запрос указав ИНН контрагента. Для получения классификатора алкогольной продукции следует указать ИНН производителя или импортера. На этот пункт следует обратить особое внимание: именно ИНН производителя (импортера), а не поставщика.\nЗатем, получив запрошенный классификатор, следует сопоставить его с данными справочников программы, для этого выбираем соответствующие пункты в классификаторе (слева) и справочнике (справа) и нажимаем кнопку Сопоставить. Сопоставленные позиции подсвечиваются зеленым цветом. Как видим, ничего особо сложного в практическом внедрении ЕГАИС нет. Теперь, убедившись, что все работает как надо, не забудьте получить рабочую КЭП (если вы не сделали этого раньше) и переустановить УТМ с тестового на рабочий.\n","id":"2de56ccb3bb4e40fc38b12b341a83b3c","link":"https://interface31.ru/post/podklyuchaemsya-k-egais-praktika/","section":"post","tags":["1С Предприятие 8.х","Автоматизация","ЕГАИС"],"title":"Подключаемся к ЕГАИС. Практика"},{"body":"Подключение к ЕГАИС, можно без преувеличения сказать, стало наиболее актуальной темой уходящего года для продовольственной розницы и организаций общепита торгующих алкогольной продукцией. Понятно, что, как и любая новая система, ЕГАИС будет вызывать определенные трудности при внедрении и первичной эксплуатации. Но объективные проблемы усугубляются крайне неполной и зачастую противоречивой информацией о данной системе. Поэтому мы решили начать сначала и разобраться как устроен и работает ЕГАИС.\nЕГАИС - Единая государственная автоматизированная информационная система учета объема производства и оборота этилового спирта, алкогольной и спиртсодержащей продукции. Система предназначена для осуществления государственного контроля за рынком алкогольной продукции (АП) на территории РФ. Первое внедрение данной системы произошло в 2006 году, когда к ней были подключены производители и импортеры алкогольной продукции. Этот процесс сопровождался многими сложностями и привел к серьезным потрясениям на алкогольном рынке.\nВторой этап предусматривает подключение к ЕГАИС оптового и розничного звена, а также производителей пива. По роду деятельности оптовики и производители нас интересуют мало, тем более у них есть и IT-подразделения, и штатные юристы, в общем есть кому заняться вопросом, а уделим наибольшее внимание рознице, как наиболее уязвимому в данной ситуации сегменту рынка.\nДля розницы внедрение системы также разбито на два этапа: с 01.01.2016 требуется обеспечить подтверждение закупок алкогольной продукции через ЕГАИС, а с 01.07.2016 - подтверждение факта розничной продажи каждой единицы алкогольной продукции. Исключение составляет торговля пивом и общепит, они ограничиваются только подтверждением закупок.\nОбщий принцип работы ЕГАИС Итак, попробуем разобраться, как устроен и работает ЕГАИС. Обратим внимание на следующую схему: Обычно этот момент вызывает наибольшую путаницу. Токен JaCarta используемый в системе ЕГАИС имеет в своем составе два хранилища: ГОСТ и PKI. Первое обеспечивает аппаратную поддержку российской криптографии согласно требований ФСБ и ФСТЭК и предназначен для хранения КЭП. В данном контексте КЭП аналогична официальной подписи и печати на документах и вполне логично, что она должна быть обеспечена высокой степенью защиты от взлома и клонирования. КЭП выдается в единственном экземпляре для предприятия и записывается во все ключи Удостоверяющим центром.\nВ PKI хранилище записывается сертификат для установки защищенного соединения между торговой точкой и серверами ЕГАИС, он генерируется пользователем самостоятельно в личном кабинете для каждого места реализации.\nСам УТМ является сетевым сервисом и работает с любыми поддерживающими его приложениями по протоколу TCP/IP. Это позволяет гибко размещать транспортный модуль и свести к минимуму необходимость в дополнительном ПО на рабочих местах.\nНа первом этапе ЕГАИС будет использоваться для подтверждения факта закупки алкогольной продукции. Технически это будет выглядеть следующим образом: оптовик направляет в розницу товарно-транспортную накладную через ЕГАИС одновременно с отгрузкой продукции. Транспортный модуль принимает эту ТТН и передает ее в товароучетную систему. После фактического приема алкогольной продукции торговая точка сверяет количество полученной продукции с количеством в ТТН. Затем накладная или подтверждается, или в нее вносятся коррективы, согласно фактически принятому количеству продукции. Также можно отказаться от принятия продукции и отклонить ТТН.\nЛюбое действие с ТТН является необратимым и в обязательном порядке фиксируется в ЕГАИС. Таким образом нельзя сначала подтвердить накладную, а затем внести в нее коррективы, это накладывает повышенные требования к дисциплине работы с системой.\nВторой этап предусматривает подтверждение факта розничной продажи. Он предусматривает обязательную автоматизацию кассового узла с возможностью считывать двумерный штрихкод PDF417 с акцизных марок. Продажа товара будет осуществляться обычным образом - по двумерному штрихкоду. Если среди реализуемой продукции попадается алкоголь, то кассовое ПО выдаст запрос на считывание акцизной марки. В момент закрытия чека кассовое ПО передает данные о реализуемом алкоголе УТМ и ждет ответа от ЕГАИС. Система проверяет подлинность и достоверность акцизных марок и, в случае успешной проверки, позиции добавляются в чек.\nЕсли проверка не прошла, то данная позиция из чека исключается. Это может быть связано как с неправильным считыванием акцизной марки, например, из-за ее повреждения или загрязненности, так и с ее отсутствием в базе. В последнем случае к предприятию автоматически применяются штрафные санкции, что влечет дополнительные риски и затраты. Для того, чтобы их исключить, требуется самостоятельная проверка подлинности всей полученной продукции по акцизным маркам. Это можно сделать при помощи специализированных терминалов сбора данных, однако их немаленькая стоимость способна серьезно увеличить бюджет внедрения, а малым предприятиям и вовсе может оказаться не по карману. В данной ситуации каждый должен делать выводы самостоятельно, а также более тщательно подходить к выбору поставщиков.\nМесто УТМ в структуре информационной системы предприятия Как мы уже говорили, УТМ является сетевой службой, а, следовательно, может располагаться в любом удобном месте в пределах локальной сети предприятия. При этом существует законодательно закрепленное требование к физическому расположению УТМ именно в месте реализации, поэтому варианты с расположением УТМ в центральном офисе и удаленном доступе к нему, скажем через VPN, следует сразу отмести.\nТехнически УТМ реализован в виде программного модуля который бесплатно доступен всем участникам системы, также существуют программно-аппаратные комплексы, например, УТМ АТОЛ, который представляет собой компактное сетевое устройство, наподобие обычного роутера.\nНачнем с самой простой схемы: небольшой магазин, имеющий компьютер товароведа и один или несколько кассовых узлов. Если предприятие имеет сервер, то будет логичным расположить УТМ и ключ на нем, это обеспечить более стабильную работу системы и затруднит несанкционированный доступ. Наконец можно приобрести аппаратный УТМ, тот-же АТОЛ и разместить его в любом удобном месте сети. Сколько УТМ нужно устанавливать и куда Тоже не праздный вопрос и одними техническими соображениями тут не обходится. Например, технически, никто не мешает установить один УТМ в центральном офисе и подключить к нему все торговые точки через VPN. Но тут выходят на первый план требования законодательства, согласно которому любая торговая точка с адресом, отличающимся вплоть до номера дома должна быть зарегистрирована как обособленное подразделение и иметь отличающееся КПП. Каждая такая точка является объектом лицензирования и должна иметь собственный УТМ и крипто-ключ, который содержит общую для предприятия КЭП и индивидуальный сертификат PKI. При этом перемещения алкогольной продукции между торговыми точками одного предприятия также должны производиться через ЕГАИС. Например, если у нас имеются три торговые точки - нам потребуется приобрести три крипто-ключа и установить на каждой торговой точке свой УТМ. В центральном офисе УТМ не нужен, так как он не является точкой реализации алкогольной продукции.\nИная ситуация у индивидуальных предпринимателей, торгующих пивом (торговать крепким алкоголем ИП не имеют права). Им требуется только подтверждать факт поступления пива, обособленных подразделений у них быть не может и деятельность свою они официально ведут по месту регистрации физлица. Поэтому расположение УТМ для них не регламентируется, его можно расположить в одной из точек, в центральном офисе или дома. Отдельного разговора заслуживают предприятия общественного питания. Алкоголь в них может быть реализован только на розлив, реализация алкоголя в закрытой таре на вынос будет являться нарушением, т.е. розничной продажи алкоголя в предприятиях общепита нет и подтверждать требуется только факт закупки. Но есть одна тонкость: с введением ЕГАИС становится невозможной широко распространенная в общепите практика, когда при окончании запасов алкоголя их оперативно докупают в ближайшей рознице. Так как отразить поступление такого алкоголя через ЕГАИС нельзя, то нельзя его и продавать. Исключение - алкоголь, используемый для приготовления безалкогольной продукции, например, блюд, предусматривающих алкоголь в рецептуре. Подтверждать поступление такого алкоголя необязательно и его можно приобретать в розницу.\nУТМ и крипто-ключ в общепите должны располагаться по месту осуществления деятельности. Автоматизация кассовых узлов пока не требуется, так как не требуется подтверждать факт розничной продажи.\nЖурнал учета объема розничной продажи алкогольной и спиртсодержащей продукции В свете внедрения ЕГАИС о Журнале как-то все забывают, в тоже время за его отсутствие или неправильное и несвоевременное заполнение предусмотрены весьма ощутимые штрафные санкции. Особых требований по ведению журнала нет, его можно вести как электронно так и в бумажном виде, что актуально для общепита и точек продаж пива, которые не имеют автоматизированных кассовых узлов.\nВ журнале регистрируются факты розничной продажи алкогольной продукции и пива, а при реализации пива и вина на разлив - факт вскрытия тары. Основное требование - записи необходимо внести в журнал не позднее следующего дня после закрытия кассовой смены. Т.е. ситуация, когда журнал заполняет бухгалтер один раз в неделю по накопленным данным, недопустима и влечет за собой риски штрафных санкций.\nПредприятия общепита регистрируют в журнале факты вскрытия тары для любого алкоголя, так как имеют право продавать его только в разлив.\nНадеемся, что наш краткий обзор поможет вам привести в порядок и систематизировать информацию о ЕГАИС и в следующих наших статьях мы перейдем к практическим аспектам внедрения.\n","id":"025790017c797fd80738d56920bcdaef","link":"https://interface31.ru/post/podklyuchaemsya-k-egais-obshhie-voprosy/","section":"post","tags":["Автоматизация","ЕГАИС"],"title":"Подключаемся к ЕГАИС. Общие вопросы"},{"body":"Удаленный доступ к рабочему столу по протоколу RDP широко используется для работы не только с серверами, но и с рабочими станциями, как для удаленной работы, так и в целях администрирования. Однако есть некоторые ограничения, в частности в среде клиентской ОС нельзя управлять параметрами питания, даже имея права локального администратора. В некоторых случаях это способно взывать затруднения, поэтому если вы до сих пор не знаете, как выключить или перезагрузить клиентскую версию ОС через RDP - эта статья для вас.\nВ серверных системах семейства Windows локальный администратор, не говоря о доменном, имеет полный контроль над системой и не испытывает затруднений в управлении питанием даже подключившись через удаленный доступ. В клиентских ОС ситуация принципиально иная, даже локальный администратор не имеет возможности выключить или перезагрузить компьютер. Несмотря на кажущуюся нелогичность, определенный смысл в таком поведении есть. Серверные ОС администрируют профессионалы (как минимум в теории), которые должны отдавать себе отчет о возможных последствиях своих действий. С другой стороны, удаленно выключив ПК так просто включить его уже не получится, в большинстве случаев потребуется физическое присутствие, поэтому решение убрать подобную функцию от простых пользователей выглядит вполне обоснованно. Администраторы, следуя этой логике, должны уметь управлять питанием и иными способами.\nНо как показывает практика, умеют это не все. Ничего страшного в этом нет, как говорил мой школьный учитель: спросить - стыд минуты, не знать - стыд всей жизни.\nГрафическая оболочка На самом деле \u0026quot;проблема\u0026quot; решается не просто, а очень просто. Выйдя на рабочий стол достаточно нажать Alt+F4 чтобы получить стандартный диалог завершения работы. Однако у этого способа есть один существенный недостаток. Очень часто выключить или перезагрузить компьютер мешают некоторые приложения, например, несохраненный документ. Подобная картина, на наш взгляд, знакома каждому. Беда в том, что этого экрана через RDP вы уже не увидите. Да и открытые приложения - это полбеды, хуже, когда систему не дает выключить или перезагрузить зависшее приложение. В этом случае придется искать иные методы.\nКомандная строка Как обычно, если графические инструменты не помогают, на помощь администратору приходит командная строка. Для того, чтобы управлять питанием компьютера с ее помощью не надо обладать особыми знаниями, достаточно запомнить одну простую команду. Нажмите Win+R или Пуск - Выполнить и введите следующие команды для выключения:\n1shutdown -s -f -t 0 для перезагрузки.\n1shutdown -r -f -t 0 Разберем ключи команды подробнее:\ns - выключение компьютера r - перезагрузка f - принудительное завершение мешающих перезагрузке процессов t - время, через которое завершение работы будет выполнено, указывается в секундах через пробел. Если данный параметр не используется команда будет выполнена через 60 секунд. Утилита PsShutdown от Sysinternals Если штатные возможности вас по какой-либо причине не устраивают, то можно воспользоваться альтернативой - утилитой PsShutdown от Sysinternals. Разместите скачанный файл в любом удобном месте, лучше всего в одном из указанных в переменной PATH, либо добавьте туда ее расположение, это позволить запускать ее по короткому имени, без указания пути. Синтаксис утилиты похож на синтаксис стандартной, но есть некоторые отличия, так для выключения выполните:\n1psshutdown -k -f -t 0 а для перезагрузки:\n1psshutdown -r -f -t 0 Поясним используемые ключи:\nk - выключение системы r - перезагрузка f - принудительное завершение процессов t - время выполнения команды Если вместо ключа -k использовать для выключения ключ -s, то система завершит работу без выключения питания, старожилы должны хорошо помнить: Кроме того, данная утилита позволяет управлять питанием других ПК по сети. Если честно, то работать по сети умеет и штатная утилита shutdown, достаточно указать ключ:\n1-m \\\\computer Но есть один существенный недостаток - команда выполняется в контексте запустившего его пользователя, поэтому вы из дома не сможете выключить рабочий ПК, даже имея доступ в корпоративную сеть через VPN и имея учетные данные администратора сети.\nPsShutdown данного недостатка лишена и позволяет указывать учетные данные для подключения к удаленному ПК, например:\n1psshutdown \\\\computer -u username -p password -r -f -t 0 Данная команда выполнит перезагрузку удаленного ПК computer использовав для подключения имя username и пароль password. Следует помнить, что указанный вами пользователь должен иметь права доступа к административному ресурсу ADMIN$. В среде Active Directory этим правом обладает администратор домена, а вот в одноранговой сети могут возникнуть затруднения.\nЕсли вы попробуете выключить удаленную систему даже с использованием учетных данных локального администратора, то скорее всего получите ошибку Отказано в доступе. Это свидетельствует о том, что данный пользователь не имеет доступа к ресурсу ADMIN$. Чтобы его включить нужно выполнить два условия: включить общий доступ к файлам и принтерам А затем в ветвь реестра\n1HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System добавить параметр типа DWORD с именем\n1LocalAccountTokenFilterPolicy и установить его значение равным 1. После этого компьютер потребуется перезагрузить.\nПопробуем снова выключить его удаленно. Как видим в этот раз команда отработала успешно.\nPowerShell Использовать PowerShell для выключения или перезагрузки компьютера, это сродни стрельбы из пушки по воробьям, но в ряде случаев может оказаться полезным.\nДля выключения используйте команду:\n1Stop-Computer -Force А для перезагрузки:\n1Restart-Computer -Force Ключ -Force в данном случае аналогичен ключу -f команды shutdown и предполагает принудительное завершение работы мешающих выключению приложений.\nТакже PowerShell можно использовать для управления питанием по сети, например, можно выключить удаленный ПК командой:\n1 Stop-Computer -ComputerName computer -Credential username -Force Где ключи:\nComputerName - имя удаленного компьютера, допускается перечисление нескольких имен через запятую Credential - имя учетной записи для аутентификации в удаленной системе При этом работа через PowerShell более безопасна, так как пароль не вводится открытым текстом и не остается в истории команд. Для аутентификации используются стандартные механизмы ОС. Как видим, для управления питанием в ОС Windows доступны самые разнообразные инструменты - на любой вкус и цвет. При этом все они доступны внутри терминальной сессии, какой из них использовать - дело личного вкуса и предпочтений.\n","id":"1462d16e1bc579843f5668c702d9db2d","link":"https://interface31.ru/post/adminu-na-zametku-17-kak-vyklyuchit-ili-perezagruzit-komp-yuter-cherez-rdp/","section":"post","tags":["PowerShell","RDP","Sysinternals","Windows 10","Windows 7","Windows 8"],"title":"Админу на заметку - 17. Как выключить или перезагрузить компьютер через RDP"},{"body":"Новые версии операционных систем приносят нам не только новые возможности, но и новые ошибки, иногда в самых неожиданных местах. В новом выпуске Debian мы неожиданно столкнулись с некоторыми багами в реализации механизма программного RAID, который не позволял загрузить ОС при отказе одного из дисков массива. Это достаточно серьезный недочет, сводящий на нет основное достоинство RAID - отказоустойчивость. К счастью, этот недостаток несложно исправить самостоятельно и сегодня мы расскажем, как.\nНесмотря на то, что вопросы настройки и администрирования программного RAID в Ubuntu уже рассматривались и данная инструкция полностью подходит для Debian, мы решили повториться и кратко описать полный процесс настройки, начиная от установки ОС и заканчивая исправлением ошибок. В тоже время в первой части статьи мы не будем давать некоторых пояснений и для получения подробной информации рекомендуем ознакомиться с предыдущими материалами.\nНастройка программного RAID в процессе установки ОС Мы не будем подробно рассматривать процесс установки, этот процесс подробно описан нами здесь, остановимся непосредственно на разметке дисков. Так как программный RAID создается на основе разделов, то диски необходимо предварительно разметить вручную, выбрав соответствующий пункт инсталлятора. Затем выберем жесткий диск: И разметим его необходимым образом: При этом точки монтирования и тип файловой системы не имеют значения, главное - создать разделы необходимого размера. После чего данные действия следует повторить для оставшихся дисков. Учтите, что для успешной сборки программного RAID размеры разделов должны совпадать посекторно. Так как Linux отлично умеет работать с файлом подкачки соответствующий раздел можно не создавать, что несколько упростит разметку. Если нет каких-либо особых требований по разметке мы предпочитаем использовать один раздел на весь размер диска.\nЗатем переходим к Настройка программного RAID - Создать MD устройство и выбираем необходимый тип массива, в нашем случае RAID1 (зеркало). Следующими шагами указываем количество активных (для зеркала - 2) и резервных (если необходимо) разделов, после чего выбираем их. На этом действия по созданию MD-устройства следует закончить. Созданные ранее разделы теперь определяются как RAID и появился новый, ненастроенный раздел программного RAID устройства. Вот его и следует настроить для использования. Указываем точку монтирования и тип файловой системы, так как в нашем случае раздел один, то точкой монтирования становится корень. После чего продолжаем установку ОС привычным образом. В конце нас поджидает еще одна особенность: в отличие от Ubuntu, которая автоматически ставила загрузчик на все диски, Debian предлагает выбрать какой-то один диск. Вполне логично будет выбрать первый - sda, хотя принципиальной разницы нет, максимум - придется изменить в BIOS порядок загрузки. На этом установка будет закончена, и вы должны успешно загрузиться в систему.\nУстановка загрузчика на оставшиеся диски Не откладывая дело в долгий ящик установим загрузчик на оставшиеся диски, чтобы в случае отказа одного из них система смогла начать загрузку с другого диска и собрать RAID-массив, для этого с правами суперпользователя выполним команду:\n1 dpkg-reconfigure grub-pc Запустится псевдографический интерфейс утилиты, принимаем значения по умолчанию пока не появится экран с выбором дисковых устройств. Указываем все диски, входящие в массив, на MD-устройство устанавливать загрузчик не надо.\nНастройка файла подкачки По умолчанию Linux использует для подкачки специальный раздел, но может прекрасно использовать для этих целей файл, что неудивительно, если вспомнить, что в Linux системах всё есть файл.\nСоздадим в корне пустой файл с именем swap размером в 2ГБ:\n1dd if=/dev/zero of=/swap bs=1M count=2048 Отформатируем его как файл подкачки:\n1mkswap /swap и добавим строку для автомонтирования в /etc/fstab\n1/swap none swap sw 0 0 Перезагружаемся и убеждаемся, что swap работает:\n1swapon -s Если все сделано правильно вы должны увидеть примерно следующее: На этом наша статья должна была бы закончиться, если бы не одна ошибка... Но обо всем по порядку.\nУстраняем ошибку \u0026quot;Alert! dev/disk/by-uuid ... does not exist\u0026quot; при загрузке с поврежденного массива Перед тем, как производить дальнейшую настройку и эксплуатацию системы на программном RAID проверим его на отказоустойчивость, для этого выключим систему и физически отключим один из дисков. Система должна выдать сообщение о поврежденном массиве и выполнить загрузку с исправного диска. Но мы неожиданно получили сообщение об ошибке: \u0026quot;Alert! dev/disk/by-uuid ... does not exist\u0026quot; При возврате диска система автоматически собирала массив и нормально загружалась. По сути это перечеркивало все, ради чего собирают отказоустойчивые массивы, а именно продолжение работы системы при выходе из строя одного диска. Мы изучили достаточно много различных рекомендаций в сети, разной степени бесполезности, а то и откровенно вредных, пока не нашли довольно внятного объяснения и рабочего решения.\nВажно! Важно! Данная ошибка исправлена в Debian 8.3\nДля исправления ошибки необходимо внести изменения в скрипт инициализации и обновить начальный образ. Так как вносимые изменения довольно объемные и затрагивают критически важные области системы мы предлагаем воспользоваться уже пропатченным скриптом с нашего сайта.\nПерейдем в домашнюю директорию и скачаем архив со скриптом:\n1cd ~ 2wget \u0026#34;https://interface31.ru/tech_it/files/mdadm-path.tar.gz\u0026#34; Извлечем его содержимое:\n1tar -xvf mdadm-path.tar.gz Сохраним на всякий случай оригинальный файл, переместив его в домашнюю директорию и добавив расширение bak.\n1mv /usr/share/initramfs-tools/scripts/local-top/mdadm ~/mdadm.bak Теперь скопируем на его место исправленный файл:\n1cp ~/mdadm /usr/share/initramfs-tools/scripts/local-top/ Обновим образ начальной загрузки:\n1update-initramfs -u Перезагружаем систему и убеждаемся, что все работает, затем выключаем, убираем один диск и повторяем попытку загрузки. На этот раз она должна оказаться успешной.\nПроверим состояние массива:\n1cat /proc/mdstat Как видим в строю остался только один диск - sdb, но система, как и положено, работает. Вернем диск на место и снова проверим состояние массива. Несмотря на то, что второй диск исправен и доступен системе автоматической сборки массива не происходит и это правильно. Сборка и ресинхронизация поврежденного массива - потенциально опасная операция и должна всегда производиться в ручном режиме под контролем администратора.\nДобавим отключенный ранее диск к массиву, обратите внимание, что подключается не сам диск, а раздел:\n1mdadm /dev/md0 --add /dev/sda1 И снова проверим статус, диск должен добавиться и начнется ресинхронизация: Таким образом, путем достаточно несложных манипуляций нам удалось устранить ошибку и добиться нормальной работы программного RAID в среде Debian 8. Данный пример хорошо иллюстрирует одно из достоинств открытого ПО: при наличии достаточной квалификации или помощи сообщества пользователь может сам вносить достаточно серьезные исправления в систему, не дожидаясь пока это сделает производитель.\n","id":"fa6617eb53e5cb913645838a9e5cd057","link":"https://interface31.ru/post/osobennosti-nastroyki-programmnogo-raid-v-debian-8/","section":"post","tags":["Debian","mdadm","RAID","Файловый сервер"],"title":"Особенности настройки программного RAID в Debian 8"},{"body":"Что такое драйверпак администраторам объяснять не нужно, каждый хоть раз да использовал ту или иную утилиту для автоматического определения и установки драйверов. Также популярны данные инструменты среди работников сервисных центров, где приходится иметь дело с самым разнообразным зоопарком железа. С другой стороны, установка сомнительных или неподходящих драйверов - самый верный способ убить систему, поэтому желательно все-таки контролировать работу автоматического установщика.\nНаиболее популярным инструментом для автоматической установки драйверов является DriverPack Solution, однако именно с ним связано самое большое количество инцидентов, вплоть до полного отказа системы. Во многом это связано с тем, что последние несколько лет программа развивается в основном только в маркетинговом плане, техническая часть, которая отвечает за подбор драйверов, не разрабатывается в связи с уходом единственного ее разработчика.\nА если проследить эволюцию данного программного продукта, то явно прослеживается направленность на неопытного пользователя или \u0026quot;бегунка\u0026quot;, чья задача \u0026quot;по-быстрому перебить винду\u0026quot; и убежать на другой вызов. О том, что именно мы ставим и для какого именно устройства - информации минимум. Зато предлагается решить все вопросы одним нажатием на кнопку, попутно установив целую пачку условно-полезных программ, в целях монетизации. Такой подход, по вполне понятным причинам, чреват различными неприятными ситуациями, начиная от неработоспособности того или иного устройства и заканчивая \u0026quot;синими окнами смерти\u0026quot;. Эти причины заставили нас полностью отказаться от использования данного инструмента и заставили искать альтернативу.\nСразу оговоримся, мы не являемся сторонниками использования драйверпаков, предпочитая устанавливать драйвера из официальных источников, но бывают ситуации, когда это невозможно, по техническим или организационным причинам, чаще всего на выезде. В этом случае подобный инструмент способен отлично выручить.\nЭтим инструментом оказался Snappy Driver Installer, представляющий совсем иной подход к решению вопроса. Разработчиком данной утилиты оказался тот самый, ушедший из команды DriverPack Solution, разработчик механизма подбора.\nЕсли DriverPack Solution делает упор на неопытную аудиторию, то Snappy Driver Installer наоборот дает исчерпывающее количество информации и полный контроль над происходящим, хотя никто не мешает установить все драйвера одним нажатием на кнопку.\nУтилита поставляется без драйверпаков и работает без установки, что позволяет разместить ее на флешке или переносном диске. В отличие от основного конкурента, который разрабатывается с учетом коммерческой привлекательности, данный продукт выглядит как типичный Open Source-проект, где оформлению отведено далеко не первое место. Не знаем, что мешало выполнить программу с использованием стандартных элементов управления, но если перебрать темы, то можно найти что-то не особенно вырвиглазное. При первом запуске утилита предложит вам скачать драйверпаки, полный размер которых около 10 ГБ. В этом случае вы будете полностью независимы от наличия интернет подключения и его скорости.\nЕсли же вас интересует онлайн-инструмент, который не занимает много места, то можно скачать только индексы, которые отвечают за определение оборудования. Но мы рекомендуем добавить туда еще и драйверпаки для сетевых карт и Wi-Fi адаптеров, такой набор займет всего 298 МБ и позволит вам успешно справиться с любой ситуацией. Действительно, драйвера на сеть у вас с собой, остальное можно скачать из интернета. После того, как будут скачаны индексы, программа определит оборудование и предложит скачать только те драйверпаки, которые нужны для данного ПК. В этом случае объем закачки будет гораздо меньше. Теперь о том, что выгодно отличает данную утилиту от своих конкурентов. Это подробнейшая информация о каждом устройстве, предлагаемом и установленном драйвере, а также о доступных в драйверпаках версиях драйверов. Чтобы получить информацию об устройстве достаточно подвести мышь к нужному пункту и нажать Ctrl. Информации более чем достаточно, чтобы принять осмысленное решение и оценить насколько тот или иной драйвер подходит к выбранному устройству. Сразу можно увидеть на основании чего был выбран тот или иной драйвер, нужный ID будет подсвечен, также указана версия драйвера, его производитель и наличие или отсутствие подписи.\nЕсли вас автоматический выбор по какой-либо причине не устраивает, то нажав Пробел можно увидеть полный список подходящих для этого устройства драйверов. Так для Wi-Fi адаптера TP-LINK TL-WN722N доступны как драйвера от TP-LINK, так и альтернатива от производителя чипа Atheros. Для выбора подходящих драйверов достаточно просто развернуть соответствующий устройству пункт списка. Но это еще не все. Каждый раз при подключении к системе утилита создает лог и снимок оборудования системы. Чтобы получить к ним доступ достаточно выбрать пункт Открыть логи. Чем это может быть полезно? Во-первых, открыв лог всегда можно посмотреть, какое именно оборудование было установлено в том или ином ПК. Причем в лог добавляются сведения о всех устройствах, а не только о тех, что есть в драйверпаках, в нашем случае в логе отразилось наличие звуковой карты Asus Xonar, которая в составе наборов драйверов отсутствует. Кроме логов в той же папке находятся снимки, загрузка снимка позволяет эмулировать удаленную систему, но работать с локальным драйверпаком. Для чего это нужно? Разберем реальную ситуацию. У одного нашего клиента есть удаленный объект, где мобильный интернет через EDGE считается роскошью. В результате нештатной ситуации пришлось переустановить систему, диск с драйверами, как всегда утерян. Скачанный Snappy Driver Installer показал, что надо выкачать 770 МБ на медленном мобильном интернете... Тоска - печаль... Вот здесь на помощь как раз и приходит снимок системы, передаем небольшой файл в офис и загружаем его в утилиту, которая считывает сведения об оборудовании удаленной системы и выводит подходящие драйвера. Хорошо, но как это может нам помочь? А очень просто, выделяем все нужные драйвера и нажимаем Распаковать в... Эта команда выгрузит в папку набор драйверов для конкретной системы и добавит туда исполняемый файл для автоматической установки, хотя вы можете установить эти драйвера и привычным образом. Ну и 170 МБ это не 770 МБ, а если хорошо запаковать, скажем 7-Zip, то размер архива можно уменьшить до 37 МБ, что вполне подходит для передачи по медленным каналам. Как видим, Snappy Driver Installer - это даже больше, чем просто продвинутый драйверпак, утилита предлагает весьма удобные и полезные функции для работы с драйверами оборудования и без сомнения должна быть в арсенале каждого администратора или сервисного инженера.\n","id":"025e1e6862c5604d04aa6750b3d8782a","link":"https://interface31.ru/post/snappy-driver-installer-prodvinutyy-drayverpak/","section":"post","tags":["Driver","Развертывание"],"title":"Админу на заметку - 16. Snappy Driver Installer - продвинутый драйверпак"},{"body":"Не так давно мы познакомили наших читателей с бюджетными SSD Smartbuy Ignition 2, которые нам очень понравились, потому что мы, честно говоря, не ожидали от самых дешевых моделей на рынке таких характеристик. Сегодня героем нашего обзора стал еще один диск из низшей ценовой категории от Silicon Power, который заставил нас задуматься о том, что не все бюджетные диски одинаковы и к их выбору следует относится осмотрительно.\nБюджетные диски... К сожалению, современные экономические реалии заставляют нас по-новому взглянуть на привычные вещи и компьютерное железо тут не исключение, а как-раз таки наоборот, так как его цена напрямую зависит от курса доллара. В связи с этим внимание большинства администраторов и обычных пользователей сместилось в нижний ценовой диапазон, где, как показал наш прошлый обзор, можно найти действительно неплохие вещи. А можно и не найти.\nSilicon Power Slim S55 - прямой конкурент Smartbuy Ignition 2, в первую очередь по цене, занимая позицию около 40 USD. В принципе это позволяет ожидать от данных моделей схожих характеристик. Оба \u0026quot;бренда\u0026quot; никак не относятся к известным, за наличие которых на упаковке покупатель готов переплачивать, что предполагает сопоставимые затраты при производстве.\nОднако у Silicon Power оказался свой подход к недорогим дискам. В отличие от Smartbuy данная фирма специализируется именно на накопителях и поэтому логично было бы ожидать более профессиональный подход к вопросу. Однако сайт нас разочаровал. Производитель, мягко говоря, напустил туману, так и не предоставив конкретики: какой контроллер используется в каких моделях, какие их скоростные характеристики и т.п., отделавшись какими-то общими цифрами.\nСайт продавца оказался более подробным, сообщив что внутри 60 ГБ модели может, по данным из неофициальных источников, оказаться Phison PS3108-S8 или SandForce SF-2281. На что способны диски от Phison, с учетом того, что \u0026quot;производителю\u0026quot; остается наклеить на него только этикетку, мы уже знаем. SandForce SF-2281 - довольно старый контроллер, но в бюджетном сегменте выглядит достаточно неплохо, хоть звезд с неба и не хватает.\nНам в руки попал 60 GB Silicon Power Slim S55 (SP060GBSS3S55S25), как раз таки на контроллере SandForce, что нас, первоначально, не сильно расстроило. Phison, конечно, был бы предпочтительнее, но там, куда этот диск предназначался, это было не принципиально. Диск поставляется запаянным в блистер, комплектация столь же спартанская, собственно ничего кроме диска в упаковке нет. Сам диск выполнен тоже без изысков, этикетка только с лицевой стороны и немного информативнее чем Smartbuy, как минимум содержит штрихкод с чем-то похожим на серийный номер. Больше снаружи ничего интересного нет, поэтому перейдем к тестированию.\nТрадиционно начнем с CrystalDiskMark5. HD Tune Pro, скорость чтения: Здесь тоже все пока неплохо, разве что велико время случайного доступа - 227 мс, против 60 мс у Phison, но в любом случае это на порядок лучше, чем аналогичный показатель любого жесткого диска.\nТест записи: А вот здесь нас ждал первый сюрприз, скорость на хорошо сжимаемых данных (сильная сторона SandForce) не превышала такую на несжимаемых и уперлась в планку 80 МБ/с. Это говорит о том, что Silicon Power сэкономили не только на контроллере, но и на памяти, поставив минимальное количество чипов максимальной емкостью, что не позволило задействовать все каналы контроллера и достичь номинальной для него скорости.\nФайловый тест: Результат полностью подтверждает предыдущие графики. Если к скорости чтения особых вопросов нет, то запись ожидаемо уперлась в те же самые 80 МБ/с.\nВремя случайного доступа: Здесь тоже все не очень, по сравнению с Phison, выдававшем в среднем 15 000 IOPS, 5000 IOPS данного диска смотрятся более чем скромно. Хотя, повторимся еще раз, это все равно лучше, чем у любого жесткого диска.\nAS SSD Benchmark. Общий тест: Ничего нового мы здесь не увидим, результат подтверждает предыдущие тесты. Но даже по \u0026quot;попугаям\u0026quot; диск серьезно уступает своему прямому конкуренту от Smartbuy, набирая 337 \u0026quot;попугаев\u0026quot; против 500.\nТест копирования данных: Здесь все не так уж и плохо, примерно на уровне 60 ГБ Smartbuy, однако следует понимать, что если для Phison данный результат показывает некоторое среднее значение и на определенных наборах данных диск может показывать большую производительность, то для данной модели это, к сожалению, потолок.\nТест сжатия данных: Еще одно красочное подтверждение вышесказанному. Слабонервным лучше не смотреть. В погоне за долларом производитель умудрился на корню загубить все сильные стороны и так не самого современного и не самого производительного контроллера. Можно сказать, что работа со сжатыми данными являлась фирменной \u0026quot;фишкой\u0026quot; SandForce, позволяя ему в ряде задач демонстрировать неплохую производительность без существенного удорожания диска в целом. Как видим, бабло не только побеждает зло, но и здравый смысл.\nЛадно, это все лирика, посмотрим, что там у нас в реальных сценариях тестового пакета Intel NASPT. В большинстве задач все не так уж и плохо. При работе с последовательными данными и в офисных задачах большой разницы между 60 ГБ Silicon Power Slim S55 и Smartbuy Ignition 2 такого же объема вы не обнаружите. Зато сразу видна разница в сценариях предусматривающую активную запись данных. Например, в тесте Dir copy to NAS, Phison показывает отличный результат именно за счет работы с хорошо сжимаемыми данными, данная же модель упирается в фактический потолок производительности, хотя это крайне выгодный сценарий для SandForce.\nВыводы Объективно говоря, для своего, ультрабюджетного, сегмента данная модель выглядит вполне нормально. Звезд с неба не хватает, но в большинстве реальных сценариев выглядит достаточно неплохо. Нам кажется, что все понимают, что желать высокой производительности от диска за 40 USD немного опрометчиво.\nС другой стороны, практику производителя, когда под одной и той же этикеткой сначала идет отличный Phison PS3108-S8, а потом, без какого-либо уведомления, он меняется на крайне урезанный SandForce SF-2281 нормальной назвать трудно. Не добавляет плюсов и склонность к умалчиванию, когда на официальном уровне не предоставляется сведений о контроллере и реальных характеристиках диска.\nБудем ли мы рекомендовать данный диск к покупке? Нет, так как за те же самые деньги можно взять гораздо более современный и производительный диск на Phison PS3108-S8, например, от Smartbuy. Но покупать данный диск, в принципе, можно, особенно если ничего другого в наличии нет, а диск надо еще вчера. Он вполне справится с обязанностями системного диска в офисном ПК, автоматизированном рабочем месте, недорогом ноутбуке. Еще одно возможное применение - SSD кэш, это позволит по максимуму использовать только сильные стороны данного диска.\nВ любом случае выбор за вами, мы же все-таки посоветуем не спешить с покупкой и поискать более удачное решение.\n","id":"a0129c557e2b85f08303f95bb84250ea","link":"https://interface31.ru/post/silicon-power-slim-s55-ili-ne-vse-nedorogie-ssd-odinakovo-polezny/","section":"post","tags":["SandForce","SiliconPower","SSD"],"title":"Silicon Power Slim S55 или не все недорогие SSD одинаково полезны"},{"body":"Программируемые клавиатуры являются неотъемлемой частью любого автоматизированного кассового узла, действительно, эти нехитрые устройства позволяют значительно облегчить труд кассира и ускорить обслуживание покупателей. Сегодня мы поговорим о настройке и подключении таких клавиатур применительно к 1С:Розница, однако все изложенное в данном материале будет справедливо и для любой другой системы автоматизации.\nПрежде всего о том, что такое программируемая клавиатура и для чего она нужна. Это - специализированное устройство ввода, которое, в отличие от обычной клавиатуры, позволяет программировать раскладку клавиш произвольным образом. Причем на каждую клавишу можно назначить не только отдельный символ, но и комбинацию символов, что позволяет одним нажатием вводить клавиатурные комбинации, соответствующие определенным действиям в интерфейсе кассира.\nЕсли мы глянем на интерфейс рабочего места кассира (РМК) в 1С:Розница, то увидим, что каждому действию соответствует определенная клавиша или комбинация клавиш. Это позволяет запрограммировать клавиатуру сразу на выполнение определенных действий, упростив таким образом работу с программой. Теперь перейдем к самим клавиатурам. Существуют различные модели, которые различаются между собой количеством клавиш и дополнительными опциями, такими как встроенный считыватель магнитных карт и т.п. Еще одно различие заключается в количестве хранимых раскладок. Самые простые клавиатуры имеют одну раскладку, более продвинутые модели могут иметь несколько раскладок, т.н. уровней, между которыми можно переключаться прямо во время работы.\nЕсли говорить о небольших торговых точках или продовольственной рознице, где возможные действия кассира строго регламентированы и ограничиваются небольшим набором базовых операций, то подойдут самые простые клавиатуры, с небольшим количеством клавиш. Более серьезные модели следует выбирать тогда, когда у кассира более широкий набор операций, например, в общепите, где на часть клавиш удобно будет вывести отдельные разделы меню или наиболее часто используемые специфики и т.п.\nОтдельного разговора заслуживают различные специализированные магазины, особенно где затруднен учет и отпуск товаров с использованием штрих-кодов. В качестве примера приведем магазин разливного пива. Кроме самого пива, которое может отпускаться в тару разного объема, следует также учитывать ПЭТ-бутылки, хотя ассортимент при этом относительно невелик. Это позволяет вынести практически всю номенклатуру на горячие клавиши, но потребует клавиатуры с большим количеством клавиш.\nВ нашем примере мы будем рассматривать простую и относительно недорогую клавиатуру Posiflex КВ-4000. Данная клавиатура имеет 40 клавиш и может комплектоваться считывателем магнитных карт. Если подключить такую клавиатуру к ПК, то она определится как стандартное устройство ввода и будет работать без установки каких-либо драйверов и утилит. Но сразу же обнаружится, что в данной модели запрограммирован только цифровой блок, остальные клавиши чистые. Поэтому нужно разработать и создать раскладку, которую после этого можно сохранить в файл и быстро заливать во все последующие клавиатуры.\nПеред тем, как собственно переходить к программированию, возьмите в руки лист бумаги, на котором схематично изобразите раскладку клавиатуры и открыв перед собой РМК попытайтесь расположить все необходимые клавиши в оптимальном порядке. Неплохо привлечь к этой работе кассиров, особенно если они уже работали с такими клавиатурами и имеют определенные предпочтения или привычки.\nЕсли у вас нет опыта работы с данными устройствами, и вы только подбираете модель, то попробуйте создать раскладку еще до покупки. Это поможет понять насколько выбранная клавиатура соответствует вашим потребностям и позволит не ошибиться в выборе.\nВ итоге у вас должно получиться что-то подобное: В 1С:Розница быстрые товары задаются в настройках РМК, привязываясь к заранее выбранным сочетаниям клавиш, это позволяет произвольно менять их список не перепрограммируя клавиатуру, это могут делать сами сотрудники, все что им понадобится - это заменить вкладыш на клавише. После того, как вы определились с раскладкой, самое время перейти к ее созданию и записи в клавиатуру. Для этого нам понадобятся специальные утилиты. В нашем случае содержимое компакт-диска из комплекта безнадежно устарело и при попытке определить клавиатуру наглухо подвешивало Windows 7 и Windows 8. Поэтому идем на сайт производителя и скачиваем утилиту под ваш тип клавиатуры. Для интерфейса PS/2 качаем утилиту версии v4.14, а для USB v1.1.1. Устанавливаем и запускаем утилиту, интерфейс у нее прост, хотя и не отличается дизайнерскими изысками. Работая с торговым оборудованием к этому стоит привыкнуть, принцип \u0026quot;вам шашечки, или ехать?\u0026quot; тут проявляется весьма ярко.\nПрежде всего считаем текущую раскладку Keyboard - Read, в данном случае делаем мы это в познавательных целях, в реальных условиях мы рекомендуем всегда считывать и сохранять раскладку перед любыми манипуляциями. Это избавит вас от множества глупых ситуаций, когда залили не ту раскладку или случайно поменяли не те клавиши. Верхний блок представляет собой поле клавиатуры 10х4, клавиши сгруппированы в столбцы, которые обозначены буквами и пронумерованы по вертикали. Внизу отображается выбранный столбец. Запрограммированные клавиши подсвечиваются желтым. По умолчанию в данной клавиатуре запрограммирован цифровой блок, на скриншоте выбран крайний правый столбец J в котором имеется сдвоенный ENTER и клавиши \u0026quot;+\u0026quot; и \u0026quot;-\u0026quot;. Теперь внимание! В РМК \u0026quot;+\u0026quot; соответствует кнопке Оплата, но если мы оставим все как есть, то данная клавиша работать не будет. Почему? Ответ прост, 1С:Розница использует клавиши с NUM-блока клавиатуры, а запрограммирован обычный \u0026quot;+\u0026quot;, который имеет иной клавиатурный код, нежели \u0026quot;Num+\u0026quot;.\nДля ввода таких комбинаций используйте меню по правой кнопке мыши, если надо ввести клавиатурное сочетание, просто укажите в строке несколько символов подряд. После того как вы закончите создание раскладки, сохраните ее в файл, через File - Save, это позволит вам быстро загружать созданную раскладку в другие клавиатуры. Затем залейте ее в клавиатуру через Keyboard - Write и проверьте работу, по необходимости внеся изменения.\nСпециально для наших читателей мы выкладываем наш вариант раскладки для 1С:Розница 1.0:\nСкачать KB4000-RTL10.tpl\nИтак, раскладка работает и все довольны... Нет, не все. Чтобы нормально работать с созданной вами раскладкой нужно обозначить клавиши. Для этого в комплект клавиатуры входят прозрачные колпачки, под которые можно положить вкладыши с надписями. Кроме того, в комплект данной клавиатуры входят несколько листов разноцветных наклеек, на которые можно напечатать нужные обозначения клавиш. Кроме того, АТОЛ добавляет к своим клавиатурам готовый набор вкладышей под собственное ПО, в принципе некоторые клавиши можно вырезать оттуда. Хотя мы советуем либо напечатать все на наклейках, либо распечатать вкладыши на цветном принтере, создав собственный шаблон.\nЕсли вы скачали нашу раскладку, то ниже мы предлагаем вам скачать также наш шаблон в PDF: Скачать Visio-KB4000-RTL10.pdf\nИли в формате Visio, если вы захотите отредактировать его под собственные потребности:\nСкачать KB4000-RTL10.vsdx\nНадеемся, что после прочтения данного материала у вас не возникнет затруднений при работе с программируемыми клавиатурами и они станут вашими верными помощниками в процессе автоматизации.\n","id":"e84b0d15146459632576fed4e3cfb7d2","link":"https://interface31.ru/post/torgovoe-oborudovanie-programmiruemye-klaviatury/","section":"post","tags":["1С Предприятие 8.х","Автоматизация","Мыши и клавиатуры","Торговое оборудование"],"title":"Торговое оборудование. Программируемые клавиатуры"},{"body":"В отличие от рынка HDD, где представлено ограниченное количество крупных производителей, SSD не производит только ленивый. Ассортимент представлен как матерыми игроками, так и молодыми и малоизвестными брендами. Это легко объяснимо, купить плату, контроллер и распаять память гораздо проще и легче, нежели произвести и собрать жесткий диск, требующий работы с прецизионной механикой и магнитными пластинами. Но можно ли доверять таким брендам? Постараемся ответить на данный вопрос.\nБренд Smartbuy совсем неизвестным не назовешь, у многих он прочно ассоциируется с недорогими CD и DVD болванками вполне сносного качества. Потом к болванкам добавилось много еще разной околокомпьютерной мелочевки и вот теперь еще SSD. На первый взгляд не внушающее доверия соседство, да и бренд какой-то \u0026quot;несерьезный\u0026quot;.\nНо не будем делать скоропалительных выводов. Внутри данных дисков находится вполне приличная начинка: контроллер Phison PS3108-S8 и память Toshiba. Вторая особенность - Phison полностью самостоятельно собирает свои диски, отгружая по OEM каналам готовые устройства. По сути, все что сделали в Smartbuy - это наклеили свои этикетки. \u0026quot;Ну так это совсем меняет дело\u0026quot;, - скажут некоторые и будут правы.\nСочетание неплохого контроллера и второстепенного бренда дает еще один плюс - небольшую цену при неплохих заявленных характеристиках. Что касается надежности и сервисного обслуживания, то с первым все обстоит неплохо, во всяком случае массовых возвратов дисков данной серии не наблюдается, а второе в большинстве случаев полностью зависит от продавца.\nВ нашу тестовую лабораторию попали два диска данной серии, емкостью 60 и 120 ГБ. Стоимость этих дисков на начало октября 2015 составила 38 и 52 USD соответственно, что сравнимо с ценой жестких дисков небольшой емкости, в среднем 55 USD за 500 ГБ модель. Тут есть над чем задуматься. Емкость или скорость?\nКак показывает практика, для системных дисков офисных станций, не говоря об автоматизированных рабочих местах, емкости 60 ГБ вполне достаточно, а 120 ГБ вполне достаточно для системного диска в большинстве других сценариев, не предусматривающих установку большого числа программ, например, рабочие станции, неигровые домашние ПК и т.д. При этом младшая модель обойдется вам даже дешевле самого недорогого жесткого диска.\nИтак, самое время познакомиться поближе: 60 GB SmartBuy Ignition 2 SB60GB-IGNT-25SAT3 и 120 GB SmartBuy Ignition 2 SB120GB-IGNT-25SAT3. Обе модели поставляются в небольших картонных коробках без всяких изысков. Комплектация также спартанская, кроме диска в антистатическом пакете в коробке нет больше ничего. Учитывая цену данных дисков, ожидать чего-то большего явно не стоит. Сами диски также похожи, как братья близнецы, никакой лишней информации на этикетках нет, название модели и пояснение, сколько байт производитель считает в 1 ГБ. Наклейка с нижней стороны диска также не содержит никакой информации, дублируя надписи с лицевой стороны, ни серийных номеров, ни даты производства, ничего. На основании чего будет осуществляться гарантийное и сервисное обслуживание непонятно, но это уже головная боль продавцов. Например, НИКС снабжает каждый диск своим стикером, содержащим всю необходимую информацию. Заявленные производителем характеристики выглядят весьма неплохо:\nДоступная емкость Артикул Штрихкод Seq Read* Seq Write* 60 Gb SB60GB-IGNT-25SAT3 4690626016842 480 MB\\s 180 MB\\s 120 Gb SB120GB-IGNT-25SAT3 4690626016828 510 MB\\s 300 MB\\s *Производительность прямым образом зависит от конфигурации системы\nНекоторых может смутить относительно невысокая скорость последовательной записи младшей модели, сравнимой с аналогичными показателями современных HDD. Однако это не то, на что следует обращать внимание, сценарии последовательного доступа в реальной работе довольно редки, особенно для системных дисков. Нормальная работа системного диска представляет собой случайный доступ, преимущественно на чтение, а здесь любой SSD гарантированно превосходит даже самый быстрый жесткий диск.\nТестирование, как обычно, начнем с CrystalDiskMark5, здесь и далее, если не будет указано иное, слева результаты модели на 60 ГБ, справа на 120 ГБ. В общем, как многие уже давно убедились, заявления производителя и реальность расходятся и иногда значительно. Если по чтению особых вопросов нет, 400 МБ/с при последовательном доступе - вполне прилично и достаточно для большинства задач, то характеристики на запись ниже примерно вдвое.\nОбъяснение этому явлению довольно простое, что мы и увидим позже, в настройках теста мы использовали случайный набор данных, не поддающихся сжатию, что примерно соответствует реальным нагрузкам. В тесте же можно использовать нули, в этом случае, если контроллер эффективно работает со сжатием данных (хороший пример - SandForce) мы получим хороший прирост \u0026quot;попугаев\u0026quot;, правда с реальностью это будет соотносится слабо, но что делать - издержки маркетинга.\nПо факту же характеристики обоих дисков довольно неплохи, по чтению обе модели идут одинаково, в тестах с последовательной записью и с большой глубиной очереди (что соответствует скорее серверным нагрузкам) старшая модель обходит младшую примерно вдвое. Что касается модели случайного доступа (нижняя строка 4K), которая характерна для повседневной работы, обе модели показывают одинаковый результат.\nПерейдем к HD Tune Pro, первый тест на скорость чтения: Результаты обоих дисков практически одинаковы и в особых комментариях не нуждаются, подтверждая все сказанное выше.\nТест записи: А вот и подтверждение того, что с хорошо сжимаемыми данными контроллер показывает гораздо более высокую производительность. Здесь она примерно соответствует заявленной, а для 60 ГБ диска даже существенно ее превосходит. И снова можно отметить, что диски имеют практически одинаковые характеристики, разве что у старшей модели более ровные графики.\nФайловый тест: Здесь также трудно найти отличия между дисками, обе модели работают хорошо, выдавая на крупных блоках 300-350 МБ/с как на чтение, так и на запись (с использованием хорошо сжимаемых данных).\nОдин из самых интересных тестов, время случайного доступа: Может быть для высокопроизводительных SSD этот результат и будет скромным, но для бюджетного диска 14-16 тыс. IOPS - это очень хорошо, особенно в сравнении с 80 IOPS обычного жесткого диска. Это именно то, что дает разницу, видимую невооруженным глазом, там, где HDD задумывается и начинает усиленно стрекотать головками, SSD проходит играючи. Внешне это выглядит как более высокая скорость загрузки ОС и приложений, отсутствие подтормаживаний при интенсивных дисковых операциях и общая отзывчивость интерфейса.\nСледующий набор тестов, AS SSD Benchmark. Общий тест: Результат полностью аналогичен тесту CrystalDiskMark, на чтение оба диска показывают одинаковый результат, в сценариях последовательной записи и случайной записи с большой глубиной очереди старшая модель примерно вдвое быстрее, тем не менее показывая одинаковый результат при обычной случайной записи. Да и общая оценка дисков примерно одинакова.\nТест копирования данных: Старшая модель показывает ожидаемое преимущество, особенно в сценариях предусматривающих преимущественно последовательную запись.\nТест сжатия данных: Как видим, контроллер весьма эффективно работает с поддающимися сжатию данными, младшая модель разгоняется практически в 4 раза, старшая в 2. Хотя на практике эффект от этого довольно сомнителен, так как основные преимущества начинают проявляться только при высоких степенях сжатия, от 70% и выше. Хотя в некоторых сценариях, например, работа с большим количеством небольших текстовых файлов, это даст хороший прирост производительности.\nТеперь самое время перейти от синтетики к реальным сценариям. В этом нам поможет Intel NASPT: В большинстве тестов оба диска показывают одинаковый результат, за исключением тестов с записью и одновременными чтением и записью HD видео, а также записью крупных файлов, здесь старшая модель ожидаемо выходит вперед. Интересен также тест с записью множества мелких файлов (Dir copy to NAS), в силу хорошей сжимаемости последних результат очень и очень достойный, несмотря на преимущественно случайный характер записи.\nОтдельно следует обратить внимание на офисный тест и фотоальбом, так как данные сценарии не предусматривают высокой нагрузки на диски, то результаты, показанные SSD, не отличаются от результатов большинства жестких дисков, что говорит о том, что для данных задач вполне достаточно и производительности HDD.\nВыводы Несмотря не некоторую несерьезность бренда, SSD диски Smartbuy Ignition 2 (читай Phison) оказались на редкость удачными, сбалансировано сочетая невысокую цену и вполне неплохую для данного сегмента производительность. Поэтому мы можем смело рекомендовать их в качестве системных дисков для офисных ПК, автоматизированных рабочих мест, ноутбуков и т.п. применений, тем более что цена 60 ГБ модели ниже цены самых недорогих HDD, при этом существенно превосходя их в производительности.\n","id":"28864a96231c464247a7052f1443b2db","link":"https://interface31.ru/post/smartbuy-ignition-2---neplohie-diski-ot-neser-eznogo-brenda/","section":"post","tags":["Phison","Smartbuy","SSD"],"title":"Smartbuy Ignition 2 - неплохие диски от несерьезного бренда"},{"body":"Рассматривая установку сервера 1С:Предприятие на платформе Linux нельзя обойти вниманием вторую важную компоненту - систему управления базами данных, наиболее популярной из которых для данной платформы является PostgresSQL. В наших прошлых материалах мы использовали сборки от компании Ethersoft, это было связано с тем, что 1С предоставляла готовые пакеты только для RPM-совместимых систем, теперь ситуация изменилась и можно свободно скачать официальные пакеты для Ubuntu Server/Debian.\nПрежде чем продолжать, напомним, что сервер СУБД является независимой частью клиент-серверной системы 1С:Предприятие и никак не связан по настройкам и зависимостям с самим сервером 1С, т.е. вы можете установить PostgreSQL как на одну физическую машину с сервером 1С, так и на разные.\nВторое важное замечание, мы не видим смысла использовать 32-разрядную версию Postgres, разве что в учебно-ознакомительных целях, при этом нет никакого требования на совпадение разрядности сервера 1С и сервера СУБД, это значит, что вы можете успешно совмещать 32-разрядный сервер 1С и 64-разрядный Postgres, в том числе и на одном физическом сервере. Про установку 32-разрядного сервера на 64-разрядную платформу мы рассказывали в одной из предыдущих статей.\nВ нашем примере будет использоваться сервер под управлением Ubuntu Server 14.04 или Debian 8, все незначительные отличия между системами будут оговариваться отдельно.\nОткуда получить дистрибутив Postgres для работы с 1С:Предприятием? С официального сайта, напомним, что стандартная версия PostgreSQL с 1С работать не будет, требуется специальная сборка с патчами от компании. На странице загрузки представлено довольно много версий, для всех платформ и разрядностей. Нас интересует только версия DEB для систем x86-64, архив с дополнительными модулями не потребуется. Скачаем данный архив и разместим его в удобном месте на сервере, скажем в домашней папке. Но прежде чем приступать к установке следует подготовить систему.\nСначала сгенерируем и установим необходимые локали, это особенно важно, если система была установлена с языком отличным от русского.\nВ Ubuntu Server выполните:\n1locale-gen en_US 2locale-gen ru_RU затем установите язык по умолчанию:\n1update-locale LANG=ru_RU.UTF8 и завершите настройку:\n1dpkg-reconfigure locales В Debian немного проще:\n1dpkg-reconfigure locales Данная команда вызывает псевдографическую утилиту при помощи которой следует выбрать локали en_US ISO-8859-1, en_US.UTF-8 и ru_RU.UTF-8 По умолчанию выбираем ru_RU.UTF-8 Для применения изменений обе системы потребуется перезагрузить.\nПравильно настроив региональные параметры перейдем к зависимостям. Нам потребуются пакет ssl-cert и библиотеки libxslt и libicu, с первыми двумя все просто:\n1apt-get install libxslt1.1 ssl-cert А вот дальше есть небольшие сложности. В отличие от сборки Ethersoft, которая умела подтягивать по зависимостям текущую версию libicu, сборка от 1С \u0026quot;прибита гвоздями\u0026quot; к определенной версии библиотеки, точно узнать необходимую версию можно из документации, устанавливаемая нами версия PostgreSQL 9.4.2-1.1C требует libicu48, в то время как в репозиториях присутствует более новая версия. Решение простое - скачать и установить требуемый пакет вручную, его можно получить здесь: libicu48_4.8.1.1-3_amd64.deb.\nБудем считать, что скачанный пакет находится в домашней директории, перейдем туда и установим его.\n1cd ~ 2dpkg -i libicu48_4.8.1.1-3_amd64.deb Теперь можно переходить к установке непосредственно PostgreSQL, архив с которой также должен находиться в вашей домашней папке, распакуем его:\n1tar -xvf postgresql-9.4.2-1.1C_amd64_deb.tar.bz2 Если сервер 1С или сборку от Ethersoft можно было просто установить в автоматическом режиме, то здесь такой фокус не пройдет, нужно строго соблюдать очередность установки пакетов, в противном случае возникнут нарушенные зависимости, автоматическое разрешение которых приведет к замене некоторых пакетов от 1С пакетами из репозитория, что сделает установленный экземпляр неработоспособным.\nТребуемая последовательность установки такова:\n1dpkg -i libpq5_9.4.2-1.1C_amd64.deb 2dpkg -i postgresql-client-common_154.1.1C_all.deb 3dpkg -i postgresql-common_154.1.1C_all.deb 4dpkg -i postgresql-client-9.4_9.4.2-1.1C_amd64.deb 5dpkg -i postgresql-9.4_9.4.2-1.1C_amd64.deb 6dpkg -i postgresql-contrib-9.4_9.4.2-1.1C_amd64.deb После установки требуется произвести некоторые настройки, в частности установить пароль суперпользователю СУБД postgres, для этого откроем /etc/postgresql/9.4/main/pg_hba.conf и найдем в нем строку:\n1local all postgres peer и приведем ее к виду:\n1local all postgres trust Перезапустим службу:\n1service postgresql restart Теперь установим пароль командой:\n1psql -U postgres -d template1 -c \u0026#34;ALTER USER postgres PASSWORD \u0026#39;password\u0026#39;\u0026#34; где password - желаемый пароль и еще раз перезапустим PostgreSQL.\nНа этом настройку сервера СУБД можно считать законченной. Но остается один момент, для того, чтобы к нему можно было обращаться по сетевому имени, следует добавить соответствующую A-запись на DNS-сервер предприятия или запись в файл hosts тех ПК, которые будут работать с данным сервером. Напомним, что с сервером СУБД работает исключительно сервер 1С и если вы добавляете записи в файл hosts, то делать это нужно прямо на сервере 1С, а не на клиентских ПК.\nТакже к серверу СУБД, в отличие от сервера 1С, можно обращаться по IP-адресу, а если PostgreSQL и сервер 1С находятся на одной машине, то в качестве имени сервера правильным будет использовать localhost. Как видим, сложной установку PostgreSQL-1C назвать нельзя, однако от вас потребуется определенная внимательность и строгое выполнение последовательности установки пакетов.\n","id":"0af0cbfe0471d733c371088c0f540dbf","link":"https://interface31.ru/post/ustanovka-postgresql-1c-na-platformu-linux-ubuntudebian/","section":"post","tags":["1С Предприятие 8.х","Debian","PostgreSQL","Ubuntu Server"],"title":"Установка PostgreSQL-1C на платформу Linux (Ubuntu/Debian)"},{"body":"В практике автоматизатора с завидной регулярностью возникают ситуации, когда оборудование приходится размещать на некотором удалении от управляющего ПК, поэтому разного рода переходники и удлинители всегда вызывают профессиональный интерес. Тем более удлинители интерфейса USB, как наиболее сложного и капризного в этом плане. Когда нам на глаза попался удлинитель, обещающий работу USB устройств на расстоянии до 30 м по витой паре мы не смогли пройти мимо.\nСначала пара слов о том, зачем нужно удлинять USB. Обычному пользователю или администратору трудно представить какое USB-устройство и для чего может потребоваться выносить от компьютера на пару десятков метров, разве что принтер. С торговым оборудованием все обстоит по-другому. Самые частые кандидаты на вынос - это чековые принтеры и сканеры штрих-кода в общепите, которые могут располагаться на значительном удалении от управляющего ПК.\nОбычно для этих целей используются устройства с интерфейсом RS-232, но в последнее время появляется все больше моделей только с интерфейсом USB, а для поддержки RS-232 предлагается приобретать соответствующие кабели или платы расширения отдельно. Все бы ничего, но стоимость таких \u0026quot;опций\u0026quot; зачастую способна значительно увеличить бюджет внедрения, поэтому вполне закономерен интерес к подобным удлинителям, стоимость которых значительно ниже.\nВ наши руки попал удлинитель под маркой VCOM и стоимостью чуть более 500 руб. на конец сентября 2015. Однако мы имеем дело, скорее всего, с неким OEM производителем, так как полностью аналогичные внешне устройства мы нашли также в ассортименте фирмы Espada: Под непонятным брендом на Юлмарте: И, наконец, на Али: Стоимость и обещания при этом варьируются в широких пределах: от 500 до 1250 руб, обещают при этом работу на расстояниях 30-45 метров, при том что продается везде явно одно и тоже устройство.\nПеред тем, как подключать его к компьютеру мы проявили разумную осторожность и посмотрели, что там внутри. С верхней стороны нет ничего, кроме разъемов и одинокого конденсатора. С нижней стороны находится неизвестная микросхема и минимум деталей обвяза. Обе части удлинителя полностью идентичны.\nПерейдем непосредственно к испытаниям. При подсоединении к ПК устройство никак не определяется. Мы отмерили 45 метров витой пары категории 5e и подключили через удлинитель обычную флешку. Результат нас не обрадовал. Опытным путем было установлено, что более-менее устойчивая работа устройств обеспечивается при длине кабеля не более 15-20 метров. При этом требовательные к питанию устройства через данный переходник не работают, нам не удалось заставить работать ни один из наших контейнеров Zalman, также не работают лазерные сканеры штрих-кода. В итоге нам удалось подключить только внешний контейнер Kingston c SSD внутри. Результат тестирования заставил нас глубоко задуматься: Полученные показатели никак не соответствуют стандарту USB 2.0, даже с поправками на удлинитель, а очень сильно напоминают показатели USB 1.x - 12 Мбит/с - 1,5 МБ/с. Если принять во внимание накладные расходы, то получается очень похоже. Чтобы окончательно убедиться в своих выводах мы подключили через удлинитель Wi-Fi адаптер TP-LINK TL-WN722N, результат только подтвердил наши догадки: Учитывая, что 1 МБ/с = 8 Мбит/с, можем однозначно заключить, что данный удлинитель поддерживает работу только по стандарту USB 1.x, при этом скорость работы не зависит от длины кабеля, мы специально обжали 10 см витой пары и получили аналогичные результаты.\nСтановится понятно, что использовать данный переходник для подключения накопителей или беспроводных адаптеров лишено всякого смысла, исключение составляют разве что 3G-модемы, если тарифный план укладывается в ограничения интерфейса.\nПерейдем к тому, что собственно интересует нас больше всего - торговому оборудованию. Сканеры штрих-кода на расстояниях, представляющих практический интерес, работать отказались. С устройствами, имеющими собственное питание дела обстоят лучше. Фискальный регистратор FPrint-5200 заработал на длине кабеля в 30 м без каких-либо вопросов, как и чековый принтер Posiflex Aura 6900. Это хорошо, но именно этот тип оборудования традиционно подключается через RS-232 и данный интерфейс имеет штатно.\nМы также попробовали подключать обычные принтеры и МФУ, результат также положительный, разве что скорость работы со сканером вряд ли вас обрадует.\nВыводы Выводы сегодня будут неутешительные. Устройство несомненно интересное, но реализация, как это обычно и бывает с дешевыми китайским устройствами, подкачала. USB 1.x сегодня не выдерживает никакой критики и по сути делает устройство бесполезным. Второй существенный недостаток - устройство не способно обеспечить предусмотренный стандартом ток на заявленной длине кабеля. Как можно видеть из схемы питание просто передается по витой паре: одна пара на +5 В и две пары на землю. И это с учетом того, что давно существует технология PoE, да и переходники для аналоговых камер, также китайского производства, вполне способны были обеспечивать питанием 12 В камеры с током потребления до 0,5 А на расстоянии до 80 м (проверяли лично).\nДля чего реально может пригодиться данное устройство нам предположить трудно. Разве что вынести чековый принтер, если вы вдруг, по недосмотру, купили модель без интерфейса RS-232 или вынести в зону лучшего приема 3G-модем.\n","id":"8e9b52b411f54db07864f10466662079","link":"https://interface31.ru/post/udlinitel-usb-cherez-vituyu-paru---interesnoe-no-bespoleznoe-ustroystvo/","section":"post","tags":["USB","Автоматизация"],"title":"Удлинитель USB через витую пару - интересное, но бесполезное устройство"},{"body":"Казалось бы, процесс установки настольных операционных систем Windows доведен до уровня, когда справиться с ним сможет каждый. Однако компания Microsoft умеет удивить чем нибудь неожиданным. Так устанавливая профессиональную редакцию Windows 10 \u0026quot;с нуля\u0026quot; мы столкнулись с интересным вопросом: \u0026quot;Кому принадлежит этот ПК?\u0026quot;. Интересным оказался не столько сам вопрос, сколько его формулировка. Не найдя никакой документации по этому вопросу, мы решили выполнить небольшое исследование.\nНа первый взгляд данный вопрос не таит в себе ничего сложного, анализ русскоязычного сегмента сети интернет показал, что пользователи сильно не заморачиваются, в большинстве случаев отвечая, что именно они владеют данным компьютером.\nНо мы, как любители разобраться во всем новом и привыкшие читать и думать, прежде чем нажимать кнопки, не смогли пройти мимо пояснений на данном экране. В частности, нас насторожил данный момент:\nЭтот выбор очень важен, и выбрать другой вариант позднее будет не так просто.\nЧто это значит? Если мы укажем, что владеем этим компьютером лично, то будут убраны возможности по присоединению ПК к домену? К чему это предупреждение? Тем более, если данный выбор так важен, то было бы логично хотя бы в двух словах пояснить последствия выбора того или иного варианта. Вспоминаются русские народные сказки, даже там на распутье обычно лежал камень с кратким описанием вариантов: направо пойдешь, налево пойдешь и т.д.\nНикакого намека на разъяснения опций на данном экране мы не нашли и в официальной документации, поэтому решили разобраться сами к чему приведет тот или иной вариант.\nМоя организация Начинать, так по порядку. Выбираем принадлежность к организации, нам сразу же предлагают присоединить ПК к домену или Azure AD (облачным службам Microsoft для корпоративных клиентов). Ну что-же попробуем присоединиться к домену. Но что это? Молчавший, как пленный партизан, инсталлятор вдруг довольно подробно описывает нам результат, который мы получим при выборе данного пункта. Ожидаемо, чудес не случилось, выбрав Присоединение к домену мы получим всего лишь локальную учетную запись, которую сможем потом ввести в домен обычным способом, как делали это раньше. В итоге мы получим самую обычную учетную запись локального администратора, компьютер настраивается на работу в рабочей группе, при этом нам доступны возможности в любой момент ввести его в домен или присоединиться к Azure AD. Если выбрать присоединение к Azure AD, то нас попросят ввести учетные данные к Office 365 или иным бизнес-службам Microsoft (не путать с учетной записью Microsoft ) или настроить локальную учетную запись. Я владею этим компьютером Как можно догадаться, данный вариант следует выбирать в том случае, если система установлена для личного использования. Действительно, нам сразу предложили войти с помощью учетной записи Microsoft или создать ее. Также радует убранная в Windows 8.1 возможность отказаться от этого и использовать локальную учетную запись, чем мы и воспользовались. А в чем же разница? Как говорится, найдите 10 отличий. Вне зависимости от нашего выбора, нам доступны все те же возможности, захотели - присоединись к домену, захотели - к Azure AD. Может быть при использовании учетной записи Microsoft возникают какие-либо сложности? Мы запустили нашу инсайдерскую копию, в которой мы работаем именно с аккаунтом Microsoft. Но и здесь никаких проблем обнаружить не удалось. Так в чем же сложности выбора? Сменить тип учетной записи? Тоже нет. Создать новую? Да какую угодно, по умолчанию предлагается учетная запись Microsoft, но никто не мешает отказаться и создать локальный аккаунт. Выводы В этот раз по существу вынесенного в заголовок статьи вопроса и сказать нечего. Перед нами яркий пример того, как разработчики блуждают в трех соснах, обильно напустив перед этим тумана. По большому счету весь этот диалог можно было заменить простым и понятным выбором между локальным аккаунтом и учетной записью Microsoft, ну еще Azure AD, добавить, если сильно хочется продвинуть эту технологию в массы.\nА можно было бы вообще никаких диалогов не создавать, взяв за основу уже существующие формы создания новых аккаунтов, например, как на скриншоте выше. И уж совсем ни к чему грозное предупреждение о важности выбора и возможных сложностях впоследствии. Поэтому неудивительно, что документации по данному диалогу ровно ноль - писать не о чем, как и нет пояснений.\nНа наш взгляд появление этого диалога имеет не технические, а маркетинговые корни, кому-то очень понадобилось добавить \u0026quot;новые\u0026quot; и \u0026quot;нужные\u0026quot; функции в программу установки. Об этом можно долго говорить, но данное обсуждение выходит за рамки данного материала, поэтому на этом и закончим.\n","id":"d108395578970df6663a5dd0cd4ce0b7","link":"https://interface31.ru/post/komu-prinadlezhit-etot-pk/","section":"post","tags":["Microsoft","Windows 10"],"title":"Кому принадлежит этот ПК?"},{"body":"Несмотря на то, что 64-разрядная платформа на сегодня является основной в серверном сегменте, фирма 1С продолжает продавать отдельно 32-х и 64-х разрядные версии своего Сервера, причем по различной стоимости. При этом у владельцев 32-разрядного сервера возникает необходимость его установки в 64-разрядной среде, если в Windows данная операция не вызывает затруднений, то в среде Linux все оказывается не так просто. Сегодня мы расскажем, как это правильно сделать.\nПрежде чем приступать к работе, коротко разберем суть вопроса. Почему установка пакетов другой архитектуры в Linux вызывает определенные затруднения? В отличии от Windows, где в целях совместимости возможность запускать в 64-разрядной среде 32-разрядные приложения заложена на уровне архитектуры системы, дистрибутивы Linux собираются с поддержкой одной единственной архитектуры. Это связано с тем, что свободное ПО распространяется с исходными кодами и собрать пакет для определенной архитектуры не представляет никакого труда, поэтому пользователь 64-разрядного Linux получает с системой полный набор софта нужной разрядности и необходимости использовать пакеты иной архитектуры как правило нет.\nПроблемы возникают при использовании коммерческого ПО разные по разрядности версии которого имеют различную стоимость, как в случае с 1С. Вариант с использованием 32-разрядной системы не выдерживает никакой критики, так как имеет существенные ограничения по используемым ресурсам, в первую очередь объему оперативной памяти, и если на этот же сервер планируется установка СУБД, то необходимость использования 64-разрядной платформы становится очевидной.\nДля таких случаев все современные системы поддерживают мультиархитектуру, позволяющую устанавливать и запускать пакеты другой архитектуры, но просто установить 32-разрядный сервер 1С на 64-разрядную систему недостаточно, также нужно обеспечить наличие всех необходимых библиотек в 32-разрядном варианте, а это, как показывает практика, задача не столь простая. Данный материал был проверен на Ubuntu Server 14.04 и Debian 8, так как обе системы имеют много общего, то мы расскажем об установке на одну из них, а затем коротко обратим внимание на отличия для второй ОС.\nUbuntu Server 14.04 LTS Если вы просто попробуете установить 32-разрядные пакеты в 64-разрядной ОС, то у вас ничего не получится, потому что \u0026quot;из коробки\u0026quot; Linux поддерживает только родную архитектуру. Просмотреть список поддерживаемых архитектур можно командой:\n1dpkg --print-architecture В нашем случае будет только одна amd64, для добавления требуемой архитектуры i386 выполните:\n1dpkg --add-architecture i386 После чего обязательно обновите список пакетов:\n1apt-get update Теперь установим требуемые для работы сервера 1С библиотеки и утилиты нужной разрядности:\n1apt-get install imagemagick:i386 2apt-get install unixodbc:i386 Требуемый пакет шрифтов Microsoft True Type является универсальным для всех архитектур, поэтому его устанавливаем как обычно, без указания архитектуры.\n1apt-get install ttf-mscorefonts-installer А вот дальше начинаются сложности. Библиотека libgsf-1-114 отказалась устанавливаться, ссылаясь на неразрешенную зависимость. Проблема заключается в том, что требуемый пакет libgsf-1-common:i386 не существует, он не содержит ничего, кроме документации и универсальный для всех архитектур. Ручная установка пакета проблемы не снимает, установщик упорно продолжает требовать i386-пакет. Как быть? В принципе можно установить пакет принудительно, игнорируя зависимости. Однако это сломает систему управления пакетами, и вы не сможете установить, удалить или обновить пакеты, пока не разрешите проблему зависимостей libgsf-1-114, автоматическое разрешение зависимостей приведет к удалению данного пакета.\nСамое время вспомнить про getlibs, скрипт для DEB-совместимых систем, который позволяет автоматически устанавливать 32-разрядные библиотеки на 64-разрядные системы. Скачаем данный скрипт со страницы разработчика на GitHub, настоятельно рекомендуем не использовать для получения скрипта иных источников. Разместим его, скажем, в домашней папке и сделаем исполняемым.\n1cd ~ 2chmod +x getlibs Теперь с его помощью получим необходимые библиотеки:\n1./getlibs -p libgsf-1-114 Подготовительные действия закончены, можно устанавливать сервер. 1С распространяет пакеты сервера в архивах с именем deb.tar.gz, скачаем такой архив и разместим в домашней папке. Для установки перейдем в домашнюю папку, распакуем архив и установим пакеты.\n1cd ~ 2tar -xvf deb.tar.gz 3dpkg -i 1c*.deb Установим необходимые права на папку с сервером 1С и запустим службу:\n1chown -R usr1cv8:grp1cv8 /opt/1C 2service srv1cv83 start Наш сервер готов к работе.\nDebian 8 Мы не будем подробно описывать процесс установки в Debian, так как он ничем принципиально не отличается от Ubuntu, а остановимся лишь на отличиях.\nЕсли мы попытаемся просто установить 32-разрядную утилиту imagemagick, то неожиданно столкнемся с ошибкой:\n1update-alternatives: ошибка: альтернативный путь /usr/bin/compare-im6 не существует Беглый поиск показал, что данная проблема известна, но решения найти не удалось. В тоже время все очень просто, нужно всего-лишь доустановить еще один пакет.\n1apt-get install imagemagick-6.q16:i386 2apt-get install imagemagick:i386 Второе затруднение вызывает пакет ttf-mscorefonts-installer, дело в том, что несвободные репозитории, в которые входит данный пакет, по умолчанию не подключены (по идеологическим причинам). Можно подключить несвободный репозиторий, однако данный пакет по сути является просто скриптом, который скачивает необходимые файлы шрифтов. В связи с этим мы не видим необходимости подключать несвободные репозитории, проще скачать и установить данный пакет отдельно.\nСкачать данный пакет можно на странице https://packages.debian.org/jessie/ttf-mscorefonts-installer. Разместим его в домашней папке и установим, перед этим добавив нужные зависимости.\n1cd ~ 2apt-get install xfonts-utils cabextract 3dpkg -i ttf-mscorefonts-installer_3.6_all.deb В остальном установка 32-разрядного сервера 1С на 64-разрядный Debian 8 ничем не отличается от установки на Ubuntu 14.04 и не должна вызывать затруднений.\n","id":"bf2059b7f9ce592eb71c5efc9ca0c5a0","link":"https://interface31.ru/post/ustanovka-32-razryadnogo-servera-1spredpriyatie-na-64-razryadnuyu-platformu-linux-ubuntudebian/","section":"post","tags":["1С Предприятие 8.х","Debian","Ubuntu Server"],"title":"Установка 32-разрядного Сервера 1С:Предприятие на 64-разрядную платформу Linux (Ubuntu/Debian)"},{"body":"Продолжая тему автоматизации розничной торговли вернемся к торговому оборудованию. В наших прошлых материалах мы разобрали теорию: как правильно выбрать торговое оборудование и каким образом оно взаимодействует с 1С. Данная статья будет посвящена практике, а именно способу подключения торгового оборудования к конфигурациям на платформе 1С:Предприятие. Настоятельно рекомендуем данный материал к изучению, так как в дальнейшем, рассказывая об особенностях того или иного типа торгового оборудования мы подробно обращаться к вопросам его подключения к 1С не будем.\nВ настоящее время ассортимент ПО фирмы 1С можно четко разделить на две части: конфигурации на основе обычного и управляемого приложений. Их несложно отличить по внешнему виду, внутренние отличия столь же существенны и поэтому, несмотря на преемственность, подходы к работе с торговым оборудованием в обычном и управляемом приложениях различаются и будут нами рассмотрены отдельно. Перед тем, как продолжать чтение, мы рекомендуем освежить знания о принципах взаимодействия торгового оборудования и 1С ознакомившись со статьей: Автоматизируем розницу. Часть 2 - Торговое оборудование.\nОбычное приложение К данному типу конфигураций относятся Управление торговлей 10.3 и Розница 1.0, в дальнейшем в качестве примера мы будем использовать именно Розницу, хотя способы подключения оборудования в любой конфигурации данного типа одинаковы.\nПрежде всего подключите все необходимое торговое оборудование к ПК, переведите его в необходимый режим (например, эмуляция RS-232) и установите необходимые драйвера для операционной системы. После этого можно переходить к подключению оборудования непосредственно к конфигурации. Для успешного завершения этой задачи нам понадобится еще две вещи: обработка обслуживания и драйвер торгового оборудования.\nКак мы уже писали в предыдущей статье, обработка обслуживания представляет собой внешнюю компоненту платформы 1С:Предприятие, которая отвечает за взаимодействие конфигурации с драйвером торгового оборудования, который представляет собой динамическую библиотеку, непосредственно отвечающую за взаимодействие с оборудованием и реализацию им заданных функций.\nОбработки обслуживания входят в поставку конфигураций 1С и находятся в каталоге TradeWareEpf внутри каталога конфигурации в хранилище шаблонов, обычно %USERPROFILE%\\AppData\\Roaming\\1C\\1Cv82\\tmplts. Также их можно скачать с сервиса обновлений 1С. С драйверами немного сложнее, здесь нужно прежде всего установить, кто именно занимается поддержкой оборудования: фирма 1С или сторонние производители. Для обычного приложения драйвера 1С существуют только для сканеров штрихкода и также доступны на сервисе обновлений. Остальное придется искать по сайтам производителей. Также учтите, что многие драйвера торгового оборудования платные, например, АТОЛ.\nКак быть, если вы не знаете где брать драйвер? Есть маленькая хитрость, о которой мы расскажем после, а пока можете пропустить этот этап и перейти непосредственно к подключению оборудования. В 1С:Розница откроем Сервис - Торговое оборудование - Подключение и настройка торгового оборудования (в других конфигурациях путь может несколько отличаться). В открывшемся окне увидим все подключенное к рабочему месту оборудование, распределенное по группам. Обратите внимание, что оборудование настраивается для каждого компьютера в отдельности, привязка осуществляется по имени хоста, поэтому если вы переименуете компьютер, оборудование придется настраивать заново. Информация о подключенном к разным компьютерам оборудовании хранятся в регистре сведений Торговое оборудование. Подключить оборудование можно двумя способами: вручную или через помощник, мы рекомендуем воспользоваться помощником, который быстро проведет вас через все необходимые этапы, тогда как ручная установка требует определенного опыта и знаний. Здесь все просто - выбираем нужный тип оборудования и жмем Далее. На следующем экране мы увидим все загруженные для этого типа оборудования обработки обслуживания. Если список пуст или необходимая обработка отсутствует, то ее нужно загрузить, выбрав соответствующий пункт. Для загрузки укажите каталог, содержащий обработки обслуживания и нажмите кнопку Получить список, при этом будут загружены все обработки, а не только для устанавливаемого типа оборудования, т.е. достаточно выполнить данную операцию один раз. После загрузки возвращаемся к предыдущему экрану и выбираем необходимую обработку. Выбор зависит от установленных драйверов торгового оборудования, например, для сканера штрихкода предлагаются обработки для драйвера от 1С и драйверов устройств ввода от АТОЛа. Каждая обработка имеет свой список поддерживаемого оборудования, из которого следует выбрать нужную модель. Со сканерами просто, по сути это стандартное оборудование, поэтому возьмем что-нибудь посложнее, например дисплей покупателя Gigatek DSP-820.\nПрежде всего посетим страницу http://v8.1c.ru/retail/300/vs_drivers.htm и выясним, что данная модель поддерживается АТОЛом (платно) и Сканкодом (бесплатно) Вполне логично выбрать бесплатный драйвер. Поэтому идем на сайт Сканкода, в разделе поддержки скачиваем драйвер ТО и устанавливаем его. Затем в 1С выбираем Сканкодовскую обработку обслуживания Нажав Далее увидим ранее созданные устройства для нашей обработки, так как требуемой модели там нет, то выбираем Добавить новое устройство. И в списке поддерживаемого оборудования выбрать нужную модель, здесь же указываем ее наименование (подставляется автоматически) и кассу ККМ на которой будет использоваться данное устройство. Любое устройство достаточно создать один раз, после чего его можно использовать для подключения аналогичного оборудования на других рабочих местах. Созданные устройства хранятся в справочнике Торговое оборудование и представляют, как не сложно заметить, списки соответствия модели устройства и обработки обслуживания. Если вы используете одну и ту же модель оборудования, но в разных модификациях, то есть смысла завести дублирующую позицию, явно отразив это в названии. Например, Сканер штрихкода Voyager 1250 (USB) и Сканер штрихкода Voyager 1250 (RS-232), прямо указав физический интерфейс устройства, вместо обезличенного Сканер штрихкода (общий). Для чего это нужно, если с точки зрения 1С это абсолютно одинаковые устройства? А для того, чтобы вы, не вставая с рабочего места, просто посмотрев в регистр, могли точно сказать, какое именно оборудование установлено на каждом рабочем месте.\nНаконец, выбрав или добавив требуемое устройство переходим непосредственно к его настройке. Настройка, как мы уже говорили, производится для каждого компьютера в отдельности. В зависимости от типа оборудования количество доступных опций может быть различным. Ниже показано типовое окно настройки, рассмотрим его подробнее. Прежде всего изучите информацию о драйвере и версии драйвера. Он должен быть установлен и иметь совместимую версию, момента совместимости мы еще коснемся ниже, а пока просто убедимся, что драйвер есть и доступен для приложения. Если драйвер не установлен, то вы что-то сделали не так, возможно надо зарегистрировать нужную библиотеку вручную, либо перезапустите программу, если драйвер был установлен при открытой 1С.\nВыше мы говорили о небольшой хитрости. В низу данного блока есть ссылка на последнюю версию драйвера и если вы используете актуальный релиз конфигурации, то ссылка также будет актуальна. Так вот, если вы не знаете где брать драйвер ТО или не нашли его на сайте поставщика, то можете продолжить без его установки до данного момента, после чего пройти и скачать его по данной ссылке.\nНиже расположены параметры подключения: порт и скорость. Если с портом все понятно, то для того, чтобы узнать скорость обратитесь к документации на устройство, в случае с данным дисплеем значение скорости по умолчанию - 19200 б/с и если оставить значение 9600 б/с, то вместо букв на дисплее будут отображаться \u0026quot;крякозябры\u0026quot;.\nТеперь поговорим о совместимости. IT- динамично меняющаяся отрасль, поэтому может случиться так, что вы будете располагать более свежими версиями драйверов, чем указаны в списке совместимости обработки. Как быть в таком случае?\nВ большинстве случаев драйвера выполняются обратно совместимыми и все должно работать. Но не следует пускать ситуацию на самотек. Для начала выполните встроенный в обработку тест и убедитесь, что устройство хотя-бы просто работает. Затем проведите пробный прогон, выполнив полный цикл операций для этого устройства в обоих режимах (РМК и обычном). Так, например, с драйвером от 1С версии 8.0.17.х сканера штрихкода METROLOGIC MS7120 \u0026quot;Orbit\u0026quot; работает нормально, а METROLOGIC 1250G \u0026quot;Voyager\u0026quot; вызывает при каждом считывании форму подбора.\nЕсли обнаруживаются какие-либо недочеты в работе, то следует откатиться на совместимую версию драйвера, если же все работает нормально, то оставляем как есть. Чтобы избежать надоедающего сообщения о несоответствии версии драйвера можно поправить код обработки обслуживания. Откройте ее конфигуратором и найдите секцию, отвечающую за проверку версии драйвера, затем замените версию совместимого драйвера на свою. После этого обновите обработку обслуживания в конфигурации. Управляемое приложение На базе управляемого приложения создаются новые конфигурации, сегодня это Управление торговлей 11 и Розница 2.1, которые имеют существенные отличия от обычных конфигураций, как внешне, так и внутренне. Но также существует большая степень преемственности. Если вы умеете работать с торговым оборудованием в обычном приложении, то без особого труда разберетесь с управляемым.\nОсновное отличие в унификации подхода, теперь вместо отдельных внешних обработок обслуживания применяется технология Библиотеки подключаемого оборудования (БПО), которая предоставляет единую кодовую базу и библиотеки для работы с торговым оборудованием на уровне платформы. Также в составе БПО поставляются сертифицированные драйвера торгового оборудования, что облегчает поиск совместимой версии.\nВсе подключаемое оборудование делится на сертифицированное, поддержка всех компонентов связки Оборудование - Драйвер ТО - Конфигурация осуществляется фирмой 1С и оборудование поддерживаемое производителем драйвера, работу которого с Конфигурациями 1С на уровне драйвера ТО обеспечивает его производитель. Большой разницы между этими списками нет, кроме того, к кому вам придется обращаться за поддержкой в случае возникновения проблем, а также следует помнить, что драйвера ТО сторонних фирм, как правило, платные.\nОбращаем ваше внимание, что в управляемом приложении обработки обслуживания не используются, а для работы с подключаемым оборудованием используется одноименная подсистема. В тоже время схема взаимодействия с оборудованием кардинально не изменилась, просто код со стороны 1С был унифицирован в рамках БПО и включен в состав конфигурации. Мы не будем углубляться во внутренние различия, кому интересно могут самостоятельно углубить свои знания по теме Библиотеки подключаемого оборудования, а перейдем к изменениям в пользовательской части настроек.\nОдно из важных нововведений - это Рабочие места. Рабочее место представляет собой совокупность компьютера и пользователя информационной базы. Это позволяет иметь разные наборы подключаемого оборудования для разных пользователей на одном и том же компьютере. Например, для кассира мы настраиваем полный набор оборудования, а для товароведа оставляем только сканер штрих-кода и добавляем ТСД. Рабочие места также позволяют, поставив соответствующую галочку, работать с настройками оборудования подключенного на других компьютерах. Это удобно, когда надо централизовано изменить настройки оборудования сразу на нескольких рабочих местах. Например, вы изменили IP-адрес весов с печатью этикеток, теперь вам не надо бежать по всем рабочим станциям, откуда работают с весами, изменить настройки для них вы можете со своего компьютера. Сам процесс подключения и настройки изменился незначительно и стал проще. Но есть одна тонкость, так как драйвера ТО теперь входят в состав конфигурации и устанавливаются автоматически, то на время настройки торгового оборудования программу следует запускать от имени администратора, иначе вы можете столкнуться с ситуацией, когда приложение не сможет зарегистрировать библиотеки и вы получите ошибку. С полным списком имеющихся в конфигурации драйвером можно ознакомиться, щелкнув ссылку Драйверы оборудования вверху формы Подключение и настройка оборудования. Кроме удовлетворения любопытства, данный список полезен еще и тем, что любой драйвер можно выгрузить и затем использовать отдельно, например, для конфигураций на базе обычного приложения, чтобы не искать его в интернете. Подключение торгового оборудования тоже стало проще, помощник подключения отсутствует, но необходимости в нем нет, все что вам нужно выбрать - это тип оборудования, драйвер и рабочее место. После чего следует записать изменения и, нажав на кнопку Настроить, указать параметры подключения данного экземпляра оборудования. Следует отметить, что сообщения об ошибках стали информативнее, в нашем случае в системе уже имелся драйвер 8.0.15.1 для Розница 1.0 и мы получили настоятельную рекомендацию обновить его, минимум, до 8.0.17.1. Причем сделать это можно буквально \u0026quot;не отходя от кассы\u0026quot;, выбираем Функции - Установить драйвер (напоминаем, для успеха данной операции 1С должна быть запущена от имени Администратора). А как быть с тем оборудованием, поддержка которого в конфигурации отсутствует? В обычном приложении достаточно было получить обработку обслуживания и установить соответствующий драйвер. В управляемом приложении ничего принципиально не изменилось, для подключения неподдерживаемого оборудования производитель должен предоставить компоненту по технологии БПО, которую необходимо загрузить в конфигурацию.\nДля примера возьмем принтер этикеток Godex DT2, поддержку которого осуществляет компания Сканкод. На страничке поддержки данной модели представлена подобная компонента. Подключение компоненты не должно вызвать решительно никаких затруднений, открываем список драйверов и, выбрав опцию Добавить новый драйвер из файла, указываем на скачанный архив. Как видим - ничего сложного. Надеемся, данный материал поможет вам приобрести первичные навыки подключения торгового оборудования к 1С:Предприятию и в дальнейшем мы не будем заострять внимание на этом вопросе, считая, что читатель уже располагает базовыми знаниями.\n","id":"15dabd1b1c8cc51e5c1a5d57874d1587","link":"https://interface31.ru/post/podklyuchaem-torgovoe-oborudovanie-k-1spredpriyatie-8/","section":"post","tags":["1С Предприятие 8.х","Автоматизация","Торговое оборудование","Штрих-код"],"title":"Подключаем торговое оборудование к 1С:Предприятие 8"},{"body":"8 сентября 2015 года сайт lenta.ru опубликовал заметку: «Эксперты оценили предложение Госдумы перейти на свободно доступное ПО», которая нас заинтересовала. Аргументы «за» и «против» довольно простые -- всё сводится к экономии средств на лицензирование проприетарных пакетов или, наоборот, к повышенным затратам для обучения пользователей новым программам. Но более всего зацепила фраза о «неудавшемся эксперименте госучреждений Германии». Мы уже писали на этом сайте о проекте немецкого Мюнхена и получили интересные отклики, теперь есть повод вернуться к теме и разобраться в германской «неудаче».\nЗабавно, что авторитетное мнение lenta.ru испросила у продавца антивирусной программы (компания ESET, Денис Матвеев), которая в среде Linux бесполезна. Конечно, господин Матвеев посетовал, что «в переходе на свободное ПО кроется ряд рисков».\nА что это вы тут делаете? Где начало всем разговорам о радикальном пресечении немецких проектов на свободном ПО - установить трудно. Какие-то пересуды берут своё начало в 2014 году, отдельная дискуссия велась на выставке CeBit в начале 2015 года. Но в июле 2015 года «жару» подкинули два депутата мюнхенского Городского Собрания Отто Зайдл (Otto Seidl) и Сабина Пфайлер (Sabine Pfeiler), которые обратились в письменном виде к обербургомистру Мюнхена и посетовали, что им «невозможно работать» на новых казённых ноутбуках, потому что сотрудники «не могут устанавливать программы» и «не имеют достаточных пользовательских прав». Депутаты предложили бургомистру вынести на рассмотрение Собрания вопрос о приобретении Windows и MSOffice, а также наделении пользователей необходимыми правами для установки программного обеспечения на служебные компьютеры, которые город «за большие деньги» приобрёл в 2014 году. Очень приятно, что своё письмо депутаты составили, используя OpenOffice. Отсюда и началась, по большому счёту, та «широкая паника в узких кругах», в результате которой горячие головы начали хоронить весь проект LiMux (Linux в Мюнхене) и вообще всю идею свободного ПО в госучреждениях. Из немецкого интернета волна пошла в англоязычные сайты, дала круг и вернулась опять в Германию. На этом пути информация стала слухом, обросла выдумками и созрела до «неудавшегося эксперимента» на сайте lenta.ru.\nЛюбой, кто так или иначе прикасался к администрированию хотя-бы одного компьютера, придёт в ужас от заявленных мюнхенскими депутатами претензий, а уж руководство компьютерного департамента и вовсе должно пылать яростью, имея под носом откровенных вредителей, желающих по своему разумению ставить или убирать программы и пользоваться расширенными правами пользователя. «Ибо не ведают они -- что творят»...\nТаковой и оказалась, в конце-концов, реакция многих читателей тематических сайтов: они посмеялись над депутатами и пожелали им набираться компьютерной грамоты. Тем же, кто испуганно запереживал о кончине проекта LiMux, было указано на скромное письмо мюнхенских депутатов и на тот факт, что запрос двух пользователей (из порядка двадцати тысяч) ещё не является постановлением о переходе обратно на Windows.\nДым без причины? За всеми волнениями по теме возврата к продукции фирмы Microsoft предполагается упорная лоббистская работа сторонников Windows, но и непосредственная активность самой фирмы Microsoft -- не забываем, что её немецкий центральный офис находится именно в... Мюнхене. Вполне вероятно элементарное давление Microsoft на городскую управу Мюнхена и некий шантаж с намёком на экономические последствия для города, если такой гигант, как Microsoft вдруг надумает переехать в другой город, а то и в другую федеральную землю.\nТакое предположение вполне имеет право на существование, а для наглядности имеется пример из Великобритании, который описан в журнале Сomputer weekly:\nПравительство страны задумало перевести все государственные структуры на использование открытых стандартов документации ODF, Microsoft немедленно выкатила «тяжёлое оружие» и пригрозила депутатам парламента, которые будут голосовать за стандарты ODF, урезать или вовсе отменить всякое финансирование каких-либо проектов в их избирательных округах.\nА рассказал об этом прессе никто иной, как советник премьер-министра по вопросам IT Роан Сильва (Rohan Silva).\nВ общем и целом, проект LiMux можно считать весьма успешным, чего не хватает немецким государственным учреждениям в настоящее время -- это «критической массы», которая позволила-бы побороть нехватку кадров и единичное положение Мюнхена в Германии. То есть -- расширение проекта и перенос баварского опыта на другие города будет автоматически повышать качество программного обеспечения, но и ускорять восприятие открытого ПО в других отраслях.\nНа фоне развития мюнхенских событий, можно рассмотреть и другой вариант развития, который имеется в Берлине. В столице решили оставаться под крылом у Windows, однако не поспели перевести все рабочие места на Win7, пришлось выторговывать у Microsoft дополнительную поддержку WinXP за отдельные деньги. Перевод всех городских госучреждений на новые версии Windows ещё продолжается, а основная проблема в том, что многие специализированные программы не опробованы в новом Windows, десятки различных приложений придётся актуализировать или менять. Вполне вероятно, что объём работ будет сравним с проектом LiMux, хотя никакого перехода на Linux не произойдёт.\nТолько вперёд Несмотря на трудности и негативные слухи, Мюнхен остаётся верен своему амбициозному проекту. Руководство команды разработчиков LiMux не только планирует дальнейшее развитие, но и продолжает открытую публикацию достигнутых результатов. 96 патчей для Libreoffice были написаны в ходе работ по LiMux, они вошли в версию 5.0, попутно программисты нашли и исправили несколько сотен ошибок в программах свободного ПО. На состоявшейся в августе 2015 года конференции по Debian, был сделан доклад о развитии и перспективах проекта LiMux. Один из ведущих специалистов Ян-Марек Глоговски (Jan-Marek Glogowski) отметил, что основные трудности представляет многочисленный и разношёрстный парк компьютерных систем Мюнхена - на протяжении20 лет у города не было центральной концепции по приобретению оборудования. Следующим проблемным пунктом отмечен довольно продолжительный цикл развития проекта, актуальная версия клиента LiMux базируется на Ubuntu 12.04 и Libreoffice, в начале проекта ставка делалась на Openoffice. В общем и целом -- от первых планов до начала установки работоспособной системы прошло почти два года.\nОднако, проект переходит на новую стадию -- теперь планируется апгрейд на Ubuntu 14.04 и продолжение развития рабочей поверхности KDE. Кроме того, ведётся реорганизация всей инфраструктуры, что касается не только программного, но и аппаратного обеспечения.\nМюнхен и далее готов активно участвовать в развитии свободного ПО, во многих городах Европы растёт активный интерес к использованию открытых форматов и программного обеспечения.\nКстати, французская жандармерия перешла на Linux и свободное ПО в 2014 году.\nАвтор: Виктор Хартманн (Берлин)\n","id":"b62cf35b65a960625f0fdc6c11f3adcd","link":"https://interface31.ru/post/pacient-skoree-zhiv/","section":"post","tags":["Linux","Внедрение","Планирование"],"title":"Пациент скорее жив!"},{"body":"Автоматизация торговли или склада предусматривает широкое применение штрихкодов для всего спектра номенклатуры. Однако использовать штрихкод производителя не всегда представляется возможным. Начиная от ситуаций, когда штрихкодов на товаре просто нет и заканчивая случаями, когда система кодирования товара у поставщика отличается от принятой на предприятии. Чтобы решить эту задачу, потребуется снабдить всю нужную номенклатуру собственными штрихкодами, а поможет вам это сделать принтер этикеток.\nПрежде всего разберемся с тем, что представляет из себя принтер этикеток. Это специализированное печатающее устройство, работающее с самоклеящимися носителями рулонного типа. Между собой принтеры отличаются разрешением, скоростью и шириной печати, размером рулона этикеток и т.п., закрывая широкий диапазон потребностей, от небольших торговых точек, до крупных складских и производственных комплексов.\nПо методу печати различают термопечать и термотрансфертную печать. Первая наиболее проста и дешева, вам понадобятся только термоэтикетки, из недостатков, традиционные для такого способа печати, выцветание и потемнение при воздействии повышенных температур или прямых солнечных лучей. Термотрансфертная печать требует кроме термотрансфертных этикеток специальной красящей ленты, но зато такие отпечатки более стойкие, хотя и более дорогие. Метод печати следует учитывать при приобретении расходных материалов, которые внешне практически не отличаются, но работать с другим типом принтера не будут.\nВыбор метода печати зависит от типа номенклатуры, предполагаемого срока службы и предназначения этикетки. Если этикетка предназначена для внутренних целей учета и не несет необходимой покупателю информации, то ее можно выполнить предельно компактной и печатать на термоэтикетку, это же справедливо для товаров с коротким сроком реализации, например, продуктов, хотя в этом случае этикетка может быть довольно подробной.\nДля товаров с длительным сроком хранения и, если этикета содержит информацию для покупателя, рекомендуется термотрансфертный метод, особенно для товаров, находящихся долгое время на ярком свете, например, этикетки для одежды или обуви. В тоже время мы воздержимся от однозначных рекомендаций, посоветовав исходить из здравого смысла и реальных условий применения.\nС точки зрения операционной системы и товароучетного ПО большинство современных принтеров этикеток ничем не отличаются от иных печатающих устройств, используя стандартные механизмы печати. Этот способ является предпочтительным, хотя некоторые программы могут работать с такими устройствами используя собственные языки и протоколы, однако это выходит за рамки данной статьи. Но есть одна существенная особенность, в отличие от \u0026quot;обычных\u0026quot; принтеров, которые создаются по принципу \u0026quot;включил и печатай\u0026quot;, принтеры этикеток требуют более кропотливой настройки как со стороны драйвера, так и со стороны товароучетного ПО, с которым будет использоваться принтер.\nВ качестве принтеров этикеток в нашей стране заслуженной популярностью пользуется продукция марки Zebra, например ZEBRA LP-2824, при этом незаслуженно остаются в тени принтеры производителя Godex. Имя достаточный опыт работы с принтерами обоих марок, мы бы все-таки посоветовали в качестве принтера начального уровня Godex DT2/DT4. Почему? Приведем небольшую сравнительную таблицу.\nКак можно заметить, обе модели практически одинаковы как по цене, так и по основным характеристикам, однако Godex DT2 выгодно отличается наличием сетевого интерфейса, большим объемом памяти и расширенной гарантией. В любом случае, какую бы модель вы не выбрали принцип последующих действий будет одинаков. Прежде всего необходимо выяснить текущую версию прошивки и обновить ее. Для того, чтобы это сделать обратитесь к документации на принтер. Вообще, при работе с торговым оборудованием возьмите за правило, прежде чем начинать работу с устройством, читать инструкцию. Это позволит сберечь немало времени и нервов.\nВ случае с Godex DT2 зажмите кнопку протяжки (единственная кнопка сверху) и включите принтер, дождитесь звукового сигнала, после которого индикатор начнет быстро моргать красным и отпустите кнопку. Принтер выполнит самотестирование, калибровку и напечатает сведения о модели, где будет присутствовать версия прошивки. Крайне рекомендуем обновить ее до актуальной. В наше распоряжение принтер попал с прошивкой V1.00С и настроить нормальную печать из 1С на нем мы так и не смогли, пока не обновились до V1.009.\nДля получения прошивки, а также драйверов и инструкций посетите сайт официального представителя марки в России, компании \u0026quot;Сканкод\u0026quot;. Переходим на страницу принтера и скачиваем в разделе Файлы последнюю на текущий момент прошивку Cloud firmware V1.009, архив с которой содержит также утилиту для прошивки.\nПроцесс прошивки достаточно несложен, но его нужно производить до установки драйверов, иначе утилита не сможет открыть порт, занятый очередью печати. Либо используйте для прошивки альтернативный интерфейс, например, RS-232, если принтер установлен как USB.\nПосле чего запустите утилиту, выберите порт подключения и нажав Download Firmware укажите файл прошивки. Начнется загрузка прошивки в устройство, процесс сопровождается заполнением прогресс-бара. По завершению загрузки прошивки принтер начнет ее обновление, индикатор при этом будет моргать красным, частота морганий будет увеличиваться, затем после двух звуковых сигналов разной тональности индикатор загорится зеленым, показывая, что процесс загрузки успешно закончен. После чего снова выполните самотестирование и убедитесь, что номер прошивки изменился.\nПосле прошивки следует скачать и установить драйвера. Никаких затруднений данный процесс вызвать не должен. Все предельно просто и понятно. Как только вы установите драйвера принтер появится в стандартной оснастке Устройства и принтеры и будет доступен из любого приложения. Однако не будем спешить.\nПрежде всего определимся с размером этикетки, приобретем и установим в принтер термоэтикетки нужного размера, после чего следует выполнить калибровку. Для этого зажимаем кнопку протяжки и включаем принтер. После первого звукового сигнала принтер начинает быстро моргать красным, это режим самотестирования, ждем второго звукового сигнала и оранжевого цвета индикатора, после чего отпускаем кнопку протяжки, принтер самостоятельно определит размер этикетки и произведет калибровку. Проверить это можно нажатием на кнопку протяжки, принтер должен выдавать ровно одну этикетку.\nОднако драйвер принтера ничего не знает о размере этикетки, поэтому открываем Настройку печати и в разделе Параметры страницы выбираем или создаем самостоятельно нужный размер материала для печати. В нашем случае этикетки предназначены для внутренних целей и был выбран небольшой размер 50х30 мм. Советуем давать настройке осмысленное название, например, по размеру этикетки, чтобы избежать путаницы в дальнейшем, при настройке печати из приложения. Настроив принтер перейдем к настройке приложения, в нашем примере используется конфигурация Розница 1.0, откроем Сервис - Этикетки и ценники - Шаблоны этикеток и ценников. В Хранилище шаблонов создадим новый шаблон этикетки. Затем перейдем к его редактированию, удалим стандартное содержимое и создадим этикетку с нужными нам данными. Так как размер этикетки небольшой и ее назначение - внутренний учет, то мы расположили там наименование номенклатуры и штрих код. При необходимости вы можете добавить необходимые реквизиты, просто перетащив их из левой колонки. Встроенный редактор довольно удобен и позволяет легко создавать шаблоны ценников и этикеток любой степени сложности. Если вы используете конфигурацию Управление торговлей, то встроенного редактора там нет и вам придется создавать макет этикетки при помощи Конфигуратора, однако смысл последующих действий от этого не меняется.\nСоздав этикетку попробуем ее распечатать. Скорее всего, с первого раза у вас ничего не получится, поэтому разберем этот процесс подробнее. Если вы увидите следующий результат, когда этикетка печатается вроде-бы правильно, но не на своем месте, то следует откалибровать принтер. После калибровки вы должны получить иной результат, например, такой вывод говорит о том, что этикетка не поместилась по вертикали, поэтому она переносится на следующую физическую этикетку, а так как штрихкод является цельным объектом, то он не делится на две части, как в прошлом примере, а печатается два раза. Открываем Файл - Параметры страницы и изменяя размеры полей и масштаба добиваемся того, чтобы этикетка помещалась на одну физическую этикетку и заняла положение в левом верхнем углу. В нашем случае настройки получились такими, обратите внимание, в качестве размера бумаги следует указать размер материала созданный нами в свойствах принтера: Проверяем, результат должен оказаться вполне пристойным: Теперь, изменяя размер шаблона этикетки, добиваемся чтобы он занимал всю площадь носителя: Как видим, ничего сложного. Готовый шаблон можно выгрузить в mxl-файл (или загрузить из файла в другую информационную базу) воспользовавшись кнопками Импортировать/Экспортировать (обведены пунктиром). Для примера, выкладываем ниже шаблон этикетки 58х30 использовавшийся нами в этой статье.\nСкачать Label_Godex DT2_50-30.mxl\n","id":"d0d45380bbf180f63037f8d36b9278f3","link":"https://interface31.ru/post/podklyuchaem-printer-etiketok-k-1spredpriyatie-na-primere-godex-dt2/","section":"post","tags":["1С Предприятие 8.х","Автоматизация","Торговое оборудование","Штрих-код"],"title":"Подключаем принтер этикеток к 1С:Предприятие на примере Godex DT2"},{"body":"Установка большого количества обновлений Windows Update обычно относится к тем рутинным операциям, которые каждый системный администратор хотел бы как можно сильнее автоматизировать. Действительно, данная задача занимает довольно много времени и требует время от времени отвлекаться, чтобы перейти от одного этапа к другому. Отчасти выручить в этой ситуации можетсоздание собственного дистрибутива, уже включающего все необходимые обновления, но воспользоваться им удается не всегда. Иногда надо просто быстро обновить до актуального состояния какую-либо систему, тогда на помощь нам придет PowerShell.\nКроме того, в режиме аудита Windows 8 использовать Центр обновления Windows нельзя и установить обновления привычным образом не получится.\nВ этих, а также во многих других, случаях имеет смысл воспользоваться специальным модулем PowerShell для работы с Windows Update. Скачать его можно со страницы разработчика на Technet: Windows Update PowerShell Module. Мы настоятельно рекомендуем скачивать данный модуль именно оттуда.\nДанный модуль работает в системах, начиная с Windows Vista и Server 2008 и требует PowerShell 2.0, хотя оптимально будет использование PowerShell 3.0 и выше.\nАрхив с модулем содержит папку PSWindowsUpdate, которую следует разместить в одном из двух возможных расположений:\n%USERPROFILE%\\Documents\\WindowsPowerShell\\Modules %WINDIR%\\System32\\WindowsPowerShell\\v1.0\\Modules Если вы хотите использовать данный модуль на постоянной основе, то имеет смысл разместить его в системной папке, в остальных случаях лучше использовать для этого директорию в профиле пользователя. Учтите, в папке Мои документы отсутствуют вложенные директории WindowsPowerShell и Modules, поэтому их следует создать самостоятельно. Откроем консоль PowerShell от имени Администратора. Прежде всего выясним установленную политику командой:\n1Get-ExecutionPolicy По умолчанию обычно установлена политика Restricted, которая запрещает выполнение скриптов даже администратору. Поэтому изменим ее на RemoteSigned, позволяющую запускать локальные скрипты, также, в целях безопасности, рекомендуем изменять политику только для текущего сеанса. Выполним команду:\n1Set-ExecutionPolicy RemoteSigned -Scope Process Ключ -Scope позволяет задавать область применения политики, в данном случае это текущий процесс. Теперь можно выполнить импорт модуля командой:\n1Import-Module PSWindowsUpdate В Windows 7 и иных системах, использующих PowerShell 2.0 вы можете столкнуться со следующей ошибкой: Имя \u0026quot;Unblock-File\u0026quot; не распознано как имя командлета. Она возникает из-за использования в одном из скриптов функции появившейся в PowerShell 3.0. Однако ее несложно исправить. В папке с модулем откройте файл PSWindowsUpdate.psm1 и удалите в первой строке последовательность:\n1| Unblock-File Прежде всего получим список доступных обновлений:\n1Get-WUInstall -ListOnly А вот и первый сюрприз, в списке обновлений присутствуют языковые модули, Skype и обновление для перехода на Windows 10. Все это приехало бы на ваш компьютер, воспользуйся вы одним из популярных скриптов для этого модуля, доступных в сети. К счастью модуль обладает широкими возможностями. Мы можем исключить пакеты из списка по их категории, ключ -NotCategory, названию, ключ -NotTitle, или номеру обновления, ключ -NotKBArticleID. Используем каждый из них, в нашем случае уберем категорию языковых пакетов, Skype и обновление до Windows 10:\n1Get-WUInstall -NotCategory \u0026#34;Language packs\u0026#34; -NotTitle Skype -NotKBArticleID KB3012973 -ListOnly Вот, уже гораздо лучше. Теперь можно установить обновления командой:\n1Get-WUInstall -NotCategory \u0026#34;Language packs\u0026#34; -NotTitle Skype -NotKBArticleID KB3012973 -AcceptAll -IgnoreReboot Ключи**-AcceptAll** и -IgnoreReboot включают одобрение всех пакетов и подавляют требование перезагрузки после установки некоторых обновлений. Убедившись, что все работает как надо, можно создать собственный пакетный файл, откроем блокнот и в одну строку запишем:\n1PowerShell -ExecutionPolicy RemoteSigned -Command Import-Module PSWindowsUpdate; Get-WUInstall -NotCategory \u0026#34;Language packs\u0026#34; -NotTitle Skype -NotKBArticleID KB3012973 -AcceptAll -IgnoreReboot Данная команда запускает PowerShell, устанавливает политику RemoteSigned, импортирует модуль, затем передает ему вышеуказанную команду. В общем делает все тоже самое, что мы только-что выполнили вручную. Сохраните данный файл как PSWindowsUpdate.cmd и теперь все что вам потребуется, это разместить модуль в нужном расположении и запустить данный пакетный файл с правами администратора.\nУдобно? Да. Правда учтите, что некоторые обновления требуют обязательной установки предыдущих, поэтому, если вы давно не обновлялись, данный скрипт придется запускать несколько раз. Но это все равно проще, чем проделывать все эти операции вручную, кликнул на скрипт и занимайся своими делами, время от времени поглядывая на экран.\nВ Windows 8 языковые пакеты через WindowsUpdate не распространяются, поэтому команду можно немного упростить.\n1Get-WUInstall -NotTitle Skype -NotKBArticleID KB3012973 -AcceptAll -IgnoreReboot Однако на этом возможности данного модуля не заканчиваются, он позволяет быстро установить нужные обновления зная только их номер. Это значительно облегчает задачу, так как не надо посещать сайт Microsoft, искать необходимую статью и скачивать пакет именно для вашей версии системы.\nДля установки отдельного пакета используйте команду (номер пакета использован исключительно для примера):\n1Get-WUInstall -KBArticleID KB3087916 -AcceptAll Если надо установить несколько пакетов, то разделите их номера запятыми и добавьте ключ -IgnoreReboot, например:\n1Get-WUInstall -KBArticleID KB3066441, KB3078676 -AcceptAll -IgnoreReboot Мы не ставили своей целью дать в данной статье полный обзор этого модуля, сфокусировавшись на решении конкретной задачи. Поэтому, если вас заинтересовали иные возможности данного модуля, то обратитесь к встроенной справке. Для этого откройте в блокноте файл интересующей функции, например, Get-WUInstall.ps1, каждый из которых автор снабдил подробным описанием. Надеемся, что данный материал поможет вам автоматизировать некоторые рутинные задачи и добавит в ваш арсенал новый, удобный инструмент.\n","id":"9fd2716f75cfcfa541bb4bd22e07999f","link":"https://interface31.ru/post/ispolzuem-powershell-dlya-avtomatizacii-ustanovki-obnovleniy/","section":"post","tags":["PowerShell","Windows 7","Windows 8","Windows Server","Windows Update"],"title":"Используем PowerShell для автоматизации установки обновлений"},{"body":"Организация каналов между удаленными сетями посредством VPN-соединения одна из самых популярных тем на нашем сайте. В тоже время, как показывает читательский отклик, наибольшие затруднения вызывает правильная настройка маршрутизации, хотя мы специально уделяли внимание этому моменту. Проанализировав наиболее часто задаваемые вопросы, мы решили посвятить теме маршрутизации отдельную статью. Есть вопросы? Надеемся, что после прочтения данного материала их станет меньше.\nПрежде всего разберемся, что такое маршрутизация. Маршрутизация - это процесс определения маршрута следования информации в сетях связи. Скажем честно, тема эта весьма глубокая и требующая солидного багажа теоретических знаний, поэтому в рамках данной статьи мы сознательно упростим картину и коснемся теории ровно в той мере, которой будет достаточно для осмысления происходящих процессов и получения практических результатов.\nВозьмем произвольную рабочую станцию, подключенную к сети, каким образом она определяет куда посылать тот или иной пакет? Для этой цели предназначена таблица маршрутизации, которая содержит перечень правил для всех возможных адресов назначения. На основании этой таблицы хост (или маршрутизатор) принимают решение, на какой интерфейс и адрес назначения отправить пакет, адресованный определенному получателю.\nЧтобы не быть голословными рассмотрим таблицу маршрутов самой обыкновенной рабочей станции. В Windows системах это можно сделать командой:\n1route print В итоге мы увидим следующую таблицу: Все очень просто, нас интересует секция IPv4 таблица маршрута, первые две колонки содержат адрес назначения и маску сети, затем следует шлюз - узел которому следует перенаправить пакеты для указанного назначения, интерфейс и метрика. Если в колонке Шлюз указано On-link, то это означает что адрес назначения находится в одной сети с хостом и доступен без маршрутизации. Метрика определяет приоритет правил маршрутизации, если адрес назначения имеет в таблице маршрутов несколько правил, то используется тот, что имеет меньшую метрику. Наша рабочая станция принадлежит к сети 192.168.31.0 и, согласно таблице маршрутов, все запросы к данной сети отправляет на интерфейс 192.168.31.175, что соответствует сетевому адресу это станции. Если адрес назначения находится в одной сети с адресом источником, то доставка информации происходит без использования IP-маршрутизации (сетевой уровень L3 модели OSI), на канальном уровне (L2). В противном случае пакет отправляется узлу, указанному в соответствующему сети назначения правилу таблицы маршрутов.\nЕсли такого правила нет, то пакет отправляется по нулевому маршруту, который содержит адрес основного шлюза сети. В нашем случае это адрес роутера 192.168.31.100. Нулевым этот маршрут называется потому, что адресом назначения для него указывается 0.0.0.0. Этот момент является очень важным для дальнейшего понимания процесса маршрутизации: все пакеты, не принадлежащие данной сети и не имеющие отдельных маршрутов, всегда отправляются основному шлюзу сети.\nЧто сделает маршрутизатор, получив такой пакет? Прежде всего разберемся, чем отличается маршрутизатор от обычной сетевой станции. Если говорить крайне упрощенно, то маршрутизатором (роутером) является сетевое устройство, которое настроено передавать пакеты между сетевыми интерфейсами. В Windows это достигается включением службы Маршрутизация и удаленный доступ, в Linux заданием опции ip_forward.\nРешение о передаче пакетов в этом случае также принимается на основании таблицы маршрутизации. Посмотрим, что содержит данная таблица на самом обычном роутере, например, описанном нами в статье: Ubuntu Server. Настраиваем роутер NAT + DHCP + Squid3. В Linux-системах получить таблицу маршрутов можно командой:\n1route -n Как видим, наш роутер содержит маршруты к известным ему сетям 192.168.31.0 и 192.168.3.0, а также нулевой маршрут к вышестоящему шлюзу 192.168.3.1. Адрес 0.0.0.0 в колонке шлюза (Gateway) обозначает, что адрес назначения доступен без маршрутизации. Таким образом все пакеты с адресами назначения в сетях 192.168.31.0 и 192.168.3.0 будут отправлены на соответствующий интерфейс, а все остальные пакеты будут переданы дальше по нулевому маршруту.\nСледующий важный момент - адреса приватных (частных) сетей, они же \u0026quot;серые\u0026quot;, к ним относятся три диапазона:\n10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 Данные адреса могут свободно использоваться любым желающим и поэтому они не маршрутизируются. Что это значит? Любой пакет с адресом назначения принадлежащим одной из этих сетей будет отброшен маршрутизатором, если для него нет отдельной записи в таблице маршрутизации. Проще говоря, маршрут по умолчанию (нулевой) для таких пакетов маршрутизатором не применяется. Также следует понимать, что данное правило применяется только при маршрутизации, т.е. при передаче пакетов между интерфейсами, исходящий пакет с \u0026quot;серым\u0026quot; адресом будет отправлен по нулевому маршруту, даже если данный узел сам является маршрутизатором.\nНапример, если наш роутер получит входящий пакет с назначением, скажем, 10.8.0.1, то он будет отброшен, так как такая сеть ему неизвестна и адреса этого диапазона не маршрутизируются. Но если мы обратимся к этому же узлу непосредственно с роутера, то пакет будет отправлен по нулевому маршруту шлюзу 192.168.3.1 и будет отброшен уже им.\nСамое время проверить, как это все работает. Попробуем с нашего узла 192.168.31.175 пропинговать узел 192.168.3.106, который находится в сети за роутером. Как видим, это нам удалось, хотя таблица маршрутов узла не содержит никаких сведений о сети 192.168.3.0. Как это стало возможным? Так как узел-источник ничего не знает о сети назначения, то он отправит пакет на адрес шлюза. Шлюз проверит свою таблицу маршрутов, обнаружит там запись для сети 192.168.3.0 и отправит пакет на соответствующий интерфейс, в этом несложно убедиться выполнив команду трассировки, которая покажет весь путь нашего пакета:\n1tracert 192.168.3.106 Теперь попробуем выполнить пинг узла 192.168.31.175 с узла 192.168.3.106, т.е. в обратном направлении. У нас ничего не вышло. Почему? Давайте внимательно посмотрим таблицу маршрутизации. Никаких записей для сети 192.168.31.0 она не содержит, поэтому пакет будет отправлен маршрутизатору 192.168.3.1, как основному шлюзу сети, который данный пакет отбросит, так как никаких данных о сети назначения не имеет. Как быть? Очевидно, что следует отправить пакет тому узлу, который содержит нужную информацию и может передать пакет по назначению, в нашем случае это роутер 192.168.31.100, который в данной сети имеет адрес 192.168.3.108.\nЧтобы пакеты для сети 192.168.31.0 отправлялись именно ему, нам нужно создать отдельный маршрут.\n1192.168.31.0 mask 255.255.255.0 192.168.3.108 В дальнейшем мы будем придерживаться такой записи маршрутов, что она значит? Все просто, пакеты для сети 192.168.31.0 с маской 255.255.255.0 следует отправлять узлу 192.168.3.108. В Windows маршрут можно добавить командой:\n1route add 192.168.31.0 mask 255.255.255.0 192.168.3.108 В Linux:\n1route add -net 192.168.31.0 netmask 255.255.255.0 gw 192.168.3.108 Попробуем. Давайте проанализируем результат, в таблице маршрутизации появился маршрут и все пакеты к сети 192.168.31.0 теперь отправляются роутеру этой сети, что видно из ответа команды ping, но до назначения не доходят. В чем дело? Самое время вспомнить, что одной из основных задач роутера является не только маршрутизация, но и функция сетевого экрана, который явно запрещает доступ из внешней сети внутрь. Если мы временно заменим данное правило разрешающим, то все будет работать. Добавленные вышеуказанными командами маршруты сохраняются до перезагрузки узла, это удобно, даже если вы сильно накуролесили, достаточно просто выполнить перезагрузку, чтобы отменить внесенные изменения. Чтобы добавить постоянный маршрут в Windows выполните команду:\n1route add 192.168.31.0 mask 255.255.255.0 192.168.3.108 -p В Linux в /etc/network/interfaces, после описания интерфейса, следует добавить:\n1post-up route add -net 192.168.31.0 netmask 255.255.255.0 gw 192.168.3.108 Кстати, это не единственный способ настроить доступ из сети 192.168.3.0 в сеть 192.168.31.0, вместо того, чтобы добавлять маршрут для каждого узла, можно \u0026quot;научить\u0026quot; правильно отправлять пакеты маршрутизатор. В этом случае узел источник не имеет записей о сети назначения и отправит пакет шлюзу, в прошлый раз шлюз такой пакет отбросил, но теперь мы добавили в его таблицу маршрутизации нужный маршрут, и он отправит пакет узлу 192.168.3.108, который доставит его по назначению.\nМы настоятельно рекомендуем самим потренироваться на аналогичных примерах, чтобы маршрутизация перестала быть для вас черным ящиком, а маршруты - китайской грамотой. После того как возникнет понимание, можно переходит ко второй части данной статьи.\nТеперь рассмотрим реальные примеры по объединению сетей офисов через VPN-соединение. Несмотря на то, что чаще всего для этих целей используется OpenVPN и в наших примерах мы также подразумеваем решения на его основе, все сказанное будет справедливо для любого типа VPN-соединения.\nСамый простой случай, когда VPN-сервер (клиент) и маршрутизатор сети располагаются на одном хосте. Рассмотрим схему ниже: Так как теорию, надеемся, вы усвоили и закрепили на практике, проанализируем маршрут пакетов из сети офиса 192.168.31.0 в сеть филиала 192.168.44.0, такой пакет будет отправлен на шлюз по умолчанию, который является также VPN-сервером. Однако данный узел ничего не знает о сети назначения и должен будет откинуть данный пакет. В тоже время мы уже можем обратиться к маршрутизатору филиала по его адресу в VPN-сети 10.8.0.2, так как данная сеть доступна с маршрутизатора офиса.\nЧтобы получить доступ к сети филиала нам нужно предать пакеты для этой сети узлу, который является частью этой сети или имеет маршрут к ней. В нашем случае это маршрутизатор филиала. Поэтом на маршрутизаторе офиса добавляем маршрут:\n1192.168.44.0 mask 255.255.255.0 10.8.0.2 Теперь шлюз офиса, получив пакет для сети филиала, отправит его через VPN-канал маршрутизатору филиала, который, являясь узлом сети 192.168.44.0 доставит пакет по назначению. Для доступа из сети филиала в сеть офиса нужно прописать аналогичный маршрут на маршрутизаторе филиала.\nВозьмем схему посложнее, когда маршрутизатор и VPN-сервер (клиент) являются разными узлами сети. Здесь возможны два варианта, передать нужный пакет непосредственно VPN-серверу (клиенту) или заставить это делать шлюз.\nСначала рассмотрим первый вариант. Для того, чтобы пакеты для сети филиала попали в VPN-сеть мы должны добавить на каждый клиент сети маршрут к VPN-серверу (клиенту), в противном случае они будут отправлены шлюзу, который их отбросит:\n1192.168.44.0 mask 255.255.255.0 192.168.31.101 Однако VPN-сервер ничего не знает о сети филиала, но может отправлять пакеты в пределах VPN-сети, где есть интересующий нас узел сети филиала, поэтому направим пакет туда, добавив на VPN-сервере (клиенте) маршрут:\n1192.168.44.0 mask 255.255.255.0 10.8.0.2 Недостаток данной схемы - необходимость прописывать маршруты на каждом узле сети, что не всегда удобно. Его можно использовать если устройств в сети немного или требуется выборочный доступ. В остальных случаях задачу маршрутизации будет правильнее переложить на основной маршрутизатор сети. В этом случае сетевые устройства офиса ничего не знают о сети филиала и отправят пакеты для него по нулевому маршруту, шлюзу сети. Теперь задача шлюза перенаправить этот пакет VPN-серверу (клиенту), это просто сделать, добавив в его таблицу маршрутизации нужный маршрут:\n1192.168.44.0 mask 255.255.255.0 192.168.31.101 Про задачу VPN-сервера (клиента) мы упоминали выше, он должен доставить пакеты тому узлу VPN-сети, который является частью сети назначения или имеет маршрут к ней.\n1192.168.44.0 mask 255.255.255.0 10.8.0.2 Для доступа из сети филиала в сеть офиса потребуется добавить соответствующие маршруты на сетевые узлы филиала. Сделать это можно любым удобным способом, не обязательно также, как это сделано в офисе. Простой реальный пример: все компьютеры филиала должны иметь доступ к сети офиса, но не все компьютеры офиса должны иметь доступ в филиал. В таком случае в филиале добавляем маршрут к VPN-серверу (клиенту) на маршрутизаторе, а в офисе добавляем его только на нужные компьютеры.\nВ целом, если вы представляете, как работает маршрутизация и каким образом принимается решение о перенаправлении пакетов, а также умеете читать таблицу маршрутизации, то настройка правильных маршрутов не должна вызывать затруднений. Надеемся, что после прочтения данной статьи у вас их также не будет.\n","id":"b88a0216ffcce5f9aafbe4be42313409","link":"https://interface31.ru/post/organizaciya-vpn-kanalov-mezhdu-ofisami-marshrutizaciya/","section":"post","tags":["VPN","Маршрутизация","Сетевые технологии"],"title":"Организация VPN каналов между офисами. Маршрутизация"},{"body":"Программные лицензии 1С:Предприятия являются на сегодня основным вариантом для лицензирования, предоставляя администраторам новые возможности и снимая некоторые ограничения аппаратных ключей. В тоже время применение программных лицензий имеет свои особенности, которые способны вызвать немало затруднений, несмотря на то, что они довольно подробно описаны в руководстве администратора, которое \u0026quot;по традиции\u0026quot; никто не читает. Поэтому мы решили подготовить данный материал, включив в него как официальную информацию, так и собственные пояснения, и примеры.\nПрежде всего напомним, что программные лицензии никоим образом не меняют существующие правила лицензирования 1С:Предприятия и рекомендуем освежить свои знания, прочитав следующую статью: Лицензирование 1С Предприятие 8.\nОбщие сведения о программных лицензиях Программная лицензия представляет собой специальный файл, который в зашифрованном виде содержит параметры лицензии и компьютера, для которого эта лицензия была активирована. Дублирование данного файла не допускается, в этом случае лицензия аннулируется и заносится в \u0026quot;черный список\u0026quot; на сервере активации 1С.\nАктивация лицензии выполняется при помощи пин-кода, вместе с лицензией поставляются активные и резервные пин-коды, которые требуются для повторной активации лицензии при изменении ключевых параметров компьютера.\nЗдесь мы подошли к крайне важному моменту: привязке программных лицензий к конкретному ПК. Для этого используется понятие ключевых параметров, в которые входят:\nсетевое имя компьютера; модель материнской платы; объем оперативной памяти; тип и версия BIOS; список процессоров и их параметры; список сетевых адаптеров и их MAC-адреса; список жестких дисков и их параметры. На платформе Windows в число ключевых параметров также входят:\nнаименование операционной системы; версия операционной системы (только первые две цифры номера версии); серийный номер операционной системы; дата установки операционной системы; При этом из списка ключевых параметров исключаются:\nсетевые адаптеры Bluetooth; сетевые адаптеры, подключенные по IEEE 1394 или USB; программные адаптеры WAN и RAS; адаптеры, не имеющие MAC-адреса и данных VEN_ и DEV_ из PNP-идентификатора; внешние накопители, подключаемые по IEEE 1394 и USB. В дальнейшем список ключевых параметров, который хранится в зашифрованном виде в файле лицензии сравнивается с текущими параметрами компьютера, при этом анализируется только удаление, а не добавление устройств, это же касается и объема оперативной памяти.\nПроще говоря, вы можете добавить в систему еще один сетевой адаптер или жесткий диск, но не заменить текущие, а также не можете снизить объем оперативной памяти до значение меньшего, чем было на момент активации лицензии.\nИз этого следует простое правило: при активации программной лицензии временно отключите все жесткие диски, кроме системного, а также все дополнительные сетевые адаптеры (если установлены).\nОтдельно следует коснуться активации в виртуальных средах, при этом в качестве ключевых параметров лицензии берутся аналогичные значение виртуальной машины. Если вы используете динамическое выделение памяти, то на момент получения лицензии должны отключить эту возможность и загрузить систему с минимально возможным объемом выделенной памяти.\nНаибольшие сложности возникают при использовании виртуальных машин в составе кластера, в этом случае при перемещении машин между нодами могут измениться сразу несколько ключевых параметров, в частности параметры процессора и сетевой карты. Если последний вопрос легкое решается присвоением статического MAC-адреса, то изменение типа процессора при текущей модели лицензирования является серьезной проблемой.\nИз нашего опыта можем сказать следующее: успешная миграция виртуальной машины с сохранением активации лицензии 1С возможна только при использовании на всех доступных для миграции нодах однотипного железа, т.е. одинаковых моделей материнских плат (вплоть до версии BIOS) и одинаковых процессоров (с одинаковым степпингом).\nТакже обратите внимание на информацию о владельце лицензии, которую вы должны заполнить при первоначальной активации, при повторном получении лицензии вам потребуется ее повторить с точностью до символа! О чем, кстати, вас предупреждают, требуя установить соответствующую галочку. Вообще, складывается впечатление, что фирма 1С сильно переусложнила систему защиты программных лицензий, что приводит к существенным неудобствам и в ряде случаев вынуждает владельцев лицензии прибегать к способам обхода защиты (что негласно рекомендуют даже партнеры 1С), например, при использовании кластера с разным железом на нодах. Более логично было бы пойти по пути Microsoft и аннулировать активацию при изменении только нескольких ключевых параметров.\nВиды программных лицензий Все программные лицензии делятся на клиентские и серверные. Клиентские лицензии бывают трех типов:\nОднопользовательские - позволяют запускать неограниченное число приложений в режиме тонкого и толстого клиентов, а также Конфигуратора на одном ПК. Многопользовательские - позволяют запускать указанное в номинале лицензии количество приложений в режиме толстого, тонкого и веб-клиентов, а также конфигуратора на произвольном количестве ПК. Выдачей клиентам многопользовательских лицензий занимается сервер 1С:Предприятия или модуль расширения веб-сервера. Комбинированная - содержит лицензии обоих видов, но активирован при этом может быть только один, если из такого набора первым был активирован однопользовательский пин-код, то в дальнейшем использовать эту лицензию как многопользовательскую уже не получится. Серверная лицензия позволяет запускать неограниченное число рабочих процессов сервера 1С:Предприятия (rphost) на одном сервере, делится на 32-х и 64-х разрядную, при этом 64-х разрядная лицензия позволяет запускать и 32-разрядную версию сервера.\nОднопользовательская лицензия поставляется с основной поставкой или в виде лицензии на одно рабочее место. Может быть установлена на компьютер, сервер 1С:Предприятия, модуль расширения веб-сервера или сервер терминалов. В случае установки на сервер складывается с другими активированными на сервере лицензиями и используется, кроме сервера терминалов, как многопользовательская.\nМногопользовательские лицензии поставляются в комплектах на 50, 100, 300 и 500 лицензий и могут быть установлены только на сервер 1С:Предприятия, модуль расширения веб-сервера или сервер терминалов, в последнем случае используются как однопользовательские.\nКомплекты на 5, 10 и 20 пользователей являются комбинированными, тип лицензии выбирается в момент активации первого пин-кода.\nИспользование однопользовательских лицензий В большинстве случаев, особенно для небольших предприятий, использование однопользовательских лицензий является предпочтительным, потому как ограничением данного вида лицензии являются лицензируемые ПК, а не сеансы 1С. В файловом режиме это единственный доступный вид лицензии (кроме режима терминального сервера). Рассмотрим следующую схему: Клиент - серверный режим В данном режиме, как мы уже говорили, возможны два варианта: использование однопользовательской лицензии на каждом рабочем месте или получение многопользовательской лицензии от сервера 1С:Предприятия. Также не следует забывать, что отдельного лицензирования требует сам сервер. Если локальная лицензия не обнаружена, приложение обращается к серверу, который выдает ему многопользовательскую лицензию на каждое запущенное приложение. На нашей схеме на сервер установлена лицензия на 5 подключений и если на двух ПК откроют по два клиентских приложения, то пользователь ноутбука сможет открыть только одно, так как недостаточно клиентских лицензий.\nРежим веб-сервера Модуль расширения веб-сервера 1С:Предприятия может работать как с файловыми, так и с клиент-серверными базами. В первом случае лицензии должны быть активированы на компьютере с модулем расширения, во втором, если лицензия у модуля расширения отсутствует, то он запросит ее с сервера 1С:Предприятия. Важно понимать этот момент, так как для файловой базы модуль расширения никогда не запрашивает лицензию с сервера, в тоже время, для клиент-серверных баз сначала отдаются собственные лицензии и только потом запрашиваются лицензии с сервера. Это может привести к ситуации, когда общего числа лицензий хватает, но вы не можете запустить файловую базу из-за отсутствия свободной лицензии на веб-сервере. Допустим на первом (слева -направо) ПК было открыто два сеанса к клиент-серверной базе, один через приложение, второй через веб-клиент. В этом случае приложение получит лицензию от сервера, а веб-клиент от модуля расширения веб-сервера, причем модуль сначала выдаст собственную лицензию. Открыв на втором ПК еще два приложения, мы получим две лицензии от сервера, в общей сложности потратив 4 лицензии.\nЕсли после этого на третьем ПК мы запустим через веб-клиент клиент-серверную базу, то для нее модуль расширения получит лицензию на сервере, а вот запустить через веб-клиент файловую базу уже не получится, так как у модуля расширения нет свободных локальных лицензий, в тоже время оставшаяся свободной лицензия на сервере позволит запустить через веб-клиент еще одну серверную базу.\nЧтобы избежать такой ситуации не следует публиковать на одном веб-сервере файловые и клиент-серверные базы одновременно.\nЕще одна тонкость связана с модулем расширения веб-сервера и локальной однопользовательской лицензией. При подключении веб-клиента локально на компьютере с веб-сервером можно будет запустить только конфигуратор, запуск в режиме клиентского приложения для любых баз будет невозможен. Это следует учитывать в небольших организациях, где в качестве веб-сервера может быть использована одна из рабочих станций. С другой стороны, такое поведение облегчит жизнь разработчикам, так как позволяет использовать единственную лицензию как локально, так и для клиентских подключений.\nРежим терминального сервера Терминальный сервер допускает установку любого типа лицензий, все лицензии должны быть установлены локально и быть доступны всем пользователям. При этом все лицензии, вне зависимости от вида складываются как однопользовательские и ограничивают общее количество терминальных сеансов (не путать с сеансами приложений 1С). Как видно из схемы выше, установив на сервер терминалов одну многопользовательскую, на пять пользователей, и две однопользовательские лицензии получим возможность неограниченного запуска клиентских приложений 1С:Предприятия в семи терминальных сессиях, причем не важно, каким именно образом будут запущены приложения, в режиме рабочего стола или как удаленные приложения RemoteApp. При этом работа может производиться как с файловыми, так и с клиент-серверными базами, а также с базами на веб-сервере при помощи тонкого клиента.\nПри неправильной настройке терминального сервера может возникнуть ситуация, когда на каждое новое подключение пользователя создается новый терминальный сеанс, особенно это касается режима RemoteApp, поэтому в настройках сервера терминалов обязательно укажите опцию Ограничивать пользователя единственным сеансом. Сочетание программной и аппаратной защиты Еще один важный вопрос, который нельзя не упомянуть. 1С:Предприятие позволяет сочетать оба типа лицензий, складывая их количество, и для эффективного их использования следует знать некоторые моменты. А именно процесс поиска лицензии. Мы приведем упрощенную схему, которой, однако должно быть вполне достаточно для понимания происходящих процессов. При запуске клиентского приложения поиск лицензий происходит в следующем порядке:\nПри использовании локального или доступного по сети клиенту HASP-ключа полученная лицензия рассматривается как однопользовательская, т.е. позволяет запустить на ПК неограниченное количество клиентских приложений. При получении лицензии из HASP-ключей доступных серверу лицензии выдаются как многопользовательские, т.е. на каждый сеанс к информационной базе.\n","id":"7a50440be0410c03afefbbd30c3b9d95","link":"https://interface31.ru/post/osobennosti-primeneniya-programmnyh-licenziy-1spredpriyatie/","section":"post","tags":["1С Предприятие 8.х","HASP","Лицензирование"],"title":"Особенности применения программных лицензий 1С:Предприятие"},{"body":"Подключение торгового оборудования иной раз способно вызвать нешуточные трудности, особенно когда его поставщик сам плохо представляет процесс подключения. Традиционно проблемным оборудованием являются системы эквайринга, технические специалисты банка обычно плохо знакомы с товароучетными системами, а обслуживающие их специалисты, в свою очередь, мало знакомы с банковским оборудованием. В очередной раз столкнувшись с подобными сложностями мы решили обобщить свой опыт в данной статье.\nСистемы эквайринга отличаются от остального торгового оборудования более высокой сложностью. Если большинство устройств подразумевает преимущественно односторонний обмен данными с товароучетной системой, то в случае с эквайриногом мы должны полноценно взаимодействовать со сторонним программно-аппаратным комплексом, куда, кроме собственно пинпада, входит и система процессинга банка.\nРассмотрим схему взаимодействия подробнее. Перед этим также советуем освежить знания о том, как работает торговое оборудование, прочитав статью: Автоматизируем розницу. Часть 2 - Торговое оборудование. Приняв эти данные пинпад предлагает считать магнитную полосу карты или вставить ее чипом в ридер. Получив данные карты покупателя пинпад связывается с процессингом банка и передает их туда, вместе с суммой и прочей информацией о покупке. Процессинг, в зависимости от настроек и правил обслуживания карт, может запросить дополнительную авторизацию по пин-коду, после чего анализирует информацию на предмет возможности осуществления покупки по данной карте. В зависимости от результата пинпаду направляется положительный или отрицательный ответ.\nРезультат обработки данных процессингом пинпад передает назад товароучетной системе, которая или пробивает чек, или печатает слип с причиной отказа. В случае отсутствия связи с процессингом пинпад также выдает отказ.\nТакая схема работы коренным образом отличается от схемы работы остального торгового оборудования, большая часть которого способна работать как стандартный тип оборудования, а фирменные драйвера и обработки позволяют реализовать дополнительный функционал, или вообще работать как совместимая модель, с частичной потерей реализуемых возможностей. Несовпадение версий драйверов и обработок также, в большинстве случаев, выдаст только предупреждение. С эквайриногом малейшее несовпадение или несостыковка элементов между собой приводит к полной неработоспособности системы.\nПо популярности и распространенности система INPAS Smart Sale уступает, пожалуй, только Сбербанку, который, надо признать, является еще и самым беспроблемным в техническом плане. С INPAS все обстоит сложнее, сама компания разрабатывает только программно-аппаратный комплекс для реализации эквайринговых систем, а забота о конечных внедрениях ложится на плечи сотрудников техподдержки банков. Вот здесь и начинается самое интересное.\nВ этот раз нам предстояло подключить к кассовому узлу под управлением 1С:Розница 1.0 пинпад популярной модели Verifone Vx810 от банка Уралсиб. Собственно, подключение оборудования проблем не вызвало, пинпад подключается к кассовому узлу через интерфейсc RS-232 (COM-порт) или USB с программной эмуляцией RS-232, также следует подключить пинпад к локальной сети и настроить ему доступ в интернет.\nНа этом успехи закончились. Далее сотрудник банка попытался запустить некую самописную программу, которая якобы должна проанализировать программы и оборудование и выдать список необходимых к установке драйверов и компонентов. Но программа захотела установленный MS Excel и работать отказалась... В папке с ней мы нашли электронную таблицу, которая содержала таблицу соответствия товароучетного ПО и компонентов INPAS, та ее часть, что касалась 1С, способна была вызвать у любого 1С-ника дикий шок. При живом общении также выяснилось, что сотрудники банка откровенно путают версии конфигураций и выпуски платформы, а по поводу обработки обслуживания пояснили что-то невнятное, типа 1С это сама скачает со своего сайта и это бесплатно.\nВ общем стало понятно, что пора брать ситуацию в свои руки. Как показало вдумчивое изучение доступной документации - все не так сложно, как кажется. Разработчик предоставляет все необходимые инструменты, а то, как их используют на практике оставим на совести работников техподдержки банков.\nЧтобы скачать необходимые компоненты посетим сайт поддержки INPAS и перейдем в раздел Свободно распр. ПО, который ведет на FTP-сервер компании, где нас интересует директория 1. Integrirovannye kassovye resheniya. Здесь находим и скачиваем два компонента: Vneshnaa obrabotka dlya 1C.rar и DUALConnector 1.1.3.rar. Распаковав архив с Vneshnaa obrabotka dlya 1C.rar, установим компоненту Dual Connector 1C и прейдем в папку с установленной программой. Из содержимого нам интересны два файла: обработка обслуживания InpasDualConnector81_v1.epf, скопируйте ее в любое удобное место, и библиотека a_inpasDC1c83.dll, которую зарегистрируйте командой:\n1regsvr32 \u0026#34;C:\\Program Files\\Dual Connector 1C\\a_inpasDC1c83.dll\u0026#34; Обработку обслуживания необходимо сконвертировать, для этого запустите 1С в режиме конфигуратора и откройте обработку через меню Файл - Открыть, согласившись с предложением конвертации. Таким образом мы установим драйвер ТО и подготовим обработку обслуживания, т.е. выполним все необходимые действия для платформы 1С:Предприятие. Но не будем забывать, что эквайринг - сложный программно-аппаратный комплекс, а не просто очередной экземпляр торгового оборудования и для взаимодействия с ним нужны свои программные компоненты. Поэтому распаковываем второй скачанный архив DUALConnector 1.1.3.rar и устанавливаем Dual Connector, это непосредственно модуль для работы с комплексом INPAS Smart Sale, не следует путать его с установленным нами ранее пакетом Dual Connector 1C, который содержит только компоненты для интеграции с 1С. Также можно воспользоваться универсальным пакетом Connectors Install 1.1.3.rar, который обычно имеется у сотрудников поддержки банка, установив оттуда нужный нам компонент Dual Connector (не путать со Smart Connector, который могут рекомендовать сотрудники банка). Теперь запускаем 1С:Розница и переходим к Помощнику подключения и настройки торгового оборудования, где выбираем Эквайринговую систему. Следующим шагом выбираем Добавить новую обработку обслуживания. Указываем каталог, где находится сконвертированная обработка и нажимаем Получить список, ниже должна появиться Inpas Dual Connector: Эквайринговая система, выбираем ее и жмем Далее. На следующем экране подтверждаем добавление нового устройства и переходим к его настройкам: ИД терминала - идентификатор пинпада, следует посмотреть в его настройках или узнать у сотрудника банка. Порт - номер COM-порта к которому подключен пинпад. Скорость - оставляем по умолчанию 115 200. Код валюты - по умолчанию в обработке стоит старый код 810, новый код рубля - 643, что именно нужно поставить уточняем у сотрудника банка. Ширина слипа - ширина ленты фискального регистратора на котором будут печататься слипы. Оставшиеся две галочки устанавливаются по согласованию с сотрудником банка.\nЕсли все сделано правильно, то по нажатию кнопки OK, обработка свяжется с пинпадом, тот проверит связь и правильность настроек с процессингом банка и оборудование будет полностью готово к работе.\nНесмотря на то, что в нашем примере рассматривалась конфигурация 1С:Розница 1.0 данная инструкция с некоторыми уточнениями применима также к конфигурации 1С:Управление торговлей 10.3.\n","id":"3d07a6aad71da1ca434835931852fc74","link":"https://interface31.ru/post/nastroyka-ekvayringovyh-sistem-inpas-smart-sale-dlya-raboty-s-1sroznica-10/","section":"post","tags":["1С Предприятие 8.х","Автоматизация","Торговое оборудование","Эквайринг"],"title":"Настройка эквайринговых систем INPAS Smart Sale для работы в конфигурации 1С:Розница 1.0"},{"body":"В прошлых частях нашего цикла мы рассмотрели, как настроить Squid для аутентификации пользователей через ActiveDirectory, однако просто проверять подлинность пользователя в большинстве случаев недостаточно. Требуется гибко управлять доступом пользователей к сети интернет основываясь на их членстве в группах безопасности AD, такая схема позволит администраторам использовать привычную и понятную модель управления, в тоже время задействовав все возможности прокси-сервера Sqiud.\nПеред тем, как двигаться дальше, вспомним, чем отличается авторизация от аутентификации, тем более, что некоторые администраторы путают эти понятия. Аутентификация - проверка подлинности пользователя, которая позволяет убедиться, что он действительно тот, за кого себя выдает. Авторизация - проверка прав аутентифицированного пользователя на доступ к тому или иному объекту.\nДля авторизации на прокси-сервере мы будем использовать членство в группах Active Ditectory, при этом можно использовать как уже существующие, так и вновь созданные группы. Мы рекомендуем создать свой набор групп, чтобы избежать путаницы. Например, для разграничения пользователей по доступу к различным ресурсам можно создать группы (будут использоваться для примеров в дальнейшем):\nsquid-admin - администрация и IT-персонал, фильтрация не производится. squid-user - остальные пользователи, фильтрация по общему списку. squid-whitelist - ограниченная группа пользователей, доступ только к ресурсам из \u0026quot;белого\u0026quot; списка. А для ограничения скорости группы:\nsquid-speed-unlim - группа без ограничения скорости. squid-speed-2-10mb - ограничение скорости 2 Мбит/с на пользователя и 10 Мбит/с на группу При создании групп и распределении по ним пользователей следует продумать два вопроса: каким образом будут применяться правила при попадании пользователя сразу в несколько групп и что делать с пользователями, не входящими ни в одну группу.\nКак вы должны помнить, списки доступа обрабатываются последовательно, до первого совпадения, поэтому поведение сервера в случае попадания пользователя в несколько групп полностью зависит от того, как именно мы расположим списки. Расположив первыми наиболее ограниченные списки, мы будем обрабатывать пользователя по сценарию с наибольшими ограничениями, разместив их наоборот - получим наименее возможные ограничения. Ну а если списки будут расположены как попало, результат может оказаться самым неожиданным.\nТакже не следует забывать явно прописывать все возможные варианты и ситуации, в первую очередь это относится к пользователям, не входящим ни в одну группу. После того, как все правила написаны и расположены в соответствии с желаемой логикой, проверьте поведение системы с пользователем вне групп и, при необходимости скорректируйте поведение системы.\nНастройка Kerberos-авторизации на основе групп безопасности Active Directory Для выполнения ряда действий: аутентификации, авторизации, редиректа, логгирования и т.п. Squid использует специальные программы - хелперы. Это позволяет гибко наращивать функциональность программы без ее усложнения, нужно - подключили, нужно - изменили, не нужно - выключили. С полным списком хелперов Squid можно ознакомиться здесь: Squid helpers.\nНесмотря на то, что, начиная с версии Squid 3.2 (вышла в августе 2012 г.) доступен хелпер ext_kerberos_ldap_group_acl, позволяющий получать данные о членстве пользователя в доменных группах с использованием протокола Kerberos, подавляющее большинство инструкций в сети продолжают использовать хелпер ext_ldap_group_acl, который передает учетные данные по сети в открытом виде, в лучшем случае через SSL.\nМожно, конечно, завести для этих целей служебного пользователя с крайне ограниченными правами, но лучше не использовать устаревшие и небезопасные технологии вообще, если есть более современная и простая в применении альтернатива.\nНо не обошлось без ложки дегтя в бочке меда. В поставку Squid в Ubuntu Server 14.04 данный хелпер не входит. Попытка собрать его самостоятельно не увенчалась успехом, собранный нами хелпер радостно сообщал нам, что данный вид авторизации не поддерживается. Скачать Скачать ext_kerberos_ldap_group_acl (Sqiud 3.3.8 amd64)\nЕсли вы используете Debian, то следующие действия можете пропустить и сразу перейти к настройке хелпера.\nПерейдем в домашнюю директорию и скачаем хелпер с данного сайта:\n1cd~ 2wget \u0026#34;https://interface31.ru/tech_it/files/squid3.3.8/ext_kerberos_ldap_group_acl\u0026#34; После чего скопируем его в директорию с хелперами:\n1cp ext_kerberos_ldap_group_acl /usr/lib/squid3 и сделаем его исполняемым:\n1chmod +x /usr/lib/squid3/ext_kerberos_ldap_group_acl Теперь приступим к его настройке (отсюда инструкция для Debian и Ubuntu снова общая). Сначала установим необходимые для работы с AD библиотеки:\n1apt-get install libsasl2-modules-gssapi-mit После чего проверим хелпер запустив его отдельно:\n1/usr/lib/squid3/ext_kerberos_ldap_group_acl -a -d -i -g squid-user -D INTERFACE31.LAB Ключи -d и -i предназначены для отладки, -g указывает желаемую группу, членство в которой мы хотим проверить, -D обозначает область Kerberos в которой производим проверку. Запустив хелпер просто вводим имя пользователя и получаем результат проверки: OK - если пользователь входит в группу и ERR - если не входит. 1external_acl_type squid-admin ttl=300 negative_ttl=60 %LOGIN /usr/lib/squid3/ext_kerberos_ldap_group_acl -a -g squid-admin -D INTERFACE31.LAB 2external_acl_type squid-user ttl=300 negative_ttl=60 %LOGIN /usr/lib/squid3/ext_kerberos_ldap_group_acl -a -g squid-user -D INTERFACE31.LAB И так далее, пока не перечислим все необходимые нам группы. Чтобы избежать путаницы, мы дали внешним элементам ACL такие же имена, как и доменным группам, вы можете называть их на свое усмотрение.\nНиже зададим элементы ACL, соответствующие группам, названия также будут совпадать с именами групп в AD.\n1acl squid-admin external squid-admin 2acl squid-user external squid-user В секции списков доступа не забываем убрать список, который разрешал доступ всем аутентифицированным пользователям:\n1http_access allow auth Для проверки можете его заменить на:\n1http_access allow squid-admin 2http_access deny squid-user Сохраним и проверим конфиг:\n1squid3 -k check Перезапустим squid:\n1service squid3 restart Проверяем, пользователям, входящим в группу squid-admin доступ будет разрешен, а членам группы squid-user - запрещен.\nПример разграничения доступа к ресурсам сети на основе URL-фильтрации Чтобы не быть голословными рассмотрим несколько примеров, например, разграничим доступ к ресурсам на основе групп, как было указано в начале материала. Подробнее о настройке URL-фильтрации читайте в соответствующей статье. Допустим у нас есть несколько списков, которым соответствуют элементы ACL graylist - список нежелательных сайтов и whitelist - \u0026quot;белый\u0026quot; список для ограниченной группы.\nОдин из вариантов списков доступа может выглядеть так:\n1http_access allow squid-admin 2http_access deny graylist 3http_access allow squid-user 4http_access allow squid-whitelist whitelist 5http_access deny all Данный вариант реализует схему, когда при нахождении сразу в нескольких группах пользователю предоставляются максимальные привилегии. Если нужно сделать наоборот, то расположим списки следующим образом:\n1http_access allow squid-whitelist whitelist 2http_access deny squid-whitelist 3http_access deny squid-user graylist 4http_access allow squid-user 5http_access allow squid-admin 6http_access deny all Пользователям, не входящим ни в одну группу, доступ будет полностью запрещен. Некоторым читателям могут показаться избыточными правила вида http_access deny squid-whitelist, ведь все равно данный пользователь должен попасть под правило http_access deny all, однако вспомним, что в начале статьи мы обращали ваше внимание на то, что все случаи нужно прописывать явно, так как если этого списка не будет, то пользователь, входящий сразу в несколько групп получит доступ по одному из следующих списков, чего в данном варианте быть не должно.\nПример ограничения скорости Мы снова не будем останавливаться подробно на механизме ограничения скоростей, про это написано здесь. А перейдем к конкретной задаче. В начале статьи мы создали две группы, для пользователей без ограничения скорости и группу с ограничением в 2 Мбит/с на пользователя и 10 Мбит/с на группу, не вошедшие в группы пользователи должны ограничиваться на уровне 1 Мбит/с на пользователя, 5 Мбит/с на группу. Будем также считать, что названия ACL соответствуют названиям доменных групп.\nПерейдем в конфигурационном файле в раздел DELAY POOL PARAMETERS и создадим три пула четвертого класса.\n1delay_pools 3 2delay_class 1 4 # Unlim (100 Mbit) 3delay_class 2 4 # 2 Mbit user / 10 Mbit group 4delay_class 3 4 # 1 Mbit user / 5 Mbit group Так как пулы не имеют понятных наименований, только номера, советуем оставлять подробные комментарии, чтобы потом не прыгать по конфигурационному файлу, пытаясь понять, какой пул за что отвечает.\nНиже зададим списки доступа:\n1delay_access 1 allow squid-speed-unlim 2delay_access 1 deny all 3delay_access 2 allow squid-speed-2-10mb 4delay_access 2 deny all 5delay_acesss 3 allow all При членстве сразу в нескольких группах пользователь получит максимально доступную скорость, так как первыми указаны правила для более быстрого пула, чтобы сделать наоборот просто поставьте списки для пула 2 выше, чем списки для пула 1.\nНаконец зададим параметры пулов:\n1delay_parameters 1 -1/-1 -1/-1 -1/-1 12000000/12000000 2delay_parameters 2 -1/-1 -1/-1 -1/-1 250000/1250000 3delay_parameters 3 -1/-1 -1/-1 -1/-1 125000/625000 Напоминаем, что параметры скорости в пулах задаются в байтах, поэтому значение в битах/с необходимо разделить на 8, например, 2 Мбит/с = 250 КБ/с. Также в пулах четвертого класса не следует задавать последний параметр (скорость пользователя) в виде -1/-1, следует указать полную ширину канала или заведомо большее значение, в нашем случае задано значение 100 Мбит/с = 12 МБ/с.\nКак видим, ничего сложного в авторизации пользователей Squid на основе групп AD нет, в тоже время использование данного механизма дает в руки администратора мощный инструмент по контролю и управлению доступом к сети.\n","id":"c867dbda673b7cebee63a86d00551ed5","link":"https://interface31.ru/post/nastraivaem-squid-dlya-raboty-s-active-directory-chast-3-avtorizaciya-na-osnove-grupp-ad/","section":"post","tags":["Active Directory","Debian","Kerberos","Squid","Ubuntu Server","Безопасность","Сетевые технологии","Службы каталогов"],"title":"Настраиваем Squid для работы с Active Directory. Часть 3 - Авторизация на основе групп AD"},{"body":"Кнопку \u0026quot;Пуск\u0026quot; можно без преувеличения назвать одним из символов персонального компьютера, также сложно переоценить то влияние, которая она оказала на развитие пользовательских интерфейсов. Появившись в 1995 году, она, вместе с одноименным меню, надолго заняла свое место и решение Microsoft избавиться от нее в Windows 8 было воспринято весьма неоднозначно, что заставило компанию вернуть меню \u0026quot;Пуск\u0026quot; назад.\nЧто было раньше Многие пользователи, начавшие свое знакомство с компьютерами относительно недавно, могут считать, что кнопка Пуск и привычная концепция интерфейса были всегда, или почти всегда, а до этого была командная строка и DOS. Но это не так, различного рода оконные интерфейсы стали появляться довольно давно, а в конце 80-х стали уверенно занимать свою нишу, благо ресурсы ПК стали вполне позволять это.\nНаибольшую популярность в то время получила вышедшая в 1992 году Windows 3.1, которая предложила пользователям новый, полностью графический интерфейс, позволявший в полной мере раскрыть возможности современного для тех лет железа. Основным окном, открываемым при входе в систему, был Program Manager, который давал доступ к программам, утилитам и расположениям данных. Свернутые окна отображались как значки на \u0026quot;рабочем столе\u0026quot;, хотя рабочего стола в современном понимании еще не существовало, вы не могли расположить на нем свои файлы, папки или ярлыки. При закрытии Program Manager сеанс работы с Windows прекращался.\nВ UNIX системах промышленным стандартом на долгие годы стал CDE, работающий на схожих принципах, хотя и представлял, несомненно, более развитую оболочку. Общим недостатком оболочек тех лет было отсутствие единой точки доступа к установленным и работающим программам и данным. В тоже время это были полноценные графические оболочки, позволявшие удобно работать с окнами и многозадачностью.\nКлассическое меню Пуск К середине 90-х вычислительные мощности компьютеров сделали возможным работу с полноцветной графикой и мультимедиа, также начала делать первые шаги сеть Интернет. Это сделало компьютеры ближе к пользователю и привело к необходимости создания более простой и удобной оболочки.\nНовый интерфейс был представлен в Windows 95. Здесь впервые появился Рабочий стол, где пользователь мог размещать свои документы и ярлыки, панель задач, где отображались все запущенные приложения и конечно же кнопка Пуск, которая представляла единую точку доступа к программам, документам и настройкам системы. Это был значительный шаг вперед, система стала более удобной, цельной и интуитивно понятной. Практически любое действие в системе можно было сделать при помощи мыши, просто кликнув на значок или перетащив объект.\nМеню Пуск позволяло быстро перейти к программам, недавним документам или настройкам, не отвлекаясь от работы и не сворачивая основное окно программы. Единственно доступные настройки - это добавление или удаление элементов меню.\nУдобство нового интерфейса быстро оценили, и он появился в вышедшей в 1996 году NT 4, системе для сетей, серверов и корпоративных пользователей. Этот же интерфейс без существенных изменений перешел в Windows 98. Были добавлены панель быстрого запуска и более глубоко интегрированы в систему сетевые возможности. Также появилось сворачивание раздела Программы в меню Пуск, когда система прятала редко используемое ПО, облегчая доступ к часто используемым программам. Удобным новшеством стала возможность добавлять элементы меню перетаскиванием значков, а также изменять их положение аналогичным образом. Windows 2000, кроме косметического изменения интерфейса, принесла новые возможности по его тонкой настройке. В частности, теперь можно было сделать многие пункты меню раскрываемыми, что позволяло добираться к нужным пунктам, не открывая дополнительных окон, а также выбрать, какие именно пункты будут отображаться. Для меню Программы, которое могло иметь очень большое количество элементов, стало возможным использовать прокрутку, вместо вывода на экран сразу нескольких полос меню. Точно такие же изменения произошли и в интерфейсе Windows Me, которая, однако, была воспринята пользователями довольно прохладно. От \u0026quot;классики\u0026quot; к современности Несмотря на внешнее сходство с Windows 2000, под капотом Миллениума оставался все тот-же Windows 98, значительно устаревший к тому моменту, а Windows 2000 продолжал оставаться корпоративной и серверной системой, неудобной в домашнем использовании. Начавшаяся в то время \u0026quot;гонка за мегагерцы\u0026quot; сделала возможным все то, без чего современный ПК немыслим: трехмерные игры с реалистичной графикой, широкие мультимедийные возможности, причем пользователи могли теперь не только потреблять мультимедиа, но и сами производить его.\nНа этот же период пришлось широкое распространение интернета и сетей, сначала корпоративных, затем домовых. Компьютер перестал быть рабочим инструментом для решения узких задач и стал средством общения и развлечения для всей семьи. Это нашло отражение в новом интерфейсе новой операционной системы Windows XP. Сразу обращает на себя внимание новое двустворчатое меню Пуск, слева вверху отдельно закреплены ярлыки браузера и почтового клиента, показывающие, что интернет ныне не роскошь, а повседневный рабочий инструмент. Ниже расположен список часто используемых программ, теперь вам не надо каждый раз искать их в меню или загромождать ярлыками рабочий стол. Кроме того, список интерактивен, если ваши приоритеты в работе изменятся, то изменится и содержимое списка.\nСправа расположились привычные пункты классического меню, но впервые в их составе появился пункт Мой компьютер, который, как и многие остальные пункты, можно представить также в качестве меню, получив прямой доступ к дискам одним нажатием на кнопку Пуск. Оставшиеся программы скрыты в пункте Все программы, содержимое которого повторяет аналогичное классического меню. Для ретроградов осталась возможность использовать старое меню, которое практически без изменений перешло в новую систему из Windows 2000. Поначалу новый интерфейс и новое меню Пуск были восприняты неоднозначно, но система оказалась удачной и заложенные в ней решения постепенно стали классикой и оказали сильное влияние на развитие интерфейсов. Также Windows ХР стала самой долгоживущей системой, выпущенная в 2001, она практически безраздельно доминировала 8 лет, до выхода Windows 7 и практически принудительно была снята с поддержки в 2014, продолжая довольно широко использоваться.\nСледующая операционная система по праву заслужила титулы самого большого долгостроя и самого большого разочарования. Да, это именно то, о чем вы подумали - Windows Vista. Сегодня можно уверенно сказать - Vista оглушительно провалилась, здесь даже неуместно сравнение с Windows Me. Миллениум просто остался незамеченным между Windows 98 (1998 и 1999 - выпуск SE) и Windows XP (2001). Следующей системы пришлось ждать пять лет, в течении которых было много чего обещано и интерес к новинке был довольно высок.\nОднозначно сказать, что Vista - плохая система, нельзя, заложенные в ней технические решения легли в основу всей остальной линейки операционных систем и успешно используются по сей день. Однако заниженные системные требования и проблемы совместимости привели к резко негативному восприятию системы пользователями. На большинстве бюджетных и средней ценовой категории системах новая ОС вела себя как улитка, попавшая в студень, приводя к ее массовой замене на Windows XP.\nНо наш рассказ не об этом. Windows Vista получила обновленное меню и обновленную кнопку Пуск. Кнопка стала компактной и избавилась от надписи, за прошедшие с ее появления 11 лет она стала одним из символов ОС Windows и в пояснениях явно перестала нуждаться. Само меню практически полностью аналогично меню Windows XP, кроме одной действительно важной детали - строки поиска. Это новшество трудно переоценить, теперь вам не нужно прокручивать меню в поисках нужной программы, достаточно просто набрать несколько первых букв. Претерпело изменения и меню Все программы, теперь оно не выпадает отдельным списком, а открывается в левой части меню, позволяя не загромождать экран, подпункты теперь не выпадают как отдельные меню, а представляют собой папки, разворачивающиеся по вертикали. Таким образом меню Пуск полностью приобрело новый, современный вид, избавившись от последних элементов классического меню. Также Windows Vista стала последней системой, в которой доступно классическое меню, образца Windows 2000. Microsoft вынесла хороший урок из провала Vista, поэтому следующая версия ОС - Windows 7 быстро завоевала популярность сравнимую с успехом Windows XP. Новый выпуск принес много улучшений и в меню Пуск, сделав его еще более удобным. Логическое завершение получила идея с закреплением пунктов в левом столбце меню, теперь закрепить можно любые значки и в любом количестве. Второй отличной идеей стали списки переходов, выглядящие как стрелки рядом с названием программы, если подвести к такому пункту курсор мыши и задержать его, то в правой части меню появится список последних открытых документов, посещенных сайтов и т.п. При необходимости элементы этого списка также можно закреплять. В остальном меню продолжает использовать заложенные в Windows XP и Vista идеи, превратившись из нескольких выпадающих списков Windows 95 в мощный и удобный инструмент доступа к программам и данным. Также Windows 7 стала первой системой, в которой классическое меню Пуск более недоступно.\nПуск не нужен! Или все-таки нужен? Казалось бы, созданное в Windows 7 меню Пуск достигло определенной степени совершенства, позволяя быстро переходить к расположениям данных, программам и документам, а также осуществлять поиск. Самое время закрепить успех... Но новые вызовы, с которыми столкнулась Microsoft, поставили все с ног на голову. Проспав становление мобильного рынка, корпорация бросилась догонять и перегонять, чуть ли не объявив закат эры ПК и рабочего стола, в пользу портативных мобильных устройств.\nПоэтому Windows 8 получил новый, ориентированный на жесты, интерфейс в котором не нашлось места ни меню Пуск, ни одноименной кнопке. На смену им пришел стартовый экран и волшебные углы, которые практически сразу вызвали острые приступы ярости у всех, кто работал с новой ОС в окне виртуальной машины или по удаленному доступу, попасть мышкой точно в угол окна - еще то развлечение.\nНовый стартовый экран сразу обозначил приоритеты мобильных устройств над классическими. На планшете это выглядит хорошо и уместно, но не на мониторе с диагональю 24-27 дюймов. А список программ, если их довольно много, сразу норовит превратиться в разноцветную свалку, да еще и с непривычной на ПК горизонтальной прокруткой: Данные инициативы были встречены, мягко говоря, с непониманием, а на рынке сразу появилась масса утилит, возвращающих назад и кнопку, и меню, а также убирающих с глаз долой все мобильно-планшетные недоразумения. Для примера ниже показана работа утилиты Start8, возвращающей в Windows 8 привычный интерфейс. К выходу Windows 8.1 компания немного одумалась и вернула кнопку Пуск на место, правда вместо меню продолжила использовать стартовый экран, сделав возможным пропускать его при запуске и грузиться сразу на рабочий стол.\nТак и не сумев закрепиться на мобильном рынке Microsoft начала пересматривать свои планы, что вылилось в возвращение меню Пуск уже в первых публичных сборках Windows 10, новое меню в этих выпусках представляло некий гибрид стартового экрана и современного меню: правую часть отдали под живые плитки, а в левую, к программам, переместились расположения данных (компьютер, документы, сеть). В последующих выпусках общая тенденция сохранилась, однако само меню подверглось существенной доработке, так в сборке 10064 расположения превратились в обычные ссылки, а освободившееся пространство было возвращено списку часто используемых программ, ниже которого появился список недавно добавленных. Также меню значительно изменилось внешне, перестав напоминать отрезанный кусок стартового экрана, прилепленный к кнопке Пуск. Следующие изменения произошли в сборке 10130, исчезли яркие тона, уступив место приглушенным оттенкам, а в левой части пропали все ссылки на расположения данных и настройки, быстрый доступ к которым был одним из преимуществ современного меню. Но тестовые сборки потому и являются тестовыми, что предназначены для обкатки новых идей, поэтому уже в сборке 10166 расположения снова вернулись в меню, а оно само приобрело законченный вид, в котором перешло в сборку 10240 и, скорее всего, попадет в релиз.\nРасположения сократились до меню Проводник и ссылки Параметры, которые перекочевали в нижнюю часть меню к кнопке завершения работы и списку всех приложений. Меню Проводник является настраиваемым, вы можете закрепить в нем любые расположения, достаточно перетащить папку на панель задач и выбрать Закрепить в Проводник (орфография сохранена). Еще одно спорное новшество: подменю и списки переходов теперь не разворачиваются при наведении мыши, только по клику. Скорее всего это сделано в угоду мобильным пользователям, чтобы избежать ложных срабатываний при кратких касаниях. В части лаконичности настроек новое меню способно дать фору Windows 95 - их просто нет. Во всяком случае вызвав Свойства панели задач и меню \u0026quot;Пуск\u0026quot; мы не смогли найти ни одной настройки этого самого меню.\nСписок программ внешне повторяет аналогичный экран Windows 8 с сортировкой по алфавиту, хоть это и не всегда удобно. Так браузер Vivaldi логично спрятался в одноименную папку, а приложения нового Office равномерно размазало по всему меню, поместив при этом дополнительные инструменты в отдельную папку в другом месте. Если с привычными приложениями это не доставляет неудобств, то с новыми способно вызвать нешуточные затруднения в поиске всех компонентов только что установленного пакета. Поиск теперь интегрирован с голосовым помощником Cortana и может быть представлен строкой поиска или кнопкой в панели задач (см. скриншоты выше), или быть убран оттуда, если вы придерживаетесь минималистичных взглядов. Тем не менее, достаточно открыть меню Пуск и начать набирать первые буквы искомого приложения. В целом новое меню вызывает противоречивые ощущения. С одной стороны, возвращение привычного элемента интерфейса можно только приветствовать, как и его развитие. С другой, несмотря на скорый релиз, меню содержит очень много недоработок. Взять хотя бы полное отсутствие настроек или живые плитки, в которых живого только слово в названии, логично было бы ожидать, что плитка погоды, занимая двойной размер, будет хотя бы показывать текущую погоду, как это было в Windows 8.\nОднако, если мы все правильно поняли Microsoft, с выходом релиза Windows 10 система не замораживается на какой-то отметке, а продолжает развиваться, поэтому, как говориться, будем посмотреть. Во всяком случае новое меню Пуск выглядит интересно и имеет большие перспективы.\nИ не только Windows Как мы уже говорили, меню Пуск оказало значительное влияние на развитие пользовательских интерфейсов. Аналогичное построение рабочего пространства мы можем обнаружить в самых различных системах, например,QNX (коммерческая ОС реального времени). Разработчики не стали мудрить и просто назвали свой вариант меню Запуск (Launch). Сильное влияние идей Microsoft прослеживается в популярной оконной среде KDE: Причем нельзя сказать, что разработчики KDE просто скопировали Пуск из Windows, перед нами вполне самостоятельная рабочая среда, но источник идей разработчиков лежит на поверхности, последние версии KDE только подтверждают это предположение. Определенное влияние идей Microsoft прослеживается и в первых выпусках другой популярной открытой среды Gnome. В дальнейшем Gnome сильно подвергся влиянию идей MacOS, в итоге представив пользователям творческую переработку лучших решений обоих систем, получилось настолько удачно, что Gnome2 жив до сих пор, продолжая развиваться в форке Mate. Также идеи меню Пуск просматриваются в XFCE, как общая точка доступа к программам и расположениям. А LXDE полностью поставило себе целью скопировать привычную пользователям Windows среду. Даже новая оконная среда Unity во многом повторяет идеи Windows 7. Однако мы не склонны к бесконечным спорам, кто и что у кого позаимствовал, а считаем, что здоровая конкуренция и альтернативная реализация идей идут только на пользу всем нам - пользователям программных продуктов и уверены, что кнопка и меню Пуск, отпраздновав в этом году 20-летний юбилей, продолжат задавать тон в пользовательских интерфейсах.\n","id":"4eb669a88e7410b7d7f71f050d257c44","link":"https://interface31.ru/post/istoriya-knopki-pusk/","section":"post","tags":["Microsoft","Рабочее место"],"title":"История кнопки и меню \"Пуск\""},{"body":"DHCP-сервера являются одними из ключевых элементов сетевой инфраструктуры, однако, в отличии от DNS-серверов или контроллеров домена, в Windows Server отсутствовали штатные механизмы обеспечения высокой доступности. Начиная с Windows Server 2012 появилась возможность создания отказоустойчивых конфигураций DHCP, о чем мы сегодня и расскажем.\nПеред тем, как приступать к рассказу о новых возможностях DHCP-сервера сделаем краткий экскурс в историю. До выхода Windows Server 2012 задача обеспечения высокой доступности решалась путем разделения области DHCP на две части, каждую из которых обслуживал свой сервер. Но такой подход имел множество неудобств, начиная от того, что все настройки нужно было дублировать между серверами и заканчивая тем, что в случае отказа все равно потребуется ручное вмешательство, особенно если оставшаяся часть области меньше, чем количество обслуживаемых ПК.\nВ Windows Server 2012 появилась возможность объединить два DHCP-сервера в конфигурацию высокой доступности, которая может работать в двух режимах: балансировки нагрузки или горячей замены.\nРежим балансировки нагрузки является предпочтительным, в этом случае оба сервера одновременно обслуживают одну и ту же область, реплицируя данные между собой. Запросы клиентов делятся между серверами в заданной пропорции, по умолчанию 50/50. В случае отказа одного из серверов обслуживание продолжает оставшийся сервер. Схема работы предельно проста и аналогична работе других сетевых сервисов, таких как DNS или AD - клиентские запросы обслуживаются до тех пор, пока в сети есть хоть один сервер, способный обработать запрос. Однако есть ограничение: два сервера на область DHCP. Следует помнить и понимать, высокая доступность DHCP реализуется не на базе серверов, а на базе областей. Если один сервер содержит несколько областей, то он, соответственно, может входить в несколько конфигураций высокой доступности.\nРежим горячей замены предусматривает наличие второго сервера, который реплицируется с основным в режиме реального времени, но не обслуживает запросу клиентов до тех пор, пока основной сервер является активным. Свою работу сервер горячей замены начинает только при отказе основного сервера и прекращает с его возвращением в строй.\nТакая схема может быть удобна для распределенных сетей и филиалов, когда резервный сервер располагается в другой части сети, связь с которой ограничена медленным каналом. На схеме ниже показана структура, где два сервера основной сети (область 192.168.31.0) работают в режиме балансировки нагрузки, в тоже время один из этих серверов является сервером горячей замены для филиала (область 192.168.44.0). В штатном режиме все запросы сети филиала будет обслуживать сервер филиала, а в случае его отказа - сервер основного офиса. Это позволяет поддерживать высокую доступность DHCP в сети филиала без затрат на дополнительное оборудование.\nКак видим, возможностей вполне достаточно для реализации самых разных схем и сценариев. Перейдем от теории к практике.\nНа двух серверах сети, в нашем случае это контроллеры домена SRV-DC01 и SRV-DC02, добавим роль DHCP-сервера, который обязательно авторизуем в Active Directory. На одном из серверов добавляем и настраиваем область DHCP. Затем щелкнув правой кнопкой мыши на нужную область, в выпадающем меню, выбираем Настройка обработки отказа. Откроется мастер, который будет содержать указанную вами область, на первом экране ничего менять не надо, поэтом сразу жмем Далее. Следующим шагом будет предложено выбрать сервер-партнер. В этом качестве может выступать любой доступный DHCP-сервер на базе Windows Server 2012. В доменной сети вам будет доступен список авторизованных серверов, в рабочей группе выберите сервер воспользовавшись кнопкой Обзор. Остается выбрать режим работы, при необходимости откорректировать некоторые параметры и задать общий секрет, ключевую фразу для создания ключа шифрования, к ней предъявляются такие же требования, как и к паролям. Разберем доступные опции:\nМаксимальное время упреждения для клиента - время на которое сервер-партнер продлевает аренду адресов клиентам второго сервера, если связь с ним потеряна. Процент распределения нагрузки - все понятно из названия, задает пропорцию распределения запросов между серверами. Интервал переключения состояния - время, после потери связи с партнером, когда сервер перейдет из состояния \u0026quot;связь потеряна\u0026quot; в состояние \u0026quot;партнер отключен\u0026quot; Проверять подлинность сообщений - между серверами устанавливается защищенный канал связи с использованием парольной фразы. В режиме горячей замены набор опций несколько иной: Роль сервера-партнера - позволяет выбрать роли серверов, по умолчанию активным становится сервер, на котором настраивается обработка отказа, партнер переводится в ждущий режим. Адреса, выделенные для резервного сервера - часть диапазона, выделяемая резервному серверу для обслуживания новых клиентов в режиме \u0026quot;связь потеряна\u0026quot;. Указав все необходимые настройки жмем Далее и завершаем работу мастера. На этом настройка высокодоступного DHCP-сервера закончена и самое время разобраться как это работает.\nВажно! Важно! В настоящее время между серверами реплицируется только информация о выданных IP-адресах, при изменении настроек области, в том числе при резервировании адресов, изменения следует синхронизировать вручную.\nНачнем с режима балансировки нагрузки. В этом случае область делится между серверами в указанной пропорции и все запросы равномерно распределяются между ними. При потере связи с сервером-партнером оставшийся сервер переходит в режим \u0026quot;связь потеряна\u0026quot;, в это время он продлевает аренду существующим клиентам партнера на время, указанное во времени упреждения, а новым клиентам выдает адреса из своей части диапазона.\nЕсли по истечении времени интервала переключения сервер партнер не вернется в строй, то оставшийся сервер перейдет в состояние \u0026quot;партнер отключен\u0026quot; и начнет самостоятельно выдавать адреса из всего диапазона. При этом обратившиеся за продлением аренды клиенты партнера вместо продления получат новый адрес. После того как партнер вернется в строй клиенты будут автоматически распределены между ними в заданной пропорции (но это не приведет к изменению адресов, просто переданные назад партнеру клиенты по истечении аренды получат новый адрес уже у него).\nВ режиме горячей замены сервер-партнер в режиме \u0026quot;связь потеряна\u0026quot;, также продолжает продлевать аренду и выдает адреса новым клиентам из своего диапазона. При переходе в режим \u0026quot;партнер отключен\u0026quot; начинает обслуживать весь диапазон полностью и выдавать адреса всем клиентам. После того, как сервер-партнер вернется в строй, сервер горячей замены снова перейдет в ждущий режим и клиенты, по истечении времени аренды, получат адреса у основного сервера.\n","id":"b28ea7b37af88a0802ab833387344345","link":"https://interface31.ru/post/nastraivaem-vysokodostupnyy-dhcp-server-v-windows-server-2012/","section":"post","tags":["Active Directory","DHCP","High availability","Windows Server","Windows Server 2012"],"title":"Настраиваем высокодоступный DHCP-сервер в Windows Server 2012"},{"body":"Продолжаем цикл статей об интеграции прокси-сервера Squid и Active Directory. Одним из наиболее важных вопросов является прозрачная аутентификация пользователей домена на прокси-сервере. В этой части мы расскажем, как настроить аутентификацию по протоколу Kerberos, которая позволит использовать единую точку входа, когда пользователь вводит логин и пароль один раз - при входе в систему.\nВ прошлой части мы уже касались данного вопроса, но повторимся: мы не видим никакого практического смысла использовать для работы с Active Directory отличные от Kerberos способы аутентификации. Все современные системы поддерживают Kerberos, а снижать безопасность системы ради потенциальной совместимости с абстрактными системами, которые могут не поддерживать Kerberos, явно не следует.\nПодготовка Active Directory Перед тем, как настраивать поддержку Kerberos-аутентификации на роутере, необходимо выполнить ряд подготовительных действий в Active Directory. Прежде всего заведем служебного пользователя, в нашем случае squid3. Запрещаем смену пароля пользователем и не ограничиваем срок его действия, последнее очень важно, так как в противном случае вам придется через некоторое время не только сменить пароль служебного пользователя, но и заново выполнить все подготовительные действия. 1ktpass -princ HTTP/srv-gw01.interface31.lab@INTERFACE31.LAB -mapuser squid3 -pass Pa$$word123 -ptype KRB5_NT_PRINCIPAL -out C:\\123\\squid3.keytab На первый взгляд команда довольно сложная. Разберем ее подробнее, ключ -princ обозначает Kerberos-принципала и содержит FQDN имя роутера и область Kerberos, которая совпадает с именем домена, но записывается в верхнем регистре, -mapuser и -pass имя пользователя и пароль соответственно, -ptype - тип принципала и -out - имя и расположение keytab-файла.\nВажно! Важно! Для нормальной работы Kerberos на роутере его имя хоста, в нашем случае srv-gw01, не должно превышать 8 символов.\nЕсли все сделано правильно, то команда должна отработать без ошибок. Затем следует передать сгенерированный keytab-файл на роутер любым доступным образом, например, через WinSCP в домашнюю директорию пользователя. Настройка поддержки Kerberos в Ubuntu Server / Debian После того, как мы передали keytab-файл на роутер, его следует разместить в надежном месте и ограничить доступ. Понятно, что домашняя директория пользователя не самое лучшее для этого место. Так как работать с ним будет squid, то логично будет расположить keytab-файл в папке с настройками прокси-сервера.\n1mv ~/squid3.keytab /etc/squid3 Затем изменим владельца и установим ограниченные права на файл:\n1chown proxy:proxy /etc/squid3/squid3.keytab 2chmod 640 /etc/squid3/squid3.keytab Для поддержки Kerberos установим пакет krb5-user:\n1apt-get install krb5-user При установке следует указать область Kerberos по умолчанию, введите имя вашего домена в верхнем регистре: Теперь откроем файл /etc/krb5.conf, он содержит очень много ненужных параметров, поэтому удаляем или комментируем все лишнее, у вас должно остаться только то, что будет приведено ниже.\nПервой идет секция libdefaults, которая содержит параметры по умолчанию, а именно область Kerberos (опция создается автоматически) и keytab-файл:\n1[libdefaults] 2 default_realm = INTERFACE31.LAB 3 default_keytab_name = /etc/squid3/squid3.keytab Следующая секция realms описывает области Kerberos, у нас она одна - INTERFACE31.LAB\n1[realms] 2 INTERFACE31.LAB = { 3 kdc = srv-dc01.interface31.lab 4 kdc = srv-dc02.interface31.lab 5 admin_server = srv-dc01.interface31.lab 6 default_domain = interface31.lab 7 } Здесь все понятно, единственного пояснения требует опция admin_server, в ее качестве указываем контроллер домена, исполняющий FSMO-роль PDC.\nПоследняя секция сопоставляет домены с областями Kerberos:\n1[domain_realm] 2 .interface31.lab = INTERFACE31.LAB 3 intreface31.lab = INTERFACE31.LAB Сохраняем файл. Теперь проверим работу Kerberos, для этого выполним команду:\n1kinit -kV -p HTTP/srv-gw01.interface31.lab Если все сделано правильно, вы должны получить сообщение об успешной аутентификации. Удалим полученный билет командой:\n1kdestroy Настройка Kerberos-аутентификации в Squid Прежде всего следует \u0026quot;научить\u0026quot; squid работать с keytab-файлом, для этого создадим специальный файл настроек:\n1touch /etc/default/squid3 И внесем в него следующие строки:\n1KRB5_KTNAME=/etc/squid3/squid3.keytab 2export KRB5_KTNAME Откроем конфигурационный файл /etc/squid3/squid.conf, найдем три строки, начинающиеся с auth_param negotiate, раскомментируем и приведем их к следующему виду:\n1auth_param negotiate program /usr/lib/squid3/negotiate_kerberos_auth -d -s HTTP/srv-gw01.interface31.lab 2auth_param negotiate children 20 startup=0 idle=1 3auth_param negotiate keep_alive off Ключ -d в первой строке указан для отладки, убедившись, что все работает как надо его следует убрать, чтобы избежать чрезмерного раздувания логов.\nВ секцию с элементами ACL добавим:\n1acl auth proxy_auth REQUIRED Данный элемент будет соответствовать всем пользователям, успешно прошедшим Kerberos-аутентификацию. Ниже, в секции со списками доступа, строку\n1http_access allow localnet меняем на:\n1http_access allow auth сохраняем изменения, перезагружаем сервер.\nНа любом ПК войдем в систему под доменным пользователем и откроем любую страницу в браузере (не забываем, что прокси указываем не по IP-адресу, а по FQDN-имени), все должно работать. Теперь зайдем на том же ПК локальным пользователем, вместо доступа к сети увидим приглашение ввести логин и пароль: Также заглянем в /var/log/squid3/cache.log, сюда squid пишет отладочную информацию, в самом конце строки можно увидеть, кто именно прошел аутентификацию и получил доступ. Убедившись, что все работает как надо, выключаем сбор отладочной информации, убрав ключ -d из строки в /etc/squid3/squid.conf.\n1auth_param negotiate program /usr/lib/squid3/negotiate_kerberos_auth -s HTTP/srv-gw01.interface31.lab Как видим, настроить Kerberos-аутентификацию достаточно просто. В следующих материалах мы разберем, как обеспечить автоматическое распространение настроек прокси и авторизацию на основе доменных групп безопасности.\n","id":"6c174800981f757888aa0ea63e0346c3","link":"https://interface31.ru/post/nastraivaem-squid-dlya-raboty-s-active-directory-chast-2-kerberos-autentifikaciya/","section":"post","tags":["Active Directory","Kerberos","Squid","Ubuntu Server","Безопасность","Сетевые технологии","Службы каталогов"],"title":"Настраиваем Squid для работы с Active Directory. Часть 2 - Kerberos-аутентификация"},{"body":"Материалы о построении роутера на базе Squid - одни из самых популярных на нашем сайте. Такое решение позволяет с минимальными затратами (прежде всего на программную часть) организовать и упорядочить доступ к сети интернет на предприятии. Но рассматриваемые нами варианты предназначались преимущественно для работы в составе рабочей группы. Отсутствие интеграции с Active Directory резко снижало удобство применения такого роутера в доменных сетях, поэтому мы решили исправить это упущение.\nВ процессе подготовки данного материала мы не планировали отдельно останавливаться на подготовке сервера, намереваясь использовать для этого уже существующий материал: Ubuntu Server. Настраиваем роутер NAT + DHCP + Squid3. Однако, когда количество уточнений и отличий стало превышать разумные пределы, мы решили посвятить этому вопросу отдельную статью. В тоже время мы предполагаем, что читатель знаком с вышеуказанным материалом и поэтому не будем объяснять подробно многие используемые нами настройки и не будем останавливаться на второстепенных деталях.\nОсобенности интеграции с Active Directory В чем смысл интеграции прокси-сервера Squid в Active Directory? Скажем сразу, что если ваша основная цель - просто раздать интернет всем и без ограничений, ну разве что закрыв социальные сети, то дальше можно не читать, уже описанная нами конфигурация полностью удовлетворит ваши потребности. Основное преимущество интеграции роутера в Active Directory - это использование единой точки аутентификации и управление доступом к сети интернет на базе уже существующих в домене учетных записей и групп безопасности.\nОтсюда следуют некоторые особенности. Так прозрачный режим не поддерживает аутентификацию и от него придется отказаться, указывая настройки прокси непосредственно в настройках браузера. Этот процесс несложно автоматизировать при помощи DHCP-сервера и протокола WPAD.\nВ качестве DNS-серверов, в том числе и на роутере, должны обязательно указываться только доменные DNS, по умолчанию DNS-сервером является каждый контроллер домена. По этой причине роутер не должен иметь роли DNS-сервера. Также, для обеспечения интеграции с AD, роль DHCP-сервера также следует передать Windows Server, обычно на один или несколько контроллеров домена.\nТеперь подходим к тому, ради чего все это затевалось. Аутентификация по доменным учетным записям позволяет использовать единую точку входа (SSO, Single Sign-On), когда пользователь вводит логин и пароль один раз - при входе в систему. Это достигается применением протокола Kerberos, который является способом аутентификации в AD по умолчанию. В отличии от авторов иных руководств, мы не видим смысла настраивать NTLM или Basic-аутентификацию, в первую очередь по соображениям безопасности. Тем более Kerberos поддерживают все современные операционные системы.\nСледующим шагом является авторизация на основе существующих групп безопасности, это особенно актуально при переходе с Forefront TMG или ISA Server. Это позволяет один раз настроив Linux-сервер дальнейшее управление доступом осуществлять привычным способом - через группы Active Directory, что позволяет снизить порог вхождения для администраторов.\nТак как Active Directory имеет более сложную структуру и большее количество \u0026quot;действующих лиц\u0026quot;, то чтобы вы не запутались в используемых нами адресах и именах хостов мы подготовили небольшую схему: В наших примерах будет использоваться домен Active Directory с FQDN именем interface31.lab, за который отвечают два контроллера домена SRV-DC01 и SRV-DC02 с адресами 192.168.31.101 и 102 соответственно. Оба контроллера реализованы на базе Windows Server 2012 R2.\nРоутер выполнен на базе Ubuntu Server 14.04 (Debian 7/8) и имеет имя SRV-GW01 с адресом 192.168.31.100. Также в сети имеется группа серверов со статическими адресами 192.168.31.103-105 и клиентские ПК, адреса которым выдаются DHCP сервером из диапазона 192.168.31.111-199.\nНастройка сети Сеть настраивается традиционным образом, посредством правки конфигурационного файла /etc/network/interfaces. Примем что внешней сети соответствует интерфейс eth0, а внутренней eth1. В результате настройки у нас должно получиться примерно следующее:\n1auto lo 2 iface lo inet loopback 3 4auto eth0 5 iface eth0 inet static 6 address 172.18.0.106 7 netmask 255.255.240.0 8 gateway 172.18.0.1 9 dns-search interface31.lab 10 dns-nameservers 192.168.31.101 192.168.31.102 11 12auto eth1 13 iface eth1 inet static 14 address 192.168.31.100 15 netmask 255.255.255.0 16 17post-up /etc/nat Обратите внимание, что несмотря на то, что в настройках внешнего интерфейса использован внешний адрес и шлюз, адреса DNS-серверов указаны внутренние. Также указана опция dns-search, которая определяет домен для разрешения не FQDN-имен. Это означает, что к каждому короткому имени будет автоматически добавлен указанный домен, например, srv-dc01 будет дополнено до srv-dc01.interface31.lab.\nЕсли вас смущает указание внутренних DNS в настройках внешней сетевой карты, то можете перенести эти строки в секцию eth1, на работу сервера это не повлияет.\nDNS-сервера провайдера или публичные DNS следует указать в разделе Серверы пересылки внутреннего DNS-сервера на любом из контроллеров домена.\nЕсли вы получаете сетевые настройки от провайдера по DHCP, то для использования внутренних серверов имен, вместо DNS провайдера секция eth0 должна иметь вид:\n1auto eth0 2 iface eth0 inet dhcp 3 dns-search interface31.lab 4 dns-nameservers 192.168.31.101 192.168.31.102 Таким образом явно указанные настройки перекроют полученные автоматом от провайдера.\nСохраняем содержимое файла, перезагружаемся. Проверяем наличие интернета на сервере и разрешение имен. Например, выполните команду:\n1nslookup srv-dc02 Ответить вам должен первый указанный доменный сервер имен, в нашем случае 192.168.33.101 и выдать полное FQDN-имя хоста и его IP-адрес. 1nslookup ya.ru Вы также должны получить ответ от внутреннего сервера. На этом настройку сети можно считать законченной.\nНастройка NAT и брандмауэра Базовая настройка брандмауэра принципиально ничем не отличается от варианта роутера для рабочей группы, за одним исключением. Так как наш прокси является непрозрачным, то существует возможность выхода напрямую через NAT, если по какой-то причине браузер не будет настроен на работу с прокси-сервером. Поэтому ограничим доступ по HTTP (порт 80) для всех клиентов локальной сети, за исключением серверов и отдельных хостов, которым может потребоваться прямой доступ.\nМы считаем, что прокси-сервер нужен в первую очередь для контроля пользователей, поэтому заворачивать на него сервера и служебные хосты, которые не предоставляют доступ к интернет пользователям, не видим никакого смысла.\nСоздадим и откроем файл /etc/nat\n1touch /etc/nat внесем в него следующее содержимое:\n1#!/bin/sh 2 3# Включаем форвардинг пакетов 4echo 1 \u0026gt; /proc/sys/net/ipv4/ip_forward 5 6# Сбрасываем настройки брандмауэра 7iptables -F 8iptables -X 9iptables -t nat -F 10iptables -t nat -X 11 12# Разрешаем доступ из локальной сети 13iptables -A INPUT -i eth1 -j ACCEPT 14 15# Разрешаем инициированные нами подключения извне 16iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT 17 18# Разрешаем подключения по SSH 19iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT 20 21#Запрещаем входящие извне 22iptables -A INPUT -i eth0 -j DROP 23 24# Разрешаем инициированные нами транзитные подключения извне 25iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT 26 27#Разрешаем HTTP серверам 28iptables -A FORWARD -i eth1 -s 192.168.31.101 -p tcp --dport 80 -j ACCEPT 29... 30iptables -A FORWARD -i eth1 -s 192.168.31.105 -p tcp --dport 80 -j ACCEPT 31 32#Запрещаем HTTP 33iptables -A FORWARD -i eth1 -p tcp --dport 80 -j DROP 34 35# Запрещаем транзитный трафик извне 36iptables -A FORWARD -i eth0 -o eth1 -j DROP 37 38# Включаем NAT 39iptables -t nat -A POSTROUTING -o eth0 -s 192.168.31.0/24 -j MASQUERADE Секция #Разрешаем HTTP серверам подразумевает набор идентичных правил для каждого хоста, которому мы разрешаем выход в интернет в обход прокси. В нашем случае это адреса от 192.168.31.101 до 192.168.31.105, чтобы не загромождать пример мы написали первый и последний, разделив их многоточием (которого в реальном конфиге быть не должно).\nСохраним файл и дадим ему права на исполнение:\n1chmod +x /etc/nat Перезагрузимся:\n1reboot После чего можно проверить интернет на клиентах, на тех, которые входят в список исключений - он будет, на остальных нет. Другие протоколы: почта (SMTP, POP3, IMAP), FTP, HTTPS и т.п. должны работать на всех клиентах.\nНастройка синхронизации времени Для успешной работы с доменом Active Directory и прохождения Kerberos-аутентификации важно чтобы часы роутера были синхронизированы с часами контроллера домена.\nУстановим NTP-клиент:\n1apt-get install ntp Затем откроем файл конфигурации /etc/ntp.conf и закомментируем все строки, начинающиеся на server. После чего добавим две свои записи:\n1server srv-dc01.interface31.lab 2server srv-dc02.interface31.lab Как вы уже, наверное, догадались, мы закомментировали записи сторонних серверов времени и добавили в этом качестве контроллеры домена. 1interface ignore wildcard 2interface listen eth1 Сохраняем файл и перезапускаем службу:\n1service ntp restart Чтобы убедиться, что NTP работает только на внутреннем интерфейсе, выполните:\n1ss -l | grep 123 В выводе команды должны быть только внутренние адреса и адреса локальной петли (localhost): Проверить синхронизацию можно командой:\n1ntpq -p В выводе обращаем внимание на колонки: when -время с последнего ответа сервера, pool - время опроса сервера, offset - разница времени в секундах. Если ваш роутер расположен в виртуальной среде, то при загрузке, пока система не знает с кем синхронизировать время, время внутри виртуальной машины синхронизируется с временем гипервизора. Поэтому либо отключите эту функцию в настройках виртуальной машины, либо синхронизируйте часы гипервизора с часами домена.\nНастройка кеширующего прокси-сервера Squid3 Внимание! Внимание! Если вы перенастраиваете сервер для рабочей группы, то обязательно удалите пакет dnsmasq или иные DNS и DHCP сервера!\nИнформация Важно! Начиная с Debian 9 и Ubuntu 16.04 вместо пакета squid3 снова используется squid, также аналогичным образом следует изменить все пути, т.е. вместо**/etc/squid3** использовать /etc/squid.\nУстановим прокси-сервер squid3 командой:\n1apt-get install squid3 Откроем конфигурационный файл /etc/squid3/squid.conf и зададим минимальную конфигурацию, добавив или раскомментировав в соответствующих секциях указанные строки.\nУкажем acl элемент для локальной сети:\n1acl localnet src 192.168.31.0/24 Минимальный набор списков доступа:\n1http_access allow localnet 2http_access allow localhost 3http_access deny all Интерфейсы, порты и режимы работы прокси:\n1http_port 192.168.31.100:3128 2http_port 127.0.0.1:3128 Настройки кеша:\n1cache_mem 1024 MB 2maximum_object_size_in_memory 512 KB 3 4cache_dir ufs /var/spool/squid3 2048 16 256 5 6maximum_object_size 4 MB Настройки лога:\n1access_log daemon:/var/log/squid3/access.log squid 2logfile_rotate 31 Для squid 3.1 и ниже первая строка должна выглядеть так:\n1access_log /var/log/squid3/access.log squid Сохраните и проверьте конфигурацию:\n1squid3 -k check Если нет ошибок, то перезапускаем squid:\n1service squid3 restart Перестраиваем кэш:\n1service squid3 stop 2squid3 -z 3service squid3 start На DNS-сервере домена добавьте A-запись для нашего роутера: Теперь в настройках браузера укажите полное FQDN имя сервера и порт 3128: Так как никаких ограничений пока не установлено, то вы должны получить доступ в интернет.\nНа этом базовую настройку будем считать законченной. Следующим этапом будет настройка Kerberos-аутентификации и автоматического распространения настроек прокси, о чем мы расскажем в следующей статье.\n","id":"c05e22c8291cba9a9a387ae5743bd3c1","link":"https://interface31.ru/post/nastraivaem-squid-dlya-raboty-s-active-directory-chast-1-bazovye-nastroyki/","section":"post","tags":["Active Directory","DNS","iptables","NTP","Squid","Ubuntu Server","Сетевые технологии","Службы каталогов"],"title":"Настраиваем Squid для работы с Active Directory. Часть 1 - базовые настройки"},{"body":"Система контроля доступа Squid является достаточно мощным и развитым инструментом, позволяя гибко управлять самыми разными параметрами. В тоже время многие администраторы имеют слабое понимание принципов работы данного механизма, что приводит к откровенным ошибкам или неожиданным результатам в работе прокси-сервера. Поэтому мы решили посвятить отдельный материал данному вопросу.\nСистема контроля доступа Squid состоит из двух различных частей: элементов ACL (ACL elements) и списков доступа (access lists). Здесь сокрыта первая сложность, которая связана с переводом на русский язык используемых терминов. Так ACL elements чаще всего переводится как ACL записи или ACL списки, что, в общем-то, достаточно верно отражает их смысл, но вызывает путаницу с термином access lists, вместо которого чаще всего используется термин правила ACL. Чаще всего путаница возникает при самостоятельном переводе англоязычной документации, что резко затрудняет понимание и приводит к различного рода казусам.\nЭлементы ACL Под элементами ACL (они же записи или списки) подразумеваются списки значений определенного типа. Список допустимых типов представлен в документации: ACL TYPES AVAILABLE. Как видим, он довольно разнообразен, это и адреса источника или назначения, и доменные имена, параметры URL, время и дата, регулярные значение и т.д., и т.п. Каждый элемент ACL может содержать данные только одного допустимого типа, перечисленные через пробел или отдельной строкой. Также каждый элемент ACL должен иметь уникальное имя. Общий синтаксис следующий:\n1acl имя_acl тип_acl список_значений Например, создадим элемент ACL содержащий IP-адреса какого-либо подразделения:\n1acl buh src 192.168.0.100-192.168.0.110 192.168.0.123 Также можно записать это следующим образом:\n1acl buh src 192.168.0.100-192.168.0.110 2acl buh src 192.168.0.123 При выборе варианта написания следует исходить из его удобочитаемости, на наш взгляд второй вариант более удобен в восприятии, чем первый.\nОдно и тоже значение может входить в списки сразу нескольких элементов ACL. Так один и тот же IP-адрес может входит в списки элементов buh (бухгалтерия), office (сеть офиса) и localnet (локальная сеть):\n1acl buh src 192.168.0.100-192.168.0.110 192.168.0.123 2acl office src 192.168.0.100-192.168.0.230 3acl localnet src 192.168.0.0/24 При этом абсолютно не важна последовательность указания элементов ACL в конфиге, в любом случае значение адреса будет входить во все три элемента. Определение принадлежности значения к элементу ACL производится по принципу ИЛИ, т.е. достаточно совпадения с одним из значений списка.\nОднако мы советуем составлять списки элементов ACL таким образом, чтобы более частные случаи описывались перед более общими. А также записывать элементы одного типа в одном месте. В примере выше мы сначала указали сеть отдела, которая входит в сеть офиса, которая, в свою очередь, является частью локальной сети предприятия. Это делается для того, чтобы при анализе элементов ACL вы могли быстро оценить принадлежность значения спискам. Иначе можно потратить много времени на отладку, чтобы потом узнать, что значение входит в еще один элемент, который указан в другой части конфига.\nВы можете создать какое угодно количество элементов ACL, как говориться, на все случаи жизни, но при этом следует помнить, что все значения элементов загружаются в память при старте сервиса и каждое значение проверяется по каждому элементу соответствующего типа.\nПо времени работы различают два типа ACL: быстрые и медленные. К медленным относят элементы, связанные с необходимостью выполнять DNS-запросы, аутентификацию пользователей и т.д., с полным списком медленных и быстрых ACL можно ознакомиться здесь: Fast and Slow ACLs. По понятным причинам медленными элементами ACL злоупотреблять не следует.\nСписки доступа Элементы ACL сами по себе не осуществляют никаких действий, это просто списки, которые используются другой частью системы контроля доступа - списками доступа (или правилами). Перечень списков доступа также довольно обширен и полностью с ним можно ознакомиться здесь: Access Lists.\nОбщий синтаксис таков:\n1список_доступа действие (allow|deny) элементы_ACL Вот здесь начинается самое интересное. Каждый список доступа может содержать несколько элементов ACL, которые обрабатываются по принципу И, т.е. чтобы список сработал, значение должно входить во все элементы ACL.\nСами списки обрабатываются последовательно, по принципу ИЛИ, т.е. до первого совпадения.\n1http_access allow|deny acl И acl И ... 2 ИЛИ 3http_access allow|deny acl И acl И ... 4 ИЛИ 5... Если значение не попало ни в один список определенного типа, к нему применяется действие противоположное действию в последнем списке. Эта особенность способна привести к весьма неожиданному результату, поэтому хорошим тоном будет всегда задавать действие по умолчанию, указывая вместо элемента ACL значение all.\nПростой пример. Сначала мы разрешили всем подразделениям доступ к интернету через протокол HTTP, но не задали при этом действия по умолчанию:\n1acl buh src 192.168.0.101-192.168.0.129 2acl office src 192.168.0.101-192.168.0.199 3acl sklad src 192.168.0.200-192.168.0.209 4 5http_access allow buh 6http_access allow office 7http_access allow sklad В приведенном примере всё будет работать как надо, все компьютеры, которые не относятся к указанным элементам ACL доступа к сети иметь не будут. А теперь мы решили заблокировать доступ к сети для склада:\n1http_access allow buh 2http_access allow office 3http_access deny sklad После чего любой компьютер сети, кроме входящих в элемент sklad получит доступ, так как для всех не попавших в списки значений действие будет allow. Поэтому всегда задавайте действие по умолчанию:\n1http_access allow buh 2http_access allow office 3http_access deny sklad 4http_access deny all Часто возникает следующий вопрос: а можно ли вместо конструкции\n1http_access allow buh 2http_access allow office 3http_access allow sklad написать\n1http_access allow buh office sklad Вроде бы везде allow, зачем плодить строки? Ответ - нельзя! Потому что списки (правила) обрабатываются как ИЛИ, а элементы как И. А так как один и тот же компьютер, несмотря на то, что сеть бухгалтерии входит в сеть офиса, не может одновременно принадлежать офису и складу, то такое правило работать не будет.\nОчень простой пример:\n1acl ivanov src 192.168.0.123 2acl petrov src 192.168.0.124 Если мы напишем так, то работать будет:\n1http_access allow ivanov 2http_access allow petrov так как читать эту конструкцию следует как:\n1http_access allow ivanov 2ИЛИ 3http_access allow petrov А вот так не будет:\n1http_access allow ivanov petrov потому что данная запись означает:\n1http_access allow ivanov И petrov чего просто не может быть, так как источник может быть Ивановым ИЛИ Петровым, но никак не Ивановым И Петровым одновременно.\nВообще, избегайте сочетать в одном списке доступа элементы ACL одного типа, это самый верный способ получить нерабочее правило.\nПри указании списков доступа помните про очередность, поэтому все более частные правила должны располагаться перед более общими, даже если все эти списки доступа имеют одно и тоже действие. Впоследствии вы можете поменять действие в одном из правил и получить совершенно неожиданный результат.\nПоэтому правильно будет:\n1acl ivanov src 192.168.0.123 2acl buh src 192.168.0.101-192.168.0.129 3acl office src 192.168.0.101-192.168.0.199 4 5http_access allow ivanov 6http_access allow buh 7http_access allow office и неправильно:\n1http_access allow buh 2http_access allow ivanov 3http_access allow office Допустим, поступила задача - ограничить доступ к интернету рабочим временем для всей бухгалтерии, кроме Иванова. Хорошо, добавляем:\n1acl worktime time MTWHF 09:00-18:00 Затем добавим к разрешающему списку второй элемент ACL и запретим работу во внерабочее время:\n1http_access allow buh worktime 2http_access deny buh В первом случае, когда список с элементом ivanov стоит выше списка с элементом buh - все будет работать как надо, а во втором случае нет. Так как адрес источника 192.168.0.123 входит в списки обоих элементов и условие для элемента buh сработает первым.\nНа первый взгляд это может показаться элементарным и очевидным, но на самом деле, когда правил много и расположены они вперемешку, поиск перекрывающихся списков может занять много времени и потрепать немало нервов как вам, так и пользователям.\nНа примере выше мы неявно коснулись еще одной темы, при использовании перекрывающихся элементов ACL всегда создавайте списки для всех возможных сочетаний условий. Например, конструкция:\n1http_access allow ivanov 2http_access allow buh worktime 3http_access allow office работать не будет, потому что в рабочее время будет срабатывать правило http_access allow buh worktime, а в нерабочее http_access allow office, так как список значений элемента buh перекрывается списком значений элемента office. Чтобы все работало как задумано потребуется еще один список http_access deny buh:\n1http_access allow ivanov 2http_access allow buh worktime 3http_access deny buh 4http_access allow office Причем он должен располагаться строго на своем месте, передвинув его выше мы полностью заблокируем доступ для бухгалтерии, а передвинув ниже перекроем его действие разрешающим правилом для всего офиса.\nТакже, как и элементы ACL списки доступа могут быть быстрыми и медленными: Fast and Slow ACLs. Например, списки доступа delay_access, отвечающие за ограничение скорости, являются быстрыми, а http_access - медленными. Общее правило: использовать быстрые списки раньше медленных и не использовать быстрые списки с медленными элементами. Также имеет смысл вводить некоторые \u0026quot;бесполезные\u0026quot; проверки, чтобы уменьшить количество обращений к медленным спискам с медленными элементами.\n","id":"20b94715c735cb9002102c947cf1aafb","link":"https://interface31.ru/post/kak-ustroena-i-rabotaet-sistema-kontrolya-dostupa-v-squid/","section":"post","tags":["ACL","Squid","Безопасность"],"title":"Как устроена и работает система контроля доступа в Squid"},{"body":"Веб-сервер Apache без преувеличения можно назвать стандартом де-факто в интернет. Большинство популярных систем управления сайтами и иных веб-приложений разрабатываются таким образом, чтобы работать с данным веб-сервером \u0026quot;из коробки\u0026quot;. Поэтому, если вам нужен веб-сервер широкого применения, то Apache будет лучшим выбором. В данной статье мы расскажем, как установить и настроить полноценный веб-сервер на базе Debian / Ubuntu Server.\nСразу скажем, Apache по многим параметрам, таким как скорость работы или потребление ресурсов, не является лидером среди веб-серверов, но выгодно отличается тем, что на нем гарантированно будет работать любое веб-приложение или сайт без дополнительных настроек и доработок. Добавим сюда гибкость и простоту в настройках, хорошую документацию и низкий порог вхождения. В общем, если вы не знаете какие конкретные выгоды даст вам применение альтернативного веб-сервера, смело выбирайте Apache.\nКроме самого веб-сервера нам понадобится система управления базами данных, в данной отрасли стандартом де-факто давно является MySQL, и один из скриптовых языков для работы веб-приложений, на сегодняшний день пальму первенства уверенно держит PHP. Все вместе образует классическую связку, именуемую еще LAMP-сервер, аббревиатура расшифровывается как: Linux - Apache - MySQL - PHP.\nДля установки мы будем использовать платформу Debian / Ubuntu. Системы, в зависимости от релиза, отличаются набором ПО, но все изложенное ниже будет одинаково применимо к любой из них. Существующие отличия будут оговорены отдельно. На момент написания статьи актуальны следующие релизы систем и версии ПО:\nDebian 8 Jessie: Apache 2.4.10, PHP 5.6.7, MySQL 5.5.43 Debian 7 Squeeze: Apache 2.2.22, PHP 5.4.39, MySQL 5.5.43 Ubuntu Server 14.04 LTS: Apache 2.4.7, PHP 5.5.9, MySQL 5.5.43 Ubuntu 12.04 LTS: Apache 2.2.22, PHP 5.3.10, MySQL 5.5.43 Все вышеуказанные выпуски содержат относительно современные версии ПО, но есть некоторые особенности. Так входящий в состав Ubuntu 14.04 и Debian 8, Apache 2.4 имеет достаточно серьезные отличия от Apache 2.2 и не все CMS (системы управления контентом, \u0026quot;движки\u0026quot;) и веб-приложения умеют работать с ним, особенно это касается старых версий. Так, например, вы не сможете использовать Apache 2.4 для веб-доступа к базам 1С:Предприятие. Поэтому, если вы решили выбрать версию 2.4 - уточните совместимость с нею всех планируемых к размещению CMS и веб-приложений.\nКроме того, MySQL из состава Ubuntu Server 12.04 / 14.04 не работает внутри контейнеров OpenVZ, которые широко используются для предоставления услуги VPS. Проблема решается заменой MySQL из репозитория на версию от MySQL Community (разработчики) или один из форков, например, MariaDB.\nС учетом вышесказанного оптимальным выбором нам представляется использование в качестве платформы веб-сервера Debian 7, как наиболее совместимую с существующими веб-приложениями и не имеющую серьезных проблем.\nМы не будем останавливаться на установке и подготовке серверной ОС, более подробно вы можете ознакомиться с этим процессом в наших статьях для Debian и Ubuntu Server. Также не забудьте правильно настроитьязык и региональные стандарты системы. Все приведенные ниже действия следует выполнять с правами суперпользователя, например, с помощью команды sudo.\nУстановка Apache Установка веб-сервера предельно проста:\n1apt-get install apache2 Для проверки его работы наберите в браузере IP-адрес сервера, и вы увидите стандартную страницу заглушку: Настройки сервера содержатся в /etc/apache2/apache2.conf, к которому подключаются дополнительные файлы из директорий mods-enabled и sites-enabled. При этом никто не мешает вам внести все указанные настройки непосредственно в apache2.conf - все будет работать, но это резко снижает удобство администрирования, так как требует постоянной правки основного файла конфигурации, в то время как настройки во внешних файлах легко включаются и отключаются при помощи специальных инструментов.\nС этой целью каталоги mods-enabled и sites-enabled не содержат файлов конфигурации, а только символические ссылки на директории mods-availableи sites-available, где следует располагать сами файлы. Как понятно из названий, в данных каталогах находятся настройки модулей и виртуальных хостов. Если с модулями дело приходится иметь редко, то управлять таким образом виртуальными хостами, т.е. сайтами, очень удобно.\nПодробно о виртуальных хостах и расположении содержимого сайта мы уже писали в статье по Lighttpd, все сказанное там справедливо и для нашего случая. Вы вольны выбрать любую схему размещения данных, мы же предпочитаем хранить содержимое сайтов внутри /var/www в папках с именем домена.\nСледующий вопрос, который следует решить, это права доступа к файлам и папкам сайта. По умолчанию их владельцем должен являться веб-сервер (пользователь и группа www-data), в противном случае скрипты могут работать неожиданным образом или не работать вообще. Более удобно и безопасно запускать содержимое сайтов от имени пользователя, а не веб-сервера. Для этого установим следующий пакет:\n1apt-get install apache2-mpm-itk В Ubuntu 14.04 при установке данного пакета вы можете столкнуться с ошибкой:\n1dpkg: error processing package apache2-mpm-itk (--configure): 2проблемы зависимостей -- оставляем не настроенным Это известный баг, для его исправления выполните:\n1a2dismod mpm_event 2apt-get install -f Если мы заглянем в папку sites-enabled, то увидим там уже готовую конфигурацию для сайта по умолчанию, т.е. того, что будет показано при наборе IP-адреса сервера. Данная настройка указывает на папку /var/www или /var/www/html для Apache 2.4, где расположена страница заглушка. После того как вы добавите свои сайты, выводиться будет первый по списку сайт.\nДопустим мы хотим разместить на нашем сервере содержимое сайта example.com, сначала создадим необходимые директории и сделаем их владельцем пользователя, который будет работать с сайтом:\n1mkdir /var/www/example.com 2chown andrey:andrey /var/www/example.com Теперь создадим файл виртуального хоста и приступим к его заполнению:\n1touch /etc/apache2/sites-available/example.com Для Apache 2.4 файлы конфигурации обязательно должны иметь расширение .conf, поэтому команда будет выглядеть следующим образом.\n1touch /etc/apache2/sites-available/example.com.conf Внутри разместите следующий текст:\n1\u0026lt;VirtualHost 1.2.3.4:80\u0026gt; 2 ServerName example.com 3 ServerAdmin mail@example.com 4 ServerAlias www.example.com 5 DocumentRoot /var/www/example.com 6 CustomLog ${APACHE_LOG_DIR}/example.com.access.log combined 7 ErrorLog ${APACHE_LOG_DIR}/example.com.error.log 8 AssignUserID andrey andrey 9 \u0026lt;Directory /var/www/example.com\u0026gt; 10 Options -Includes -Indexes -ExecCGI 11 AllowOverride All 12 \u0026lt;/Directory\u0026gt; 13\u0026lt;/VirtualHost\u0026gt; Разберем содержимое более подробно. Начинается секция виртуального хоста с ее определения \u0026lt;VirtualHost 1.2.3.4:80\u0026gt;, где указывается IP-адрес и порт, на котором данный хост работает, если вы хотите принимать соединения на всех сетевых интерфейсах, то вместо адреса поставьте \u0026quot;звездочку\u0026quot; - *. Внутри секции располагаются следующие директивы:\nServerName - имя виртуального хоста, должен иметь значение полного доменного имени (FQDN), в нашем случае example.com, определяет, какое доменное имя обслуживает данный виртуальный хост. ServerAdmin - контактный адрес электронной почты администратора домена, включается в сообщения об ошибках веб-сервера, рекомендуется завести для этих целей отдельный ящик. ServerAlias - алиас имени хоста, обязательно значение www.example.com, чтобы ваш сайт работал как с www, так и без. DocumentRoot - корневая папка виртуального хоста, указываем директорию размещения сайта, т.е. /var/www/example.com CustomLog - имя и расположение лога доступа, переменная ${APACHE_LOG_DIR} указывает на стандартную директорию логов веб-сервера, это позволяет использовать стандартный механизм ротации логов для всех сайтов, в имени лога рекомендуем указывать имя хоста, чтобы сразу было понятно где какой лог. Не забудьте в конце опцию combined, данная опция указывает формат лога и задается в apache2.conf. ErrorLog - имя и расположение лога ошибок, полностью аналогичен логу доступа, но не требуется указывать формат лога. AssignUserID - имя и группа пользователя (через пробел) от имени которых будет работать данный виртуальный хост, задается только если установлен apache2-mpm-itk, в противном случае эта директива не нужна. Внутри секции виртуального хоста размещаем еще одну секцию \u0026lt;Directory /var/www/example.com\u0026gt;, которая включает директивы, применяемые не к хосту, а к каталогу, в нашем случае к корневому каталогу виртуального хоста. Там располагается директива Options, которая содержит следующие опции (перед каждой из которых ставится + или -, разрешая или запрещая опцию):\n±Includes - разрешает / запрещает SSI (Server Side Includes -- включения на стороне сервера), в нашем случае выключено в целях безопасности. Имеет смысл включать только в том случае, если ваш сайт явно требует данной опции. ±Indexes - разрешает / запрещает показывать содержимое каталога при отсутствии индексного файла, отключено в целях безопасности. ±ExecCGI - разрешает / запрещает выполнение сценариев CGI, отключаем в целях безопасности. За ней следует директива AllowOverride, которая устанавливает использование директив из файлов .htaccess, по умолчанию сервер устанавливает для /var/www данную директиву в None, что запрещает использовать директивы .htaccess во всех вложенных директориях. Для того чтобы разрешить использование директив .htaccess установите данную директиву в All, что разрешит использовать в .htaccess любые директивы.\nЭтим список доступных опций (как и директив) не исчерпывается, но их рассмотрение выходит за рамки данной статьи и будет рассмотрено в отдельном материале. Вы можете самостоятельно ознакомиться с ними в официальной документации.\nЗакрываем открытые секции: и , затем сохраняем файл. Конфигурация виртуального хоста готова.\nЧтобы включить сайт необходимо сделать символьную ссылку на файл конфигурации в каталоге sites-enabled, а, чтобы выключить - удалить эту ссылку. Это можно сделать вручную, при помощи команды ln -s, или использовать специальную утилиту apache:\n1a2ensite example.com Данная команда включит сайт, для выключения введите:\n1a2dissite example.com В качестве опции команде передается имя конфигурационного файла из sites-available, в случае Apache 2.4 без расширения. После каждого такого действия веб-сервер необходимо перезапустить:\n1service apache2 reload Чтобы проверить работу виртуального хоста разместите в его корневой директории любой html-файл и обратитесь к серверу по имени домена (при этом А-запись домена должна быть настроена и указывать на ваш веб-сервер).\nНапример, создадим индексный файл:\n1touch /var/www/examlpe.com/index.html И разместим в нем строку:\n1\u0026lt;body\u0026gt;\u0026lt;h1\u0026gt;OK!\u0026lt;/h1\u0026gt;\u0026lt;/body\u0026gt; В итоге в браузере вы должны увидеть следующее: Установка PHP Если веб-сервер был нужен вам для размещения статического содержимого или сторонних веб-приложений, например, публикации баз 1С:Предприятия, то дальше можно не читать. Но если вы собираетесь создать сайт на основе популярных CMS - вам потребуется поддержка скриптового языка PHP, на базе которого разработаны большинство современных \u0026quot;движков\u0026quot;.\nИнформация Важно! В современных дистрибутивах используется более новая версия PHP7, чтобы работать с новой версией языка вместо php5 в приведенных ниже командах следует указывать php7.x или просто php, например, вместо php5-imagick нужно набрать php7.0-imagick или php-imagick.\nВыполним команду:\n1apt-get install php5 Будет установлен сам интерпретатор и необходимые для работы с веб-сервером модули. Модули позволяют гибко изменять функциональность PHP, управление модулями осуществляется аналогично Apache, когда конфигурации модулей располагаются в одной директории, а для их подключения делается символьная ссылка в другую.\nПо умолчанию PHP устанавливается с базовым набором модулей, который удовлетворяет большинство потребностей, однако применяемая вами CMS может требовать дополнительных модулей, которые нужно будет установить отдельно.\nНапример, для работы с графикой вам потребуется поддержка графической библиотеки GD2, поэтому установим соответствующий модуль:\n1apt-get install php5-gd После чего не забудьте перезапустить веб-сервер:\n1service apache2 reload Кстати, GD2, на наш взгляд не самый лучший выбор, в актив библиотеки можно записать низкое потребление ресурсов и высокую скорость работы, но по качеству работы с изображениями она уступает альтернативной утилите imagemagick, иногда значительно. Поэтому имеет смысл установить обе утилиты и выбрать ту, работа которой наиболее вам подойдет. Если ресурсы сервера позволяют, то предпочтительно использовать imagemagick.\nУстановим утилиту и модуль PHP для нее:\n1apt-get install imagemagick php5-imagick Для проверки работы PHP создадим в корневой директории сайта специальный скрипт:\n1touch /var/www/examlpe.com/info.php И внесем в него следующий текст:\n1\u0026lt;?php 2phpinfo(); 3?\u0026gt; Теперь наберем в браузере http://example.com/info.php, в результате работы данного скрипта вы увидите стандартную страницу с информацией о PHP, установленных модулях, настройках и т.д. Установка MySQL СУБД MySQL - третий необходимый компонент полноценного веб-сервера, основное назначение базы данных - хранение информации сайта, как пользовательской, так и служебной. При этом по важности СУБД превосходит все остальные компоненты, так как потеря базы данных равносильна потере всей информации вашего ресурса.\nУстановим сервер баз данных и модуль PHP для работы с ним:\n1apt-get install mysql-server php5-mysql Информация Важно! В свежих выпусках Debian (и его производных) вместо пакета mysql-server следует установить mariadb-server, который полностью совместим с MySQL.\nВ процессе установки вам будет предложено ввести пароль для суперпользователя MySQL (root), которого не следует путать с суперпользователем системы. Для удобного управления базами данных имеет смысл установить phpMyAdmin - удобную веб-утилиту для управления сервером MySQL:\n1apt-get install phpmyadmin Инсталлятор утилиты умеет автоматически настраивать популярные веб-сервера Apache и Lighttpd, нужный сервер следует указать при установке: Веб-интерфейс утилиты будет доступен по адресу http://example.com/phpmyadmin, для входа следует использовать учетные данные пользователя MySQL, в нашем случае это root (других еще нет) с паролем, который мы указали во время установки MySQL.\nВ Ubuntu 14.04 мы столкнулись с небольшой проблемой, утилита сообщила нам, что расширение mcrypt не найдено, хотя соответствующий модуль PHP был установлен среди зависимостей. Проверим. В /etc/php5/apache2/conf.d ссылка на данный модуль отсутствует, в то время как в /etc/php5/mods-available нужный файл есть. Следовательно, модуль установлен, но, по какой-то причине, не подключен. Возможно это связано с Apache 2.4 и тогда подобная ситуация может иметь место и в Debian 8.\nОднако ничего страшного не произошло, все что нам нужно - это подключить модуль, создав символьную ссылку:\n1ln -s /etc/php5/mods-available/mcrypt.ini /etc/php5/apache2/conf.d/20-mcrypt.ini Никаких дополнительных настроек MySQL сервер не требует, благо кодировка UTF-8 стала стандартом де-факто. В принципе на этом можно закончить, но все базы данных размещаемые на сервере будут работать с правами суперпользователя MySQL, что небезопасно. Поэтому следует создать пользователей сервера баз данных с ограниченными правами, чтобы они могли управлять только своими базами.\nОткроем phpMyAdmin и перейдем на страницу Привилегии (Пользователи), где выберем Добавить нового пользователя. Теперь прокрутим страничку чуть ниже и установим опцию Предоставить полные привилегии на базы данных подпадающие под шаблон (имя пользователя_%) Это позволит лишний раз не отвлекаться на установку прав, а просто создавать базы с именами вида ivanov_base1 или petrov_base2, предоставляя соответствующим пользователям полные права на них, а также быстро определять принадлежность баз данных. В тоже время данная настройка не является догмой, вы можете поступать на свое усмотрение. Остальные параметры оставляем по умолчанию.\nДля проверки создадим базу данных phpMyAdmin - Базы данных - Новая база данных. При создании БД обращайте внимание на кодировку. Сегодня большинство движков и веб-приложений работают с UTF-8 (utf8_general_ci), однако старые версии движков могут использовать национальные кодировки, поэтому нужно будет правильно указать их еще на стадии создания базы, в противном случае, залив в базу, созданную в UTF-8 дамп в кодировке Windows-1252 вместо русских букв на сайте окажутся \u0026quot;крякозяблики\u0026quot;. Создав базу, проверим ее привилегии, нажав одноименную ссылку рядом с именем базы. Как видим, все правильно, полные права на базу имеет указанный в имени пользователь и суперпользователь root, хотя никаких настроек доступа при создании базы мы не указывали.\nНа этом настройку можно считать законченной и приступать к эксплуатации сервера. Несмотря на то, что описанная конфигурация является базовой, ее возможностей вполне достаточно для размещения и нормальной работы практически любой современной CMS массового применения и мы будем использовать данный сервер как эталонный для наших следующих материалов по данной теме.\n","id":"b76da13e6e5dd055ebda768e5944bf1b","link":"https://interface31.ru/post/nastraivaem-veb-server-na-baze-apache-v-debian-ubuntu-server/","section":"post","tags":["Apache","Debian","MySQL","PHP","Ubuntu Server","Web-сервер","Сайт"],"title":"Настраиваем веб-сервер Apache + PHP + MySQL в Debian / Ubuntu Server"},{"body":"У государственных, как и частных управленческих структур (в идеале) схожие цели: применять ресурсы с наибольшей эффективностью. Но имеются и различия, которые основываются на обязательной открытости деятельности государственных структур. Исключения составляют лишь некоторые, особенные и подлежащие сохранению секретности виды работы госаппарата.\nКомпьютер давно заменил пыльную папку с делами, он изменил и улучшил принятие решений, обновил процессы коммуникации -- госучреждения стали работать быстрее и надёжнее. Другая сторона медали - «падение» системы на одном только компьютере способно парализовать всю организацию целиком.\nДа, бывает конечно, это создаёт помехи в работе, но имеются шансы уменьшить хотя бы последствия, а то и предотвратить сам факт. Однако, взгляд на вещи меняется, как только мы задумаемся над вопросом: А кто, собственно, контролирует наши компьютеры? Большинство пользователей твёрдо верят, что компьютер подчиняется их приказам и делают вывод, что фирмы или государственные организации тоже полностью контролируют свою IT-структуру. Но оба предположения неверны: Компьютер не подчинён своему владельцу и предаст его, как только этого потребует истинный хозяин -- компьютерная программа или операционная система.\nУже примечательно -- как часто пользователи проприетарного программного обеспечения предаются и обманываются и не могут с этим ничего поделать. Почти каждый день компьютеры не выполняют того, что требуется или делают то, что им не поручалось. Примеров множество: компьютер вдруг устанавливает какую-то вредоносную программу, хотя надо было просто открыть приложенный к мэйлу файл, или противится открыть какую-то картинку или передать файл по сети на другой компьютер. Иной раз компьютер сам занимается установкой программ или удаляет некий документ, потому что какие-то третьи лица таким образом хотят соблюсти свои или чужие коммерческие интересы.\nВ 2009 году онлайновый магазин Amazon удаленно стер книги писателя Джорджа Оруэлла с устройств для чтения электронных документов Kindle. Пользователи лишились электронных копий романов \u0026quot;1984\u0026quot; и \u0026quot;Скотный двор\u0026quot; (\u0026quot;Animal Farm\u0026quot;), на распространение которых, как выяснилось, у компании нет прав.\nПроблема удалённого программного контроля усиливается строгими условиями лицензий в комбинации с высокими затратами на приобретение этих самых программ. Поставщики лицензионного программного обеспечения не просто ставят какие-то условия из добрых побуждений, но делают это зачастую совершенно без каких-то причин, иногда даже условия лицензии изменяются задним числом. А делают они это потому, что клиенты не могут так просто поменять поставщика, так как это будет связано и со сменой программного обеспечения, но такая замена - это зачастую весьма дорогая и сложная затея.\nГосударственные службы оперируют с данными, от которых может зависеть безопасность каждого гражданина, поэтому они не могут и не должны допустить, чтобы контроль над их инфраструктурой принадлежал фирмам или отдельным лицам, которые имеют абсолютно иные интересы. Безответственно обрабатывать данные такими программами, пользование которыми привязано к приобретению каких-то рестриктивных лицензий.\nЕщё острее проступает вся проблема, если оценить опасность, возникающую в том случае, когда государство доверит критические части своей инфраструктуры иностранной фирме. Спецслужбы той страны могут потребовать передать им некую информацию, а то и встроить в программы механизмы шпионажа или саботажа. Известный пример -- знаменитая переменная NSAKEY в операционной системе Windows NT 4 SP5.\nВсех вышеперечисленных угроз можно избежать, если использовать в работе государственных структур программное обеспечение, которое не подлежит контролю третьих лиц или фирм. Необходимо применять такие программы, которые можно получать из многих источников и такие, которые в состоянии администрировать любой квалифицированный человек, нанятый для этого.\nЭти программы должны быть перепроверены на их пригодность и безопасность пользования. Эти программы должны быть изменяемы для функций и потребностей госаппарата -- без того, чтобы учитывать некие требования поставщика.\nВыглядит странно? Но такие программы уже не только существуют -- вся цифровая инфраструктура мира буквально основана на таких программах! Движение свободного программного обеспечения существует более 25 лет. Эти программы позволяют малыми усилиями обеспечить потребности практически любого предприятия или государственной организации, но и не передают контроль над данными в посторонние руки.\nОднако и поныне в большинстве организаций применяется исключительно пропиетарное программное обеспечение. Зачем? Почему?\nКто-то утверждает, что не находит в свободном ПО именно ту «самую нужную функцию», кто-то доказывает, что лучше заплатить за лицензию, чем возиться с переустановкой или наладкой свободных программ. И то и другое -- ничто, кроме пустых отговорок. Ничто не обходится так дорого, как вынужденный переход с одного пропиетарного на другой пропиетарный пакет программ и даже самые высокие цены на лицензию ничто, в сравнении с этими затратами. Свободное ПО, установленное один раз, навсегда избавляет от этих проблем и этих трат.\nВсякая аргументация против свободного программного обеспечения -- это просто попытка скрыть собственную некомпетентность, а то и трусость переменить политику и взять на себя ответственность за эту перемену.\nРечь идёт вовсе не о том -- какая программа «лучше работает» или «удобнее» и «дешевле», суть проблемы именно в единстве и безопасности целого государства.\nИсточник: Oeffentliche Verwaltung braucht freie Software\nАвтор: Federico Heinz (Argentina) - программист, активист свободного ПО, один из основателей фонда V?a Libre.\nПеревод: Виктор Хартманн (Берлин)\n","id":"8cf88c74b4f7c855da0cbccb9474fdcd","link":"https://interface31.ru/post/obschestvennye-struktury-upravleniya-nuzhdayutsya-v-svobodnom-programmnom-obespechenii/","section":"post","tags":["Linux","OSI"],"title":"Общественные структуры управления нуждаются в свободном программном обеспечении"},{"body":"Продолжая тему сайтостроения поговорим о таком важном аспекте, как работа системы доменных имен - DNS. С настройкой и расположением DNS-зоны связаны многие вопросы, касающиеся первоначального размещения, а также переноса сайтов между различными серверами и хостингами. Понимание принципов работы системы доменных имен позволяет с легкостью управлять собственными доменами и связанными с ними сайтами и прочими службами.\nЧто такое доменное имя? Для многих это синоним адреса сайта, например, www.interface31.ru. Набирая этот адрес вы твердо уверены, что попадете именно на этот сайт, а не куда-нибудь еще. В тоже время доменное имя может обозначать не только сайт, но и сервер электронной почты, обмена короткими сообщениями или иной другой интернет и сетевой сервис. Доменные имена входят в доменные зоны, которые расположены внутри друг друга в иерархическом порядке.\nВ общем понимании домен - это символьное имя, позволяющее однозначно адресовать автономную область имен в сети интернет. И не только адресовать, но и позволить любому клиенту быстро найти необходимый узел, даже не имея ни малейшего представления о его размещении. Можно без преувеличения сказать, что система DNS - основа современной сети интернет в том виде, в которой мы все ее знаем и привыкли.\nСистема DNS является глобальной и имеет строгую иерархию. Рассмотрим следующую схему: Домены первого уровня являются привычными нам доменными зонами и могут управляться как национальными, так и международными организациями и иметь свои условия использования. Каждая доменная зона первого уровня позволяет размещать неограниченное количество доменов второго уровня, которые знакомы каждому пользователю интернета как адреса сайтов.\nВ свою очередь домены второго уровня тоже являются доменными зонами и позволяют размещать в себе домены третьего уровня, в которые, как в матрешку, помещать домены четвертого, пятого и т.д. уровней. Для того, чтобы можно было однозначно определять узлы, находящиеся в разных зонах, введено понятие полностью определенное имя домена (FQDN, Fully Qualified Domain Name), которое включает в себя все имена родительских доменов в иерархии DNS. Например, для нашего сайта FQDN будет: interface31.ru. Именно так, с окончанием на точку, обозначающее корневую зону.\nЭто очень важный момент. В повседневном использовании завершающую точку принято отбрасывать, но в записях DNS отсутствие последней точки обозначает, что данное доменное имя принадлежит текущей доменной зоне, т.е. DNS-сервер прибавит к такому имени собственную доменную зону и все вышестоящие зоны вплоть до корня.\nНапример, на нашем сервере в зоне interface31.ru мы добавляем запись типа CNAME, которая будет указывать на сторонний сервер, скажем, Яндекс-почты. Правильно запись должна выглядеть так:\n1mail IN CNAME domain.mail.yandex.net. В данном случае имя mail не является FQDN и будет дополнено до mail.interface31.ru., если же мы забудем поставить точку в конце имени домена Яндекса, то это имя также не будет восприниматься как FQDN и должно быть дополнено до полного имени домена. Ниже показана неправильная запись:\n1mail IN CNAME domain.mail.yandex.net Неподготовленным взглядом разницу заметить сложно, но вместо веб-интерфейса почты Яндекса такая конструкция отправит нас на несуществующий адрес: domain.mail.yandex.net.interface31.ru.\nЕще один момент. Все записи для доменной зоны вносятся администраторами зон на собственных DNS-серверах, каким образом данные записи становятся известны системе DNS? Ведь мы же не оповещаем вышестоящие DNS-сервера, что изменили какую-либо запись.\nЛюбая DNS-зона содержит записи только о входящих в нее узлах и дочерних зонах. Информация об узлах нижестоящей зоны хранится на ее собственных серверах. Это называется делегированием и позволяет снизить нагрузку на корневые сервера и предоставить необходимую автономию владельцам дочерних доменных зон.\nИтак, вы купили домен, скажем, example.org, после чего вы должны его делегировать, т.е. указать сервера имен (DNS-сервера), которые будут содержать записи данной файловой зоны. Это могут быть как ваши собственные сервера, так и публичные сервисы, например, DNS Яндекса.\nВ этом случае в доменной зоне org будет добавлена запись:\n1example IN NS dns1.yandex.net. Которая будет указывать, что все записи этой зоны расположены на сервере dns1.yandex.net. По правилам, каждая доменная зона должна иметь не менее двух NS-серверов, расположенных в разных подсетях. На практике часто обходятся одним сервером, приобретая для него два IP-адреса из разных диапазонов.\nТеперь разберем, каким образом происходит поиск необходимой нам DNS-записи и почему запись, сделанная на вашем сервере, позволяет попасть на ваш сайт посетителям из любой точки земного шара.\nДопустим, пользователь хочет посетить популярный ресурс Яндекс Маркет, он набирает в адресной строке браузера соответствующее имя сайта и нажимает кнопку Enter. Для того, чтобы отобразить пользователю содержимое страницы браузер должен отправить запрос обслуживающему сайт веб-серверу, а для этого нужно знать его IP-адрес. Поэтому браузер обращается к DNS-клиенту с целью узнать, какой адрес соответствует введенному пользователем доменному имени.\nВ свою очередь DNS-клиент проверяет записи в файле hosts, затем в локальном кэше и, не обнаружив там нужных записей, передает запрос указанному в сетевых настройках DNS-серверу. Скорее всего это будет локальный кэширующий DNS-прокси, например, dnsmasq или локальный DNS-сервер предприятия. Данные решения обычно не являются полноценными серверами глобальной системы DNS и не входят в нее, обслуживая только локальную зону и кэшируя DNS-запросы, поэтому такой запрос, если данных не оказывается в кэше, передается вышестоящему DNS-серверу, как правило это сервер провайдера.\nПолучив запрос, сервер провайдера проверит собственные записи, затем собственный кэш, и, если результат будет найден, сообщит его клиенту, в противном случае сервер вынужден будет прибегнуть к рекурсии - поиску в глобальной системе DNS. Чтобы лучше понять механизм данного процесса мы подготовили следующую схему: Выяснив адрес сервера, отвечающего за зону ru, сервер провайдера передаст запрос ему, но данный сервер также не имеет нужных записей, но сообщит, что за зону yandex отвечает сервер ns1.yandex.ru и обязательно сообщит его адрес. Иначе рекурсию завершить не удастся, так как за зону yandex отвечает сервер, находящийся в зоне yandex. Для этого в вышестоящей зоне, кроме NS-записи об обслуживающих зону серверах имен, создается \u0026quot;связанная\u0026quot; А-запись, которая позволяет узнать адрес такого сервера.\nНаконец, отправив запрос серверу, обслуживающему зону yandex, сервер провайдера получит адрес искомого домена и сообщит его клиенту. Также он поместит полученный результат в кэш на время, предусмотренное значением TTL в SOA-записи этого домена. На практике, так как рекурсивные запросы весьма затратны, время кэширования записей у провайдеров может игнорировать значения TTL домена и достигать значений от двух-четырех часов до нескольких дней или даже недели.\nТеперь рассмотрим еще один момент. Запросы могут быть рекурсивными или нерекурсивными. Рекурсивный запрос предусматривает получение готового ответа, т.е. IP-адреса или сообщения что домен не существует, не делегирован и т.п. Нерекурсивный запрос предусматривает ответ только о той зоне, за которую отвечает данный сервер или возврат ошибки.\nТак как рекурсивные запросы являются достаточно ресурсоемкими большинство серверов сети DNS обрабатывают рекурсивные запросы нерекурсивно. Либо могут делать это выборочно, например, DNS-сервера провайдера выполняют рекурсивные запросы только для своих клиентов, а остальные нерекурсивно.\nВ нашем случае клиент послал серверу провайдера рекурсивный запрос, который, в свою очередь, последовательно отправлял нерекурсивные запросы пока не нашел требуемый сервер, который дал необходимый ответ. При этом в кэш сервера провайдера помещаются не только результаты пользовательского запроса, но и результаты промежуточных запросов, что позволяет выполнять следующие такие запросы нерекурсивно или с минимальным количеством запросов.\nНапример, если пользователь после посещения Яндекс Маркета решит воспользоваться почтовым сервисом, то сервер сразу направит запрос к ns1.yandex.ru, так как уже знает, какой сервер содержит записи для зоны yandex.\nОт теории к практике Когда вы приобретаете у регистратора домен, вам будет предложено его делегировать, т.е. указать DNS-сервера, на которых будет расположена доменная зона. Это могут быть сервера регистратора (обычно бесплатно), сервера хостера, публичные DNS-сервисы или собственные сервера имен, если он будет расположен в этой же доменной зоне, то вам потребуется также указать IP-адреса. Например, так выглядит окно делегирования домена у одного известного регистратора: Что именно туда указывать? Это зависит от того, где и как вы будете размещать свой сайт. Если вы используете виртуальный хостинг, то все необходимые записи создаются хостером автоматически, при добавлении в панели управления хостингом вашего сайта, все что вам надо - это делегировать домен на NS-сервера хостера, т.е. указать их в данном окне. Этот способ хорошо подходит начинающим, благодаря своей простоте, но есть и обратная сторона, возможность управления DNS-зоной со стороны пользователя отсутствует или минимальна. Кроме того, на виртуальном хостинге IP-адрес сайта может быть изменен администраторами без уведомления пользователя, поэтому, если вы не хотите использовать NS-сервера хостера, то этот вопрос следует обязательно обсудить с техподдержкой.\nЕсли вы переносите сайт к другому хостеру, то вам потребуется перенести сайт и поменять у регистратора сервера имен старого хостера на сервера нового. Но учтите, что информация в кэше DNS-серверов обновляется не мгновенно, а, как минимум, по истечении значения TTL-домена, поэтому в течении некоторого времени ваш сайт может быть доступен еще по старому адресу. Если вам надо срочно с ним работать, то можете, не дожидаясь обновления DNS-кэша вашего провайдера, добавить в файл hosts запись следующего содержания:\n11.2.3.4 example.com Где 1.2.3.4 и example.com соответственно новый IP-адрес и имя вашего домена.\nЕсли у вас свой VPS или вы хотите полностью контролировать доменную зону, то следует воспользоваться серверами регистратора или публичными сервисами. Создание собственного сервера имен, на наш взгляд, не оправдывающая себя затея, если только вы не делаете собственный хостинг.\nВ этом случае вам нужно создать, как минимум, две А-записи, которые будут указывать на веб-сервер обслуживающий сайт в данном домене:\n1@ IN A 1.2.3.4 2www IN A 1.2.3.4 Символ \u0026quot;собачки\u0026quot; в DNS-записях обозначает сам домен, кроме того обязательно следует создать запись для поддомена www, чтобы пользователи, набравшие адрес сайта с www, также могли получить к нему доступ.\nМы не будем рассматривать добавление записей для электронной почты, об этом можно прочесть в нашей статье: Почтовый сервер для начинающих. Настраиваем DNS зону.\nПри переносе сайта вам потребуется изменить только IP-адреса в A-записях и дождаться обновления DNS информации. Обычно, это самый неприятный момент - вроде бы все сделано, но ничего изменить вы не можете, остается только ждать. Но если выполнить некоторые рекомендации, то данный процесс можно провести максимально безболезненно и незаметно для посетителей.\nПрежде всего измените значение TTL в SOA-записи. По-умолчанию оно равно нескольким часам и именно столько вам придется ждать обновления вашей записи в кэше DNS-серверов. Чтобы узнать текущее значение TTL можно выполнить команду, указав нужное доменное имя:\n1nslookup -typr=soa interface31.ru В нашем случае это 4 часа:\nПоэтому заранее, не менее 4 часов (старое значение TTL) до планируемого переноса, измените значение TTL на более низкое, например, 900 (15 минут). Затем переведите свой сайт в режим \u0026quot;только чтение\u0026quot; и перенесите его на новый сервер. Выключать или переводить на техобслуживание сайт не следует, он может и должен оставаться доступным. Но вы должны исключить изменение и добавление информации пользователями, т.е. запретить регистрацию, комментирование, размещение заказов и т.п. Также не забудьте разместить на видном месте сообщение о технических работах и примерный срок их завершения.\nДля того, чтобы работать с новым сервером, не изменяя DNS-записи, добавьте нужную строку в файл hosts. Разместив сайт на новой площадке и убедившись в его нормальной работе измените DNS-записи, теперь уже через 15 минут первые пользователи начнут посещать ваш сайт на новом сервере. Работоспособность старого сервера требуется поддерживать еще некоторое время, в идеале до недели, так как не все провайдеры используют значение TTL из SOA-записи для обновления кэша, для уменьшения нагрузки на оборудование могут быть использованы собственные настройки.\nПосле успешного переноса значение TTL следует увеличить до прежних значений, чтобы не создавать лишней нагрузки на сервера имен.\nМы рассмотрели самую простую схему, но на практике, кроме сайта, обычно есть еще офисная сеть, многие ресурсы которой должны быть также доступны извне. Рассмотрим следующую схему: У нас имеются публичные сервера для сайта и электронной почты и офисная сеть, для которой мы выделили поддомен office. Если с почтой и веб-сервером особых вопросов нет, то с офисной зоной есть варианты. Обычно локальная зона обслуживается собственным DNS и никак не связана с материнской зоной. Для глобальной системы DNS зона office.example.com не существует, но существует одноименный хост. Это оправдано, если сеть предприятия находится за NAT и ее узлы имеют только серые адреса, а доступ извне осуществляется только к шлюзу, на который проброшены соответствующие порты от внутренних узлов.\nВ этом случае DNS записи зоны example.com могут выглядеть следующим образом:\n1@ IN A 1.2.3.4 2www IN A 1.2.3.4 3mail IN A 1.2.3.5 4office IN A 5.6.7.8 Но возникает некоторая сложность, внутри сети клиенты обращаются к сетевым сервисам по внутренним именам: corp.office.example.com или rdp.office.example.com, которые указывают на внутренние \u0026quot;серые\u0026quot; адреса\u0026quot;. Однако за пределами локальной сети разрешить IP-адрес для таких имен не представляется возможным, так как содержащей их зоны для глобальной системы DNS не существует. Выйти из положения позволяет механизм, называемый Split-DNS, который позволяет отдавать различные результаты в зависимости от положения клиента.\nВ локальной сети DNS-запросы клиентов обслуживает локальный сервер, которые имеет соответствующие записи, за ее пределами запросы будут направлены серверу, обслуживающему зону example.com. При этом все корпоративные ресурсы, которые в локальной сети представлены различными серверами, извне доступны по единственному адресу: office.example.com. Поэтому самое время вспомнить о записи псевдонима или CNAME. Данная запись позволяет связывать с реальным именем хоста дополнительные мнемонические имена или псевдонимы. При этом учтите, что использовать в других записях псевдонимов недопустимо. В нашем случае следует добавить записи:\n1corp.office IN CNAME office.example.com. 2rdp.office IN CNAME office.example.com. Теперь клиент, вне зависимости от своего местоположения, может использовать для доступа к ресурсам одно и тоже имя, но результат получать при этом будет разный. В локальной сети он получит реальный адрес сервера и подключится напрямую, а за ее пределами будет направлен на шлюз сети.\nТакже записи типа CNAME можно использовать для перенаправления за пределы обслуживаемой доменной зоны. Главное условие - CNAME запись должна указывать на реальное имя в формате FQDN.\nЕще одно применение псевдонимов - это сокращение адреса. Допустим, в качестве почтового сервера для всего домена example.com мы хотим использовать сервер, который расположен в московском офисе и имеет адрес mail.office.msk.example.com, согласитесь, выглядит не слишком привлекательно. Гораздо удобнее был бы адрес вида mail.example.com, нет ничего проще, добавим следующую запись:\n1mail IN CNAME mail.office.msk.example.com. Но помните, что в остальных ресурсных записях следует использовать только реальные имена, поэтому такая запись будет неверной:\n1example.com. IN MX 10 mail Правильно будет так:\n1example.com. IN MX 10 mail.office.msk Напоследок поговорим о делегировании доменных зон. В примере выше мы рассмотрели ситуацию, когда внутри домена различным подразделениям выделены свои поддомены, так как у каждого подразделения имеется своя инфраструктура, то есть смысл делегировать им управление собственными доменными зонами. Для этого в зоне example.com следует разместить NS и связанную с ней A-запись для каждой зоны. Например:\n1msk IN NS ns1.msk.example.com. 2msk IN NS ns2.msk.example.com. 3 4ns1.msk IN A 1.2.3.4 5ns2.msk IN A 5.6.7.8 Теперь при обращении по адресу, скажем mail.office.msk.example.com сервера имен зоны example.com будут выдавать имя и адрес сервера, обслуживающего зону msk.example.com. Это позволяет администраторам зоны самостоятельно вносить необходимые изменения, не затрагивая при этом функционирования вышестоящей зоны и не обращаясь к ее администраторам по любому вопросу, требующему изменения записей.\n","id":"21ce01bb76530c3929e2d51c4f19cd64","link":"https://interface31.ru/post/sozdaem-svoy-sayt-nastroyka-dns-zony/","section":"post","tags":["DNS","Сайт","Сетевые технологии"],"title":"Создаем свой сайт. Настройка DNS-зоны"},{"body":"Современные условия, с широким распространением мобильных устройств и доступного интернета предъявляет новые требования к информационным системам даже небольших фирм. Если еще несколько лет назад удаленный доступ был уделом крупных организаций, то сегодня возможность доступа к информации из любого места воспринимается как нечто само собой разумеющееся. Сегодня мы расскажем, как быстро и без лишних затрат организовать веб-доступ к базам 1С:Предприятия работающих в файловом режиме.\nТрадиционная схема работы с 1С:Предприятием в файловом режиме подразумевает общий доступ к файлам информационной базы посредством протокола SMB (сети Microsoft). При этом один из компьютеров выступает в качестве файлового сервера, а другие работают с размещенной в общем доступе информационной базой. Также остро стоит вопрос с удаленным доступом, если для удаленных компьютеров еще можно организовать удаленный доступ посредством RDP, что, кстати, не всегда доступно для небольших фирм, не имеющих выделенного сервера, то с мобильными устройствами все довольно печально.\nВместе с тем управляемое приложение предоставляет новые возможности, такие как веб-доступ к информационной базе, в том числе работающей в файловом режиме. Это позволяет качественным образом изменить работу с информационной системой практически без дополнительных затрат. При этом не обязательно использование для работы браузера, получать доступ к базе через веб-сервер может также и платформа в режиме тонкого клиента. Эта возможность позволяет организовать доступ не только для удаленных и мобильных клиентов, но и улучшить работу на недостаточно производительных машинах в офисе, так как все основные вычисления будут выполняться на стороне сервера и передаваемый по сети трафик будет сведен к минимуму, как и нагрузка на компьютер клиента.\nНу и, конечно, появляются практически неограниченные возможности удаленного доступа к базе: из любого места, с любого устройства, был бы браузер.\nНиже мы рассмотрим возможные конфигурации для организации веб-доступа к небольшим базам, работающим в файловом режиме на базе клиентских операционных систем.\nНа настоящий момент поддерживаются два основных веб-сервера Apache и IIS, также на машине с веб-сервером должна быть обязательно установлена платформа и модули расширения веб-сервера. Их всегда можно установить дополнительно, просто запустив еще раз программу установки платформы: Windows и IIS Internet Information Services (IIS) по непонятным причинам не пользуется популярностью у администраторов и 1С-ников. А зря, игнорировать штатное решение в пользу некоторого стороннего ПО, пусть даже и неплохого, выглядит по крайней мере странно.\nДля установки IIS на клиентской ОС, в нашем случае Windows 7 x64, перейдите в Панель управления - Программы и компоненты - Включение и отключение компонентов Windows. В открывшемся окне выберите Службы IIS, затем, развернув список, перейдите в Службы интернета - Компоненты разработки приложений и установите флажок напротив Расширения ISAPI, остальные параметры можно оставить по умолчанию. После установки IIS перейдем к его настройке, для этого откройте Панель управления - Администрирование - Диспетчер служб IIS. Важно! Важно! Следующую настройку следует производить только в том случае, если вы будете использовать 32-разрядную платформу 1С:Предприятие.\nВ дереве слева выбираем Пулы приложений, щелкаем правой кнопкой мыши на DefaultAppPool - Дополнительные параметры и разрешаем 32-разрядные приложения, установив соответствующую опцию в True. Теперь выставим необходимые права для групп IUSR и IIS_IUSRS. На папку с информационной базой выдаем права Изменение и Чтение и выполнение: На папку bin платформы - Чтение и выполнение: Затем запускаем 1С:Предприятие от имени администратора и загружаем нужную информационную базу в режим конфигуратора. В меню АдминистрированиевыбираемПубликация на веб-сервере. 1С:Предприятие автоматически определит веб-сервер (IIS) и предложит разместить веб-приложение в корне веб-сервера в каталоге с именем папки информационной базы, которое также будет являться именем публикации, при необходимости можете изменить эти параметры. После чего нажимаем Опубликоватьи утвердительно отвечаем на предложение перезапустить веб-сервер.\nГотово! Для доступа к базе можем использовать адрес вида http://имя(адрес)_хоста/имя_публикации, в нашем случае http://192.168.3.109/Acc30, запускаем браузер и проверяем работу. Также можно настроить базу для работы с ней посредством платформы, для этого в диалоге добавления новой информационной базы указываете размещение на веб-сервере: Следующим шагом вводите адрес подключения: После запуска информационной базы можете убедиться, что работает она именно в режиме веб-сервера, а не файловом: Windows и Apache 2.2 Если вы по каким-либо причинам не хотите использовать IIS, можно настроить работу 1С с другим популярным веб-сервером Apache. К сожалению разработчики Apache перестали публиковать бинарные сборки для Windows, предлагая обратиться к своим партнерам, поэтому перейдем на сайт Apache Haus и скачаем сборку 2.2.х той же архитектуры, что и используемая вами платформа 1С:Предприятия, вне зависимости от разрядности операционной системы. Внимание! Внимание! Для получения сборки Apache следует пользоваться только надежными источниками, которые указаны на сайте проекта. От этого зависит безопасность вашего веб-сервера и ваших данных!\nТакже вам потребуется установить Распространяемый пакет Microsoft Visual C++ 2008, который нужен для нормальной работы сборки Apache.\nЗатем распакуем скачанный архив Apache в произвольную директорию, например, C:\\Apache22, из всего множества папок нас интересуют папки bin и htdocs, в первой расположены исполняемые файлы веб-сервера, во второй следует располагать веб-содержимое.\nОткроем командную строку с правами администратора и перейдем в директорию bin веб-сервера:\n1cd C:\\Apache22\\bin Теперь установим Apache как службу:\n1httpd -k install На предупреждения не обращаем внимания, для целей использования с 1С подойдет конфигурация Apache по умолчанию. Так как служба работает от имени системной учетной записи выставлять права на папки с базой и платформой не надо.\nЗатем точно также запускаем 1С от имени администратора в режиме конфигуратора и переходим к публикации на веб-сервере. В отличии от IIS, в данном случае платформа сама не может указать путь и создать папку, поэтому делаем это вручную. Папка должна быть создана внутри каталога htdocs и ее имя должно совпадать с именем публикации: В нашем случае это C:\\Apache22\\htdocs\\Acc30\\, кстати, создать нужный каталог можно прямо в диалоге выбора папки. После чего публикуем информационную базу.\nСледующий момент, 1С не умеет перезапускать данную сборку Apache, поэтому сделаем это вручную через оснастку Службы: После перезапуска веб-сервера опубликованная база станет доступна по тому же самому, как и в случае с IIS, адресу, точно также ничем не будет отличаться и работа с ней.\n","id":"d470ccbd8712cf3c7117c0d83e7ca32f","link":"https://interface31.ru/post/nastraivaem-web-dostup-dlya-1c-v-faylovom-rezhime/","section":"post","tags":["1С Предприятие 8.х","Apache","IIS","Web-сервер"],"title":"Настраиваем веб-доступ для 1С:Предприятия в файловом режиме"},{"body":"Многие, наверное, замечали, что время от времени компьютер начинает сильно снижать производительность и виной этому процесс (или даже несколько процессов) mscorsvw.exe, который используется службой NET Runtime Optimization Service. Но не все знают, для чего предназначена эта служба и каким образом можно ускорить ее работу. Чтобы устранить этот пробел мы, на основе материалов инженерной команды NET, подготовили данную статью.\nДля чего нужен и как работает .NET Framework? .NET Framework - программная платформа от компании Microsoft, которая позволяет разработчикам создавать приложения, не привязываясь к аппаратным особенностям платформы и версиям ОС. Написанное с помощью .NET Framework приложение будет одинаково работать в любой системе, где установлена данная платформа. Такой подход также позволяет облегчить разработку и устранить возможные конфликты версий библиотек, так как наличие необходимой версии платформы автоматически подразумевает наличие необходимых компонентов и их не требуется включать в поставку программы. В настоящий момент .NET Framework выпускается как свободное ПО под лицензией MIT.\nДля написания программного кода может быть использовать один из поддерживаемых платформой языков программирования, который затем компилируется в промежуточный байт-код CIL (Common Intermediate Language) и исполняется виртуальной машиной платформы CLR (Common Language Runtime). Использование виртуальной машины позволяет исполнять один и тот же код на системах с различными версиями аппаратной и программной платформы.\nПроще говоря, он будет одинаково эффективно работать и на одноядерном стареньком Pentium 4 c 32-битной системой, и на многоядерном Core i7 в современной 64-битной среде. При этом разработчику не надо вникать в тонкости работы платформы, это задача разработчиков .NET Framework.\nКак можно ускорить запуск и работу .NET Framework приложений? Несмотря на то, что современные процессоры уже давно позволяют эффективно использовать JIT-компиляцию (just in time, компиляция \u0026quot;на лету\u0026quot;), несложно заметить, что компилятор CLR будет выполнять много повторяющихся действий, каждый раз компилируя в машинный код используемой платформы CIL-код общих библиотек и компонентов. Этого можно избежать, если выполнить компиляцию один раз и разместить готовый машинный код в кэше.\nДля выполнения этой задачи предназначен механизм NGEN (The Native Image Generator) - генератор образов в машинном коде. Чтобы NGEN мог выполнять свою задачу в фоновом режиме предназначена служба .NET Runtime Optimization Service (mscorsvw.exe), которая запускается каждый раз после того, как набор библиотек .NET Framework был изменен.\nКогда это происходит? Прежде всего после установки данной платформы, но это довольно редкий сценарий, тем более что .NET Framework уже входит в состав современных версий Windows. Однако обновления для .NET Framework выпускаются достаточно регулярно, что заставляет mscorsvw.exe выполнять перекомпиляцию библиотек платформы.\nКак поясняют сотрудники инженерной команды NET, система обновлений Windows Update, через которую получает обновления и .NET Framework, настроена по-умолчанию таким образом, чтобы производить обновление системы в ночное время, когда компьютер не используется пользователем. Но иногда это сделать невозможно, например, если компьютер выключен, поэтому процесс обновления может начаться и посреди дня, в этот момент вы можете заметить снижение производительности системы, так как основные ресурсы будут заняты mscorsvw.exe. Как заставить mscorsvw.exe работать быстрее? Начавшийся в разгар рабочего дня ресурсоемкий процесс оптимизации .NET Framework конечно же неприятен и, чаще всего, пользователи, не разбираясь в причинах происходящего, завершают работу mscorsvw.exe или идут еще дальше и отключают службу. Однако делать этого не стоит, так как .NET Runtime Optimization Service выполняет важную задачу и поможет вашим приложениям работать эффективнее. В тоже время есть способ выполнить эту работу быстрее, по умолчанию служба использует только одно процессорное ядро, если разрешить ей использовать большее количество ядер (в настоящее время не более 6), то оптимизация будет выполнена за меньшее количество времени, и вы снова сможете вернуться к своей работе.\nДля запуска NGEN без ограничения на количество используемых ядер инженерная команда NET подготовила специальный скрипт:\nСкачать Сценарий WSH (зеркало)\nВам нужно будет запустить его из командной строки с правами администратора. Данный скрипт успешно работает в системах до Windows 7 / Server 2008R2 включительно. При его запуске в среде Windows 8.1 мы сталкивались с ошибками, поэтому для Windows 8 / Server 2012 следует использовать сценарий PowerShell (также никто не мешает его использовать и в среде Windows 7):\nСкачать Сценарий PowerShell (зеркало)\nТак как PowerShell, к сожалению, еще недостаточно знаком многим системным администраторам, остановимся на запуске сценария более подробно. Если вы просто попытаетесь его выполнить, то скорее всего получите следующую ошибку: По умолчанию выполнение сценариев PowerShell запрещено даже Администратору, что в общем-то правильно с точки зрения безопасности. Чтобы узнать текущие разрешения запустим среду исполнения PowerShell с правами администратора и выполним команду:\n1Get-ExecutionPolicy -list В ответ вы получите политики для различных уровней: текущего сеанса, текущего пользователя или компьютера. По-умолчанию политики не заданы: Undefined, что соответствует уровню Restricted, который разрешает запуск любых команд, но запрещает запуск скриптов. Для выполнения сценария нам нужно установить один из режимов разрешающий выполнение скриптов: Unrestricted или Bypass. В целях безопасности такой режим следует устанавливать только для текущего сеанса, т.е. на уровне Process. Для этого выполним команду:\n1Set-ExecutionPolicy Bypass -Scope Process После чего можем успешно выполнить наш сценарий без каких-либо ошибок: Что именно делает данный сценарий и можно ли обойтись без него? Данные скрипты были подготовлены для тех, кто не хочет иметь дело с командной строкой, если же вы предпочитаете делать все самостоятельно, то можете выполнить несколько команд вручную:\n.NET Framework 4 в Windows 7 и более ранних версиях: 1c:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\ngen.exe executeQueuedItems В 64-битных системах также выполните:\n1c:\\Windows\\Microsoft.NET\\Framework64\\v4.0.30319\\ngen.exe executeQueuedItems .NET Framework 4 в Windows 8 / 8.1: 1c:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\ngen.exe executeQueuedItems 2schTasks /run /Tn \u0026#34;\\Microsoft\\Windows\\.NET Framework\\.NET Framework NGEN v4.0.30319\u0026#34; В 64-битных системах также выполните:\n1c:\\Windows\\Microsoft.NET\\Framework64\\v4.0.30319\\ngen.exe executeQueuedItems 2schTasks /run /Tn \u0026#34;\\Microsoft\\Windows\\.NET Framework\\.NET Framework NGEN v4.0.30319 64\u0026#34; Если вы используете .NET 2.0 или 3.5, то команды будут следующими: 1c:\\Windows\\Microsoft.NET\\Framework\\v2.0.50727\\ngen.exe executeQueuedItems В 64-битных системах также выполните:\n1c:\\Windows\\Microsoft.NET\\Framework64\\v2.0.50727\\ngen.exe executeQueuedItems Эти команды должны быть выполнены в командной строке работающей с правами администратора, в противном случае вы получите ошибку выполнения.\n","id":"dbafd617a0454ea8880e41e3bdb4ca4c","link":"https://interface31.ru/post/pochemu-mscorsvwexe-silno-zagruzhaet-processor-i-kak-ego-mozhno-uskorit/","section":"post","tags":["NET Framework","Windows 7","Windows 8","Windows Server","Производительность"],"title":"Почему mscorsvw.exe сильно загружает процессор и как его можно ускорить"},{"body":"Вынесенный нами в заголовок вопрос довольно часто занимает умы системных администраторов. Действительно, что лучше, собрать из твердотельных дисков RAID массив, но потерять поддержку TRIM, или отказаться от отказоустойчивости в пользу высокой производительности? Ситуация усугубляется еще и тем, что немногие реально представляют себе механизмы внутренней работы SSD и ориентируются более на маркетинговые материалы, чем на реальную техническую необходимость.\nОсновной миф касательно SSD таков: на системах без поддержки TRIM производительность SSD будет стремительно деградировать. Почему и как это происходит обычно не сообщается, без TRIM будет плохо и точка. В тоже время большинство серверных конфигураций дисковой подсистемы TRIM не поддерживают, либо поддерживают, но в очень ограниченном объеме. При этом некоторую странность вызывает то, что ни производители железа, ни производители софта не спешат с этой \u0026quot;проблемой\u0026quot; что-либо делать.\nЧтобы понять, для чего нужен TRIM и что это, раздутый маркетологами термин или насущная необходимость, разберемся как работает SSD. Мы не будем вдаваться в технические подробности и сознательно упростим модель до уровня достаточного для понимания происходящих процессов.\nПервоначально вспомним, как воспринимают диск разные подсистемы ПК, участвующие в работе с ним. Приложения и ОС взаимодействуют с файловой системой, работая на уровне кластеров и таблицы файлов. О том, что находится ниже ОС не имеет никакого представления. Файловая система воспринимает диск как некоторое блочное устройство стандартного формата, также не сильно вникая в его внутреннюю суть, отдавая все вопросы на откуп драйверу контроллера запоминающих устройств. Тот, в свою очередь, воспринимает диск как некоторое LBA-устройство, не зная его внутренней структуры. О том, как именно конфигурация LBA соответствует физической конфигурации устройства знает только контроллер диска, который в свою очередь не имеет ни малейшего представления о файлах, разделах, кластерах и т.п.\nФизически пространство SSD делится на страницы, которые являются минимально адресуемым участком памяти, для того, чтобы изменить ячейку памяти, необходимо считать страницу, изменить в ней необходимые данные и записать ее на прежнее место. Здесь возникает первая сложность, в отличие от HDD, в SSD писать можно только в заранее очищенные ячейки. При этом технически очистить отдельную страницу нельзя, очистке подвергаются только группы страниц, объединяемые в блоки.\nРазмеры страниц и блоков зависят от конфигурации памяти конкретного SSD, но, как типичное, можно принять значение 4 КБ для страницы и 512 КБ для блока. А теперь представим, что мы открыли файл и изменили в нем 100 байт данных. Для HDD проблемы нет, он считает нужный сектор (512 байт), изменит данные и перезапишет его. В реальности будет все немного по-другому, так как минимально адресуемым пространством ФС является кластер, то HDD перезапишет соответствующее количество секторов, но никаких дополнительных накладных расходов это не вызовет.\nА вот SSD не может взять и просто так записать измененные данные. Для этого ему потребуется считать куда-то весь блок, очистить его и вернуть все данные назад. Поэтому вместо изменения и записи 4 КБ данных SSD придется записать 512 КБ данных, что не самым лучшим образом скажется на ресурсе ячеек. Кроме того, операция стирания ячеек достаточно медленная, по сравнению с записью в чистые ячейки и именно необходимостью стирания перед записью объясняется деградация производительности SSD.\nЧтобы решить эту проблему в SSD применяется алгоритм \u0026quot;копирование при записи\u0026quot;. Суть его заключается в следующем: при необходимости записи уже существующей страницы, она копируется в свободные ячейки, а сама помечается как доступная к очистке. Это позволяет SSD сразу записывать измененные данные, не вызывая каждый раз процедуру очистки и не перезаписывая остальные данные блока. Это будет продолжаться до тех пор, пока не кончатся свободные ячейки.\nНесложно заметить, что через некоторое время на диске вперемешку окажутся свободные, занятые и доступные к очистке страницы. Здесь вступает в действие алгоритм внутренней оптимизации, именуемый \u0026quot;сборкой мусора\u0026quot;. Он перемещает данные на SSD таким образом, чтобы сгруппировать доступные к очистке страницы в отдельные блоки и очистить их. Именно от эффективности данного механизма зависит, как долго диск сможет поддерживать высокую производительность при интенсивной записи на него. Основное условие высокой скорости записи на SSD - это наличие свободных ячеек. Эффективность алгоритма уборки мусора отвечает за то, как быстро доступные к очистке ячейки будут становиться свободными.\nИз-за чего наступает деградация? От того, что свободные ячейки кончаются, например, мы полностью заполнили пространство диска. В этом случае у SSD все равно остается пространство для маневра в виде резервной области, которая предназначена для замены вышедших из строя ячеек, но достаточного количества свободных страниц может не оказаться и там. Вопреки еще одному расхожему мнению, резервная область SSD используется всегда, это делается в целях выравнивания нагрузки, просто она недоступна для размещения пользовательских данных.\nЕсли размер резервной области небольшой, а интенсивность записи высокая, то сборщик мусора будет не успевать эффективно очищать блоки, и мы получим деградацию производительности диска.\nЗаметьте, мы до сих пор ни словом не обмолвились о команде TRIM. Может быть это какая-то передовая технология, включение которой поможет резко изменить ситуацию? К сожалению - нет! Для чего тогда нужен TRIM?\nСнова самое время вспомнить, что файловая система не имеет не малейшего представления о физическом размещении данных на носителе, это прерогатива контроллера диска. Поэтому удаление файла в современных файловых системах физически не происходит, удаляется только запись в таблице файлов, после чего данное место считается свободным. При этом сами данные будут находится на диске до тех пор, пока не будут перезаписаны. При этом файловая система никак не сообщает контроллеру о таких данных, и он продолжает считать эти ячейки занятыми. У SSD это приведет к ситуации аналогичной тому, когда диск полностью заполнен, хотя с точки зрения ФС там много свободного места и она будет пытаться писать туда.\nВ этом случае SSD будет полностью считывать блок в память, очищать его и заново записывать измененные данные. А как же технология сборки мусора? А никак, потому что убирать ей нечего. Эти ячейки свободны только с точки зрения файловой системы, с точки зрения контроллера диска в них записаны данные. Понять, что эту страницу можно очищать диск сможет только тогда, когда система попытается туда что-либо записать, а для того, чтобы быстро выполнить запись нужны свободные ячейки.\nДля того, чтобы файловая система сообщила контроллеру, что эти данные удалены и придумали команду TRIM, ее задача - пометить страницы с удаленными данными как доступные к очистке, а дальше в дело вступит все тот-же сборщик мусора.\nТаким образом команда TRIM никак не влияет на производительность SSD, если вы заполнили диск практически полностью, то получите деградацию производительности что с поддержкой TRIM, что без. Если вы удалите файлы и даже принудительно пошлете команду TRIM - чуда не произойдет, производительность будет оставаться низкой до тех пор, пока сборщик мусора не очистит достаточно свободных ячеек.\nЕсли мы разместим на SSD базу данных или виртуальный жесткий диск и будем активно работать с ними, то никакой TRIM нам не нужен. Если на диске достаточно свободных ячеек и эффективно работает сборщик мусора - производительность будет поддерживаться на высоком уровне. Падение производительности произойдет только тогда, когда количество свободных ячеек уменьшится и сборщик мусора не будет успевать очищать их в необходимых количествах. Это может произойти при использовании всего доступного пространства диска и TRIM на это никак повлиять не может.\nКоманда TRIM, в первую очередь, предназначена для настольных систем и системных разделов, где файлы активно создаются и удаляются, в большинстве серверных сценариев, где идет изменение уже записанных данных, необходимости в ней нет.\nЗдесь самое время вспомнить про корпоративные серии SSD, которые зачастую не блещут производительностью, но зато предлагают высокую надежность и поддерживают эффективную работу даже без поддержки TRIM. За счет чего это происходит? За счет большего размера резервной области. Это позволяет всегда иметь достаточный запас свободных ячеек и благотворно сказывается на эффективности работы сборщика мусора. Так как пользователь не может непосредственно писать в резервную область, то в ней могут быть страницы только трех видов: свободные, занятые и доступные к очистке. Занятых страниц, которые ФС считает свободными, там быть не может.\nОбычные SSD имеют размер резервной области в 6-7% от емкости диска, этого размера явно недостаточно для поддержания высокой производительности, корпоративные диски имеют гораздо больший объем резервной области, что напрямую сказывается на их стоимости. Это позволяет им уменьшить износ каждой доступной пользователю ячейки и эффективно работать в RAID-массивах без поддержки TRIM. Хотя если вы заполните твердотельный накопитель \u0026quot;под завязку\u0026quot;, то никакой TRIM вам не поможет.\nА что делать владельцам обычных или \u0026quot;корпоративных\u0026quot; бюджетных дисков? Ответ прост - обеспечить диск достаточным количеством свободных ячеек. Самый простой способ сделать это - разметить не всю доступную емкость диска. Как показывает практика - резерв в 20-25% емкости накопителя позволяет эффективно использовать даже полностью заполненный диск без поддержки команды TRIM.\nЧтобы убедиться в этом, мы провели небольшой эксперимент. Взяли старый SSD OCZ Agility 2 OCZSSD2-2AGTE60G, алгоритмы уборщика мусора которого в разы уступают современным алгоритмам, полностью заполнили его на системе без поддержки TRIM, затем еще раз сделали тоже самое, только создав \u0026quot;резервную область\u0026quot; в 25% емкости накопителя.\nИтак, диск очищен при помощи команды Secure Erase фирменной утилитой и все его ячейки являются свободными. Снимаем показатели быстродействия при помощи AS SSD Benchmark.\nСинтетика: Сценарии реального использования: Производительность данного SSD, по современным меркам, конечно невелика, но нас интересуют не абсолютные числа, а сохранение производительности при работе в тяжелых условиях, в этом случае использование старой модели даже интереснее, если справится она, то современные диски, с более совершенными алгоритмами уборки мусора, справятся тем более.\nПосле чего мы подключили его к виртуалке под управлением Windows Server 2003 и полностью заполнили, затем удалили все данные и вернули назад. Несмотря на то, что Windows 8.1, в которой мы производим замеры, есть поддержка TRIM - это ни на что не влияет, так как принудительно данную команду никто не посылал, а Windows 8.1 сделает это не раньше, чем запишет и удалит данные и то, только для этих страниц.\nДеградация производительности на лицо: Проседание производительности от 20 до 50% в синтетике и 30-35% в сценариях: Теперь снова выполним Secure Erase и разметим не все пространство диска, выделив под резерв 25%: Информация Важно! Перед тем как переразметить твердотельный диск его следует полностью очистить от данных при помощи фирменной утилиты для того, чтобы в резервную область попали только свободные ячейки. Если просто удалить разметку и выполнить ее заново или изменить границы разделов, то это не даст желаемого эффекта.\nЗатем снова заполним диск в среде Windows Server 2003 и удалим данные, после чего еще раз выполним тест: Диск уверенно держит производительность, так как свободных ячеек для записи достаточно, несмотря на то, что был заполнен полностью и с точки зрения контроллера SSD свободных ячеек в доступной пользователю части диска нет.\nКакие выводы следует сделать из этого материала? Несмотря на то, что в сознании многих TRIM является чуть ли не панацеей и обязателен к применению, на производительность диска он не влияет. Это всего лишь способ сделать работу уборщика мусора более эффективной. На производительность диска влияет только то, какое количество свободных ячеек есть в наличии и их достаточности для обслуживания текущих операций записи.\nЗа то, с какой скоростью диск и как эффективно диск способен очищать блоки, отвечает уборщик мусора. Более эффективный алгоритм уборщика позволяет использовать меньший размер резервной области.\nТакже следует помнить, что в большинстве серверных сценариев команда TRIM просто не требуется, поэтому если выбирать приходится между RAID без TRIM или одиночный диск с TRIM, выбирать следует первое. Тем более, что обеспечить высокую производительность диска несложно самостоятельно.\nИспользование одиночного диска с более частым бекапом также допустимо, но такое решение принимается, как правило, по экономическим соображениям.\n","id":"5af62206657ca1a9be584449be6202a2","link":"https://interface31.ru/post/mozhno-li-effektivno-ispolzovat-ssd-bez-podderzhki-trim/","section":"post","tags":["SSD","TRIM","Производительность"],"title":"Можно ли эффективно использовать SSD без поддержки TRIM?"},{"body":"В последнее время пользователи и администраторы все чаще начинают жаловаться, что новые конфигурации 1С, разработанные на основе управляемого приложения, работают медленно, в некоторых случаях неприемлемо медленно. Понятно, что новые конфигурации содержат новые функции и возможности, а поэтому более требовательны к ресурсам, но понимания, что в первую очередь влияет на работу 1С в файловом режиме у большинства пользователей нет. Постараемся исправить этот пробел.\nВ наших прошлых публикациях мы уже касались влияния производительности дисковой подсистемы на скорость работы 1С, однако данное исследование касалось локального использования приложения на отдельном ПК или терминальном сервере. В тоже время большинство небольших внедрений предполагают работу с файловой базой по сети, где в качестве сервера используется один из пользовательских ПК, либо выделенный файловый сервер на базе обычного, чаще всего также недорогого, компьютера.\nНебольшое исследование русскоязычных ресурсов по 1С показало, что данный вопрос старательно обходится стороной, в случае возникновения проблем обычно советуется переход к клиент-серверному или терминальному режиму. А также практически общепринятым стало мнение, что конфигурации на управляемом приложении работают значительно медленнее обычных. Как правило аргументы приводятся \u0026quot;железные\u0026quot;: \u0026quot;вот Бухгалтерия 2.0 просто летала, а \u0026quot;тройка\u0026quot; еле шевелится, безусловно, доля истины в этих словах есть, поэтому попробуем разобраться.\nПотребление ресурсов, первый взгляд Перед тем, как начать это исследование, мы поставили перед собой две задачи: выяснить, действительно ли конфигурации на основе управляемого приложения медленнее обычных и какие именно ресурсы оказывают первоочередное влияние на производительность.\nДля тестирования мы взяли две виртуальные машины под управлением Windows Server 2012 R2 и Windows 8.1 соответственно, выделив им по 2 ядра хостового Core i5-4670 и 2 ГБ оперативной памяти, что соответствует примерно средней офисной машине. Сервер разместили на RAID 0 массиве из двух WD Se, а клиент на аналогичном массиве из дисков общего назначения.\nВ качестве подопытных баз мы выбрали несколько конфигураций Бухгалтерии 2.0, релиза 2.0.64.12, которую затем обновили до 3.0.38.52, все конфигурации запускались на платформе 8.3.5.1443.\nПервое, что обращает на себя внимание, это выросший размер информационной базы \u0026quot;тройки\u0026quot;, причем существенно выросший, а также гораздо большие аппетиты к оперативной памяти: Мы уже готовы услышать привычное: \u0026quot;да чего они там такого добавили в эту тройку\u0026quot;, но давайте не будем спешить. В отличие от пользователей клиент-серверных версий, которые требуют наличия более-менее квалифицированного администратора, пользователи файловых версий крайне редко задумываются об обслуживании баз. Также редко об этом думают обслуживающие (читай - обновляющие) эти базы сотрудники специализированных фирм.\nМежду тем информационная база 1С - это полноценная СУБД своего формата, которая тоже требует обслуживания и для этого даже есть инструмент, который называется Тестирование и исправление информационной базы. Возможно злую шутку сыграло название, которое как-бы подразумевает, что это инструмент для устранения проблем, но низкая производительность - тоже проблема, а реструктуризация и реиндексация, вместе со сжатием таблиц - хорошо известные любому администратору СУБД средства оптимизации баз данных. Проверим? После применения выбранных действий база резко \u0026quot;похудела\u0026quot;, став даже меньше \u0026quot;двойки\u0026quot;, которую тоже никто никогда не оптимизировал, также немного уменьшилось потребление ОЗУ. В последствии, после загрузки новых классификаторов и справочников, создания индексов и т.п. размер базы вырастет, в целом базы \u0026quot;тройки\u0026quot; больше баз \u0026quot;двойки\u0026quot;. Однако более важно не это, если вторая версия довольствовалась 150-200 МБ оперативной памяти, то новой редакции нужно уже полгигабайта и из этого значения следует исходить, планируя необходимые ресурсы для работы с программой.\nСеть Пропускная способность сети - один наиболее важных параметров для сетевых приложений, особенно, как 1С в файловом режиме, перемещающих по сети значительные объемы данных. Большинство сетей небольших предприятий построены на базе недорогого 100 Мбит/с оборудования, поэтому мы начали тестирование именно со сравнения показателей производительности 1С в сетях 100 Мбит/с и 1 Гбит/с.\nЧто происходит при запуске файловой базы 1С по сети? Клиент скачивает во временные папки достаточно большое количество информации, особенно если это первый, \u0026quot;холодный\u0026quot;, запуск. На 100 Мбит/с мы ожидаемо упремся в ширину канала и загрузка может занять значительное время, в нашем случае около 40 секунд (цена деления графика - 4 сек). Второй запуск происходит быстрее, так как часть данных сохраняется в кэше и находится там до перезагрузки. Переход на гигабитную сеть способен значительно ускорить загрузку программы, как \u0026quot;холодный\u0026quot;, так и \u0026quot;горячий\u0026quot;, причем соотношение значений при этом соблюдается. Поэтому мы решили выразить результат в относительных значениях, взяв за 100% самое большое значение каждого замера: Как можно заметить из графиков, Бухгалтерия 2.0 загружается при любой скорости сети вдвое быстрее, переход со 100 Мбит/с на 1 Гбит/с позволяет ускорить время загрузки в четыре раза. Разницы между оптимизированной и неоптимизированной базами \u0026quot;тройки\u0026quot; в данном режиме не наблюдается.\nТакже мы проверили влияние скорости сети на работу в тяжелых режимах, например, при групповом перепроведении. Результат также выражен в относительных значениях: Здесь уже интереснее, оптимизированная база \u0026quot;тройки\u0026quot; в 100 Мбит/с сети работает с такой же скоростью, как и \u0026quot;двойка\u0026quot;, а неоптимизированная показывает вдвое худший результат. На гигабите соотношения сохраняются, неоптимизированная \u0026quot;тройка\u0026quot; также вдвое медленнее \u0026quot;двойки\u0026quot;, а оптимизированная отстает на треть. Также переход на 1 Гбит/с позволяет сократить время проведения в три раза для редакции 2.0 и в два раза для 3.0.\nДля того, чтобы оценить влияние скорости сети на повседневную работу мы воспользовались Замером производительности, выполнив в каждой базе последовательность заранее предопределенных действий. Собственно, для повседневных задач пропускная способность сети не является узким местом, неоптимизированная \u0026quot;тройка\u0026quot; всего лишь на 20% медленнее двойки, а после оптимизации оказывается примерно настолько же быстрее - сказываются преимущества работы в режиме тонкого клиента. Переход на 1 Гбит/с не дает оптимизированной базе никаких преимуществ, а неоптимизированная и двойка начинают работать быстрее, показывая небольшую разницу между собой.\nИз проведенных тестов становится очевидно, что сеть не является узким местом для новых конфигураций, а управляемое приложение работает даже быстрее обычного. Также можно рекомендовать переход на 1 Гбит/с если для вас критичны тяжелые задачи и скорость загрузки баз, в остальных случаях новые конфигурации позволяют эффективно работать даже в медленных 100 Мбит/с сетях.\nТак почему же 1С тормозит? Будем разбираться дальше.\nДисковая подсистема сервера и SSD В прошлом материале мы добились увеличения производительности 1С разместив базы на SSD. Возможно недостаточно производительности дисковой подсистемы сервера? Мы сделали замеры производительности дисковой сервера во время группового проведения сразу в двух базах и получили довольно оптимистичный результат. Несмотря на относительно большое количество операций ввода-вывода в секунду (IOPS) - 913, длина очереди не превысила 1,84, что для двухдискового массива очень хороший результат. Исходя из него можно сделать предположение, что зеркала из обычных дисков будет достаточно для нормальной работы 8-10 сетевых клиентов в тяжелых режимах.\nТак нужен ли SSD на сервере? Лучше всего ответить на этот вопрос поможет тестирование, которое мы провели по аналогичной методике, сетевое подключение везде 1 Гбит/с, результат также выражен в относительных значениях.\nНачнем со скорости загрузки базы. Может быть кому-то и покажется удивительным, но на скорость загрузки базы SSD на сервере не влияет. Основной сдерживающий фактор здесь, как показал предыдущий тест, пропускная способность сети и производительность клиента.\nПерейдем к перепроведению: Выше мы уже отмечали, что производительности дисковой вполне достаточно даже для работы в тяжелых режимах, поэтому на скорость проведения SSD также не оказывает влияния, кроме неоптимизированной базы, которая на SSD догнала оптимизированную. Собственно, это еще раз подтверждает, что операции оптимизации упорядочивают информацию в базе данных, уменьшая количество случайных операций ввода вывода и повышая скорость доступа к ней.\nНа повседневных задачах картина аналогичная: Выигрыш от SSD получает только неоптимизированная база. Вы, конечно, можете приобрести SSD, но гораздо лучше будет задуматься о своевременном обслуживании баз. Также не забывайте о дефрагментации раздела с информационными базами на сервере.\nДисковая подсистема клиента и SSD Влияние SSD на скорость работы локально установленной 1С мы разбирали в предыдущем материале, многое из сказанного справедливо и для работы в сетевом режиме. Действительно, 1С достаточно активно использует дисковые ресурсы, в том числе и для фоновых и регламентных задач. На рисунке ниже можно видеть, как Бухгалтерия 3.0 довольно активно обращается к диску в течении порядка 40 секунд после загрузки. Но при этом следует осознавать, что для рабочей станции где активная работа производится с одной - двумя информационными базами ресурсов производительности обычного HDD массовой серии вполне достаточно. Приобретение SSD способно ускорить некоторые процессы, но радикального ускорения в повседневной работе вы не заметите, так как, например, загрузка будет ограничиваться пропускной способностью сети.\nМедленный жесткий диск способен замедлить некоторые операции, но сам по себе являться причиной торможения программы не может.\nОперативная память Несмотря на то, что оперативка сейчас неприлично дешева, многие рабочие станции продолжают работать с тем объемом памяти, который был установлен при покупке. Вот тут и подстерегают первые проблемы. Уже исходя из того, что в среднем \u0026quot;тройке\u0026quot; требуется около 500 МБ памяти можно предположить, что общего объема оперативной памяти в 1ГБ для работы с программой будет недостаточно.\nМы уменьшили память системы до 1 Гб и запустили две информационные базы. На первый взгляд все не так и плохо, программа поумерила аппетиты и вполне уложилась в доступную память, но не будем забывать, что потребность в оперативных данных не изменилась, так куда же они делись? Сброшены в дисковый, кэш, подкачку и т.п., суть этой операции состоит в том, что не нужные в данный момент данные отправляются из быстрой оперативной памяти, количества которой недостаточно, в медленную дисковую.\nК чему это приведет? Посмотрим, как используются ресурсы системы в тяжелых операциях, например, запустим групповое перепроведение сразу в двух базах. Сначала на системе с 2 ГБ оперативной памяти: Как видим, система активно использует сеть, для получения данных и процессор для их обработки, дисковая активность незначительна, в процессе выполнения обработки она эпизодически вырастает, но не является сдерживающим фактором.\nТеперь уменьшим память до 1 ГБ: Ситуация радикальным образом меняется, основная нагрузка теперь приходится на жесткий диск, процессор и сеть простаивают, ожидая пока система считает с диска в память нужные данные и отправит туда ненужные.\nПри этом даже субъективная работа с двумя открытыми базами на системе с 1 ГБ памяти оказалась крайне некомфортной, справочники и журналы открывались со значительной задержкой и активным обращением к диску. Например, открытие журнала Реализация товаров и услуг заняло около 20 секунд и сопровождалось все это время высокой дисковой активностью (выделено красной линией). Чтобы объективно оценить влияние оперативной памяти на производительность конфигураций на основе управляемого приложения мы провели три замера: скорость загрузки первой базы, скорость загрузки второй базы и групповое перепроведение в одной из баз. Обе базы полностью идентичны и созданы копированием оптимизированной базы. Результат выражен в относительных единицах. Результат говорит сам за себя, если время загрузки вырастает примерно на треть, что еще вполне терпимо, то время выполнения операций в базе вырастает в три раза, ни о какой комфортной работе в таких условиях говорить не приходится. Кстати, этот тот случай, когда покупка SSD способна улучшить ситуацию, но гораздо проще (и дешевле) бороться с причиной, а не с последствиями, и просто купить нужное количество оперативной памяти.\nНедостаток оперативной памяти - основная причина по которой работа с новыми конфигурациями 1С оказывается некомфортной. Минимально подходящими следует считать конфигурации с 2 ГБ памяти на борту. При этом учитывайте, что в нашем случае были созданы \u0026quot;тепличные\u0026quot; условия: чистая система, запущены только 1С и диспетчер задач. В реальной жизни на рабочем компьютере как правило открыты браузер, офисный пакет, работает антивирус и т.д, и т.п., поэтому исходите из потребности 500 МБ на одну базу плюс некоторый запас, чтобы при тяжелых операциях вы не столкнулись с недостатком памяти и резким снижением производительности.\nПроцессор Центральный процессор без преувеличения можно назвать сердцем компьютера, так как именно он, в конечном итоге, осуществляет обработку всех вычислений. Чтобы оценить его роль мы провели еще один набор тестов, такой же, как и для оперативной памяти, уменьшив количество доступных виртуальной машине ядер с двух до одного, при этом тест выполнялся два раза с объемами памяти в 1 ГБ и 2 ГБ. Результат оказался довольно интересным и неожиданным, более мощный процессор довольно эффективно брал на себя нагрузку в условиях недостатка в ресурсах, в остальное время не давая каких-либо ощутимых преимуществ. 1С Предприятие (в файловом режиме) сложно назвать приложением, активно использующим процессорные ресурсы. А в тяжелых условиях на процессор ложится нагрузка не столько по обсчету данных самого приложения, сколько обслуживания накладных расходов: дополнительных операций ввода вывода и т.п.\nВыводы Итак, почему тормозит 1С? В первую очередь это недостаток оперативной памяти, основная нагрузка в этом случае ложится на жесткий диск и процессор. А если они не блистают производительностью, как это обычно бывает в офисных конфигурациях, то получаем ситуацию, описанную в начале статьи - \u0026quot;двойка\u0026quot; работала нормально, а \u0026quot;тройка\u0026quot; безбожно тормозит.\nНа второе место стоит вынести производительность сети, медленный 100 Мбит/с канал способен стать реальным бутылочным горлышком, но в тоже время режим тонкого клиента способен поддерживать довольно комфортный уровень работы даже на медленных каналах.\nЗатем следует обратить внимание на дисковую, покупка SSD вряд ли будет хорошим вложением денег, а вот заменить диск на более современный будет не лишним. Разницу между поколениями жестких дисков можно оценить по следующему материалу: Обзор двух недорогих дисков серии Western Digital Blue 500 ГБ и 1 ТБ.\nИ наконец процессор. Более быстрая модель конечно же не будет лишней, но большого смысла увеличивать его производительность нет, если только данный ПК не используется для тяжелых операций: групповых обработок, тяжелых отчетов, закрытия месяца и т.п.\nНадеемся данный материал поможет вам быстрее разобраться в вопросе \u0026quot;почему тормозит 1С\u0026quot; и решить его наиболее эффективно и без лишних затрат.\n","id":"3a80d6d30d59f1edf779cba3b2553cb2","link":"https://interface31.ru/post/pochemu-tormozit-1s-faylovyy-rezhim/","section":"post","tags":["1С Предприятие 8.х","Диагностика","Производительность"],"title":"Почему тормозит 1С. Файловый режим"},{"body":"Любое обновление, особенно если оно затрагивает системные файлы - потенциальная угроза стабильности системы. Несмотря на то, что обновления тестируются как самой компанией Microsoft, так и администраторами самостоятельно, ситуации, когда установка обновления приводит к полной неработоспособности системы, время от времени случаются. Что делать в этом случае? Об этом мы расскажем в данной статье.\nОсновная проблема, она же несомненное достоинство, Windows-систем - это их разнообразие. Количество возможных сочетаний аппаратного обеспечения и работающего на нем ПО подсчитать практически нереально, поэтому, как тщательно не тестируй обновления, всегда может найтись такая комбинация железа и софта, которая окажется несовместимой с данным обновлением. Чаще всего проблемы связаны со сторонними драйверами или низкоуровневым ПО, работающем на уровне ядра.\nОтдельный разговор - нелицензионные системы. Чаще всего обход активации осуществляется патчем и заменой ядра. Это уже само по себе небезопасно и чревато потенциальными проблемами, а при обновлениях, затрагивающих ядро вы рискуете получить отказ системы, что уже не раз происходило. Также подвержены этому недостатку и различные любительские сборки, доступные в сети интернет, многие сборщики сразу включаю в систему патченное ядро или принудительно запускают активатор сразу после установки, не проверяя наличие и валидность ключа системы.\nТак произошло и в минувший вторник патчей. Очередное обновление безопасности KB3045999 для Windows 7 при перезагрузке приводило к \u0026quot;синему экрану смерти\u0026quot; (BSOD). Не будем обсуждать моральные и юридические аспекты использования нелицензионного ПО, пусть каждый решает этот вопрос самостоятельно, а лучше рассмотрим способы восстановления работы системы.\nУстановочный диск или Windows PE Это самый доступный, хотя и не самый простой способ. Подойдет любой диск от совместимой системы, единственное условие - соблюдение разрядности. Также следует помнить об обратной совместимости, т.е. для восстановления Windows 7 вы можете использовать диски не только от Windows 7 и Server 2008 R2, но и Windows 8 / Server 2012. В ряде случаев можно попробовать использовать диск от более ранней системы, но при этом не все возможности могут быть доступны, например, реализовать нижеприведенные инструкции с диском от Windows Vista / Server 2008 не получится.\nЕсли вы используете Windows PE, то он также должен быть создан на базе текущей версии ОС или более поздней, разрядность также должна совпадать.\nЗагрузимся с установочного диска и на экране, предлагающем установку ОС выберем пункт Восстановление системы. Утилита определит установленную ОС и предложит перейти к автоматическому восстановлению системы, вариантов здесь немного, поэтому нажимаем Далее. А вот дожидаться окончания работы мастера совершенно необязательно, тем более что помочь он нам не сможет, поэтому на следующем экране нажимаем Отмена. Затем не спешим и в появившемся окне выбираем ссылку Показать дополнительные возможности восстановления системы. Теперь у вас появилась возможность выйти в командную строку, чем и следует воспользоваться. Если вы загрузились с Windows PE, то попадете в командную строку сразу.\nПосле чего следует уточнить какую букву получил системный диск. При стандартной разметке это будет буква D, букву С получит служебный раздел. Для проверки выполним:\n1dir d: Убедившись, что это действительно системный диск, можно переходить к следующим шагам. Перед этим было бы неплохо уточнить наименование проблемного обновления, как правило это несложно сделать при помощи сети интернет. Затем получим список всех установленных пакетов следующей командой:\n1DISM /Image:D:\\ /Get-Packages В выводе находим номер необходимого обновления и копируем имя пакета, если оно неизвестно, то удалите все пакеты с датой последнего обновления. Для того, чтобы скопировать наименование пакета в командной строке выделите его и нажмите клавишу Enter, для вставки достаточно щелкнуть правой кнопкой мыши.\nДля удаления пакета выполните команду:\n1DISM /Image:D:\\ /Remove-Package /PackageName:Package_for_KB3045999~31bf3856ad364e35~amd64~~6.1.1.1 где в качестве опции PackageName укажите имя пакета, полученное на предыдущем шаге. Microsoft Diagnostics and Recovery Toolset Набор инструментов диагностики и восстановления (Microsoft Diagnostics and Recovery Toolset, MSDaRT) - средство, основанное на ERD Commander от Sysinternals и доступное по подписке Software Assurance (SA), однако его несложно найти в сети. Для работы с Windows 7 потребуется MSDaRT не ниже версии 6.5, актуальной является версия 8.0\nЗагружаемся с диска MSDaRT, помните, что обязательным требованием является соблюдение разрядности, и на первом экране, после выбора языка (в нашем случае используется версия 8.0), выбираем Диагностика: Затем Microsoft Diagnostics and Recovery Toolset: После чего перед вами откроется окно с выбором доступных инструментов, нас интересует Hotfix Uninstall или Удаление исправлений. Работа с мастером не представляет сложности, выбираем одно или несколько обновлений и удаляем их: Как видим, работа с MSDaRT гораздо удобнее, чем с командной строкой, но требует подготовиться к возможным нештатным ситуациям заранее.\nВ обоих случаях после удаления проблемного обновления следует перезагрузиться и тщательно проанализировать причины сбоя. Надеемся, что данный материал поможет вам быстро восстановить работоспособность системы после неудачного обновления.\n","id":"6aa5590ce85532fc15e433670772941b","link":"https://interface31.ru/post/kak-udalit-paket-obnovleniya-esli-zagruzit-sistemu-nevozmozhno/","section":"post","tags":["Windows 7","Windows 8","Windows Server","Windows Server 2012","Windows Update","Восстановление системы","Диагностика"],"title":"Как удалить пакет обновления, если загрузить систему невозможно"},{"body":"В одном из прошлых выпусков наших заметок мы рассказывали, как бесплатно и легально получить актуальные образы Windows 8.1. Однако этот способ подходит только для электронных и распространяемых через OEM-канал версий. Если вы попробуете установить такой дистрибутив с ключом от коробочной версии системы, то получите сообщение о неподходящем ключе. В данном материале мы расскажем, каким образом можно скачать образ коробочной версии Windows 8.1, если такая необходимость возникнет.\nС коробочными версиями проще, чем с электронными или OEM-лицензиями, в комплекте всегда идет установочный носитель. Но бывают ситуации, когда нужно получить свежую версию образа, со всеми вышедшими на данный момент обновлениями. Другая ситуация - отсутствие на целевом ПК и в доступной близости DVD-привода, зато наличие скоростного интернета, в наши дни такое случается довольно часто.\nТак произошло и в нашем случае, на объекте у заказчика обнаружилась партия новых ПК без оптических приводов, стопка коробочных дистрибутивов и кабель со интернетом. Попытка использовать полученный нами ранее образ потерпел ожидаемое фиаско. Многие на этом остановятся и пойдут искать дистрибутив на торрентах и в иных, не менее сомнительных, источниках. В тоже время существует официальный инструмент, который позволяет получить дистрибутив коробочной версии Windows 8 / 8.1 бесплатно.\nДля этого перейдите на следующую страницу сайта Microsoft и скачайте инструмент для приобретенной вами версии Windows.\nСкачать Внимание, в настоящий момент ссылка недействительна, вы можете скачать инструмент с нашего сайта.\nСразу обращаем ваше внимание: Windows 8 и Windows 8.1 это разные операционные системы. Лицензионная политика Microsoft разрешает всем легальным пользователям Windows 8 бесплатное обновление до Windows 8.1, но установить Windows 8.1 используя ключ от Windows 8 нельзя. Поэтому если вы являетесь обладателем лицензии на Windows 8 вам потребуется скачать образ именно для этой версии Windows, установить его и только потом обновить до Windows 8.1, используя встроенные инструменты.\nЧтобы получить дистрибутив запустите скачанную утилиту. Прежде всего она потребует ввести лицензионный ключ, который находится на карточке внутри коробки с Windows. После анализа ключа будут определены доступные вам редакции Windows: После нажатия на кнопку Далее начнется скачивание подходящего вам дистрибутива. Утилита не предлагает выбрать разрядность скачиваемого дистрибутива, автоматически выбирая ее на основании разрядности системы, в которой была запущена, поэтому если вам нужен 32-х разрядный дистрибутив, то запустите утилиту в среде 32-х разрядной системы. После окончания скачивания вам будет предложено начать установку на текущем ПК, отложить ее или создать установочный носитель. Вне зависимости от вашего выбора на рабочем столе будет создан ярлык, который позволит вернуться на данный экран, все скачанные файлы и сама утилита располагаются в папке C:\\Users\\%UserName%\\AppData\\Local\\Microsoft\\WebSetup.\nВыбрав создание носителя вам будет предложено два варианта: ISO-образ или USB-флеш. Вы можете создать их оба, несколько раз запустив утилиту. Как видим, компания Microsoft последнее время серьезно изменила свое отношение к доступности и легальности использования дистрибутивов своих операционных систем в электронном виде. Надеемся, что данный материал поможет вам при необходимости получить легальный образ коробочной версии Windows 8 / 8.1.\n","id":"22f281db6ba414ae350432bb150cd588","link":"https://interface31.ru/post/adminu-na-zametku-15-kak-poluchit-aktual-nyy-obraz-korobochnoy-versii-windows-8/","section":"post","tags":["Windows 8","Развертывание"],"title":"Админу на заметку -15. Как получить актуальный образ коробочной версии Windows 8.1"},{"body":"Технологии не стоят на месте и то, что еще недавно считалось лидером рынка, становится обыденностью, а затем и вовсе уступает место новым разработкам. Глядя на рынок HDD можно подумать, что прогресс обходит его стороной, да, растет емкость, но характеристики популярных моделей вроде бы остаются неизменными. Да, современные жесткие диски не ставят рекордов скорости, но если сравнить современные диски с их аналогами двух-трех летней давности, то прогресс будет налицо.\nДва с половиной года назад мы рассматривали двухтерабайтный жесткий диск Seagate Barracuda ST2000DM001, отметив его привлекательную цену и очень неплохие характеристики. Сегодня к нам в руки попал его прямой потомок Seagate Desktop HDD ST1000DM003 емкостью 1 ТБ, который, как нетрудно заметить из номера модели, принадлежит уже к третьему поколению данной серии. Надо отметить, что основная эволюция HDD идет по пути увеличения плотности записи, что позволяет получить большую емкость при сохранении размеров и числа пластин. Побочный эффект от этого - рост скорости линейного доступа, ведь теперь за единицу времени мимо головки пройдет большее число секторов. К сожалению, это практически не влияет на скорость случайного доступа, так как время оборота диска остается неизменным, поэтому данный параметр продолжает оставаться узким местом накопителей на жестких магнитных дисках.\nЧто касается выбора конкретной модели, то сегодня, выбирая диск для производительной рабочей станции основное внимание приходится уделять дискам емкостью 1ТБ, так как диски меньшего объема обычно представлены старыми моделями, при этом не сильно выигрывая в цене. Так разница в рознице между данным диском и Seagate Barracuda 7200.12 ST500DM002 предыдущего поколения составляет около 100-150 рублей. Что касается ближайших конкурентов от Toshiba и WD, то здесь также установился примерный паритет - WD и Seagate стоят примерно одинаково, Тoshiba в большинстве случаев несколько дешевле.\nТак как мы недавно протестировали два терабайтных диска от конкурентов: Western Digital Caviar Blue WD10EZEX и Toshiba DT01ACA100, то у нас появится хорошая возможность сравнить их между собой, а также оценить степень прогресса, в сравнении с моделью Seagate двухлетней давности.\nПеред тем как перейти к тестированию, обратим внимание на один момент: Seagate, по примеру WD, также перешла к \u0026quot;цветовой дифференциации штанов\u0026quot;. Вместо малопонятных рядовому потребителю Барракуд, Гепардов и Созвездий, потребительский сектор представлен понятными Desktop SHDD, Desktop HDD и NAS. В ноутбучном сегменте аналогичные серии с приставкой Lаptop и т.д. и т.п. Получилось даже понятнее цветных серии WD, взяв в руки, скажем, Laptop Ultrathin HDD - понимаешь, что это ультратонкий диск для ноутбуков.\nТестирование, по уже сложившейся традиции, начнем с CrystalDiskMark: По скорости последовательного доступа диск ничем не выделяется среди одноклассников, зато хорошо виден прирост по сравнению с моделью двухлетней давности, там мы отмечали 140 МБ/с, как отличный результат, сегодня же норма 185-190 МБ/с. А вот характеристики случайного доступа можно сказать не изменились, в тоже время данная модель уступает современному WD и превосходит диск Toshiba, у которого данный параметр вовсе находится на уровне экономичных или ноутбучных моделей.\nБолее подробные характеристики мы можем получить при помощи другого тестового пакета HD Tune Pro: Кривые чтения и времени доступа у всех современных дисков примерно равны, выделить кого-либо не представляется возможным, кроме Toshiba с нетипично высоким временем доступа в 19 мс. В тоже время диск выгодно отличается от предшественника более ровным графиком, у ST2000DM001 и других дисков данной серии нестабильность графика чтения с колебаниями до 50 МБ/с была их \u0026quot;визитной карточкой\u0026quot;. Файловый тест отличается некоторой нестабильностью графика, на те же самые 50 МБ/с, и таким же завалом в области малых размеров блоков, как и у WD. Хотя в целом тест типичен для дисков общего назначения и делать какие-то выводы на его основании не следует. Если сравнивать с предыдущей моделью, то можно отметить нестабильность графиков как отличительную особенность данной серии. Еще один важный тест на случайный доступ. А здесь Seagate ощутимо опередил с 71-72 IOPS как WD Blue с его 62-63 IOPS, так и Toshiba с совсем уж неприличными 53-54 IOPS. Хотя в самом первом тесте в случайном чтении победил WD, однако там измерялась скорость, а не операции ввода-вывода, тогда как в случайных сценариях более важны последние.\nЗакончив с синтетикой, перейдем к тесту Intel NASPT, который позволяет оценить диск в реальных сценариях. Данный тест можно разделить на несколько сценариев. В мультимедийном тесте производится запись-воспроизведение тяжелого контента с последовательным характером чтения - HD видео. В этой части пальму лидерства держит WD, Seagate и Toshiba показывают примерно равный результат.\nА вот в области работы с офисными нагрузками диск неожиданно показал результат своего предшественника, уступив конкурентам. Однако данный сценарий является чисто умозрительным, на практике вы вряд ли заметите разницу невооруженным глазом.\nФайловые операции вполне ожидаемо также остаются за WD, при этом значительной разницы между Seagate и Toshiba не наблюдается. А вот на операциях с директориями, которые представляют собой разветвленную структуру папок с небольшими файлами, Seagate вырывается в лидеры и догоняет WD, в то время как Toshiba стремительно сдает позиции.\nВ заключение также традиционно посмотрим на то, как диск держит многопоточную нагрузку. В один поток вопросов нет, диск вполне стабильно держит нагрузку, до практически прямой линии у WD ему далеко, но и зигзагов предшественника на графике тоже нет, по сравнению с первым поколением прогресс налицо. В два потока стабильность и скорость чтения падают, значительно уступая WD и показывая результат на уровне Toshiba. В четыре потока картина та же самая. Диск не допускает сильных провалов, но производительность его ниже, чем WD Blue. Если отвлечься от абсолютных цифр и сравнить поведение дисков Seagate разных поколений, то увидим, что оно идентично. Это в общем то понятно, диски общего назначения не тот сегмент куда в первую очередь внедряются технологические новинки. Зато можно констатировать планомерное подтягивание параметров для сохранения дисками актуальности на рынке.\nВыводы Как и прошлый раз, никаких особых выводов и рекомендаций не будет. Seagate уверенно держит планку и перед нами снова крепкий середнячок, который хорошо подойдет и для рабочей станции, и для домашнего ПК, а достаточно большой уровень IOPS позволяет применять его в серверах начального уровня, когда бюджет существенно ограничен. Если же вам нужен диск для работы с тяжелым контентом (видеомонтаж и т.п.), то лучше будет обратить внимание на WD10EZEX. Что касается общих задач, то выбор между WD и Seagate можно свести к личным предпочтениям и цене, существенной разницы в повседневной работе вы не заметите.\n","id":"bf525f7e822af1b1432e04babafe3622","link":"https://interface31.ru/post/seagate-desktop-hdd-1-tb-po-prezhnemu-nedorogo-i-serdito/","section":"post","tags":["HDD","Seagate"],"title":"Seagate Desktop HDD 1 ТБ. По-прежнему недорого и сердито"},{"body":"OpenVPN пользуется заслуженной популярностью у системных администраторов, когда нужно быстро и эффективно соединить VPN-каналами удаленные офисы. Сегодня предлагаем вам статью нашего читателя в которой он расскажет вам как настроить безопасный канал между офисами с дополнительной парольной защитой на платформе Windows.\nИ так нам нужно организовать VPN канал между двумя офисами. Сеть Офис 1 (назовем его С_ОФ1) и Сеть Офис 2 (назовем его С_ОФ2).\nСкажу сразу что в моем случае OpenVPN в обоих офисах установлен на Windows 7.\nС_ОФ1 включает: Машина куда ставим OpenVPN Server имеет 2 сетевых интерфейса. Также на ней установлен прокси-сервер который раздает инет в локалку, тем самым являясь для всех машин в локалке основным шлюзом(192.168.0.100) 192.168.0.100 смотрит в сеть 192.168.1.2 смотрит в мир через роутер. Роутер имеет статический IP скажем 111.222.333.444. На роутере сделан проброс порта 1190 (в моем случае порт 1190 проброшена на 192.168.1.2) Пользователь в сети: 192.168.0.50\nС_ОФ2 включает: Машина куда ставим OpenVPN Client имеет 2 сетевых интерфейса. Также на ней установлен прокси-сервер который раздает инет в локалку, тем самым являясь для всех машин в локалке основным шлюзом(172.17.10.10) 172.17.10.10смотрит в сеть 192.168.1.2 смотрит в мир через роутер. Пользователь в сети: 172.17.10.50\nЗадача: Пользователь С_ОФ1(192.168.0.50) должен видеть расшареные ресурсы на Пользователе С_ОФ2 (172.17.10.50) и наоборот. Приступаем к настройке Скачиваем OpenVPN с официального сайта в соответствии с разрядностью системы. Запускаем установку, на 3-м шаге активируем неактивные пункты. Следующий шаг - путь для установки. Чтобы облегчить себе дальнейшую жизнь, устанавливаем в корень диска С. В процессе установки в систему инсталлируется виртуальный сетевой адаптер TAP-Win32 Adapter V9 и, соответственно, драйвер к нему. Этому интерфейсу программа OpenVPN как раз и будет назначать IP адрес и маску виртуальной сети OpenVPN. В нашем случае ему назначен адрес 10.10.10.1с маской 255.255.255.0 на сервере С_ОФ1 и 10.10.10.2 с аналогичной маской на клиенте С_ОФ2. Переименуем его в \u0026quot;VPN\u0026quot; В директории \u0026quot;C:\\OpenVPN\u0026quot; следует сразу же создать дополнительно папку ssl (здесь мы будем хранить ключи аутентификации) папку ccd (здесь будут находится конфигурация настроек сервера для клиента).\nВ папке easy-rsa создаем файл vars.bat, данный пакетный файл будет задавать переменные для сеанса генерации сертификатов, в той части что касается организации и расположения заполняем своими данными.\n1set HOME=C:\\OpenVPN\\easy-rsa 2set KEY_CONFIG=openssl-1.0.0.cnf 3set KEY_DIR=C:\\OpenVPN\\ssl 4set KEY_SIZE=1024 5set KEY_COUNTRY=RU 6set KEY_PROVINCE=Stavropol 7set KEY_CITY= Stavropol 8set KEY_ORG=ServerVPN 9set KEY_EMAIL=admin@localhost 10set KEY_CN=test 11set KEY_NAME=test 12set KEY_OU=test 13set PKCS11_MODULE_PATH=test 14set PKCS11_PIN=1234 Запускаем командную строку от имени администратора. Переходим по пути C:\\OpenVPN\\easy-rsa, набрав для перехода в командной строке команду\n1 cd C:\\OpenVPN\\easy-rsa Запускаем vars.bat: Далее запускаем clean-all.bat: Теперь запускаем build-ca.bat. Так как вся информация о сервере у нас уже заполнена, все оставляем без изменений: после этого у нас в папке ssl появится два файла ca.crt и ca.key.\nЗапускаем build-dh.bat: в результате у нас в папке ssl появится файл dh1024.pem.\nСоздаем серверный ключ, для этого вводим команду:\n1build-key-server.bat ServerVPN где \u0026quot;ServerVPN\u0026quot; это название нащего VPN сервера, как в моем случае,\nИнформация Важно! Указываем параметр \u0026quot;commonname\u0026quot; - пишем имя нашего VPN сервера. Все остальные параметры оставляем по умолчанию, на все вопросы отвечаем yes\nв результате у нас в папке ssl появятся файлы ServerVPN.crt, ServerVPN.csr, ServerVPN.key.\nПриступаем к формированию клиентских ключей.\nВыполняем команду:\n1build-key.bat UserVPN_1 где \u0026quot;UserVPN_1\u0026quot; имя нашего клиента.\nИнформация Важно! Указываем параметр \u0026quot;commonname\u0026quot; - пишем имя нашего VPN клиента(UserVPN_1). Все остальные параметры оставляем по умолчанию, на все вопросы отвечаем yes\nВ результате у нас в папке ssl появятся файлы UserVPN_1.crt, UserVPN_1.csr, UserVPN_1.key.\nЕсли у вас несколько клиентов, то повторяем формирование ключей; не забывая каждому клиенту присваивать свои имена\n1build-key.bat UserVPN_2 2build-key.bat UserVPN_3 Генерация ключа tls-auth (ta.key) для аутентификации пакетов, для этого переходим в корневую папку OpenVPN:\n1cd .. и выполняем команду:\n1openvpn --genkey --secret ssl/ta.key в результате в папке ssl плучим файл ta.key.\nПриступаем к созданию конфига сервера. В папке config создаем файл OpenVPN.ovpn:\n1#Порт для работы OpenVPN 2port 1190 3 4#Указываем по какому протоколу работает OpenVPN 5proto udp 6 7#Тип интерфейса 8dev tun 9 10#Имя интерфейса 11dev-node \u0026#34;VPN\u0026#34; 12 13#Сертификат для шифрования подключения 14dh C:\\\\OpenVPN\\\\ssl\\\\dh1024.pem 15 16#Сертификат центра сертификации 17ca C:\\\\OpenVPN\\\\ssl\\\\ca.crt 18 19#Сертификат сервера 20cert C:\\\\OpenVPN\\\\ssl\\\\ServerVPN.crt 21 22#ключ сервера 23key C:\\\\OpenVPN\\\\ssl\\\\ServerVPN.key 24 25# Защита от DOS атак (для сервера, после пути к ключу, ставим 0 а для клиента 1) 26tls-server 27tls-auth C:\\\\OpenVPN\\\\keys\\\\ta.key 0 28tun-mtu 1500 29tun-mtu-extra 32 30mssfix 1450 31 32#Диапазон IP адресов для VPN сети 33server 10.10.10.0 255.255.255.0 34 35# Выбор криптографического шифра 36cipher AES-256-CBC 37 38#Логи 39status C:\\\\OpenVPN\\\\log\\\\openvpn-status.log 40log C:\\\\OpenVPN\\\\log\\\\openvpn.log 41 42#Каталог, в которой лежит файл с названием нашего клиента, в моем случае UserVPN_1 без расширения, и в нем записать команды, которые будут выполнятся на клиенте: 43client-config-dir \u0026#34;C:\\\\OpenVPN\\\\ccd\u0026#34; 44 45#Уровень отладочной информации 46verb 3 47 48#Количество повторяющихся сообщений 49mute 20 50 51# Максимальное количество одновременно подключенных клиенты мы хотим разрешить 52max-clients 2 53 54#Время жизни неактивной сессии 55keepalive 10 120 56 57#Разрешаем клиентам видеть друг друга 58client-to-client 59 60#Включаем сжатие 61comp-lzo 62persist-key 63persist-tun 64 65#Маршруты добавляются через .exe если без него, то не у всех прописываются маршруты 66route-method exe 67 68#Задержка перед добавлением маршрута 69route-delay 5 70 71#Команда которая сообщает клиентам что за сервером локальная сеть с адресами 192.168.0.0 255.255.255.0 72push \u0026#34;route 192.168.0.0 255.255.255.0\u0026#34; 73 74#Прописывает маршрут на сервере чтобы видеть сеть за клиентом 75route 172.17.10.0 255.255.255.0 10.10.10.2 76 77#Шлюз 78route-gateway 10.10.10.1 79 80# каждому клиенту выдается по 1 адресу, без виртуальных портов маршрутизатора 81topology subnet В папке ccd создаем файл без расширения и называем его точно, как клиента UserVPN_1, открываем его блокнотом и пишем следующее:\n1#Присваиваем клиенту постоянный IP 10.10.10.2 2ifconfig-push 10.10.10.2 255.255.255.0 3 4#сообщаем серверу что за клиентом сеть 172.17.10.0 5iroute 172.17.10.0 255.255.255.0 6 7#если раскоментировать следующую строку, то клиент будет отключен (на случай если нужно этого клиента отключить от сервера, а остальные будут работать) 8# disable Создаем конфиг клиента.\n1#Говорим, чтобы клиент забирал информацию о маршрутизации с сервера (push опции) 2client 3 4#Порт для работы OpenVPN 5port 1190 6 7#Указываем по какому протоколу работает OpenVPN 8proto udp 9 10#Тип интерфейса 11dev tun 12 13#Имя интерфейса 14dev-node \u0026#34;VPN\u0026#34; 15 16# Адрес сервера, к которому подключаемся 17remote 444.333.222.111 1190 18 19#защита 20remote-cert-tls server 21 22#Сертификат центра сертификации 23ca C:\\\\OpenVPN\\\\ssl\\\\ca.crt 24 25#Сертификат сервера 26cert C:\\\\OpenVPN\\\\ssl\\\\ UserVPN_1.crt 27 28#ключ 29key C:\\\\OpenVPN\\\\ssl\\\\ UserVPN_1.key 30 31# Защита от DOS атак 32tls-auth C:\\\\OpenVPN\\\\keys\\\\ta.key 1 33tun-mtu 1500 34tun-mtu-extra 32 35mssfix 1450 36ping-restart 60 37ping 10 38 39#Включаем сжатие 40comp-lzo 41persist-key 42persist-tun 43 44# Выбор криптографического шифра 45cipher AES-256-CBC 46 47#Логи 48status C:\\\\OpenVPN\\\\log\\\\openvpn-status.log 49log C:\\\\OpenVPN\\\\log\\\\openvpn.log 50 51#Уровень отладочной информации 52verb 3 53 54#Количество повторяющихся сообщений 55mute 20 Устанавливаем на клиенте OpenVPN, предаём ему ca.crt, UserVPN_1.crt, UserVPN_1.key, ta.key.\nНастраиваем файрволы и антивирусы на клиенте и на сервере для беспрепятственного прохождения пакетов. Описывать не буду все зависит от установленных антивирусов и файрволов. После всего этого запускаем наш сервер и клиент.\nЕсли все правильно сделали наш сервер получит IP 10.10.10.1 и подключится к нему клиент и получит IP 10.10.10.2 . И так подключение у нас состоялось теперь сервер и клиент пингуют друг друга по IP нашей VPN сети, то есть 10.10.10.1 и 10.10.10.2.\nДля того чтобы пинг шел по внутренним адресам наших С_ОФ1 и С_ОФ2 нужно включить службу Маршрутизации и удаленного доступа. Hужно зайти в свойства службы, настроить ее на автоматическое включение и запустить. После этого мы сможем пинговать внутренние IP сервера и клиента (172.17.10.10 клиент и 192.168.0.100 сервер).\nНо у этого способа есть маленький недостаток: после включения этой службы и подключения к нашему VPN-каналу на значке сетевого подключения повиснет красный крест до отключения VPN. При этом все сети работают в штатном режиме. Лично меня этот крест раздражает и иногда сбивает с толку.\nЕсть второй способ как сделать видимыми внутренние IP сетей наших сервера и клиента.\nДля этого заходим в реестр, открываем ветку реестра:\n1HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\TcpIP\\Parameters Находим параметр и меняем значение: IPEnableRouter типа REG_DWORD значение 1. Не забываем перезагрузить машину, чтобы настройки вступили в силу!\nЭто нужно проделать и на сервере, и на клиенте.\nИтак мы пингуем наши сети по внутренним IP, а так как у нас и сервер и клиент для своих сетей являются шлюзами, то и машины из сети 1 могут видеть машины из сети 2 и наоборот. то есть Пользователь С_ОФ1(192.168.0.50) может видеть расшаренные папки Пользователя С_ОФ2 (172.17.10.50) и наоборот.\nЕсли сервер и клиент не будут являться шлюзами для своих сетей, в том случае придётся прописывать маршруты руками.\nПример для С_ОФ1:\n1route -p 172.17.10.0 255.255.255.0 192.168.0.100 (машина где установлен OpenVPN) Пример для С_ОФ2:\n1route -p 192.168.0.0 255.255.255.0 172.17.10.10(машина где установлен OpenVPN) в моем случае этого не понадобилось.\nДля автоматического запуска сервера и клиента нам нужно включить службу OpenVPN Service теперь при загрузке машины сервер автоматически стартует, а при включении машины клиента он также автоматически подключится к серверу.\nДополнительная защита Как известно в OpenVPN есть возможность аутентификации по сертификатам, как описано выше, а так же по логину и паролю, но можно еще и объединить их вместе. Насколько мне известно только в Linux есть возможность штатными средствами настроить аутентификацию по логину и паролю, но в Windows это тоже можно решить. Для этого в папке config создаем файл auth.vbs и пишем в него следующее\n1\u0026#39;VBscript auth.vbs для аутентификации в OpenVPN - auth-user-pass-verify auth.vbs via-file 2\u0026#39;(c) 2007 vinni http://forum.ixbt.com/users.cgi?id=info:vinni 3\u0026#39;Support: http://forum.ixbt.com/topic.cgi?id=14:49976 4\u0026#39; в скрипте производится сравнение имени пользователя без учёта регистра. 5\u0026#39; Если нужно иначе - уберите UCase(...) в 2 или 4 местах 6On Error Resume Next 7\u0026#39; открываем файл, имя которого передано OpenVPN-ом в скрипт через параметр 8Set fso = CreateObject(\u0026#34;scripting.filesystemobject\u0026#34;) 9Set CurrentUserPasswordFile = fso.OpenTextFile(WScript.Arguments(0),1) \u0026#39;1 = for reading 10if Err.Number\u0026lt;\u0026gt;0 Then WScript.Quit(1) 11\u0026#39; читаем из этого файла 2 строки - имя и пароль, которые ввёл пользователь \u0026#34;на том конце\u0026#34; 12if CurrentUserPasswordFile.AtEndOfStream then WScript.Quit(1) 13UserName=CurrentUserPasswordFile.ReadLine 14if CurrentUserPasswordFile.AtEndOfStream then WScript.Quit(1) 15Password=CurrentUserPasswordFile.ReadLine 16CurrentUserPasswordFile.Close 17\u0026#39; открываем переменную окружения common_name (это CN предъявленного клиентом сертификата) 18\u0026#39; и сравниваем её с введенным именем пользователя. 19\u0026#39; если это сравнение не нужно, то следующие 2 строки удалить или закомменировать 20CurrentCommonName = CreateObject(\u0026#34;Wscript.Shell\u0026#34;).ExpandEnvironmentStrings(\u0026#34;%common_name%\u0026#34;) 21if UCase(CurrentCommonName) \u0026lt;\u0026gt; UCase(UserName) then WScript.Quit(1) 22\u0026#39; открываем наш файл с базой логинов и паролей 23\u0026#39; по умолчанию это Users.pw в текущем каталоге 24Set UserPasswordFileBase = fso.OpenTextFile(\u0026#34;Users.pw\u0026#34;,1) \u0026#39;1 = for reading 25if Err.Number\u0026lt;\u0026gt;0 Then WScript.Quit(1) 26\u0026#39; читаем в цикле пары строк, пропуская пустые МЕЖДУ ЭТИМИ ПАРАМИ, 27\u0026#39; и сравниваем их с тем, что ввёл пользователь. 28Do while not(UserPasswordFileBase.AtEndOfStream) 29\tNextUserName=UserPasswordFileBase.ReadLine 30\tif Err.Number\u0026lt;\u0026gt;0 Then WScript.Quit(1) 31\tif NextUserName\u0026lt;\u0026gt;\u0026#34;\u0026#34; then 32\u0026#39; если имя пользователя надо сравнивать с учётом регистра, то удалите здесь UCase(...) 33\tif UCase(UserName)=UCase(NextUserName) then 34\tif Password=UserPasswordFileBase.ReadLine then 35\u0026#39; если имя и пароль совпали с парой из базы, то завершаем скрипт с результатом 0 36\u0026#39; так нужно для OpenVPN\u0026#39;a, это признак успешной аутентификации 37\tUserPasswordFileBase.Close 38\tWScript.Quit(0) 39\tend if 40\telse 41\tUserPasswordFileBase.ReadLine 42\tend if 43\tend if 44Loop 45\u0026#39; если поиск завершился безуспешно, то завершаем скрипт с результатом 1 46\u0026#39; так нужно для OpenVPN\u0026#39;a, это признак НЕуспешной аутентификации 47UserPasswordFileBase.Close 48WScript.Quit(1) Так же в папке config содаем файл Users.pw туда пише логин и пароль нашего клиента\n1UserVPN_1 2123456 Если несколько клиентов то:\n1UserVPN_1 2123456 3 4UserVPN_2 5365214 6 7UserVPN_3 814578 Дальше нужно в конфиге клиента прописать строку auth-user-pass, теперь когда клиент будет подключаться к серверу у него будет выплывать окно авторизации где нужно ввести логин и пароль, который вы назначили ему в Users.pw,их нужно будет сообщить клиенту. У меня настроено что имя пользователь(логин) соответствует имени клиента в сертификате, то есть UserVPN_1. но можно задать и другое имя отличное от имени в сертификате, для этого нужно смотреть настройки в auth.vbs.\n1\u0026#39; открываем переменную окружения common_name (это CN предъявленного клиентом сертификата) 2\u0026#39; и сравниваем её с введенным именем пользователя. 3\u0026#39; если это сравнение не нужно, то следующие 2 строки удалить или закомменировать 4 5CurrentCommonName = CreateObject(\u0026#34;WscrIPt.Shell\u0026#34;).ExpandEnvironmentStrings(\u0026#34;%common_name%\u0026#34;) 6if UCase(CurrentCommonName) \u0026lt;\u0026gt; UCase(UserName) then WScrIPt.Quit(1) 7WScrIPt.Echo \u0026#34;Debug: CurrentCommonName= \u0026#34; \u0026amp; CurrentCommonName А для того чтобы аутентификация работала и по сертификату, и по логину с паролем, но при этом не выплывало окно авторизации пользователя, так как это будет задерживать подключение клиента к серверу если, например, у вас включена автоматическая загрузка службы OpenVPN Service (как настроено у меня) или вы просто не хотите каждый раз вводить логин и пароль, в этом случае на клиенте в папке ssl создаем файл pass.txt и пишем в него наш логин и пароль вот так:\n1UserVPN_1 2123456 а в конфиге клиента меняем строку auth-user-pass на auth-user-pass C:\\OpenVPN\\ssl\\pass.txt.\nТеперь я включаю машину где установлен OpenVPN -Server, запускается служба и сервер VPN автоматически поднимается. Клиент запускает машину и у него также проходит автоматическое подключение к моему серверу. Теперь можно заходить в общие папки или по RDP работать, например, в 1С, установленной в другой организации.\nАвтор: Чурилов Александр Андреевич,\nдата написания 31.03.2015.\nконтакты re-anim@mail.ru\n","id":"6d3aabb8878c752133c653ac62bd9ce1","link":"https://interface31.ru/post/organizaciya-kanalov-mezhdu-ofisami-pri-pomoshhi-openvpn-s-dopolnitelnoy-parolnoy-zashhitoy/","section":"post","tags":["OpenVPN","VPN","Windows Server","Сетевые технологии"],"title":"Организация каналов между офисами при помощи OpenVPN с дополнительной парольной защитой"},{"body":"Работая в среде Windows каждый системный администратор так или иначе сталкивается с системами аутентификации. Но для многих этот механизм представляет собой черный ящик, когда суть происходящих процессов остается неясна. В тоже время от правильной настройки аутентификации напрямую зависит безопасность сети, поэтому важно не только знать способы и протоколы, но и представлять их работу, хотя бы на общем уровне.\nВ рамках данного материала мы будем рассматривать сознательно упрощенное представление процедур аутентификации, достаточное для понимания базового принципа работы, впоследствии данные знания могут быть углублены путем изучения специализированной литературы.\nДля начала внесем ясность в термины. Многие путают понятия аутентификации и авторизации, хотя это различные процедуры.\nАутентификация - происходит от английского слова authentication, которое можно перевести как идентификация или проверка подлинности. Это полностью отражает суть процесса - проверка подлинности пользователя, т.е. мы должны удостовериться, что пользователь, пытающийся получить доступ к системе именно тот, за кого себя выдает. Авторизация - перевод слова authorization означает разрешение, т.е. проверка прав доступа к какому-либо объекту. Процесс авторизации может быть применен только к аутентифицированному пользователю, так как перед тем, как проверять права доступа, мы должны выяснить личность объекта, которому мы собираемся предоставить какие-либо права. Чтобы проще представить себе этот процесс проведем простую аналогию. Вы находитесь за границей и вас останавливает полицейский, вы предъявляете свой паспорт. Полицейский проверяет данные в паспорте и сверяет фотографию - это процесс аутентификации. Убедившись, что вы это вы, полицейский просит показать визу - это процесс авторизации, т.е. вашего права здесь находиться.\nТочно также, сотрудник полиции, остановив трудового мигранта и проверив его паспорт, просит разрешение на работу, если разрешения нет, то зарубежный гость успешно прошел аутентификацию, но провалил авторизацию. Если аутентификация не пройдена, то до авторизации дело не дойдет.\nДля аутентификации в компьютерных системах традиционно используется сочетания имени пользователя и некой секретной фразы (пароля), позволяющей определить, что пользователь именно тот, за кого себя выдает. Существуют также и иные способы аутентификации, например, по смарт-карте, но в данной статье мы их касаться не будем.\nЛокальная аутентификация Прежде всего начнем с локальной аутентификации, когда пользователь хочет войти непосредственно на рабочую станцию, не входящую в домен. Что происходит после того, как пользователь ввел свой логин и пароль? Сразу после этого введенные данные передаются подсистеме локальной безопасности (LSA), которая сразу преобразует пароль в хэш, хэширование - это одностороннее криптографическое преобразование, делающее восстановление исходной последовательности невозможным. В открытом виде пароль нигде в системе не хранится и не фигурирует, пользователь - единственный кто его знает. Затем служба LSA обращается к диспетчеру учетных записей безопасности (SAM) и сообщает ему имя пользователя. Диспетчер обращается в базу SAM и извлекает оттуда хэш пароля указанного пользователя, сгенерированный при создании учетной записи (или в процессе смены пароля).\nЗатем LSA сравнивает хэш введенного пароля и хэш из базы SAM, в случае их совпадения аутентификация считается успешной, а хэш введенного пароля помещается в хранилище службы LSA и находится там до окончания сеанса пользователя.\nВ случае входа пользователя в домен, для аутентификации используются иные механизмы, прежде всего протокол Kerberos, однако, если одна из сторон не может его использовать, по согласованию могут быть использованы протоколы NTLM и даже устаревший LM. Работу этих протоколов мы будем рассматривать ниже.\nLAN Manager (LM) Протокол LAN Manager возник на заре зарождения локальных сетей под управлением Windows и впервые был представлен в Windows 3.11 для рабочих групп, откуда перекочевал в семейство Windows 9.х. Мы не будем рассматривать этот протокол, так как в естественной среде он уже давно не встречается, однако его поддержка, в целях совместимости, присутствует до сих пор. И если современной системе поступит запрос на аутентификацию по протоколу LM, то, при наличии соответствующих разрешений, он будет обработан.\nЧто в этом плохого? Попробуем разобраться. Прежде всего разберемся, каким образом создается хэш пароля для работы с протоколом LM, не вдаваясь в подробности обратим ваше внимание на основные ограничения:\nПароль регистронезависимый и приводится к верхнему регистру. Длина пароля - 14 символов, более короткие пароли дополняются при создании хэша нулями. Пароль делится пополам и для каждой части создается свой хэш по алгоритму DES. Исходя из современных требований к безопасности можно сказать, что LM-хэш практически не защищен и будучи перехвачен очень быстро расшифровывается. Сразу оговоримся, прямое восстановление хэша невозможно, однако в силу простоты алгоритма шифрования возможен подбор соответствующей паролю комбинации за предельно короткое время.\nА теперь самое интересное, LM-хэш, в целях совместимости, создается при вводе пароля и хранится в системах по Windows XP включительно. Это делает возможной атаку, когда системе целенаправленно присылают LM-запрос и она его обрабатывает. Избежать создания LM-хэша можно изменив политику безопасности или используя пароли длиннее 14 символов. В системах, начиная с Windows Vista и Server 2008, LM-хэш по умолчанию не создается.\nNT LAN Manager (NTLM) Новый протокол аутентификации появился в Windows NT и благополучно, с некоторыми изменениями, дожил до наших дней. А до появления Kerberos в Windows 2000 был единственным протоколом аутентификации в домене NT.\nСегодня протокол NTLM, точнее его более современная версия NTLMv2, применяются для аутентификации компьютеров рабочих групп, в доменных сетях Active Directory по умолчанию применяется Kerberos, однако если одна из сторон не может применить этот протокол, то по согласованию могут быть использованы NTLMv2, NTLM и даже LM.\nПринцип работы NTLM имеет много общего с LM и эти протоколы обратно совместимы, но есть и существенные отличия. NT-хэш формируется на основе пароля длиной до 128 символов по алгоритму MD4, пароль регистрозависимый и может содержать не только ACSII символы, но и Unicode, что существенно повышает его стойкость по сравнению с LM.\nКак происходит работа по протоколу NTLM? Рассмотрим следующую схему: Допустим локальный компьютер хочет получить доступ к некоторому файловому ресурсу на другом ПК, который мы будем считать сервером, при этом совсем не обязательно наличие на этом ПК северной ОС или серверных ролей. С точки зрения протокола NTLM клиент это тот, кто обращается, сервер - к кому обращаются.\nЧтобы получить доступ к ресурсу клиент направляет серверу запрос с именем пользователя. В ответ сервер передает ему случайное число, называемое запросом сервера. Клиент в свою очередь шифрует данный запрос по алгоритму DES, используя в качестве ключа NT-хэш пароля, однако, несмотря на то, что NT-хэш 128-битный, в силу технических ограничений используется 40 или 56 битный ключ (хеш делится на три части и каждая часть шифрует запрос сервера отдельно).\nЗашифрованный хэшем пароля запрос сервера называется ответом NTLM и передается обратно серверу, сервер извлекает из хранилища SAM хэш пароля того пользователя, чье имя было ему передано и выполняет аналогичные действия с запросом сервера, после чего сравнивает полученный результат с ответом NTLM. Если результаты совпадают, значит пользователь клиента действительно тот, за кого себя выдает, и аутентификация считается успешной.\nВ случае доменной аутентификации процесс протекает несколько иначе. В отличие от локальных пользователей, хэши паролей которых хранятся в локальных базах SAM, хэши паролей доменных пользователей хранятся на контроллерах доменов. При входе в систему LSA отправляет доступному контроллеру домена запрос с указанием имени пользователя и имени домена и дальнейший процесс происходит как показано выше.\nВ случае получения доступа к третьим ресурсам схема также немного изменяется: Получив запрос от клиента, сервер точно также направит ему запрос сервера, но получив NTLM-ответ он не сможет вычислить значение для проверки на своей стороне, так как не располагает хэшем пароля доменного пользователя, поэтому он перенаправляет NTLM-ответ контроллеру домена и отправляет ему свой запрос сервера. Получив эти данные, контроллер домена извлекает хэш указанного пользователя и вычисляет на основе запроса сервера проверочную комбинацию, которую сравнивает с полученным NTLM-ответом, при совпадении серверу посылается сообщение, что аутентификация прошла успешно.\nКак видим, хэш пароля ни при каких обстоятельствах по сети не передается. Хэш введенного пароля хранит служба LSA, хэши паролей пользователей хранятся либо в локальных хранилищах SAM, либо в хранилищах контроллера домена.\nНо несмотря на это, протокол NTLM на сегодняшний день считаться защищенным не может. Слабое шифрование делает возможным достаточно быстро восстановить хэш пароля, а если использовался не только NTLM, а еще и LM-ответ, то и восстановить пароль.\nНо и перехваченного хэша может оказаться вполне достаточно, так как NTLM-ответ генерируется на базе пароля пользователя и подлинность клиента сервером никак не проверяется, то возможно использовать перехваченные данные для неавторизованного доступа к ресурсам сети. Отсутствие взаимной проверки подлинности также позволяет использовать атаки плана человек посередине, когда атакующий представляется клиенту сервером и наоборот, устанавливая при этом два канала и перехватывая передаваемые данные.\nNTLMv2 Осознавая, что протокол NTLM не соответствует современным требованиям безопасности, с выходом Windows 2000 Microsoft представила вторую версию протокола NTLMv2, который был серьезно доработан в плане улучшений криптографической стойкости и противодействия распространенным типам атак. Начиная с Windows 7 / Server 2008 R2 использование протоколов NTLM и LM по умолчанию выключено.\nСразу рассмотрим схему с контроллером домена, в случае его отсутствия схема взаимодействия не меняется, только вычисления, производимые контроллером домена, выполняются непосредственно на сервере. Как и в NTLM, клиент при обращении к серверу сообщает ему имя пользователя и имя домена, в ответ сервер передает ему случайное число - запрос сервера. В ответ клиент генерирует также случайное число, куда, кроме прочего, добавляется метка времени, которое называется запрос клиента. Наличие метки времени позволяет избежать ситуации, когда атакующий первоначально накапливает перехваченные данные, а потом с их помощью осуществляет атаку.\nЗапрос сервера объединяется с запросом клиента и от этой последовательности вычисляется HMAC-MD5 хэш. После чего от данного хэша берется еще один HMAC-MD5 хэш, ключом в котором выступает NT-хэш пароля пользователя. Получившийся результат называется NTLMv2-ответом и вместе с запросом клиента пересылается серверу.\nКриптостойкость данного алгоритма является актуальной и на сегодняшний день, известно только два случая взлома данного хэша, один из них произведен компанией Symantec в исследовательских целях. Можно с уверенностью сказать, что в настоящий момент нет массовых инструментов для атак на NTLMv2, в отличие от NTLM, взломать который может любой вдумчиво прочитавший инструкцию школьник.\nСервер, получив NTLMv2-ответ и запрос клиента, объединяет последний с запросом сервера и также вычисляет HMAC-MD5 хэш, затем передает его вместе с ответом контроллеру домена. Тот извлекает из хранилища сохраненный хэш пароля пользователя и производит вычисления над HMAC-MD5 хешем запросов сервера и клиента, сравнивая получившийся результат с переданным ему NTLMv2-ответом. В случае совпадения серверу возвращается ответ об успешной аутентификации.\nПри этом, как вы могли заметить, NTLMv2, также, как и его предшественник, не осуществляет взаимную проверку подлинности, хотя в некоторых материалах в сети это указывается.\nНастройки безопасности Теперь, когда вы имеете представление о работе протоколов аутентификации самое время поговорить о настройках безопасности. NTLMv2 вполне безопасный протокол, но если система настроена неправильно, то злоумышленник может послать NTLM или LM запрос и получить соответствующий ответ, который позволит успешно осуществить атаку.\nЗа выбор протокола аутентификации отвечает локальная или групповая политика. Откроем редактор политик и перейдем в Конфигурация компьютера - Конфигурация Windows - Политики безопасности - Локальные политики - Параметры безопасности, в этом разделе найдем политику Сетевая безопасность: уровень проверки подлинности LAN Manager. В этом же разделе находится политика Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля, которая запрещает создание LM-хэша, по умолчанию активна начиная с Vista / Server 2008.\nВ нашей же политике мы видим широкий выбор значений, очевидно, что сегодня безопасными могут считаться политики начиная с Отправлять только NTLMv2-ответ и ниже по списку.\nЭти же значения можно задать через реестр, что удобно в сетях уровня рабочей группы, для этого в разделе HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Lsa нужно создать параметр DWORD с именем LmCompatibilityLevel, который может принимать значения от 0 до 5. Рассмотрим их подробнее:\nВнимательный читатель, изучая данную таблицу, обязательно обратит внимание на сеансовую безопасность NTLMv2. Данная возможность, как и вообще все взаимодействие по NTLMv2, довольно плохо документированы, поэтому многие понимают смысл этой возможности неправильно. Но на самом деле все довольно несложно.\nПосле того, как клиент пройдет аутентификацию формируется ключ сеанса, который используется для подтверждения подлинности при дальнейшем взаимодействии. Ключ сеанса NTLM основан только на NT-хэше и будет одинаковым до тех пор, пока клиент не поменяет пароль пользователя. Какие угрозы безопасности это несет пояснять, нам кажется, не надо. Сеансовая безопасность NTLMv2 подразумевает вычисление ключа сеанса с использованием не только NT-хэша, но и запросов сервера и клиента, что делает ключ уникальным и гораздо более стойким к возможным атакам. При этом данная возможность может быть использована совместно с NTLM или LM аутентификацией.\nМы надеемся, что данный материал поможет вам глубже понять процессы аутентификации в системах Windows. В следующей части мы подробно остановимся на устройстве и работе протокола Kerberos.\n","id":"dfc748c1f1cd28e9b373a8b2e7e5f9fb","link":"https://interface31.ru/post/autentifikaciya-v-sistemah-windows-chast-1-ntlm/","section":"post","tags":["Active Directory","NTLM","Windows Server","Безопасность","Службы каталогов"],"title":"Аутентификация в системах Windows. Часть 1 - NTLM"},{"body":"Любой администратор, которому приходится работать сразу с несколькими однотипными серверами знает сколько порою времени уходит на то, чтобы определить на каком именно из серверов он сейчас находится и какие у него базовые настройки. И вопрос это далеко не праздный, ошибочно выполненное не на том сервере действие может иметь самые разнообразные последствия, иной раз очень неприятные. В тоже время каждый, наверное, видел системы, где такая информация отображается прямо на рабочем столе. Сегодня мы расскажем, как это сделать.\nВ этот раз, вопреки традиции, начнем с конца, с того результата, который вы должны получить. Удобно? Безусловно. Беглого взгляда на рабочий стол достаточно, чтобы понять где вы находитесь, какие сетевые настройки этого хоста и его основные аппаратные характеристики.\nКак это сделать? Совершенно несложно, достаточно воспользоваться утилитой BgInfo от Sysinternals. Эта небольшая программа от Марка Руссиновича считывает всю необходимую информацию и выводит ее прямо на обоях рабочего стола. Т.е. достаточно запустить ее один раз и вся необходимая информация будет у вас перед глазами пока вы не смените обои.\nНо будет гораздо лучше, если данные будут с определенной периодичностью обновляться, тем более что утилита позволяет выводить некоторые текущие параметры, такие как свободное место на дисках.\nПрежде всего скачаем утилиту и разместим ее в удобном месте, например, в папке профиля пользователя, если пользоваться ей планируете вы лично. При запуске, если не было выполнено никаких действий, то программа через 9 секунд закроется, сформировав новые обои рабочего стола в соответствии с настройками. А настроек довольно много: Настройки по умолчанию, на наш взгляд, не самые оптимальные, поэтому удаляем все в окне слева и добавляем свои пункты. Настройки представляют обычный текст, можно изменять шрифт, размер, цвет, добавлять свои текстовые строки и т.д. и т.п. Затем нажав кнопку Position выберите местоположение информации на рабочем столе, нам, например, нравится верхний правый угол. Теперь подумаем, как оперативно обновлять информацию. Самый простой способ - добавить утилиту в автозагрузку. Для этого создайте в том же каталоге пакетный файл bginfо.bat со следующим содержимым:\n1bginfo.exe interface31.bgi /timer:0 /NOLICPROMPT Синтаксис записи прост, первым параметром передается файл конфигурации, в нашем случае interface31.bgi, затем опция timer, которая имеет значение 0, что позволяет утилите выполнять свою работу и не ожидать 9 секунд, опция NOLICPROMPT подавляет появление лицензионного соглашения. Полный список опций можно получить тут-же в разделе Help - Command line option: Затем ярлык на данный пакетный файл следует поместить в автозагрузку, если вы хотите поместить туда не ярлык, а сам файл, то пути к утилите и файлу конфигурации потребуется изменить на абсолютные.\nОднако автозагрузка - это не самый лучший вариант, сервера перезагружаются редко, поэтому самое время вспомнить о планировщике задач. Начиная с Windows Vista / Server 2008 это весьма гибкий и мощный инструмент, позволяющий решать самые разнообразные задачи.\nЗапустим планировщик и создадим простую задачу, рекомендуем давать задачам понятные имена и писать хотя бы пару строк в описание, чтобы потом вам и вашим коллегам было понятно, что делает та или иная задача. Когда мы хотим обновлять информацию? Прежде всего при входе в систему, поэтому первый триггер выбираем именно таким, расписание добавим позже. В качестве действия ставим запуск программы. Проще всего, конечно, добавить в планировщик запуск уже созданного bat-файла, но этот метод имеет один существенный недостаток - на экране будет проскакивать окно командного интерпретатора, что весьма неудобно. К счастью, планировщик обладает широкими возможностями настройки запуска, чем мы и воспользуемся. В поле Программа или сценарий добавляем саму утилиту bginfo.exe, аргументы и опции запуска добавляем в одноименное поле ниже, а именно строку:\n1interface31.bgi /timer:0 /NOLICPROMPT Еще ниже обязательно задаем рабочую папку, это директория где физически располагается утилита и файл конфигурации к ней. На этом создание задачи заканчиваем и сразу переходим к ее свойствам, где на закладке Триггеры создаем еще один триггер. Условия триггера просты: выполнять задачу ежедневно, каждый день, повторяя каждый час в течении бесконечного срока. Это условие, в сочетании с предыдущим триггером, будет обновлять информацию каждый час и при входе администратора в систему. Вы можете настроить условия согласно собственным предпочтениям.\nПосле чего выбираем задачу и жмем кнопку Выполнить, чтобы проверить ее работу. Если все сделано правильно - информация на рабочем столе обновится. Надеемся, что эта небольшая утилита позволит вам лучше организовать рабочее пространство и реже отвлекаться на мелочи, сосредоточив свое внимание на более важных задачах.\n","id":"821dbd1e91ce8f73690198dbea8b17c3","link":"https://interface31.ru/post/adminu-na-zametku---14-kak-vyvesti-informaciyu-o-sisteme-na-rabochiy-stol/","section":"post","tags":["Sysinternals","Windows Server","Персонализация","Рабочее место"],"title":"Админу на заметку - 14. Как вывести информацию о системе на рабочий стол"},{"body":"Уже на этапе планирования будущей виртуальной инфраструктуры следует задуматься об обеспечении высокой доступности ваших виртуальных машин. Если в обычной ситуации временная недоступность одного из серверов еще может быть приемлема, то в случае остановки хоста Hyper-V недоступной окажется значительная часть инфраструктуры. В связи с чем резко вырастает сложность администрирования - остановить или перезагрузить хост в рабочее время практически невозможно, а в случае отказа оборудования или программного сбоя получим ЧП уровня предприятия.\nВсе это способно серьезно охладить энтузиазм по поводу преимуществ виртуализации, но выход есть и заключается он в создании кластера высокой доступности. Мы уже упоминали о том, что термин \u0026quot;отказоустойчивый\u0026quot; не совсем корректен и поэтому сегодня все чаще используется другая характеристика, более точно отражающая положение дел - \u0026quot;высокодоступный\u0026quot;.\nДля создания полноценной отказоустойчивой системы требуется исключить любые точки отказа, что в большинстве случаев требует серьезных финансовых вложений. В тоже время большинство ситуаций допускает наличие некоторых точек отказа, если устранение последствий их отказа обойдется дешевле, чем вложение в инфраструктуру. Например, можно отказаться от недешевого отказоустойчивого хранилища в пользу двух недорогих серверов с достаточным числом корзин, один из которых настроен на холодный резерв, в случае отказа первого сервера просто переставляем диски и включаем второй.\nВ данном материале мы будем рассматривать наиболее простую конфигурацию отказоустойчивого кластера, состоящего из двух узлов (нод) SRV12R2-NODE1 и SRV12R2-NODE2, каждый из которых работает под управлением Windows Server 2012 R2. Обязательным условием для этих серверов является применение процессоров одного производителя, только Intel или только AMD, в противном случае миграция виртуальных машин между узлами будет невозможна. Каждый узел должен быть подключен к двум сетям: сети предприятия LAN и сети хранения данных SAN.\nВторым обязательным условием для создания кластера является наличие развернутой Active Directory, в нашей схеме она представлена контроллером домена SRV12R2-DC1.\nХранилище выполнено по технологии iSCSI и может быть реализовано на любой подходящей платформе, в данном случае это еще один сервер на Windows Server 2012 R2 - SRV12R2-STOR. Сервер хранилища может быть подключен к сети предприятия и являться членом домена, но это необязательное условие. Пропускная способность сети хранения данных должна быть не ниже 1 Гбит/с. Будем считать, что на оба узла уже установлена операционная система, они введены в домен и сетевые подключения настроены. Откроем Мастер добавления ролей и компонентов и добавим роль Hyper-V. Следующим шагом добавим компоненту Отказоустойчивая кластеризация. На странице настройки виртуальных коммутаторов выбираем тот сетевой адаптер, который подключен к сети предприятия. Миграцию виртуальных машин оставляем выключенной. Остальные параметры оставляем без изменения. Установка роли Hyper-V потребует перезагрузку, после чего аналогичным образом настраиваем второй узел.\nЗатем перейдем к серверу хранилища, как настроить iSCSI-хранилище на базе Windows Server 2012 мы рассказывали в данной статье, но это непринципиально, вы можете использовать любой сервер цели iSCSI. Для нормальной работы кластера нам потребуется создать минимум два виртуальных диска: диск свидетеля кворума и диск для хранения виртуальных машин. Диск-свидетель - это служебный ресурс кластера, в рамках данной статьи мы не будем касаться его роли и механизма работы, для него достаточно выделить минимальный размер, в нашем случае 1ГБ.\nСоздайте новую цель iSCSI и разрешите доступ к ней двум инициаторам, в качестве которых будут выступать узлы кластера. И сопоставьте данной цели созданные виртуальные диски. Настроив хранилище, вернемся на один из узлов и подключим диски из хранилища. Помните, что если сервер хранилища подключен также к локальной сети, то при подключении к цели iSCSI укажите для доступа сеть хранения данных.\nПодключенные диски инициализируем и форматируем. Затем переходим на второй узел и также подключаем диски, форматировать их уже не надо, просто присваиваем им такие же самые буквы и метки тома. Это необязательно, но желательно сделать в целях единообразия настроек, когда одинаковые диски на всех узлах имеют одни и те-же обозначения запутаться и сделать ошибку гораздо труднее.\nПосле чего откроем Диспетчер Hyper-V и перейдем к настройке виртуальных коммутаторов. Их название на обоих узлах должно полностью совпадать. Теперь у нас все готово к созданию кластера. Запустим оснастку Диспетчер отказоустойчивых кластеров и выберем действие Проверить конфигурацию. В настройках мастера добавим настроенные нами узлы и выберем выполнение всех тестов. Проверки занимают ощутимое время, при возникновении каких-либо ошибок их необходимо исправить и повторить проверку. Если существенных ошибок не обнаружено работа мастера завершится и он предложит вам создать на выбранных узлах кластер. Однако, если проверка выдала предупреждения, мы советуем изучить отчет и выяснить на что влияет данное предупреждение и что нужно сделать для его устранения. В нашем случае мастер предупреждал нас об отсутствии избыточности в сетевых подключениях кластера, по умолчанию кластер не использует сети iSCSI, что нетрудно исправить позднее. При создании кластера для него создается виртуальный объект, обладающий сетевым именем и адресом. Укажем их в открывшемся Мастере создания кластеров. На следующем шаге советуем снять флажок Добавление всех допустимых хранилищ в кластер, так как мастер не всегда правильно назначает роли дискам и все равно придется проверять и, при необходимости исправлять, вручную. Больше вопросов не последует и мастер сообщит нам, что кластер создан, выдав при этом предупреждение об отсутствии диска-свидетеля. Закроем мастер и развернем дерево слева до уровня Хранилище - Диски, в доступных действиях справа выберем Добавить диск и укажем подключаемые диски в открывшемся окне, в нашем случае их два. Затем щелкнем правой кнопкой мыши на объекте кластера в дереве слева и выберем Дополнительные действия - Настроить параметры кворума в кластере. Далее последовательно выбираем: Выбрать свидетель кворума - Настроить диск-свидетель и указываем созданный для этих целей диск. Теперь настроим диск хранилища, с ним все гораздо проще, просто щелкаем на диске правой кнопкой и указываем: Добавить в общие хранилища кластера. Для того, чтобы диск мог использоваться сразу несколькими участниками кластера на нем создается CSVFS - реализуемая поверх NTFS кластерная файловая система, впервые появившаяся в Windows Server 2008 R2 и позволяющая использовать такие функции как Динамическая (Живая) миграция, т.е. передачу виртуальной машины между узлами кластера без остановки ее работы.\nОбщие хранилища становятся доступны на всех узлах кластера в расположении C:\\ClusterStorage\\VolumeN. Обратите внимание, что это не просто папки на системном диске, а точки монтирования общих томов кластера. Закончив с дисками, перейдем к настройкам сети, для этого перейдем в раздел Сети. Для сети, которая подключена к сети предприятия указываем Разрешить кластеру использовать эту сеть и Разрешить клиентам подключаться через эту сеть. Для сети хранения данных просто оставим Разрешить кластеру использовать эту сеть, таким образом обеспечив необходимую избыточность сетевых соединений. На этом настройка кластера закончена. Для работы с кластеризованными виртуальными машинами следует использовать Диспетчер отказоустойчивости кластеров, а не Диспетчер Hyper-V, который предназначен для управления виртуалками расположенными локально.\nЧтобы создать виртуальную машину перейдите в раздел Роли в меню правой кнопки мыши выберите Виртуальные машины - Создать виртуальную машину, это же можно сделать и через панель Действия справа. Прежде всего выберите узел, на котором будет создана виртуальная машина. Каждая виртуалка работает на определенном узле кластера, мигрируя на другие узлы при остановке или отказе своей ноды. После выбора узла откроется стандартный Мастер создания виртуальной машины, работа с ним не представляет сложности, поэтому остановимся только на значимых моментах. В качестве расположения виртуальной машины обязательно укажите один из общих томов кластера C:\\ClusterStorage\\VolumeN. Здесь же должен располагаться и виртуальный жесткий диск, вы также можете использовать уже существующие виртуальные жесткие диски, предварительно скопировав их в общее хранилище. После создания виртуальной машины перейдите в ее Параметры и в пункте Процессоры - Совместимость установите флажок Выполнить перенос на физический компьютер с другой версией процессора, это позволит выполнять миграцию между узлами с разными моделями процессоров одного производителя. Миграция с Intel на AMD или наоборот невозможна. Затем перейдите в Сетевой адаптер - Аппаратное ускорение и убедитесь, что выбранные опции поддерживаются сетевыми картами всех узлов кластера или отключите их. Не забудьте настроить автоматические действия при запуске и завершении работы узла, при большом количестве виртуальных машин не забывайте устанавливать задержку запуска, чтобы избежать чрезмерной нагрузки на систему. Закончив с Параметрами перейдите в Свойства виртуальной машины и укажите предпочтительные узлы владельцев данной роли в порядке убывания и приоритет, машины имеющие более высокий приоритет мигрируют первыми. На закладке Обработка отказа задайте количество допустимых отказов для виртуальной машины за единицу времени, помните, что отказом считается не только отказ узла, но и потеря пульса виртуальной машины, например, ее зависание. На время настройки и тестов есть смысл указать значения побольше.\nТакже настройте Восстановление размещения, эта опция позволяет передавать виртуальные машины обратно наиболее предпочтительному владельцу при восстановлении его нормальной работы. Чтобы избежать чрезмерных нагрузок воспользуйтесь опцией задержки восстановления. На этом настройка виртуальной машины закончена, можем запускать и работать с ней.\nТеперь самое время проверить миграцию, для этого щелкните на машине правой кнопкой мыши и выберите Переместить - Динамическая миграция - Выбрать узел. Виртуалка должна переместиться на выбранную ноду не завершая работы.\nКаким образом происходит миграция в рабочей обстановке? Допустим нам надо выключить или перезагрузить первый узел, на котором в данный момент выполняется виртуальная машина. Получив команду на завершение работы узел инициирует передачу виртуальных машин: Завершение работы приостанавливается до тех пор, пока не будут переданы все виртуальные машины. Когда работа узла будет восстановлена, кластер, если включено восстановление размещения, инициирует обратный процесс, передавая виртуальную машину назад предпочтительному владельцу. Что произойдет если узел, на котором размещены виртуальные машины аварийно выключится или перезагрузится? Все виртуалки также аварийно завершат свою работу, но тут-же будут перезапущены на исправных узлах согласно списка предпочтительных владельцев.\nКак мы уже говорили, прижившийся в отечественной технической литературе термин \u0026quot;отказоустойчивый\u0026quot; неверен и более правильно его было бы переводить как \u0026quot;с обработкой отказа\u0026quot;, либо использовать понятие \u0026quot;высокая доступность\u0026quot;, которое отражает положение дел наиболее верно.\nКластер Hyper-V не обеспечивает отказоустойчивости виртуальным машинам, отказ узла приводит к отказу всех размещенных на нем машин, но он позволяет обеспечить вашим службам высокую доступность, автоматически восстанавливая их работу и обеспечивая минимально возможное время простоя. Также он позволяет значительно облегчить администрирование виртуальной инфраструктуры позволяя перемещать виртуальные машины между узлами без прерывания их работы.\n","id":"53064ca9f2dc0e2154412cfd4d752a00","link":"https://interface31.ru/post/nastraivaem-otkazoustoychivyy-klaster-hyper-v-na-baze-windows-server-2012/","section":"post","tags":["High availability","Hyper-V","Windows Server","Windows Server 2012","Виртуализация"],"title":"Настраиваем отказоустойчивый кластер Hyper-V на базе Windows Server 2012"},{"body":"С ошибкой \u0026quot;Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом\u0026quot; время от времени приходится сталкиваться каждому системному администратору. Но не каждый понимает причины и механизмы процессов, приводящие к ее возникновению. Потому что без понимания смысла происходящих событий невозможно осмысленное администрирование, которое подменяется бездумным выполнением инструкций.\nУчетные записи компьютеров, также, как и учетные записи пользователей, являются участниками безопасности домена. Каждому участнику безопасности автоматически присваивается идентификатор безопасности (SID) на уровне которого осуществляется доступ к ресурсам домена.\nПеред тем как предоставить учетной записи доступ к домену необходимо проверить ее подлинность. Каждый участник безопасности должен иметь свою учетную запись и пароль, учетная запись компьютера не исключение. При присоединении компьютера к Active Directory для него создается учетная запись типа \u0026quot;Компьютер\u0026quot; и устанавливается пароль. Доверие на этом уровне обеспечивается тем, что данная операция производится администратором домена или иным пользователем, имеющим для этого явные полномочия.\nВпоследствии при каждом входе в домен компьютер устанавливает защищенный канал с контроллером домена и сообщает ему свои учетные данные. Таким образом между компьютером и доменом устанавливаются доверительные отношения и дальнейшее взаимодействие происходит согласно установленных администратором политик безопасности и прав доступа.\nПароль учетной записи компьютера действует 30 дней и впоследствии автоматически изменяется. При этом важно понимать, что смену пароля инициирует компьютер. Это происходит аналогично процессу смены пароля пользователя. Обнаружив, что текущий пароль просрочен, компьютер при очередном входе в домен его заменит. Поэтому, даже если вы не включали компьютер несколько месяцев, доверительные отношения в домене сохранятся, а пароль будет заменен при первом входе после длительного перерыва.\nДоверительные отношения нарушаются в том случае, если компьютер пытается аутентифицироваться в домене с недействительным паролем. Как такое может произойти? Самый простой способ - это откатить состояние компьютера, например, штатной утилитой восстановления системы. Такой же эффект может быть достигнут при восстановлении из образа, снапшота (для виртуальных машин) и т.п.\nЕще один вариант - это изменение учетной записи другим компьютером с таким же именем. Ситуация довольно редкая, но иногда случается, например, когда сотруднику поменяли ПК с сохранением имени, выведя из домена старый, а потом снова ввели его в домен забыв переименовать. В этом случае старый ПК при повторном вводе в домен сменит пароль ученой записи компьютера и новый ПК уже не сможет войти, так как не сможет установить доверительные отношения. Простой пример: старый компьютер переименовали и отдали в другой отдел, после чего произошел сбой, и он автоматически откатился на последнюю контрольную точку. После чего данный ПК попытается аутентифицироваться в домене под старым именем и закономерно получит ошибку установления доверительных отношений. Правильными действиями в этом случае будет переименовать компьютер как он должен называться, создать новую контрольную точку и удалить старые.\nИ только убедившись, что нарушение доверительных отношений было вызвано объективно необходимыми действиями и именно для этого компьютера можно приступать к восстановлению доверия. Сделать это можно несколькими способами.\nПользователи и компьютеры Active Directory Это самый простой, но не самый быстрый и удобный способ. Открываем на любом контроллере домена оснастку Пользователи и компьютеры Active Directory, находим необходимую учетную запись компьютера и, щелкнув правой кнопкой мыши, выбираем Переустановить учетную запись. Затем входим на потерявшем доверительные отношения компьютере под локальным администратором и выводим машину из домена. Недостаток этого способа, что машину требуется выводить из домена, а также необходимость двух (одной) перезагрузки.\nУтилита Netdom Данная утилита входит в состав Windows Server начиная с редакции 2008, на пользовательские ПК ее можно установить из состава пакета RSAT (Средства удаленного администрирования сервера). Для ее использования войдите на целевой системе локальным администратором и выполните команду:\n1Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password Разберем опции команды:\nServer - имя любого доменного контроллера UserD - имя учетной записи администратора домена PasswordD - пароль администратора домена После успешного выполнения команды перезагрузка не требуется, просто выйдите из локальной ученой записи и войдите в доменный аккаунт.\nКомандлет PowerShell 3.0 В отличие от утилиты Netdom, PowerShell 3.0 входит в состав системы начиная с Windows 8 / Server 2012, для более старых систем его можно установить вручную, поддерживаются Windows 7, Server 2008 и Server 2008 R2. В качестве зависимости требуется Net Framework не ниже 4.0.\nТочно также войдите на системе, для которой нужно восстановить доверительные отношения, локальным администратором, запустите консоль PowerShell и выполните команду:\n1Reset-ComputerMachinePassword -Server DomainController -Credential Domain\\Admin где:\nServer - имя любого контроллера домена Credential - имя домена / учетной записи администратора домена При выполнении этой команды появится окно авторизации в котором вы должны будете ввести пароль для указанной вами учетной записи администратора домена. Командлет не выводит никаких сообщений при удачном завершении, поэтому просто смените учетную запись, перезагрузка не требуется.\nКак видим, восстановить доверительные отношения в домене довольно просто, главное - правильно установить причину возникновения данной проблемы, так как в разных случаях потребуются разные методы. Поэтому мы не устаем повторять: при возникновении любой неполадки сначала нужно выявить причину, а только потом принимать меры к ее исправлению, вместо того чтобы бездумно повторять первую найденную в сети инструкцию.\n","id":"6c771e405a13833b197d330cc9748cd0","link":"https://interface31.ru/post/vosstanavlivaem-doveritelnye-otnosheniya-v-domene/","section":"post","tags":["Active Directory","PowerShell","Windows Server","Windows Server 2012","Безопасность","Диагностика","Службы каталогов"],"title":"Восстанавливаем доверительные отношения в домене"},{"body":"Жесткие диски Toshiba появились в розничной продаже сравнительно недавно, после приобретения компанией подразделения, производившего 3,5\u0026quot; диски Hitachi (производство 2,5\u0026quot; отошло WD). До этого диски данного производителя встречались в основном в готовой продукции и в розницу не поступали. Кроме относительной новизны интерес к дискам Toshibа подогревает их цена - одна из самых низких на рынке, что сегодня стало особенно актуально, поэтому мы решили изучить данный диск поближе.\nМладшие модели новой линейки Toshiba, серии DT01ACAxxx, действительно выделяются на рынке самой низкой ценой, особенно 500 ГБ и 1ТБ модели. Не сказать, чтобы сильно, но в условиях ограниченного бюджета и высоких цен 2,5$, именно такая средняя разница между рассматриваемым 1TБ диском и аналогичными предложениями от WD и Seagate, способны склонить покупателя к приобретению именно этой модели. А 500 ГБ диск еще более привлекателен, имея цену где-то на 4$ дешевле конкурентов.\nЖелание сэкономить вполне разумно, главное четко представлять, что именно вы получите за свои деньги и стоит ли этого разница в цене. Тем более диск относится к массовой серии, что подразумевает средние характеристики и повседневный характер задач.\nИтак, у нас в руках 1 Tb SATA 6Gb/s Toshiba \u0026lt; DT01ACA100 \u0026gt; 3.5\u0026quot; 7200rpm 32Mb, внешне диск ничем не выделяется и выглядит на фоне конкурентов, особенно WD с ее \u0026quot;цветными\u0026quot; сериями, довольно скромно. По традиции, начнем с общего теста CrystalDiskMark: Перейдем к более подробным тестам с использованием HD Tune Pro: Общий тест подтверждает уже полученный результат: скорость линейного доступа вполне неплоха, но среднее время доступа 19 мс - это значение, подходящее более для экономичных \u0026quot;зеленых\u0026quot; серий и портативных дисков.\nПосмотрим на файловый тест: Здесь диск показывает себя очень неплохо, в отличие от Western Digital Caviar Blue WD10EZEX обеспечивая более высокую скорость при работе с блоками уже от 16 КБ и быстро достигая максимальной производительности.\nА вот от теста случайного доступа ожидать высоких показателей не следует: Действительно, результат для диска широкого применения откровенно слабый, в задачах с высокой случайной нагрузкой данный диск покажет ощутимое снижение производительности. Поэтому не стоит использовать данную модель для размещения чувствительных к этому параметру приложений, например, информационных баз 1С:Предприятие, виртуальных машин, игр.\nСоставив общее представление о диске при помощи синтетических тестов перейдем к реальным сценариям, для чего мы используем пакет Intel NASPT. Выдающимися полученные результаты назвать нельзя, по большинству задач они средние, что вполне соответствует требованиям к дискам широкого применения, однако задачи копирования вложенных папок с мелкими файлами (Dir copy to/from NAS) вполне ожидаемо оказываются гораздо ниже средних.\nТем не менее диск вполне уверенно держит многопоточную нагрузку, например, одновременное воспроизведение нескольких потоков HD-контента. Один поток, диск обеспечивает максимум производительности: Два потока, скорость заметно упала, но провалов нет. Четыре потока. Скорость упала еще сильнее, более чем в два раза по сравнению с одним потоком, но сильных провалов в производительности по-прежнему нет. Диск уверенно держит нагрузку, просто в силу высокого времени случайного доступа быстрее работать он неспособен физически. Выводы Данная модель производит неоднозначное впечатление. Для недорого диска параметры достаточно неплохи, он уверенно справится с большинством повседневных задач для офисного ПК или домашнего неигрового, основные задачи которого: доступ в интернет, просмотр фильмов, работа с офисным пакетом. Если же вы работаете с мультимедийным контентом, базами 1С, виртуальными машинами или играете в игры, то приобретать данный диск явно не стоит. Western Digital Caviar Blue WD10EZEX незначительно дороже, зато гораздо более производительный. Также данный диск не следует использовать для NAS, не говоря про серверный сегмент, разве что для хранения резервных копий, хотя для этих задач есть экономичные \u0026quot;зеленые\u0026quot; диски.\nВ тоже время назвать диск плохим нельзя. Это типичная \u0026quot;антикризисная\u0026quot; модель, средняя производительность по привлекательной цене, если вы комплектуете партию офисных рабочих станции без особых требований к производительности дисковой подсистемы, то эта модель прекрасно удовлетворит ваши запросы и поможет немного сэкономить бюджет.\n","id":"ef8eff33f66bdec5e33f3145489db822","link":"https://interface31.ru/post/toshiba-dt01aca100-odin-iz-samyh-deshevyh-hdd/","section":"post","tags":["HDD","Toshiba"],"title":"Toshiba DT01ACA100 - один из самых дешевых HDD"},{"body":"Несмотря на то, что в наших предыдущих материалах мы уже касались вопроса резервного копирования баз Microsoft SQL Server, читательский отклик показал необходимость создания полноценного материала с более глубокой проработкой теоретической части. Действительно, выполненные с упором на практические инструкции статьи позволяют быстро настроить резервное копирование, но не объясняют причины выбора тех или иных настроек. Постараемся исправить этот пробел.\nМодели восстановления Перед тем как браться за настройку резервного копирования, следует выбрать модель восстановления. Для оптимального выбора следует оценить требования к восстановлению и критичность потери данных, сопоставив их с накладными расходами на реализацию той или иной модели.\nКак известно, база данных MS SQL состоит из двух частей: собственно, базы данных и лога транзакций к ней. База данных содержит пользовательские и служебные данные на текущий момент времени, лог транзакций включает в себя историю всех изменений базы данных за определенный период, располагая логом транзакций мы можем откатить состояние базы на любой произвольный момент времени.\nДля использования в производственных средах предлагается две модели восстановления: простая и полная. Существует также модель с неполным протоколированием, но она рекомендуется только как дополнение к полной модели на период крупномасштабных массовых операций, когда нет необходимости восстановления базы на определенный момент времени.\nПростая модель предусматривает резервное копирование только базы данных, соответственно восстановить состояние БД мы можем только на момент создания резервной копии, все изменения в промежуток времени между созданием последней резервной копии и сбоем будут потеряны. В тоже время простая схема имеет небольшие накладные расходы: вам необходимо хранить только копии базы данных, лог транзакций при этом автоматически усекается и не растет в размерах. Также процесс восстановления наиболее прост и не занимает много времени.\nПолная модель позволяет восстановить базу на любой произвольный момент времени, но требует, кроме резервных копий базы, хранить копии лога транзакций за весь период, для которого может потребоваться восстановление. При активной работе с базой размер лога транзакций, а, следовательно, и размер архивов, могут достигать больших размеров. Процесс восстановления также гораздо более сложен и продолжителен по времени.\nПри выборе модели восстановления следует сравнить затраты на восстановление с затратами на хранение резервных копий, также следует принять во внимание наличие и квалификацию персонала, который будет выполнять восстановление. Восстановление при полной модели требует от персонала определенной квалификации и знаний, тогда как при простой схеме достаточно будет следовать инструкции.\nДля баз с небольшим объемом добавления информации может быть выгоднее использовать простую модель с большой частотой копий, которая позволит быстро восстановиться и продолжить работу, введя потерянные данные вручную. Полная модель в первую очередь должна использоваться там, где потеря данных недопустима, а их возможное восстановление сопряжено со значительными затратами.\nВиды резервных копий Полная копия базы данных - как следует из ее названия, представляет собой содержимое базы данных и часть активного лога транзакций за то время, которое формировалась резервная копия (т.е. сведения обо всех текущих и незавершенных транзакциях). Позволяет полностью восстановить базу данных на момент создания резервной копии.\nРазностная копия базы данных - полная копия имеет один существенный недостаток, она содержит всю информацию базы данных. Если резервные копии нужно делать довольно часто, то сразу возникает вопрос неэкономного использования дискового пространства, так как большую часть хранилища будут занимать одинаковые данные. Для устранения этого недостатка можно использовать разностные копии базы данных, которые содержат только изменившуюся со времени последнего полного копирования информацию. Резервная копия журнала транзакций - применяется только при полной модели восстановления и содержит копию журнала транзакций начиная с момента создания предыдущей копии. Важно помнить следующий момент - копии журнала транзакций никак не связаны с копиями базы данных и не содержат информацию предыдущих копий, поэтому для восстановления базы вам необходимо иметь непрерывную цепочку копий того периода, в течении которого вы хотите иметь возможность откатывать состояние базы. При этом момент последнего успешного копирования должен быть внутри этого периода.\nПосмотрим на рисунок выше, если будет утрачена первая копия файла журнала, то вы сможете восстановить состояние базы только на момент полного копирования, что будет аналогично простой модели восстановления, восстановить состояние базы на любой момент времени вы сможете только после следующего разностного (или полного) копирования, при условии, что цепочка копий журналов начиная с предшествующего копированию базы и далее будет непрерывна (на рисунке - от третьего и далее).\nЖурнал транзакций Для понимания процессов восстановления и назначения разных видов резервных копий следует более подробно рассмотреть устройство и работу журнала транзакций. Транзакция - это минимально возможная логическая операция, которая имеет смысл и может быть выполнена только полностью. Такой подход обеспечивает целостность и непротиворечивость данных при любых ситуациях, так как промежуточное состояние операции недопустимо. Для контроля над любыми изменениями в базе предназначен журнал транзакций.\nПри выполнении любой операции в журнал транзакций добавляется запись о начале транзакции, каждой записи присваивается уникальный номер (LSN) из неразрывной последовательности, при любом изменении данных в журнал вносится соответствующая запись, а после завершения операции в журнале появляется отметка о закрытии (фиксации) транзакции. При каждом запуске система анализирует журнал транзакций и откатывает все незафиксированные транзакции, одновременно с этим происходит накат изменений, которые зафиксированы в журнале, но не были записаны на диск. Это дает возможность использовать кэширование и отложенную запись, не опасаясь за целостность данных даже при отсутствии систем резервного питания.\nТа часть журнала, которая содержит активные транзакции и используется для восстановления данных называется активной частью журнала. Она начинается с номера, который называется минимальным номером восстановления (MinLSN).\nВ простейшем случае MinLSN - это номер записи первой незавершенной транзакции. Если посмотреть на рисунок выше, то открыв синюю транзакцию мы получим MinLSN равную 321, после ее фиксации в записи 324, номер MinLSN изменится на 323, что будет соответствовать номеру зеленой, еще не зафиксированной, транзакции.\nНа практике все немного сложнее, например, данные закрытой синей транзакции могут быть еще не сброшены на диск и перемещение MinLSN на 323 сделает восстановление этой операции невозможной. Для того, чтобы избежать таких ситуации было введено понятие контрольной точки. Контрольная точка создается автоматически при наступлении следующих условий:\nПри явном выполнении инструкции CHECKPOINT. Контрольная точка срабатывает в текущей базе данных соединения. При выполнении в базе данных операции с минимальной регистрацией, например, при выполнении операции массового копирования для базы данных, на которую распространяется модель восстановления с неполным протоколированием. При добавлении или удалении файлов баз данных с использованием инструкции ALTER DATABASE. При остановке экземпляра SQL Server с помощью инструкции SHUTDOWN или при остановке службы SQL Server (MSSQLSERVER). И в том, и в другом случае будет создана контрольная точка каждой базы данных в экземпляре SQL Server. Если экземпляр SQL Server периодически создает в каждой базе данных автоматические контрольные точки для сокращения времени восстановления базы данных. При создании резервной копии базы данных. При выполнении действия, требующего отключения базы данных. Примерами могут служить присвоение параметру AUTO_CLOSE значения ON и закрытие последнего соединения пользователя с базой данных или изменение параметра базы данных, требующее перезапуска базы данных. В зависимости от того, какое событие произошло раньше, MinLSN будет присвоено значение либо номера записи контрольной точки, либо начала самой старой незавершенной транзакции.\nУсечение журнала транзакций Журнал транзакций, как и любой журнал, требует периодической очистки от устаревших записей, иначе он разрастется и займет все доступное место. Учитывая, что при активной работе с базой размер лога транзакций может значительно превышать размер базы, то этот вопрос актуален для многих администраторов.\nФизически файл журнала транзакций является контейнером для виртуальных журналов, которые последовательно заполняются по мере роста лога. Логический журнал, содержащий запись MinLSN является началом активного журнала, предшествующие ему логические журналы являются неактивными и не требуются для автоматического восстановления базы. Если выбрана простая модель восстановления, то при достижении логическими журналами размера равного 70% физического файла происходит автоматическая очистка неактивной части журнала, т.н. усечение. Однако это не приводит к уменьшению физического файла журнала, усекаются только логические журналы, которые после этой операции могут использоваться повторно. Если количество транзакций велико и к моменту достижения 70% размера физического файла не окажется неактивных логических журналов, то размер физического файла будет увеличен. Таким образом файл лога транзакций при простой модели восстановления будет расти согласно активности работы с базой до тех пор, пока не будет надежно вмещать всю активную часть журнала. После чего его рост прекратится.\nПри полной модели неактивную часть журнала нельзя усечь до тех пор, пока она полностью не попадет в резервную копию. Усечение журнала производится при условии, что выполнена резервная копия журнала транзакций, после чего была создана контрольная точка.\nНеправильная настройка резервного копирования журнала транзакций при полной модели способно привести к неконтролируемому росту файла журнала, что часто составляет проблему для неопытных администраторов. Также часто попадаются советы по ручному усечению журнала транзакций. При полной модели восстановления делать этого не следует категорически, так как тем самым вы нарушите целостность цепочки копий журнала и сможете восстановить базу только на момент создания копий, что будет соответствовать простой модели.\nВ этом случае самое время вспомнить то, о чем мы говорили в начале статьи, если затраты на полную модель превышают затраты на восстановление следует отдать предпочтение простой модели.\nПростая модель восстановления Теперь, после получения необходимого минимума знаний, можно перейти к более подробному рассмотрению моделей восстановления. Начнем с простой. Допустим, на момент сбоя у нас имеется одна полная и две разностные копии: Резервное копирование выполнялось раз в сутки и последняя копия была создана ночью с 21-го на 22-е. Сбой происходит вечером 22-го до создания очередной копии. В этом случае нам потребуется последовательно восстановить полную и последнюю разностные копии, при этом данные за последний рабочий день будут утеряны. Если по каким-либо причинам копия от 21-го также окажется повреждена, то мы можем восстановить предыдущую копию, потеряв еще день работы, в тоже время повреждение копии за 20-е число никак не помешает успешно восстановить данные на вечер 21-го, при наличии соответствующей копии.\nПолная модель восстановления Рассмотрим аналогичную ситуацию, но с применением полной модели восстановления. Резервные копии у нас также делаются ежесуточно, по принципу полная + разностные, а также несколько раз в сутки копируется лог транзакций. Процесс восстановления в этом случае будет более сложен. Прежде всего потребуется создать вручную резервную копию заключительного фрагмента журнала (показана красным), т.е. часть журнала с момента прошлого создания копии и до аварии.\nЕсли этого не сделать, то восстановить базу можно будет только до состояния на момент создания последней копии журнала транзакций.\nПри этом повреждение файла копии журнала за предыдущий день не помешает нам восстановить актуальное состояние базы, но ограничит нас моментом создания последней копии, т.е. текущими сутками.\nЗатем последовательно восстанавливаем полную и разностную копию и цепочку копий журнала, созданную после последнего резервного копирования, последней восстанавливаем копию заключительного фрагмента журнала, что даст нам возможность восстановить базу прямо на момент аварии или произвольный, предшествовавший ему.\nЕсли последняя разностная копия будет повреждена, то в случае с простой моделью это приведет к потере еще одного рабочего дня, полная модель позволяет восстановить предпоследнюю копию, после чего нужно будет восстановить всю цепочку копий лога транзакций от момента предпоследней копии и до сбоя. Глубина восстановления зависит только от глубины непрерывной цепочки логов.\nС другой стороны, если одна из копий лога транзакций будет повреждена, скажем, предпоследняя, то восстановить данные мы сможем только на момент последней резервной копии + период в неповрежденной цепочке копий журналов. Например, если журналы делались в 12, 14 и 16 часов и поврежден журнал, созданный в 14 часов, то располагая суточной копией мы сможем восстановить базу до момента окончания непрерывной цепочки, т.е. до 12 часов.\n","id":"285e336309e83a90f4c9c5188f658fa7","link":"https://interface31.ru/post/rezervnoe-kopirovanie-baz-dannyh-microsoft-sql-server/","section":"post","tags":["MS SQL","SQL","Windows Server","Резервное копирование"],"title":"Резервное копирование баз данных Microsoft SQL Server"},{"body":"Стремление производителей программного обеспечения оперативно закрывать найденные уязвимости безусловно похвально. Только вот иногда результаты таких \u0026quot;исправлений\u0026quot; приводят к самым неожиданным последствиям, добавляя системным администраторам немало головной боли. В таких ситуациях в первую очередь нужно действовать быстро, отложив подробный \u0026quot;разбор полетов\u0026quot; на потом. Сегодняшний случай как раз из их числа.\nСобственно, никто не мог подумать, что одно из очередных обновлений под номером KB3013455 будет иметь весьма и весьма необычные \u0026quot;побочные эффекты\u0026quot;. Зато они не имели ни малейшего шанса остаться незамеченными, вызывая недоумение и возмущение у пользователей, и авральную ситуацию у администраторов. Действительно, было от чего прийти в состояние близкое к паническому: текст на мониторах пользователей начал по абсолютно непонятной причине выглядеть следующим неприглядным образом: При этом никакие разумные действия, в виде настроек отображения и сглаживания не давали заметного эффекта. Аппаратная часть также оказалась в норме. После чего возникли вполне обоснованные подозрения на вредоносный софт или какие-то иные программные неполадки с системой. Вредоносного ПО не обнаружилось, зато нашлись свежие обновления, после удаления которых все быстро пришло в норму.\nБолее подробный анализ показал, что виновником происходящего является пакет KB3013455, в описании которого значится следующее:\nДанное обновление безопасности устраняет одну публичную и пять недавно обнаруженных пользователями уязвимостей в Microsoft Windows. Наиболее серьезная уязвимость делает возможным удаленное выполнение кода, если злоумышленник предлагает пользователю открыть специально сконструированный документ или посетить ненадежный веб-узел, содержащий внедренные шрифты TrueType.\nПри этом ниже скромно так заявляется:\nИзвестные проблемы этого обновления безопасности: После установки обновления для системы безопасности 3013455, можно заметить некоторые потери качества текста в определенных сценариях. Проблема возникает на компьютерах под управлением следующих операционных систем:\nWindows Server 2008 с пакетом обновления 2\nWindows Server 2003 с пакетом обновления 2\nWindows Vista с пакетом обновления 2\nПосле чего возникает закономерный ряд вопросов. Каким образом Microsoft производит тестирование обновлений, что практически полностью нечитабельные шрифты именуются \u0026quot;некоторой потерей качества\u0026quot; и пакет идет в продакшен? При этом пакет не отзывается, не заменяется заглушкой, а пишет только, что работает над этой проблемой и сообщит \u0026quot;как только, так сразу\u0026quot;. Есть пожелание принудительно накатить этот патч работающим над этой проблемой сотрудникам, может быть дело пойдет быстрее.\nПока же можно только порекомендовать удалить это обновление и временно выключить автоматическую установку обновлений на подверженных повреждению шрифтов системах, либо убрать его из одобренных на сервере WSUS.\nИнформация Внимание. В настоящий момент Microsoft выпустили пакет исправляющий повреждения шрифтов после этого обновления: http://support2.microsoft.com/kb/3037639\nДанная ситуация, в очередной раз, показывает необходимость предварительно отслеживать работу обновлений для основного набора систем в тестовых средах, перед тем, как одобрять их к установке. А это еще один аргумент к развертыванию службы WSUS даже в небольших организациях.\n","id":"45c7161c9e06b6c29552bba28beec285","link":"https://interface31.ru/post/povrezhdenie-sistemnyh-shriftov-posle-obnovleniya-kb3013455/","section":"post","tags":["Windows Server","Windows Update","Восстановление системы","Диагностика"],"title":"Повреждение системных шрифтов после обновления KB3013455"},{"body":"Продолжая тему создания систем высокой доступности, в данном материале мы рассмотрим настройку iSCSI-хранилищ в современной версии серверных ОС от Microsoft. Мы не будем повторяться и снова обсуждать общие вопросы, поэтому, если вы только начинаете работать с iSCSI, то настоятельно рекомендуем ознакомиться с вступительной частью к нашему предыдущему материалу.\nШирокое распространение виртуализации и потребности в создании отказоустойчивых систем даже при небольших внедрениях заставили компанию Microsoft пересмотреть свое отношение к доступным из коробки ролям Windows Server и политике лицензирования. Если раньше iSCSI Target предлагался только в редакции Windows Storage Server, то начиная с Server 2008 R2 он стал доступен в виде отдельно устанавливаемого компонента, а с выходом Windows Server 2012 закономерно стал частью ОС.\nДля установки роли Cервера цели iSCSI запустите Мастер добавления ролей и компонентов, затем последовательно разверните пункты Файловые службы и службы хранилища - Файловый службы и службы iSCSI и укажите одноименную роль. Перезагрузки сервера не требуется и по завершении работы мастера можно сразу переходить к настройке сервера целей. Для этого в левом меню Диспетчера серверов выберите Файловые службы и службы хранилища и перейдите в раздел iSCSI. Для создания нового виртуального диска щелкните соответствующую ссылку или выберите соответствующий пункт из меню Задачи, откроется Мастер создания виртуальных дисков iSCSI, который в первую очередь попросит вас указать расположение хранилища. Помните, что производительность дисковой подсистемы хранилища должна соответствовать предполагаемым нагрузкам, также вы должны обеспечить серверу цели достаточную пропускную способность сетевых интерфейсов. Мы рекомендуем выделять для сети хранения данных (SAN) отдельную сеть, не связанную с сетью предприятия.\nСледующим шагом укажите имя и размер создаваемого диска. Windows Server 2012 поддерживает новый формат виртуальных дисков - VHDX, а также динамически расширяемые диски. Если доступные ранее диски фиксированного размера резервировали дисковое пространство хранилища сразу при создании, то динамически расширяемые диски увеличивают размер согласно реально записанным в них данным. Это позволяет существенно экономить дисковое пространство хранилища, нарезая виртуальные диски с запасом.\nНе рекомендуется данный тип дисков для систем с высокой дисковой активностью, так как за счет возможной фрагментации и операций по приращению размера диска производительность будет ниже, чем у дисков фиксированного размера. В тоже время динамически расширяемые диски неплохо подходят для файловых хранилищ, резервного копирования и т.п. задачам, где в первую очередь требуется хранение данных, а не скорость доступа к ним.\nЕще один поддерживаемый тип дисков - разностный, когда все изменения пишутся не на исходный виртуальный диск, а на вновь созданный, к использованию в производственных средах не рекомендуется ввиду существенно более низкой производительности, но может оказаться полезным при отладке и разного рода экспериментах, когда надо иметь возможность быстро откатиться к исходному состоянию. Созданный виртуальный диск можно назначить как уже существующей цели (таргету), так и создать новый, в этом случае просто укажите имя цели, IQN будет сформирован автоматически. Затем потребуется указать инициаторы, которым будет разрешен доступ к этой цели. IQN инициатора можно посмотреть на клиенте, для этого откройте Панель управления - Администрирование - Инициатор iSCSI, на вопрос об автоматическом запуске службы ответьте утвердительно. IQN ткущего инициатора можно посмотреть на закладке Конфигурация: Но можно поступить проще, перейдите на закладку Конечные объекты и выполните Быстрое подключение к Cерверу цели, подключиться по понятным причинам не получится, но IQN инициализатора останется в кэше сервера. Вернемся на сервер и нажав кнопку Добавить выберем IQN инициатора из кэша, для современных систем вы также можете получить IQN инициатора выполнив подключение к нему по IP-адресу или имени хоста: На остальных шагах оставляем значения по умолчанию, после чего работа мастера будет завершена, виртуальный диск создан и назначен соответствующей цели. Теперь следует подключить созданный диск к целевой системе. Можно воспользоваться функцией быстрого подключения, тогда все диски цели будут подключены с параметрами по умолчанию, что не всегда правильно. Поэтому перейдите на закладку Обнаружение и нажмите кнопку Обнаружить портал: Возвращаемся на закладку Конечные объекты и выполняем ручное подключение найденных дисков, при этом, нажав на кнопку Дополнительно, можно самостоятельно настроить параметры подключения, например, выбрать сетевой адаптер, обслуживающий сеть SAN. Если вам потребуется изменить параметры подключения уже подключенного объекта, то его следует отключить и подключить заново. После выполнения всех этих действий подключенное устройство будет обнаружено системой как еще один локальный диск и последующая работа с ним ничем не отличается от работы с обычным жестким диском. ","id":"d473f4d5285ac4332e6f686d3ac30be5","link":"https://interface31.ru/post/nastroyka-iscsi-hranilishha-v-windows-server-2012-r2/","section":"post","tags":["High availability","iSCSI","Windows Server","Windows Server 2012"],"title":"Настройка iSCSI-хранилища в Windows Server 2012 R2"},{"body":"В своих материалах мы часто затрагивали тему веб-серверов, ограничиваясь в основном технической частью, оставляя вопрос создания и настройки сайта за кадром. В тоже время многие наши читатели выразили пожелание несколько расширить тему, рассказав, как создать и настроить свой сайт. Мы решили пойти на встречу и открыть новый раздел нашего сайта, в котором разберем процесс создания сайта от и до, делая упор на техническую сторону вопроса. А начнем, как обычно, с самого начала.\nДоменное имя\nДоменное имя - это то, что мы набираем в адресной строке браузера, сегодня имя домена ассоциируется именно с именем сайта. Привычные всем доменные имена - это домены второго уровня. Первый уровень, это так называемые доменные зоны, они же домены первого уровня: .com, .ru, .net и т.д.\nСтав обладателем домена второго уровня, администратор получает в свое распоряжение персональное пространство имен, которым может распоряжаться по своему усмотрению: создавать домены третьего (четвертого и далее) уровня (поддомены), размещать на них различные сетевые сервисы и службы и т.д. и т.п.\nСуществуют общепринятые домены третьего уровня, которые подразумевают наличие на них вполне определенных сервисов. Они сложились исторически, когда разные службы физически располагались на разных хостах: www - веб содержимое,mail - почта, ftp - FTP-сервер и т.д. Особо следует отметить домен третьего уровня www, сегодня наличие сайта подразумевается по корневому имени домена, но в целях сохранения совместимости он должен быть доступен и на домене третьего уровня www. Остальные домены не являются обязательными, но их использование является правилом хорошего тона, вполне логично, что почту пользователь будет искать по адресу mail и т.д.\nТакже домен второго уровня позволяет вам разместить неограниченное число сайтов, в т.ч. и на разных хостингах. Например, основной сайт - example.com, личный блог - blog.example.com, сайт техподдержки - support.example.com, вики - wiki.example.com и т.д. Все это может быть организовано как в виде единого портала, так и в виде независимых проектов.\nТеперь о том, какое значение имеет доменное имя для сайта. С точки зрения протокола HTTP, на котором базируется современный интернет, любой сайт представляет собой набор документов доступных посредством обращения к универсальным указателям URL, в состав которых обязательно входит доменное имя. Проще говоря, доступ к содержимому сайта можно получить единственным образом - перейдя по ссылке. Ссылки на ресурсы вашего сайта попадают в индекс поисковых систем, в закладки пользователей, становятся частью содержимого других ресурсов. Таким образом сайт постепенно получает ссылочную массу, которая обеспечивает его посещаемость, ранжируемость в поиске, авторитетность и т.д. и т.п.\nЧто будет, если вы вдруг потеряете доступ к своему доменному имени? Вся эта ссылочная масса в один момент станет недействительной. Вы можете разместить содержимое сайта по другому адресу, но в плане раскрутки вам придется начинать все сначала. Это равносильно тому, что некая фирма внезапно переехала, не сообщив никому нового адреса. Так и вашим посетителям придется искать сайт заново и не факт, что это получится. А при перехвате домена, например, в случае неоплаты или взлома аккаунта, сторонние лица могут воспользоваться плодами вашей популярности в т.ч. и в мошеннических целях.\nК доменному имени следует относиться точно также, как и к иной своей собственности, принимая должные меры осмотрительности и безопасности. Регистрируйте доменное имя только на реальные данные и, по возможности, сделайте привязку аккаунта к мобильному телефону или иным способом подтвердите свою личность и права на владение доменом. Делать это следует для того, чтобы в случае возникновения каких-либо проблем вы могли быстро вернуть контроль над доменом, согласитесь, будет обидно потерять результаты многолетнего труда только потому, что вы в свое время зарегистрировали доменное имя на Васю Пупкина.\nСледующий вопрос - какой домен выбрать? Здесь все зависит от ваших пожеланий. В рунете наиболее популярны (и недороги) домены национальной зоны .ru, также довольно широко используются международные домены .org, .com, .net и т.д. Никакого существенного влияния на работу и индексацию сайта поисковыми системами доменная зона не оказывает, хотя соответствующие мифы продолжают распространяться по различным ресурсам.\nОднако при выборе домена первого уровня есть свои особенности. Все доменные зоны делятся на национальные и международные. С последними все просто и ясно - регистрация в этих зонах доступна любому желающему согласному с условиями использования домена.\nНациональные зоны можно условно разделить на зоны, использующиеся в национальных сегментах сетей и зоны используемые в коммерческих целях, обычно слаборазвитых или малонаселенных стран. Реально используемые национальные зоны могут иметь ограничения регистрации, например, только для резидентов и обычно регулируются согласно национальному законодательству, что следует учитывать при разработке сайта. Нарушение этого правила может повлечь блокировку или отмену регистрации домена.\nНе стоит думать, что это касается только нелегального или полулегального контента. Национальные законодательства могут иметь ограничения на распространение информации вполне легальной в других странах, это может касаться областей авторского и патентного права, видов деятельности, требующих лицензирования и т.д. и т.п. В России, например, существуют ограничения на рекламу табака, спиртного, медицинских услуг и препаратов. Поэтому, размещая сайт в чужой национальной зоне, желательно уточнить список возможных ограничений, чтобы не попасть в неприятную ситуацию.\nДругая категория национальных доменов используется исключительно в коммерческих целях, обычно это домены небольших государств с еще меньшим количеством интернет пользователей, например, .tv - Тувалу, .fm - Микронезия, .me - Черногория. Как правило, эти зоны не содержат ограничений в регистрации и выведены из-под действия национального законодательства, хотя изучить правила регистрации и почитать отзывы будет не лишним.\nВ любом случае, перед тем как регистрировать домен, хотя бы коротко ознакомьтесь с основными правилами регистрации в выбранной зоне. Это поможет избежать различных неприятных ситуаций в будущем, хотя не факт, что они обязательно возникнут. Например, регистрация в зоне .biz может быть оспорена, если лицо, зарегистрировавшее домен не занимается коммерческой деятельностью, а доменная зона .eu, хоть и позволяет де-факто регистрироваться в ней любому желающему, формально ограничена только резидентами Евросоюза. Условия еще одной зоны .tk составлены довольно хитрым образом и позволяют регистратору \u0026quot;вполне законно\u0026quot; отобрать и перепродать любой домен.\nЧего следует однозначно воздерживаться, так это создания сайтов на бесплатных доменах третьего уровня. Причин тут несколько, основная - вы вкладываете силы и средства в раскрутку не принадлежащего вам домена. Его владелец не связан с вами какими-либо обязательствами и может в любой момент лишить вас домена. Также, если проект вырос, то возникнут определенные трудности с переходом на собственный домен, так как уже существующая ссылочная масса будет еще длительное время использовать старый адрес.\nТакже не следует использовать домены второго уровня, зарегистрированные не на вас, какими бы не были условия на текущий момент. Это все равно, что строить дом на не принадлежащем вам участке. Возможный риск перевешивает копеечную прибыль.\nПоследний вопрос - где и как зарегистрировать домен. Это совсем не сложно, на рынке присутствует большое количество регистраторов и их партнеров. Как правило крупные регистраторы держат официальную цену, а у партнеров можно получить вполне ощутимые скидки. Так официальная цена домена .ru - 600 руб, в то время как у партнеров можно приобрести данные домены дешевле 100 руб. Внимательный читатель сразу спросит: где тут подвох? Но никакого скрытого дна здесь нет, многие реселлеры держат более низкие цены за счет объема продаж и сокращения перечня сопутствующих услуг, например, не предоставляют услугу управления DNS-зоной. В любом случае, даже если партнер завтра прекратит свое существование, вы всегда сможете продолжить обслуживать домен через вышестоящего регистратора, единственное условие - домен должен регистрироваться именно на ваше имя.\nМеждународные домены обычно выгоднее приобретать у зарубежных регистраторов и их партнеров. Это обусловлено как более широким выбором зон, так и более низкими ценами, по сравнению с отечественными компаниями.\nХостинг Если домен - это имя сайта, то хостинг - это его дом. С технической точки зрения хостинг - это совокупность веб-сервера, СУБД и дискового пространства, а также некоторых сопутствующих сервисов. В зависимости от способа предоставления технических и разделения ресурсов между пользователями выделяют разные виды хостинга, которые имеют разлиную стоимость.\nСамый простой способ разместить свой сайт - это приобрести услугу виртуального хостинга. В этом случае вы получаете полностью настроенный веб-сервер, все что вам остается, это разместить содержимое сайта и начать работать. Технически виртуальный хостинг представляет обычный веб-сервер каждому пользователю которого выделяется некоторый объем ресурсов. Также это самый недорогой вид хостинга, так как ресурсы одного сервера имеется возможность продать максимально большому числу пользователей.\nНесомненное достоинство виртуального хостинга - простота использования, вам не нужно обладать навыками администрирования, чтобы работать со своим сайтом. Отсюда же вытекают и недостатки, так как сервер один для всех, то вы не можете выбирать тип используемого ПО и изменять его настройки. Также вы будете ограничены лимитами, которые, особенно на недорогих тарифах, могут оказаться весьма существенными.\nОбычно пользователь виртуального хостинга ограничен дисковым пространством, количеством доменов и баз данных. Эти лимиты явно указываются в описании тарифа и понятны большинству пользователей. Если же более внимательно прочитать правила, то там обнаружатся ограничения по нагрузке на хостинг, такие как ограничения использования процессора, памяти, количество запросов к БД и т.д. Если вы не имеете соответствующего опыта, то оценить эти ограничения будет несколько затруднительно. Но можно с уверенностью сказать, для размещения посещаемых ресурсов виртуальный хостинг подходит слабо. Как только ваш сайт начнет производить существенную нагрузку вас сначала попросят перейти на более дорогой тариф, а затем, возможно, на выделенный сервер.\nЕще один недостаток виртуального хостинга - вы делите сервер с другими ресурсами, а это увеличивает риск попасть под фильтры антивирусов и поисковых систем, блокировки государственных органов и т.д. Поэтому всегда читайте отзывы и смотрите, какие ресурсы размещаются у данного хостера.\nСтоимость виртуального хостинга невелика, от 100 рублей в России и 1,5 - 2 $ за рубежом. Однако не стоит гнаться за низкой ценой, дешевый тарифный план может иметь крайне низкую производительность или жесткие лимиты, что может сделать нормальную работу современных систем управления сайтом невозможной.\nМы можем порекомендовать виртуальный хостинг для небольших стандартных проектов, когда вам нужно просто получить сайт на одном из популярных \u0026quot;движков\u0026quot;, при этом не вникая в технические особенности. Однако по мере роста ресурса будьте готовы к тому, что придется переходить на более дорогие тарифные планы, сравнимые со стоимостью аренды виртуального сервера.\nВиртуальный сервер (VPS или VDS) - наиболее популярная услуга у многих хостеров, так как оптимально сочетает цену с предоставляемыми возможностями. Представляет собой виртуальную машину с предустановленной ОС, которую вы вольны настраивать по собственному усмотрению. Требует от владельца навыков администрирования и более сложен в настройке, но в тоже время позволяет самостоятельно выбирать ПО и конфигурировать его наиболее оптимальным для вашего проекта способом.\nДостоинства - это ваш сервер, можете настроить его так, как это нужно именно вам. Никто, кроме системных ресурсов, не ограничивает вас в количестве сайтов, баз данных, пользователей и т.п.\nНедостатки - требуется достаточная квалификация для администрирования либо привлечение сторонних специалистов. Неправильно настроенный сервер также будет только вашей головной болью, кроме того, на вас ложится ответственность за безопасность. Хостер просто предоставляет вам сервер, а что вы там будете делать его не волнует, до тех пор, пока вы соблюдаете правила хостинга или на вас не начнут поступать жалобы.\nПриобретая VPS внимательно ознакомьтесь с правилами использования, многие хостеры запрещают использование некоторого типа ПО: VPN и прокси-серверов, торрентов и некоторых веб-приложений. Это может быть связано как с особенностями системы виртуализации, так и с требованиями законодательства и борьбой с нелегальной деятельностью. Если у вас есть сомнения - проконсультируйтесь в поддержке.\nЕще один популярный вопрос - где приобретать VPS, в России или за рубежом. Наша практика показывает, что зарубежный хостинг имеет более привлекательные тарифные планы при одинаковой стоимости с отечественным. Однако не забывайте, что размещать сервер следует ближе к целевой аудитории, поэтому для сайта с преимущественно российской аудиторией хорошим размещением будут отечественные и европейские хостеры. Хостинг в Штатах, при прочих равных, будет иметь более высокое время доступа, иногда существенно более высокое. Также учтите, что американские хостеры редко предоставляют безлимитный трафик, обычно бесплатен определенный месячный пакет, за превышение которого нужно платить.\nЧто касается качества, то мы не можем сказать, что зарубежные хостеры превосходят отечественных, как у нас, так и у них есть как отличные компании, так и откровенные аутсайдеры, предоставляющие услуги сомнительного качества.\nЕсли вы все-таки решили выбрать зарубежного хостера, то уточните, на каких языках они оказывают поддержку, а также трезво оцените собственное владение иностранным языком, в противном случае вы можете оказаться в ситуации, когда поддержка просто не будет понимать, что вы от нее хотите.\nСтоимость VPS начинается от 500-600 руб/мес у нас и 5-7 $ за рубежом, однако за эти деньги вы получите базовую конфигурацию с существенно ограниченными ресурсами, нормальные сервера обойдутся от 1000 рублей или 15$. При желании можно найти предложения и с более низкими ценами, но существенное отличие от средней по рынку цены должно только настораживать, в любом случае следует внимательно изучить отзывы о провайдере и не оплачивать услуги на длительный срок.\nС учетом небольших цен мы можем смело рекомендовать виртуальные сервера самому широкому кругу администраторов. Если вы хотите полностью управлять собственным проектом, то это выбор для вас.\nСледующим шагом, после виртуального сервера, является выделенный сервер, когда вы арендуете в дата-центре физический сервер или размещаете собственный. Работа с ним практически ничем не отличается от работы с виртуальным сервером, со всеми достоинствами и недостатками. Отдельно следует отметить, что это очень недешевое удовольствие и используется обычно весьма крупными и нагруженными ресурсами.\nКак альтернативу серверам можно рассматривать облачную инфраструктуру. Здесь следует сразу внести ясность, так как термин \u0026quot;облако\u0026quot; стараниями маркетологов применяется сегодня к любым удаленным сервисам. В нашем случае под облаком следует понимать IaaS - инфраструктура как сервис. Воспользовавшись услугами облачного провайдера, например, Amazon AWS или Microsoft Azure, вы также можете разместить на его стороне виртуальный сервер и получите полный аналог VPS. В чем же разница?\nРазница в способе предоставления и оплаты ресурсов. В случае с VPS вы платите фиксированную цену за сервер с заранее оговоренными ресурсами. При резком повышении нагрузки производительность упрется в ограничения вашей виртуальной машины, со всеми вытекающими отсюда последствиями. Для увеличения производительности вам необходимо будет сменить тариф, увеличив доступные ресурсы вашей виртуальной машины.\nВ облаке вы оплачиваете потребляемые ресурсы: трафик, использование процессора, операции ввода-вывода. При этом вы не ограничены одним виртуальным сервером, также кроме виртуальных машин вы можете использовать другие ресурсы облака, например, дисковые хранилища или сервера БД, также оплачивая только то, что потребили.\nНесомненный плюс облака - масштабирование, при резком увеличении нагрузки на сайт он не упрется в некий потолок, а получит необходимые ресурсы, правда за это придется заплатить. Такая схема подходит, например интернет-магазинам, которым надо несколько раз в году выдерживать сезонный пик продаж, скажем, предновогодний. В случае с выделенным сервером или VPS возникает дилемма: сэкономить на сервере и получить потенциальные проблемы в горячий сезон или взять ресурсов с запасом, оплачивая весь год простаивающие мощности.\nОднако эта же самая особенность способна стать большим минусом, при неправильной настройке сервера или ПО, DDoS-атаке или случайном \u0026quot;хабраэффекте\u0026quot; вы получите серьезный перерасход ресурсов и, как следствие, серьезно переплатите.\nВ общем, облачные услуги при той же вычислительной мощности обходятся дороже чем VPS или выделенный сервер и просто перенеся проект в облако, вы не получите ощутимых плюсов, кроме выросших расходов. В тоже время облако оптимально подходит для проектов с неравномерной нагрузкой, а также для развивающихся проектов, так как позволяет сократить затраты на инфраструктуру на начальном этапе.\nНаш рассказ о хостинге был бы неполным, без упоминания про бесплатный хостинг. Как правило, он отличается ограниченными ресурсами и отвратительным качеством, а также принудительным показом рекламы. На наш взгляд связываться с таким хостингом не стоит, так как кроме низкого качества вы рискуете в один не очень прекрасный момент остаться без результатов вашего труда, большинство бесплатных хостеров могут прекратить оказание услуг без предупреждения.\nХотя можно найти бесплатные предложения без рекламы от коммерческих хостеров, их отличает только ограничение ресурсов. Расчет там простой, если у пользователя все получается на бесплатном аккаунте и сайт начинает развиваться - он перейдет на платные тарифы, в противном случае он ничего не теряет и скорее всего снова придет, когда захочет попробовать еще раз.\nТакже существуют сервисы, например, uCoz, которые не являются хостингом в прямом смысле этого слова, но также позволяют создать свой сайт, используя специальные конструкторы. Использовать данные сервисы или нет - решать вам. Но учтите, когда ваш проект вырастет и выйдет за рамки сервиса, забрать его оттуда и разместить на своих ресурсах будет в большинстве случаев невозможно без полной переработки проекта.\nНу и напоследок поговорим о домашнем (офисном) хостинге. На первый взгляд размещение сайта на своих мощностях может показаться неплохой идеей, действительно, интернет сейчас стоит копейки, особенно для домашних пользователей, а собрать неплохой веб-сервер можно из старого ненужного железа. Однако не все так просто, как кажется. Основная проблема - обеспечение бесперебойной работы. Если для нормального хостера недоступность в течении нескольких часов - это серьезное ЧП, то для провайдера отсутствие интернета в течении целого дня - рядовая проблема, особенно если потребитель - физическое лицо. Добавьте сюда возможные перебои с электроснабжением и получите вовсе безрадостную картину, когда ничего не работает, и вы не в силах как-либо повлиять на ситуацию.\nПодобный способ размещения подходит только для внутренних ресурсов, используемых преимущественно внутри организации и для разработки и тестирования собственных проектов, т.е. в тех случаях, когда не требуется обеспечивать бесперебойную работу сайта для внешнего мира.\nСистемы управления сайтом (CMS) Представить современный сайт без системы управления содержимым практически невозможно, разве только что простенький сайт из пары тройки страничек. В остальных случаях CMS или \u0026quot;веб-движок\u0026quot; позволяет сосредоточить внимание на содержимом сайта, взяв на себя все технические вопросы. Что такое \u0026quot;движок\u0026quot; сайта? Это веб-приложение или набор скриптов которые обрабатывают запросы от веб-сервера и отдают ему готовые страницы.\nНапример, пользователь запросил страницу http://example.com/blog/bla-bla-bla.html, но на самом деле такой страницы может и не существовать физически, а указанный адрес будет псевдонимом страницы http://example.com/index.php?cat=blog\u0026id=137, т.е. веб-сервер запустит скрипт веб-движка передав ему некоторые параметры. В свою очередь движок запросит в базе данных данные записи с id137 и сгенерирует веб-страничку в соответствии с настройками раздела blog, передав результат обратно веб-серверу, который покажет пользователю требуемую информацию.\nДля работы веб-движка серверу потребуется соответствующий интерпретатор, в большинстве случаев это PHP, и база данных, обычно - MySQL. Разные движки выдвигают разные требования к ресурсам сервера и совместимым версиям ПО, поэтому внимательно изучайте системные требования и исходя из этого подбирайте хостинг.\nКакую систему управления сайтом выбрать? Это зависит от его назначения. Так для интернет магазина лучше всего подойдет специализированный движок, в то время как сайт-визитку или блог можно реализовать практически на любой CMS.\nМы бы рекомендовали начать свое знакомство с одним из популярных бесплатных движков, это позволит без лишних затрат освоить веб-технологии, а сформированные вокруг таких продуктов сообщества способны оказать посильную помощь в освоении. Кроме того, популярность движков позволяет легко найти ответы на часто возникающие вопросы, инструкции, советы и хитрости. В будущем, уже обладая опытом и знаниями, вы может быть перейдете на один из более специализированных движков, но начинать лучше с самых популярных и используемых.\nНапример, данный блог использует довольно специфический движок MovableType, который, на наш взгляд, является лучшим в своем классе, но, если нас спросят, какой движок взять для блога начинающему, мы посоветуем WordPress.\nДля начинающих мы можем посоветовать два движка: WordPress и Joomla. Оба просты в установке и освоении, имеют множество дополнений, отлично документированы и поддерживаются обширными сообществами, в т.ч. русскоязычными. Drupal, на наш взгляд, гораздо более сложен, а русскоязычное сообщество не отличается особым дружелюбием.\nДля форумов можно выбрать SMF или phpBB, которые примерно равнозначны в работе и позволяют создавать площадки для общения любого типа и размера.\nЧто касается платных CMS, то мы категорически не советуем начинать с них, по крайней мере до тех пор, пока вы не будете четко представлять, какие именно функции требуются вам от движка.\nВ дальнейших статьях нашего цикла мы будем рассматривать создание сайтов и форумов на базе движков Joomla,WordPress и SMF.\n","id":"65afcf84859cfe86b9e13b8c13d1a5bf","link":"https://interface31.ru/post/sozdaem-svoy-sayt-obshhie-voprosy/","section":"post","tags":["DNS","Web-сервер","Планирование","Сайт","Сетевые технологии"],"title":"Создаем свой сайт. Общие вопросы"},{"body":"Представить розничный магазин, особенно продовольственный, без весового товара сложно. В тоже время существуют различные подходы к продаже такого товара, многое зависит от размеров магазина и объемов торговли, если для небольшого магазина подойдут недорогие решения с минимумом автоматизации, до для супермаркета потребуется принципиально иной подход. В данной статье мы рассмотрим правильный выбор оборудования и методик работы с весовым товаром.\nНа первый взгляд учет весового товара не представляет особой сложности, взвешивай и продавай. Но на самом деле этот процесс сопряжен с различными сложностями и богатыми возможностями для злоупотреблений и мошенничества.\nПрежде всего попробуем разобраться, на примере продовольственной розницы, в разновидностях весового товара. Сразу выделим в отдельную группу товары, поддающиеся фасовке, это могут быть различные кондитерские изделия, сыры, колбасы, замороженные и охлажденные мясные продукты, свежемороженая рыба. Основное требование к таким товарам - практически не меняющийся в течении срока годности вес. А также наличие некоторого, оптимального для большинства покупателей, веса расфасованной продукции.\nСовсем другое дело овощи и фрукты, основная проблема, особенно в зимний период, это потеря веса при хранении, иногда значительная, и порча продукции. Кроме того, покупатель обычно предпочитает выбирать данный вид продукции самостоятельно, в зависимости от собственных представлений о спелости и качестве товара.\nОднако приведенная выше условная классификация не догма, а только лишь информация к размышлению. Все зависит от формата магазина и потребительских предпочтений, кому-то удобнее взять расфасованный товар, а кто-то хочет насыпать в пакет ровно столько, сколько ему надо.\nИ если с фасованным товаром на кассе проблем не возникает, то для прочего весового товара существуют различные методы продажи, которые мы рассмотрим ниже.\nOff-line весы на кассе Самый простой и недорогой способ обеспечить продажу весового товара - установить на кассе обычные весы. Товар на которых взвешивается кассиром, а номенклатура и вес вводятся вручную. Подходит для небольших магазинов, где номенклатура весового товара ограничена. Для этих целей приобретаются любые торговые весы с необходимым пределом измерений. Помните, чем больше верхний предел измерений, тем меньше точность. Обычно верхнего предела в 5-6 кг вполне достаточно, кроме того его ограничивает объем пакетов для расфасовки. Дополнительно такие весы могут быть оснащены крупным дисплеем покупателя, для непосредственного контроля процесса взвешивания. Собственно, кроме дешевизны и простоты, данный метод достоинств более не имеет, зато обладает обширным списком недостатков. Основной из них - необходимость 100% знания кассирами номенклатуры весового товара и умения различать его визуально. Также это исключает продажу внешне похожего товара с разной ценой. Ручной способ подбора и взвешивания также слабо подходит для магазинов с большой проходимостью, покупатель с большим количеством весового товара способен в час-пик собрать неплохую очередь. Тем не менее этот способ достаточно широко применяется, например, в супермаркетах сети \u0026quot;Магнит\u0026quot;.\nOn-line весы на кассе Немного более автоматизированный способ, подходящий в основном магазинам с небольшим ассортиментом весового товара, весы подключаются к кассовому узлу и передают вес непосредственно в товароучетную систему. Недостатки данного способа в общем такие-же, как и у весов оff-line, в основном это необходимость ручного выбора товара и знание кассиром всей весовой номенклатуры визуально. Тем не менее данный вид оборудования широко применяется для продажи некоторых видов продукции, выбираемых покупателем самостоятельно, например, овощей, производя их взвешивание непосредственно на кассе.\nВесы с печатью этикеток Работающие в off-line режиме весы, при взвешивании печатают этикетку со штрих-кодом, считывание которого происходит на кассе. Наиболее удобны для крупных магазинов с большим ассортиментом весовой номенклатуры. Различают фасовочные и торговые весы, последние отличаются наличием дисплея покупателя, на который выводится информация о взвешиваемом товаре, такая как наименование, цена, вес и сумма. Торговые весы в большинстве случаев содержат также программируемую клавиатуру и могут быть использованы в качестве весов самообслуживания. Также специально для этих целей можно приобрести весы с удобной крупной панелью быстрого доступа или сенсорным экраном. PLU-коды и формирование штрих-кода весового товара После знакомства с весами с печатью этикеток возникает закономерный вопрос, каким образом формируется штрих-код этикетки, чтобы он содержал и сведения о товаре и его вес? Для однозначной идентификации весового товара служит специальный признак штрих кода, который устанавливается в товароучетной программе, обычно это единица. По принятым в рознице правилам признаком собственного (внутреннего штрих-кода) является первая цифра 2, следовательно, столкнувшись с кодом, начинающимся на 21 товароучетное ПО понимает, что перед ним весовой товар и обрабатывает его по особым правилам. Прежде всего следует определить номенклатуру, для этой цели предназначен PLU-код, это 3-6 значное число произвольно присваиваемое весовым товарам. Диапазон PLU-кодов также указывается в настройках и изменить его можно только до того, как заведена первая весовая номенклатура. Следующие, после префикса, символы штрих-кода как раз-таки содержат PLU-код и содержат в нашем случае 6 символов. Оставшиеся 4 символа кода занимает вес в граммах, т.е. максимально мы можем взвесить 9,99 кг. Для примера рассмотрим, какой штрих-код должен быть сформирован для мандарин, карточка товара которых приведена выше, если вес составил, скажем, 3 кг 127 г. Первые две цифры кода - 21, признак собственного весового товара, следующие 6 - PLU, так как PLU данного товара 4-х значный, то перед числом добавляются нули 002548, затем следует вес 3127 и контрольная сумма кода: Теперь, взяв в руки весовой товар, вы без труда сможете прочитать его код, ниже показан пример реального весового штрих-кода: Все это хорошо, но весы не имеют об этом не малейшего представления. Поэтому перед тем как вводить весы в эксплуатацию убедитесь, что шаблон штрих-кода в них соответствует вашему. Для этого следует, воспользовавшись инструкцией, войти в меню настроек весов и произвести соответствующие настройки, либо сделать тоже самое через специальную утилиту.\nОднако не все так просто. Если весы известной марки \u0026quot;Штрих\u0026quot; имеют простое и понятное меню, то популярные весы CAS настраиваются при помощи набора нужных кодов, поэтому категорически не советуем терять инструкцию.\nС утилитами ситуация принципиально иная, если у CAS все более-менее понятно, если знаешь где искать и куда добавлять: Во всяком случае расшифровка кода написана тут-же и зная формат кода нетрудно его запрограммировать в весах.\nА вот \u0026quot;Штрих\u0026quot; предлагает решить целый ребус: Вам нужно задать Тип префикса штрих-кода, префикс и формат. Если с первыми двумя более-менее понятно, то нужный нам формат скрывается под цифрой 6, что далеко не очевидно для человека, ранее не работавшего с этой моделью весов.\nКак видим, весы гораздо более сложное оборудование, чем сканер штрих-кода или фискальный регистратор, поэтому чтение инструкции должно стать для вас правилом №1. В противном случае ваше первое знакомство с весами способно оставить на долгое время массу самых неприятных воспоминаний.\nПодключение весов к 1С:Розница Для подключения весов к программным продуктам 1С вам понадобятся две вещи: драйвер весов и обработка обслуживания. \u0026quot;Штрих\u0026quot; предоставляет свою обработку и драйвер бесплатно, для CAS можно делать выбор между родным драйвером или АТОЛовским, при этом имейте ввиду, что оба драйвера платные.\nOn-line весы обычно подключаются через интерфейс RS-232, поэтому предварительно выясните к какому COM-порту они подключены, для весов с печатью этикеток, чаще всего подключаемых по сети, установите и запомните IP-адреса.\nВ 1С запустите Помощник подключения из меню Сервис и выберите нужный тип оборудования. Затем выберите необходимую обработку обслуживания: Помните, что обработка должна соответствовать драйверу, т.е. если вы купили драйвер от АТОЛ, то и обработку нужно выбирать соответствующую. Если нужной обработки нет, выберите пункт Добавить новую обработку обслуживания и укажите каталог с обработками. Стандартные обработки находятся в каталоге установки шаблона конфигурации: C:\\Users\\%UserName%\\AppData\\Roaming\\1C\\1Cv82\\tmplts.\nПосле чего выберите модель и укажите параметры ее подключения: При несоответствии версии установленного драйвера и версии поддерживаемой обработкой обслуживания вы получите предупреждение, что корректная работа не гарантируется. В этом случае есть несколько вариантов:\nОставить все как есть, если версии отличаются незначительно, то скорее всего все будет работать корректно, а, чтобы не получать предупреждений можно немного поправить код обработки в конфигураторе. В любом случае тщательно проверьте работу устройства. Обновить обработку, данное действие чаще всего требует обновления релиза, хотя вы можете попробовать просто взять обработку из более свежего релиза, если обновление по какой-либо причине нежелательно. Опять-таки такое решение потребует тщательной проверки. Найти и установить более старую версию драйвера. Для весов с печатью этикеток, подключаемых через сеть, потребуется указать их IP-адрес и порт. IP-адрес весов следует предварительно задать вручную, через меню, как это сделать для конкретной модели весов указано в инструкции. Порт в обработке не всегда соответствует реальному порту весов, уточнить эту информацию можно в штатных утилитах, использовав функцию поиска оборудования. После того, как вы подключите весы, потребуется настроить обмен с ними, для выгрузки актуальной информации о весовом товаре. Для этого перейдите в Сервис - Торговое оборудование - KKM Offline и весы с печатью этикеток - Выгрузка данных в KKM Offline и весы с печатью этикеток и настройте параметры выгрузки. Для каждых весов выгрузка настраивается отдельно, при этом можно довольно гибко задавать ее параметры, например, выгружать только необходимую на данном отделе номенклатуру, только имеющуюся в наличии и т.п.\nДальнейшая работа с весами также происходит из этой оснастки, весы следует загружать каждый раз после поступления новой весовой номенклатуры или изменении цен на нее. Работа с такими весами происходит по принципу: положили товар на весы - выбрали PLU - напечатали этикетку, за более подробной информацией обратитесь к руководству по данной модели весов.\nНемного о самообслуживании Напоследок коснемся темы самообслуживания. Особых сложностей здесь нет, но нужно учитывать, что уровень подготовки покупателей различен и вы должны сделать систему такой, чтобы ей могли пользоваться все. Это, в первую очередь, означает, что у покупателя не должно возникать сложностей с выбором товара на весах.\nМожно, конечно, разместить на ценниках PLU-коды, а рядом с весами повесить инструкцию, но вынуждены вас огорчить - такой метод не работает. Попробуйте сами, удерживая в голове список покупок, в условиях торгового зала, набрать два-три пакета весового товара и запомнить их коды, пока дойдете до весов.\nПоэтому все внимание следует уделить настройке панели быстрого доступа весов. Идеальный вариант - специализированные весы с крупной панелью, на которой поместится не только номер и наименование товара, но его картинка.\nВ иных случаях следует крупно указывать номер товара на весах и, если позволяет оставшееся место, наименование. А рядом с весами размещать таблицу соответствия, чтобы покупатель не бегал к ценнику и обратно. Это важно потому, что, например, пожилым людям и людям со слабым зрением проще будет найти крупную цифру 1, чем вчитываться в мелкий шрифт.\nОбратите внимание, что номер товара на весах, это не PLU код, а номер кнопки на панели быстрого доступа. Ведь куда проще запомнить, что огурцы - это два, помидоры -5, а бананы -11, чем трехзначные PLU. Также постарайтесь расположить в начале панели доступа наиболее ходовой товар, простые числа проще запоминать и быстрее искать.\nНаименования товара также постарайтесь заводить так, чтобы сразу подчеркивать его ключевые особенности, облегчающие его идентификацию. Например, Яблоки красные Айдаред вместо Яблоки Айдаред. Во-первых, будет понятней покупателю, который уже точно не спутает их с зелеными яблоками под соседним номером, во-вторых легче будет кассиру, который должен проверить соответствие содержимого пакета наклеенной на него этикетке.\nДля программирования панелей быстрого доступа воспользуйтесь утилитами от производителей весов, там же вы найдете более подробную информацию об их использовании. Выше мы коснулись еще одной проблемы самообслуживания - контроля правильности выбора покупателя. Это очень важный момент, так как покупатель по-незнанию или с умыслом может выбрать один товар, а взвесить его как другой. Также довольно распространено мошенничество с меньшим весом, делается это предельно просто: взвешиваем три огурца, затем кладем в пакет четвертый.\nПоэтому на кассе необходимо производить не только визуальный, но и весовой контроль, для чего там следует установить, как минимум, простые off-line весы. В этом случае продавцы также должны визуально знать весь продаваемый через самообслуживание весовой ассортимент, и обязательно производить контрольное взвешивание.\nВ данном материале мы затронули в общих чертах основные методы работы с весовым товаром, однако, как могли заметить читатели, когда речь заходила о конкретике, часто делали отсылки к документации на весы. Это сделано сознательно и потому, что объем материала не позволит подробно рассмотреть работу с конкретными моделями весов, в тоже время их документация содержит исчерпывающие инструкции. На наш взгляд, гораздо важнее донести до начинающего автоматизатора то, что ему надо сделать, а детали можно прочитать в инструкции.\n","id":"7082bfb0fa89c602bb99ae9b05013844","link":"https://interface31.ru/post/avtomatiziruem-roznicu-chast-4-vesovoy-tovar-i-vesy/","section":"post","tags":["1С Предприятие 8.х","Автоматизация","Планирование","Торговое оборудование","Штрих-код"],"title":"Автоматизируем розницу. Часть 4 - Весовой товар и весы"},{"body":"Файлообменники давно уже считаются маргинальной частью сети, но, тем не менее, пользуются ими достаточно многие. Оставив за кадром вопросы лицензионной чистоты размещаемого там контента и качества показываемой рекламы, попробуем разобраться - какие еще угрозы несет скачивание файлов с подобных сервисов. Ведь перед необходимостью скачать файл с обменника может оказаться каждый, тем более неопытный пользователь.\nПрежде всего обратимся к самому явлению файлообмена и попытаемся понять где именно находится корень зла. На первый взгляд ничего плохого в самой идее таких сервисов нет, а содержимое контента находится на совести загрузивших его туда пользователей. Так бы оно и было, если бы не сомнительные схемы монетизации владельцев подобных ресурсов. Традиционная модель заработка представляет комбинацию доходов от продажи премиум аккаунтов и показа рекламы бесплатным пользователям.\nВ этом тоже нет, на первый взгляд, ничего криминального, если бы не методы, балансирующие на грани мошенничества, когда под видом \u0026quot;пробного периода\u0026quot; вам включают подписку, скромно уведомив об этом в самом низу страницы мелким шрифтом. Качество показываемой рекламы тоже вызывает многочисленные вопросы. Но стремление бесплатно получить тот или иной контент обычно пересиливает некоторые неудобства. Тем более что пользователя уже не так просто обмануть, о том, что не следует указывать где попало номер мобильного, а потом вводить коды из СМС знают все, от детей, до пенсионеров.\nНо, в погоне за рублем, владельцы файлообменников не стоят на месте, изобретая новые способы \u0026quot;сравнительно честного\u0026quot; заработка денег. Одним из таких способов стали разного рода \u0026quot;загрузчики\u0026quot;, к слову, этими методами не брезгуют и более солидные ресурсы.\nСмысл такого загрузчика сводится к тому, что вместе с запрашиваемым файлом вы получаете предложение установить некоторое количество относительно полезного или, наоборот, бесполезного софта. Ничего нового они, в принципе не придумали, я думаю, каждый сталкивался с предложением установить Google Chrome, продукты от Яндекса и т.п. вместе с какими-нибудь программами, как пример, предложение установки Ask Search от Oracle, вместе с бесплатной Java. На наш взгляд, подобный способ монетизации вполне имеет право на жизнь, если все происходит прозрачно, имеется возможность отказаться от установки или удалить ненужные программы отдельно. Но так происходит не всегда, не чистые на руку дельцы используют загрузчики, чтобы скрытно от пользователя устанавливать в систему ненужное ему ПО и даже откровенно вредоносные модули. Для примера мы рассмотрим загрузчики ряда популярных в рунете файлообменников.\nDepositfiles Сервис с самого начала делает все, чтобы вы скачали именно загрузчик. Крупная красная кнопка \u0026quot;Скачать бесплатно!\u0026quot; ведет прямо на него, да, про загрузчик честно написано, но альтернатива неочевидна. Как вы думаете, куда нажмут большинство пользователей? Правильно, на \u0026quot;Скачать\u0026quot;, ведь они за этим сюда и пришли.\nЗагрузчик честно предлагает нам \u0026quot;товар в нагрузку\u0026quot; - браузер Опера. Здесь все по-честному - можем снять галочку и отказаться, скачать файл нам это не помешает. Во время скачивания файлов вам дополнительно покажут рекламу. В принципе вполне приемлемая цена за бесплатное скачивание. А Опера даже спросит у вас, хотите ли вы ее назначить браузером по умолчанию. Браузер без проблем удаляется вручную, кроме него никаких скрытых установок мы не обнаружили, последовательная проверка системы при помощи Malwarebytes Anti-Malware (MBAM) и Dr.Web CureIt! также не выявила никакого вредоносного или рекламного ПО.\nВ общем Depositfiles оставил у нас приятное впечатление, если не считать маленькой хитрости на странице загрузки. Пользователю явно предлагается сделать выбор, при этом сразу понятно, что он получит в том или ином случае.\nНо не следует расслабляться, помните, что, запуская загрузчик вы запускаете с повышением прав сторонний код, который имеет право устанавливать ПО и изменять настройки системы. А если завтра рекламная политика сервиса изменится?\nTurbobit Еще один популярный обменник, загрузчик здесь доступен в виде опции, видимо в расчете на то, что никто специально галочку снимать не будет, а часть пользователей вообще не обратят на нее внимание. Сам загрузчик маскируется под инсталляционный пакет, а его интерфейс под стандартный запрос. Большинство на автомате нажмет сохранить, даже не вчитываясь в то, что ему предлагают. А предлагают на безальтернативной основе поиск от Mail.ru, браузер Amigo и еще какие-то \u0026quot;Стандартные параметры\u0026quot;. Снять галочки нет никакой возможности. Ну хорошо хоть предупредили, хотя сервисы от Mail.ru давно печальноизвестны своей назойливостью. Файл еще не успеет скачаться как у вас на рабочем столе прибавится ярлыков, набор для Mail.ru самый типичный: Файл скачан, сомнительной полезности софт установлен, но это еще не все. Процесс нашего загрузчика остался активен, следует отметить, что его имя соответствует имени скачиваемого файла, видимо для того, чтобы вызывать меньше подозрений. Он проработал в фоне еще минут 15, заметно прибавив нежелательного софта в системе. Мы удалили весь установленный софт штатными методами, перезагрузились и проверили систему. Результат превзошел наши ожидания: Т.е. даже если пользователь удалит все ненужное ему ПО, то оставшиеся компоненты \u0026quot;заботливо\u0026quot; докачают ему еще чего-нибудь столь же нужного. Стоит отметить, что с этой напастью не всегда справится и антивирус, так как из 16 найденных объектов, пятнадцать вредоносными, в строгом определении этого термина, не являются. Это типичное рекламное ПО, которое с некоторым натягом можно считать легальным, чем его производители и пользуются.\nLetitbit Данный сервис с самого своего появления зарекомендовал себя как крайне \u0026quot;отмороженный\u0026quot;, всеми силами стараясь обмануть пользователя. Причем данный имидж старательно поддерживается по сей день. Так кто заставляет им пользоваться? К сожалению, иногда выбора нет, а все потому, что такие обменники предлагают оплату не только за скачивания, но и за установку своего софта, что привлекает не очень разборчивых в источниках дохода вебмастеров.\nЗагрузчик снова выполнен в виде опции, в надежде, что галочки мало кто снимает, а сняв, поставит обратно, неприятно удивившись резко возросшему времени скачивания. А дальше начинается самое интересное и сервис опять-таки подтверждает свою отмороженную репутацию, какие бы галочки вы не поставили, или вообще решили закрыть окно крестиком - загрузчик все равно установит то, что хотел. Со своими задачами загрузчик справился быстрее предшественника, но при этом количество активного нежелательного ПО в системе оказалось значительно выше: Мы снова удалили ПО через Панель управления и после перезагрузки проверили систему. На первый взгляд вредоносного ПО поменьше, но и угрозы посерьезнее. Если Turbobit подсаживал трояна для накрутки партнерской программы, то здесь уже все серьезнее, кроме MBAM в этот раз обнаружил угрозы и Dr.Web. В общем вывод здесь прост и однозначен: неосторожное обращение с данным сервисом серьезно вредит здоровью вашего ПК.\nRusfolder До недавнего времени данный обменник числился среди относительно приличных, рекламой не злоупотреблял, скорость не резал, с подписками не баловался, а предлагал честно убрать рекламу за 90 руб/мес.\nНо недавно нам стало известно, что Rusfolder завел свой загрузчик и предлагает довольно щедрые условия веб-мастерам. Загрузчик традиционно попросил повышение прав и открыл стандартный диалог браузера, скачав после подтверждения файл. И что? Больше ничего не будет? А за что тогда платят 60 копеек? Может быть загрузчик сделан с прицелом на будущее и пока еще нет рекламодателей? На всякий случай мы проверили систему: А вот это уже не шутки. Если честно, то такого мы от компании AGAVA, которой принадлежит обменник, не ожидали. Возможно это \u0026quot;перегибы на местах\u0026quot;, но сам факт имеет место быть. К тому же это хороший пример того, что может произойти при запуске стороннего кода, даже если внешне ничего не произошло.\nВыводы К сожалению, большинство файлообменников снова подтвердили свой маргинальный статус. Вам не только подкинут целый набор сомнительной полезности софта, но и внедрят откровенно вредоносное ПО. На этом фоне выгодно выделяется Depositfiles, но никто не может гарантировать, что завтра политика ресурса не изменится. В любом случае помните, что, запуская сторонний код с повышенными правами вы можете только надеяться на добросовестность разработчиков, последствия могут быть самыми непредсказуемыми и при этом совершенно незаметными, в чем мы только что убедились.\nКак быть? Если вы администратор корпоративной сети, то файлообменные сервисы однозначно стоит включить в черный список. В случае, когда необходимо ими воспользоваться - внимательно смотрите что вам предлагают скачать и при малейших сомнениях не запускайте скачанное. А еще лучше используйте для этого отдельную виртуальную машину.\n","id":"a5d6772c028527b8493e96d43d475e32","link":"https://interface31.ru/post/fayloobmenniki-i-bezopasnost/","section":"post","tags":["Adware","MBAM","Антивирус"],"title":"Файлообменники и безопасность"},{"body":"Многие администраторы Zimbra используют самоподписанные сертификаты, что хотя и не совсем безопасно, но вполне приемлемо, если почта используется преимущественно внутри организации. При установке восьмой версии сертификат выдается сроком на пять лет. Несмотря на довольно большой срок нужно уметь перевыпускать сертификаты и крайне желательно делать это своевременно.\nТакже бывают случаи, когда сертификат нужно перевыпустить раньше срока его истечения, например если вы изменили имя хоста или доменное имя.\nВ случае истечения срока действия сертификатов вы получите ошибку при запуске служб Zimbra:\n1Starting ldap...Done. 2Unable to determine enabled services from ldap. 3Enabled services read from cache. Service list may be inaccurate. 4Starting zmconfigd...Done. 5Starting logger...Failed. 6Starting logswatch...ERROR: service.FAILURE (system failure: ZimbraLdapContext) (cause: javax.net.ssl.SSLHandshakeException sun.security.validator.ValidatorException: PKIX path validation failed: \u0026lt;strong\u0026gt;java.security.cert.CertPathValidatorException: timestamp check failed\u0026lt;/strong\u0026gt;) 7zimbra logger service is not enabled! failed. Для того, чтобы перевыпустить сертификаты Zimbra повысьте свои права до суперпользователя:\n1sudo -s Смените рабочий каталог:\n1cd /opt/zimbra/bin Создадим новый корневой сертификат:\n1./zmcertmgr createca -new Затем новый самоподписанный сертификат:\n1./zmcertmgr createcrt -new -days 1825 где 1825 - срок действия в днях (5 лет), вы можете выбрать любой иной срок. Разворачиваем сертификаты:\n1./zmcertmgr deploycrt self 2./zmcertmgr deployca Проверяем, что сертификаты развернуты для всех служб:\n1./zmcertmgr viewdeployedcrt Теперь сменим пользователя на zimbra и перезапустим службы:\n1su zimbra 2zmcontrol restart После чего не забудьте экспортировать и распространить корневой сертификат Zimbra, об этом подробнее читайте в нашей статье: Экспорт и установка сертификата Zimbra. Если это сделать по каким-либо причинам невозможно, то удалите старый корневой сертификат, иначе вы не сможете попасть в веб-интерфейс даже проигнорировав предупреждение безопасности. ","id":"4b27917da511887cd5a3e6b5ef15e9d4","link":"https://interface31.ru/post/perevypusk-samopodpisannogo-sertifikata-zimbra/","section":"post","tags":["E-mail","SSL","Ubuntu Server","Zimbra"],"title":"Перевыпуск самоподписанного сертификата Zimbra"},{"body":"В наших материалах тема региональных настроек Linux-систем ранее почти не поднималась. Подразумевалось, что система устанавливается читателями самостоятельно и все эти вопросы уже решены на стадии установки. Но бывают ситуации, когда нужно работать с уже готовой системой, например, VPS у зарубежного провайдера или в облачных системах типа Amazon или Azure. В этом случае появляется необходимость настроить систему для использования родного языка и привычных региональных настроек.\nНачнем мы с одного распространенного заблуждения: очень часто под локализацией системы подразумевают только изменение языка интерфейса системы, забывая об остальных настройках. В тоже время локализация системы - это не столько язык интерфейса, вы можете оставить его английским или любым иным, по вашему пожеланию, а способность системы полноценно работать с документами и системами, использующими ваш родной язык.\nЭто, в первую очередь, поддержка символов национального алфавита, кодовых страниц и раскладок клавиатуры, форматов чисел, а также настроек даты и времени. Если данные настройки не выполнить или выполнить неправильно, то имена файлов и содержимое документов с использованием символов отличных от стандартного латинского алфавита могут быть искажены или испорчены. Также масса проблем может возникнуть в дальнейшем, например, при переходе на локализованную систему, когда имена уже существующих файлов или ссылок на них могут оказаться неверными или вовсе недействительными.\nНиже на рисунке прекрасный пример того, что бывает, если на нелокализованный сервер скриптом были залиты файлы с именами, содержащими национальные символы, в данном случае кириллицу. При этом сам скрипт, в данном случае CMS, функционирует нормально и при скачивании с сайта файлы имеют нормальные имена на кириллице, но с ними практически невозможно работать на сервере, так как непонятно, что это за файлы (вместо имен кубики), и нет возможности скачать их на Windows-систему. Переименовать файлы также нет возможности, так как сразу получим массу битых ссылок по всему сайту.\nПоэтому, самым правильным решением будет сразу же настроить сервер на работу с нужной локализацией и снять целый пласт потенциальных проблем, тем более, что сделать это несложно.\nDebian Для правильного отображения символов национальных алфавитов в определенной кодировке в Linux-системах предназначены локали (locales), узнать какие локали уже установлены в системе можно командой:\n1locale -a Обычно установлена и используется английская локаль en_US.utf8, однако, если вы, например, приобрели VPS в Германии, может присутствовать только национальная локаль, в этом случае, кроме русской, также рекомендуется установить английскую локаль. 1dpkg-reconfigure locales Откроется псевдографическая утилита, которая предложит выбрать используемые локали, добавляем ru_RU.utf8 Затем укажите используемую по умолчанию локаль, тем самым установив язык системы: Большинство \u0026quot;инструкций\u0026quot; в интернете на этом заканчиваются, но установить локаль недостаточно, нужно еще настроить консоль, т.е. ту среду ввода-вывода с которой вы взаимодействуете. Иначе вы увидите примерно такую картину: Для настройки консоли запустите следующую утилиту:\n1dpkg-reconfigure console-setup Прежде всего зададим кодировку консоли, в современном Linux это UTF-8. Затем используемые наборы символов, нам нужен комбинированный набор Latin; Slavic Cyrillic; Greek. И используемый шрифт, здесь посоветовать что-то однозначно нельзя и следует исходить из личных предпочтений, в любом случае выбор можно всегда изменить, запустив утилиту повторно. Ниже, чтобы облегчить вам выбор, представлены образцы шрифтов: Остальные настройки, вроде размера шрифта и т.п. не представляют сложности и могут быть оставлены по умолчанию или выставлены в соответствии с собственными предпочтениями. Теперь можно выйти из системы и войти повторно или перезагрузить ее. После этого основным языком системы будет русский и символы кириллицы будут отображаться корректно.\nСледующим шагом следует настроить клавиатуру:\n1dpkg-reconfigure keyboard-configuration Выбираем тип клавиатуры, по умолчанию это 105-клавишная международная, менять эту настройку без особой необходимости не следует. Так как система изначально была установлена с локалью en_US, то нам предлагаются американские раскладки, выбираем Другая. Дальше проще: Страна - Русская и Раскладка - Русская. Затем выбираем сочетание клавиш для переключения раскладок и отвечаем еще на ряд вопросов, отвечать на который можете по своему усмотрению. Советуем не спешить, там есть интересные возможности, например, клавиша временного переключения между раскладками: Остался последний штрих - настройки даты и времени:\n1dpkg-reconfigure tzdata И устанавливаем текущий часовой пояс, после чего система автоматически переведет часы. Более подробно о соответствии пунктов tzdata и актуальных часовых поясов РФ можно прочитать в нашей статье: Перевод часов в РФ 26 октября 2014 года - проблемы и решения.\nUbuntu Server В Ubuntu Server команда dpkg-reconfigure locales не имеет псевдографического интерфейса и при запуске настраивает уже сгенерированные локали. Поэтому придется нужные настройки выполнить вручную, прежде всего сгенерируем русскую локаль (здесь и далее обращаем внимание на регистр команд):\n1locale-gen ru_RU.utf8 Затем зададим локаль по умолчанию:\n1update-locale LANG=ru_RU.UTF8 После чего выполним их настройку:\n1dpkg-reconfigure locales Следующим шагом будет настройка консоли:\n1dpkg-reconfigure console-setup Здесь все настройки аналогичны Debian, выбираем кодировку, набор символов и настраиваем шрифты. Теперь можно выйти и повторно войти в систему (или перезагрузиться), чтобы продолжить дальнейшую настройку на русском языке. Для полноценной локализации потребуется настроить клавиатуру:\n1dpkg-reconfigure keyboard-configuration Мы не будем подробно останавливаться на настройках, так как работа этой утилиты подробно описана выше, в разделе о Debian. Временные зоны также настраиваются аналогично командой:\n1dpkg-reconfigure tzdata Как видим, локализация системы не представляет абсолютно никакой сложности и выполняется в считанные минуты, позволяя снять целый ряд потенциальных проблем, решить которые впоследствии будет гораздо труднее.\n","id":"0c8025d2708b53d654accc5415255570","link":"https://interface31.ru/post/nastroyka-yazyka-i-regionalnyh-standartov-v-ubuntu-server-debian/","section":"post","tags":["Debian","Ubuntu Server"],"title":"Настройка языка и региональных стандартов в Ubuntu Server/Debian"},{"body":"Предоставлять доступ к новым версиям операционных систем похоже вошло у Microsoft в хорошую традицию. Тем не менее, выход предварительной версии Windows 10 интересен сам по себе. После смелых экспериментов с интерфейсом в Windows 8 разработчики похоже решили остепениться и наконец-то услышать тех пользователей, которые на компьютере работают, а не только потребляют контент при помощи гаджетов. Несмотря на это новую версию Windows продолжают позиционировать как систему для всех устройств, поэтому посмотрим, что получилось в этот раз.\nПеред тем, как перейти непосредственно к обзору Windows 10, нам хотелось бы сделать небольшой экскурс в историю. Практически все авторы обзоров в один голос утверждают, что Windows 8 \u0026quot;с треском провалилась\u0026quot; и сравнивают ее с другой неудачной системой - Windows Vista.\nVista действительно провалилась и вовсе не потому, что была так плоха. Компания Microsoft допустила один серьезный просчет - выпустила систему с более высокими требованиями, чем реальная вычислительная мощность большинства компьютеров тех лет. Но это полбеды, на момент своего выхода Windows XP тоже требовала компьютер уровня выше среднего, но к провалу продаж это не привело. К такому печальному результату привел целый комплекс причин и сегодня можно смело сказать, что провал Vista был закономерным.\nУже в процессе разработки новой системы стало понятно, что возможности ядра NT 5.x исчерпаны и содержат ряд архитектурных недостатков и ограничений. Поэтому Vista получила новое ядро, положив начало линейке NT 6.x, которая используется до сих пор. Также в архитектуре системы были впервые реализованы многие современные механизмы и технологии. Вычислительная техника стремительно менялась: гонка гигагерц закончилась, на сцену начали выходить многоядерные системы с 64-битной архитектурой, широкое распространение сети интернет породило новые угрозы, а повысившаяся доступность и рост качества мультимедийного контента ставило новые требования.\nЕсли в 2001 году Windows XP была современной системой, то в 2006 ее возможности явно не соответствовали требованиям рынка. Пользователи ждали новую систему и чем дольше было ожидание, тем выше были требования. Но вышло совсем наоборот. Новое ядро породило целый пласт проблем совместимости с оборудованием и ПО, особенно у 64-битной редакции. Новая система безопасности кардинально меняла способ взаимодействия пользователя и программ с системой, также вызывая множество конфликтов, а UAC, вместо простого и эффективного механизма повышения прав, превратился в основной раздражитель.\nК выходу Windows 7, которая по сути является продолжением и развитием Vista, многие из этих проблем были исправлены, как со стороны Microsoft, так и со стороны производителей железа и ПО. Да и аппаратная часть за это время существенно подтянулась. В итоге систему ждал закономерный успех.\nС Windows 8 ситуация принципиально иная. Никаких революционных изменений она не содержит и основным камнем преткновения стал новый интерфейс ModernUI, но и эта \u0026quot;проблема\u0026quot; легко решается установкой утилит, возвращающих привычное меню \u0026quot;Пуск\u0026quot; и убирающих новые приложения с глаз подальше. При этом каких-либо сильных мотиваторов для перехода на \u0026quot;восьмерку\u0026quot; с привычной и удобной \u0026quot;семерки\u0026quot; не оказалось. Поэтому такой популярности, как у сменившей откровенно устаревшую ХР \u0026quot;семерки\u0026quot;, для Windows 8 и не ожидалось, особенно в корпоративной среде, которая вообще отличается сильным консерватизмом.\nМы провели анализ статистики нашего ресурса и ряда ресурсов наших клиентов и партнеров, включив в выборку сайты самой разной направленности, и сравнили соотношение операционных систем семейства Windows посетителей в 4 квартале этого года, с прошлым и позапрошлым. Поэтому, в общем и целом, курс, принятый Microsoft можно считать верным и продолжать следовать ему в том же духе, не допуская сильных метаний в стороны. На наш взгляд смелые эксперименты с интерфейсом были не более чем перегибом, когда Microsoft обнаружила, что полностью проспала появление рынка мобильных устройств и теперь ей нужно бороться за место под солнцем в уже сформированной экосистеме. Образно говоря, в попытке догнать уходящий поезд, немного не рассчитали силы (которых еще более чем достаточно) и побежали впереди паровоза.\nЛогично, что Windows 10 должна стать дальнейшим развитием и переосмыслением заложенных в \u0026quot;восьмерку\u0026quot; идей, но уже согласно реалиям рынка и ожиданиям пользователей, а не представлениям разработчиков. На этом закончим наше вступление и перейдем непосредственно к обзору системы. Возвращение меню Пуск Пожалуй, самое обсуждаемое \u0026quot;новшество\u0026quot; - это возврат меню Пуск, но это не означает отказа от стартового экрана, он останется по умолчанию для сенсорных устройств, а гибридные устройства будут переключаться между меню Пуск и стартовым экраном в зависимости от режима. Кроме того, пользователь теперь сам может выбрать, что ему удобнее, стартовый экран можно включить в настройках и на настольной версии.\nСамо меню Пуск также претерпело значительные изменения. Слева осталась колонка программ, а правую часть заняли \u0026quot;живые\u0026quot; плитки. Кнопка управления питанием вынесена вверх, рядом со ссылкой на профиль пользователя. Внешний вид Серьезных изменений внешний вид системы пока не претерпел. Идеи \u0026quot;плоского\u0026quot; дизайна продолжают свое развитие, хотя в этом направлении работы еще очень много. Из наиболее заметного - тонкие рамочки у окон и постепенная перерисовка системных значков в плоском стиле: Виртуальные рабочие столы Некоторые могут сказать: \u0026quot;Ну наконец-то, дождались!\u0026quot;, хотя возможность использовать несколько рабочих столов штатно присутствует в системе с незапамятных времен. Существовали и различные утилиты для реализации этой возможности, например, Desktops от Sysinternals, размером всего 61 КБ, с ее помощью использовать четыре рабочих стола можно было даже в Windows 2000. В Linuх системах виртуальные рабочие столы являются неотъемлемой частью многих рабочих окружений. Полезность данной функции на наш взгляд довольно сомнительна, особенно с учетом диагоналей современных мониторов. Но не будем начинать ненужных споров, у каждого свои потребности и если такая возможность есть, то найдутся и пользователи.\nАктивируется эта функция сочетанием клавиш Win+Tab или соответствующей кнопкой рядом с кнопкой поиска. При этом на экране появляются миниатюры всех открытых окон, аналогично тому как это происходит по Alt+Tab, единственное отличие - миниатюры рабочих столов внизу и кнопка для создания нового рабочего стола. В связи с этим возникает вопрос: зачем опять придумывать велосипед с новым сочетанием клавиш, на наш взгляд весь этот функционал было бы логично повесить на привычный и отработанный для автоматизма Alt+Tab.\nПеремещение окон между столами также пока выполнено не очень удобно, нужно щелкнуть правой кнопкой мыши на заголовке окна и выбрать в выпадающем меню нужный рабочий стол. В Ubuntu, например, это можно сделать простым перетаскиванием. Работа с окнами В предыдущих версиях функция Snap позволяла развернуть окно в половину экрана просто подтащив его к нужному краю. В Windows 10 подобным образом можно расположить до 4 окон, если подтянуть окно в угол, то оно развернется на четверть экрана. Поведение окон при этом сделано адаптивным, если вы после прикрепления изменили размеры окна, то второе и последующие прикрепляемые окна постараются занять оставшееся место, не наползая на уже открытые.\n\u0026quot;Современные\u0026quot; приложения Похоже Microsoft сама запуталась в терминах, первоначально данный вид приложений именовался как \u0026quot;Приложения Metro\u0026quot; (Metro apps), к релизу название было изменено на \u0026quot;Современные приложения\u0026quot; (Modern apps), кроме того встречается наименование \u0026quot;Приложения Магазина Windows\u0026quot; (Store apps). Данный вид приложений вызывал широкий спектр эмоций, по большинству - негативных, у пользователей десктопов. Мало того, что они сразу разворачивались на весь экран, так они еще полностью переключали на себя контекст, а свернуть или закрыть их было не такой уж простой задачей. В Windows 8.1 таким приложениям добавили заголовок окна и кнопки которыми можно такое приложение свернуть или закрыть. Но режим оставался безальтернативно полноэкранным, что заставляло пользователей побыстрее убрать такие приложения с глаз подальше.\nВ Windows 10 наконец-то стало возможно использовать \u0026quot;современные\u0026quot; приложения в оконном режиме. Это хорошо укладывается в заявленный тренд - одна система для всех устройств, и в будущем, по заявлениям Microsoft, все \u0026quot;современные\u0026quot; приложения превратятся в \u0026quot;универсальные\u0026quot;, которые будут изменять свое поведение и внешний вид в зависимости от типа устройства. Порадовал еще один момент: по умолчанию, при наличии альтернативы, файлы ассоциированы именно с десктопными версиями приложений, а не их \u0026quot;современными\u0026quot; аналогами. На рисунке выше видно, что изображение открывается в настольном приложении, хотя в системе присутствует \u0026quot;современный\u0026quot; Photos. На этом направлении отчетливо виден прогресс, наконец то \u0026quot;современными\u0026quot; приложениями можно нормально пользоваться на рабочем столе.\nИнтеграция со OneDrive Начиная с Windows 8, OneDrive стал частью системы, теперь это не только облачное хранилище, а единая точка хранения документов и настроек. Теперь имеется возможность синхронизировать через OneDrive настройки рабочей среды, приложения и их настройки, данные браузера и т.п. Некоторые из этих функций работают и в Windows 8, правда в одностороннем порядке, так все изменения внешнего вида, сделанные нами на машине с Windows 8.1 синхронизировались в систему с Windows 10. Вместе с универсальными приложениями это позволит действительно создать единую рабочую среду на всех устройствах, когда вы начали работу на ПК, продолжили на ноутбуке, а заключительные штрихи внесли на планшете, оставаясь при этом в привычном вам рабочем окружении.\nКомандная строка Командная строка в последних версиях Windows выглядит этаким динозавром, не меняясь, наверное, лет 20, еще со времен Windows NT. Поэтому изменения в командной строке Windows 10 оказались очень приятны и неожиданны. Новые функции отвечают прежде всего за работу с текстом и его отображение: наконец-то работают стандартные сочетания Ctrl+С и Ctrl+V, текст можно сворачивать по краю экрана, выделять абзацем, а при вставке текста можно производить его \u0026quot;очистку\u0026quot;, например, заменяя \u0026quot;неправильные\u0026quot; кавычки \u0026quot;правильными.\nНо не обошлось без ложки дегтя, кодировка консоли до сих пор доисторическая: CP437 (DOS Latin US) или CP866 (DOS Cyrillic CIS 1) в русской версии и это с учетом того, что MS-DOS в системе давно уже не пахнет. И если перед западными пользователями особой проблемы не стоит - основные части таблиц CP437 и Windows-1252 совпадают, чего не скажешь о Windows-1251 и CP866. Здесь мы решительно отказываемся понимать логику разработчиков. Какой смысл выпускать один из основных системных инструментов с устаревшей кодировкой по умолчанию? Тем более что DOS и все системы на его основе уже давно сняты с поддержки и практически полностью вышли из применения.\nВыводы Несмотря на то, что перед нами ранняя сборка и к релизу еще возможно многое поменяется, общий настрой Microsoft ясен и не может не радовать. Компания признала, что концепция рабочего стола остается основной для настольных устройств и для продуктивной работы в целом, а сенсорные возможности должны ее дополнять, а не заменять.\nТакже нам пришлась по душе концепция одной системы для всех устройств. Понятно, что \u0026quot;универсальные\u0026quot; приложения не могут быть универсальны на 100% и нам трудно представить тот-же AutoCAD на планшете или телефоне, но почему бы не иметь один браузер вместо двух? Особенно если его настройки, закладки, открытые вкладки и т.п. будут синхронизироваться между устройствами?\nВ любом случае Windows 10 обещает быть интересной и более ориентированной на пользователя, чем Windows 8, когда Microsoft попыталась навязать рынку свое видение ситуации, поэтому мы будем продолжать следить за развитием и принимать посильное участие в тестировании новой системы.\n","id":"83572ea8b5a250853d2fc4e562abfecd","link":"https://interface31.ru/post/pervyy-vzglyad-na-windows-10-technical-preview/","section":"post","tags":["Microsoft","Windows 10"],"title":"Первый взгляд на Windows 10 Technical Preview"},{"body":"Итак - решение принято. Будем считать, что вы убедились в перспективности и удобстве системы линукс и вместо покупки нового компьютера под Win8 решили сменить WinXP на свободную ОС. Как быть-то? Кругом столько всего... Не каждый линукс одинаково полезен годится для «беженца», но выбор подходящих вариантов вполне широк. В настоящее время около 350 дистрибутивов используют ядро линукса, кроме систем на основе Debian, существуют и постройки на базе Slackware, Red-Hat, Arch и Gentoo. Многие варианты очень специальны и выпадают из списка кандидатов на замену WinXP в домашних условиях.\nПридётся слегка отсортировать Всяко-разно Arch и Gentoo - удел воспетых в интернете специалистов-линуксоидов и для простого пользователя не совсем годны. Из всех вариантов RedHat можно высмотреть лишь две версии, которые с натягом годны для переселенцев из WinXP:\nFedora Linux (https://fedoraproject.org/ru/) каждый раз радует глаз и забавляет свежестью функциональности. Однако там никто не заботится об экономности старого железа и не особо беспокоится о новичках, которые собрались перейти из Windows. Зато всё красиво и очень актуально. Mageia (http://www.mageia.org/ru/) вышла в начале 2014 года в 4 версии и тоже относится к семейству RedHat. Пожалуй, что из всех вариантов -- этот единственный, который явно нацелен на простого конечного потребителя. Самый лучший в среде линуксов менеджер установки системы и весьма удачная графическая оболочка (на выбор KDE или Gnome). Один аргумент против Mageia: это ещё молодая разработка и неизвестно как она будет развиваться в перспективе. Open SuSe (http://www.opensuse.org/ru/) - единственный выходец из семейства Slackware, о котором здесь можно поговорить. На протяжении более одного десятилетия этот дистрибутив являлся вообще единственным вариантом, который затачивался для настольного компьютера и создан для удобства конечного пользователя. Ubuntu и сотоварищи -- выходцы из славного рода Debian и, в настоящее время, являются наилучшим выбором для начинающих пользователей. Все, кто нуждается в простой, быстрой и стабильной системе, но не хочет копаться в настройках, будут довольны. Кроме прочего, дружная компания разных Ubuntu предлагает на общей базе многочисленные варианты на разный вкус и потребности.\nЛучшие Ubuntu для тех, кто хочет «пересесть» Это уже практически стандарт для настольного линукса -- Ubuntu (www.ubuntu.com). Актуальная версия 14.04 является так называемой LTS (long time support), которая годна и для производственного применения (сервер и так далее), так как будет снабжаться апдейтами ещё пять лет. Установка Ubuntu происходит просто, само пользование системой -- практически интуитивное. Кому-то покажется странной критикуемая традиционалистами рабочая поверхность Unity, но общее впечатление от этого страдает мало. А уж кому совсем невмоготу - есть варианты на любой вкус. Kubuntu (www.kubuntu.org) - это всё-же Ubuntu со всеми удобствами, но взамен Unity здесь используется весьма элегантная поверхность KDE. Эта оболочка блещет максимально возможной вариабельностью, имеет огромное количество настроек и дополнений. Свои преимущества Kubuntu выражает на большом мониторе и компьютерах посвежее. Любой любитель поковырять настройки системы будет просто счастлив. Многочисленные сообщества в интернете так и пестрят «тюнингованными» рабочими столами гордых юзеров. Ubuntu Gnome (http://ubuntugnome.org) - этот вариант заменяет Unity на графическую оболочку Gnome, как ясно из названия. Эта среда так-же элегантна и продуманна, но все графические «штучки» требуют своего внимания от процессора и видеокарты. Относительной новинкой является Elementary OS \u0026quot;Luna\u0026quot; (http://elementaryos.org), базируемая, пока ещё, на предыдущей LTS-версии Ubuntu 12.04. Основной «фишкой» этого дистрибутива является произведённая из Gnome поверхность Pantheon, которая, в некотором роде, копирует MacOS. Авторы создали симпатичную систему с набором особенно экономичных и быстродействующих программ. Но пользователь может всё собрать на свой вкус -- основные компоненты Ubuntu сохранены. Linux Mint (http://linuxmint.com) актуально раздаётся в 17 версии и так-же основана на Ubuntu. Этот вариант ОС отличается от вышеприведённых наиболее низкими запросами к железу. Рабочая поверхность Cinnamon - это отказ от Unity, а традиционно оформленное меню -- явное приглашение для тех, кто переезжает из Windows. Система быстро и легко устанавливается, настраивается и расширяется. В отличии от прочих систем -- Linux Mint способна обращаться со всеми кодеками для аудио или видео сразу после установки. Актуализация версий Mint следует версиям Ubuntu. А для поклонников KDE имеется так-же соответствующая версия -- в настоящее время это Linux Mint 16 \u0026quot;Petra\u0026quot;.\nСвежий ветер по старому железу Часто после снятия WinXP со службы дома остаётся слабоватый компьютер с устаревшей периферией. Но не стоит предаваться унынию - минималистский линукс не должен выглядеть бедненько и скромно. Уже от Pentium III или Athlon AMD и оперативной памяти на 512МБ можно запустить вполне приличную систему, способную достойно заменить старенькую Windows. В общем и целом можно положиться на ОС, которые используют графическую оболочку XFCE или LXDE. Таковыми являются, соответственно, Xubuntu и Lubuntu. Опять-же Linux Mint существует в версии с LXDE-окружением. Ещё экономнее с ресурсами обходятся Bodhi Linux и Precise Puppy Linux. Любознательному юзеру на заметку, как говорится. Существует и несколько устаревших вариантов «лёгкого» линукса, но лучше оставить их в стороне. Проще всего положиться на Lubuntu или Mint LXDE - после установки пользователь получает полностью работоспособную систему, а рабочее меню в стиле Windows облегчает переход пользователям \u0026quot;окон\u0026quot; со стажем. По материалам журнала Linux WELT (03/2014)\nВиктор Хартманн\nБерлин\n","id":"9f3630a6f97406fdf76d3b66056921d2","link":"https://interface31.ru/post/linuks-i-drugoy-linuks-vybiraem-distributiv-dlya-pobega-iz-vindy/","section":"post","tags":["Linux","Рабочее место"],"title":"Линукс и другой линукс - выбираем дистрибутив для «побега из Винды»"},{"body":"Протокол iSCSI разработан для работы в сетях хранения данных и представляет собой способ доступа к блочным устройствам по протоколу SCSI поверх TCP/IP. Это дает возможность организации недорогих сетей хранения данных (SAN) при помощи обычных Ethernet-сетей. Эта возможность широко используется при построении систем высокой доступности и мы будем рассматривать в рамках этого цикла именно решения на основе iSCSI-хранилищ. Сегодня мы рассмотрим создание такого хранилища на платформе Windows Server 2008 R2.\nСначала пару слов о принципиальных отличиях iSCSI от иных сетевых систем хранения данных. Cети хранения данных - SAN (Storage Area Network) предусматривают передачу данных в сети в \u0026quot;сыром\u0026quot; виде по протоколу SCSI, также, как если бы они передавались между системой и локальным диском на низком уровне. iSCSI устройства воспринимаются системой практически также, как локальные диски - перед использованием на них нужно создать разделы и отформатировать.\nВ тоже время привычные всем сетевые хранилища - NAS (Network Area Storage) обеспечивают доступ на уровне файловой системы, используя протоколы передачи файлов, такие как SMB или NFS.\nПроще говоря: NAS - это привычные всем общие сетевые папки, SAN - подключаемые по сети диски. Из этого следует второе важное отличие. Сетевая папка может обслуживать множество клиентов. Устройство SAN может быть подключено к единственному клиенту, точно также как обычный HDD может быть подключен только к одному ПК. Исключение - кластеры, когда к одному SAN-устройству имеют доступ сразу несколько нод, в этом случае используется дополнительный уровень абстракции - кластерная файловая система, например Microsoft Cluster Shared Volumes (CSV) или VMware VMFS.\nПеред тем, как приступать к практическому освоению данной технологии, следует познакомиться с принятой терминологией:\nИнициатор iSCSI (iSCSI Initiator) - клиентская часть, направляет запросы цели iSCSI, может быть выполнена программно, в виде драйвера или аппаратно, в виде iSCSI-адаптера; Цель iSCSI (iSCSI Target, таргет) - серверная часть, принимает подключения от инициатора и предоставляет ему доступ к связанным с ним блочными устройствами - виртуальными дисками, LUN. Может быть реализован как программно, так и в виде аппаратной СХД. Одна цель iSCSI может быть связана с несколькими блочными устройствами, которые будут доступны подключившемуся к цели инициатору. Один инициатор может быть подключен к нескольким целям и использовать все связанные с ними устройства. Одна цель также может принимать подключения от нескольких инициаторов, но каждое отдельное устройство может быть доступно только одному из инициаторов.\nЕще один момент, теперь уже связанный с практической реализацией iSCSI-хранилищ. Для SAN крайне желательно выделить отдельную сеть, изолированную от сети предприятия. В состав Windows Server 2008 R2 роль цели iSCSI не входит и для ее развертывания необходимо скачать Microsoft iSCSI Software Target. Распаковываем его и устанавливаем пакет iscsitarget_public.msi из папки x64. Установка предельно проста и мы не будем заострять на ней внимание.\nПосле установки перейдем к консоли управления iSCSI: Пуск - Администрирование - Программная цель iSCSI. Прежде всего создадим новую цель (таргет). Для этого щелкнем правой кнопкой на Цели iSCSI - Создать цель iSCSI. Откроется мастер, в котором укажем имя цели и ее описание. Давайте целям осмысленные имена и не ленитесь создавать описания, чтобы потом не приходилось гадать для чего у вас создана та или иная цель. Следующим шагом нам надо указать идентификаторы инициаторов iSCSI которым будет разрешен доступ к цели. Идентификатор IQN - это специальное имя формата iqn.\u0026lt;year-mo\u0026gt;.\u0026lt;reversed_domain_name\u0026gt;:\u0026lt;unique_name\u0026gt;, которое является уникальным для каждого iSCSI-устройства в сети хранения данных. Где:\nyear-mo - год регистрации доменного имени; reversed_domain_name -доменное имя, записанное наоборот; unique_name - уникальное имя устройства, например таргет здесь будет содержать указанное вами имя, а инициатор имя хоста. Например, в программных решениях Microsoft IQN по умолчанию имеет формат iqn.1991-05.com.microsoft:unique_name.\nЧтобы узнать IQN перейдем на инициатор iSCSI, в нашем случае это сервер под управлением Windows Server 2012, но алгоритм действий будет одинаков для любых иных версий Windows. Переходим в Панель управления - Инициатор iSCSI, на предложение задать ее автоматический запуск отвечаем утвердительно: Затем в открывшемся окне переходим на закладку Конфигурация, где находится искомый идентификатор: Можно скопировать его и указать при настройке цели, но есть другой способ. Для этого перейдите на закладку Конечные объекты, в поле Объект введите имя сервера с установленной Программной целью iSCSI и нажмите Быстрое подключение. Понятно, что пока мы ни к чему не подключимся, но сейчас у нас иная задача. Возвращаемся обратно на сервер цели и жмем на странице указанием идентификатора инициатора кнопку Обзор. Теперь становится понятно, для чего мы делали попытку подключения. Сервер целей iSCSI хранит список последних подключавшихся к ней инициаторов и позволяет их выбрать.\nНа этом создание цели завершено и мы можем создать и привязать к ней один или несколько дисков. Для этого переходим к пункту Устройства и в меню правой кнопки мыши выбираем Создать виртуальный диск. Откроется следующий мастер, в котором указываем расположение и имя виртуального диска, обратите внимание, что указывать нужно полное имя файла, вместе с расширением .vhd. Затем укажем желаемый размер в МБ И цель iSCSI (таргет) к которой будет привязан данный виртуальный диск. На этом настройка диска также будет завершена. В результате этих несложных действий мы получили настроенную цель iSCSI с привязанным к ней виртуальным диском. Теперь снова перейдем на инициатор. Можно воспользоваться быстрым подключением и автоматически присоединить диски с обнаруженных целей. Но следует помнить, что наша цель не только подключить диски, но и разделить сеть хранения данных и локальную сеть предприятия.\nПоэтому переходим на закладку Обнаружение и нажимаем Обнаружить портал, затем вводим имя сервера с ролью цели iSCSI. После чего возвращаемся на закладку Конечные объекты, выбираем обнаруженную цель, которая находится в состоянии Неактивно, и нажимаем Свойства. В открывшемся окне в поле IP-адрес конечного портала выбираем адрес принадлежащий вашей сети хранения данных: Возвращаемся обратно и нажимаем Подключить. Присоединенные устройства можно обнаружить в оснастке Управление дисками. Дальнейший алгоритм работы с ними ничем не отличается от работы с обычным диском: подключаем, размечаем, форматируем. В данном материале мы рассмотрели самый простой вариант настройки хранилища. В наших последующих материалах мы будем возвращаться к отдельным настройкам, не затрагивая общей темы создания хранилища.\n","id":"b9fce4c09a587f02a92bc9d423b1729a","link":"https://interface31.ru/post/nastroyka-iscsi-hranilishha-v-windows-server-2008-r2/","section":"post","tags":["High availability","iSCSI","Windows Server"],"title":"Настройка iSCSI-хранилища в Windows Server 2008 R2"},{"body":"В прошлой части нашего цикла мы рассмотрели установку Ubuntu Server, сегодня мы бы хотели уделить внимание старшему родственнику Ubuntu - Debian. У этих систем действительно много общего, вплоть до пакетной базы. Также все наши решения на базе Ubuntu Server без проблем будут работать и на базе Debian. Установка и настройка обоих систем также практически одинакова и сначала мы хотели обойтись одной статьей, просто обращая внимание на некоторые различия, но затем все-таки решили, что две отдельные статьи помогут лучше подать материал для начинающих и избежать возможной путаницы.\nПочему все-таки Debian? Основная причина - стабильность. Ubuntu Server LTS представляет на наш взгляд оптимальный баланс между актуальностью версий ПО и стабильностью. Debian в этом плане более консервативен, используя только проверенные, стабильные версии пакетов. В тоже время, к нашему сожалению, Ubuntu Server последних релизов содержит разного рода баги, которые проявляются, зачастую, только при определенных условиях. В этой ситуации наиболее оправданным будет переход на Debian, это позволит использовать весь имеющийся опыт работы с системой, в тоже время получив в распоряжение более стабильную платформу.\nДанный материал во многом перекликается с нашей предыдущей статьей и часть текста будет повторяться. Это сделано сознательно, чтобы обеспечить целостность подачи материала, а не заставлять читателя изучать две статьи вместо одной.\nПрежде всего получим дистрибутив системы. Его можно скачать как по HTTP: https://www.debian.org/CD/http-ftp/#stable, так и через BitTorrent: https://www.debian.org/CD/torrent-cd. Для серверной установки нам потребуется только первый CD, также рекомендуем использовать в серверных целях исключительно архитектуру amd64.\nЗагрузившись с установочного диска мы увидим экран-заставку, который предлагает нам различные способы установки. Выбираем первый пункт, который запустить текстовый режим установки. После чего вам будет предложено выбрать язык. От вашего выбора зависит не только язык инсталлятора и системы, но и набор генерируемых локалей, который влияет не только на то, каким образом будут отображаться символы национальных алфавитов, но и на работу некоторых программ и служб, которые критичны к региональным установкам, например, Сервера 1С. Язык инсталлятора переключится на выбранный и вам будет предложено выбрать страну, список специально подобран, чтобы соответствовать указанному языку. Затем следует выбрать раскладку клавиатуры: И комбинацию клавиш для ее переключения: Мы не рекомендуем выбирать сочетания клавиш отличные от общепринятого Alt + Shift, не заставляйте тех, кто будет работать с сервером кроме вас, угадывать какую комбинацию вы выбрали во время установки.\nСледующим шагом система попробует получить сетевые настройки, так как в большинстве сетей присутствует DHCP сервер, то уже на этом этапе система сконфигурирует сеть и получит доступ в интернет. Если по каким-либо причинам автоматически получить сетевые настройки не удастся, вы можете указать их вручную или пропустить данный этап. В отличие от Ubuntu, на этом этапе крайне желательно получить доступ к интернету, в противном случае вы получите минимальную конфигурацию системы, которая потребует много ручных настроек. Поэтому, если DHCP сервер в вашей сети отсутствует, выполните ручную настройку сетевых интерфейсов. После этого вам потребуется указать имя компьютера и указать пароль суперпользователя root. В отличие от Ubuntu в Debian используется иная модель административных прав, возможность настраивать систему имеет суперпользователь, а для работы будет предложено создать еще одну учетную запись. Также, по умолчанию, не предусмотрена возможность повышать права пользователя при помощи команды sudo. Помните о том, что Linux - регистрозависимая система, а правилом хорошего тона является использование в именах пользователей только строчных букв. Затем укажите часовой пояс. Обратите внимание что в Debian указывается смещение не относительно GMT, а относительно Москвы (для России). К этой настройке следует подходить ответственно, так как неверно выставленная временная зона может приводить к некорректной работе ряда служб или привести к появлению недостоверной информации в приложениях, например, в календаре или планировщике задач, особенно если данные используются пользователями, находящимися в других временных зонах. В российских реалиях может произойти так, что дистрибутив был выпущен раньше, чем были произведены изменения временных зон, и актуального пояса в списке нет, что мы и видим на рисунке выше. В этом случае следует выбрать тот пояс, который был до перевода часов и уже после установки и обновления системы воспользоваться рекомендациями из нашей статьи: Перевод часов в РФ 26 октября 2014 года - проблемы и решения.\nПосле настройки времени мы переходим к наиболее ответственному этапу - настройке диска. Система предлагает несколько вариантов, среди которых автоматическая разметка. В большинстве случаев мы выбираем именно этот пункт. Если говорить о единственном диске, то мы не видим смысла разбивать его на разделы, за исключением настольных систем, где на отдельный раздел стоит вынести /home.\nВ нагруженных системах имеет смысл выносить разделы с данными, например, /var/www или /opt/zimbra, на отдельные дисковые массивы. Если вы хотите установить систему на программный RAID, то обратитесь к статье: Ubuntu Server. Настраиваем программный RAID. Автоматическая разметка в Debian предложит вам несколько вариантов: использовать весь диск, вынести на отдельный раздел**/home** или разбить диск на несколько разделов. Мы остановимся на первом варианте: После разметки диска будет произведена установка базовой системы. По окончании этого процесса система предложит вставить другой диск. Отвечаем отказом. А с предложением использовать сетевое зеркало архива пакетов соглашаемся. Затем выбираем страну и наиболее подходящее зеркало, мы, например, выбираем зеркала от Яндекса. После обновления списка ПО вам будет предложено выбрать один из готовых наборов. Можно выбрать необходимые роли и получить готовую к настройке систему. Разве это плохо, особенно для начинающего администратора? Плохо! И вот почему: при таком подходе система остается для администратора \u0026quot;черным ящиком\u0026quot;, нет представления о назначении отдельных пакетов, их роли и влиянии на систему в целом. Поэтому мы рекомендуем отказаться от предлагаемых вариантов и устанавливать требуемые пакеты вручную. Это поможет вам глубже понять систему и взаимодействие между ее компонентами. А когда вы станете чувствовать себя в среде Linux как рыба в воде, вы сами решите нужно ли вам устанавливать софт автоматически.\nПо умолчанию предлагается установить графическую оболочку и принт-сервер, убираем все опции (используя Пробел), оставив только Стандартные системные утилиты. После этого последует процесс установки, который проходит довольно быстро, даже на не очень быстрых системах. Затем последует предложение установить загрузчик, если вы не собираетесь делать систему с \u0026quot;хитрой\u0026quot; загрузкой, то следует согласиться. Установив загрузчик и выполнив еще некоторые операции инсталлятор завершит свою работу и предложит перезагрузиться. На этом собственно установка закончена и следует перейти к первичной настройке системы.\nИтак, первый вход в систему, мы бы не стали об этом писать, если бы не читательский отклик, который показал, что на этом моменте у многих возникали затруднения. Так вот, в Linux-системах процесс ввода пароля никак визуально не отображается, вам просто нужно набрать нужную комбинацию символов и нажать Enter, хотя внешне система ведет себя так, как будто ничего не происходит. Такое поведение унаследовано от UNIX-систем и преследует цели безопасности, чтобы злоумышленник не мог узнать длину вашего пароля. Прежде всего следует правильно настроить сеть. Несмотря на то, что сеть была настроена на этапе установки и есть возможность установить дополнительные пакеты, мы не будем пока ничего устанавливать и научимся редактировать файлы конфигурации встроенными средствами.\nТак как пользователь в Debian не может повышать свои права, то переключимся на суперпользователя root, для этого выполним команду:\n1su и введем пароль суперпользователя.\nТеперь откроем файл конфигурации сети встроенным редактором nano:\n1nano /etc/network/interfaces и приведем его к следующему виду:\n1auto lo 2 iface lo inet loopback 3 4auto eth0 5 iface eth0 inet static 6 address 192.168.44.61 7 netmask 255.255.255.0 8 gateway 192.168.44.2 9 dns-nameservers 192.168.44.2 8.8.8.8 Первая секция auto lo задает настройки для петлевого интерфейса и уже присутствует в файле. Вторая секция задает настройки внешнего сетевого интерфейса eth0 для работы со статическим адресом. Опции понятны и отдельных разъяснений не требуют, адреса, естественно, взяты исключительно для примера. Если в вашем сервере несколько сетевых адаптеров, то следует прописать секцию для каждого из них.\nДопустим мы хотим получать настройки второго сетевого адаптера eth1 по DHCP, для этого добавим секцию:\n1auto eth1 2 allow-hotplug eth1 3 iface eth1 inet dhcp Немного остановимся на опциях auto и auto-hotplug. Первая указывает инициировать подключение при загрузке, а вторая запускает механизм отслеживания горячего переподключения и инициировать получение адреса при наступлении данного события.\nЗакончив редактировать файл следует выйти из редактора по Ctrl + X, утвердительно (Y) ответив на предложение записать файл. После чего перезагрузите компьютер:\n1reboot Если все сделано правильно, то система получит доступ к сети и интернет. Проверить это можно командой ping:\n1ping ya.ru Прервать выполнение команды следует комбинацией Ctrl + С, запомните эту комбинацию, она еще не раз вам пригодится.\nПросмотреть настройки сетевых интерфейсов можно командой\n1ifconfig не забудьте предварительно войти как суперпользователь. Этой же командой можно выяснить, какие именно сетевые карты видит система и под какими именами, для этого воспользуйтесь параметром HWaddr, который представляет MAC-адрес сетевой платы.\nПеред тем, как приступить к дальнейшей настройке, систему следует обновить, но перед этим необходимо откорректировать список источников пакетов:\n1nano /etc/apt/sources.list В этом файле закомментируем строки, относящиеся к СD-дискам, иначе при каждом обновлении или установке пакетов система будет просить вставить диск. Сохраним изменения, после чего можно обновить список пакетов командой:\n1apt-get update А затем обновить систему командой:\n1apt-get upgrade Теперь самое время разобраться с административными правами. На наш взгляд, принятая в Ubuntu система, когда учетная запись root отключена, а администратор может повышать полномочия своего собственного аккаунта, наиболее удобна и безопасна. Поэтому установим утилиту sudo:\n1apt-get install sudo Затем добавим вашего пользователя в группу sudo:\n1usermod -a -G sudo andrey где вместо andrey укажите имя вашего пользователя. После чего перезагрузите систему.\nТеперь попробуем повысить права до суперпользователя:\n1sudo -s Если все прошло успешно, то учетную запись root можно отключить:\n1passwd -l root Следующим шагом установим утилиты для облегчения администрирования: пакет ssh для удаленного доступа к серверу и файловый менеджер mc, который значительно упрощает работу с системой.\n1apt-get install ssh mc Для запуска mc используйте простую команду:\n1mc или\n1sudo mc если хотите запустить его с правами суперпользователя.\nРабота с ним довольно проста, те кто работал в DOS с менеджерами Norton Commander или Volkov Commander вообще не должны испытывать затруднений. Навигация осуществляется стрелками, переход между панелями клавишей Tab, а выделение клавишей Insert. Основные действия указаны внизу, цифры рядом с ними обозначают номер функциональной клавиши, отвечающей за это действие, так, например, F4 - Правка, F8 - Удаление, F10 - Выход. Вы всегда можете свернуть, а затем развернуть, mc сочетанием клавиш Ctrl + O и получить доступ к консоли.\nТакже советуем сразу произвести некоторые настройки, нажимаем F9 для переключения на верхнее меню, выбираем Настройки - Конфигурация. В открывшемся окне стрелками перейдите на опцию Встроенный редактор и выберите ее при помощи клавиши Пробел. Для подтверждения настроек и выхода нажмите Далее. Это позволит сразу использовать для редактирования конфигурационных файлов более удобный чем nano встроенный редактор. В заключение проверим возможность удаленного подключения, для этого будем использовать популярную утилиту PuTTY (скачать). В последней версии просто достаточно указать IP-адрес или доменное имя сервера: Однако, на всякий случай, проверьте в Window - Translation кодировку соединения, там должно быть указано UTF-8. На этом установку и предварительную настройку сервера можно считать законченными и убирать его в серверный шкаф, после чего можно приступать к настройке необходимых серверных ролей по одной из наших инструкций, либо продолжать эксперименты с целью дальнейшего изучения системы.\n","id":"b9958fb8e30f60a0602f2b249fc4da20","link":"https://interface31.ru/post/linux-nachinayushhim-chast-3-ustanovka-debian-7-dlya-servera/","section":"post","tags":["Debian"],"title":"Linux - начинающим. Часть 3. Установка Debian 7 для сервера"},{"body":"Первое знакомство с любой новой системой начинается с ее установки. Несмотря на то, что эта тема довольно избита и не писал об этом только ленивый, без описания процесса установки наш цикл для начинающих будет неполным. Мы постараемся не только рассказать, как поставить систему, но и почему мы выбираем те или иные настройки и на что они влияют. Также мы будем рассматривать установку именно серверной версии Ubuntu, так как наш цикл предназначается именно начинающим администраторам, чтобы они могли устранить пробелы в знаниях и осознанно подойти к восприятию остальных наших материалов.\nТак как основной системой для наших решений является Ubuntu Server, то ставить мы будем именно ее. Свежий релиз всегда можно получить со страницы: http://www.ubuntu.com/download/server. Мы настоятельно рекомендуем использовать только LTS-версии, как наиболее стабильные и имеющие продолжительный срок поддержки. Обычные версии, как правило, являются полигоном для обкатки новых технологий и могут работать нестабильно, не говоря уже о том, что срок поддержки в 9 месяцев абсолютно неприемлем для работающих серверных систем.\nПервое что вы увидите, загрузившись с установочного носителя - это меню выбора языка: От его выбора зависит не только то, на каком языке с вами будет общаться инсталлятор и система, но и какие локали будут сгенерированы. Набор локалей влияет не только на то, каким образом будут отображаться символы национальных алфавитов, но и на работу некоторых программ и служб, которые критичны к региональным установкам, например, Сервера 1С.\nПосле чего система, уже на выбранном вами языке, предложит перейти к установке и указать страну, которую она предлагает, основываясь на выбранном языке. От автоматического определения раскладки следует отказаться: И выбрать необходимую раскладку из списка, в большинстве случаев достаточно согласиться с выбором системы: Затем следует указать комбинацию клавиш для ее переключения. Мы категорически не рекомендуем, если только это не ваша личная система, указывать что-либо иное, нежели принятое по умолчанию Alt + Shift. Потому как крайне неприятно, оказавшись в незнакомой системе, угадывать, какую именно комбинацию выбрал устанавливавший ее администратор. Следующим шагом система попробует получить сетевые настройки, так как в большинстве сетей присутствует DHCP сервер, то уже на этом этапе система сконфигурирует сеть и получит доступ в интернет. Если по каким-либо причинам автоматически получить сетевые настройки не удастся, вы можете указать их вручную или пропустить данный этап. Мы, исключительно с образовательной целью, выберем пункт Пропустить пока настройку сети. После этого потребуется указать имя системы и имя пользователя. Следует помнить, что в Ubuntu учетная запись root отключена и созданный на этом этапе пользователь получает полномочия повышать свои права до суперпользователя при помощи команды sudo. Подробнее смотрите в нашей статье: Ubuntu Server - административные права пользователей. Также не забывайте, что Linuх - регистрозависимая система, поэтому правилом хорошего тона будет использование, в том числе и в именах пользователей, только нижнего регистра. От предложения зашифровать домашний каталог также следует отказаться.\nЗатем укажите текущий часовой пояс. К этой настройке следует подходить ответственно, так как неверно выставленная временная зона может приводить к некорректной работе ряда служб или привести к появлению недостоверной информации в приложениях, например, в календаре или планировщике задач, особенно если данные используются пользователями находящимися в других временных зонах. При этом важно выбрать именно свою временную зону, а не соответствующую ей по смещению от GMT. Это нужно для того, чтобы в случае изменения часовых поясов в вашей стране система правильно применила обновления. В российских реалиях может произойти так, что дистрибутив был выпущен раньше, чем были произведены изменения временных зон, и актуального пояса в списке нет, что мы и видим на рисунке выше. В этом случае следует выбрать тот пояс, который был до перевода часов и уже после установки и обновления системы воспользоваться рекомендациями из нашей статьи:Перевод часов в РФ 26 октября 2014 года - проблемы и решения.\nПосле настройки времени мы переходим к наиболее ответственному этапу - настройке диска. Система предлагает несколько вариантов, среди которых автоматическая разметка. В большинстве случаев мы выбираем именно этот пункт. Если говорить о единственном диске, то мы не видим смысла разбивать его на разделы, за исключением настольных систем, где на отдельный раздел стоит вынести /home.\nВ нагруженных системах имеет смысл выносить разделы с данными, например, /var/www или /opt/zimbra, на отдельные дисковые массивы. Если вы хотите установить систему на программный RAID, то обратитесь к статье: Ubuntu Server. Настраиваем программный RAID. В остальных случаях смело выбирайте автоматическую разметку без LVM, в этом случае на диске будет создан раздел подкачки (swap) размером в единицы ГБ и корневой раздел на остальном пространстве. Еще один важный вопрос - установка обновлений. С одной стороны, обновления позволяют своевременно закрывать уязвимости и поддерживать систему в актуальном состоянии, с другой, неконтролируемое обновление вполне способно привести к серьезным сбоям. Как поступить - выбирать вам. Мы предпочитаем на ответственных системах устанавливать обновления вручную, после их тестирования на специально выделенной системе, но если вы настраиваете роутер, то обновления можно включить. Установив основу системы, инсталлятор предложит вам выбрать наборы ПО для установки. Можно выбрать на этом этапе необходимые роли и получить готовую к настройке систему. Разве это плохо, особенно для начинающего администратора? Плохо! И вот почему: при таком подходе система остается для администратора \u0026quot;черным ящиком\u0026quot;, нет представления о назначении отдельных пакетов, их роли и влиянии на систему в целом. Поэтому мы рекомендуем отказаться от предлагаемых вариантов и устанавливать требуемые пакеты вручную. Это поможет вам глубже понять систему и взаимодействие между ее компонентами. А когда вы станете чувствовать себя в среде Linux как рыба в воде, вы сами решите нужно ли вам устанавливать софт автоматически.\nПоэтому не выбираем ничего и (нажав Tab) переходим к пункту Продолжить. Пока система устанавливается, можно быстро сбегать, налить себе чашку кофе, даже на не очень мощных системах эта операция не занимает много времени. В завершение этого процесса инсталлятор предложит вам установить загрузчик, с этим предложением стоит согласиться, если только вы не планируете систему с какой-либо \u0026quot;хитрой\u0026quot; системой загрузки: После чего вам будет предложено перезагрузить систему, установка на этом будет закончена и в вашем распоряжении окажется полноценная серверная операционная система.\nИтак, первый вход в систему, мы бы не стали об этом писать, если бы не читательский отклик, который показал, что на этом моменте у многих возникали затруднения. Так вот, в Linux-системах процесс ввода пароля никак визуально не отображается, вам просто нужно набрать нужную комбинацию символов и нажать Enter, хотя внешне система ведет себя так, как будто ничего не происходит. Такое поведение унаследовано от UNIX-систем и преследует цели безопасности, чтобы злоумышленник не мог узнать длину вашего пароля. После того, как вы вошли в систему, в первую очередь стоит настроить сеть. Как помните, мы не производили никаких настроек на стадии установки, поэтому возможности установить дополнительные пакеты у нас нет и следует выходить из положения тем, что есть в наличии. По умолчании в системе имеется текстовый редакторnano, он не столь удобен, как встроенный редактор mc, но нужно уметь им пользоваться, как раз на случай таких ситуаций.\nПрежде всего повысим свои права до суперпользователя:\n1sudo -s И откроем редактором конфигурационный файл с настройками сети:\n1nano /etc/network/interfaces И приведем его содержимое к следующему виду:\n1auto lo 2 iface lo inet loopback 3 4auto eth0 5 iface eth0 inet static 6 address 192.168.44.62 7 netmask 255.255.255.0 8 gateway 192.168.44.2 9 dns-nameservers 192.168.44.2 8.8.8.8 Первая секция auto lo задает настройки для петлевого интерфейса и уже присутствует в файле. Вторая секция задает настройки внешнего сетевого интерфейса eth0 для работы со статическим адресом. Опции понятны и отдельных разъяснений не требуют, адреса, естественно, взяты исключительно для примера. Если в вашем сервере несколько сетевых адаптеров, то следует прописать секцию для каждого из них.\nДопустим мы хотим получать настройки второго сетевого адаптера eth1 по DHCP, для этого добавим секцию:\n1auto eth1 2 allow-hotplug eth1 3 iface eth1 inet dhcp Немного остановимся на опциях auto и auto-hotplug. Первая указывает инициировать подключение при загрузке, а вторая запускает механизм отслеживания горячего переподключения и инициировать получение адреса при наступлении данного события.\nЗакончив редактировать файл следует выйти из редактора по Ctrl + X, утвердительно (Y) ответив на предложение записать файл. После чего перезагрузите компьютер:\n1reboot Если все сделано правильно, то система получит доступ к сети и интернет. Проверить это можно командой ping:\n1ping ya.ru Прервать выполнение команды следует комбинацией Ctrl + С, запомните эту комбинацию, она еще не раз вам пригодится.\nПросмотреть настройки сетевых интерфейсов можно командой\n1ifconfig Этой же командой можно выяснить, какие именно сетевые карты видит система и под какими именами, для этого воспользуйтесь параметром HWaddr, который представляет MAC-адрес сетевой платы.\nПеред тем, как приступить к дальнейшей настройке, систему следует обновить, для этого снова повысим права до суперпользователя и обновим список пакетов командой:\n1apt-get update Затем обновим систему командой:\n1apt-get upgrade Внимательно изучаем вывод команды, как видим, по какой-то причине не обновляются три пакета, в данном случае это пакеты ядра. Поэтому попробуем обновить их вручную. Для этого выполним команду:\n1apt-get install linux-generic Которая установит новое ядро и пакеты зависимостей к нему. После обновления систему также рекомендуется перезагрузить.\nПосле перезагрузки установим инструменты администрирования: пакет ssh для удаленного доступа к серверу и файловый менеджер mc, который значительно упрощает работу с системой.\n1apt-get install ssh mc Для запуска mc используйте простую команду:\n1mc или\n1sudo mc если хотите запустить его с правами суперпользователя.\nРабота с ним довольно проста, те кто работал в DOS с менеджерами Norton Commander или Volkov Commander вообще не должны испытывать затруднений. Навигация осуществляется стрелками, переход между панелями клавишей Tab, а выделение клавишей Insert. Основные действия указаны внизу, цифры рядом с ними обозначают номер функциональной клавиши, отвечающей за это действие, так, например, F4 - Правка, F8 - Удаление, F10 - Выход. Вы всегда можете свернуть, а затем развернуть, mc сочетанием клавиш Ctrl + O и получить доступ к консоли.\nТакже советуем сразу произвести некоторые настройки, нажимаем F9 для переключения на верхнее меню, выбираем Настройки - Конфигурация. В открывшемся окне стрелками перейдите на опцию Встроенный редактор и выберите ее при помощи клавиши Пробел. Для подтверждения настроек и выхода нажмите Далее. Это позволит сразу использовать для редактирования конфигурационных файлов более удобный чем nano встроенный редактор. В заключение проверим возможность удаленного подключения, для этого будем использовать популярную утилиту PuTTY (скачать). В последней версии просто достаточно указать IP-адрес или доменное имя сервера: Однако, на всякий случай, проверьте в Window - Translation кодировку соединения, там должно быть указано UTF-8. На этом установку и предварительную настройку сервера можно считать законченными и убирать его в серверный шкаф, после чего можно приступать к настройке необходимых серверных ролей по одной из наших инструкций, либо продолжать эксперименты с целью дальнейшего изучения системы.\n","id":"012eb0a8fe722b8eb12d3086e64ef0ad","link":"https://interface31.ru/post/linux-nachinayushhim-chast-2-ustanovka-ubuntu-server/","section":"post","tags":["Ubuntu Server"],"title":"Linux - начинающим. Часть 2. Установка Ubuntu Server"},{"body":"Каждый, кто занимался обновлением информационных баз 1С:Предприятие знает, что эта, в общем-то простая, операция становится очень трудоемкой и отнимает много времени если обновляемых баз много. Процесс обновления требует постоянного внимания со стороны специалиста: там подтвердить, там принять изменения, там согласиться, хотя сам процесс вмешательства, как правило, не требует (мы будем рассматривать находящиеся на поддержке конфигурации). Существенно облегчить жизнь поможет автоматизация этого процесса, о чем мы сегодня и поговорим.\nЕсли у вас случайно оказались лишние 14 700 руб, то вы можете приобрести специализированный продукт 1С:Обновление информационных баз в пакетном режиме, остальным мы хотим предложить вспомнить возможности ключей запуска 1С, которые в умелых руках позволяют творить чудеса, причем совершенно бесплатно.\nСпециальный ключ:\n1/UpdateCfg \u0026lt;имя cf | cfu файла\u0026gt; позволяет производить обновление конфигураций, находящихся на поддержке из указанного .cf или .cfu файла.\nВторой ключ:\n1/UpdateDBCfg производит обновление конфигурации базы данных.\nКак видим, все необходимые инструменты есть, осталось научиться их правильно применять. Откроем блокнот и начнем написание нашего скрипта:\n1:: Устанавливаем кодировку 2chcp 1251 Так как очень часто в названиях папок с базами присутствуют русские буквы, установим кодировку cp1251, иначе доступ к ним окажется невозможным. Несмотря на это в окне интерпретатора вы все равно будете видеть \u0026quot;крякозябры\u0026quot;.\nСледующим шагом зададим переменные. Это нужно сделать для того, чтобы, например при обновлении платформы или смене релиза не править весь скрипт, а изменить всего-лишь одну переменную. Обращаем внимание, что если значение переменных или опций содержат пробелы, то их необходимо заключать в кавычки.\n1:: Задаем переменные 2setlocal 3 4:: Задаем пути и релиз платформы 1С 5set bin_dir=\u0026#34;C:\\Program Files (x86)\\1cv8\u0026#34; 6set bin_ver=8.3.5.1248 7 8:: Задаем путь к обновлениям 1С 9set cfu_dir=C:\\Users\\User_Name\\AppData\\Roaming\\1C\\1Cv82\\tmplts\\1c\\ 10 11:: Задаем путь к папке с логами 12set log_dir=C:\\Users\\User_Name\\Documents\\1C_Update_log Если посмотреть внутрь каталога обновлений, то мы увидим следующую структуру: 1:: Указываем релиз обновления 2:: Бухгалтерия 2.0 3set cfu_acc20=2_0_62_4 4 5:: Бухгалтерия 3.0 6set cfu_acc30=3_0_36_19 Таким образом можно следует указать пути ко всем необходимым каталогам обновлений. После чего можно переходить непосредственно к обновлению.\n1:: Обновляем Бухгалтерию 2.0 - ООО \u0026#34;Рога и Копыта\u0026#34; 2%bin_dir%\\%bin_ver%\\bin\\1cv8.exe CONFIG /F D:\\1C_bases\\Horns_and_Hooves /N\u0026#34;Иванов И.И.\u0026#34; /PПаРоЛь /UpdateCfg %cfu_dir%\\Accounting\\%cfu_acc20%\\1Cv8.cfu /UpdateDBCfg /Out %log_dir%\\Horns_and_Hoove_%cfu_acc20%.log Рассмотрим ключи подробнее:\nCONFIG - запуск в режиме Конфигуратора; /F - путь к базе данных в файловом режиме; /S - путь к базе на сервере, задается в формате Имя_Сервера\\Название_Базы; /N - пользователь ИБ, если имя содержит пробелы, то его нужно взять в кавычки; /P - пароль пользователя ИБ; /UpdateCfg - обновление конфигурации, находящейся на поддержке, в аргументе указывается путь с cfu/cf - файлу; /UpdateDBCfg - обновление конфигурации базы данных; /Out - вывод лога в указанный файл. Для примера, вторую запись сделаем для обновления ИБ на сервере:\n1:: Обновляем Бухгалтерию 3.0 - ООО \u0026#34;Вектор\u0026#34; 2%bin_dir%\\%bin_ver%\\bin\\1cv8.exe CONFIG /S SRV-1C83\\Vector /N\u0026#34;Иванов И.И.\u0026#34; /PПаРоЛь /UpdateCfg %cfu_dir%\\Accounting\\%cfu_acc30%\\1Cv8.cfu /UpdateDBCfg /Out %log_dir%\\Vector_%cfu_acc30%.log Добавив строки для всех требующих обновления баз сохраним файл как update-1C.bat, после чего запускаем его в конце рабочего дня и смело уходим домой, к утру все необходимые базы будут обновлены.\nОбратите внимание, скрипт запускает 1С в фоновом режиме, т.е. внешне как-бы ничего не происходит, но если мы откроем диспетчер задач, то найдем там запущенный фоновый процесс. После обновления не будет лишним изучить файлы логов, чтобы убедиться, что все прошло как надо, либо оперативно обнаружить и исправить ошибки. При выходе новых обновлений нам будет необходимо изменить в скрипте несколько переменных - номера релизов и номер платформы (при необходимости). Также, после некоторых изменений, данный скрипт можно использовать для последовательного обновления ИБ при пропуске нескольких обновлений, это будет более предпочтительно, чем перепрыгивание через несколько релизов, обновляясь из cf-файла.\nИ, конечно же, не забывайте делать резервные копии баз, особенно перед обновлением.\n","id":"b26f544a0b6e62fb8baeb67055248533","link":"https://interface31.ru/post/1spredpriyatie-8-obnovlenie-informacionnyh-baz-v-paketnom-rezhime/","section":"post","tags":["1С Предприятие 8.х","Автоматизация"],"title":"1С:Предприятие 8 - обновление информационных баз в пакетном режиме"},{"body":"На сегодняшний день Windows 7 является основной корпоративной системой, де-факто, приняв эстафету от Windows XP. Поэтому для системного администратора актуальным является вопрос ее развертывания, но так как последний официальный образ был собран довольно давно, то установленные с его помощью системы требуют получения довольно большого количества обновлений. Избежать этого можно, если собрать для себя собственный дистрибутив содержащий все текущие обновления системы. Как это сделать мы расскажем в этой статье.\nСуществует два способа получения актуального дистрибутива Windows 7: интеграция обновлений непосредственно в образ и использование эталонной системы для скачивания и установки обновлений.\nПервый способ проще и быстрее, однако имеет серьезный недостаток - требуется скачать все необходимые обновления. А это, даже имея список, сделать довольно непросто. В тоже время в сети имеются уже скачанные наборы обновлений, но мы не рекомендуем их использовать, так как установка компонентов системы из непроверенных источников - это очень плохая идея. Как минимум вы можете получить нестабильно работающую систему из-за непротестированного или несовместимого набора обновлений, а в худшем случае запросто можно получить нежелательное или вредоносное ПО.\nИспользование эталонной системы позволяет получить все необходимые обновления в автоматическом режиме, установить их, проверить работу системы и только потом переходить к созданию дистрибутива. Поэтому мы будем рассматривать именно этот способ.\nСоздание эталонной системы Для этих целей мы рекомендуем использовать виртуальную машину, в которой создадим гостевую систему для Windows 7 и установим ту версию ОС, для которой будем создавать дистрибутив. Если требуется создать дистрибутивы для нескольких версий или разрядностей, то потребуется также несколько эталонных систем.\nПо завершении установки не спешите, когда отобразится экран приветствия нажмите CTRL+SHIFT+F3 Это перезагрузит систему в режим аудита, если же вы успели создать пользователя и произвести вход, то выполните от имени Администратора команду:\n1C:\\Windows\\System32\\sysprep\\sysprep /audit /reboot При загрузке в режиме аудита автоматически запускается утилита Sysprep, закрываем это окно, оно нам сейчас не требуется. Информация Важно! 17 мая 2016 года Microsoft выпустила накопительный пакет обновлений для Windows 7 SP1 KB3125574, включающий в себя обновления с момента выпуска SP1 и до апреля 2016, в целях уменьшения объема скачиваемых обновлений рекомендуем скачать и установить данный пакет вручную. Для его установки требуется наличие обновления KB3020369.\nПерезагружаемся и снова проводим поиск и установку обновлений. Перезагружаемся и опять повторяем эту операцию до тех пор, пока система не установит все доступные обновления. Если ваша цель состояла только в интеграции в дистрибутив всех последних обновлений, то на этом можно закончить. Однако режим аудита позволяет устанавливать и разнообразный софт, который также будет включен в дистрибутив. Этим широко пользуются OEM-производители, мы думаем, каждый сталкивался с дистрибутивами (обычно на ноутбуках) содержащими, кроме OC, разное количество софта сомнительной полезности.\nПоэтому никто не мешает нам включить в свой дистрибутив нужный софт, чтобы не тратить время на его последующую установку. Мы обычно ограничиваемся \u0026quot;джентельменским набором\u0026quot;: архиватор, Adobe Reader, Java, Silverlight. Вы можете включить в него весь набор необходимого софта, включая офисный пакет и иное ПО. Не стоит включать в образ программы устанавливающие собственные драйвера и собственно драйвера устройств, так как все сторонние драйвера будут удалены на стадии подготовки системы к захвату образа. Также не следует производить активацию ПО, эта информация также будет утеряна.\nЗакончив подготовку эталонной системы удалим все скачанные нами файлы и лишнее ПО (если есть), особое внимание следует уделить очистке системы от копий файлов обновлений, для этого воспользуйтесь инструментом Очистка диска: Информация Важно! После очистки обязательно перезагрузите систему для завершения работы с обновлениями, в противном случае вы рискуете получить неработающий образ.\nТеперь подготовим ее к захвату образа при помощи утилиты Sysprep:\n1c:\\Windows\\system32\\sysprep\\sysprep /oobe /generalize /shutdown Разберем ключи утилиты подробнее:\noobe - запускает компьютер в режиме экрана приветствия. Экран приветствия Windows позволяет конечным пользователям настраивать операционную систему Windows, создавать новые учетные записи, переименовывать компьютер и выполнять другие задачи. generalize - подготавливает установку Windows перед созданием образа. Если этот параметр указан, все уникальные системные сведения удаляются из установки Windows. Идентификатор безопасности (SID) обнуляется, точки восстановления системы сбрасываются, журналы событий удаляются. shutdown - завершает работу компьютера после завершения работы программы Sysprep. Выполнив необходимые действия, система завершит работу. Включать ее до того, как будет захвачен образ, нельзя. На этом работу с эталонной системой заканчиваем и переходим к созданию собственного дистрибутива на ее основе.\nСоздание собственного дистрибутива Для дальнейшей работы нам понадобится рабочая станция под управлением Windows 7 с установленным пакетом автоматической установки Windows (WAIK). Разрядность и версия системы никакой роли не играют.\nСкачать Пакет автоматической установки Windows® (WAIK) для Windows® 7\nУстановка WAIK не должна вызвать затруднений и производится с установками по умолчанию. Теперь подготовим образ Windows PE для захвата образа эталонной системы. Разрядность WinPE должна соответствовать разрядности эталонной системы.\nОткроем Пуск - Все программы - Microsoft Windows AIK - Командная строка средств развертывания и выполним команду для 32-битных систем:\n1copype.cmd x86 e:\\win_pe или для 64-битных:\n1copype.cmd amd64 e:\\win_pe где e:\\win_pe желаемое расположение папки с образом. Предварительно папку создавать не надо, так как в этом случае вы получите ошибку, что папка уже существует. Теперь перейдем в папку назначения и скопируем файл winpe.wim в папку ISO\\sources и переименуем его в boot.wim. Затем скопируем в папку ISO из папки C:\\Program Files\\Windows AIK\\Tools\\amd64 или C:\\Program Files\\Windows AIK\\Tools\\x86, в зависимости от разрядности, файл imagex.exe.\nЗатем в Командной строке средств развертывания дадим следующую команду:\n1oscdimg -n -be:\\win_pe\\etfsboot.com e:\\win_pe\\ISO e:\\win_pe\\winpe.iso Результатом работы команды будет образ winpe.iso с которого следует загрузить эталонную систему. Если вы не выполняли дополнительной разметки диска эталонной системы, то раздел для захвата будет иметь букву D:, а загрузочный диск E:, на всякий случай проверяем командой dir. Теперь приступим к захвату образа, так как образ создается пофайлово, то его можно сохранять на тот же самый раздел. Введем следующую команду:\n1e:\\imagex /capture d: d:\\install.wim \u0026#34;Win7_ULT_x64\u0026#34; /compress maximum /boot /verify В качестве параметров указываем захватить диск D: и сохранить его в образ D:\\install.wim, в кавычках указываем собственное название образа, также ставим максимальное сжатие, возможность загрузки и проверку созданного образа. После чего можем сходить выпить кофе, данная операция занимает в среднем около получаса. Перезагружаем эталонную систему в обычный режим и копируем созданный образ на ПК с установленным WAIK. Перейдем в e:\\win_pe и очистим папку ISO, затем скопируем туда содержимое оригинального диска Windows 7, который мы использовали для установки эталонной системы. После чего заменим файл install.wim в папке sources на захваченный нами образ. Теперь можно приступать к сборке собственного ISO-образа, для этого выполните команду:\n1oscdimg -u2 -m -o -lWIN7ULTx64 -be:\\win_pe\\etfsboot.com e:\\win_pe\\iso e:\\win_pe\\Win7_ULT_x64.iso разберем ключи команды подробнее:\nu2 -создает образ, который имеет только файловую систему UDF. m - снимает ограничения на размер образа. o - заменяет дублирующиеся файлы одним экземпляром, позволяет сократить размер образа. l - метка тома, вводится без пробелов, необязательный параметр. b - расположение загрузочного файла, также без пробелов. Образ собирается довольно быстро, единственный момент - с большой долей вероятности его размер превысит 4,7 ГБ и записать его на обычную DVD болванку не удастся. В этом случае можно использовать двухслойные болванки DVD9, но они реже встречаются в продаже и могут поддерживаться не всеми моделями дисководов. В этом случае можно разбить дистрибутив на две части, каждый из которых будет помещаться на DVD-диск стандартной емкости. Также следует помнить об ограничении 32-х разрядных систем, которые не умеют работать с wim-образами размером более 4 ГБ.\nРазделить образ можно следующей командой:\n1imagex /split e:\\win_pe\\install.wim e:\\win_pe\\install.swm 3000 В результате будет создано два или более swm-файла максимальным размером в 3000 МБ. Затем удалим из папки ISO\\sources install.wim и поместим туда install.swm, после чего соберем образ первого диска:\n1oscdimg -u2 -m -lWIN7ULTx64DVD1 -be:\\win_pe\\etfsboot.com e:\\win_pe\\iso e:\\win_pe\\Win7_ULT_x64_DVD1.iso После этого удалим install.swm и скопируем на его место install2.swm. Второй диск нет смысла делать загрузочным, поэтому соберем его более простой командой:\n1oscdimg -u2 -m -lWIN7ULTx64DVD2 e:\\win_pe\\iso e:\\win_pe\\Win7_ULT_x64_DVD2.iso Установка с разделенного образа производится обычным путем, начиная с первого диска, в процессе работы инсталлятор сам попросит сменить диск: Таким образом можно не беспокоиться о размере создаваемого образа, особенно если в него, кроме обновлений, планируется включать объемное ПО, например, пакет MS Office и т.п. Также мы рекомендуем перед тем, как перейти к развертыванию рабочих станции из созданного дистрибутива, всесторонне проверить его работу на тестовой системе.\n","id":"edd39ca16097412854ae1ecf4d467b72","link":"https://interface31.ru/post/sozdaem-svoy-distributiv-windows-7/","section":"post","tags":["Sysprep","WAIK","Windows 7","Персонализация","Развертывание"],"title":"Создаем свой дистрибутив Windows 7"},{"body":"Любое установленное ПО требует эпизодического обновления и популярный почтовый сервер Zimbra не исключение. Новые версии содержат новые возможности, исправления ошибок и уязвимостей, поддержку современных технологий и свежих версий ОС. В тоже время Zimbra - сложный продукт уровня предприятия, поэтому к процессу обновления следует подходить ответственно, поэтому, хоть процесс обновления несложен и описан в документации, рассмотрим его более подробно.\nБудем считать, что операционная система находится в актуальном состоянии, в противном случае рекомендуем установить последние обновления. В нашем случае используется Ubuntu Server 12.04.5 LTS и Zimbra 8.0.1, которую мы будем обновлять до версии 8.6.0.\nПрежде всего получим свежий дистрибутив, можно скачать его сразу на сервере при помощи wget, посмотрев ссылку на странице загрузки, либо сделать это на рабочем ПК, переместив потом на сервер. В любом случае будем считать, что архив с дистрибутивом расположен в вашей домашней папке.\nЗатем обязательно сделаем резервную копию уже установленного экземпляра, это позволит, если что-то пойдет не так, быстро вернуть все как было. Для этого повысим свои права до суперпользователя и войдем под именем пользователя zimbra:\n1sudo -s 2su zimbra Остановим службы Zimbra:\n1zmcontrol stop и выйдем из сеанса пользователя zimbra\n1exit Если вы используете для сбора почты fetchmail, то остановите также и его:\n1service fetchmail stop Создадим копию и сохраним ее в домашнем каталоге:\n1tar -czvf ~/zimbra-update-backup-dd-mm-yyyy.tgz /opt/zimbra Теперь перейдем в домашний каталог и распакуем дистрибутив:\n1cd ~ 2tar -xzvf zcs-8.6.0_GA_1153.UBUNTU12_64.20141215195814.tgz Чтобы не вводить полностью длинное имя архива, воспользуйтесь автодополнением - введите первые буквы и нажмите Tab.\nПерейдем в папку с дистрибутивом и запустим скрипт установки:\n1cd zcs-8.6.0_GA_1153.UBUNTU12_64.20141215195814 2./install.sh Скорее всего, вы, как и мы, столкнетесь с недостающими зависимостями: 1apt-get install libaio1 pax Затем запускаем установку заново:\n1./install.sh После успешной проверки зависимостей скрипт предложит проверить целостность базы сообщений, соглашаемся с этим предложением. Если будут найдены ошибки, скрипт постарается их исправить, после этого установку надо будет запустить еще раз. Наконец, пройдя все проверки, скрипт предложит вам перейти к обновлению: После того, как вы согласитесь, вам будет предложено установить дополнительные компоненты. Если вы не знаете, зачем нужен тот или иной компонент, как его настраивать и как с ним работать - отвечайте отказом. После чего вам последний раз зададут вопрос, готовы ли вы внести изменения в систему. Отвечаем утвердительно, после чего можно откинуться на спинку кресла... Но гладко было на бумаге! Вот и первая ошибка:\n1Starting ldap...failed with exit code: 256. 25293ac21 backend_startup_one (type=mdb, suffix=\u0026#34;\u0026#34;): bi_db_open failed! (80) Ошибка эта весьма распространенная, интернет содержит различного рода инструкции по ее устранению, более напоминающие шаманские камлания с бубном, чем осмысленные действия, однако для ее исправления достаточно одной команды:\n1/opt/zimbra/openldap-2.4.39.2z/sbin/slapindex -F /opt/zimbra/data/ldap/config entryDN Учтите, что версия openldap-2.4.39.2z в вашем случае может отличаться от нашей, поэтому уточните правильный путь или воспользуйтесь автодополнением. После чего в очередной раз запускаем установку. В этот раз все должно пройти успешно. Система будет обновлена и предложит сообщить об этом в Zimbra, здесь можете поступить на свое усмотрение, мы не видим ничего плохого от обратной связи с разработчиками. Проверим, как все работает:\n1su zimbra 2zmcontrol status Все службы должны работать. Теперь можем зайти в панель администрирования или почту и еще раз убедиться, что все в порядке. Как видим, простая на первый взгляд задача, оказалась не очень простой. Поэтому очень важно обязательно создавать резервную копию и ознакомиться с возможными сложностями на официальном форуме или в сети интернет. В данном случае, благодаря нашим материалам, проблем у вас возникнуть не должно.\n","id":"5b31bc16e9b10a0dba8d3ff7b918b844","link":"https://interface31.ru/post/zimbra-obnovlyaem-ustanovlennuyu-versiyu/","section":"post","tags":["E-mail","Ubuntu Server","Zimbra"],"title":"Zimbra. Обновляем установленную версию до 8.6"},{"body":"26 октября, спустя три года, Россия снова переводит стрелки часов. Если прошлый раз речь шла просто об отмене \u0026quot;зимнего времени\u0026quot;, но теперь изменения гораздо масштабнее - изменились количество и границы часовых поясов, поэтому простым переводом стрелок на час назад уже не обойтись. Чем это грозит информационным системам, какие существуют проблемы и каким образом их решить мы поговорим в данной статье.\nОбщая информация О потенциальных проблемах, которые таит в себе перевод часов мы подробно рассказывали в прошлой статье и подробно останавливаться на них не будем. Вместо этого рассмотрим новую систему часовых зон, которая начнет действовать с конца октября.\nНа текущий момент в России существует 9 часовых зон и режим \u0026quot;вечного лета\u0026quot;, который дает лишний час к поясному времени. В результате установления этой системы, которая начала действовать с 2011 года, многие регионы стали жить не на один, а на два часа \u0026quot;вперед\u0026quot; географического времени. О последствиях этого необдуманного шага рассказывать не требуется, каждый на себе прочувствовал все \u0026quot;прелести\u0026quot; новой системы, особенно в зимнее время, когда светало только к полудню.\nНовая система предусматривает возвращение к 11 часовым поясам и переход к зимнему времени, что делает показания часов гораздо ближе к времени географического часового пояса. Более подробную информацию о новых часовых поясах и их соответствии старым можно получить из таблицы, исходные данные для которой мы взяли с сайта Microsoft.\nИсходя из сути внесенных изменений, становится понятно, что автоматически перейти на новую систему часовых поясов во всех регионах не получится. Рассмотрим этот момент подробнее:\nРеспублика Удмуртия и Самарская область должны вручную перевести время в RTZ 3 (автоматически перейдут в RTZ 2). Кемеровская область - вручную перейти в RTZ 6 (автоматически перейдут в RTZ 5). Забайкальский край - вручную перейти в RTZ 7 (автоматически перейдут в RTZ 8). Магаданская область - вручную перейти в RTZ 9 (автоматический переход не происходит). Чукотский АО и Камчатский край - вручную перейти в RTZ 11. Республика Саха (Якутия) (Абыйский, Аллаиховский, Верхнеколымский, Момский, Нижнеколымский и Среднеколымский улусы (районы), Сахалинская область (Северо-Курильский район) - вручную перейти в RTZ 10. Таким образом для Удмуртии, Самарской и Кемеровской областей, Чукотки и Камчатки стрелки часов не переводятся. Забайкальский край и Магаданская область переводят на два часа назад, остальные регионы на час назад.\nWindows Vista - 8.1 (Server 2008 - 2012 R2) Для всех современных ОС Microsoft выпустила обновление KB2998527, которое также доступно через Windows Update. Поэтому если вы регулярно обновляете систему - никаких дополнительных действий предпринимать не нужно. Для пользователей вышеуказанных регионов и Калининградской области потребуется выбрать новый часовой пояс вручную.\nС необходимостью ручных настроек связано основное неудобство этого обновления, однако этот процесс несложно автоматизировать. Настройки текущего часового пояса хранятся в ветви реестра:\n1HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TimeZoneInformation Настроив правильные значения и экспортировав раздел на одном из ПК, вы можете распространить изменения на остальной парк машин, как вручную, так и через GPO. Изменения вступят в силу после перезагрузки системы.\nИнформация Это важно! Формат данной ветви реестра у всего семейства Windows Vista - 8.1 (Server 2008 - 2012 R2) совпадает, вне зависимости от разрядности, поэтому вы можете использовать один и тот же файл для всех указанных вариантов систем.\nWindows Server 2003 Для данной системы также выпущено обновление KB2998527, однако оно имеет ряд особенностей. Во-первых часовые пояса в среде данной ОС автоматически изменены не будут и это нужно делать вручную. Данная проблема признана официально и шагов для ее исправления Microsoft предпринимать не намерена. Для автоматизации этого процесса мы также советуем использовать метод с экспортом - импортом ветви реестра.\nВо-вторых, при ручной установке данного пакета мы столкнулись с ошибкой: Однако это не влияет на добавление новых часовых поясов и установку можно считать успешной, все равно нужный пояс придется выбирать вручную.\nТакже была замечена одна особенность, если до установки предыдущего обновления KB2570791, учитывавшего отмену \u0026quot;зимнего времени\u0026quot;, вы самостоятельно корректировали настройки часовых поясов и сняли галочку \u0026quot;Автоматический переход на летнее время и обратно\u0026quot;, то после установки данного обновления эта опция включена не будет и следовательно 26 октября часы не переведутся, поэтому, при необходимости, следует установить ее вручную.\nWindows XP Поддержка Windows XP завершилась 8 апреля 2014 г, поэтому никаких обновлений для данной ОС выпущено не будет. Однако пользователи, особенно в небольших организациях, не спешат расставаться с этой системой. По нашим данным доля XP в третьем квартале 2014 года составляет 15-25% и изменение часовых поясов представляет для этих пользователей серьезную проблему.\nОднако не все так плохо. KB2570791 выпущен для Windows Server 2003 и Windows ХР Embedded, если последнюю еще нужно поискать, то Server 2003 вполне доступен. Информация о часовых поясах хранится в ветви реестра:\n1HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Time Zones Структура этого раздела у Windows XP и Windows Server 2003 совпадает. Что дает возможность, обновив серверную ОС, экспортировать указанный раздел реестра и импортировать его в Windows XP. Нужный часовой пояс также придется выбрать вручную или воспользоваться экспортом - импортом раздела реестра:\n1HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TimeZoneInformation Его структура у Windows XP и Server 2003 совпадает. Ниже мы разместили готовые файлы реестра для новых часовых поясов и настройки для зоны RTZ2.\nСкачать Новые часовые пояса: Time Zones.reg\nНастройки для RTZ2: TimeZoneInformation RTZ2.reg\nДанные файлы следует импортировать последовательно, сначала данные о новых часовых поясах (перезагрузка не требуется), затем настройка для часового пояса (применяется после перезагрузки).\nExchange и Outlook Действия по корректировке событий и календарей потребуются только пользователям Outlook 2007.\nExchange 2003 и Outlook 2003 не поддерживаются.\nUbuntu / Debian В Linux системах за обновление часовых зон отвечает пакет tzdata. Нужные изменения содержит версия Time Zone Data v. 2014h. На момент написания этой статьи (за две недели до перевода времени) данный пакет доступен только для Debian Jessie (8.0 beta). Поэтому есть два варианта:\nОжидать выпуска обновленного пакета для вашего дистрибутива Обновить пакет вручную Узнать, требуется ли обновление tzdata можно командой:\n1dpkg -l | grep tzdata В нашем случае видим, что установлен пакет 2014e. Если вы решили установить пакет вручную, то перейдите в домашний каталог и скачайте пакет из репозитория Debian, затем установите его:\n1cd ~ 2wget \u0026#34;http://ftp.debian.org/debian/pool/main/t/tzdata/tzdata_2014h-2_all.deb\u0026#34; 3dpkg -i tzdata_2014h-2_all.deb Информация Если ссылка недействительна (изменилась версия пакета), можно всегда скачать его по адресу: https://packages.debian.org/jessie/tzdata\nПосле чего укажите нужный часовой пояс:\n1dpkg-reconfigure tzdata Соответствие новых часовых поясов отображаемым именам tzdata представлено в таблице ниже:\nЧтобы увидеть внесенные изменения, выполним команду:\n1zdump -v /etc/localtime | grep 2014 Вывод покажет перевод часов для выбранного часового пояса на дату 26 октября (если он будет производиться). Параметр gmtoff позволяет определить разницу с GMT в секундах, как видим, до 26 октября она составляла 14400 (4 часа), после 26 октября - 10800 (3 часа), изменение - 3600 сек (1 час) назад. Данные действия применимы для любого базирующегося на Debian дистрибутива, вне зависимости от разрядности.\n","id":"93782d3b71e0a88911a3aa8f893560cc","link":"https://interface31.ru/post/perevod-chasov-v-rf-26-oktyabrya-2014-goda---problemy-i-resheniya/","section":"post","tags":["Debian","Exchange","Outlook","Ubuntu","Windows 7","Windows 8","Windows Server","Windows XP","Перевод времени"],"title":"Перевод часов в РФ 26 октября 2014 года - проблемы и решения"},{"body":"Каждый, кто занимался установкой Windows, знаком с проблемой устаревания дистрибутива с которого производится установка. Это приводит к тому, что свежеустановленная система первое время занимается только тем, что качает и устанавливает обновления. На не самых мощных ПК это приводит к тому, что пользователи вынуждены ждать окончания этого процесса от 5-10 минут до получаса. Сборка своего дистрибутива с интегрированными обновлениями - процесс непростой и трудоемкий, но есть способ лучше - воспользоваться штатным инструментом Media Creation Tool.\nС выходом Windows 8 и развитием каналов электронной дистрибуции Microsoft стала отходить от требования обязательного наличия лицензионного носителя. Теперь вы можете просто купить ключ в электронной форме и установить Windows с любого доступного образа не нарушая Лицензионного соглашения.\nМало того, Microsoft повернулась лицом к пользователям и признала тот факт, что оптический привод сегодня - устройство практически вымирающее и добросовестному пользователю надо дать какие-то легальные инструменты для создания установочного носителя на USB-дисках. В итоге появился Media Creation Tool, который не только позволяет создать загрузочную флешку, но и получить при этом самую свежую сборку OC, которую можно сохранить в виде ISO-образа.\nСкачать Media Creation Tool можно со следующей страницы.\nСкачать Скачать Media Creation Tool\nРабота с утилитой предельно проста. Сначала выбираем язык, версию и разрядность дистрибутива: Затем выбираем, каким образом мы хотим его сохранить: в виде установочной флешки или ISO-образа. После чего остается только дождаться окончания скачивания. При этом Microsoft не накладывает никаких ограничений на доступность образов. Вы можете скачать любую версию на любом языке вне зависимости от наличия у вас лицензии. Поэтому мы рекомендуем пользоваться именно этой утилитой для получения оригинальных дистрибутивов, вместо непроверенных источников и различных \u0026quot;авторских\u0026quot; сборок.\n","id":"9818c4f9afb043bced8cb9f2a37d2826","link":"https://interface31.ru/post/adminu-na-zametku-13-kak-bystro-poluchit-poslednyuyu-sborku-windows-81/","section":"post","tags":["Windows 8","Развертывание"],"title":"Админу на заметку -13. Как быстро получить последнюю сборку Windows 8.1"},{"body":"Архиваторы, несмотря на рост объемов хранилищ и всеобщим стремлением в \u0026quot;облака\u0026quot;, продолжают оставаться предметом первой необходимости для многих администраторов. На платформе Linux интерес, в первую очередь, представляют консольные архиваторы, которые часто используются в автоматическом режиме для регламентых задач. Мы, в своей тестовой лаборатории, провели сравнение самых известных из них, а также оценили их пригодность для различных вариантов использования.\nВ большинстве случаев цель использования архиваторов в современных серверных системах, вне зависимости от платформы, это создание резервных копий. Что касается платформы Linux, то здесь имеется ряд особенностей, которые следует учитывать при проведении тестирования и интерпретации результатов.\nОсновной характер применения Linux серверов - это хостинг, почта, различные веб-приложения и т.д., очень часто такие сервера выполняются в виртуальной среде с очень ограниченными ресурсами, а резервные копии следует передавать в хранилище через интернет. При этом возникают прямо противоположные требования, особенно для систем, работающих в круглосуточном режиме, ограниченные ресурсы требуют от архиватора низкой нагрузки на систему, а передача архивов по сети интернет, особенно в условиях оплаты трафика, высокой степени сжатия.\nНесколько проще обстоят дела с корпоративными системами, особенно расположенными внутри периметра, так для почтового сервера предприятия вполне допустимо значительное снижение производительности в ночные часы, а с сервер 1С во внерабочее время вообще может предоставить архиватору 100% вычислительных ресурсов, зато существенный объем информации требует максимальной степени сжатия, так как хранилище \u0026quot;не резиновое\u0026quot;, а финансирование инфраструктуры резервного копирования обычно проводится крайне неохотно. Также корпоративные системы крайне редко работают в условиях жестко ограниченных ресурсов, в то время как для VPS 512 Мб оперативки и одно виртуальное ядро - суровая норма жизни.\nЕще одно, накладываемое платформой требование, это кроссплатформенная поддержка формата. Резервная копия может потребоваться в любой ситуации и крайне желательно, чтобы архив можно было успешно распаковать штатными средствами на любой платформе.\nКак мы тестировали Для тестов мы использовали виртуальную машину на базе VMWare Workstation, которой выделили два ядра хостового i5-4670 и 2 Гб оперативной памяти, куда установили Ubuntu Server 14.04. Для контороля совместимости использовались еще две виртуальные машины: Windows 8.1 с установленными WinRAR и 7-Zip и Ubuntu 14.04 с набором пакетов архиваторов аналогичным тестовой системе.\nУчитывая характер использования, мы подготовили наборы данных наиболее соответствующие задаче \u0026quot;веб-сервер\u0026quot;.\nНабор db - дампы MySQL баз общим объемом 1 ГБ. Набор media - изображения форматов JPG и PNG объемом 220 Мб Набор txt - текстовые файлы логов, PHP-скрипты и т.п. общим объемом 417 Мб Набор www - смешанное содержимое, для которого мы взяли несколько реальных веб-сайтов, т.е. скрипты, графика, архивы, логи. Т.е. именно то, что реально приходится архивировать на веб-сервере. В тестах приняли участие следующие архиваторы:\ngzip (GNU ZIP) 1.6 - открытый аналог архиватора ZIP, использующий аналогичный алгоритм. Во многих Linux-системах стандарт архиватора де-факто. Широко используется для сжатия трафика и поддерживается всеми современными браузерами. Входит в базовую поставку Ubuntu. bzip2 1.0.6 - еще один популярный свободный архиватор, который использует оригинальный алгоритм. Отличается более высокой степенью сжатия, чем традиционные gzip и ZIP, но проигрывает им в скорости. Входит в поставку многих Linux систем по-умолчанию, в т.ч. и в Ubuntu. ZIP 3.0 - прародитель многих современных архиваторов, стандарт архива де-факто, распаковка поддерживается из-коробки подавляющим большинством систем. Сам архиватор в Ubuntu устанавливается одноименным пакетом. RAR 4.2.0 - коммерческий архиватор, использующий закрытый алгоритм, очень популярен на платформе Windows среди пользователей России и стран бывшего СССР. На плафторме Linuх особого распространения не получил, в Ubuntu пакет rar следует установить отдельно. 7-Zip 9.20.1 - популярный открытый архиватор с высокой степенью сжатия. Использует алгоритм LZMA, в Ubuntu требуется установка пакета p7zip-full. Lzip 1.14 - свободный архиватор на основе алгоритма LZMA, по заявлению разработчиков \u0026quot;распаковывает почти так же быстро, как gzip и сжимает лучше, чем bzip2\u0026quot;, в Ubuntu устанавливается пакетом lzip. LZMA - реализация одноименного алгоритма, по умолчанию в Ubuntu поддержка данного формата осуществляется пакетом xz-utils, который входит в поставку. XZ 5.1.1- архиватор на основе алгоритма LZMA2, архиватор по умолчанию в BSD, поддерживается в Ubuntu пакетом xz-utils, входящим в базовую поставку. Lzop 1.03 - свободный архиватор, использующий алгоритм LZO, во главу угла поставлена скорость работы, в ущерб степени сжатия. Требует установки пакета lzop в Ubuntu. С учетом того, что многие консольные архиваторы не умеют сжимать несколько файлов, то мы их использовали совместно с утилитой tar, которая предварительно упаковывает файлы в единый контейнер.\nВремя выполнения задачи мы засекали при помощи утилиты time, результат представляет среднюю трех измерений, округленную до целых секунд. Все архиваторы использовались с настройками по умолчанию.\nЗатем мы провели измерения нагрузки на процессор и загрузки ОЗУ, для этого мы последовательно уменьшали ОЗУ системы до 1ГБ и 512 Мб и повторили тесты на архивацию. Для изучения масштабируемости в многоядерных системах мы в одном из тестов увеличили количество ядер до 4. Для фиксации результатов использовалась утилита htop.\nСкорость архивирования Безусловный лидер теста - lzop, который показывает предельно низкое время на всех наборах данных. За ним идут ZIP и gzip, обеспечивая на общем фоне также очень неплохой результат. За ними следом идут bzip2 и RAR, которые справились с задачей за большее время, но гораздо лучше оставшихся участников. Если на базах данных и графике оба архиватора идут рядом, то на текстовом и смешанном содержимом RAR выходит вперед.\nВсе оставшиеся архиваторы используют алгоритм LZMA, который отличается существенно большим временем сжатия. На таких наборах, как базы данных, скорость отличается в разы. Выделить из этой группы можно только 7-Zip, который показывает лучшие результаты в группе, приближаясь на всех наборах, кроме баз данных, к RAR и bzip2.\nСтепень сжатия Лучший результат в этом тесте принадлежит LZMA-архиваторам, на таких наборах данных как текст и базы данных они опережают ZIP и gzip практически вдвое, здесь к ним вплотную подходят RAR и bzip2. На остальных задачах разрыв не столь велик, но и здесь алгоритм LZMA уверенно держит лидерство, а остальные архиваторы идут вровень. Исключение - lzop, он показал самые худшие результаты, существенно уступая остальным участникам.\nВ общем прослеживается прямая зависимость время архивации - степень сжатия. Если вы готовы подождать ради результата - ваш выбор однозначно за LZMA-архиваторами, если важна скорость - используйте lzop, остальные участники представляют разумный баланс между сжатием и скоростью работы.\nСкорость разархивирования Явных лидеров в этом тесте нет, практически все архиваторы укладываются в разумное время, архиваторы на базе LZMA - немного медленнее. Хуже всего дела с распаковкой обстоят у bzip2, а также 7-Zip показал неожиданный провал на распаковке графики и на смешанном содержимом (по причине значительной доли графики в составе).\nРейтинг эффективности алгоритмов Чтобы привести результаты к некому общему знаменателю, мы на основании полученных данных рассчитали рейтинг эффективности. За основу мы взяли рейтинг ixbt.com, который рассчитывается следующим образом: R = (сумма времени архивирования и распаковки * суммарный объем архивов) / 1000. Чем меньше значение рейтинга, тем лучше. Самыми эффективными оказались алгоритмы на основе старого доброго zip, собственно сам ZIP и gzip - стандарт де-факто в Linux системах. А также, возможно для многих неожиданно, Lzop, показавший в абсолютных значениях лучшую эффективность. Но если разобраться, то все закономерно. Возьмем смешанное содержимое: Lzop сжал набор данных до 77% за 13 секунд, gzip до 70% за 24 с, а LZMA-алгоритмы затратили около 2,5 минут, обеспечив степень сжатия в 65%. А теперь сравним 13 и 150 секунд затраченного времени с 77% и 65% полученного результата.\nСредние места заняли RAR и bzip2, а вот 7-Zip и остальные LZMA-архиваторы катастрофически проигрывают в скорости работы и могут быть рекомендованы только как нишевые решения, когда требуется максимально высокая степень сжатия, а затраченное на это время не имеет никакого значения.\nДля итоговой оценки мы решили ввести свой рейтинг, оценив каждый из архиваторов по 5-бальной системе, по принципу меньше-лучше: gzip, ZIP и Lzop - 1 балл, RAR - 2 балла, bzip2 - 3, 7-Zip - 4, остальные - 5 баллов.\nСовместимость Еще один важный аспект, так как распаковать архив может потребоваться в любое время и на любой системе. И времени или возможности искать подходящий разархиватор может не быть.\nНа платформе Windows мы использовали WinRAR и 7-Zip, хотя можно обойтись чем-то одним. WinRAR прекрасно понимает и открывает все форматы кроме Lzip, LZMA и Lzop. LZMA можно открыть принудительно и извлечь из него tar-контейнер. 7-Zip работает несколько хуже, извлекая большинство Linux-форматов в два приема, сначала распаковывая tar-контейнер, а затем его содержимое.\nТаким образом все архиваторы кроме Lzip, LZMA и Lzop, получают 1 балл, LZMA - 3, остальные - 5.\nВ Linuх системах ситуация лучше, при наличии всех необходимых пакетов нормально извлекаются все архивы, на чистой системе не поддерживаются RAR, 7-Zip, LZip - пакеты для них находятся и устанавливаются автоматически, и Lzop, с которым возникают проблемы, вместо установки одноименного пакета система предлагает установить архиватор для Xfce.\nПо итогам: RAR, 7-Zip, LZip - 2 балла, Lzop - 4, остальные - 1.\nРесурсоемкость Хорошая скорость работы, высокая степень сжатия и т.п. отходят на второй план перед потреблением архиватором процессорных ресурсов и оперативной памяти. Если ваш сайт во время создания резервной копии будет недоступен, то вряд-ли вы будете в восторге от такого решения. А на недорогих VPS исчерпание оперативной памяти может не только загнать систему в своп, но и привести к аварийной перезагрузке.\nПервоначальные замеры мы делали на двухядерной системе с 2 Гб оперативной памяти, затем уменьшали память до 1 Гб и 512 МБ и добавляли еще два ядра. Никаких задач система в этот момент не выполняла. Вот типичное потребление ресурсов в режиме простоя: gzip Основным достоинством этого архиватора, кроме отличной эффективности, является крайне малое потребление памяти, мы затрудняемся дать точную оценку, что-то вроде 2-3 МБ, нагрузка на процессор выражается в полной загрузке одного ядра. При увеличении количества ядер масштабирования не происходит. bzip2 Также грузит только одно ядро и не масштабируется, потребность в памяти немного более велика и составляет около 8 МБ. ZIP Потребление процессорных ресурсов ничем не отличается от своих предшественников, а вот оперативной памяти ему требуется гораздо больше, около 40 МБ. Если учесть что его эффективность ничем не отличается от gzip, то применение ZIP в консольном варианте теряет всякий смысл. RAR А здесь ситуация принципиально иная, RAR отлично использует все имеющиеся вычислительные ресурсы: Отлично масштабируется: В каких-то ситуациях это хорошо, но в нагруженных системах с ограниченными ресурсами это может привести к отказу в обслуживании. Да и оперативной памяти ему требуется целых 100 МБ, по меркам недорогих VPS - недопустимая роскошь.\nЕсть у RAR и еще один недостаток - он платный. Однако, справедливости ради, следует отметить, что никаких ограничений на консольную версию архиватора не налагается, даже после истечения ознакомительного периода.\n7-Zip Как и все LZMA-архиваторы, вызывает противоречивые чувства. С одной стороны, отличная степень сжатия, но какой ценой. 220-250 МБ памяти вне зависимости от характера сжимаемых данных - это откровенный перебор. Использование процессора в большинстве случаев ограничивается 1,5 ядрами, поэтому никакого прироста производительности в многоядерных системах вы не получите. А вот эта картина заставит многих схватиться за сердце: Владельцы недорогих VPS сразу могут вешать табличку \u0026quot;Сайт закрыт, все ушли архивировать данные\u0026quot;.\nLzip Здесь снова привычная для Linux-архиваторов картина: 1 ядро и никакого масштабирования. Потребность в ОЗУ выше средней - 90 МБ. LZMA и XZ Так как оба эти формата поддерживаются одним пакетом, то мы объединили их в один пункт. Как и в других тестах, LZMA-архиваторы очень похожи друг на друга, та же самая нагрузка на процессор и потребность в 90-100 МБ ОЗУ. Lzop Разработчики Lzop хорошо поработали над использованием ресурсов. Архиватор хорошо масштабируется, но не старается полностью утилизировать свободные процессорные ресурсы, нагрузку можно назвать скорее средней и ниже среднего: Точную оценку используемой памяти мы дать затрудняемся, что-то около 2,5 МБ. Итоги Как видим, разные архиваторы предполагают различный подход к использованию ресурсов сервера. Явные лидеры здесь, это традиционные gzip и bzip2, а также Lzop. Остальные архиваторы явно рассчитаны на иное применение: RAR явно стремится использовать все доступные процессорные ресурсы, LZMA-архиваторы требовательны к памяти. Также большинство архиваторов используют только одно процессорное ядро, а, следовательно вы не получите никаких преимуществ на многоядерных системах.\nПо итогам данного теста мы решили присвоить оценки в двух категориях: нагрузка на ЦП и потребление ОЗУ.\nНагрузка на ЦП: RAR - 5 баллов, 7-Zip - 3 балла, остальные - 1 балл. Потребление ОЗУ: 7-Zip - 5 баллов, Lzip, LZMA, RAR и XZ - 4 балла, ZIP - 3 балла, bzip2 -2 балла, остальные - 1 балл.\nОбщая оценка и выводы Разрабатывая систему формирования общей оценки, мы старались учесть не только технические аспекты, которые безусловно важны, но и пользовательские характеристики, такие как поддержка форматов на разных ОС. Ведь недостаточно быстро и эффективно сжать архив, желательно не создавая сильной нагрузки на сервер, надо еще подумать, как его извлекать. А если для извлечения пользователю или администратору придется искать инструмент, а затем учиться его использовать, то это перечеркнет все плюсы данного архиватора, особенно в условиях сбоя, когда каждая минута на счету. В общем никакой неожиданности не произошло. Наиболее подходящими для консольного архивирования оказались используемые в Linux-системах по умолчанию gzip и bzip2. Также в этот список попал ZIP, который, несмотря на относительно высокое потребление памяти, поддерживается буквально везде \u0026quot;из-коробки\u0026quot;.\nLzop, хоть и показал отличную эффективность и нетребовательность к ресурсам, страдает от плохой поддержки данного формата даже в Linux, не говоря уже о Windows системах.\nОстальные архиваторы, несмотря на все их преимущества основательно проигрывают либо в эффективности, либо в потреблении ресурсов, а некоторые и в том и в другом.\n","id":"8f3242f0ee6b2297f2ef7c725c8e7a07","link":"https://interface31.ru/post/test-proizvoditelnosti-konsolnyh-arhivatorov-v-linux/","section":"post","tags":["Linux","Архивация","Производительность"],"title":"Тест производительности консольных архиваторов в Linux"},{"body":"Протокол HTTP, широко применяемый в сети интернет, на сегодняшний день безопасным считаться не может. Данные, передаваемые в открытом виде, могут стать легкой добычей злоумышленников, особенно в открытых Wi-Fi сетях, поэтому все большее количество сайтов использует для защиты передаваемых данных протокол HTTPS, поддерживающий шифрование данных при помощи SSL (TLS). Сегодня мы рассмотрим, как добавить поддержку SSL веб-серверу на базе lighttpd.\nСразу внесем небольшую ясность, от чего защищает протокол HTTPS, а от чего нет. Во-первых, работа сайта через защищенное соединение никоим образом не говорит о том, что ему можно доверять. Приобрести сертификат, в т.ч. бесплатно, может любой желающий.\nВо-вторых, данные защищаются только на участке передачи между пользователем и сайтом, а как их будет использовать владелец и насколько безопасно они хранятся - вопрос абсолютно иного характера. Поэтому не следует вводить на сайтах, которым вы не доверяете или не имеете достаточных оснований доверять, свои персональные и, тем более, финансовые данные.\nВ тоже время работа сайта через защищенный протокол гарантирует, что ваш пароль от почтового ящика, личного кабинета или учетной записи на популярном ресурсе не станут известны любому желающему, когда вы сидите с планшетом в кафе. Также это означает, что вся передаваемая в процессе соединения информация будет зашифрована и недоступна третьим лицам, т.е. HTTPS-трафик невозможно анализировать и фильтровать на промежуточных узлах, например, на шлюзе организации.\nТакже, в процессе настройки SSL для своего сервера вы столкнетесь с рядом ограничений. Основное из них: это возможность иметь на одном IP-адресе только один защищенный хост (сайт). Это ограничение связано с архитектурными особенностями защищенных протоколов и может быть обойдено несколькими способами.\nПервый и самый проcтой способ - приобрести необходимое число дополнительных IP-адресов. В настоящее время не всегда может быть доступен ввиду дефицита адресов IPv4. Второй способ - это покупка мультидоменного сертификата. К недостаткам данного способа относится его высокая стоимость и необходимость при добавлении нового домена перевыпускать сертификат. Третий способ - использование технологии SNI (Server Name Indication), которая позволяет размещать на одном IP-адресе произвольное количество защищенных хостов. Несмотря на то, что почти все современные веб-сервера поддерживают эту технологию, существенным ограничением является отсутствие ее поддержки во всех версиях Internet Explorer работающих в Windows XP. Однако, в большинстве случаев, защитить требуется один единственный сайт или его часть (админ-панель, личный кабинет и т.п.), в данной статье мы рассмотрим именно такую ситуацию. Для этих целей отлично подойдет бесплатный сертификат от StartSSL, либо от любого другого центра сертификации.\nТакже подразумевается, что у вас уже есть развернутый согласно нашим рекомендациям веб-сервер с поддержкой виртуальных хостов.\nПрежде всего вам следует получить сертификат для вашего домена и поддомена www. В противном случае при заходе через www.example.com пользователи будут получать ошибку проверки подлинности.\nПовысим права до уровня суперпользователя:\n1sudo -s и создадим директорию для хранения сертификатов:\n1mkdir /etc/lighttpd/ssl Теперь скопируем в нее полученный сертификат и закрытый ключ. Так как закрытый ключ поставляется в зашифрованном виде, его потребуется расшифровать. Перейдем в каталог с сертификатами:\n1cd /etc/lighttpd/ssl и выполним команду:\n1openssl rsa -in private.key -out private-dec.key Где private.key - ваш закрытый ключ. Затем объединим ключ и сертификат в один PEM-файл:\n1cat private-dec.key host.crt \u0026gt; host.pem В нашем случае host.crt - имя сертификата. После чего исходные файлы следует удалить, расшифрованный ключ удалить нужно обязательно.\nУстановим необходимые права доступа:\n1chown root:root host.pem 2chmod 400 host.pem Затем перейдем в /etc/lighttpd/conf-available и откроем файл 10-ssl.conf, который содержит готовую заготовку для включения HTTPS-сервера. Приведем его содержимое к следующему виду:\n1$SERVER[\u0026#34;socket\u0026#34;] == \u0026#34;0.0.0.0:443\u0026#34; { 2 ssl.engine = \u0026#34;enable\u0026#34; 3 ssl.pemfile = \u0026#34;/etc/lighttpd/ssl/host.pem\u0026#34; 4 server.document-root = \u0026#34;/var/www/example.com\u0026#34; 5 server.name = \u0026#34;example.com\u0026#34; 6 server.errorlog = \u0026#34;/var/log/lighttpd/example.com-ssl-error.log\u0026#34; 7 accesslog.filename = \u0026#34;/var/log/lighttpd/example.com-ssl-access.log\u0026#34; 8} Чтобы включить поддержку SSL нужно сделать символьную ссылку с этого файла в каталог /etc/lighttpd/conf-enabled:\n1ln -s /etc/lighttpd/conf-available/10-ssl.conf /etc/lighttpd/conf-enabled Перезапустим веб-сервер:\n1service lighttpd restart Допустим, на нашем сервере работает некоторый сайт, который доступен по HTTP, если теперь мы наберем в начале адресной строки HTTPS, то сайт должен открыться с использованием защищенного протокола, однако вы можете столкнуться с предупреждением безопасности браузера о том, что подлинность сертификата не может быть проверена. Дальнейшие действия заключаются в добавлении серверу цепочки необходимых сертификатов центра сертификации. Несмотря на общий принцип, детали у разных центров сертификации могут различаться и поэтому следует обратиться к документации или в поддержку. В нашем примере будет рассматриваться установка сертификатов для StartSSL.\nПереходим на сайт центра сертификации с скачиваем два сертификата: StartCom Root CA и Class 1 Intermediate Server CA. Также скопируем их в /etc/lighttpd/ssl и объединим в один командой, предварительно перейдя в каталог с сертификатами:\n1cd /etc/lighttpd/ssl 2cat sub.class1.server.ca.pem ca.pem \u0026gt; startssl-ca.crt Исходные файлы также следует удалить. В /etc/lighttpd/conf-available/10-ssl.conf добавим следующую опцию:\n1ssl.ca-file = \u0026#34;/etc/lighttpd/ssl/startssl-ca.crt\u0026#34; Перезапустим веб-сервер и обновим страницу в браузере: Как видим, теперь браузер может проследить всю цепочку сертификатов и сайт открывается без ошибок.\nТеперь осталось решить задачу с перенаправлением всех HTTP-запросов к вашему сайту на HTTPS-версию. Для этого в В /etc/lighttpd/conf-available/10-ssl.conf добавим еще одну секцию:\n1$SERVER[\u0026#34;socket\u0026#34;] == \u0026#34;:80\u0026#34; { 2 $HTTP[\u0026#34;host\u0026#34;] =~ \u0026#34;example.com\u0026#34; { 3 url.redirect = (\u0026#34;^/(.*)\u0026#34; =\u0026gt; \u0026#34;https://example.com/$1\u0026#34;) 4 server.name = \u0026#34;example.com\u0026#34; 5 } 6} В иных случаях нет необходимости защищать весь сайт, кроме некоторых его разделов, например админ-панели или личного кабинета. Допустим, нам надо защитить содержимое каталога /administrator, для этого изменим секцию следующим образом:\n1url.redirect = (\u0026#34;^/administrator/.*\u0026#34; =\u0026gt; \u0026#34;https://example.com$0\u0026#34;) Еще одна распространенная задача - защита панелей управления хостингом, сервером и т.п., например phpMyAdmin. Особенность их использования такова, что они доступны для любого виртуального хоста сервера и даже по IP-адресу. Т.е. адреса example.com/phpmyadmin и example.org/phpmyadmin, и даже xxx.xxx.xxx.xxx/phpmyadmin будут работать одинаково. В этом случае нам надо перенаправить запрос к каталогу /phpmyadmin любого хоста на хост example.com/phpmyadmin. Для этого приведите секцию к следующему виду:\n1$HTTP[\u0026#34;url\u0026#34;] =~ \u0026#34;^/phpmyadmin\u0026#34; { 2 url.redirect = ( \u0026#34;^/(.*)\u0026#34; =\u0026gt; \u0026#34;https://example.com/$1\u0026#34; ) 3 server.name = \u0026#34;example.com\u0026#34; 4 } После чего запрос к любому хосту содержащий в адресе /phpmyadmin будет перенаправлен на https://example.com/phpmyadmin.\nПри необходимости можно сочетать несколько правил в пределах секции, например конструкция:\n1$SERVER[\u0026#34;socket\u0026#34;] == \u0026#34;:80\u0026#34; { 2 $HTTP[\u0026#34;host\u0026#34;] =~ \u0026#34;example.com\u0026#34; { 3 url.redirect = (\u0026#34;^/administrator/.*\u0026#34; =\u0026gt; \u0026#34;https://example.com$0\u0026#34;) 4 server.name = \u0026#34;example.com\u0026#34; 5 } 6 $HTTP[\u0026#34;url\u0026#34;] =~ \u0026#34;^/phpmyadmin\u0026#34; { 7 url.redirect = ( \u0026#34;^/(.*)\u0026#34; =\u0026gt; \u0026#34;https://example.com/$1\u0026#34; ) 8 server.name = \u0026#34;example.com\u0026#34; 9 } 10} Будет сочетать в себе два вышеописанных случая: редирект на защищенное соединение админки сайта example.com и панели phpMyAdmin вне зависимости от хоста. Также следует изучить документацию на используемый движок, многие из них имеют встроенные механизмы для переключения на защищенное соединение для авторизации или админ-панели.\n","id":"c8d5f89f47edfe8eef19628d7f59e6a4","link":"https://interface31.ru/post/veb-server-lighttpd-vklyuchaem-podderzhku-ssl/","section":"post","tags":["lighttpd","SSL","Ubuntu Server","Web-сервер","Безопасность"],"title":"Веб-сервер Lighttpd - включаем поддержку SSL"},{"body":"Как показывает читательский отклик, интерес к решениям на базе Linux весьма и весьма велик, в тоже время уровень подготовки администраторов в этой области оставляет желать лучшего. Свидетельство тому, бесконечно повторяющиеся простейшие вопросы в комментариях. Во многом, это следствие того, что наши инструкции можно выполнить \u0026quot;дословно\u0026quot; и получить работающий, результат. Но есть и обратная сторона медали, такой подход не предусматривает появлению системных знаний, оставляя знание предмета на фрагментарном уровне.\nДа, кроме практических материалов, мы всегда стараемся публиковать обзоры, посвященные какой-либо технологии в целом, или делаем обширные теоретические отступления, для того, чтобы читатель имел необходимый минимум знаний. Однако все они подразумевают, что читатель обладает базовыми знаниями системы в которой работает.\nА как быть с теми, кто только делает свои первые шаги? К сожалению, в IT-сообществе существует некоторый снобизм, мол, чего об этом говорить, это и так все знают, или \u0026quot;гугл в помощь\u0026quot;, забывая, что каждый из нас когда-то был новичком и с мистическим ужасом смотрел в черный экран Linux-консоли, абсолютно не понимая, куда он попал и что ему делать.\nВ итоге новичок, столкнувшись с первыми трудностями, вынужден идти искать знания в другом месте и хорошо если такое место удастся быстро найти. Поэтому мы решили выпустить небольшой цикл материалов, в котором на доступном уровне изложить основы администрирования Linux систем, буквально объясняя на пальцах \u0026quot;общеизвестные вещи\u0026quot;, опытные пользователи могут пропустить данный цикл, а могут и прочитать, заодно обновив свои знания.\nИтак, вы решили стать Linux администратором... Немного перефразируем Маяковского \u0026quot;я б в Linux-админы пошел, пусть меня научат\u0026quot;, именно так дело в большинстве случаев и обстоит. Есть необходимость, есть желание, есть базовый набор знаний по работе с Windows системами - все это пригодится при работе с Linux системами. Гораздо хуже если какая-либо составляющая отсутствует, тогда, наверное, стоит задуматься о неправильном выборе профессии.\nСразу о том, что нужно раз и навсегда забыть. Это \u0026quot;религиозные войны\u0026quot; и \u0026quot;религиозный фанатизм\u0026quot;. Одинаково плохо отрицать возможности Linuх-систем, как и превозносить их, стремясь перевести на Linux все что нужно и не нужно. Запомните - операционная система - это инструмент, хороший специалист берет для каждой задачи наиболее подходящий, фанатик будет забивать гвозди микроскопом, потому что взять в руки молоток ему \u0026quot;религия не позволяет\u0026quot;.\nДаже больше, сама по себе операционная система не имеет никакой ценности, это всего лищь среда для запуска и выполнения некоторых служб и сервисов. Без софта система мертва. Возьмем для примера клон BeOS - Haiku, ну поставили, ну посмотрели - прикольно... А дальше что?\nИтак, вы решили стать... Прежде всего будьте готовы воспринимать новое, в частности новый подход к администрированию, постаравшись на время забыть о сложившихся привычках. На долгое время вашим основным инструментом станет консоль. Для привыкшего к графическим инструментам Windows-администратора это может показаться сложным. Но следует твердо усвоить одну истину - консоль является единственным полноценным инструментом администрирования Linux и совсем не означает ограниченность в возможностях или неполноценность системы. Даже наоборот, командная строка позволяет выполнить многие задачи намного быстрее и проще, чем графические инструменты администрирования.\nНо существуют же графические инструменты администрирования, скажет иной читатель, панели там разные, или можно же поставить графическую оболочку. Можно, но не нужно. Почему? Внимательно посмотрите на схему ниже: Linux, создававшийся по образу и подобию UNIX-систем, является полноценной системой и без графической оболочки, более того мы можем запустить, закрыть или вообще сменить графическую оболочку без какого-либо влияния на работоспособность системы и даже без ее перезагрузки. Завершили сеанс Gnome, запустили KDE, а потом и вовсе вышли в консоль. Поэтому все инструменты управления системой разработаны для использования в режиме командной строки. А все панели и графические инструменты являются всего лишь надстройкой над ними.\nWindows долгое время разрабатывался по принципиально иной технологии, графическая оболочка была поставлена в основу системы и долгое время даже выполнялась на уровне ядра (семейство Win 9x). Поэтому все инструменты администрирования были изначально графическими, а инструменты командной строки скорее их дополняли, чем заменяли. Любой, кто занимался восстановлением Windows, знает, что возможности инструментов командной строки там существенно ограничены и предназначены в первую очередь для восстановления системы, а не для ее администрирования.\nСитуация стала меняться с выходом PowerShell и Core-версий Windows Server. Несмотря на то, что сегодня графическая оболочка продолжает играть существенную роль в Windows-системах, администраторы получили в руки альтернативный инструмент - консоль PowerShell, которая позволяет полноценно администрировать Windows в режиме командной строки. При этом возможности PowerShell сразу завоевали популярность в среде специалистов, так как позволяют выполнять многие задачи быстрее и проще, чем графические инструменты.\nА еще режим командной строки дает неограниченные возможности в создании собственных скриптов и сценариев, позволяющих выполнять сложные последовательности действий в автоматическом режиме или по расписанию.\nПосле этого, как нам кажется, вы должны будете посмотреть на консоль Linux совсем с другой стороны. Что касается панелей и графических инструментов, то тут есть существенные отличия от Windows-систем. В Windows графические инструменты являются полноценной альтернативой PowerShell. В Linux графические инструменты являются надстройкой над консолью, по факту используя те-же самые инструменты, но через дополнительную прослойку. Поэтому мы категорически не рекомендуем использовать разного рода панели и иные графические инструменты, по крайней мере до тех пор, пока вы не освоите консоль. После этого вы уже сможете самостоятельно решить, нужна ли вам панель или вы способны сделать все проще и быстрее через консоль.\nУвлечение панелями на раннем этапе знакомства с системой приводит к тому, что навыки администрирования системы будут подменены навыками работы с панелью, что черевато проблемами, когда панель по какой-либо причине окажется недоступной, а работать с системой надо. Это можно сравнить с тем, что человек учившийся вождению автомобиля с механической коробкой без проблем пересядет на автомат, а человек изначально умеющий ездить только на автомате вряд-ли сможет без дополнительного обучения поехать на машине с механикой.\nЕсли вы еще не передумали становиться Linux-администратором, то поедем дальше и рассмотрим отличия в архитектуре системы.\nЯдро и драйвера Основу любой операционной системы составляет ядро. Существует несколько различных архитектур ядра, Linux, как и подавляющее большинство UNIX систем, использует монолитное ядро, Windows наоборот использует концепцию микроядра, хотя по-настоящему архитектура Windows микроядерной не является, принято считать, что Windows использует гибридное ядро.\nОсобенностью монолитного ядра является то, что все драйвера оборудования также являются частью ядра. Ранее, при изменении аппаратной части, ядро надо было пересобирать, сегодня монолитные ядра используют модульную схему, т.е. динамически позволяют загружать необходимые модули, отвечающие за тот или иной функционал. Т.е. добавив в систему новое устройство, мы должны динамически загрузить соответствующий модуль ядра, а если такого модуля нет, то работа с устройством окажется невозможной. В качестве решения мы можем собрать модуль самостоятельно, но при этом модуль будет скомпилирован под текущую версию ядра и при его смене модуль нужно будет перекомпилировать.\nВ микроядерной и гибридной архитектурах, драйвера, хоть могут и работать на уровне ядра, его частью не являются и от версии ядра не зависят. Поэтому мы можем без проблем обновлять ядро или использовать один и тот-же драйвер для всех версий систем с общей структурой ядра. Например, в Windows для всего семейства современных ОС, от Windows Vista до Windows 8.1, часто используется один и тот-же драйвер.\nЭто не значит, что Linux в этом плане хуже, иная архитектура предусматривает иные подходы. Практически это означает только одно - к выбору оборудования для серверов надо относиться более внимательно, стараясь чтобы все основные устройства поддерживались ядром вашего дистрибутива. Особенно это касается сетевых карт. Будет очень неприятно, если после каждого обновления ядра вам придется бегать в серверную, подключать к серверу монитор и клавиатуру и заново собирать модуль ядра.\nПо сути, такого понятия как драйвер, в Linux системах не существует. Оборудование либо поддерживается ядром, либо нет. Несомненный плюс монолитного ядра - оно самодостаточно. Если все оборудование поддерживается - поставил и забыл, самое время вспомнить ситуацию, когда под Windows нет драйвера сетевой карты и диск утерян.\nФайловая система Мы не будем касаться конкретных файловых систем, тут проблем возникнуть не должно, если администратор работал с Windows системами, то что такое файловая система и чем FAT отличается от NTFS он знает, поэтому разобраться в разнице между ext3, ext4 и, скажем, ReiserFS для него особого труда не составит. А поговорим о фундаментальных отличиях. В отличие от Windows, файловая система Linuх иерархична. Она начинается от корня, который обозначается знаком / (слеш), и имеет древовидную структуру. При этом абсолютно не имеет значения, что отдельные части файловой системы могут находиться на других разделах или вообще физических дисках.\nРассмотрим еще одну схему. В Linux подход кардинально иной. Самое время познакомиться с термином точка монтирования, который означает место файловой системы, куда подключается устройство хранения данных. Например, мы хотим вынести домашние каталоги пользователей на отдельный раздел, как на схеме выше, для этого нам нужно смонтировать второй логический раздел первого физического диска sda2 в /home. После чего перенести туда все пользовательские данные. Для системы и программ это произойдет абсолютно прозрачно, они как использовали абсолютный путь, скажем**/home/andrey/data**, так и будут его использовать. Добавили еще один диск и хотим вынести туда директорию /var? Нет проблем, останавливаем использующие каталог службы, монтируем sdb1 в /var и переносим данные, запускаем службы.\nВсё есть файл Еще один основополагающий принцип, который унаследован от UNIX-систем. В Linux всё есть файл: устройства, диски, сокеты и т.д., например, открыв /var/run мы увидим pid-файлы, соответствующие каждой запущенной службе в системе, а в /dev файлы каждого подключенного к системе устройства: Что это дает? Не будем вдаваться в подробности, а разберем несколько простых примеров. Скажем, нужно создать образ оптического диска. В Windows нам понадобится для этого специализированное ПО, в Linuх все проще, CD-ROM - это блочное устройство, но в тоже время - это файл, файл блочного устройства. Берем соответствующий инструмент и копируем содержимое файла устройства в файл ISO образа:\n1dd if=/dev/cdrom of=/home/andrey/image.iso Хотим заменить жесткий диск? Нет ничего проще, копируем содержимое одного файла блочного устройства в файл другого блочного устройства:\n1dd if=/dev/sda of=/dev/sdb И не нужно никаких Partition Magic.\nДругая ситуация, какое-либо ПО настоятельно ищет библиотеку lib-2-0-1.so, а у нас есть совместимая с ней, но более новая, lib-2-1-5.so, как быть? Создаем символическую ссылку на lib-2-1-5.so с именем lib-2-0-1.so и все будет работать. Потому что все есть файл и символическая ссылка тоже тип файла. А теперь попробуйте подсунуть Windows приложению lib-2-0-1.lnk вместо lib-2-1-5.dll...\nИли нам нужно сохранить вывод какой-либо команды. Например, команда\n1ifconfig выведет на экран сведения о сетевых адаптерах системы: А теперь вспоминаем, что все есть файл, в том числе и устройство отображения (экран), поэтому просто перенаправим стандартный поток вывода вместо экрана в нужный нам файл:\n1ifconfig \u0026gt; ~/123.txt После чего вывод команды будет сохранен в файл 123.txt в корневой директории пользователя: Потоки и конвейер В прошлом примере мы затронули стандартный поток вывода. В Linux существуют стандартные для всех процессов потоки ввода-вывода данных stdin, stdout и поток вывода ошибок stderr. Что это значит? Как минимум то, что процесс обмена данными между различными процессами стандартизован. Это позволяет создавать конвейеры, когда стандартный поток вывода одной команды передается стандартному потоку ввода другой. Например, мы хотим посмотреть список установленных пакетов в системе, в частности пакеты squid. Для этой цели есть команда:\n1dpkg -l Ээээ... Это что такое и как тут что-то понять? На экране быстро промелькнули сведения о всех установленных в системе пакетах и все что мы можем видеть, это \u0026quot;хвост\u0026quot; этого вывода: Но ведь нам и не нужен весь вывод этой команды, нас интересуют исключительно пакеты squid. Поэтому направим вывод этой команды на ввод другой, которая уже отберет и покажет то, что нам нужно:\n1dpkg -l | grep squid Вот это совсем другое дело!\nПричем конвейер может быть сколь угодно длинным, результат работы одной команды можно передавать второй, от второй к третьей и т.д. Еще один пример из жизни. Вам надо получить все строки вашего конфигурационного файла squid, но без комментариев и пустых строк, чтобы, например, выложить на форуме или отправить другу. Можно конечно скопировать все, но вряд-ли кто-то захочет вам помогать, прокручивая полотно стандартного файла squid.conf, большая часть которого комментарии и примеры. Делаем проще:\n1cat /etc/squid3/squid.conf | grep -v \u0026#39;^#\u0026#39; | sed \u0026#39;/^$/d\u0026#39; \u0026gt; ~/mysquid.conf И вот что у нас получилось: Просто и понятно, все опции как на ладони. Это стало возможным в результате использования конвейера трех команд, первая вывела в поток содержимое файла, вторая отобрала все строки кроме комментариев, а третья удалила пустые, результат мы направили в файл.\nБуквы большие, буквы маленькие Linux, как и UNIX, является регистрозависимой системой. И это надо помнить! Потому что, в отличие от Windows, myfile.txt, Myfile.txt и myfile.TXT - это три разных файла. В целях совместимости с другими системами не стоит этим злоупотреблять и хранить файлы, имя которых отличается только регистром, а хорошим тоном считается использование в именах только строчных букв.\nРасширения и типы файлов В Windows системах тип файла определяется его расширением, если мы переименуем exe-файл в jpg, то он не запустится, и система будет пытаться обработать его как картинку. В Linux тип файла определяется по его содержимому и расширение используется исключительно для совместимости с другими системами или для удобства пользователя. Возможность исполнения файла обеспечивается установкой соответствующего атрибута. Так в Windows чтобы сделать скрипт исполняемым, надо было изменить расширение с txt на bat, в Linux для этого нужно сделать файл исполняемым. Непонимание этого момента приводит к ситуациям, когда начинающий администратор не понимает, почему его скрипт myscript.sh не выполняется. На самом деле расширение .sh нужно только для удобства, чтобы сразу было ясно, это скрипт Bash Shell, а чтобы он работал, ему надо поставить атрибут исполняемого, а называться он может как угодно, хоть myscript.pupkin-vasya.\nСтесняюсь спросить... Позвольте, скажет иной читатель, это ведь сколько всего надо помнить: синтаксис команд, ключи, опции и т.д., и т.п. Тут нужно справочник покупать или всегда интернет под рукой держать... Вовсе нет, достаточно помнить названия команд, это как раз несложно, по сложившимся в UNIX традициям, командам дают короткие и удобные имена. А все остальное можно спросить у системы. Вопреки распространенному мнению, Linux системы прекрасно документированы. Посмотреть синтаксис и ключи любой команды можно запустив ее с ключом --help, а так как описания обычно не помещаются на один экран, то следует перенаправить вывод справки утилите more, которая выведет информацию поэкранно. Допустим, нас интересует команда grep:\n1grep --help | more Более подробную информацию можно получить с помощью команды man:\n1man grep К сожалению, информация на английском, но знание технического английского, хотя бы на уровне \u0026quot;читаю со словарем\u0026quot; необходимое требование к системному администратору. Вам ничего не напоминает последний скриншот? Правильно, OpenNET. Нисколько не умаляя значение этого ресурса, можно сказать, что взяв на вооружение команду man и базовые познания в английском, OpenNET вы будете посещать гораздо реже.\nЗаключение Надеемся, что после прочтения данной статьи начинающие администраторы будут лучше себе представлять устройство Linux-систем и их принципиальные отличия от привычного им Windows. Это позволит в дальнейшем правильно интерпретировать получаемую информацию и складывать из нее целостную картину функционирования системы, которая перестанет быть \u0026quot;черным ящиком\u0026quot;, а команды \u0026quot;китайской грамотой\u0026quot;.\nТакже хотим обратить внимание, что в наших примерах мы использовали только стандартные инструменты, что еще раз показывает все богатство инструментов администрирования, несмотря на то, что они работают только в командной строке. Вернемся к последнему примеру - выводу конфига squid, а теперь подумайте, каким образом это можно было бы сделать при помощи графических инструментов и сколько времени бы это заняло?\nНе нужно бояться командной строки, Linux предоставляет в руки администратора очень мощный набор инструментов, который позволяет успешно решать все возникающие задачи без привлечения сторонних средств. Когда вы освоите хоть часть этих возможностей, то Linuх перестанет казаться вам сложным, а консоль мрачной, наоборот, даже располагая графической оболочкой вы будете запускать терминал, окунаясь в привычную и понятную среду, понимая, что системой управляете именно вы и делаете именно то, что хотите, а не что, что задумали разработчики очередной панели.\n","id":"3be101feac01353f5832c684b098342f","link":"https://interface31.ru/post/linux-nachinayuschim-chast-1-pervoe-znakomstvo/","section":"post","tags":["Linux","Архитектура системы"],"title":"Linux - начинающим. Часть 1. Первое знакомство"},{"body":"В предыдущей части нашего цикла мы разобрали общие принципы работы торгового оборудования, его взаимодействие с ОС и товароучетной системой. Сегодня же мы поговорим об оптимальном выборе оборудования: на что нужно обращать внимание, какие параметры учитывать, на чем можно сэкономить, а на чем наоборот экономить не стоит, а также расскажем о некоторых подводных камнях, ожидающих начинающего автоматизатора.\nРынок торгового оборудования весьма разнообразен, предлагаются модели на любой вкус, цвет и кошелек. Неудивительно запутаться в таком многообразии и задача оптимального выбора для непосвященного человека довольно сложна. Поэтому ниже мы постараемся рассмотреть все основные типы торгового оборудования, их характерные отличия и на что надо обратить внимание при выборе.\nСканер штрих-кода Можно без преувеличения сказать, что от правильного выбора сканера зависит производительность кассы, а, следовательно, и выручка. Мало кому из клиентов понравится стоять в очереди из-за того, что кассир не может оперативно \u0026quot;пробить\u0026quot; покупки. Особенно это актуально для супермаркетов и магазинов с широким ассортиментом.\nПо типу исполнения сканеры делятся на ручные и стационарные, особо заострять внимание на этом не будем, а коснемся другого, менее очевидного момента. Практически все недорогие ручные сканеры являются одноплоскостными, это значит, что для считывания следует совместить плоскость луча и плоскость штрих кода. В многоплоскостных сканерах считывание производится при помещении штрих-кода в область считывания, при этом его расположение относительно сканера не имеет значения. Это достигается за счет создания в сканируемой зоне сетки из множества пересекающихся лучей, для считывания достаточно совмещения штрих-кода с плоскостью одного из лучей. Многоплоскостные сканеры идеально подходят для кассовых узлов в супермаркетах, продовольственной рознице и везде где требуется быстрое и эффективное считывание большого количества штрих-кодов в единицу времени.\nОдноплоскостные ручные сканеры можно использовать в тех случаях когда, количество покупателей невелико или мы имеем дело с тяжелым и/или негабаритным товаром. Так, например, в магазине одежды и обуви предпочтительнее ручной одноплоскостной сканер, так как количество покупателей в единицу времени обычно невелико, а считывать штрих-коды с одежды, особенно зимней, или коробок с обувью удобнее именно ручным сканером.\nТакже существуют варианты совмещения стационарного многоплоскостного и ручного одноплоскостного сканера в одном кассовом узле. Это делается если в ассортименте магазина присутствуют тяжелые или негабаритные товары, например, строительные смеси в мешках по 25 кг, которые затруднительно поднимать на кассу и проносить мимо стационарного сканера. Для этих целей лучше приобрести модель стационарного сканера с дополнительным портом для подключения ручного сканера, например, Honeywell MS7820 \u0026quot;Solaris\u0026quot;, это позволит сократить число занимаемых оборудованием портов, количество проводов и позволит обойтись одним блоком питания, не говоря о более простой настройке рабочего места.\nПри выборе ручного сканера следует также обратить внимание на считывающий элемент, сегодня на рынке представлены более дешевые светодиодные сканеры и более дорогие лазерные. Светодиодные сканеры имеют более низкую производительность и дальность считывания, так для успешного считывания штрих-кода сканер нужно поднести почти вплотную.\nДля автоматизации рабочего места кладовщика или товароведа рекомендуется приобрести хотя бы один беспроводной ручной сканер с памятью. В небольших магазинах он вполне способен выступить недорогой альтернативой терминалу сбора данных. Такой сканер позволяет, открыв табличную часть документа, производить сканирование даже за пределами области приема, а затем, снова попав в радиус действия базы, сбрасывать считанные коды в документ. Это позволяет быстро и удобно провести инвентаризацию в торговом зале, оприходовать тяжелый или крупногабаритный товар без необходимости перемещать его к рабочему месту товароведа.\nВ отдельную группу можно вынести Image-сканеры. Эти сканеры построены по принципу цифровой камеры и могут успешно считывать мелкие и нечеткие штрих-коды, в том числе и под вакуумной пленкой, а также коды с экрана монитора и мобильных устройств. Второе достоинство, вытекающее из технологии работы, не нужно совмещать плоскость кода с плоскостью луча, так как луча здесь нет, достаточно просто \u0026quot;сфотографировать\u0026quot; код. Применение Image-сканеров удобно на кассовых узлах с высокой проходимостью или там, где характер упаковки или нанесения кода затрудняет его считывание обычными сканерами.\nНо довольно существенным сдерживающим фактором применения Image-сканеров является их цена, которая обычно в 1,5-2 раза выше, чем у аналогичных одноплоскостных моделей.\nПри выборе сканера в первую очередь следует обращать внимание на порт подключения и его наличие на ПОС-терминале (с учетом другого подключенного оборудования). Обычно это COM или USB, для USB-сканеров также предварительно уточняйте наличие драйвера для виртуального COM-порта под вашу операционную систему.\nДисплей покупателя Несмотря на то, что кассовый узел полностью работоспособен без этого устройства, его важность трудно переоценить. Дисплей дает возможность покупателю визуально контролировать процесс покупки и промежуточную сумму. При этом сразу снимая ряд вопросов: \u0026quot;а почему так дорого?\u0026quot;, \u0026quot;а я думал там другая цена\u0026quot;, \u0026quot;ой, у меня не хватает денег\u0026quot; и т.п., что в целом повышает степень лояльности покупателя и снижает нагрузку на кассиров, так как гораздо быстрее сделать сторно или отложить лишний товар, чем проводить возврат.\nНикаких особых требований к дисплею не предъявляется, наиболее популярны двухстрочные вакуумно-флуоресцентные модели. Недорогая цена сочетается с хорошей читаемостью при различных условиях освещенности. При выборе дисплея обязательно проверьте его наличие в списке поддерживаемого оборудования, учтите, что для некоторых моделей потребуется приобретение платных драйверов АТОЛ. Неподдерживаемые модели с большой вероятностью работать будут, например, как EPSON-совместимые, но могут некорректно отображать некоторые символы или время от времени приводить к ошибкам программы при пробитии чека.\nВторой важный фактор, как и при выборе любого торгового оборудования, используемые порты. Дисплеи покупателей бывают с COM или USB интерфейсами и внешним питанием, а также с питанием от USB, в этом случае используется Y-кабель и потребуется 2 порта.\nПрограммируемая клавиатура Если мы посмотрим на интерфейс рабочего места кассира, то увидим, во-первых, ограниченное число доступных действий, во-вторых, что все эти действия имеют горячие клавиши. Поэтому вполне логичным будет установить специальную клавиатуру, на которой вместо привычных буквенно-цифровых клавиш будут клавиши с необходимыми действиями. Программируемая клавиатура представляет собой специализированную клавиатуру, где на любую кнопку (группу кнопок) можно назначить любое сочетание клавиш. Раскладка при этом может быть абсолютно произвольной, в зависимости от применяемого ПО для рабочего места кассира, привычек персонала и прочих факторов.\nОтличаются клавиатуры интерфейсом: PS/2 или USB, количеством клавиш и наличием считывателя магнитных карт. Количество клавиш позволяет реализовать различное количество функций, так 40-клавишная Posiflex КВ-4000 обеспечит только базовые потребности, зато позволит эффективно использовать рабочее пространство. Большее число клавиш позволяет вынести на клавиатуру редко используемые, но эпизодически необходимые функции, установить \u0026quot;горячие клавиши\u0026quot; для продаваемых на кассе товаров (пакеты и т.п.) или товаров без ШК на упаковке, быстрый ввод промо-кодов и т.д., и т.п.\nДля кассового узла программируемая клавиатура ничем не отличается от обычной и никаких драйверов не требует. Но для ее программирования вам потребуется специализированное ПО и файл раскладки под вашу товароучетную систему. Поэтому при покупке сразу уточняйте этот вопрос. Например, \u0026quot;Рарус\u0026quot; продает клавиатуры LPOS-064 с комплектами готовых клавиш и раскладкой для Розница 1.0 и 2.0, отсутствие раскладки и клавиш не означают, что данная модель клавиатуры вам не подойдет. Просто вам придется создать раскладку самостоятельно, в специализированном редакторе. А затем распечатать накладки и вложить их внутрь клавиш. Хорошо если клавиатур одна-две, а если десяток? Особое внимание этому вопросу следует уделить при покупке б/у оборудования, перед тем как покупать такие клавиатуры, убедитесь, что ПО для них доступно и работает именно с этой моделью клавиатуры.\nФискальный регистратор / чековый принтер Фискальный регистратор - обязательная часть кассового узла. Перед его выбором следует ознакомиться с Государственным реестром ККТ и убедиться, что понравившаяся модель присутствует в реестре и разрешена для вашего вида деятельности. Для торговых предприятий наибольшей популярностью пользуются модели FPrint от АТОЛ, например, FPRINT-5200. На что обращать внимание при выборе модели регистратора? Начнем с порта подключения, опять-таки это COM или USB, выбор следует делать исходя из количества портов и наличия другого оборудования на данном кассовом узле.\nШирина ленты, используются ленты 80 мм, 57 мм и 44 мм. Чем шире лента, тем больше информации может вместить чек, но тем она и дороже. Связанный с этим параметр - скорость печати, например, для небольшого магазина одежды и обуви скорость печати не критична и можно сэкономить, взяв медленную модель, но не стоит заставлять покупателей продовольственного супермаркета ждать пока распечатается их чек на полсотни позиций. Также обращайте внимание на наличие автоотреза.\nНе лишним будет также позвонить в ЦТО и поинтересоваться какие модели они рекомендуют. Это имеет смысл по нескольким причинам, во-первых, им их обслуживать, во-вторых, они имеют статистику по надежности и ремонтопригодности, согласитесь, что не очень хорошо выйдет, если ждать запчастей к вашему фискальному регистратору придется неделями.\nЛюбой фискальный регистратор перед применением должен быть переведен в фискальный режим и зарегистрирован в налоговой инспекции, но не спешите это делать до тех пор, пока полностью не настроите рабочее место и не убедитесь, что все работает так, как вам нужно.\nДля небольших организаций, которые используют ЕНВД и не обязаны применять фискальные регистраторы существует два варианта. Первый - это покупка принтера ЕНВД, по сути это тот-же фискальный регистратор без ЭКЛЗ, но при этом он имеет фискальную память и позволяет владельцу предприятия осуществлять финансовый контроль и получать классические кассовые отчеты.\nВторой вариант - использование простого принтера чеков, существуют специальные обработки, позволяющие использовать их вместо фискального регистратора, либо можно просто печатать на них нефискальный чек. Однако отсутствие фискальной памяти не позволяет осуществлять контроль и получать кассовые отчеты. Из плюсов - более низкая стоимость оборудования.\nК фискальному регистратору обычно подключается денежный ящик, это позволяет открывать его только после того, как чек был пробит и напечатан. Такой подход позволяет исключить некоторые махинации со стороны персонала, когда покупатель оплачивает непробитый чек, из которого потом удаляется одна или несколько позиций, а разница идет в карман нечистому на руку кассиру. Единственное, на что следует обращать внимание при выборе денежного ящика, кроме параметров самого ящика, разумеется, это совместимость с вашей моделью фискального регистратора.\nЭквайринговые системы Начиная с 2015 года прием к оплате банковских карт является обязательным для всех торговых предприятий.Согласно п. 1 ст. 5 Федерального закона от 22.05.2003 N 54-ФЗ \u0026quot;О применении контрольно-кассовой техники при осуществлении наличных денежных расчетов и (или) расчетов с использованием платежных карт\u0026quot; чек ККТ должен выдаваться одновременно с оплатой по карте. Это требует подключение банковского терминала непосредственно к кассовому узлу, ситуация, когда сумма оплаты отдельно проводится по автономному терминалу, а затем пробивается кассовый чек недопустима. Выбрать оборудование самостоятельно у вас скорее всего не получится, придется жить с тем, что предоставляет банк. Поэтому, перед тем как заказывать остальное оборудование, свяжитесь с банком и уточните используемые модели пинпадов, их интерфейс и количество разъемов, а также совместимость с вашей товароучетной системой.\nСчитыватель магнитных карт Данное оборудование не является обязательным, но может использоваться для реализации различных скидочных программ или авторизации сотрудников с помощью магнитных карт. Могут быть встроены в программируемую клавиатуру или быть отдельным устройством. Также могут иметь интерфейс COM, USB или разрыв клавиатуры (встроенные), как и сканер штрих-кода являются стандартным оборудованием. При выборе следует проверять доступность драйвера виртуального СОM-порта для вашей ОС или приобрести платные драйвера для моделей в режиме клавиатуры. Между собой считыватели отличаются чтением различного типа карт: HiCo (высококоэрцитивных) и LoCo (низкокоэрцитивных) карт. А также количеством считываемых дорожек. По стандарту магнитная карта содержит три дорожки, недорогие считыватели могут читать только две первых или одну дорожку на выбор. Если вы планируете использовать только собственные магнитные карты, то можно сэкономить, взяв недорогие считыватели и используя на картах только одну дорожку.\nРешаем ребус с разъемами Напоследок затронем одну неочевидную тему, на которой набивают шишки многие начинающие автоматизаторы, а именно правильный выбор материнской платы для кассового узла. С одной стороны никаких существенных требований к аппаратной части не предъявляется, поэтому можно использовать недорогое бюджетное железо. Требования компактности заставляют использовать платы формата MiniATX или MiniITХ и малогабаритные корпуса, зачастую не допускающие установку стандартных плат расширения.\nГде же подвох? Подвох в количестве оборудования и используемом им разъемами. Допустим, мы не подумавши, купили недорогую плату GigaByte GA-H61M-S1. И тут-же столкнулись с проблемами. Нам уже не хватает разъемов. Сканер штрих-кода, пинпад и фискальный регистратор - оборудование обязательное, даже отключив считыватель магнитных карт, нам не хватит портов для дисплея покупателя, если он имеет питание от USB. Да, есть внутренние порты, но зачастую вывести их в компактном корпусе не представляется возможным или потребует поиска и приобретения низкопрофильных карт / контроллера. Но это мы рассмотрели минимальный вариант, а если нам понадобится установить что-либо еще, допустим весы или ключ защиты для платных драйверов, то мы снова столкнемся с проблемами.\nВозьмем плату с большим числом портов, например GigaByte GA-H61M-HD2, вроде бы всего должно хватить. Но не тут-то было. Один свободный порт забрала мышь, оставив еще один для дисплея. Заработает ли он в такой конфигурации и насколько стабильно, вопрос открытый. Можно конечно перенести мышь в лицевой разъем корпуса и т.д., и т.п., но все это уже относится к разряду \u0026quot;танцев с бубнами\u0026quot;, а по факту имеем неудовлетворительно сконфигурированный кассовый узел без малейшей способности к расширению.\nВникнув в вопрос чуть более подробно, становится понятно, что подобрать материнскую плату для кассового узла задача не из простых. Мы перебрали половину прайса, пока нашли подходящую модель Gigabyte GA-H81M-D3H, но это уже ближе к средней ценовой категории, чем к бюджетной. После этого становится понятно, почему мы каждый раз выше рекомендовали обращать внимание на разъемы подключения. Поэтому перед тем, как выбирать материнскую плату или готовые ПК для кассового узла выпишите список оборудования и используемые ими разъемы. После чего изучите возможности корпуса по возможности вывода внутренних портов наружу, и только затем выбирайте плату. Если для оборудования есть варианты COM или USB, то в отдельных случаях есть смысл взять устройство для COM-порта и сэкономить один USB-разъем. Например, в последнем случае мы использовали фискальный регистратор для COM-порта, так как фискальный регистратор или сканер штрих-кода могут использовать этот порт, в отличии, скажем, от ключа защиты.\nВ этой части мы сознательно не касались весов и всего что с ними связано, это тема для отдельного материала, и мы к ней еще вернемся.\n","id":"eb4e3d924812fc321654f9bcc92f9017","link":"https://interface31.ru/post/avtomatiziruem-roznicu-chast-3-vybiraem-torgovoe-oborudovanie/","section":"post","tags":["1С Предприятие 8.х","Автоматизация","Планирование","Торговое оборудование","Штрих-код"],"title":"Автоматизируем розницу. Часть 3 - Выбираем торговое оборудование"},{"body":"Обозревать современные дистрибутивы Linux - занятие неблагодарное, не то, что еще несколько лет назад. Простому пользователю мало интересно, что там \u0026quot;под капотом\u0026quot;, а внешне, использующие одинаковые среды рабочего стола, дистрибутивы похожи как братья. А разнообразные производные от основных дистрибутивов зачастую не заслуживают внимание, так как обозревать там принципиально нечего, кроме пары-тройки \u0026quot;фишек\u0026quot;, интересных узкому кругу лиц. Поэтому нам было весьма интересно познакомиться с Deepin - дистрибутивом на основе Ubuntu от китайских разработчиков, главная изюминка которого - собственная среда рабочего стола, основанная на HTML5.\nDeepin, ранее Linux Deepin, а еще раньше Hiweed GNU/Linux, имеет весьма продолжительную историю, но долгое время оставался продуктом нацеленным на внутренний рынок, и вот, начиная с версии 2014.1, вышедшей совсем недавно, разработчики сделали шаг к выходу на международную арену.\nЯзыков пока поддерживается немного, но русский в списке присутствует, что не может не радовать. Дистрибутив базируется на Ubuntu 14.04 и распространяется в виде ISO-образа с возможностью живой загрузки, что дает возможность ознакомиться с системой до ее установки. Инсталлятор тоже предельно прост, даже слишком, например, разметка диска содержит только базовые возможности, не давая создавать LVM или шифрованные разделы, с другой стороны большинству пользователей это не надо. Все просто, понятно, приятно. Пока идет установка, инсталлятор в лучших традициях, расскажет нам об особенностях данного дистрибутива, в общем пока все как везде. Сразу бросается в глаза детальность проработки окружения, нет ни малейшей небрежности, везде видно внимание к деталям, что сразу развеивает предвзятое мнение, что китайское - это небрежная калька с более успешных проектов. Это также отличает Deepin от многих других проектов, где дизайну уделяют второстепенное внимание.\nПосле установки система встречает нас стильным окном входа в систему. И наконец мы попадаем в рабочее окружение, оно представлено собственной разработкой - Deepin Desktop Environment (DDE), графической средой на базе HTML5, в основе которой лежит развитие Gnome3. Разработчики не бросают нас наедине с системой, нам предлагается пройти краткий курс, примерно также как это сделано в Windows 8. Возможно кому-то это покажется излишним, но мы считаем это однозначно хорошим начинанием, гораздо легче потратить минуту на усвоение основных принципов навигации, чем осваивать их полчаса методом тыка.\nК сожалению, руководство не до конца локализовано, но наличие английского варианта и интерактивные подсказки спасают положение. Пройдя \u0026quot;курс молодого бойца\u0026quot;, мы попадаем на рабочий стол. Первое впечатление очень положительное, видно, что разработчики вдохновлялись идеями MacOS Х и почерпнули оттуда лучшие стороны. DDE действительно представляет собой полноценное пользовательское окружение. Качество исполнения на высочайшем уровне, мелкие детали интерфейса, шрифты и т.д., которые иногда царапают взгляд и в более именитых дистрибутивах, тут несут следы внимательной работы дизайнеров. Находится и работать в этом окружении нравится с первых минут. А если вспомнить, что в основе Deepin лежит популярная Ubuntu со всем разнообразием доступного ПО, то нравиться начинает еще больше.\nОснова управления - док внизу экрана, хорошо знакомый по MacOS и \u0026quot;горячие углы\u0026quot;, представленные в Windows 8. На наш взгляд, разработчикам Microsoft следует внимательно ознакомиться с Deepin, чтобы понять, как надо было делать. Если в Windows \u0026quot;горячие углы\u0026quot; не вызывали ничего кроме глухого раздражения, то здесь это полноценный и удобный инструмент управления. По умолчанию они настроены следующим образом, но это можно очень быстро и просто изменить, например, мы назначили на правый верхний угол функцию Все окна. Кстати док, \u0026quot;легким движением руки\u0026quot; можно превратить в панель задач в стиле последних версий Windows. Лаунчер для доступа к установленным программам доступен из дока или верхнего левого угла и явно создавался по образу и подобию MacOS, но разработчики не пошли по пути слепого копирования, добавив разбивку по группам, аналогичную меню приложений в Unity. Вообще, у нас сложилось впечатление, что разработчики хорошо изучили современные рабочие среды, почерпнув оттуда все самое лучшее. В правом нижем углу находится меню управления системой, что было впервые предложено в Windows 8, но если там это меню смотрится в режиме рабочего стола чужеродно и местами откровенно неудобно, то в Deepin это действительно оригинальное и удобное решение. Трудно упрекнуть китайцев в копировании чужих идей, идеи может они и копируют, но при этом подвергают их собственной переработке и у них действительно получается здорово. Можно ли полноценно разместить настройки системы в узкой полосе с края экрана? Оказывается, можно. По основным функциям системы особо сказать нечего, стандартный набор, привычный по любому дистрибутиву Ubuntu, только в качестве браузера по умолчанию Google Chrome. Приятно, что установлены все необходимые кодеки, поддержка популярных архиваторов и т.д., в качестве офисного пакета привычный LibreOffice, система из коробки готова к работе. Кроме этого разработчики по умолчанию добавили поддержку ndiswrapper, чтобы облегчить работу пользователя с Wi-Fi адаптерами, и установили некоторый дополнительный софт, например, простого пользователя порадует Skype, а администратора mc или htop. Для управления софтом предназначена собственная разработка Deepin Store, который продолжает традиции современных \u0026quot;магазинов\u0026quot;, рассчитанных в первую очередь на простых пользователей. В этом плане здесь все хорошо. Для тех, кто знает чего хочет, никто не отменял apt. Кроме Deepin Store дистрибутив содержит еще несколько собственных разработок. Одна из них Игровой Центр Deepin, который представляет сборник HTML5 игр, аналогичный ArmorGames и т.п. С одной стороны все это есть в интернете, с другой ничего не надо искать, запускай и играй. Учитывая напряженные отношения линукса с играми этот шаг можно только приветствовать. Хотя сервис явно рассчитан пока только на китайских пользователей. Мы не удержались и немного поиграли, отметив при этом один момент - размытие границ между веб-приложениями и обычными, что в общем является тенденцией последних лет. Вспомним хотя-бы Документы Google или ChromeOS, где операционной системой является браузер. Интеграция HTML5 в рабочее окружение позволяет пойти дальше и убрать прослойку между пользователем и приложением в виде браузера. Ниже видно, как обычная браузерная игра работает в отдельном окне, как нативное приложение. Мы уже говорили, что разработчики не только заимствуют интересные идеи, но и творчески их перерабатывают. Подключить к системе каталог онлайн-игр много ума не надо, но сделать их органичной частью системы - это надо еще постараться.\nАудиоплеер Deepin - удобное приложение с минималистичным интерфейсом и довольно богатыми возможностями, поддерживает поиск и отображение текстов песен, эквалайзер. Функциональность плеера расширяется за счет плагинов, например мы подключили онлайн-радио, который содержит большой список радиостанций по всему миру. По непонятной причине (возможно устарели списки) нам не удалось прослушать русские станции, зато с немецкой Klassik Opera никаких проблем не возникло. Следующее приложение - Видеоплеер Deepin - обладает всеми необходимыми для просмотра видео функциями, что отличает его от других аналогичных приложений - продуманный дизайн, особенно если сравнивать со штатными линукс-плеерами. В режиме просмотра вас ничего не отвлекает от фильма, никаких элементов управление на экране нет. При наведении мыши появляются все необходимые элементы. Снова заметно внимание разработчиков к деталям, все продумано и выверено до мелочей, на уровне коммерческих продуктов, здесь не мешало бы поучиться разработчикам свободного ПО, чьи продукты зачастую выглядят как поделки уровня детского сада. Не забыли разработчики и о продвинутых пользователях, для них предназначен Терминал Deepin. Главной его особенностью является возможность произвольно делить рабочую область, что по достоинству оценят обладатели больших мониторов. Вместо каши окон или переключения между терминалами можно удобно и эффективно организовать рабочее пространство, одновременно контролируя процесс выполнения нескольких задач, попутно просматривая какую-либо полезную информацию, например, нагрузку на систему. В заключение хочется сказать, что Deepin с первого момента производит отличное впечатление, которое не портится во время более глубокого знакомства. Уровень исполнения графического окружения очень высок, что мы несколько раз задавали себе вопрос: \u0026quot;Это действительно линукс? И это точно свободное ПО?\u0026quot;, также порадовал уровень локализации, кроме незначительных огрехов и нескольких неправильно подобранных терминов, придраться не к чему. Никакого гугл-перевода и маловменяемых текстов, к чему мы уже привыкли в \u0026quot;китайских локализациях\u0026quot;, везде литературный русский.\nХотя есть и недостатки, не полностью локализован интерактивный курс после установки системы и отсутствует текст во всплывающих окнах на некоторых значках. Но учитывая, что это первый мультиязыковой релиз, такие недочеты можно простить, тем более что они не портят общего впечатления от системы. К сожалению серьезно омрачить работу с системой может скорость доступа к зеркалам репозитория Deepin, располагаясь в китайском сегменте сети, они имеют общие для таких ресурсов проблемы с низкой скоростью для внешнего мира.\nДля решения этой проблемы откройте Deepin Store и в Параметрах выберите наиболее подходящее зеркало. Нам понравилась работа с зеркалами Яндекса. Несмотря на различные шероховатости, мы высоко оцениваем данный дистрибутив, разработчики проделали хорошую работу, совместив возможности современного линукса с собственной графической средой, выполненной на уровне коммерческих продуктов. Несмотря на то, что многие идеи заимствованы из других систем, их реализация отличается глубокой переработкой и переосмыслением, что в итоге позволяет даже превзойти оригинал. Так, на наш взгляд, получилось в \u0026quot;горячими углами\u0026quot; и боковой панелью настроек, идея которых явно заимствована из Windows 8.\nА с точки зрения пользователя, Deepin - система в которой приятно работать и куда хочется возвращаться. Поэтому пожелаем китайским коллегам дальнейших успехов и надеемся вскоре увидеть Deepin вверху списка DistroWatch.\n","id":"90e1b1cb7312907aec434c11d5af3c63","link":"https://interface31.ru/post/deepin-ne-prosto-eshhe-odin-distributiv/","section":"post","tags":["HTML5","Linux","Ubuntu","Персонализация"],"title":"Deepin - не просто еще один дистрибутив"},{"body":"По умолчанию веб-интерфейс почтового сервера Zimbra настроен для доступа только по защищенному протоколу HTTPS. Это безопасно, но не совсем удобно для пользователя, так как ему нужно каждый раз набирать адрес полностью, c https://, а с учетом того, что все пользуются закладками, то это быстро забывается и при попытке получить доступ с нового клиентского устройства пользователь столкнется с недоступностью сервиса. В тоже время Zimbra предлагает большое количество вариантов протоколов доступа к веб-интерфейсу, о чем мы сегодня и расскажем.\nИзменение протоколов доступа к веб-интерфейсу производится через командную строку и затрагивает только пользовательскую часть. Прежде всего войдем в консоль сервера и повышаем права до суперпользователя:\n1sudo -s затем переключаемся на пользователя Zimbra:\n1su zimbra Для изменения режима доступа к веб-интерфейсу служит команда:\n1zmtlsctl [mode] где mode - тип необходимого режима доступа, рассмотрим их подробнее.\nhttp - доступ только по протоколу HTTP, данный режим категорически не рекомендуется ввиду низкой безопасности. https - доступ только по протоколу HTTPS, наиболее защищенный режим, используется по умолчанию. both - возможен доступ по обоим протоколам, допустимо использовать в случаях, когда HTTP используется только клиентами локальной сети. mixed - при доступе по протоколу HTTP пользователь переводится на защищенное соединение для авторизации, затем снова переводится на HTTP, HTTPS-сессия полностью проходит по защищенному протоколу. redirect - принудительный редирект всех HTTP соединений на HTTPS. Какой режим использовать? Понятно, что HTTP не удовлетворяет элементарным требованиям безопасности и за пределами локальной сети недопустим. Но даже при нахождении внутри периметра не стоит передавать открытым текстом авторизационные данные, поэтому наилучшим вариантом тут может быть режим mixed.\nВ тоже время, с точки зрения обеспечения высокого уровня безопасности, следует выбрать режим redirect, когда и пользователи будут довольны и админы спокойны. В этом случае можно смело открывать доступ по обоим протоколам за пределы периметра, все незащищенные соединения будут принудительно переводиться на защищенный режим.\nОднако без ложки дегтя в бочке меда здесь не обошлось, данный режим позволяет выполнить атаку \u0026quot;человек посередине\u0026quot;, перехватив HTTP запрос и направив пользователя на сервер злоумышленника. Поэтому постарайтесь не использовать для работы за пределами локальной сети самоподписанные сертификаты, а если используете, то обязательно сделайте импорт и установку корневого сертификата на все клиентские устройства. Не приучайте пользователей игнорировать предупреждения безопасности.\nИтак, переключим наш веб интерфейс в режим redirect:\n1zmtlsctl redirect Перезапустим необходимые сервисы Zimbra:\n1zmmailboxdctl stop 2zmmailboxdctl start также можно полностью перезапустить все сервисы одной командой:\n1zmcontrol restart Проверяем, теперь если просто набрать в командной строке адрес почтового сервера должен произойти редирект на защищенное соединение. Таким образом получилось значительно повысить удобство работы пользователей практически без ущерба для безопасности.\n","id":"67ec312050e9a5c6a177f41d19bc4d64","link":"https://interface31.ru/post/zimbra-nastraivaem-protokoly-dostupa-k-web-interfeysu/","section":"post","tags":["E-mail","SSL","Zimbra","Безопасность"],"title":"Zimbra. Настраиваем протоколы доступа к веб-интерфейсу"},{"body":"Фирма Western Digital первая ввела \u0026quot;цветовую дифференциацию штанов\u0026quot; для своих дисков, тем самым облегчив покупателям выбор. Разделение дисков по сериям подразумевает идентичность их характеристик и выбирая диск в пределах одного семейства, пользователь, как правило, руководствуется финансовыми или иными соображениями. Но всегда ли это так? Чтобы ответить на этот вопрос мы протестировали два самых популярных недорогих диска серии WD Blue.\n\u0026quot;Синяя\u0026quot; серия Western Digital по праву может считаться массовой, предлагая недорогие диски для повседневного использования. Основное применение они находят в офисных и домашних ПК бюджетной категории, понятно, что данный рыночный сегмент не предъявляет высоких требований к производительности дисковой подсистемы, но в то же время именно дисковые операции оказывают существенное влияние на производительность ПК и комфортность работы с ним.\nВ нашу лабораторию попали два диска данной серии: 1 Tb SATA 6Gb / s Western Digital Caviar Blue \u0026lt; WD10EZEX \u0026gt; 7200rpm 64Mb и 500 Gb SATA 6Gb / s Western Digital Caviar Blue \u0026lt; WD5000AAKX \u0026gt; 7200rpm 16Mb. Первое и единственное отличие, которое способен найти неискушенный покупатель в названии и описании обоих товарных позиций - это размер кэша, 64 МБ для терабайного диска и 16 МБ для 500-гигабайтного, что, в принципе, ни о чем существенном не говорит.\nСтоимость данных дисков в рознице составляет 66 и 60 USD соответственно и, несмотря на то, что стоимость хранения у диска 500 ГБ почти в двое выше - 0,12 USD/ГБ против 0,067 USD/ГБ у более емкой модели - выбор покупателя будет не всегда в пользу терабайтного диска. Если емкость неважна или диск берется сугубо как системный, то разницу лучше вложить в другое железо, а в корпоративных закупках даже такая экономия на партии машин способна склонить чашу весов в пользу младшей модели. Выглядят оба диска совершенно идентично, снова заставляя нас думать, что перед нами вариации одного и того-же продукта. Посмотрим, что покажут тесты. Начнем, как всегда с CrystalDiskMark (здесь и далее слева 1 ТБ диск, справа 500 ГБ): А вот и первый сюрприз, терабайтный диск практически по всем параметрам быстрее своего младшего коллеги на 30-40%, а это, согласитесь, не мало. Причем для большинства покупателей это будет действительно сюрприз, так как заподозрить неладное на этапе покупки могут только специалисты, плотно работающие с данным железом, или энтузиасты, держащие руку на пульсе индустрии. Но не будем раскрывать интригу раньше времени.\nСледующий на очереди набор тестов HD Tune Pro: Немного утрируя, можно сказать, что график скорости первого диска заканчивается там, где начинается второй. Разница видна невооруженным глазом и комментировать здесь особо нечего. Если же сравнивать результаты с другими игроками рынка, то показатели 1 ТБ диска на уровне или даже выше аналогичных моделей других производителей, а вот 500 ГБ модель выглядит весьма слабо.\nСледующий тест также демонстрирует существенную разницу между дисками, старший диск на крупных блоках достигает скорости передачи почти до 200 МБ/с, в то время младшая модель упирается в отметку 125 МБ/с. А вот тест случайного доступа у обоих дисков выдал примерно одинаковый результат: Это неудивительно, оба диска относятся к массовой серии и не рассчитаны на нагрузки случайного характера, в то время как 65 IOPS для настольного применения вполне достаточно, идентичные характеристики имеют практически все модели в данном сегменте.\nПерейдем к практическим сценариям тестового пакета Intel NASPT. При работе с мультимедийным контентом (HD) и файловых операциях терабайтный диск уверенно уходит в отрыв, а вот при работе с мелкими файлами или типичными офисными сценариями показатели обоих дисков практически одинаковы, разница в большинстве случаев укладывается в погрешность измерения.\nПосмотрим, как диски держат многопоточную нагрузку, один поток, оба диска уверенно удерживают скорость передачи на максимальном значении: А вот с двумя потоками старшая модель справляется лучше, не допуская серьезных провалов в производительности: С четырьмя потоками оба диска справляются примерно одинаково, естественно со своим уровнем производительности каждый, но не допуская существенного ее падения. А теперь самое интересное. Вернемся в 2011 год к нашему тесту Western Digital 500 Гб Caviar Black WD5002AALX, а потом обратим внимание на внутреннее обозначение моделей WD5002AALX и WD5000AAKX. Если углубится в исследования и сравнить подробные характеристики моделей по информации на сайте WD, то все сомнения отпадут. Под маркой WD Blue продаются диски нескольких поколений. В нашем случае современный WD10EZEX лежит на полках рядом с устаревшим WD5000AAKX, при этом \u0026quot;завернутый\u0026quot; в одинаковую \u0026quot;упаковку\u0026quot;.\nМожет быть это складские запасы? Вовсе нет, WD5000AAKX заявлена на официальном сайте как актуальная модель. Может она существенно дешевле? Тоже нет. На наш взгляд - это очередной маркетинговый ход, позволяющий, относительно незаметно для потребителя, заполнять линейку откровенно устаревшими моделями, используя для их изготовления уже отлаженное производство. Действительно, зачем тратиться на разработку новой модели, когда можно просто переклеить этикетку на старой?\nВыводы Однозначных выводов в этом случае сделать нельзя. С технической точки зрения оба диска весьма неплохи, только каждый для своего времени. В современных реалиях терабайтный WD10EZEX представляет собой диск общего применения с характеристиками выше среднего и может быть рекомендован к покупке. Модель емкостью 500 ГБ WD5000AAKX явно устарела и смысла в ее приобретении мы не видим, разве что в случаях, когда производительность диска абсолютно не важна, а на первый план выходит стоимость.\nВ общих случаях эти диски хорошо справятся со всеми видами повседневных нагрузок. Однако если ваши задачи предусматривают интенсивный случайный доступ, например, работа с базами данных или виртуализацией, то стоит обратить внимание на более производительные или специализированные модели.\nТакже хотим посоветовать при покупке внимательно смотреть не только на маркетинговое название диска, но и на его модель и основные характеристики.\n","id":"3589ae516e3bb4588edbfdb8587d2a90","link":"https://interface31.ru/post/obzor-dvuh-nedorogih-diskov-serii-western-digital-blue-500-gb-1-tb/","section":"post","tags":["HDD","Western Digital"],"title":"Обзор двух недорогих дисков серии Western Digital Blue 500 ГБ и 1 ТБ"},{"body":"После окончания поддержки Windows XP и грядущим ее окончанием для Windows Server 2003 становится актуальной миграция серверных ролей и служб на современные выпуски серверных ОС. При этом возникает потребность и в переносе запланированных задний. На первый взгляд простая задача в этот раз способна вызвать немало трудностей, дело в том, что, начиная с Windows Server 2008 был серьезно изменен как сам планировщик, так и формат хранения и обмена заданиями.\nСразу оговоримся, несмотря на то, что мы рассматриваем задачу применительно к серверным ОС, все сказанное будет справедливо и для настольных выпусков, с незначительными отличиями, на которых мы остановимся подробнее.\nВ Windows Server 2003 (Windows XP) задания планировщика представляли собой файлы особого формата с расширением job, которые располагались в папке Назначенные задания, чтобы перенести задачи планировщика достаточно было просто скопировать эти файлы на другую систему и немного откорректировать их, подробнее этот процесс рассматривался нами в данной статье. Начиная с Windows Server 2008 (Windows Vista) планировщик был серьезно переработан, а для экспорта - импорта заданий стал использоваться формат XML. Поэтому просто так перенести job-файлы с предыдущих выпусков ОС не получится. Беглый поиск показал, что для решения этой задачи администраторы предлагают способы один другого фантастичнее, начиная от трюков с командной строкой и заканчивая запуском планировщика из Windows Server 2003 в среде современных ОС.\nНа этом месте следует остановиться, отдышаться и вспомнить про такой универсальный инструмент администрирования Windows систем, как консоль MMC. Как известно, оснастки MMC позволяют одинаково удобно работать как с локальным, так и с удаленным компьютером. Суть нашего метода сводится к тому, чтобы из оснастки управления планировщиком в среде новых ОС подключиться к планировщику старой системы и произвести экспорт заданий.\nВ нашем примере мы будем переносить задания из Windows Server 2003 на Windows Server 2012 R2. Откроем планировщик в современной системе и выберем Действия - Подключиться к другому компьютеру либо аналогичный пункт в меню справа. В появившемся окне вводим имя сервера, к которому хотим подключиться. Здесь мы столкнемся с первым ограничением, подключение к Windows Server 2003 можно осуществить только с учетными данными текущего пользователя. Это значит, что если ваши сервера находятся в рабочей группе, то на обоих серверах должен быть заведен аккаунт администратора с одинаковыми учетными данными и под ним должен быть осуществлен вход в систему. Проще говоря, если мы работаем в среде Windows Server 2012 под аккаунтом ivanov с паролем 123, то на Windows Server 2003 должен быть пользователь с такой же парой логин - пароль.\nВ случае с пользовательскими версиями ОС следует помнить, что удаленные подключения с пустым паролем не допускаются, поэтому не только создайте на обоих системах одинаковых пользователей, но и задайте им одинаковые пароли.\nПодключившись к удаленному серверу, мы увидим в консоли Windows Server 2012 задания системы под управлением Windows Server 2003 и сможем экспортировать их в XML-формат. Для этого выберите Действия - Экспорт или Экспортировать из меню по правой кнопке мыши. Экспортировав все необходимые задания отключаемся от удаленного сервера и запускаем локальный планировщик, куда производим импорт заданий (Действие - Импортировать задачу). В создаваемом задании обращаем внимание на учетную запись, от имени которой запускается задание и выбираем версию системы, на которой оно будет исполняться. После переноса заданий следует перенести все связанные с ними ресурсы: скрипты, структуры папок, дополнительное ПО и т.д., более подробно этот вопрос мы разбирали в предыдущей статье и повторяться не будем. Также не все задания можно перенести, например, нет смысла экспортировать задания резервного копирования штатными средствами, так как начиная с Windows Server 2008 утилита ntbackup в системе отсутствует.\nКак видим, сложная на первый взгляд задача легко решается штатными инструментами самой ОС без какого-либо \u0026quot;колдовства\u0026quot;. Поэтому, прежде чем использовать нестандартные методы, всегда следует посмотреть на возможности штатных инструментов, которые весьма и весьма широки.\n","id":"6173d2ad091ce4f69a22ac9e3433f216","link":"https://interface31.ru/post/perenos-zadaniy-planirovschika-iz-windows-server-2003-v-windows-server-20082012/","section":"post","tags":["Windows Server","Windows Server 2012"],"title":"Перенос заданий планировщика из Windows Server 2003 в Windows Server 2008/2012"},{"body":"С выходом Windows Server 2012 Microsoft серьезно пересмотрела правила лицензирования, с учетом последних тенденций в отрасли. В частности, уделено самое пристальное внимание виртуальным средам, а также существенно изменена продуктовая линейка. Надо сказать, что это пошло только на пользу, схема стала намного проще и понятнее, сохранив при этом общие принципы лицензирования. Самое время познакомиться с предметом более подробно.\nИзменения встречаю нас уже в прайс листе, по сравнению с Windows Server 2008, который имел целых шесть редакций (не считая версии для Itanium) и два специальных выпуска для малого бизнеса, Windows Server имеет всего две основных редакции и два выпуска для малого бизнеса.\nНачнем с последних. Редакции Foundation и Essentials предназначены для самого малого бизнеса и лицензируются на сервер с числом пользователей 15 и 25 соответственно, кроме того Foundation доступен только в OEM канале. Обе редакции не имеют прав на виртуализацию и не предполагают никакого расширения, при выходе за лимиты вам придется заново лицензировать как сервера, так и пользователей.\nОсновными редакциями являются Standard и Datacenter. Еще одна хорошая новость - функционально обе редакции полностью одинаковы и отличаются только лицензионными условиями. Также изменился объект лицензирования, если предыдущие выпуски лицензировались на сервер, то Windows Server 2012 лицензируется по количеству процессоров. Одна лицензия покрывает два процессорных сокета в пределах одного физического сервера, одиночный сокет также рассматривается за два. С точки зрения лицензирования пользователей ничего не изменилось, каждый пользователь или устройство, явно или опосредованно использующий службы и приложения размещенные на сервере должен иметь лицензию клиентского доступа на пользователя или на устройство (CAL).\nОстановимся более подробно на лицензировании серверов и правах на виртуализацию. Рассмотрим следующую схему: В левой части у нас имеется четырехпроцессорный хост под управлением Windows Server, по общему правилу сначала следует лицензировать все процессорные сокеты, поэтому нам потребуется две серверных лицензии, вне зависимости от редакции. В нашем случае это будет Standard, что дает нам право на запуск четырех виртуализированных экземпляров Server 2012. Понятно, что запускать четыре виртуальных машины на четырехпроцессорном сервере никто не будет, поэтому следует докупать серверные лицензии Standard на каждые две виртуальные машины. Также вы можете использовать без каких-либо ограничений виртуальные машины с Linux и *nix системами или предыдущие версии Windows Server, при наличии соответствующих лицензий на них.\nТеперь посмотрим на правую часть схемы. Там у нас также четырехпроцессорный сервер, но под управлением VMWare ESXi. В этом случае нам также следует сначала лицензировать процессорные сокеты, а потом уже докупать лицензии для виртуализированных экземпляров. Проще говоря, не важно под управлением какой ОС работает хост, правила лицензирования от это не меняются.\nТакже существенно изменились правила использования предыдущих версий (downgrade). Если раньше OEM версии позволяли понижать выпуск только для предыдущего, то теперь это ограничение снято, вы можете использовать любую предыдущую версию. Редакция Datacenter позволяет использовать любые редакции предыдущих выпусков, Standard только Standard и Enterprise. Единственной проблемой будет достать легальные дистрибутивы. Право использования предыдущих версий не разрешает использовать первый попавшийся дистрибутив, например, скачанный с торрента, вы должны получить его законным путем: с оборудованием по каналу OEM, медианосители для корпоративного лицензирования, подписки MSDN и ТechNet и т.д.\nКроме того, следует помнить, что понижение версии - это только понижение дистрибутива, но не понижение лицензионных прав. Простой пример: лицензия Windows Server 2008 Enterprise позволяет использовать в виртуальной среде до 4 экземпляров ОС, в случае понижения версии для лицензии Windows Server 2012 Standard мы можем запустить только две виртуальных машины с Windows Server 2008 Enterprise. Также не забываем, что несмотря на то, что предыдущие версии лицензировались \u0026quot;на сервер\u0026quot;, понижая лицензии Server 2012 вы также обязаны лицензировать процессорные сокеты. Начнем с мобильных устройств. Существует ошибочное мнение, что они не требуют лицензирования, но это не так. Ниже представлена типичная схема: в сети развернуты различные службы и вместе с ними Exchange-сервер, к которому кроме рабочих станций имеют доступ мобильные устройства сотрудников. Так как Exchange работает не в вакууме, а на платформе Windows Server, то каждое подключение к нему должно быть покрыто не только клиентской лицензией Exchange, но и Windows Server CAL. Это правило распространяется и на мобильные устройства, вне зависимости от их платформы.\nЕще один момент связан с опосредованными подключениями. Рассмотрим следующую схему: в локальной сети на платформе Windows Server развернут сервер СУБД и работающий с ним сервер с корпоративным ПО, в нашем случае это 1С, также для доступа удаленных клиентов организован доступ к 1С через веб-клиент, для этого установлен веб-сервер на платформе Linux. Начнем с локальных клиентов, очевидно, что для них потребуются лицензии 1C и Windows Server CAL, а также SQL CAL. Постойте, скажет читатель, как же так, ведь клиент не работает с сервером СУБД, все обращения к базе данных производит только сервер 1С. Здесь самое время вспомнить, что межсерверные соединения не лицензируются, в то время как любое клиентское обращение к ресурсам сервера, даже опосредованное, подлежит лицензированию.\nИсходя из этих же принципов мы обязаны снабдить удаленных клиентов тем же самым набором лицензий, несмотря на то, что непосредственно с серверами на Windows они не взаимодействуют, а обращаются только к Linux машине.\n","id":"4812adbb7b157ad47515aa0c28369262","link":"https://interface31.ru/post/licenzirovanie-windows-server-2012/","section":"post","tags":["Windows Server","Windows Server 2012","Лицензирование"],"title":"Лицензирование Windows Server 2012"},{"body":"О планировании беспроводных сетей дома или в небольшом офисе мало кто задумывается, действуя по принципу \u0026quot;поставил и работает\u0026quot;, в тоже время именно в многоквартирных домах и офисных центрах самая тяжелая эфирная ситуация, связанная с большим количеством беспроводного оборудования установленного в прямом смысле \u0026quot;из коробки\u0026quot; без каких-либо настроек. Поэтому сегодня мы решили рассмотреть вопросы планирования и инспектирования более подробно.\nНа первый взгляд оценить ситуацию в беспроводном диапазоне не очень сложно, достаточно воспользоваться чем-то наподобие inSSIDer, можно даже использовать аналогичное ПО для смартфона. Но эта оценка будет справедлива для конкретной точки, в соседней комнате ситуация может быть принципиально иная. Можно, конечно, исследовать ситуацию во всех предполагаемых точках размещения клиентского оборудования, но правильно интерпретировать результат и сделать соответствующие выводы будет довольно непросто.\nДля решения данной проблемы предназначено специализированное ПО, например, TamoGraph Site Survey. По вполне понятным причинам данный софт является платным и если вы профессионально не занимаетесь беспроводными сетями, то стоимость лицензии в 26 000 руб. окажется весьма высокой. В тоже время ознакомительная версия, не смотря на довольно жесткие ограничения, вполне подходит для задач уровня SOHO.\nДля проведения исследования вам понадобится ноутбук, вышеуказанная программа, масштабный план помещения и совместимый беспроводной адаптер соответствующего диапазона. Время сбора данных в ознакомительной версии ограничено 10 минутами и нет возможности сохранять проект, поэтому учитывайте это при планировании работ.\nПрежде всего установите специальный драйвер беспроводного адаптера, это делается при первом запуске программы и никаких проблем при использовании совместимого адаптера возникнуть не должно. После чего запустите мастер нового проекта и загрузите план помещения, масштаб изображения не играет роли, так как позже будет производиться привязка, играет значение только соблюдение размеров. Затем план следует откалибровать, для этого укажите на плане любое известное расстояние и ниже впишите его реальное значение: Теперь можно переходить непосредственно к инспектированию, постарайтесь организовать его так, чтобы спокойно обойти все помещение менее чем за 5 минут, в противном случае выберите режим инспектирования \u0026quot;точка за точкой\u0026quot;. Затем не спеша обойдите помещение, отмечая каждое изменение направления движения на карте.\nПервым следует производить пассивное инспектирование, которое позволит получить исчерпывающие данные об эфирной обстановке в помещении. По окончанию инспектирования программа укажет на плане предполагаемое расположение обнаруженных точек доступа: Уже одной только этой информации достаточно для начала планирования сети. Так, например, мы обнаружили в зале, прямо рядом с телевизором, работающую на первом канале точку доступа стандарта 802.11g, и еще одну точку прямо выше (или ниже) нашей. Зная их примерное расположение и планируемое расположение клиентов следует выбирать рабочий канал собственной ТД так, чтобы свести к минимуму помехи от соседних точек, в частности не допускать межканальных помех и попытаться максимально ослабить внтуриканальные.\nВ нашем случае очевидно, что если мы хотим подключить TV-Box через Wi-Fi, то не следует выбирать для собственной сети первый канал, так как будут сильные внутриканальные помехи от точки доступа за стеной.\nДля более подробной информации используйте различные визуализации, но помните, что ознакомительная версия не дает сохранять проекты, поэтому сделайте все необходимые скриншоты и запишите всю необходимую информацию, например, каналы работы соседних точек доступа. Наиболее интересны визуализации Отношение сигнал / шум и Отношение сигнал / интерференция. Если ваша точка уже установлена и работает, то выберите ее слева. Зоны с низким соотношением сигнал/шум указывают на наличие излучения в диапазоне 2,4 ГГц от устройств, не принадлежащих стандарту 802.11, например, беспроводных телефонов, bluetooth-устройств, микроволновых печей и т.д. Обнаружив такие зоны постарайтесь определить источник излучения и по возможности отключите или перенесите его, если он конечно будет мешать вашим клиентам.\nОтношение сигнал / интерференция показывает уровень помех, в первую очередь межканальных, от других точек доступа. В областях с малым соотношением сигнал / интерференция производительность беспроводной сети будет низкой. Для исправления ситуации следует выбрать другой канал для вашей точки доступа и заново провести инспектирование.\nБольшинство визуализаций строится по отношению к определенной беспроводной сети, поэтому даже перед самым первым инспектированием имеет смысл расположить свой точку доступа в планируемом месте и предварительно настроить ее.\nПосле того, как вы определились с местом установки и настройкой вашего беспроводного оборудование самое время перейти ко второму этапу - активному режиму инспектирования. Для этого нам понадобится бесплатная утилита Throughput Test, которую следует установить на один из компьютеров в проводном сегменте вашей сети, настроек она не требует, просто запустите сервер и разрешите входящие подключения к нему в брандмауэре (если используете). Затем в настройках активного режима инспектирования выбираете данный ПК в качестве сервера и указываете свою беспроводную сеть. Затем точно также обходите помещение, фиксируя на карте каждое изменение направления движения. Результаты данного теста покажут фактические характеристики вашей сети, в том числе реальную физическую скорость. Еще один важный параметр - время приема-передачи, который показывает время прохождения пакета от клиента к серверу и обратно, высокое время приема передачи приводит к снижению комфортности работы с потоковым мультимедиа, голосовой связью, онлайн-играми и т.п. Для выяснения причин возникновения таких зон следует сравнить данную визуализацию с другими, в частности с соотношениями сигнал / шум и сигнал / интерференция. В нашем случае зона с высоким временем приема-передачи у окна совпала с зоной низкого значения сигнал / интерференция. В тоже время другая такая зона у верхней стены никакого негативного влияния на работу сети не оказывает. Здесь самое время вспомнить, что мы говорили о помехах, наихудшим вариантом являются межканальные помехи, в то время как визуализация показывает соотношение сигнал / интерференция для всех точек доступа, в т.ч. и работающих в другой части диапазона. Быстрый аудит с помощью inSSIDer выявил у окна прием сигнала от большого количества точек доступа на смежных каналах, уровень которого резко падал, стоило только отойти от окна.\nПоэтому если вы хотите использовать в данном месте беспроводное оборудование, то следует либо изменить канал свой точки доступа, либо увеличить мощность принимаемого сигнала, чтобы обеспечить разницу между сигналом вашей сети и сетей-помех не менее 20 db, в основном это можно сделать изменением расположения точки доступа или применением антенн с большим коэффициентом усиления.\nКак видим, инспектирование процесс достаточно несложный, в тоже время он, даже с использованием ознакомительной версии ПО, дает массу полезной информации, которая позволяет осмысленно подойти к процессу планирования и адекватно оценить производительность создаваемой сети, что позволит избежать неоправданного расходования сил и средств.\n","id":"b65f79a73a8d4c1f8c35b7308208ebd0","link":"https://interface31.ru/post/postroenie-setey-wi-fi-planirovanie-i-inspektirovanie/","section":"post","tags":["Wi-Fi","Планирование","Сетевые технологии"],"title":"Построение сетей Wi-Fi. Планирование и инспектирование"},{"body":"Тема настройки локального сервера обновлений (WSUS) уже поднималась на нашем сайте, но так как с тех пор прошло довольно много времени и произошли довольно серьезные изменения, то назрела необходимость обновить статью. Сегодня мы расскажем о настройке роли WSUS на платформе Windows Server 2012, данный процесс во многом стал проще и легче, а службы WSUS теперь полноценно интегрированы в систему.\nНаш предыдущий материал рассматривал установку WSUS на платформе Windows Server 2008, тогда это была довольно непростая задача для неподготовленного администратора. Требовалось установить дополнительные пакеты, специальным образом настроить веб-сервер, да и сами службы WSUS устанавливались как отдельное приложение.\nНачиная с Windows Server 2008 R2, WSUS был включен в состав ОС в качестве одной из ролей, поэтому, несмотря на то, что мы будем рассматривать платформу Windows Server 2012 R2, все сказанное, за незначительными поправками, будет справедливо и для Server 2008 R2.\nИз сторонних пакетов потребуется установить только Microsoft Report Viewer 2008 SP1 Redistributable, однако он не является обязательным и на работу службы не влияет, а требуется только для формирования отчетов. Поэтому даже если вы забудете его установить - ничего страшного не произойдет, при первом обращении к отчетам система сообщит вам об этом и даст ссылку на скачивание.\nВнимание! Важно! Существует ряд ограничений на установку служб ролей WSUS. Сервер БД WSUS не может быть контроллером домена, Сервер WSUS не может быть одновременно сервером терминалов Remote Desktop Services.\nДля установки WSUS откроем Диспетчер серверов и перейдем в Управление - Добавить роли и компоненты. В открывшемся мастере добавляем роль Службы Windows Server Update Services. Следующим шагом будут добавлены все необходимые роли и компоненты, таким образом больше ничего настраивать отдельно не придется. В качестве хранилища по умолчанию WSUS предлагает использовать внутреннюю базу данных Windows (Windows Internal Database, WID). Для небольших внедрений мы не видим смысла в установке отдельного SQL-сервера, никаких существенных преимуществ это не даст. Следующим шагом переходим к базовым настройкам служб роли. В нашем случае потребуется выбрать опции WID Database и WSUS Services, если вы собираетесь использовать SQL-сервер, то вместо WID Database следует выбрать опцию База данных. Сам сервер баз данных к этому моменту уже должен быть развернут в вашей сети. Следующим шагом укажите размещение хранилища обновлений, рекомендуем выделить для этих целей отдельный жесткий диск или раздел диска. Также возможен вариант, когда на сервере WSUS будет храниться только информация об обновлениях, сами пакеты обновлений будут, после их одобрения и назначения администратором, скачиваться с серверов Microsoft. На наш взгляд такая схема будет удобна небольшим компаниям с хорошим интернет каналом, действительно, ради десятка машин организовывать локальное хранилище большого смысла не имеет, особенно если WSUS не единственная роль данного сервера.\nДля приблизительной оценки требуемого места приведем данные с одной реальной инсталляции, произведенной летом 2012 года. На текущий момент выбраны следующие продукты: все клиентские ОС от Windows XP до Windows 8.1, кроме Vista, все серверные ОС от Server 2003 до Server 2012 R2, Office 2010, Exchange 2010, SQL Server 2008 - 2012, а также ряд дополнительных продуктов из разряда Распространяемых пакетов Visual C++ и т.п.\nРазмер обновлений в хранилище на текущий момент (два года после установки) - 173 ГБ, размер SQL базы данных - около 10 ГБ.\nЕсли вы выбрали внешнюю базу данных, то также потребуется указать параметры подключения к SQL серверу. После чего можно переходить к установке роли, перезагрузка не требуется. После установки нажмите на флажок с желтым восклицательным знаком в Диспетчере серверов и щелкните Запуск послеустановочных задач, дождитесь окончания процедуры (восклицательный знак исчезнет). На этом установку роли можно считать законченной и переходит к настройке службы WSUS, мы подробно освещали этот процесс в предыдущей статье и не видим смысла заострять на этом внимание.\nЕсли коротко, то сначала нужно выбрать источник синхронизации: сервера Microsoft или вышестоящий WSUS сервер. Затем выбрать языки и продукты. Указать классы обновлений. И задать параметры автоматической синхронизации. Процесс первоначальной синхронизации может занять продолжительное время, зависящее от выбранного набора продуктов и классов, а также скорости вашего интернет канала.\nНе забудьте указать правила автоматического одобрения и одобрить уже скачанные обновления. После чего потребуется сообщить клиентам расположение вашего WSUS сервера, это можно сделать через групповые политики: Конфигурация компьютера - Политики - Административные шаблоны - Центр обновления Windows - Указать размещение службы обновлений Microsoft в интрасети. Или в локальных политиках: Пуск - Выполнить - gpedit.msc, затем Конфигурация компьютера - Административные шаблоны - Центр обновления Windows (Windows Update)- Указать размещение службы обновлений Microsoft в интрасети. Путь к серверу следует прописывать как http://SERVER_NAME:8530, при этом рекомендуем явно указывать порт службы. Через некоторое время компьютеры начнут получать обновления и появятся в консоли сервера, где можно получить детальную информацию по уже установленным и требующимся обновлениям. Кстати, если вы забыли установить Microsoft Report Viewer 2008 SP1 Redistributable, то при попытке вызвать отчет получите следующее сообщение, которое содержит ссылку на скачивание необходимого пакета. : Как видим, Microsoft проделало большую работу по совершенствованию службы WSUS, теперь это одна из ролей системы и ее установка и настройка не должна вызывать затруднений даже у новичков.\n","id":"b16443577259e51f3e48ce8a9357e87f","link":"https://interface31.ru/post/windows-server-2012-ustanovka-i-nastroyka-wsus/","section":"post","tags":["Windows Server","Windows Server 2012","Windows Update","WSUS"],"title":"Установка и настройка WSUS на Windows Server 2012-2019"},{"body":"Технология WPS (Wi-Fi Protected Setup), как и одноименный протокол, предназначена для простой и безопасной настройки беспроводных сетей пользователями которые не обладают необходимыми техническими знаниями. Идея, без сомнения, хорошая, учитывая что Wi-Fi стал сегодня синонимом слова интернет. Но реализация заставляет вспомнить поговорку \u0026quot;хотели как лучше, а получилось как всегда\u0026quot;. Реализация протокола содержит опасную уязвимость, которая сводит на нет защиту вашей беспроводной сети.\nОб опасности открытых сетей мы рассказывали в одном из наших прошлых материалов, по мере роста популярности и доступности беспроводных технологий производители также задумались над этим вопросом. Нужен был способ подключения устройств к Wi-Fi сети доступный любому пользователю, не требующий от него действий сложнее, чем \u0026quot;включил - нажал - работай\u0026quot;. Решением стало появление технологии WPS, а позже ее наличие стало обязательным условием для сертификации \u0026quot;Совместимо c Windows 7 (8)\u0026quot;.\nWPS позволяет нажатием одной аппаратной кнопки создать защищенную (WPA2) беспроводную сеть и подключать к ней устройства без ввода пароля, буквально нажатием одной кнопки, технология также позволяет подключаться к уже существующей сети, также без ввода пароля и каких-либо настроек на клиентском устройстве.\nСогласно стандарта существуют несколько методов подключения к сети. Наиболее простой и безопасный - с использованием аппаратных кнопок. Для этого нажимается кнопка WPS на точке доступа, затем, в течении нескольких минут, на устройстве (или наоборот). Они связываются между собой по протоколу WPS, затем точка доступа передает клиенту необходимые настройки, в т.ч. имя сети (SSID), тип шифрования и пароль. Существует также третий способ - подключиться к сети можно введением специального 8-символьного пин-кода, который напечатан на этикетке точки доступа или доступен в веб-интерфейсе. Этот факт резко снижает взломоустойчивость пин-кода, 4 символа дают 9999 комбинаций, а три - еще 999, в итоге имеем всего 10998 возможных комбинаций. На практике это означает возможность взлома WPS примерно в течении 10 часов.\nТехнология взлома многократно описана в сети, и мы ее приводить не будем. Попробуем оценить масштаб проблемы. Для этого мы воспользовались одним из специализированных инструментов для взлома - дистрибутивом Kali Linux. Сначала просканируем список сетей: Утилита показывает 10 беспроводных сетей, включая нашу, из них WPS включен и разрешен ввод пина в 7. Если отбросить нашу сеть, то картина вырисовывается неприглядная, три четверти сетей являются уязвимыми. Для проверки реальной возможности взлома мы взяли свою точку доступа, включили в ней WPS и попробовали подобрать пин-код. К нашему удивлению это оказалось гораздо проще, чем ожидалось. Весь процесс занял всего лишь 2,5 часа... Если бы подбор пин-кода просто давал бы возможность подключиться к сети, это было бы полбеды. Но в результате его подбора атакующий получает открытым текстом пароль... Весь смысл стойкого шифрования WPA2 и использования сильных паролей оказывается сведен к нулю одной простой опцией, предназначенной как раз-таки для обеспечения безопасности простых пользователей.\nНо, как оказалось, это еще не все, некоторые модели роутеров и точек доступа имеют один и тот-же пин-код в стандартной прошивке. Базы таких кодов также без труда находятся в интернете. Располагая пин-кодом взлом сети производится буквально мгновенно: Знают ли об этой проблеме производители? Знают, но ничего, принципиально меняющего ситуацию, сделать не могут, так как проблема заложена на уровне архитектуры протокола. Все что они могут сделать (и делают), это препятствуют попыткам подбора, блокируя клиента, превысившего число запросов в единицу времени, однако должного эффекта это не приносит, так как сам протокол допускает множественные неправильные запросы для клиентов находящихся в зоне слабого приема.\nОтключить данную технологию по умолчанию не позволяют условия сертификации \u0026quot;Совместимо c Windows 7 (8)\u0026quot;, да и, честно говоря, потеряется весь ее смысл...\nЧто делать? Полностью отказаться от использования WPS? Это не всегда возможно, да и не нужно, достаточно отключить возможность ввода пин-кода. Большинство современных прошивок это позволяет. Если же такой опции нет, то следует проверить обновление для прошивки или отказаться от использования WPS в данном устройстве.\n","id":"fb00d2eacf7e999370b8aac5c5cd3865","link":"https://interface31.ru/post/bezopasnost-v-setyah-wi-fi-chast-2-wps/","section":"post","tags":["Wi-Fi","Безопасность","Сетевые технологии"],"title":"Безопасность в сетях Wi-Fi. Часть 2 - WPS"},{"body":"Диски форм-фактора 2,5\u0026quot;, они же \u0026quot;ноутбучные\u0026quot; традиционно считаются медленными. Действительно, в своем большинстве они имеют скорость вращения шпинделя 5400 об/мин и не впечатляют производительностью. Твердотельные накопители (SSD) также нельзя назвать альтернативой, стоимость хранения у них все еще велика. В тоже время в арсенале компании HGST (бывшая Hitachi) существует производительная 2,5 дюймовая модель - Travelstar 7K1000, которую мы сегодня и рассмотрим.\nПопавшая в нашу лабораторию модель Hitachi Travelstar 7K1000 HTS721010A9E630 2.5\u0026quot; 7200rpm 32Mb на первый взгляд ничем не отличается от соседей по прайсу. Кроме скорости шпинделя и довольно большого для компактных дисков кэша. Но уже первый тест, а это, традиционно, CrystalDiskMark, говорит о том, что диск резко отличается от своих \u0026quot;ноутбучных\u0026quot; коллег. Результаты соответствуют настольным моделям массового применения. Перейдем к более подробным тестам из пакета HD Tune Pro. Здесь тоже все на уровне настольных моделей, о \u0026quot;ноутбучном\u0026quot; происхождении говорит только высокая скорость случайного доступа. Общий тест также неоднозначен, но в общем диск неплох и гораздо ближе к настольным сериям, чем к ноутбучным. Для своего формата это очень хороший результат. Посмотрим как поведет себя данная модель под реальными нагрузками, для этой цели мы используем Intel NASPT. В задачах, предусматривающих преимущественно последовательный доступ, диск значительно опережает своих одноклассников со скоростью вращения 5400 об/мин, но уступает настольным дискам массовых серий. В тестах со случайным доступом производительность 2,5\u0026quot; дисков примерно одинакова.\nПосмотрим, как диск ведет себя при многопоточной нагрузке. Один поток дает стабильную скорость на всем протяжении теста. В два потока скорость падает больше чем вдовое, на графике чтения наблюдаются провалы с 70 до 45-50 МБ/с. В четыре потока скорость стабильно снижается до все тех же 45-50 МБ/с Надо сказать, что полученный результат, в силу конструктивных особенностей, является для дисков этого формата вполне закономерным и делать выводы, сравнивая его с результатами настольных дисков, не следует.\nВыводы Можно без преувеличения сказать, что в своем классе Hitachi Travelstar 7K1000 демонстрирует превосходную производительность, при этом имея ценник на уровне других \u0026quot;ноутбучных\u0026quot; моделей аналогичной емкости. Его можно смело использовать для апргейда дисковой подсистемы ноутбука, грузиться быстрее не будет, но от \u0026quot;задумчивости\u0026quot; при выполнении файловых операций он вас избавит. Также диск неплохо подойдет для компактных систем и домашних медиасерверов с небольшой нагрузкой.\nСтоит также отметить, что энергопотребление диска 0.7А (3.5 Вт) не отличается от моделей со скоростью вращения шпинделя 5400 об/мин, что позволяет использовать его в переносных дисках с интерфейсом USB 3.0, значительно повысив производительность последних. Для контейнеров с USB 2.0 покупка данного диска лишена смысла, так как ограничения интерфейса не позволяют использовать на 100% даже производительность обычных \u0026quot;ноутбучных\u0026quot; дисков.\n","id":"efebc85baa595e59888ce17b60929898","link":"https://interface31.ru/post/hgst-travelstar-7k1000-proizvoditelnyy-disk-formata-25/","section":"post","tags":["HDD","HGST"],"title":"HGST Travelstar 7K1000 - производительный диск формата 2,5\""},{"body":"Сервисы DDNS пользуются у системных администраторов и компьютерных энтузиастов заслуженной популярностью, при этом наибольший интерес вызывают возможности бесплатного использования таких служб. В последнее время бесплатных предложений становится все меньше и меньше, однако, если выйти за рамки привычного англо и русскоязычного сектора интернета, можно обнаружить весьма интересные предложения. Об одном из них мы сегодня расскажем.\nСамый популярный сервис для динамических адресов - DynDNS стал платным, а лазейку через D-Link DDNS основательно сузили, ограничив одним адресом на один серийный номер устройства данного производителя. Из крупных провайдеров остался только No-IP, с их довольно дурацким требованием 30-дневной реактивации аккаунта. В общем все делается для того, чтобы убедить пользователя перейти на платный аккаунт.\nКроме данных провайдеров на рынке представлено множество более мелких контор, но тут встает вопрос надежности, нет никаких гарантий, что завтра данная организация не прекратит свое существование или не решит перейти на платную основу.\nВ тоже время популярный производитель сетевого оборудования TP-Link в списке доступных DDNS провайдеров предлагает нам Comexe, на поверку оказавшийся довольно крупным китайским провайдером с которым сотрудничают ведущие китайские производители. Причем на фоне ведущих западных провайдеров Comexe выглядит довольно привлекательно, хотя бы тем, что позволяет без проблем привязать к одному динамическому хосту сразу несколько доменов (доступно на платном аккаунте), что предусмотрено как в прошивках роутеров, так и в клиенте для ПК.\nЕдинственное, что затрудняет использование данного сервиса - языковой барьер. Но в 21 веке это не должно служить препятствием. В целом данный провайдер нацелен на внутренний рынок и с приобретением платных услуг у многих возникнут сложности, в тоже время бесплатные услуги доступны всем, без ограничения.\nПерейдем на сайт провайдера comexe.cn, как видим все по-китайски и абсолютно непонятно что делать. Можно воспользоваться Google-переводчиком, но следует помнить, что он переводит с китайского очень и очень плохо, но разобраться в принципе можно, при этом при заполнении форм переводчик следует отключать.\nВ горизонтальном меню сайта выберем второй пункт и самый нижний подпункт в выпавшем меню: На следующей странице нам рассказывают о технологии DDNS, все что нас интересует - кнопка внизу страницы. После ее нажатия происходит переход непосредственно на сайт сервиса, здесь нажимаем черную кнопку регистрации, которая не переводится онлайн-переводчиком. Дальше все более-менее понятно. Сразу обращаем внимание, в логине и почтовом адресе разрешаются только буквы и цифры, дефисы и нижние подчеркивания недопустимы. При выборе логина помните, что бесплатный домен имеет вид login.kmdns.net, поэтому не выбирайте сложночитаемых сочетаний. После регистрации нас отправит на страничку, где будет говориться о том, что у нас нет подключенных доменов и предлагаться купить платные услуги. Игнорируя это сообщение, переходим на последнюю закладку. Там мы увидим наш бесплатный домен, чтобы его активировать нажмите кнопку справа. После чего на почту, указанную при регистрации, придет письмо, которое содержит ссылку на страницу скачивания клиентов DDNS. Клиент доступен под все популярные системы, если же вы собираетесь использовать данный сервис с устройствами TP-Link, то дальнейшие действия избыточны, просто укажите свой логин и пароль для Conexe в соответствующем разделе админки роутера. Для Windows-систем качаем и устанавливаем клиент, который доступен также только на китайском, но запутаться там решительно негде: Единственный момент, путь установки рекомендуем исправить, чтобы он не содержал нечитабельных символов, оставив только латиницу: Окно авторизации не радует нас понятным текстом, но ошибиться в двух полях ввода довольно сложно, в Windows XP данное окно имеет непотребный вид - отсутствуют кнопки - поэтому после ввода авторизационных данных самое время вспомнить о существовании кнопки Enter. После запуска клиента вы увидите все доступные на аккаунте домены, в бесплатном варианте только один. Включаем нужные нам, передвинув ползунок влево. Теперь самое время обеспечить автозагрузку клиента, Comexe поддерживает работу в качестве службы, но действовать придется буквально наощупь. Щелкаем на значок в трее и в первом выпадающем меню выбираем первый пункт. Второй пункт в этом же меню удаляет регистрацию службы. Перезагружаемся, значок в трее теперь не появляется, зато запущена соответствующая служба. Если вы собираетесь удалить клиент, то не забудьте предварительно отменить регистрацию службы, иначе она останется в рабочем состоянии. Для ее удаления потребуется повторная установка клиента и удаление службы из выпадающего меню в трее.\nНа этом мы закончим данную статью, в нашем случае более чем полугодовой опыт эксплуатации сервиса Comexe не вызвал каких-либо затруднений и оставил только положительные впечатления.\n","id":"d9d7b0375558bd42e01c19a0278e36ab","link":"https://interface31.ru/post/adminu-na-zametku-12-comexe-besplatnyy-dyndns-ot-kitayskih-tovarischey/","section":"post","tags":["DNS","DynDNS","Сетевые технологии"],"title":"Админу на заметку - 12. Comexe - бесплатный DynDNS от китайских товарищей"},{"body":"Последнее время перед администраторами все чаще встает вопрос блокирования потокового мультимедиа. Особенностью данного типа содержимого является то, что оно может быть встроено на страницы самых разных ресурсов и применяя метод блокировки по URL мы не получим никакого результата, разве что заблокируем пол интернета. Поэтому самое время вспомнить о стандарте MIME, который описывает типы данных передаваемых по сети интернет, а также о широких возможностях списков доступа (ACL) прокси-сервера squid.\nПервоначально стандарт MIME использовался для передачи данных различных типов посредством сообщений электронной почты, сегодня это целая группа стандартов, которая регламентирует процесс кодирования информации различных типов для передачи ее посредством сети интернет. Благодаря этому стандарту мы видим на веб-страницах изображения, мультимедиа-контент, данные PDF-файлов, трехмерные модели без необходимости скачивать их на ПК и открывать отдельно.\nДля того, чтобы веб-приложения понимали с какого рода данными имеют дело, тип содержимого явным образом указывается в заголовках. Я думаю каждый встречался с ситуацией, когда при попытке скачать что-либо, вместо файла получал страницу с непонятными символами, это как-раз пример неправильного указания MIME-типа. Из этого вытекает вполне логичный способ фильтрации на основании содержимого. При этом мы можем блокировать не только мультимедийный контент, но и вообще содержимое любого описанного стандартом типа.\nДля работы с MIME-типами squid имеет соответствующие виды ACL-записей. В нашем случае будет использоваться опция rep_mime_type, которая позволяет анализировать MIME-типы в ответах на пользовательские запросы.\nНа этом нашу статью можно было бы и закончить, дав ниже список ACL для всевозможного мультимедиа содержимого, как это сделано на большинстве сайтов, мы же пойдем другим путем и проведем небольшое исследование.\nДопустим мы поставили первоочередной целью блокирование видео с Youtube. Поэтому посетим указанный сайт и посмотрим какой нибудь ролик. Теперь открываем /var/log/squid3/access.log и ищем записи, соответствующие нашему посещению. Лучше всего делать это когда нагрузка на сеть невелика. Обращаем внимание на тип содержимого в конце строк, в котором будет интересующий нас MIME-тип. Таких в данном случае два: audio/mp4 и video/mp4. 1acl youtube rep_mime_type -i ^audio/mp4$ 2acl youtube rep_mime_type -i ^video/mp4$ В секции правил, перед правилом\n1http_access allow localnet добавим:\n1http_reply_access deny youtube all Данное правило будет действовать для всех пользователей, если же вы хотите ограничить только часть, то создайте для них отдельный ACL, например, office:\n1acl office src 192.168.31.101-192.168.31.199 и измените правило следующим образом:\n1http_reply_access deny youtube office Перезапускаем squid (в нашем случае squid3)\n1service squid3 restart и убеждаемся, что \u0026quot;кина не будет\u0026quot;. Самое время перейти к другим видеохостингам. Взятые нами для примера Rutube и Dailymotion, как ни в чем не бывало показывают видео. Точно также смотрим несколько роликов и идем в лог доступа. Там находим новые типы содержимого: video/x-f4f для Rutube и video/x-flv для Dailymotion. Создаем для них ACL-правила:\n1acl youtube rep_mime_type -i ^video/x-f4f$ 2acl youtube rep_mime_type -i ^video/x-flv$ Сохраняем, перезапускаем squid, любуемся полученным эффектом: Аналогично поступаем и с онлайн-радио, так популярный портал tunein использует поток типа audio/mpeg, добавим его в правила и радио в сети больше не послушать: Как видим ничего сложного. Но есть один момент. Тот-же Google предоставляет доступ к своим сервисам по HTTPS, который не обрабатывается squid и, следовательно, наши фильтры работать не будут. Поэтому стоит запретить доступ к таким сайтам через защищенный протокол:\nДля этого в /etc/nat (или в ваши правила iptables), перед правилом # Разрешаем доступ из внутренней сети наружу добавим:\n1iptables -A FORWARD -p tcp --dport 443 -m string --string \u0026#34;youtube\u0026#34; --algo kmp --to 65535 -j REJECT Перезагружаем сервер, проверяем. Если все сделано правильно, то доступ к Youtube в обход прокси-сервера станет невозможным.\nОднако следует помнить, что наша цель - это не блокировка Youtube, это можно сделать гораздо проще, а блокировка именно содержимого - потокового видео, которое может быть встроено в любой сайт, в т.ч. содержащий нужный контент.\n","id":"5511dd66050d42765d6ee3b5832af2fc","link":"https://interface31.ru/post/squid-blokiruem-potokovoe-multimedia/","section":"post","tags":["Squid","Ubuntu Server","Сетевые технологии"],"title":"Squid - блокируем потоковое мультимедиа"},{"body":"Информационные технологии стремительно развиваются, если раньше виртуализация и кластера были уделом крупных организаций, то сегодня эти технологии становятся доступны даже небольшим предприятиям. Виртуализация позволяет существенно экономить на аппаратных ресурсах, но в тоже время предъявляет гораздо более серьезные требования к отказоустойчивости, поэтому еще на этапе планирования следует принять необходимые меры для ее обеспечения. Одна из таких мер - создание отказоустойчивого кластера.\nНачнем с того, что термин отказоустойчивый не совсем применим к кластерным решениям, он возник в результате неверного перевода термина failover cluster. Правильный перевод - с обработкой отказа, хотя сегодня все чаще употребляется иной термин - высокой доступности (high availability), который, на наш взгляд, наиболее точно отражает суть дел.\nЧтобы понять, почему кластер не является отказоустойчивым, разберем более подробно его устройство и схему работы. Сразу уточним, что кластеры применяются не только для обеспечения отказоустойчивости, также кластерные схемы применяют для балансировки нагрузки или наращивания вычислительной мощности. Однако в рамках данного материала мы будем говорить именно о высокодоступных кластерах.\nКлассическая схема кластера содержит минимум два узла и общее хранилище, связанные между собой несколькими сетевыми соединениями. Во-первых это служебная сеть кластера для передачи сигнала \u0026quot;пульса\u0026quot; (heartbeat), по которому кластер следит за состоянием своих узлов (на схеме показана красным), сеть хранения данных (SAN, синяя), в недорогих решениях это чаще всего iSCSI через отдельную Ethernet-сеть, но это может быть также и FibreChanell или иные технологии. Для обслуживания клиентов кластер включается в существующую локальную сеть.\nПо схеме работы узлы могут работать в режиме активный-пассивный или активный-активный. В первом случае все клиентские запросы обслуживаются одним из узлов, второй узел вступает в работу только при отказе первого. Второй вариант предусматривает обработку клиентских запросов обоими узлами, при этом также можно осуществлять балансировку нагрузки и увеличивать вычислительные ресурсы, путем добавления новых узлов кластера. В случае отказа одного из узлов клиентские запросы обрабатывают оставшиеся ноды.\nВажный момент - каждый клиентский запрос обслуживается только одним из узлов кластера и в случае его выхода из строя подключенные клиенты получат отказ в обслуживании, однако они могут тут-же переключиться на оставшиеся доступными узлы. Именно поэтому такая схема не является отказоустойчивой, отказ узла вызывает отказ в обслуживании, однако клиент всегда может подключиться к другому работающему узлу, что реализует как раз схему высокой доступности сервиса.\nВнимательный читатель должен обратить внимание на существование в приведенной выше схеме точки отказа - хранилища. Действительно, для обеспечения высокой доступности хранилище также должно быть отказоустойчивым или высокодоступным. Это может быть реализовано как покупкой специальных аппаратных моделей, так и программно, в том числе и на базе открытого ПО.\nЕсли в качестве хранилища используется iSCSI, то служебную сеть кластера и сеть хранения данных можно объединить. Но при этом у нас остается точка отказа - сеть, поэтому в ответственных системах следует использовать для доступа к SAN не менее двух сетей. Кроме повышения надежности данный подход позволяет повысить пропускную способность, что тоже актуально. Нельзя не упомянуть и про программные решения, позволяющие создать отказоустойчивый кластер только на двух нодах, используя в качестве SAN виртуальное хранилище. Например, StarWind Virtual SAN, который создает виртуальное iSCSI хранилище на базе локальных дисков каждого из узлов. Это позволяет снизить затраты на создание и размещение отказоустойчивого хранилища, но в тоже время повышает требование к производительности сети между узлами кластера, так как при записи на диск все изменения тут-же синхронизируются между узлами. После того, как вы создадите кластер, он появится в сетевом окружении как еще один хост со своим именем и IP-адресом. После чего нам потребуется развернуть на нем высокодоступные роли. Это могут быть файловые сервера, SQL или Exchange, а также иные, поддерживающие кластеризацию, приложения. Каждая отказоустойчивая роль кластера также появляется в сети в виде отдельного хоста, к которому происходит обращение клиентов. При этом клиент понятия не имеет, какой именно узел выполняет его запрос, в случае отказа, например, из-за выхода из строя одного из узлов, ему потребуется всего лишь повторить запрос к сервису. При отказе узла все выполнявшиеся на нем виртуальные машины будут перезапущены на других узлах, согласно выставленного приоритета. Чтобы избежать черезмерной нагрузки на хранилище и сеть хранения данных, в настройках виртуальных машин можно задать задержку восстановления, так критичные виртуалки могут быть перезапущены немедленно, второстепенные - спустя некоторое время.\nВ наших следующих материалах мы рассмотрим практическую реализацию отказоустойчивого кластера на базе Hyper-V.\n","id":"56d119dc8238b6cf1d226d6cb9d285f5","link":"https://interface31.ru/post/otkazoustoychivaya-klasterizaciya-obschie-svedeniya/","section":"post","tags":["High availability","Starwind","Виртуализация"],"title":"Отказоустойчивая кластеризация - общие сведения"},{"body":"Связка сервера 1С:Предприятие и PostgreSQL вторая по популярности среди установок 1С и самое используемое решение на платформе Linux. В отличии внедрений на базе Windows и MSSQL, где трудно сделать так, чтобы не заработало, внедрения на базе Linux таят множество подводных камней для неопытного администратора. Часто бывает так, что вроде бы все сделано правильно, но ошибка следует за ошибкой. Сегодня мы рассмотрим самые типовые из них.\nОбщая информация Перед тем, как начинать искать ошибки установки и, вообще, приступать к внедрению серверной версии 1С:Предприятия было бы неплохо освежить представление как это работает:\nСервер 1С Предприятия. Часть 1 - Общие вопросы. В небольших внедрениях сервер 1С и сервер СУБД обычно совмещают на одном физическом сервере, что немного сужает круг возможных ошибок. В нашем случае будет рассматриваться ситуация, когда сервера разнесены по разным машинам. В нашей тестовой лаборатории мы развернули следующую схему: Сервер баз данных не обнаружен. ВАЖНО: пользователь \u0026quot;postgres\u0026quot; не прошёл проверку подлинности (Ident) Данная ошибка возникает при разнесении серверов по разным ПК из-за неправильно настроеной проверки подлинности в локальной сети. Для устранения откройте /var/lib/pgsql/data/pg_hba.conf, найдите строку:\n1host all all 192.168.31.0/24 ident и приведите ее к виду:\n1host all all 192.168.31.0/24 md5 где 192.168.31.0/24 - диапазон вашей локальной сети. Если такой строки нет, ее следует создать в секции IPv4 local connections.\nСервер баз данных не обнаружен. could not translate host name \u0026quot;NAME\u0026quot; to address: Temporary failure in name resolution А теперь вспоминаем, о чем было сказано несколько раньше. Клиентом сервера СУБД является сервер 1С, но никак не клиентский ПК, следовательно запись нужно добавлять на сервере 1С:Предприятие в файл /etc/hosts на платформе Linux или в C:\\Windows\\System32\\drivers\\etc\\hosts на платформе Windows. Аналогичная ошибка будет возникать, если вы забыли добавитьзапись типа A для сервера СУБД на локальном DNS-сервере.\nОшибка при выполнении операции с информационной базой. server_addr=NAME descr=11001(0x00002AF9): Этот хост неизвестен. Как и прошлая, эта ошибка связана с неправильным разрешением клиентом имени сервера. На этот раз именно клиентским ПК. В качестве решения добавляем в файл /etc/hosts на платформе Linux или в C:\\Windows\\System32\\drivers\\etc\\hosts на платформе Windows запись вида:\n1192.168.31.83 SRV-1C-1204 где указываете адрес и имя вашего сервера 1С:Предприятия. В случае использования локального DNS следует добавить A-запись для сервера 1С.\nОшибка СУБД: DATABASE не пригоден для использования Гораздо более серьезная ошибка, которая говорит о том, что вы установили несовместимую с 1С:Предприятие версию PostgreSQL или допустили грубые ошибки при установке, например не установили все необходимые зависимости, в частности библиотеку libICU.\nЕсли вы имеете достаточный опыт администрирования Linux систем, то можете попробовать доустановить необходимые библиотеки и заново инициализировать кластер СУБД. В противном случае PostgreSQL лучше переустановить, не забыв удалить содержимое папки /var/lib/pgsql.\nТакже данная ошибка может возникать при использовании сборок 9.1.x и 9.2.x Postgre@Etersoft, подробности смотрите ниже.\nОшибка СУБД: ERROR: could not load library \u0026quot;/usr/lib/x86_64-linux-gnu/postgresql/fasttrun.so\u0026quot; Довольно специфичная ошибка, характерная для сборок 9.1.x и 9.2.x Postgre@Etersoft, также может приводить предыдущей ошибке. Причина кроется в неисправленной ошибке в библиотеке fasttrun.so. Решение - откатиться на сборку 9.0.x Postgre@Etersoft.\nОшибка СУБД ERROR: type \u0026quot;mvarchar\u0026quot; does not exist at character 31 Возникает если база данных была создана без помощи системы 1С:Предприятия. Помните, для работы с 1С базы данных следует создавать только с использованием инструментов платформы 1С: через консоль Администрирование серверов 1С Предприятия или через средство запуска 1С. Сервер баз данных не обнаружен. ВАЖНО: пользователь \u0026quot;postgres\u0026quot; не прошёл проверку подлинности (по паролю) Очень простая ошибка. Неправильно указан пароль суперпользователя СУБД postgres. Вариантов решения два: вспомнить пароль или изменить его. Во втором случае вам нужно будет изменить пароль в свойствах всех существующих информационных баз через оснастку Администрирование серверов 1С Предприятия.\nСервер баз данных не обнаружен. FATAL: database \u0026quot;NAME\u0026quot; does not exist Еще одна очень простая ошибка. Смысл ее сводится к тому, что указанная БД не существует. Чаще всего возникает из-за ошибки в указании имени базы. Следует помнить, что информационная база 1С в кластере и база данных СУБД - две разные сущности и могут иметь различные имена. Также следует помнить, что Linux системы чувствительны к регистру и для них unf83 и UNF83 два разных имени.\n","id":"5b3aa85db7246fdf363c9a599e542183","link":"https://interface31.ru/post/tipovye-oshibki-ustanovki-servera-1s-i-postgresql-na-platforme-linux/","section":"post","tags":["1С Предприятие 8.х","PostgreSQL","Диагностика"],"title":"Типовые ошибки установки сервера 1С:Предприятие и PostgreSQL на платформе Linux"},{"body":"Мы часто используем веб-сервер Lighttpd в своих решениях, как быстрый и нетребовательный к ресурсам. Также мы рассказывали, как создать на его базе полноценный веб-сервер. Сегодня мы пойдем дальше и рассмотрим, как настроить сервер для работы с несколькими сайтами. Для этой цели предназначен механизм виртуальных хостов, который позволяет серверу обслуживать на одном IP-адресе необходимое количество сайтов с различными доменными именами.\nПрежде чем браться за настройки, необходимо определиться со структурой хранения данных. По умолчанию веб-сервер использует директорию /var/www, которая используется для размещения содержимого сайта. А если сайтов несколько? Размещать остальные в каком-то другом месте?\nЕдиного мнения на этот счет нет и быть не может. Каждый волен поступать так, как ему нравится. Но в любом случае желательно выработать систему, чтобы вы всегда знали где искать содержимое того или иного сайта. Мы придерживаемся следующей схемы: все данные сайтов хранятся в папках с именем сайта внутри /var/www, корень директории при этом не используется. Существует и другой вариант, который применяется в том случае, когда разные сайты принадлежат разным пользователям, в этом случае их содержимое логично будет расположить в домашних папках. Определившись со схемой хранения перейдем к настройкам сервера. Прежде всего создадим директории для сайтов и назначим их владельцем веб-сервер:\n1mkdir /var/www/example1.com 2chown www-data:www-data /var/www/example1.com 3 4mkdir /var/www/example2.com 5chown www-data:www-data /var/www/example2.com Откроем конфигурационный файл /etc/lighttpd/lighttpd.conf и найдем там опцию:\n1server.document-root = \u0026#34;/var/www/\u0026#34; Которая указывает корневую папку веб-сервера по умолчанию. Содержимое данной папки будет выведено, например, если обратиться к веб-серверу по IP-адресу. По умолчанию там будет страница-заглушка веб-сервера. Более правильным и логичным будет отдавать по умолчанию один из сайтов, например, example1.com, поэтому приводим опцию к виду:\n1server.document-root = \u0026#34;/var/www/example1.com/ Теперь опишем наши виртуальные хосты, для этого создаем в конце конфигурационного файла секции со следующим содержимым:\n1$HTTP[\u0026#34;host\u0026#34;] == \u0026#34;example1.com\u0026#34; { 2server.document-root = \u0026#34;/var/www/example1.com\u0026#34; 3server.errorlog = \u0026#34;/var/log/lighttpd/example1.com-error.log\u0026#34; 4accesslog.filename = \u0026#34;/var/log/lighttpd/example1.com-access.log\u0026#34; 5} Это минимальный набор опций для хоста. Первая строка указывает путь к корневой директории сайта, вторая и третья к логам ошибок и доступа соответственно. Если этого не сделать, то логи всех сайтов будут писаться в один файл, что неудобно.\nПри необходимости в секции можно добавлять любые опции, которые в этом случае будут перекрывать те, что указаны в глобальной секции.\nТакже настройки сайтов можно размещать в отдельных файлах, это позволит быстро включать и выключать необходимые сайты не прибегая к правке конфигурационного файла. Для этого в директории /etc/lighttpd/conf-available создадим файл конфигурации сайта:\n1touch /etc/lighttpd/conf-available/10-example1.conf После чего внесем в него указанное выше содержимое секции. Для включения сайта достаточно сделать символьную ссылку с файла конфигурации сайта в директорию /etc/lighttpd/conf-enabled:\n1ln -s /etc/lighttpd/conf-available/10-example1.conf /etc/lighttpd/conf-enabled Для отключения, соответственно, удаляем ссылку, не затрагивая сам файл конфигурации сайта.\nКазалось бы, можно перезапускать веб-сервер и переходить к работе с сайтами. Но не спешите, мы забыли про www. Сегодня, особенно далекие от администрирования веб-серверов, пользователи считают www необязательной \u0026quot;приставкой\u0026quot; перед именем домена, в тоже время с точки зрения веб-сервера и системы DNS www является полноценным хостом (доменом третьего уровня, поддоменом) в зоне имен родительского домена.\nТехнически сайты www.example.com и test.example.com абсолютно равнозначны, это домены третьего уровня, содержимое которых может быть совершенно произвольным и не обязано совпадать с содержимым сайта example.com. Исторически же сложилось так, что на поддомене www принято размещать сайт родительского домена, эта традиция восходит к временам становления интернета, когда сам факт наличия доменного имени совсем не предполагал наличия на нем веб-сайта. Доменное имя всего лишь представляло собой некоторое адресное пространство, внутри которого могли существовать различные хосты и сервисы. По мере роста вычислительных мощностей стало возможно держать все указанные службы на одном сервере, а развитие интернета стало подразумевать обязательное наличие сайта по доменному имени, что уже не требовало обязательного указания www перед именем сайта.\nНа сегодня ситуация такова, что для пользователей имена www.example.com и example.com являются одним и тем же адресом, в то же время технически представляя два разных хоста. Поэтому требуется принять ряд технических мер, для того чтобы пользователи по любому из вариантов адреса получали одинаковое содержимое.\nМы не видим никаких оснований использовать www в имени сайта, поэтому наиболее очевидным решением будет редирект с домена www на родительский домен. Для этого в файл**/etc/lighttpd/lighttpd.conf** нужно добавить следующую секцию:\n1$HTTP[\u0026#34;host\u0026#34;] =~ \u0026#34;^www\\.(.*)\u0026#34; { 2 url.redirect = ( \u0026#34;^/(.*)\u0026#34; =\u0026gt; \u0026#34;http://%1/$1\u0026#34; ) 3 } Это позволит автоматически перенаправлять пользователей, набравших в адресе сайта www на сайт без www для любого обслуживаемого данным веб-сервером домена. В последних версиях lighttpd данный мод уже входит в комплект поставки, для его активации необходимо создать символьную ссылку:\n1ln -s /etc/lighttpd/conf-available/10-no-www.conf /etc/lighttpd/conf-enabled После чего убедитесь, что в /etc/lighttpd/lighttpd.conf в секции server.modules включен mod_redirect, в противном случае раскомментируйте эту строку:\n1server.modules = ( 2 ... 3 \u0026#34;mod_redirect\u0026#34;, Теперь можно перезапустить веб-сервер и перейти к работе с сайтами:\n1service lighttpd restart Не следует забывать про www и при настройке DNS-зоны домена. Вы в обязательном порядке должны создать две записи типа A:\n1example.com. IN A 22.11.33.44 2www.example.com. IN A 22.11.33.44 Обе записи должны указывать на ваш веб-сервер. Аналогичные настройки вы должны осуществить на внутреннем DNS-сервере для доступа к сайту из внутренней сети.\nЕсли вы используете Microsoft DNS сервер, то вам нужно создать зону example.com, а в ней две записи, пустую и для хоста www, указывающие на адрес веб-сервера. Для используемого нами на платформе Linux dnsmasq потребуется для каждого сайта создать две записи:\n1address=/example.coml/192.168.31.80 2address=/www.example.com/192.168.31.80 Аналогичные записи следует создать и во всех иных случаях, для этого обратитесь к документации по используемому вами DNS-серверу.\n","id":"ce5d344395edb46f4d10f3d38dd0f77b","link":"https://interface31.ru/post/lighttpd-nastraivaem-virtualnye-hosty/","section":"post","tags":["DNS","Dnsmasq","lighttpd","Ubuntu Server","Web-сервер"],"title":"Веб-сервер Lighttpd - настраиваем виртуальные хосты"},{"body":"Глядя на стремительно множащиеся линейки жестких дисков очень трудно понять, где действительно специализированный диск, а где выделение обусловлено прежде всего маркетинговыми соображениями. Не так давно мы тестировали первый диск для накопителей WD Red, вслед за ним подоспела со своим решением Seagate, а теперь снова Western Digital представляет новинку - диск для систем хранения корпоративного уровня. Поэтому, как только появилась возможность, мы направили данный диск в нашу тестовую лабораторию.\nДолгое время корпоративная линейка SATA-дисков WD была представлена одной единственной моделью - Re (Raid Edition), которая позиционировалась как надежный и производительный диск для серверов. И вот теперь она пополнилась вторым участником - Se (Storage Edition), который специально рекомендован для NAS и систем хранения. Основной упор производителем делается на емкость и надежность при невысокой стоимости хранения, производительность при этом на первый план не ставится.\nВ общем деление корпоративных дисков выглядит вполне разумно, в отличие от \u0026quot;цветовой дифференциации штанов\u0026quot; в потребительском секторе, где большая часть линеек представляет собой вариации Green-серии со всеми присущими ей достоинствами и недостатками.\nЛинейка Red позиционируется как накопители для систем хранения начального уровня, с числом шпинделей до 5, однако на практике применение их кроме как в домашних NAS на два-три клиента становится затруднительным из-за катастрофического падения производительности при многопользовательском доступе.\nОпыт эксплуатации таких дисков в нашем файловом сервере для резервных копий и инсталляционных пакетов, а также хранилища музыки показал, что \u0026quot;задумчивость\u0026quot; этих дисков заметна невооруженным глазом и всегда можно было с уверенностью сказать, выполняется параллельно какая-либо дисковая операция или нет.\nПерейдем к герою нашего обзора. К нам в руки попал 1 Tb SATA 6Gb/s Western Digital Se WD1002F9YZ, стоимость данного диска составила 82 USD или 8,2 цента за 1 Гб емкости. Для сравнения WD Red аналогичной стоимости на момент тестирования стоил 71 USD или 7,1 цента/Гб, Seagate NAS еще дешевле - 6,4 цента/Гб. Посмотрим на общие характеристики диска, CrystalDiskMark: Перейдем к тестам HD Tune Pro. График чтения достаточно равномерен и выдает средние 142,7 МБ/с при 13,7 мс времени случайного доступа. Это значительно лучше, чем у одноклассников и лучше, чем у Constellation ES. Файловый тест показывает рост скорости с увеличением размера блока практически до 200 МБ/с, в то время как конкуренты упираются в потолок 100-150 МБ/с начиная с 16-32 КБ блока. Налицо оптимизация для производительной работы в системах хранения. Перейдем к одному из самых интересных тестов - времени случайного доступа. Уступая Constellation ES, новый диск от WD уверенно обходит Seagate NAS и не оставляет никаких шансов WD Red. Общий тест подытоживает вышесказанное и демонстрирует неплохую работу кэша. Следующим будет набор тестов на реальных сценариях, Intel NASPT. Результаты снова превосходят всех конкурентов, в том числе Constellation ES, незначительно уступая ему на операциях со случайным доступом.\nРассмотрим как ведет себя диск при многопоточной нагрузке. Один поток демонстрирует стабильно высокую скорость, выше всех конкурентов. На двух потоках диск также уверенно держит лидерство, причем скорость чтения остается стабильной весь период теста. Четыре потока. Там где \u0026quot;красный\u0026quot; WD просто \u0026quot;умер\u0026quot;, данная модель идет вровень с дисками от Seagate. Выводы По результатам тестирования мы остались крайне довольны этим диском. Western Digital еще раз показала, что умеет делать хорошие диски. Кроме систем хранения, где этот диск придется как раз к месту, его можно также рекомендовать для серверов начального уровня. Высокие показатели в сценариях случайного доступа делает его подходящим для широкого спектра задач, в том числе северов СУБД и виртуализации не предусматривающих высоких нагрузок.\nКроме того, учитывая незначительную разницу в цене - 11 USD - мы не видим смысла в приобретении дисков серии Red. Немного переплатив вы получите диск принципиально иного уровня. Субъективно, после замены Red дисков на Se, наш файловый сервер зажил новой жизнью, что было отмечено всеми без исключения сотрудниками.\nВ общем, данный диск можно смело рекомендовать к покупке для самого широкого спектра применений, так как WD Se представляет собой отлично сбалансированный диск по разумной цене.\n","id":"353c8bc1c54a497c1754056c6f931cb7","link":"https://interface31.ru/post/wd-se-diski-dlya-nas-korporativnogo-urovnya/","section":"post","tags":["HDD","NAS","Western Digital"],"title":"Western Digital Se - диски для NAS корпоративного уровня"},{"body":"Сегодня Wi-Fi прочно занял свое место в нашей жизни, превратившись из новой технологии в повседневность. Зайдя выпить кофе в кафе или присев на лавочку в сквере многие начинают искать ближайшую точку доступа, нисколько не задумываясь о вопросах безопасности. Практика показала, что слабое представление об угрозах в беспроводных сетях имеют не только пользователи, но и многие администраторы, подвергая серьезным рискам корпоративные системы.\nПочему именно Wi-Fi? Чем данная технология так привлекательна для злоумышленника? Чтобы ответить на этот вопрос, вспомним как работают проводные сети. Основу современных сетей составляют коммутаторы (свичи, switch), которые отправляют пакеты только на порт получателя исключая доступ к ним других хостов. Примечание. Мы сознательно не рассматриваем ситуации с внедрением в периметр сети разного рода вредоносного ПО, получению несанкционированного доступа к активному сетевому оборудованию и т.п., так как это выходит за рамки данной статьи.\nБеспроводные сети в силу особенностей среды передачи не могут обеспечить разграничения доступа к данным, пакеты, передаваемые клиентом или точкой доступа могут быть получены любым устройством в зоне действия сети. Даже если это ваша гостевая Wi-Fi и она надежно изолирована от корпоративной сети, все равно она подвержена тем же угрозам, особенно если ею пользуются ваши сотрудники с персональных устройств, а если они при этом еще обращаются к корпоративным сервисам, то риски возрастают многократно.\nМы не будем давать готовых механизмов атак на открытые сети, скажем только что доступность соответствующего ПО и инструкций делают эту задачу доступной даже для скучающих школьников.\nКроме того, мы советуем также рассматривать сети с шифрованием WEP как открытые, при наличии сетевой активности в сети для ее взлома требуется 5-10 минут, причем делается это специализированным ПО в автоматическом режиме и не требует от злоумышленника никаких специальных знаний.\nС WPA/WPA2 сетями ситуация обстоит намного лучше, при выборе надежного ключа и отказе от скомпрометированной технологии TKIP (в пользу AES) взломать такие сети без применения спецсредств и глубоких знаний практически невозможно. Опять-таки не будем забывать о защищенных сетях, ключ которых известен злоумышленнику, например, сеть в ресторане, где ключ выдается официантом вместе с заказом.\nСуществует ПО, например, CommView for WiFi, которое позволяет осуществлять перехват и расшифровку пакетов даже в закрытых сетях. Поэтому защищенные сети, ключ от которых известен широкому кругу лиц, следует также рассматривать как открытые, со всеми вытекающими из этого мерами предосторожности.\nОсновная угроза открытых сетей - это перехват и анализ вашего трафика. Поэтому присев в парке на скамейку и обнаружив открытую сеть, не спешите подключаться к ней, а подумайте кому она может принадлежать. Поэтому примите как аксиому, используя открытые сети не авторизуйтесь ни на каких ресурсах, передающих авторизационные данные в открытом виде. Злоумышленнику даже не нужен ваш пароль, который может быть передан в зашифрованном виде, вполне достаточно перехватить cookie, после чего он без проблем авторизуется под вашей учетной записью.\nЕсли вам все-таки надо авторизоваться, то убедитесь, что сайт поддерживает SSL и сертификат действительно принадлежит этому сайту. При этом избегайте подключения к ресурсам с самоподписанным сертификатом, подлинность которого вы не можете проверить. Об этом мы еще поговорим более подробно.\nТакже избегайте, а лучше всего никогда не используйте открытые сети для доступа к финансовой информации или совершения платежей.\nДругая опасность подстерегает нас там, где принадлежность точки доступа вроде бы известна. Злоумышленник может использовать еще одно свойство сетей Wi-Fi - при наличии в сети нескольких точек доступа, автоматически переключаться на ту, у которой лучше сигнал. Здесь в полный рост встает проблема безопасного доступа к корпоративным ресурсам, даже если в вашей организации не используется Wi-Fi. Где гарантия, что сотрудник сидя в парке или кафе не решит проверить корпоративную почту?\nНо даже если вы убедились, что точка доступа одна и принадлежит тому, кому надо, не спешите радоваться. Существует тип атаки ARP-spoofing, который способен направить ваш трафик через устройство злоумышленника. Наконец злоумышленник может просто собирать и анализировать Wi-Fi трафик не вмешиваясь в работу беспроводной сети, переведя свой Wi-Fi адаптер в режим мониторинга. Понятно, что повлиять на возможность перехвата пакетов в сетях Wi-Fi мы не можем в силу особенностей среды распространения. Отказ от использования Wi-Fi в организации также никак не обезопасит вашу инфраструктуру. К каждому сотруднику сторожа не приставишь и использовать корпоративные ресурсы через открытые сети не запретишь.\nЧто делать? Полностью отказаться от незашифрованных каналов доступа к данным. Используйте SSL где это возможно, там, где невозможно - VPN. Еще один момент связан с самоподписанными сертификатами. Использовать их можно исключительно внутри периметра безопасности, а лучше не использовать вообще. Если вас волнует вопрос безопасности - приобретите нормальный сертификат, не приучайте сотрудников игнорировать предупреждения безопасности.\nВ противном случае вы можете стать жертвой атаки \u0026quot;человек посередине\u0026quot;. Смысл ее сводится к тому, что при соединении с защищенным узлом злоумышленник самостоятельно получает сертификат от узла, передавая клиенту собственный сертификат. Вполне понятно, что браузер отреагирует на такое вмешательство предупреждением безопасности. Однако если вы приучили своих сотрудников игнорировать данное предупреждение, используя самоподписанный сертификат, то они, как говорится, не заметят разницы и благополучно проигнорируют его и сейчас.\nПоэтому если вы все-таки используете самоподписанные сертификаты, то не поленитесь установить на каждое устройство корневой сертификат, чтобы избежать появление данного предупреждения, что поможет избежать появления привычки его игнорировать.\nПо этой же причине мы не рекомендуем использовать технологию ssl-bump, которая предназначена для фильтрации SSL-трафика на шлюзе. Стремление фильтровать трафик понятно, но безопасность дороже, кроме того, в случае компрометации шлюза вы своими руками выполните атаку \u0026quot;человек посередине\u0026quot; на свою организацию.\nВ завершение мы советуем всем администраторам, даже не использующим Wi-Fi, ответственно подойти к данному вопросу и исключить возможность передачи незашифрованных авторизационных данных за пределами периметра сети.\n","id":"3d0e148dc0b2907c829ac7fd4fc799c9","link":"https://interface31.ru/post/bezopasnost-v-setyah-wi-fi-chast-1-otkrytye-seti/","section":"post","tags":["Wi-Fi","Безопасность","Сетевые технологии"],"title":"Безопасность в сетях Wi-Fi. Часть 1 - открытые сети"},{"body":"Продолжая тему ошибки формата потока 1С разберем еще одну типичную ситуацию. В данном случае одноименную ошибку мы получили при попытке вызвать отчет, при этом ни тестирование и исправление базы в Конфигураторе, ни проверка утилитой chdbfl результатов не принесли. Все проверки утверждали, что база исправна, также мы без проблем выгрузили - загрузили базу через DT-файл и спокойно смогли обновить. Самое время проанализировать ситуацию.\nНачнем с начала, ничто не предвещало беды - никаких аварийных состояний или сбоев. Просто в один день при попытке вызвать отчет Оборотно сальдовая-ведомость мы получили ошибку формата потока. Стало ясно, что ошибка кроется где-то в настройках конкретного пользователя, однако очистка профайлов не дала никакого результата. Поэтому было решено изучить информацию об ошибке более подробно (что и надо было сделать в самом начале). Сразу обращает на себя внимание сообщение:\n1Ошибка при вызове метода контекста (Получить) 2 СтруктураПараметров = СохраненнаяНастройка.ХранилищеНастроек.Получить(); 3по причине: 4Ошибка формата потока Дальше становится понятнее. Идем в хранилище настроек отчетов: Операции - Справочники - Сохраненные настройки. Затем переходим к Удалению помеченных объектов и удаляем настройку. После чего проверяем отчет - Оборотно-сальдовая ведомость нормально открывается и формируется. Подобная ситуация может возникнуть с любым иным отчетом, но несмотря на пугающее сообщение об ошибке формата потока, решение предельно просто и доступно самим пользователям. Главное не паниковать и не теряться, а внимательно изучить всю доступную информацию об ошибке, как правило она содержит сведения, позволяющие быстро отыскать пути решения.\n","id":"22c6181e3af3c61a4ba7565cdeb48d21","link":"https://interface31.ru/post/1spredpriyatie-8-oshibka-formata-potoka-pri-vyzove-otchetov/","section":"post","tags":["1С Предприятие 8.х","Диагностика"],"title":"1С:Предприятие 8. Ошибка формата потока при вызове отчетов"},{"body":"Предлагаем вашему вниманию начало цикла статей нашего зарубежного коллеги, который согласился рассказать нам простым и понятным языком об использовании Linux-систем в Европе, в частности в Германии. Несмотря на то, что данные материалы не являются техническими, нам кажется, что зарубежный опыт использования альтернативных систем будет интересен широкому кругу читателей.\nГраждане, регулярно мойте окна! Вынужден признаться - я только один раз купил Windows. Это была \u0026quot;готичная\u0026quot; Win3.11 и она прилагалась к моему самому первому компьютеру. Шёл 1994 год. Через дальнейшие Win95, Win98, Win2000 и WinXP я пробирался уже с помощью самопальных дисков. Майкрософт не очень-то заботилась о защите от копирования - слишком просто находились разные несложные способы обхода проверки операционной системы на оригинал. Конечно - каждый домашний простофиля старался заполучить самую \u0026quot;крутую\u0026quot; версию очередной \u0026quot;Винды\u0026quot;. Плюс - интернет буквально распух от обилия самого нового и профессионального программного обеспечения. Качай, ставь \u0026quot;кряки\u0026quot; - вуаля!\nГде не было интернета - там продавались с рук любовно записанные на один компак-диск \u0026quot;наборы\u0026quot;, которые запросто могли содержать и актуальный Photoshop и новый MSOffice по 100 рублей за всю кучу. (примечание касается России, ибо в Германии такого не было в принципе)\nЯ уверен, что именно поэтому многие пользователи не смотрели за край своей тарелки - Windows удовлетворял потребности не только в домашних условиях, но и на рабочем месте. Многие мои знакомые осваивали компьютер именно на работе и потом покупали компьютер домой, конечно-же с Windows, да желательно той-же версии. Привычка - наша вторая натура.\nГоду в 1995-96 я застукал своего приятеля за пользованием какой-то новой системы. На компьютерных курсах ему показали Debian, тогда ещё линукс был в диковинку, но приятель к новинке прикипел, а Windows использовал только для игр. Я тоже заразился любопытством, изредка пробовал поставить на свой компьютер какой-то новый вариант линукса, но всё равно возвращался к Windows - меня отпугивало \u0026quot;консольное кун-фу\u0026quot;. Помню - принёс другу музыку на компакт-диске, а он стал делать для себя mp3, причём в мазохистской форме - через терминал. И я понял - так быстро мы с линуксом не слюбимся. 15-20 лет назад линукс был профессиональным инструментом для айтишников-энтузиастов.\nНо всё-же - линуксоидная экзотика манила меня своим духом «элитарности», и я терпеливо продолжал присматриваться. Главное - я ждал систему, которая сносно устанавливается, которая обходится без того, чтобы пользователь опускался до уровня своего компьютера. Моё мнение тогда и сейчас: \u0026quot;Всё для человека, всё во имя его блага\u0026quot;.\nПрогресс Пока я дорастал до Win2000 - линукс сделал пару хороших шагов навстречу пользователям. Появились графические инсталляторы, благодаря которым заучивание консольных команд и создание разделов \u0026quot;руками\u0026quot; стало отходить на задний план. Red Hat, Fedora, SuSe - эти дистрибутивы стали всё чаще появляться на моём компьютерном горизонте. Размеры оперативной памяти компьютеров выросли до таких объёмов, что позволили использовать так называемые live-system - загружать всю оперативную систему в память и хотя-бы просто \u0026quot;играть в линукс\u0026quot;.\nПервый реальный шанс испробовать полноценную инсталляцию линукса я негаданно получил в 2005 году. Приехали друзья из Прибалтики и попросили помочь в покупке компьютера. Очень волновались, что увезут домой нерабочий аппарат, и я предложил им проверить работу компьютера - установил с диска Fedora 4, подключил к интернету и переставил всё на латышский язык. Ребята были в восторге. Компьютер был явно исправен. В 2009 году я купил новый ноутбук и сразу разметил диск под две системы - Windows XP и линукс. На первых порах я пользовался Linux Mint, но перешёл на Ubuntu, который позднее \u0026quot;развил\u0026quot; до Kubuntu. Рабочее окружение KDE больше радует мой глаз. Почти 4 года я бесперебойно пользовался дома Kubuntu, а \u0026quot;большой компьютер\u0026quot; с Windows XP изредко включался \u0026quot;погонять CoD\u0026quot; и стоял без дела. Для всех нужд я подобрал программы под линукс. В прошлом году я купил другой ноутбук, на котором пишу этот текст. Теперь уже только с одной системой - Ubuntu, которая была предустановлена.\nРасставание О том, что Windows XP будет отправлен ко своим праотцам - старым версиям, было давно известно. Но никто особенно не торопил события. К Windows Vista практически все юзеры питали отвращение, что принудило Билла Гейтса, и сотоварищи бешено грести сразу в обе стороны - искать новые шансы для Майкрософт, но и предлагать \u0026quot;даунгрэйд\u0026quot; тем, кого тошнила кривая версия Vista. Я тихо пересидел эти \u0026quot;страдания\u0026quot; в тени линукса.\n8 апреля 2014 года WinXP был окончательно отправлен в отставку. Как в той шуточке про больного: \u0026quot;Врач сказал в морг - значит в морг!\u0026quot;. Дождавшись новой версии Ubuntu/Kubuntu от 17 апреля, я сделал бэкап своих файлов и отформатировал компьютер, на котором была Windows XP... Даже немного затосковал по старым временам. Мой компьютер не годен под Windows 7 или 8. Покупать новый? Нет. Я экономлю деньги, не выбрасываю нормальный рабочий аппарат и получаю безвирусную полноценную систему.\nЯ поставил линукс.\nВиктор Хартманн Берлин апрель 2014\n","id":"c35d937c7dbf89c3c45ab3f4c2de4189","link":"https://interface31.ru/post/pereehat-tri-raza-ili-sgoret-razok/","section":"post","tags":["Linux","Рабочее место"],"title":"Переехать три раза или сгореть разок..."},{"body":"12 апреля был выпущен первый релиз отечественного антивируса xCore, данное событие так бы и прошло незамеченным, если бы не достаточно активная пиар-кампания в сети интернет. А обещали нам ни много, ни мало - бесплатный продукт, в т.ч. и для коммерческого использования, не уступающий при этом коммерческим разработкам. В связи с этим у нас возникло вполне объяснимое желание поближе познакомиться с продуктом.\nАнтивирус доступен для скачивания на официальном сайте ru.avxcore.com, где довольно подробно описываются достоинства продукта и деликатно умалчиваются недостатки. Начнем с последних. Программа нестабильно работает в среде Windows 8 x64 - это довольно серьезная недоработка, но не главная. Самый серьезный недостаток - отсутствие защиты в реальном времени. По сути перед нами антивирусный сканер с проактивной защитой и файрволом.\nВнешне продукт выглядит довольно неплохо, настройки довольно понятны, однако нас настрожил один пункт в настройках сканера: Отсутвие возможности лечить зараженные файлы - еще один серьезный недостаток. Если вам \u0026quot;повезет\u0026quot; подхватить, скажем, вирус семейства Sality - то после \u0026quot;лечения\u0026quot; xCore большую часть ваших файлов вы не найдете, а систему придется переустановить.\nТакже довольно слаба интеграция с системой. В меню Пуск папка программы содержит только ссылку на удаление а через контекстное меню Проводника нет возможности быстро проверить файл или папку. Также xCore при установке не определяет антивирусные продукты других производителей, так нам пришлось вручную отключать Windows Defender, с другой стороны, по причине отсутсвия в xCore резидентного модуля, данная проблема пока неактуальна и придираться к этому факту не стоит.\nВ любом случае эффективность антивируса определяется не его интерфейсом и инсталлятором, а способностью находить и обезвреживать вредоносное ПО. Чтобы выяснить насколько эффективен xCore мы провели небольшое антивирусное тестирование, для которого использовали базу сигнатур VirusSignList за март 2014 года в количестве 6977 сэмплов. Результат показывает количество обнаруженных сигнатур в процентах от общего числа.\nВ тестировании также приняли участие:\nKaspersky Anti-Virus 2014 (14.0.0.4651) Dr.Web 9.0 avast 2014.9.0.2016 Comodo 7.0.315459.4132 Windows Defender 4.4.304.0(входит в состав ОС) Тестирование производилось на платформе Windows 8.1 х32, в результате теста нами были получены следующие результаты: Ну что тут можно сказать? Очень слабо. В нынешнем виде xCore может составить конкуренцию только Windows Defender (он же Microsoft Security Essentials), да и то, последний имеет защиту в реальном времени. До существующих игроков антивирусного рынка разработчикам пока далеко.\nОстальные результаты оказались ожидаемы: отличные у платных, чуть похуже у бесплатных. По сравнению с прошлым тестированием подтянули результат avast и Dr.Web.\nВозможно проактивная защита как-то сумеет скрасить ситуацию? Мы наугад запустили 5 сэмплов из числа необнаруженных, проактивная защита среагировала только один раз: Однако никакого указания на потенциальную вредоносность процесса данное сообщение не содержит и не отличается от реакции проактивки на вполне легальные приложения, поэтому говорить о данном виде защиты пока не приходится.\nНа других сэмплах мы получили сообщение файрвола о непонятной сетевой активности: Хотя это уже констатация факта заражения, а не защита от него. В тоже время работа файрвола не вызвала у нас никаких нареканий и вопросов.\nА вот \u0026quot;Защита USB дисков\u0026quot; самая непонятная нам функция. Ее работа осталась для нас полной загадкой, мы специально создали и разместили на флешке autorun-файл, имитирующий действие вредоносного ПО, а позже намеренно заразили ее autorun-вирусом, однако никакой реакции со стороны xCore не последовало. В общем, говорить о полноценной защите в лице xCore пока преждевременно. Но в тоже время продукт нам понравился, для релиза молодой команды, не имеющей своей лаборатории и серьезной финансовой поддержки это очень неплохо. Единственное хотелось бы пожелать перенести фокус в продвижении с маркетинговой стороны на техническую. Привлечение к продукту в его текущем виде неопытных пользователей может дать обратный эффект - разочарование и вал отрицательных отзывов.\nА пока пожелаем разработчикам успехов и будем следить за развитием проекта.\n","id":"81daea1dbc79884e7b5900c243dd5ae7","link":"https://interface31.ru/post/xcore-antivirus-pervyy-blin-komom/","section":"post","tags":["avast","Comodo","Dr.Web","Kaspersky","Windows Defender","xCore","Антивирус"],"title":"xCore Антивирус. Первый блин - комом?"},{"body":"Планируя внедрение Zimbra или уже установив данный программный продукт в своей организации практически каждый администратор задумывается о правильном лицензировании и отличиях между бесплатной и коммерческой версиями. На первый взгляд ничего сложного, однако сайт производителя не спешит внести ясность, а только сильнее запутывает, рассказывая о возможностях и обходя вниманием ограничения. Но мы все-таки решили разобраться в данном вопросе и у нас это получилось.\nВ основу данного материала положена только официальная информация, а именно содержимое Руководства Администратора, которое содержит все необходимые сведения. Почему нельзя было размесить тоже самое в доступном месте на сайте - оставим на совести разработчиков.\nСтоит напомнить, что в 2013 году Zimbra была куплена у VMWare компанией Telligent Systems и многочисленные ссылки на правила лицензирования от VMWare являются неактуальными. На текущий момент существуют две версии Zimbra: бесплатная Open Source Edition (OSE) и коммерческая Network Edition (NE). Какой-либо информации о делении коммерческой версии на редакции на данный момент у нас нет.\nЛицензирование Zimbra Open Source Edition (OSE) Как следует из названия, данная редакция Zimbra является программным обеспечением с открытым исходным кодом и распространяется по OSI (Open Source Initiative) совместимым лицензиям. Вы можете свободно использовать, распространять и изменять ПО в той мере, в которой это не противоречит используемым лицензиям.\nПроще говоря, Zimbra OSE не содержит каких-либо ограничений и может быть свободно использована для любых целей, в т.ч. и коммерческих.\nЛицензирование Zimbra Network Edition (NE) Лицензирование коммерческой версии Zimbra основано на лицензиях для учетных записей. Разные типы лицензий покрывают различные возможности аккаунтов и позволяют достаточно гибко управлять доступными функциями. Существуют следующие виды лицензий:\nAccounts limit - ограничивает максисмальное количество учетных записей. Mobile accounts limit - ограничивает максимально количество учетных записей с поддержкой мобильных клиентов. Touch Client accounts limit - ограничивает количество учетных записей с поддержкой сенсорного интерфейса. MAPI accounts limit - ограничивает количество аккаунтов с поддержкой Zimbra Connector for Outlook Exchange Web Services (EWS) accounts limit- ограничивает количество аккаунтов с поддержкой EWS. High-Fidelity Document Preview - ограничивает количество учетных записей с поддержкой предварительного просмотра документов. Archiving Accounts limit - ограничивает количество архивных учетных записей. Доступны следующие варианты поставки:\nTrial - пробная версия, доступна на сайте разработчика, содержит ограничение на 50 аккаунтов и истекает через 60 дней. Trial Extended - пробная расширенная, предоставляется по запросу и отличается от пробной расширенным сроком действия. Subscription - подписка, основной вариант поставки, предусматривает лицензирование необходимого числа аккаунтов на определенный промежуток времени. Perpetual - постоянная, отличается от подписки неограниченным сроком действия, точнее срок подписки заканчивается 31.12.2099. Различные типы аккаунтов Zimbra лицензируются различным образом:\nSystem accounts - системные учетные записи, например, антивируса, антиспама, GAL. Не требуют лицензии. Administrator account - аккаунты администраторов, требуют лицензию. User accounts - аккаунты пользователей, требуют лицензию. Alias account - алиасы, не требуют лицензии. Distribution list - листы рассылки, не требуют лицензии. Resource account - учетные записи ресурсов, не требуют лицензии. По истечении срока лицензии наступает 30-дневный льготный период, в это время выводится сообщение об окончании лицензии, но никаких ограничений не производится. По окончании льготного периода возможности Zimbra Network Edition ограничиваются до возможностей бесплатной редакции Open Source Edition. Также становится невозможным создание новых учетных записей, чтобы снять это ограничение необходимо продлить лицензию либо перейти на Zimbra OSE.\nСравнение возможностей Zimbra OSE и Zimbra NE Теперь мы подошли к самому интересному - сравнению возможностей. Данная информация равномерно распределена по разным разделам руководства, что не позволяет быстро получить цельную картину, поэтому мы постарались собрать ее в сводную таблицу.\nZimbra OSEZimbra NE\rПочтовый сервер SMTP, IMAP(S), POP(S)\rВеб-интерфейс\rПоддержка мобильных почтовых клиентов\rМобильное приложение для сенсорных устройств\rВеб-интерфейс для мобильных устройств\rКалендарь\rЗадачи\rГлобальная адресная книга\rИнтеграция с AD\rПортфель\rПоддержка ActiveSync\rИнтеграция с Exchange (MAPI)\rПоддержка Exchange Web Services (EWS)\rПредварительный просмотр документов\rZimbra Connector for Outlook\rZimbra Connector for Blackberry\rШифрование S/MIME\rАнтивирус и антиспам\rИнструменты резервного копирования\rМультисерверная конфигурация\rДелегирование административных ролей\rПоддержка голосовых сервисов\rАрхивирование\rРебрендинг веб-интерфейса\r","id":"36e2d7286aa9407e0d28e57393235e15","link":"https://interface31.ru/post/sravnenie-vozmozhnostey-besplatnoy-i-kommercheskoy-versiy-zimbra/","section":"post","tags":["E-mail","Zimbra","Лицензирование"],"title":"Сравнение возможностей бесплатной и коммерческой версий Zimbra"},{"body":"В прошлом материале мы рассмотрели возможности VMWare Workstation в том, что касается совместимости с разными типами ОС и работы с сетями. Сегодня мы заглянем глубже и разберем настройки, позволяющие работать с широким спектром периферийных устройств и некоторые иные полезные опции, которые значительно расширяют возможности программы, но при этом неочевидны и не представлены в графическом интерфейсе.\nПечать Начиная с версии виртуального аппаратного обеспечения 7 в VMWare добавлена технология ThinPrint для всех поддерживаемых операционных систем. Для ее включения достаточно установить пакет VMWare Tools, не забыв добавить принтер в настройках виртуального железа. Данная технология хорошо известна тем, кто настраивал печать в терминальных средах, смысл ее заключается в том, что в гостевую систему посредством универсального драйвера ThinPrint пробрасываются все доступные принтеры хоста, вне зависимости от их поддержки гостевой операционной системой. Теперь вы можете печатать на любой доступный в системе принтер из любой поддерживаемой гостевой ОС абсолютно не задумываясь о настройках. В тоже время остается возможность непосредственного подключения принтера в гостевую систему, в этом случае вам потребуется самостоятельно установить необходимые драйвера и настроить подсистему печати в текущей гостевой ОС.\nУстройства USB В наше время без USB никуда, можно без преувеличения сказать, что это самый распространенный интерфейс для подключения самых разнообразных устройств. В VMWare Workstation реализована полноценная поддержка данного интерфейса, а начиная с версии 8 аппаратного обеспечения добавлена поддержка USB 3.0.\nРабота с USB предельно проста, все доступные устройства показаны в статус-баре, для подключения или отключения достаточно щелчка правой кнопкой мыши и выбора необходимого действия, при этом данное устройство будет отключено от хоста. Настройки USB также предельно лаконичны. Мы можем выбрать тип виртуального USB-контроллера, при этом доступен как современный USB 3.0, так и устаревший USB 1.1, что дает возможность проверить работу оборудования с любым типом интерфейса. Отдельного внимания заслуживает опция Show all USB input devices, которая позволяет подключать к виртуальной машине любые USB-устройства ввода, которые по умолчанию скрыты. Это может потребоваться при необходимости работы в гостевой ОС с оборудованием, которое устанавливается в систему как USB устройство ввода, например, сканеры ШК или считыватели магнитных карт. Дисковые устройства Основу дисковой подсистемы VMWare составляют виртуальные жесткие диски, которые представляют собой файл или набор на файлов на любом доступном носителе, поэтому следует помнить, что производительность виртуального диска в первую очередь зависит от производительности физического диска, на котором размещается файл образа.\nЕсли мы откроем мастер создания нового виртуального диска, то увидим, что нам предложен выбор виртуального интерфейса подключения: Режимы подключения влияют на совместимость диска с различными типами гостевых ОС, по умолчанию рекомендуется IDE режим, который совместим со всеми типами гостевых ОС. SCSI режим совместим также со всеми гостевыми ОС имеющими драйвер LSI Logic или BusLogic SCSI контроллера. SATА режим поддерживается не всеми гостевыми ОС, в ряде случаев загрузка с такого диска будет невозможна.\nДля загрузочных дисков по умолчанию предлагается SCSI или SAS тип контроллера, как наиболее производительный и нет никакого смысла менять эти настройки, разве что в порядке эксперимента.\nГалочка Independent включает независимый режим работы диска, который исключает его из создаваемых снимков системы (снапшотов). Режим имеет два варианта, Persistent - когда содержимое диска сохраняется при выключении или восстановлении из снапшота, и Nonpersistent - когда все изменения диска сбрасываются.\nДанный режим следует использовать для дисков, которые подключаются к виртуальной машине временно, в противном случае отключив диск и удалив его образ в целях экономии места вы можете столкнуться с проблемой загрузки системы, восстановив ее из снапшота, который использовал данный диск.\nPersistent режим полезен, когда вам нужно использовать одно и тоже содержимое, переключаясь между снапшотами, а Nonpersistent окажется к месту при работе с опасными средами, например, при исследовании вредоносного ПО. В этом случае можно быть уверенным, что вирус случайно не вырвется за пределы виртуальной машины.\nТакже имеется возможность подключать в виртуальную машину физические жесткие диски, как полностью, так и на уровне разделов. В этом случае при подключении следует указать физический номер диска, который можно подсмотреть в оснастке Управление дисками. При подключении физических дисков мы рекомендуем всегда включать независимый режим (Independent), также не забывайте, что все изменения, которые вы внесете на диск, будут применены к реальной системе, поэтому всегда внимательно проверяйте какой именно диск и с какими данными вы подключаете в гостевую ОС.\nДля обслуживания виртуальных дисков предназначен свой набор инструментов. Не нуждается в комментариях, пожалуй, только дефрагментация, но при этом следует помнить, что дефрагментация внутри виртуального диска имеет смысл только в том случае, если файл диска не фрагментирован, иначе смысл этого процесса сведется к простой перетасовке фрагментов без какого-либо эффекта.\nКоманда Expand позволяет увеличить размер виртуального диска, при этом размеры существующих разделов изменены не будут, в дальнейшем вы можете самостоятельно изменить размер раздела, использовав для этого соответствующие утилиты или создать на свободном месте еще один раздел.\nCompact наоборот позволяет уменьшить размер файла виртуального HDD, что актуально при использовании дисков динамического размера. Как известно фактический размер таких дисков обусловлен размером содержащихся на них данных, а указанный в свойствах размер диска отражает верхний лимит размера. При увеличении размера данных внутри виртуального диска растет и его файл, а вот при удалении части информации уменьшения размера файла диска не происходит. Рекомендуется использовать Compact после удаления из виртуальной машины значительных объемов информации в целях экономного расходования дискового пространства.\nУтилита Map позволяет подключить к хостовой системе тома виртуального жесткого диска, как сетевой диск, но при этом хост должен уметь работать с файловой системой виртуального раздела, так подключив к Windows виртуальный диск скажем с ext4 вы не сможете без дополнительных инструментов прочитать информацию.\nРабота с COM- и LPT-портами В отличие от устаревшего LPT, COM-интерфейс (RS-232) продолжает широко использоваться в современной технике, сегодня его применение стало стандартом де-факто для различного промышленного и торгового оборудования, встраиваемых систем, систем безопасности т.п. При этом физически устройства могут подключаться к ПК и с помощью иных интерфейсов, например, USB или Bluetоoth, программно эмулируя COM-порт.\nVMWare позволяет пробрасывать в виртуальную машину любой доступный в хостовой системе COM- или LPT - порт, что позволяет работать с соответствующим оборудованием внутри гостевых ОС. Гораздо более интересны две другие опции. Одна из них позволяет направить вывод с COM- или LPT-порта виртуальной машины в файл на хосте. Это может быть полезно при отладке приложений, работающих с данными портами, можно быстро и просто, без привлечения стороннего ПО получить вывод в порт в текстовом виде. Наконец третья опция доступна только для COM-портов и позволяет направить их вывод в именованный канал. С другой стороны канала может быть, как другая виртуальная машина, так и приложение хостовой системы. Это позволяет подключаться к COM-порту самой виртуальной машины и взаимодействовать с ним, скажем для отладки, а подключив с другого конца еще одну виртуальную машину мы фактически свяжем их нуль-модемным кабелем.\nГлядя на следующий скриншот \u0026quot;старички\u0026quot; могут смахнуть ностальгическую слезу, мы настроили сетевое соединение через нуль-модемный кабель и передали по нему файл. Однако применение данной возможности гораздо прозаичнее, именованные каналы позволяют эмулировать работу с торговым или промышленным оборудованием не имея его самого. Чаще всего передаваемые таким оборудованием данные строго регламентированы, поэтому настроив в виртуальной машине приложение на использование COM-порта, подключенного к именованному каналу и передавая с другой стороны типовые пакеты данных или команды можно полноценно анализировать и отлаживать работу с таким оборудованием.\nНиже показана успешная эмуляция сканера штрих-кода для 1С:Предприятия Моментальные снимки (снапшоты) Полезность моментальных снимков трудно переоценить, снапшоты дают возможность сохранять неограниченное количество состояний виртуальной машины и переключаться между ними. Это может быть полезно при отладке какой-нибудь технологии, после каждого успешно завершенного этапа делается снимок и если далее что-то пойдет не так, то всегда можно вернуться на несколько шагов назад или опробовать альтернативный вариант.\nДругое применение моментальных снимков - создание множественных состояний гостевой системы с различными настройками, что позволяет быстро перейти к нужной конфигурации в пределах одной системы. Эту возможность мы широко используем в учебных и экспериментальных целях, в правой части рисунка показано дерево снапшотов системы использующейся для тестирования антивирусов в нашей лаборатории. В тоже время моментальные снимки имеют ряд существенных недостатков, которые делают их использование в производственных средах категорически нежелательным.\nВо-первых, при создании каждого нового снимка запись в основной виртуальный диск прекращается, создается еще один файл разностного диска и все изменения записываются туда, при создании еще одного снимка в цепочке создается еще один разностный диск и т.д. В итоге это приводит к существенным накладным расходам по операциям дискового ввода-вывода, так как обращение к файлу проходит через всю цепочку виртуальных дисков.\nВо-вторых, при создании снапшота также создается файл состояния, размер которого равен объему используемой виртуальной машиной оперативной памяти. Ниже показана часть папки с файлами виртуальной машины из нашей тестовой лаборатории, обратите внимание на размер и количество файлов состояния. Тут есть от чего затосковать и вспомнить о дедупликации. Отсюда вытекает еще одно правило: если вы активно используете снапшоты - выделяйте виртуальным машинам минимально необходимый объем оперативной памяти.\nТакже старайтесь не создавать длинных последовательных цепочек снимков, после того как вы все настроили лишние промежуточные состояния лучше удалить, этим вы повысите производительность дисковой подсистемы виртуальной машины.\nВиртуалка в виртуалке На первый взгляд запуск внутри виртуальной машины еще одного гипервизора лишен особого смысла, в производственной среде это так, но в настольных системах такая потребность возникает весьма часто. Например, нужно смоделировать и протестировать создание отказоустойчивого кластера Hyper-V, не будете же вы выделять под это дело три сервера, когда есть VMWare Workstation?\nНаиболее просто запустить в виртуальной среде родной гипервизор VMware ESXi, для этого достаточно при создании новой виртуальной машины выбрать соответствующий тип гостевой системы. Для других гипервизоров придется повозиться, но ничего сложного нет. Перейдем в настройки виртуального процессора и выберем режим виртуализации Intel-VT/EPT или AMD-V/RVI, а затем разрешим виртуализацию этих инструкций (галочка ниже). А затем откроем конфигурационный VMX-файл виртуальной машины и добавим туда строку:\n1hypervisor.cpuid.v0 = \u0026#34;FALSE\u0026#34; Это не даст гостевой ОС определить, что она работает в гостевой машине, после чего никаких проблем с запуском стороннего гипервизора внутри виртуальной машины возникнуть не должно. При этом следует ясно осознавать, что данное решение годится только для тестовых целей, так как ожидать высокой производительности от такого решения по меньшей мере наивно. Хотя справедливости ради отметим, что производительность виртуалок в виртуалке сохраняется на приемлемом для комфортной работы уровне.\nНиже показана запущенная в среде Hyper-V гостевая система с Ubuntu Server, которые работают внутри VMWare Workstation. UEFI вместо BIOS\nНачиная с версии 10 виртуального железа VMWare полноценно поддерживает UEFI, однако никаких графических настроек, позволяющих включить этот режим нет. Для того чтобы использовать UEFI вместо BIOS добавьте (или измените) в VMX-файл опцию:\n1firmware = \u0026#34;efi\u0026#34; Запускаем виртуальную машину и убеждаемся, что вместо BIOS используется UEFI. Теперь можем устанавливать поддерживающие эту технологию гостевые ОС, следует также отметить, что в данной версии VMWare Workstation технология Secure Boot не поддерживается.\n","id":"6d4829cacd20c7dc3bc91f97e24aafdd","link":"https://interface31.ru/post/vmware-workstation-shirokie-vozmozhnosti-nastolnoy-virtualizacii-chast-2/","section":"post","tags":["VMWare","Виртуализация"],"title":"VMWare Workstation - широкие возможности настольной виртуализации. Часть 2"},{"body":"Работая с виртуализацией периодически возникает потребность в переносе виртуальных машин с одного типа гипервизора на другой. Так как каждая система виртуализации работает со своими форматами, то просто так перенести машину не удастся, потребуется преобразовать ее в формат нужного гипервизора. Сегодня мы расскажем, как это сделать для двух наиболее популярных систем виртуализации VMWare и Hyper-V.\nЛюбая виртуальная машина, вне зависимости от платформы, состоит из двух основных частей: собственно, виртуальной машины - текстового или XML-файла с описанием ее конфигурации и виртуального жесткого диска. Переносить саму виртуальную машину не имеет никакого смысла, мы же не переносим железо, если нам надо запустить систему на другом ПК, достаточно перенести виртуальный диск.\nФорматы виртуальных дисков у разных гипервизоров также различны, однако это не представляет сложности - достаточно использовать специализированное ПО для конвертации. Единственная тонкость - гостевая ОС должна поддерживаться обоими типами гипервизора. В противном случае придется предпринимать дополнительные меры для обеспечения нормальной работы, однако эта тема выходит за рамки данной статьи.\nРассмотрим процесс на реальном примере. Один наш клиент приобрел коробочную версию \u0026quot;Мегаплан\u0026quot;, который разработчики распространяют весьма оригинальным способом: в виде образа виртуальной машины формата Open Virtualization Format (OVF), который поддерживают VMWare и VirtualBox. Собственно, внутри виртуалки содержится Ubuntu 12.04 с настроенным веб-сервером, СУБД и прочими компонентами необходимыми для работы \u0026quot;Мегаплана\u0026quot;, который представляет собой обычное веб-приложение. При этом лицензионное соглашение запрещает доступ к гостевой ОС.\nОставим за кадром лицензионную политику и удивимся только тому, что продавая, причем недешево, серверное ПО уровня предприятия, разработчики полностью игнорируют серьезные гипервизоры вообще, предлагая воспользоваться настольными гипервизорами второго типа. Если с VMWare это не составляет особых проблем, OVF импортируют все ее продукты \u0026quot;из коробки\u0026quot;, то владельцам Hyper-V повезло меньше, импорт OVF возможен только через модуль к System Center - Virtual Machine Manager. Поэтому придется идти другим путем - конвертацией виртуальной машины формата VMWare.\nДля первоначального развертывания воспользуемся любым продуктом VMWare, с помощью которого произведем импорт OVF файла в виртуальную машину. Затем, не запуская ее, внимательно изучим настройки, особенно в той части, которые касаются выделяемых ресурсов и сети. Если виртуальная машина уже работала на платформе VMWare (как чаще всего и бывает), то удаляем из нее VMWare Tools и выключаем машину.\nТеперь можно приступать к конвертации виртуального диска. Для этого воспользуемся бесплатной утилитой StarWind V2V Converter. Ее интерфейс и использование предельно просты. Выберем исходный виртуальный диск (файл с расширением vmdk). Как видим, это расширяемый диск размером 97,7 ГБ, теперь выберем необходимый формат, для Hyper-V это формат MS Virtual PC. Нам доступны два варианта диска: расширяемый (growable) и pre-allocated, когда место выделяется на диске сразу. Нас интересует первый вариант. По окончании конвертации в папке с виртуальной машиной появится второй файл виртуального диска в формате Hyper-V. Его следует скопировать отсюда и разместить в хранилище виртуальных дисков Hyper-V. Теперь создадим новую виртуальную машину Hyper-V первого поколения и в опциях выбора жесткого диска укажем на сконвертированный файл. После создания перейдем к настройкам и выделим ресурсы согласно тем требованиям, которые были в настройках машины в VMWare, при этом указанные там параметры не догма, руководствуйтесь здравым смыслом и собственной оценкой необходимых ресурсов. Не забудьте проверить и настроить специфичные для вашего гипервизора параметры, например, действия при запуске или завершении работы хоста. После чего можем запускать нашу виртуальную машину. Если все сделано правильно, то проблем не будет. Что можно сделать еще? Если вы используете Hyper-V 3.0 и старше (доступны начиная с Windows Server 2012) то имеет смысл еще раз преобразовать виртуальный диск в новый формат VHDX. Для этого выключите виртуальную машину, перейдите в настройки диска и нажмите кнопку Правка. В появившемся мастере выберите Преобразовать, укажите формат (VHDX) и тип (расширяемый) диска, а также его имя и расположение: После нажатия на кнопку Готово начнется процесс преобразования диска, что может занять продолжительное время и потребовать дисковых ресурсов, поэтому лучше всего выполнять это действие в нерабочее время. По окончании преобразования еще раз заходим в свойства жесткого диска и выбираем там VHDX образ, подтверждаем изменения и запускаем виртуальную машину. Убедившись, что все работает нормально, старый VHD диск можно удалить.\nКонвертация Hyper-V виртуальных машин в VMWare производится аналогичным образом. Конвертируем виртуальный диск в VMDK, если использовался диск формата VHDX, то предварительно его следует преобразовать в VHD средствами Hyper-V аналогично тому как мы делали выше. Затем создаем в VMWare виртуальную машину для используемой гостевой системы с идентичными параметрами и в настройках диска указываем использовать сконвертитрованый нами VMDK диск. После запуска виртуальной машины не забываем установить пакет VMWare Tools необходимый для полноценной работы гостевой системы.\n","id":"53a7bd5e108dbcd6d1a44dcf90e149f4","link":"https://interface31.ru/post/konvertiruem-virtualnye-mashiny-vmware-v-hyper-v-i-obratno/","section":"post","tags":["Hyper-V","StarWind","VMWare","Виртуализация"],"title":"Конвертируем виртуальные машины VMWare в Hyper-V и обратно"},{"body":"Затронув тему настольной виртуализации нельзя обойти стороной продукты несомненного лидера данного рынка - VMWare. VMWare Workstation предоставляет пользователям практически неограниченные возможности в построении виртуальных сред и учитывает многие особенности именно настольного применения. Чего не скажешь о Hyper-V, когда в пользовательскую ОС добавили серверный гипервизор, или VirtualBox, который имеет значительно меньшую функциональность.\nЧто такое настольная виртуализация и кому она нужна Сразу внесем ясность - настольная виртуализация по задачам и потребностям не имеет ничего общего с серверной и, зачастую, выдвигает к гипервизору прямо противоположные требования. Часто данный вид виртуализации рассматривают как что-то несерьезное, для чего хватит какого-нибудь VirtualBox, и не видят смысла в платном ПО, к которому относится VMWare Workstation.\nНа первый взгляд, 287$ за настольный гипервизор кажутся довольно высокой суммой, однако познакомившись с продуктом поближе начинаешь понимать, что он однозначно стоит своих денег. Для тех, кто только начинает осваивать виртуализацию можно порекомендовать бесплатный VMWare Player, который, хоть и предназначен в первую очередь для запуска готовых виртуальных машин, позволяет создавать новые виртуалки и имеет большинство возможностей старшей версии. Из существенных ограничений: отсутствие возможностей тонкой настройки сетей и отсутствие поддержки снапшотов.\nОсновная задача настольных средств виртуализации - это тестирование, исследования и учебная деятельность. А это требует возможности быстро обмениваться между хостом и виртуальными машинами различной информацией, поэтому настольные средства предоставляют общий буфера обмена, перетаскивание файлов, общие папки и т.п. , что в средствах серверной виртуализации не нужно и даже вредно, в основном с точки зрения безопасности.\nЕще одна задача - взаимодействие виртуальных машин с различными типами периферийных устройств, в т.ч. весьма специфическими, что очень часто требуется при разработке и отладке, но практически никогда не нужно в серверном применении.\nНемного о системных требованиях Если вы хотите просто запустить одну - две виртуалки, то данный пункт можно не читать, а еще лучше поставить VMWare Player или Hyper-V. В противном случае стоит позаботиться об аппаратном обеспечении.\nПроцессор должен поддерживать аппаратную виртуализацию и его ресурсов должно быть достаточно для работы с несколькими системами. Ничего сверхъественного тут не требуется и задачами отлично справятся процессоры серии Intel Сore i5 или AMD FX-6xxx / AMD A8.\nА вот памяти, несмотря на то, что она сейчас относительно недорогая, мало не бывает. Поэтому имеет смысл установить максимально возможное значение. Как необходимый минимум следует рассматривать объем в 16 ГБ, а для нормальной работы рекомендуется 32 Гб. Кому то эти цифры могут показаться завышенными, но например чтобы собрать в виртуальной среде отказоустойчивый кластер Hyper-V из двух нод, контроллера домена и хранилища, потребуется минимум 10 Гб, а ведь оперативная память нужна еще и хосту.\nСразу один момент. По умолчанию VMWare Workstation разрешает использовать для нужд виртуальных машин 75% от установленной памяти, поэтому, если у вас установлен большой объем оперативки, есть смысл увеличить это значение в настройках не взирая на предупреждение. Дисковая подсистема тоже предъявляет специфические требования. Во-первых, для хранения виртуальных машин нужно место, много места, особенно если вы будете активно использовать снапшоты. Во вторых требуется нормальная производительность массива в операциях случайного доступа. Опытным путем выявлено, что обычный диск общего назначения позволяет довольно комфортно работать с не более чем с 4-5 одновременно запущенными машинами.\nПоэтому сразу забудьте про экономичные и т.п. серии дисков. В нашей практике мы используем отдельный RAID 0 массив из быстрых дисков, например, таких как WD Black. Высокая скорость и низкие накладные расходы выгодно отличают этот тип массивов, а недостаток в виде низкой надежности при настольном использовании не столь существенен. Жесткие диски не умирают в одночасье и этот процесс, ежедневно находясь за машиной, несложно заметить.\nЕсли есть возможность, лучше собрать два массива из двух дисков, вместо одного из четырех. Большое количество дисков в массиве безусловно добавит ему производительности, но резко затруднит его обслуживание.\nПеречисленные требования заставляют осмотрительно подходить к выбору материнской платы, скорее всего вам подойдут только старшие модели, имеющие необходимое количество разъемов памяти и SATA-портов. А кто сказал, что виртуализация вещь дешевая?\nВиртуализируем всё Одним из неоспоримых преимуществ VMWare Workstation является широчайший выбор поддерживаемых гостевых систем. Гораздо труднее найти что-то неподдерживаемое. Это выгодно отличает данный продукт от Hyper-V, где нормально поддерживаются только родные ОС и Linux с ядрами 3.4 и выше, и от VirtualBox, где есть проблемы с поддержкой старых ОС. Готовые шаблоны есть для практически для всего, начиная от MS-DOS и Windows 3.11 и заканчивая FreeBSD и Solaris. В тоже время, если вы не нашли в списке нужной системы, это не значит, что она не будет работать. Шаблоны представляют собой не более, чем наборы виртуального оборудования, оптимизированные для той или иной ОС для максимальной поддержки \u0026quot;из коробки\u0026quot; и предоставляют возможность установки для указанных систем VMWare Tools - набора драйверов и служб улучшающих взаимодействие виртуальной машины с хостом (бесшовная мышь, общий буфер, автоподбор размера окна и т.п.).\nОднако это не говорит о том, что выбрав шаблон для Windows вы не поставите туда Linux и наоборот, а вот вариант, что какое-либо оборудование, например, сеть, окажется недоступным \u0026quot;из коробки\u0026quot; гораздо более реален, как и тот, что VMWare Tools придется устанавливать вручную.\nЕсли необходимой вам ОС нет в шаблонах, то следует выбрать ближайший подходящий, так для Linux Mint выбираем Ubuntu или просто Other Linux x.x kernel - это позволит без проблем запустить и использовать любой дистрибутив на указанном семействе ядер, однако могут быть недоступны некоторые доступные для конкретных дистрибутивов дополнительные возможности - 3D-ускорение в гостевых системах и т.д. Также, в большинстве случаев, можно установить и полностью неподдерживаемые системы, например, QNX или BeOS, хотя это уже больше относится к экзотике, чем к рабочим моментам. Для установки таких систем можно выбрать шаблон Other или родственной ОС примерно того-же промежутка времени. В нашем случае для BeOS лучше всего подошел шаблон FreeBSD. В любом случае никто не мешает пробовать и экспериментировать. Естественно о VMWare Tools в неподдерживаемых ОС говорить не приходится.\nНастраиваем сеть Сетевые настройки VMWare Workstation предлагают нам несколько видов подключений, выбрать или изменить тип подключения можно непосредственно в настройках виртуального сетевого адаптера. По сути вам предлагают выбрать, к какому виртуальному коммутатору подключить сетевую карту виртуальной машины. Настройки виртуальных коммутаторов доступны в Edit - Virtual Network Editor. По умолчанию уже создано три коммутатора VMnet0, VMnet1 и VMnet8. Рассмотрим их подробнее.\nСеть типа мост (Bridget) - VMnet0 Данный тип сети позволяет присоединить виртуальные машины к внешней сети используя существующее сетевое подключение. В отличие от Hyper-V, физическая сетевая карта не отключается от хоста, а один из портов виртуального коммутатора VMnet0 работает в режиме сетевого моста с физической сетевой картой. Настройка виртуального коммутатора предельно проста и сводится к выбору необходимого физического адаптера. Частная сеть (Нost-only) - VMnet1 Также создается по умолчанию и позволяет организовывать изолированные от внешнего мира частные сети. Доступными опциями являются встроенный DHCP-сервер и подключение к хосту, в этом случае на хосте создается виртуальный сетевой адаптер подключенный к данному коммутатору. В настройках виртуального коммутатора мы можем выбрать подсеть, пул адресов DHCP сервера и время аренды. Наличие встроенного DHCP позволяет быстро создавать одноуровневые сети не беспокоясь о сетевой инфраструктуре, что здорово экономит время при работе в тестовых средах.\nNAT - VMnet8 Данный тип сети позволяет виртуальным машинам получать доступ в интернет через подключение хоста, но в тоже время изолирует данную сеть от внешних сетей. Кроме встроенного DHCP-сервера в сети присутствует виртуальный маршрутизатор с функцией трансляции сетевых адресов, который обеспечивает доступ в интернет. Возможности NAT позволяют организовывать проброс портов для виртуальных машин, а также содержат опции тонкой настройки для других протоколов и служб. Стоит отметить, что виртуальный маршрутизатор является полноценным сетевым устройством и имеет по умолчанию адрес 192.168.x.2, который передается виртуальным машинам по DHCP в качестве шлюза. Этот адрес можно изменить в настройках NAT и следует учитывать при ручной настройке сети на гостевых системах.\nПри подключении к такой сети хоста, он получает адрес 192.168.x.1 и имеет доступ только к виртуальной сети без возможности выхода в интернет. В этом несложно убедиться открыв свойства адаптера, подключенного к VMnet8, адрес шлюза для хоста не указывается. Custom Данная опция не является типом сети, а позволяет непосредственно указать виртуальный коммутатор, к которому будет подключена сетевая карта. Также можно выбрать любой не настроенный коммутатор и получить на его основе частную сеть без подключения к хосту и виртуальных сетевых служб. LAN Segment Довольно интересный пункт, позволяет создать полностью изолированную от хоста частную сеть без сетевых служб. Причем получить точно такой же эффект можно, как мы уже говорили выше, выбрав в пункте Custom любой ненастроенный виртуальный коммутатор. В чем отличие двух одинаковых режимов документация умалчивает.\nAdvanced Это не тип сети, а дополнительные настройки сетевого подключения, позволяют указывать пропускную способность соединения и уровень потерь. Это дает возможность без привлечения дополнительного ПО эмулировать модемное соединение, ассиметричные линии связи, каналы плохого качества и т.п. и будет по достоинству оценено разработчиками и тестировщиками сетевых решений.\nВ следующей части статьи мы рассмотрим работу с периферийными устройствами, дисками и разделами, а также рассмотрим систему снапшотов.\n","id":"9271aec385d938a7726b3419776d20d7","link":"https://interface31.ru/post/vmware-workstation-shirokie-vozmozhnosti-nastolnoy-virtualizacii/","section":"post","tags":["VMWare","Виртуализация"],"title":"VMWare Workstation - широкие возможности настольной виртуализации. Часть 1"},{"body":"Дедупликация в Windows Server сравнительно новая технология и многие администраторы относятся к ней с вполне обоснованным опасением. Действительно, пока не накоплен соответствующий опыт, касающийся надежности дедуплицированных томов, проверять ее на своих данных как-то не тянет. Поэтому мы решили провести небольшое тестирование, которое должно ответить на некоторые актуальные вопросы.\nОсновной вопрос, который волнует многих администраторов - а что будет если дедуплицированный том будет подключен к системе без поддержки данной технологии и с ним будут выполнены какие-либо действия? Например проверка тома с исправлением ошибок или попытка перемещения, копирования или иного изменения данных. Тем более что в сети стали появляться тревожные сообщения: Действительно ли проверка утилитой chkdsk на системе без поддержки дедупликации разрушает данные? Попробуем разобраться. Прежде всего немного теории.\nКак работает дедупликация? Общие блоки файлов выносятся в специальное хранилище и заменяются ссылкой. Никаких новых сущностей на уровне файловой системы не создается, хранилище общих блоков в System Volume Information - набор обычных файлов, а ссылки в NTFS поддерживаются начиная с NT 4. Теоретически любая система, умеющая работать с NTFS, не должна находить на дедуплицированных томах ничего странного и тем более не должна повреждать данные.\nПерейдем от теории к практике. Мы взяли внешний диск, отформатировали его под NTFS и разместили на нем три папки с одинаковыми данными. Затем подключили этот том к Windows Server 2012 и дедуплицировали его. Стоит отметить, что имея три абсолютно одинаковых набора данных мы ожидали увидеть степень дедупликации 67% (возраст данных был выставлен как ноль), но дедуплицированы оказались не все файлы. В итоге мы получили смесь из оптимизированных и неоптимизированных файлов, что даже интересней.\nПосле чего данный диск был подключен к Windows XP SP3 и проверен утилитой chkdsk. После чего вернули том обратно в среду Windows Server 2012 и проверили данные. Как мы и предполагали, с ними ничего не произошло. Снова подключив диск к Windows XP мы попробовали прочитать данные. Неоптимизированные файлы спокойно открывались, копировались и перемещались, а оптимизированные выдавали ошибку доступа. То есть даже при всем желании каким-либо образом изменить или переместить дедуплицированные данные в системе без поддержки данной технологии у вас не получится. При этом никакой угрозы самим данным данные попытки не несут.\nЗатем мы повторили все эти операции для Windows 7. С тем же самым результатом. Ни проверка, ни безуспешная попытка изменить оптимизированные данные не несет им никакой угрозы.\nДля полноты картины мы не поленились подключить данный диск к Windows NT 4, хотя с практической точки зрения такая ситуация сегодня малореальна. Собственно, ничего нового мы не увидели, оптимизированные данные по прежнему недоступны, неоптимизированные доступны, а chkdsk корректно распознал старшую версию NTFS и проверять ее отказался.\nСледующим шагом было подключение нашего диска к альтернативным ОС. Ubuntu корректно подключило NTFS том, показав оптимизированные файлы как символьные ссылки, наглядно предоставив возможность оценить степень оптимизации. Опять таки работа с томом происходит предельно корректно, оптимизированные данные для изменения недоступны.\nАналогичная картина наблюдается и в среде MacOS X. Наш небольшой эксперимент только подтвердил теоретические выкладки, дедупликация не создает никаких новых сущностей на уровне файловой системы, а следовательно всё, что умеет работать с NTFS будет корректно воспринимать такие тома и никаких дополнительных угроз целостности данных при этом не возникает. А появляющиеся в сети \u0026quot;тревожные\u0026quot; сообщения мы склонны рассматривать как некорректные выводы из принципиально иных ситуаций.\nКак видим, дедупликация не добавляет никаких новых рисков для ваших данных и может быть смело рекомендована к использованию.\n","id":"2b6c4fbe04a141254138c3415b81d3a2","link":"https://interface31.ru/post/nadezhnost-deduplicirovannyh-dannyh/","section":"post","tags":["Windows 8","Windows Server 2012","Дедупликация","Файловый сервер"],"title":"Надежность дедуплицированных данных. Небольшое тестирование"},{"body":"Ядро линукса можно «привинтить» практически повсюду. Предлагаем убедиться в этом. Представляем вашему вниманию материал нашего немецкого коллеги, который изучив зарубежную компьютерную прессу составил познавательный дайджест о сферах применения Linux в современной индустрии. Линукс действительно можно встретить везде: на земле, под водой и в космосе...\nГромадно - CERN LHC Большой адронный коллайдер На глубине сотни метров находится самый большой когда-либо построенный человеком аппарат. Большой адронный коллайдер - ускоритель частиц длинною 27 километров. Не только сам ускоритель, но и его поток данных впечатляют - первичные измерения поступают в компьютерную сеть пакетами по 300 гигабайт в секунду. Обработанные данные составляют всё ещё 15 петабайт в год. Необходимая мощность счётных машин достигается супер-компьютерами на базе ОС Линукс. Точнее - это линукс Ubuntu и Scientific Linux. Последний базируется на Red Hat Enterprise и специально применяется в швейцарских исследовательских центрах.\nКрошечно - Карта Eye-Fi Уже с 2009 года существуют карты-флешки, которые связывают дигитальные камеры с беспроводной сетью. На деле - эти карты, пожалуй, самые маленькие микрокомпьютеры с линуксом. В корпусе карты помещается не только накопитель для файлов фото и видео, но и радиомодуль и ARM-процессор с тактом в 200 МГц. Linux Embedded в качестве ОС ещё и предоставляет веб-сервер, чтобы упростить файлообмен.\nСамодельщики уже нашли способы добраться до root и, к примеру, прошить карту изменённой и расширенной системой.\nЗаоблачно - Boeing 787 Dreamliner Чтобы не было так скучно и долгие перелёты не превращались в мучение, на дальних маршрутах авиапассажиров развлекают \u0026quot;Inflight-Entertainment-System\u0026quot;. Современный Боинг уже не имеет ничего общего с допотопными кинескопами, которые высовывались из панелей салона. Dreamliner предлагает клиентам систему, которая является встроенным в подголовник переднего кресла планшетом, а в планшете работает специальная версия Android - то есть тоже линукс. Развлекательная электроника, конечно-же, не связана с авионикой Боинга и являет собой отдельную систему. Центральный сервер связывает все планшеты воедино и обладает памятью на 69 терабайт.\nПодводно - Submarines modem Электромагнитные волны высокой частоты бесполезны под водой, так как молекулярная структура воды поглощает всю энергию. Низкие частоты нуждаются в гигантских антеннах. Что делать? Под водой прекрасно распространяются \u0026quot;механические\u0026quot; звуковые волны. Звуки низкой частоты от 9 до 14 кГц имеют дальность распространения до 10-ти километров. Фирма Teledyne Benthos разработала сонар, который работает по известной из времён диал-апа схеме модулятор-демодулятор. Погружаемый буй может принимать сигналы от глубоководных датчиков и передавать их далее. Модель SM-975 работает на глубине до 6,5 км, в его корпусе несёт службу линукс. Подводный модем может пригодится в военных и мирных целях.\nНевесомо - Международная космическая станция В прошлом году МКС была переведена на линукс. Этот проект прошёл под руководством NASA, так как требовалось получить стабильную систему взамен Windows XP. Выбор пал на Debian 6. В 2008 году один русский космонавт доставил ноутбук с Windows и вирусами на борт МКС, что привело к заражению бортовых компьютеров \u0026quot;червём\u0026quot; W32.Gammima.AG. Пока на линукс перешли основные системы космической станции и центра управления полётами. Организация Linux Foundation озаботилась специальным обучением космического персонала.\nСпортивно - тренажёр Technogym Итальянская фирма Technogym давно укрепилась на рынке в качестве производителя беговых дорожек и тренировочнго оборудования премиум-сегмента - большинство аппаратов имеют консоль и встроенный тачскрин для управления программой тренировок и выдачи на дисплей данных, к примеру частоты пульса. С 2013 года все фитнес-аппараты от Technogym получают универсальную систему на базе Android и Linux-Kernel, которая позволяет связать различные спортивные тренажёры между собой и другими девайсами. Планируется привязать к тренировкам и Google Glass.\nВоинственно - USS Zumwalt Не каждому открывается смысл симбиоза опен-сорса и армии, ведь оборонка неохотно показывает свои карты. Но вот как раз в военном флоте США это не новинка. Сервер ZOPE уже годами применяется морфлотом в различных целях. USS Zumwalt делает ставку на линукс. Это первый эсминец своего класса, который вооружён управляемыми и баллистическими ракетами и оборудован своим собственным вычислительным центром. USS Zumwalt напичкан 235 серверными стойками, в которых несут службу IBM-Blade-Server на Red Hat Enterprise.\nКомфортно - Cadillac XTS 2013 Автомобили от General Motors плохо прижились в Европе, но в Азии их рынок растёт. Именно для этого региона создан XTS 2013, который хочет произвести впечатление своим интерьером и бортовым оборудованием. Тачскрин, голосовое управление, настраиваемая приборная панель - всё это бежит под линуксом в оболочке Java App-Framework. Графическая информация выдаётся на дисплеи с помощью HTML 5.\nСосчитано - калькулятор TI Nspire CX Гигант полупроводниковой индустрии Texas Instruments начинал с транзисторных приёмников и калькуляторов. В 1970-ых годах самые массовые продажи калькуляторов приходились как раз на доступные по цене калькуляторы от TI. И, хотя в наше время потребность в калькуляторах явно падает, Texas Instruments не бросает своей стези. Передовым девайсом на занятиях по физике и математике является калькулятор TI NSpire CX CAS с графическим дисплеем и алгебраической системой CAS. Актуальная серия работает на процессоре ARM, оперирует с рабочей памятью в 64 МБ и флеш-памятью на 100 МБ.\nЦветной дисплей разрешением 320 х 240 выдаёт результаты, для получения данных имеется порт USB. Надо признать, что этот калькулятор работает не на линуксе, а на собственной разработке TI, но и здесь нашлись умельцы, которые взломали загрузчик этого карманного компьютера и установили линукс: http://hackspire.unsads.com\nТоже - интересно. :-)\n","id":"189529f73d105bf1f3067a3ca351767e","link":"https://interface31.ru/post/linuks-i-tut-i-tam-vezde/","section":"post","tags":["Linux"],"title":"Линукс и тут и там... везде"},{"body":"Одной из самых серьезных угроз последнего времени являются трояны-шифровальщики. Это вредоносное ПО способно в одночасье лишить пользователя всей накопленной информации. Для небольших фирм подобный инцидент способен полностью парализовать деятельность на продолжительное время и привести к значительным финансовым и репутационным издержкам. Поэтому мы, когда в наши руки попал свежий экземпляр данного трояна, решили проверить насколько надежную защиту предоставляют популярные антивирусы.\nСитуация, с которой пришлось столкнуться одному из наших клиентов, полностью укладывается в классическую схему. При установке ПО для удаленной сдачи отчетности, в полном соответствии с прилагающейся инструкцией, был отключен антивирус, позже было получено письмо якобы от судебных приставов, которое было благополучно открыто.\nМожно, конечно, сетовать на низкую компьютерную грамотность пользователей, которые мало того, что открывают письма от неизвестного адресата, так еще и запускают исполняемые файлы из вложения, но для того и существует антивирусное ПО, чтобы такие ситуации предупреждать.\nВ этот раз главным действующим лицом стала одна из разновидностей Trojan.Encoder.293, который использует двойное шифрование - сначала XOR, потом RSA, что делает расшифровку весьма трудоемким занятием.\nСразу хочется отметить заслуги компании \u0026quot;Доктор Веб\u0026quot; - они, единственные из ведущих производителей антивирусного ПО, предоставляют своим пользователям реальную помощь в расшифровке. Так нами где-то через месяц был получен ключ для дешифровки, что позволило успешно восстановить все файлы.\nОбращения в Лабораторию Касперского и NOD 32 остались без внимания, была получена стандартная отписка про сложность дешифровки, отсутствие гарантий и т.п. Да и успехи других вендоров на этом поприще оставляют желать лучшего, на сайте Касперского расположен пяток утилит для расшифровки, которые в подавляющем большинстве случаев будут бесполезны. При этом стоит отметить, что у Касперского мы являлись обладателем корпоративной лицензии, тогда как у Доктора Веба была куплена самая дешевая коробка. Самое время задуматься, у кого в следующий раз приобретать корпоративную защиту.\nМеханизм заражения данным вредоносным ПО следующий: пользователь получает письмо, якобы от судебных приставов, которое предлагает перейти на сайт и получить электронную повестку. При переходе по фишинговой ссылке на компьютер скачивается архив с троянской программой, которая ворует биткоин-кошельки и связываясь с сервером \u0026quot;хозяина\u0026quot; скачивает дополнительные модули, одним из которых и является Trojan.Encoder.293.\nПроцесс тестирования был построен следующим образом: совершался переход по фишинговой ссылке, после чего вредоносный файл извлекался из архива и запускался. В отсутствие реакции антивирусного ПО точно также извлекался и запускался собственно Trojan.Encoder.293. Таким образом максимально близко имитировались действия обычного пользователя. При появлении диалоговых окон с вопросами, скажем от проактивной защиты, мы исходили из худшего варианта, что пользователь все равно попытается открыть вредоносный файл.\nБлокирование перехода по фишинговой ссылке добавляет плюс тестируемому продукту, но недостаточно для успешного прохождения теста. В случае обнаружения только Trojan.Encoder.293 и отсутствия реакции на троян-загрузчик ставится оценка \u0026quot;условно пройден\u0026quot;, т.е. в данном случае защита сработала, но ее явно недостаточно.\nДля тестирования нами использовалась Windows 8.1 32-бита и последние версии антивирусного ПО на дату тестирования. Из линеек антивирусов всегда выбиралась младшая версия, это связано с тем, что многие пользователи предпочитают именно недорогие или бесплатные версии, а также с тем, что все продукты линейки используют общий антивирусный движок и базу сигнатур, отличаясь только дополнительными возможностями.\nWindows Defender Первым у нас, как всегда, Windows Defender, потому как представляет базовую защиту современных ОС семейства Windows и бесплатно доступен пользователям предыдущих версий. Как мы помним по предыдущим тестам, данный продукт звезд с неба не хватает, предоставляя очень слабый уровень защиты, но тем не менее Windows Defender уверенно определил троян-загрузчик еще на стадии скачивания и удалил его. Результат - ТЕСТ ПРОЙДЕН\nКстати это еще один повод задуматься о переходе на Windows 8, так как даже в случае ручного отключения основного антивирусного средства вы не останетесь полностью без защиты. В ряде случаев этот факт может иметь решающее значение.\nComodo Antivirus Популярный бесплатный продукт, показывающий неплохие результаты в сигнатурных тестах, в этот раз никак не отреагировал на троян-загрузчик, разве что попытался отправить его в \u0026quot;песочницу\u0026quot;, но так как в \u0026quot;песочницу\u0026quot; Comodo отправляет каждый второй исполняемый файл, то эта функция чаще всего отключается или файл выводится из песочницы вручную. Принудительная проверка вредоносного файла также не нашла ничего опасного: В тоже время сам Trojan.Encoder.293 был автоматически детектирован и уничтожен. Однако о полноценной защите говорить не приходится, троян-загрузчик остался активным в системе и в следующий раз может загрузить иной деструктивный модуль. Результат - ТЕСТ УСЛОВНО ПРОЙДЕН\navast! Free Antivirus Еще один популярный бесплатный продукт. Уверенно блокировал переход по фишинговой ссылке: Однако на этом все и закончилось... Ни троян-загрузчик, ни сам Trojan.Encoder.293 данный антивирус не обнаружил, в том числе и при ручном сканировании: О защите в данном случае можно говорить с очень большой натяжкой.\nРезультат - ТЕСТ НЕ ПРОЙДЕН\nАнтивирус Dr.Web Младшая версия в линейке \u0026quot;Доктора Веба\u0026quot; уверенно находит и удаляет как загрузчик, так и модуль шифрования. Никаких вопросов, все работает. Результат - ТЕСТ ПРОЙДЕН\nАнтивирус Касперского Лидер российского антивирусного рынка не подвел, вредоносное ПО сбивается еще на подлете, блокируется сама попытка перейти по фишинговой ссылке: Если мы все же попытамся продолжить, то попытка также не увенчается успехом: Также антивирус уверенно определяет и блокирует вредоносные семплы при попытке проверить вручную.\nРезультат - ТЕСТ ПРОЙДЕН\nAVG Free Antivirus Еще один представитель популярных бесплатных антивирусов, четко определил троян-загрузчик, а вот семпл Trojan.Encoder.293 не вызвал у него никакой реакции. Результат довольно неоднозначный, но так как в реальном сценарии заражения все же удалось избежать, будем считать, что защита работает, во всяком случае данный результат лучше, чем детект только шифровальщика.\nРезультат - ТЕСТ УСЛОВНО ПРОЙДЕН\nAvira Free Antivirus Особой популярностью данный бесплатный продукт у нас не пользуется и результат данного теста ее явно не добавит. Наши образцы вредоносного ПО оказались полностью неизвестны этому антивирусу. Результат - ТЕСТ НЕ ПРОЙДЕН\nBitdefender Antivirus Free Edition Bitdefender - новый участник наших тестов, мы взяли для тестирования бесплатную версию, отличающуюся минималистичным дизайном и таким же количеством настроек, однако результат нас удивил. Во-первых, антивирус блокировал фишинговую ссылку: Во-вторых, уверено детектировал и удалил оба вредоносных образца. Результат - ТЕСТ ПРОЙДЕН\nNorton Antivirus Norton - самый популярный зарубежный производитель антивирусного ПО, однако в данном случае он оказался не на высоте, детекта вредоносного ПО не произошло и при попытке его запуска мы получили только неуверенные рекомендации от поведенческого анализатора. Как мы условились считать, будем исходить из худшего варианта, желание прочитать письмо от приставов перевесило осторожность. И вот здесь мы можем наблюдать отличную работу именно поведенческого анализатора. В тоже время поведенческий анализатор никак не отреагировал на запуск собственно Trojan.Encoder.293. Результат также неоднозначен, с учетом того, что вредоносное ПО отсутствует в сигнатурных базах и детектируется только поведенческим анализатором.\nРезультат - ТЕСТ УСЛОВНО ПРОЙДЕН\nESET NOD32 Антивирус Еще один очень популярный коммерческий антивирус. Пробная версия NOD32 неприятно удивила нас на стадии установки, предложив установить Элементы Яндекса и после нашего явного отказа принявшись их устанавливать. Отказ от установки ни к чему не приводит, установка дополнительных компонентов начинается снова и снова. Мы бы еще могли понять такую назойливость, будь перед нами бесплатная версия, но для коммерческого ПО ситуация явно неприемлемая, остается надеяться, что мы столкнулись с ошибкой в инсталляторе, а не с целенаправленной политикой разработчиков. В остальном к NOD32 вопросов не возникло, блокируются и фишинговые ссылки и вредоносные образцы. Результат - ТЕСТ ПРОЙДЕН\nMcAfee AntiVirus Plus Продукты McAfee некогда были довольно популярны, сегодня они чаще всего встречаются предустановленными на готовых ПК зарубежных производителей или в виде полугодовых карт в комплекте с некоторым оборудованием. В данной ситуации антивирус, если цитировать его же сообщение, \u0026quot;проблем не обнаружил\u0026quot;. Файлы зашифрованы, компьютер, тем не менее, \u0026quot;защищен\u0026quot;...\nРезультат - ТЕСТ НЕ ПРОЙДЕН\nOutpost Antivirus Pro В своих антивирусных продуктах Agnitum делает упор на проактивную защиту. Возможно не зря, несмотря на отсутствие трояна-загрузчика в базах, проактивная защита определила его как умеренно-подозрительный. Никаких рекомендаций, в отличие от Norton нам не дают, предоставляя догадаться самим, какое решение принять. Если исходить из худшего сценария и нажать Разрешить, то никаких действий более не последует. Троян-загрузчик пропишется в системе, при этом Trojan.Encoder.293 был определен и блокирован. На наш взгляд, ситуация с отсутствием в сигнатурной базе отечественного коммерческого антивируса семплов заразы не первый день гуляющей по просторам сети неприемлема, но по условиям тестирования мы признаем условное прохождение теста.\nРезультат - ТЕСТ УСЛОВНО ПРОЙДЕН\nEmsisoft Anti-Malware Еще один новичок нашего тестирования, набирающий популярность австрийский антивирус, сочетает в себе антивирусный движок Bitdefender и собственный антишпион. Уже отталкиваясь от движка можно заранее предсказать результат. Emsisoft Anti-Malware уверенно блокирует доступ к фишинговому сайту, практически не оставляя способа быстро обойти запрет: Также детектирует и блокирует оба экземпляра вредоносного ПО, ну да иного мы и не ожидали. Результат - ТЕСТ ПРОЙДЕН\nВыводы Результаты данного теста в очередной раз показали, что для успешной борьбы с вирусами \u0026quot;местного разлива\u0026quot; лучше всего подходят продукты местных разработчиков. В том, что Trojan.Encoder.293 направлен именно на российского пользователя сомнений нет, следовательно, и основной ареал его распространения - это Россия и страны ближнего зарубежья.\nКак видим, отечественные антивирусы и продукты восточноевропейских производителей показывают в борьбе с таким вредоносным ПО отличные результаты, чего не скажешь о западных продуктах, в том числе и весьма неплохих и именитых. Тем более западные лаборатории вряд ли смогут вам помочь с расшифровкой файлов, учитывая, что и у нас дела на этом поприще обстоят неважно.\nЧто выбрать для защиты? Любой отечественный или восточноевропейский коммерческий антивирус первого эшелона обеспечивает полноценную защиту, а Bitdefender при этом имеет еще и бесплатную версию. Среди бесплатных антивирусов что-либо порекомендовать трудно, ни один из них не обеспечивает должного уровня защиты от угроз подобного рода.\n","id":"5683a6cfb15df32c92a8a35cf41fbc84","link":"https://interface31.ru/post/troyany-shifrovalshiki-naskolko-nadezhna-zaschita/","section":"post","tags":["avast","AVG","Avira","Bitdefender","Comodo","Dr.Web","Emsisoft","Kaspersky","McAfee","NOD 32","Norton","Outpost","Windows Defender","Антивирус"],"title":"Трояны-шифровальшики. Насколько надежна защита"},{"body":"Более четырех лет назад мы опубликовали материал посвященный настройке роутера на базе Ubuntu Server. Тема оказалась весьма востребованной и популярной, но за прошедшее время некоторые настройки успели измениться, пусть и незначительно. В связи с этим мы решили вернуться к этой теме и опубликовать современную версию популярной статьи.\nМы не будем подробно останавливаться на установке системы и назначении тех или иных компонентов, об этом достаточно сказано в исходном материале, а уделим основное внимание отличиям в современных версиях Ubuntu Server и настраиваемых пакетах.\nНастройка сети В нашем примере внешний сетевой интерфейс - eth0 - имеет статические настройки, если же вы используете PPPoE или PPTP подключение, то для настройки подключения рекомендуем воспользоваться нашими материалами:\nНастройка PPPoE подключения в Ubuntu Server Настройка PPTP подключения в Ubuntu Server Начиная с версии 12.04 (мы рассматриваем только LTS версии и крайне не рекомендуем использовать на серверах промежуточные релизы) все сетевые настройки, в том числе и DNS-сервера указываются в одном месте, конфигурационном файле /etc/network/interfaces. Перед тем как приступать к настройке повысим права до суперпользователя:\n1sudo -s затем откроем файл в штатном редакторе nano, работа с ним далека от удобства, но для изменения нескольких строк он вполне подойдет:\n1nano /etc/network/interfaces Приведем его к следующему виду (настройки внешнего интерфейса приведены исключительно для примера):\n1auto eth0 2 iface eth0 inet static 3 address 172.18.0.106 4 netmask 255.255.240.0 5 gateway 172.18.0.1 6 dns-nameservers 172.18.0.1 208.67.222.222 7 8auto eth1 9 iface eth1 inet static 10 address 192.168.31.1 11 netmask 255.255.255.0 12 13post-up /etc/nat Для указания DNS-серверов теперь используется директива dns-nameservers, если серверов несколько, они указываются в одну строку, через пробел.\nЕсли вы получаете сетевые настройки от провайдера по DHCP, то настройки будут иметь вид:\n1auto eth0 2 iface eth0 inet dhcp Последней строкой идет автоматическая загрузка правил iptables из файла /etc/nat, который мы создадим позже.\nПерезапустим сеть:\n1service networking restart Если все сделано правильно, на сервере должен появиться интернет. После чего следует обновить пакеты на сервере и установить необходимый минимум утилит для администрирования:\n1apt-get update 2apt-get upgrade 3apt-get install mc ssh Представлять двухпанельный менеджер с удобным редактором Midnight Commander (mc) мы думаем не нужно, как и SSH-сервер, дающий возможность удаленного администрирования.\nНастройка NAT и брандмауэра Технология сетевой трансляции адресов - NAT - позволяет организовать выход в интернет компьютеров локальной сети через один сетевой адрес. Данная технология абсолютно прозрачна для клиентских устройств и способна работать с любыми сетевыми приложениями и протоколами. За функции NAT в Ubuntu отвечает сетевой фильтр iptables, который предоставляет также функции брандмауэра.\nВ зависимости от политики сетевой безопасности существуют различные подходы к настройке брандмауэра. Мы предпочитаем задавать только базовые правила, исходя внутри сети из принципа: все что не запрещено - разрешено. Это позволяет свободно работать любым сетевым службам во внутренней сети и без помех выходить в интернет, обеспечивая при этом достаточный уровень безопасности. Для внешней сети запрещено все, что не разрешено и доступ к сетевым службам администратор должен разрешать явно.\nСоздадим файл настроек:\n1touch /etc/nat и внесем в него следующее содержимое:\n1#!/bin/sh 2 3# Включаем форвардинг пакетов 4echo 1 \u0026gt; /proc/sys/net/ipv4/ip_forward 5 6# Сбрасываем настройки брандмауэра 7iptables -F 8iptables -X 9iptables -t nat -F 10iptables -t nat -X 11 12# Разрешаем доступ из локальной сети 13iptables -A INPUT -i eth1 -j ACCEPT 14 15# Разрешаем инициированные нами подключения извне 16iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT 17 18# Разрешаем подключения по SSH 19iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT 20 21#Запрещаем входящие извне 22iptables -A INPUT -i eth0 -j DROP 23 24# Разрешаем инициированные нами транзитные подключения извне 25iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT 26 27# Запрещаем транзитный трафик извне 28iptables -A FORWARD -i eth0 -o eth1 -j DROP 29 30# Включаем NAT 31iptables -t nat -A POSTROUTING -o eth0 -s 192.168.31.0/24 -j MASQUERADE Сохраним изменения и дадим нашему файлу права на исполнение:\n1chmod +x /etc/nat перезагрузим сервер:\n1reboot Теперь если вручную задать сетевые настройки для рабочей станции, указав в качестве шлюза наш роутер и любой доступный DNS-сервер, то не ней должен появиться доступ в интернет.\nНастройка DHCP и кэширующего DNS В принципе мы уже можем использовать наш роутер по назначению, однако ручное указание сетевых настроек, это даже не вчерашний, а позавчерашний день, поэтому DHCP-сервер является неотъемлемой частью сетей любого размера. Также имеет смысл настроить собственный кэширующий DNS-сервер, который не только снизит нагрузку на вышестоящие сервера и уменьшит время отклика, но также позволит создавать собственные записи для хостов внутренней сети, что может оказаться полезным при развертывании иных сетевых сервисов.\nВсе эти функции реализованы в одном пакете dnsmasq, который предельно прост в установке и настройке:\n1apt-get install dnsmasq Функции кэширующего DNS-сервера становятся доступны сразу после установки и в настройке не нуждаются, однако следует явно указать интерфейсы, которые будет обслуживать dnsmasq. Для этого откроем файл**/etc/dnsmasq.conf** и изменим следующую строку (не забываем раскомментировать при необходимости):\n1listen-address=127.0.0.1, 192.168.31.1 Для настройки DHCP сервера достаточно указать диапазон пула адресов и срок аренды:\n1dhcp-range=192.168.31.100,192.168.31.199,255.255.255.0,12h Перезапустим сервис:\n1service dnsmasq restart После чего хосты внутренней сети будут получать все сетевые настройки автоматически.\nНастройка кэширующего прокси-сервера Squid3 На заре своего развития основным назначением прокси-сервера Squid было кэширование трафика, сегодня, когда безлимитный интернет стал нормой жизни, эти возможности отходят на второй план, но остаются достаточно актуальными.\nSquid поддерживает кэширование двух типов, в оперативной памяти и на диске. Сегодня можно встретить рекомендации отказаться от дискового кэша, мол проще скачать объект заново, чем искать его на диске. Однако мы считаем, что разумный размер дискового кэша при большом количестве клиентов позволяет эффективно использовать канал за счет хранения в кэше статических элементов: картинок, скриптов, CSS-файлов для часто посещаемых ресурсов.\nСразу предостережем от распространенной ошибки - использования для хранения кэша старых медленных дисков и выделения под кэш значительного пространства. В этом случае эффект будет прямо противоположен ожиданиям, время поиска объекта на диске при большой нагрузке будет занимать значительно больше времени, чем его повторное скачивание.\nНо все преимущества Squid раскрываются тогда, когда появляется необходимость тонкой фильтрации трафика, здесь богатые возможности позволяют реализовывать самые разнообразные схемы, которые просто невозможно рассмотреть в рамках одного материала, получить все материалы по данной теме вы можете выполнив поиск по тегу squid.\nИнформация Внимание! Начиная с Debian 9 и Ubuntu 16.04 вместо пакета squid3 снова используется squid, также аналогичным образом следует изменить все пути, т.е. вместо /etc/squid3 использовать /etc/squid.\nДля установки squid выполните команду:\n1apt-get install squid3 Перейдем к настройкам. Для новичка конфигурационный файл squid может показаться излишне сложным, на самом деле большую часть его занимают подробные комментарии и примеры. Поэтому мы пойдем по файлу от начала к концу, указывая какие строки надо добавить или изменить. Откроем файл конфигурации /etc/squid3/squid.conf и перейдем к указанию группы доступа (acl) для локальной сети. Раскомментируем и исправим или добавим ниже строку:\n1acl localnet src 192.168.31.0/24 Затем, спускаясь далее по конфигурационному файлу найдем секцию отвечающую за правила доступа и убедимся, что она содержит следующие правила:\n1http_access allow localnet 2http_access allow localhost 3http_access deny all Данная секция разрешает доступ для клиентов локальной сети, собственно сервера и запрещает всем остальным.\nТеперь укажем порт, интерфейс и режим работы прокси-сервера.\n1http_port 192.168.31.1:3128 intercept Параметр intercept указывает, что прокси работает в прозрачном режиме, т.е. не требует прямого указания прокси на клиентах.\nПерейдем к указанию параметров кэша. Зададим доступный объем памяти и укажем максимальный объем кэшированного объекта в памяти:\n1cache_mem 1024 MB 2maximum_object_size_in_memory 512 KB При задании этих параметров исходите из доступной памяти сервера, но учтите, что кэш в памяти начинает эффективно работать только после \u0026quot;прогрева\u0026quot; и будет сброшен при перезагрузке или выключении сервера.\nПосле чего укажем размер дискового кэша и его расположение:\n1cache_dir ufs /var/spool/squid3 2048 16 256 Размер кэша указывается в МБ, в нашем случае 2048 МБ - 2 Гб, следующие два числа указывают количество директорий первого и второго уровня, рекомендуем оставтить эти параметры без изменения.\nСледующий параметр задает максимальный размер объекта в дисковом кэше:\n1maximum_object_size 4 MB Далее по файлу укажем место хранения логов и количество ротаций:\n1access_log daemon:/var/log/squid3/access.log squid 2logfile_rotate 31 В нашем случае логи хранятся 31 день, указывая это значение исходите из размеров лога и свободного места на диске, в любом случае этот параметр можно всегда изменить.\nИнформация Внимание! В Ubuntu Server 12.04 (Squid 3.1) указанная выше строка должна иметь вид: access_log /var/log/squid3/access.log squid\nОстальные параметры оставляем без изменений, сохраняем файл настроек.\nПеред тем как перезапускать службу выполним проверку файла конфигурации:\n1squid3 -k check Если команда отрабатывает без вывода - ошибок нет, в противном случае изучаем вывод и исправляем допущенные ошибки. После этого перезапустим службу, чтобы применить внесенные изменения.\n1service squid3 restart В том случае, когда были изменены параметры кэша следует его перестроить:\n1service squid3 stop 2squid3 -z 3service squid3 start Затем в /etc/nat добавляем правило заворачивающее http-трафик на squid:\n1# Заворачиваем http на прокси 2iptables -t nat -A PREROUTING -i eth1 ! -d 192.168.31.0/24 -p tcp --dport 80 -j REDIRECT --to-ports 3128 Сохраняем изменения, перезагружаем сервер.\nОбращаем ваше внимание, что squid3 в прозрачном режиме, в отличие от предыдущей версии, не принимает соединения, если в настройках прямо указано использование прокси. Как видим, настройка роутера на современной платформе, несмотря на отличия, остается весьма простой и доступна для повторения широкому кругу читателей. В наших будущих материалах мы также будем принимать за основу роутер, настроенный именно по данному материалу, в тоже время с данным роутером будут работать все решения, опубликованные нами ранее, хотя для некоторых из них могут понадобиться незначительные корректировки.\n","id":"902a461f96f0f9f0c069127c4408e849","link":"https://interface31.ru/post/ubuntu-server-nastraivaem-router-nat-dhcp-squid3/","section":"post","tags":["DHCP","DNS","Dnsmasq","iptables","Squid","Ubuntu Server","Сетевые технологии"],"title":"Ubuntu Server. Настраиваем роутер NAT + DHCP + Squid3"},{"body":"В наших прошлых материалах мы рассказывали о новой возможности Windows Server 2012 - дедупликации данных, которая позволяет существенно экономить дисковое пространство за счет оптимизации повторяющихся данных. Несмотря на то, что данная технология представлена только в серверных ОС, несложно добавить ее поддержку и в Windows 8/8.1, как это сделать - читайте в нашей статье.\nВ отличие от Hyper-V, функция дедупликации в настольных ОС семейства Windows 8 отсутствует. Действительно, в большинстве сценариев использования домашних или офисных ПК потребности в дедупликации нет. В тоже время такая функция может быть полезна специалистам и энтузиастам, например для виртуальной тестовой лаборатории, когда возникает необходимость хранить большое количество виртуальных машин и их снепшотов, образов дисков, инсталляционных пакетов и т.д.\nСразу предупредим, дедупликация доступна только для 64-битных систем, так как для ее включения используются пакеты из серверной версии, которая выпускается исключительно в 64-битной версии.\nДля того, чтобы добавить данную возможность в настольные системы, скачаем собраные энтузиастами пакеты:\nСкачать Для Windows 8 (зеркало) Для Windows 8.1 (зеркало) Затем откроем консоль PowerShell с правами администратора, перейдем в каталог с пакетами и выполним следующий набор команд:\nДля Windows 8:\n1dism /online /add-package /packagepath:Microsoft-Windows-VdsInterop-Package~31bf3856ad364e35~amd64~~6.2.9200.16384.cab /packagepath:Microsoft-Windows-VdsInterop-Package~31bf3856ad364e35~amd64~en-US~6.2.9200.16384.cab /packagepath:Microsoft-Windows-FileServer-Package~31bf3856ad364e35~amd64~~6.2.9200.16384.cab /packagepath:Microsoft-Windows-FileServer-Package~31bf3856ad364e35~amd64~en-US~6.2.9200.16384.cab /packagepath:Microsoft-Windows-Dedup-Package~31bf3856ad364e35~amd64~~6.2.9200.16384.cab /packagepath:Microsoft-Windows-Dedup-Package~31bf3856ad364e35~amd64~en-US~6.2.9200.16384.cab 2 3dism /online /enable-feature /featurename:Dedup-Core /all Для Windows 8.1:\n1dism /online /add-package /packagepath:Microsoft-Windows-VdsInterop-Package~31bf3856ad364e35~amd64~~6.3.9600.16384.cab /packagepath:Microsoft-Windows-VdsInterop-Package~31bf3856ad364e35~amd64~en-US~6.3.9600.16384.cab /packagepath:Microsoft-Windows-FileServer-Package~31bf3856ad364e35~amd64~~6.3.9600.16384.cab /packagepath:Microsoft-Windows-FileServer-Package~31bf3856ad364e35~amd64~en-US~6.3.9600.16384.cab /packagepath:Microsoft-Windows-Dedup-Package~31bf3856ad364e35~amd64~~6.3.9600.16384.cab /packagepath:Microsoft-Windows-Dedup-Package~31bf3856ad364e35~amd64~en-US~6.3.9600.16384.cab 2 3dism /online /enable-feature /featurename:Dedup-Core /all Убедиться в том, что дедупликация установилась и включена можно в оснастке Компоненты Windows (доступна через Панель управления - Программы и компоненты) К сожалению какие-либо графические инструменты для управления дедупликацией в клиентских ОС отсутствуют, поэтому снова откроем PowerShell.\nДля того чтобы включить дедупликацию для тома выполним команду:\n1Enable-DedupVolume -Volume D: Также имеет смысл изменить возраст данных для дедупликации. По умолчанию это значение равно 5 дням, так как данные у нас изменяются довольно редко и не очень активно, то мы установили это значение в ноль. Т.е. дедуплицируются все данные, независимо от времени последнего изменения.\n1Set-DedupVolume D: -MinimumFileAgeDays 0 Чтобы запусить процесс оптимизации вручную выполните:\n1Start-DedupJob -Volume D: -Type Optimization Данная операция, в зависимости от объема данных, может занять продолжительное время и активно использует дисковые ресурсы. Скорость дедупликации в нашем случае оказалась выше, чем в серверной системе и составила около 35-40 МБ/с.\nПроконтролировать процесс оптимизации можно командой:\n1Get-DedupStatus Эффективность дедупликации напрямую зависит от характера хранимых данных, в нашем случае для тома с хранилищем виртуальных машин результат оказался просто замечательным. Для тома с инсталляционными пакетами и мультимедийными файлами результат гораздо скромнее: После того, как вы включили и настроили оптимизацию, самое время заглянуть в Планировщик заданий, так как данная технология изначально серверная, то время назначения заданий обслуживания приходится на глубокую ночь, когда рабочая станция окажется скорее всего выключена. Поэтому меняем время выполнения заданий таким образом, чтобы они приходились на время, когда рабочая станция будет включена, но не создавали при этом существенных помех в работе.\nЕсли вы решите выключить дедупликацию, то предварительно нужно провести операцию отмены оптимизации:\n1Start-DedupJob -Volume D: -Type Unoptimization Данная операция может потребовать большого количества свободного пространства, если при этом на томе закончится свободное место, то она будет приостановлена. По ее завершении выключаем дедупликацию для тома:\n1Disable-DedupVolume -Volume D: Как видим, дедупликацию можно успешно использовать и в настольных системах для решения задач эффективного хранения данных. За время использования данной технологии в Windows 8 на нескольких ПК мы не сталкивались с какими-либо проблемами, связанными с включением этой возможности.\n","id":"4dfb066e7d9cdf307cd5f60545e15e7b","link":"https://interface31.ru/post/vklyuchaem-deduplikaciyu-v-windows-8/","section":"post","tags":["PowerShell","Windows 8","Дедупликация"],"title":"Включаем дедупликацию в Windows 8"},{"body":"Хорошая новость для всех любителей виртуализации: в состав Windows 8 включен полноценный гипервизор Hyper-V. Теперь, чтобы работать с виртуальными машинами, вам не нужно ставить серверную версию системы и появляется еще один весомый повод обновиться до Windows 8. А сейчас самое время познакомиться с этой возможностью поближе.\nДля того, чтобы использовать Hyper-V вам потребуется 64-битная версия Windows 8 Профессиональной или Корпоративной редакции. Ограничения по разрядности ОС связаны с использованием общих технологий с Windows Server, который, начиная с 2008 R2, доступен только в 64-битной редакции. Однако особо сожалеть здесь не о чем, ограничения 32-битных систем по объему доступной оперативной памяти делают нормальную работу с виртуализацией практически невозможной.\nИз аппаратных требований необходима поддержка со стороны процессора технологий:\nАппаратная виртуализация Intel-VT (VMX) или AMD-V (SVM) Трансляция адресов второго уровня Intel EPT или AMD RVI Проверить поддержку необходимых технологий можно при помощи утилиты Coreinfo от Sysinternals. Для этого выполните в командной строке, с учетом пути к утилите:\n1coreinfo -v в результате вы увидите какие технологии виртуализации поддерживает ваш процессор: Убедившись в том, что ваше оборудование удовлетворяет требованиям Hyper-V, можно приступать к включению гипервизора в вашей ОС. Для этого перейдем в Панель управления - Программы и компоненты - Включение или отключение компонентов Windows, в открывшемся окне включим компоненту Hyper-V, после чего потребуется перезагрузка системы. Те же самые действия можно выполнить при помощи одной команды PowerShell:\n1Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V -All После установки роли Hyper-V структура системы довольно серьезно меняется, если не вдаваться в подробности, то можно сказать, что если до установки Hyper-V хостовая ОС работала с железом напрямую, то теперь она начинает взаимодействовать с железом через гипервизор. Хостовая операционная система становится как-бы привилегированной виртуальной машиной, также как и гостевые системы работая через слой гипервизора, но при этом взаимодействие гипервизора и аппаратной части идет через драйвера хостовой ОС. Получается своего рода симбиоз: гипервизор использует хостовую ОС для работы с оборудованием, управляя распределением памяти и процессорных ресурсов, в том числе и для хоста.\nЗа взаимодействие виртуального оборудования с реальным железом отвечает шина виртуальных устройств VMBus, которая управляется гипервизором и позволяет виртуальным машинам работать минуя прослойку в виде хостовой ОС.\nТаким образом мы получаем в качестве средства настольной виртуализации полноценный гипервизор первого типа, в отличии от основных конкурентов: VMWare Workstation и VirtualBox, представляющих гипервизоры второго типа, т.е. работающие поверх ОС, как приложение. Это имеет свои достоинства и недостатки.\nК достоинствам Hyper-V как настольного средства виртуализации можно отнести высокую производительность и совместимость с серверным гипервизором (по сути это один и тот-же продукт). А также бесплатность и простоту работы с ним.\nТеперь о недостатках, в первую очередь это низкая степень интеграции с хостом и практически отсутствующие возможности по работе с периферией. Если для серверного гипервизора это в большинстве случаев некритично (за исключением случаев подключение к виртуальным машинам аппаратных ключей защиты), то для настольного гипервизора это сильно ограничивает возможности применения.\nТакже следует отметить слабую поддержку не Windows систем, и если для Linux дела обстоят относительно неплохо - версии ядер начиная с 3.4 содержат драйвера Hyper-V, то с другими системами все довольно печально. Скорее всего вы сможете использовать только эмулируемые устройства, которые по производительности основательно уступают синтетическим.\nДля управления гипервизором используется привычная по серверным ОС оснастка: При всем желании ничего нового вы там не найдете, сетевые настройки также ничем не отличаются от серверной версии: О сетевых настройках в Hyper-V мы подробно рассказывали в предыдущем материале, но скажем сразу, все вопросы по обеспечению ваших виртуальных сетей интернетом и базовыми службами типа DHCP вам придется решать самостоятельно, в то время как VMWare или VirtualBox позволяют использовать встроенный NAT и DHCP.\nТакже после включения Hyper-V вы не сможете использовать на данной машине другие настольные гипервизоры, работать внутри среды Hyper-V они не будут.\nИсходя из вышесказанного, мы можем порекомендовать использовать Hyper-V в Windows 8 как замену настольных гипервизоров тем, кто плотно работает с Hyper-V в продакшене, а также тем, кто только осваивает виртуализацию и не предъявляет к гипервизору особых требований. Также Hyper-V идеально подойдет для использования в учебных и тестовых целях.\nЕсли же вы много работаете с не Windows системами и испытываете потребность в подключении к виртуальным машинам различных периферийных устройств, либо предъявляете к системе виртуализации особые требования, например вам нужно запустить гипервизор внутри виртуальной машины, то вам следует остановить свой выбор на VMWare Workstation или на бесплатном VMWare Player.\n","id":"4536e4d155cd941d71346bd1732fa343","link":"https://interface31.ru/post/hyper-v-windows-8/","section":"post","tags":["Hyper-V","Windows 8","Виртуализация"],"title":"Hyper-V в Windows 8"},{"body":"Продолжая цикл статей посвященный виртуализации, сегодня мы поговорим о настройке сети в Hyper-V. Основное внимание мы уделим теории, а именно разберем как устроены виртуальные сети и как они взаимодействуют с реальными. Потому что, как показывает практика, многие администраторы, в отсутствие простых и понятных материалов по данному вопросу, вынуждены осваивать настройку сети в Hyper-V методом \u0026quot;научного тыка\u0026quot;.\nС одной стороны, ничего сложного в настройке сетей для виртуальных машин нет, с другой многие начинают путаться во всех этих адаптерах, с трудом понимая, где реальный, где виртуальный, и чем они друг от друга отличаются. Постараемся внести ясность.\nЗа настройку сетей в Hyper-V отвечает Диспетчер виртуальных коммутаторов, если мы откроем его, то увидим следующую картину: Как видим, нам доступно создание трех типов сетей: внешней, внутренней и частной. Разберемся подробнее, для чего нужны эти сети и в чем разница между ними.\nВнешняя сеть Самый распространенный тип сети, который позволяет виртуальным машинам взаимодействовать с внешними сетями и хостом. При ее создании необходимо выбрать один из физических сетевых адаптеров, через который данная виртуальная сеть будет соединяться с внешними сетями. В этом нетрудно убедиться, после создания внешней сети на хосте появляется Адаптер Ethernet для виртуальной сети Hyper-V, на который переносятся все настройки с физического адаптера. А в свойствах физического адаптера остался только Расширяемый виртуальный сетевой коммутатор в Hyper-V. Также имеется возможность создания внешних сетей, изолированных от хоста, в этом случае виртуальный сетевой адаптер не создается, а физический интерфейс отключается от хоста, обслуживая только виртуальный коммутатор. Для этого при создании внешней сети необходимо снять галочку Разрешить управляющей операционной системе предоставлять общий доступ к этому сетевому адаптеру. Данная конфигурация позволяет успешно виртуализировать пограничные сетевые устройства, надежно отвязав их от внутренней сети и хоста. Например, мы можем создать две внешних сети, одна из которых будет подключена к локальной сети, вторая к интернет и осуществлять выход во внешнюю сеть через роутер на виртуальной машине, при этом и хост, и локальная сеть будут надежно изолированы от интернет, несмотря на то, что кабель внешней сети физически будет подключен к сетевому адаптеру хоста.\nВнутренняя сеть Как следует из ее названия, внутренняя сеть предназначена для подключения виртуальных машин и хоста и не предусматривает соединения с внешними сетями. При ее создании также создается виртуальный сетевой адаптер для хоста, который оказывается подключен к виртуальному коммутатору внутренней сети и должен быть сконфигурирован в соответствии с настройками виртуальной сети. К внешней сети хост остается подключен через физический адаптер, настройки которого не затрагиваются. Данная конфигурация чаще всего используется для учебных и исследовательских целей, позволяя создавать и моделировать различной сложности сетевые конфигурации не затрагивая рабочие сети предприятия.\nВнутренняя сеть c NAT Данная возможность появилась начиная с Windows Server 2016, Hyper-V Server 2016 и Windows 10. Подробнее читайте в нашей статье: Настраиваем сеть NAT в Hyper-V\nЧастная сеть Частная сеть отличается от внутренней тем, что виртуальный коммутатор может быть подключен только к виртуальным машинам и изолирован от хоста. Данный вид сетей может быть использован также в учебных и исследовательских целей, а также для создания изолированных участков сети, например DMZ. В этом случае связь между внешней и частной сетью будет осуществляться через одну из виртуальных машин, которая должна быть подключена к обеим сетям.\nКак видим, Hyper-V дает в руки администратора весьма гибкий и мощный инструмент, позволяющий создавать весьма сложные сетевые конфигурации и управлять ими.\n","id":"89fc08e1279f07706f37c83a024a57f4","link":"https://interface31.ru/post/nastraivaem-set--v-hyper-v/","section":"post","tags":["Hyper-V","Windows Server","Windows Server 2012","Виртуализация"],"title":"Настраиваем сеть в Hyper-V"},{"body":"Тему установки MS SQL Server обычно обходят стороной. Действительно, трудно не установить эту СУБД, даже делая это в первый раз, столь же трудно не запустить в связке с ней Сервер 1С:Предприятия. Однако есть ряд неочевидных тонкостей, которые способны существенно отравить жизнь администратору, о чем мы сегодня и расскажем.\nMS SQL Server занимает первое место по количеству внедрений в связке с 1С:Предприятием, во многом это объясняется низким порогом вхождения, осилить данную связку вполне способен человек без опыта, сугубо по методу Next - Next - Finish. И, что самое интересное, все это будет работать. Скажем больше, в подавляющем большинстве случаев настройки SQL-сервера по умолчанию более чем достаточно для обеспечения производительной работы сервера 1С:Предприятия и трогать их не только не нужно, но даже вредно.\nОднако есть другая категория настроек, которая отвечает за расположение и выделение физических ресурсов и которую обычно тоже никто не трогает до тех пор, пока не начнет испытывать проблемы с производительностью.\nПрежде всего следует вспомнить про системную базу tempdb, которая активно используется 1С для хранения временных таблиц и промежуточных результатов. Причем она используется сразу всеми базами 1С, работающими на сервере. А так как по умолчанию она располагается в папке установки SQL-сервера, т.е. на системном диске, то при увеличении нагрузки именно tempdb становится бутылочным горлышком для всего сервера. Очень часто это приводит к ситуациям: купили быстрые HDD / SSD, дисковых ресурсов хватает, а 1С тормозит, что способно вызвать у начинающих администраторов серьезные затруднения.\nВторой момент. Кодировка сравнения tempdb должна совпадать с кодировкой сравнения информационных баз, иначе это может в ряде случаев привести к неожиданным результатам, вплоть до серьезных ошибок в расчетах.\nВ тоже время указанных сложностей совсем не сложно избежать, достаточно лишь потратить пару лишних минут при установке или внимательно просмотреть настройки уже установленного сервера.\nПодготовка к установке Еще на стадии планирования следует уделить некоторое внимание дисковой подсистеме. Для хранения пользовательских баз данных и системной базы tempdb следует выделить отдельный раздел, а еще лучше дисковый массив из быстрых дисков или SSD. В нагруженных системах имеет смысл разнести базы данных и журналы транзакций по разным дисковым массивам. Также рекомендуется отформатировать эти разделы с размером кластера в 64 КБ. Установка MS SQL Server для работы с 1С:Предприятие Как мы уже говорили, установка SQL-сервера предельно проста, и мы не будем описывать этот процесс подробно, обратив внимание лишь на необходимые настройки. Начнем с выбора компонентов, так как 1С не использует большинство механизмов SQL-сервера и если вы не собираетесь их использовать для иных целей, то оставляем только Службы ядра СУБД и Соединения с клиентскими средствами. В предыдущих версиях эти компоненты назывались Database Engine,**Средства связи клиентских средств,**также в них можно опционально установить Средства управления (однако лучше установить свежую версию средств управления отдельно). На закладке Учетные записи служб обязательно установите флаг Предоставить право на выполнение задач обслуживания тома службе ядра СУБД SQL Server. Затем следует проверить параметры сортировки, если у вас правильно настроены региональные настройки, то скорее всего там ничего изменять не придется, но проконтролировать данный параметр желательно, там должно быть Cyrillic_General_CI_AS. В Конфигурации сервера укажите Смешанный режим проверки подлинности и задайте пароль суперпользователю SQL - sa. Также укажите ниже администраторов данного экземпляра SQL-сервера, как минимум следует добавить текущего пользователя, но если администрировать данный экземпляр будут другие ваши коллеги, то имеет смысл сразу их указать. Следующая закладка - Каталоги данных - требует самого пристального внимания. Обязательно укажите в качестве места хранения пользовательских баз место на производительном массиве или отдельном диске. Несмотря на то, что расположение базы можно указывать при ее создании, задание правильных настроек по умолчанию избавляет вас от лишней работы, а также от ситуации, когда база создается средствами 1С и оказывается в каталоге по умолчанию, т.е. на системном диске. Также сразу можете указать каталог для хранения резервных копий. Современные версии MS SQL содержат отдельную закладку TempDB, для настройки одноименной базы, в предыдущих версиях данных настроек нет и о том, как настроить данную базу будет рассказано ниже. Здесь же мы выставляем для базы: количество файлов - 4, начальный размер - от 1 ГБ до 10 ГБ, авторасширение - 512 МБ, аналогичный размер и авторасширение устанавливается для файла журнала. Также не забываем проконтролировать размещение TempDB на отдельном разделе/диске. Остальные настройки можно оставить по умолчанию и завершить установку.\nДля управления сервером СУБД следует скачать и установить SQL Server Management Studio (SSMS), ее можно установить как на сервер, так и на компьютер администратора, чтобы управлять с него всеми доступными SQL-серверами. Никаких особенностей в установке SSMS нет.\nНастройка операционной системы Если у вас имеется уже установленный экземпляр MS SQL, либо вы не выполнили всех рекомендаций по установке, то следует проверить ряд настроек операционной системы. Запустим редактор локальной политики безопасности secpol.msc и перейдем в раздел Локальные политики - Назначение прав пользователя. Откроем политику Выполнение задач по обслуживанию томов и убедимся, что в списке пользователей присутствует учетная запись от имени которой работает SQL Server - NT SERVICE\\MSSQLSERVER. Обратите внимание, что указанного пользователя нельзя выбрать из списка, поэтому просто введите указанное выше имя в соответствующем окне. Если ваш экземпляр MS SQL Server установлен отдельно от Сервера 1С:Предприятие, то выполните аналогичную настроку для политики Блокировка страниц в памяти.\nНастройка MS SQL Server для работы с 1С:Предприятие Если вы имеете дело с уже установленным экземпляром SQL-сервера, убедитесь, что кодировка сравнения Cyrillic_General_CI_AS, для этого откройте Managment Studio, выберите необходимый экземпляр SQL-сервера и щелкнув на нем правой кнопкой мыши перейдите к Свойствам:\n** **\nВ противном случае данные следует выгрузить средствами 1С, а сервер переустановить (или установить еще один экземпляр, если данный используется другими службами).\nЗатем перейдите к закладке Память,за основу для расчетов принимается объем выделенного SQL-серверу размера памяти (RAM). Обычно это объем памяти сервера за вычетом ОЗУ для ОС и иных служб, например, Сервера 1С:Предприятие. Для сервера с объемом ОЗУ в 32 ГБ мы будем исходить из доступного объема в 24 ГБ, выделив 8 ГБ для ОС и сервера 1С. Но данные соотношения не являются эталоном и в вашем случае это могут быть иные числа.\nДля расчета минимального объема памяти применяется формула:\n1Минимальный размер памяти = RAM/2 Для максимального применяется полный размер RAM, за вычетом 1 ГБ на каждые выделенные 16 ГБ ОЗУ (все объемы указываются в МБ):\n1Максимальный размер памяти = RAM - 1024 * RAM/16384 В разделе Параметры базы данных можно проконтролировать места хранения пользовательских баз и журналов, а также изменить их при необходимости. Все изменения будут применены только к вновь создаваемым базам данных, уже существующие БД потребуется перенести в новое расположение вручную (если в этом есть необходимость). В разделе Дополнительно - Параллелизм установите параметр:\n1Максимальная степень параллелизма = 1 Следующая настройка будет связана с безопасностью. Для подключения 1С к серверу чаще всего используется учетная запись sa, что, мягко говоря, небезопасно, так как дает вошедшему под ней полный доступ к SQL-серверу. Учитывая, что администрированием баз 1С часто занимаются сторонние специалисты, то имеет смысл создать для них отдельную учетную запись.\nДля этого раскройте Безопасность - Имена для входа и создайте новое имя (учетную запись), укажите проверку подлинности SQL-сервер и задайте пароль. Затем перейдите на закладку Роли сервера и разрешите dbcreator, processadmin и public. После чего используйте для подключения к SQL-серверу из 1С именно эту учетную запись.\nВсе создаваемые базы данных создаются на основе служебной базы model и к ним применяются все настройки этой БД, поэтому перейдем в Базы данных - Служебные базы данных и откроем свойства базы model. В разделе Файлы укажите значения начального размера базы от 1 ГБ до 10 ГБ, начальный размер журнала транзакций от 1 ГБ до 2 ГБ и авторасширение в 512 МБ. Выбирая начальный размер базы, нужно исходить из соображений чтобы размер файла превосходил загружаемый размер образа информационной базы 1С. В разделе Параметры укажите Модель восстановления в соответствии с применяемой политикой резервного копирования и установите параметр:\n1Асинхронное автоматическое обновление статистики = True Для уже существующих баз потребуется выполнить аналогичные настройки, за исключением параметра Начального размера, его следует выставить больше, чем текущий размер файлов базы и лога транзакций. Для базы данных желательно указать планируемый размер БД за длительный период эксплуатации, а для файла журнала размер, исключающий его авторасширение в процессе работы.\nПосле внесения всех изменений в конфигурацию службу SQL сервера потребуется перезапустить.\nНастройка сетевых протоколов Для настройки сетевых протоколов откроем Диспетчер конфигурации SQL Server и перейдем в раздел Сетевая конфигурация SQL Server - Сетевые протоколы для MSSQLSERVER, где MSSQLSERVER - имя вашего экземпляра, и установим следующие настройки: Общая память (Shared Memory) - Включено Именованные каналы (Named pipes) - Отключен TCP/IP - Включено Настройка базы tempdb В предыдущих версиях MS SQL Server нет возможности настроить параметры базы tempdb при установке, также вы могли выполнить установку со значениями по умолчанию, либо вам достался уже установленный экземпляр, в этих случаях нужно произвести дополнительную настройку. Откроем Managment Studio и перейдем в Базы данных - Служебные базы данных всвойства базы tempdb. В разделе Файлы разобьем базу на четыре файла данных и установим для них начальный размер от 1ГБ до 10 ГБ, но не менее текущего размера файла, авторасширение - 512 МБ. Аналогичные настройки установим и для файла журнала. Перенос базы tempdb Довольно часто встречаются ситуации, когда tempdb требуется перенести в другое место. Например, сервер был установлен с параметрами по умолчанию и tempdb находится на системном разделе, или вы приобрели SSD и хотите перенести туда не только базы, но и tempdb (что является правильным решением). Также при большой нагрузке на tempdb его рекомендуется выносить на отдельный диск.\nДля того, чтобы изменить место расположения файла tempdb откройте Managment Studio, выберите Создать запрос и в открывшемся окне введите следующий текст, где E:\\NEW_FOLDER - новое расположение для базы:\n1use master 2 3alter database tempdb 4modify file( 5name = tempdev, 6filename = N\u0026#39;E:\\NEW_FOLDER\\tempdb.mdf\u0026#39;) 7go 8 9alter database tempdb 10modify file( 11name = templog, 12filename = N\u0026#39;E:\\NEW_FOLDER\\templog.ldf\u0026#39;) 13go Данный запрос состоит из двух секций, верхняя переносит файл данных, нижняя - журнал транзакций. Если вы разделили базу на четыре файла данных, то следует изменить запрос, создав для каждого файла данных свою секцию.\nСоздав запрос нажмите Выполнить, после выполнения запроса перезапустите SQL-сервер, файлы базы и лога tempdb будут созданы в новом месте, файлы по старому расположению следует удалить вручную. ","id":"16a8469576809f0ff16c801e49ae0732","link":"https://interface31.ru/post/ustanovka-i-nastroyka-ms-sql-server-dlya-1spredpriyatie/","section":"post","tags":["1С Предприятие 8.х","MS SQL","SQL"],"title":"Установка и настройка MS SQL Server для 1С:Предприятие"},{"body":"Новые версии серверных ОС от Microsoft, кроме спорного интерфейса, содержат большое количество новых возможностей, многие из которых раннее были доступны только крупным предприятиям и требовали значительных финансовых затрат. Одна из таких возможностей - дедупликация, технология позволяющая по новому посмотреть на использование уже существующих систем хранения для предприятий любого масштаба.\nОсновная проблема с которой сталкиваются сегодня администраторы систем хранения, это стремительный рост хранимых данных, который требует все нового и нового дискового пространства. А если добавить сюда необходимость хранения резервных копий, архивов и т.п., то проблема рационального использования дискового пространства встает в полный рост.\nВ тоже время очень многие файлы содержат дублирующуюся информацию, а то и являются практически полными дубликатами. Это характерно для файловых серверов общего назначения, где различные сотрудники могут хранить практически полные или незначительно различающиеся копии одного и того же файла. В хранилищах резервных копий и архивах дублирование информации также может достигать существенных объемов.\nДедупликация позволяет найти одинаковые части файлов и хранить их в единственном экземпляре, заменяя данные ссылкой на дублирующийся блок. Windows Server 2012 разбивает файлы на небольшие блоки (32-128 Кб), находит среди них одинаковые и помещает их в специальное хранилище, избыточные копии блоков заменяются ссылкой на единственный экземпляр в хранилище.\nСхематично дедупликацию можно представить следующим образом (одинаковым цветом помечены одинаковые области данных): Но данная технология не является панацеей, как нетрудно заметить, наибольший выигрыш будет на больших массивах данных, которые имеют много общих блоков и редко изменяются, для часто меняющихся данных дедупликация не даст никакого эффекта.\nНаиболее подходящие кандидаты на дедупликацию:\nФайловые сервера Хранилища резервных копий и архивы Хранилища инсталляционных файлов и иной информации использующейся преимущественно только для чтения Библиотеки образов виртуальных машин Не рекомендуется использовать дедупликацию для:\nУзлов Hyper-V SQL и Exchange серверов Служб WSUS В остальных случаях требуется предварительный анализ и взвешивание всех возможных плюсов и минусов. Из общих рекомендаций: не рекомендуется включать дефрагментацию на томах с интенсивным вводом-выводом.\nТакже не следует заполнять дедуплицированные тома \u0026quot;под завязку\u0026quot;, всегда необходимо иметь резерв на случай одновременного изменения большого объема дедуплицированных данных, чтобы не столкнуться с проблемой нехватки дискового пространства.\nВ Windows Server 2012 дедупликация поддерживается на уровне тома, в том числе допускается использование томов, расположенных во внешних хранилищах и подключенных по iSCSI. Не допускается дедупликация для системных томов и общих томов кластера (CSV).\nПерейдем от теории к практике. Для включения дедупликации откроем Диспетчер серверов - Управление - Добавить роли и компоненты. Затем выберем нужный сервер и, развернув роль Файловые службы и службы iSCSI, включим данную опцию. Закончим установку роли, перезагрузка сервера не потребуется. Снова вернемся в Диспетчер серверов, слева выберем Файловые службы и службы хранилища - Тома. Теперь щелкнув правой кнопкой мыши на выбранном томе мы увидим опцию Настройка дедупликации данных. Настройки просты и понятны: выбираем профиль, срок хранения файла для включения его в дедупликацию и исключения, как по расширению, так и по местам хранения. Например, мы исключили из дедупликации временную папку. Отдельно стоит остановиться на возрасте файлов, выбирать этот параметр следует исходя из реальных условий, а именно интенсивности изменения данных и их объемов. После того как вы настроите дедупликацию, фоновая оптимизация будет производиться каждый час, поэтому если данные в течении этого времени будут активно изменяться, то система будет постоянно выполнять пустую работу. Слишком большие значения могут, наоборот, приводить к неэффективности процесса дедупликации, т.е. будут дублироваться довольно редко изменяемые данные.\nТакже имеет смысл более детально настроить расписание, чтобы служба дедупликации могла использовать ресурсы системы полностью в нерабочее время или периоды с малой нагрузкой. В нашем случае мы настроили два расписания, одно позволяет выделять максимум ресурсов каждую ночь, с 22:00 до 8:00, второе полностью снимает ограничения на выходные.\nВ принципе на этом можно закончить, система сама выполнит все необходимые действия и через некоторое время у вас появится возможность оценить эффективность данной технологии применительно к вашей системе хранения. Также можно инициировать процесс дедупликации вручную. При этом стоит учитывать, что дедупликация будет выполняться с обычным приоритетом и правильно оценить необходимое для этого время. Средняя скорость дедупликации - 20 МБ/с или 72 ГБ в час, поэтому на больших объемах данных данный процесс может занять весьма продолжительное время.\nЕсли вы используете дедупликацию для томов во внешнем хранилище, то также следует принять во внимание загрузку сети. Ниже показана сетевая активность при дедупликации iSCSI диска: Если принять среднюю скорость за 150 Мбит/с, то получим скорость дедупликации 18,75 МБ/с, что соответствует заявленным Microsoft значениям.\nДля запуска процесса дедупликации откройте консоль PowerShell и выполните команду (указав букву необходимого тома, в нашем случае это D:):\n1Start-DedupJob -Volume D: -Type Optimization Контролировать ход выполнения задания можно командой:\n1Get-DedupStatus Теперь самое время оценить эффективность данной технологии. В нашем случае целью дедупликации был том на SSD диске терминального сервера, хранящий информационные базы 1С:Предприятия. Так как данная организация предоставляет аутсорсинговые услуги по ведению бухгалтерского учета для небольших фирм, то имеется большое количество однотипных баз (около 40 баз Бухгалтерии 3.0 и примерно столько же Камина). В тоже время работа с базами не отличается особой интенсивностью: единицы-десятки документов в день.\nВзвесив все за и против, мы пришли к решению, что дедупликация существенно не повлияет на производительность, но в тоже время поможет более оптимально использовать дорогостоящую емкость SSD диска. И мы не ошиблись, результат говорит сам за себя: Также эффективность дедупликации можно оценить открыв оснастку Тома в Диспетчере серверов. Степень дедупликации сильно зависит от характера данных, ниже показаны результаты для хранилища резервных копий виртуальных машин Hyper-V: И файлового сервера общего назначения: В любом случае результат можно назвать неплохим, так как даже 30-40% экономия в масштабах предприятия позволяет предотвратить вполне ощутимые затраты по наращиванию емкости системы хранения. Также дедупликацию можно рассматривать как серьезный аргумент к переходу на новое семейство серверных операционных систем от Microsoft.\n","id":"3386cac662f70730b0e22ccf9fff858c","link":"https://interface31.ru/post/windows-server-2012-deduplikaciya/","section":"post","tags":["Windows Server","Windows Server 2012","Дедупликация","Файловый сервер"],"title":"Windows Server 2012. Дедупликация"},{"body":"Одной из важных задач администратора является контроль состояния RAID-массивов, когда серверов немного и все они рядом, это можно делать вручную. Но при большом парке техники, в том числе расположенной удаленно, сделать это не так просто. Также данная проблема актуальна для небольших организаций, которые не имеют своего системного администратора и пользуются услугами сторонних организаций.\nПоэтому важно своевременно получать информацию о состоянии дисковых массивов, учитывая, что отказ одного из дисков массива может долгое время оставаться незамеченным. В нашей практике был случай, когда в одной довольно крупной организации разрушился RAID-5. Разбор ситуации показал, что массив долгое время работал с одним отказавшим диском из трех, а диск горячей замены был кем-то украден и заменен неисправным диском гораздо меньшей емкости. По понятным причинам отказ второго диска оказался фатальным.\nСегодня мы рассмотрим, как настроить уведомления о состоянии программного RAID в Ubuntu Server. Задача проста, при любых нештатных ситуациях администратор должен получать уведомления на свой ящик электронной почты.\nПри установке утилиты управления программным RAID mdadm автоматически устанавливается postfix, который тоже можно настроить на отправку уведомлений, но на наш взгляд использовать для этого полноценный и довольно тяжеловесный MTA не самая лучшая идея, примерно как стрелять из пушки по воробьям. Более правильно будет использовать уже существующую почтовую инфраструктуру предприятия или публичные почтовые сервисы, в этом случае гарантируется практически 100% доставка почты. Для этого нам понадобится SMTP-клиент который будет отправлять почту через сторонний SMTP-сервер.\nПрежде всего удалим postfix:\n1apt-get remove postfiх и установим легкий SMTP-клиент msmtp:\n1apt-get install msmtp msmtp-mta второй пакет позволяет прозрачно заменить sendmail на msmtp, что позволит легко отправлять уведомления от любых других служб используя стандартные механизмы.\nТеперь создадим конфигурационный файл\n1touch /etc/msmtprc и приступим к его заполнению. Прежде всего зададим общие параметры:\n1defaults 2 3tls on 4tls_starttls on 5tls_certcheck off 6auth on 7keepbcc on Затем создадим почтовый аккаунт, для примера будем использовать публичный сервис Яндекс Почта:\n1account yandex 2host smtp.yandex.ru 3port 587 4protocol smtp 5from my_account@yandex.ru 6user my_account 7password my_password Синтаксис предельно понятен и в комментариях не нуждается. Поясним только использование порта 587, данный порт используется для подключений клиентских агентов (MUА) и ретрансляции почты от них. Также можно использовать стандартный порт 25. В одном конфигурационном файле можно создать несколько почтовых аккаунтов, в конце добавим запись, которая будет указывать аккаунт по умолчанию, в нашем случае Яндекс:\n1account default: yandex Сохраним содержимое файла и попробуем отправить почту.\n1echo \u0026#34;test\u0026#34; | msmtp -d admin@example.com где admin@example.com - почтовый ящик администратора. В данном случае будет отправлено простейшее письмо без темы с единственной строкой test. Следует иметь ввиду, что не все серверы нормально воспринимают такое письмо, так Gmail нормально отправил данное сообщение, а Яндекс отклонил его как потенциальный спам. Но результат в любом случае стоит считать успешным - почта отправляется. Теперь откроем конфигурационный файл /etc/mdadm/mdadm.conf и укажем в нем адрес на который следует отсылать уведомления:\n1MAILADDR admin@example.com Сохраним файл и перезапустим службу:\n1service mdadm restart Для проверки выполним команду:\n1mdadm --monitor --scan --test --oneshot В результате ее выполнения вы должны получить на почту письмо примерно следующего содержания: В случае возникновения проблем с массивом mdadm будет посылать вам сообщения с подробным описанием ошибки. Для теста мы пометили один из дисков как сбойный и исключили его из массива. Практически моментально на почту пришло следующее сообщение: Как видим, настройка уведомлений о состоянии программного RAID-массива в Ubuntu Server предельно проста и не занимает много времени, в тоже время позволяет администратору держать руку на пульсе и своевременно реагировать на возникающие проблемы.\n","id":"954bee0c3a168dbcb24ccb1b6339087c","link":"https://interface31.ru/post/ubuntu-server-nastraivaem-uvedomleniya-programmnogo-raid/","section":"post","tags":["E-mail","mdadm","RAID","Ubuntu Server","Файловый сервер"],"title":"Ubuntu Server. Настраиваем уведомления программного RAID"},{"body":"Не так давно компания Seagate, вслед за WD, выпустила линейку накопителей для накопителей - Seagate NAS. Данные диски рекомендуются к использованию в устройствах с количеством шпинделей от 1 до 5 и имеют оптимизированную для NAS прошивку. Как только у нас появилась возможность, мы провели тестирование данных дисков, с результатом которого и предлагаем вам ознакомиться.\nВ нашей лаборатории оказались два 2 Tb SATA 6Gb / s Seagate NAS ST2000VN000 64Mb, стоимость которых на момент тестирования составила 3 600 руб. или 1,8 руб./ГБ, что сравнимо с основным конкурентом - Western Digital Red, стоимость диска аналогичной емкости была равна 3800 руб. или 1,9 руб./ГБ. Это несколько дороже стоимости хранения на обычных дисках, которая составляет около 1,5 руб/ГБ, но работа дисков в составе NAS имеет свои особенности. Диски массовых серий столкнувшись с \u0026quot;битым\u0026quot; сектором будут пытаться его прочитать в течении довольно продолжительного времени и только потом помечают его как сбойный. В NAS такое поведение может привести к отказу или перестроению RAID массива, так как сбойным будет считаться весь диск. У Seagate NAS попытка чтения сбойного сектора не превышает 7 сек, что позволяет получить высокую надежность массива, даже при выходе из строя одного из дисков.\nДругая проблема - это необходимость обеспечивать низкий уровень тепловыделения и вибрации, так как условия работы таких дисков сложно назвать комфортными, большинство NAS имеют небольшие, тесные корпуса со слабой вентиляцией. При этом нужно обеспечивать достаточный уровень производительности, поэтому производителям приходится искать разумные компромиссы.\nПосмотрим как справились с этой задачей в компании Seagate. Для первого ознакомления с параметрами диска мы традиционно используем CrystalDiskMark. Перейдем к более подробным тестам в HD Tune Pro 5.0 Кривая чтения довольно типична для массовых моделей Seagate, с несколько меньшими скоростями доступа, в тоже время если сравнивать с \u0026quot;красным\u0026quot; WD, диск от Seagate показывает лучшие результаты - более высокую среднюю скорость чтения и меньшее время случайного доступа. Результаты файлового теста также отличаются невысокой скоростью, уступая не только WD Red, но и обычному Seagate. Время случайного доступа - один из наиболее важных тестов. Результаты Seagate NAS тажке невысоки, хотя и превосходят красный WD, но при этом они хуже, чем у дисков массовых серий. Поэтому не рекомендуется использовать данный диск в качестве системного или для размещения требовательных к количеству IOPS данных, например, баз данных или виртуальных машин. В тоже время для типичных задач файлового сервера этот параметр не играет решающей роли. Общий тест никаких сюрпризов не преподнес, подтверждая все вышесказанное.\nПосмотрим, как будет вести себя диск на реальных задачах, для этого мы провели набор тестов с помощью Intel NASPT. Все оказалось довольно ожидаемо, диск не показывает высоких результатов, не сильно уступая своему основному конкуренту WD Red на операциях с последовательным чтением и опережая его на задачах с преимущественно произвольным характером доступа.\nПосмотрим, как диск покажет себя при многопоточной нагрузке, которая у дисков WD Red и Green больное место. Воспроизведение в один поток значительно уступает по скорости диску от WD, и незначительно обычному Seagate. Но уже в два потока ситуация меняется, Seagate NAS продолжает уверенно держать нагрузку, хоть и уступая массовому диску, чего не скажешь о \u0026quot;красном\u0026quot; WD, который стремительно сдает позиции. В четыре потока диск показывает просто превосходный результат, сохраняя производительность и начиная опережать массовые диски. Сравнивать в данном тесте с WD Red мы не будем, так как его производительность падает до неприлично низких значений.\nВыводы Несмотря на то, что на первый взгляд данный диск не отличается производительностью, мы можем смело рекомендовать его к применению в NAS и файловых серверах. Там где основная задача - хранение и многопользовательский доступ к данным, его характеристики подходят как нельзя лучше. От дисков массовых серий его, несмотря на более низкую производительность в тестах, отличает оптимизация прошивки именно для систем хранения и недорогих RAID-контроллеров, а от основного конкурента, WD Red он выгодно отличается высокой производительностью в многопоточном режиме. Это делает данную модель, в отличие от WD, пригодной к работе не только в домашних хранилищах, но и корпоративных NAS уровня отдела или небольшого предприятия.\n","id":"685d4467d210e822169806db75907463","link":"https://interface31.ru/post/seagate-nas-diski-dlya-sistem-hraneniya/","section":"post","tags":["HDD","NAS","Seagate"],"title":"Seagate NAS - диски для систем хранения"},{"body":"В наших материалах мы уже рассказывали, как запустить две версии платформы 1С:Предприятие на одном Windows-сервере. Сегодня мы поговорим о том, как установить две различных платформы на сервер под управлением Ubuntu. Сам процесс довольно несложен, но имеет свои подводные камни, некоторые из которых выявляются только эмпирическим путем.\nБудем считать, что у вас уже есть сервер с установленной платформой 8.2, подробно на этом вопросе мы останавливаться не будем, так как разбирали его здесь. В этом случае у вас уже имеются все зависимости и для установки платформы 8.3 вам понадобятся только пакеты сервера.\nПо умолчанию сервер 1С:Предприятия использует следующие порты:\n1540 - агент сервера 1541 - менеджер кластера 1560:1691 - динамический диапазон портов для рабочих процессов. Для успешной работы двух платформ 1С:Предприятие на одном сервере необходимо изменить рабочие порты для одной из них. В среде Linux это делается через скрипты запуска в /etc/init.d, необходимые файлы называются srv1cv82 и srv1cv83 соответственно. В нашем случае оставим платформу 8.2 работать со стандартными настройками, а для платформы 8.3 внесем изменения.\nОткроем /etc/init.d/srv1cv83 в котором раскомментируем и укажем необходимые значения для следующих параметров:\n1SRV1CV8_PORT=1740 2SRV1CV8_REGPORT=1741 3SRV1CV8_RANGE=1760:1891 Сохраним изменения. Теперь проверим состояние и остановим работающие службы 1С:Предприятие, в нашем случае это платформа 8.2:\n1service srv1cv82 status 2service srv1cv82 stop Платформа 8.3 запущена не будет, но на всякий случай также можем в этом убедиться. 1rm /home/usr1cv82/.1cv82/1C/1Cv82/srvribrg.lst После чего можно производить первый запуск сервисов.\nВнимание! ВАЖНО! Первой необходимо запускать платформу с нестандартными номерами портов, в противном случае ее запуск будет невозможным.\nДанная особенность недокументирована и была установлена нами опытным путем. Если же вы столкнулись с подобной ошибкой, то остановите службы, удалите srvribrg.lst и 1cv8wsrv.lst, затем выполните запуск в правильной последовательности. После этих нехитрых действий мы получим две работающие платформы 1С:Предприятие на Linux-сервере. Для пользователей платформы 8.2 никаких изменений не произойдет, а для платформы 8.3 потребуется дополнительно указывать порт (1741), через двоеточие после имени сервера: ","id":"eec77f666e49dd7571d9a4bb9d1d7343","link":"https://interface31.ru/post/1s-predpriyatie-82-i-83-sovmestnyy-zapusk-na-odnom-linux-servere/","section":"post","tags":["1С Предприятие 8.х","Ubuntu Server","Развертывание"],"title":"1С: Предприятие 8.2 и 8.3. Совместный запуск на одном Linux-сервере"},{"body":"Долгое время на платформе Linux 1С:Предприятие было представлено только серверной частью. Однако с выходом плафтормы 8.3 ситуация начала меняться и сегодня мы имеем полноценное клиетское приложение. Несмотря на то, что процесс установки довольно подробно описан в документации, мы решили уделить внимание этому вопросу применительно к Ubuntu 12.04.\nВнимание! Внимание! Данная статья устарела. Рекомендуем ознакомиться с новым материалом: Установка клиента 1С:Предприятие 8.3 на Debian / Ubuntu\nДанный материал предполагает, что читатель обладает базовыми навыками работы в среде Linux, поэтому останавливаться на второстепенных вопросах мы не будем. Также настоятельно рекомендуем использовать в производственных условиях только LTS выпуски ОС Ubuntu, это связано прежде всего с тем, что промежуточные релизы имеют малый срок поддержки и не всегда стабильны.\nДанная инструкция одинаково подходит как для 32-битных так и для 64-битных версий системы, никаких ограничений на совместное использование клиентских версий разной разрядности нет.\nПрежде всего скачаем необходимые пакеты. Учтите, что для успешной установки нам кроме клиента потребуется также скачать дистрибутив сервера, так как зависимости требуют наличия компонентов входящих в состав серверной версии. Почему 1С не может нормально собрать пакеты оставим на совести разработчиков. Следующим шагом установим необходимые зависимости. Строго говоря, не все из них необходимы для работы 1С:Предприятия, но требуются для использования всех возможностей системы.\n1sudo apt-get install imagemagick 2sudo apt-get install libgsf-1-114 3sudo apt-get install libglib2.0 4sudo apt-get install ttf-mscorefonts-installer 5sudo apt-get install unixodbc Затем распакуем скачанные архивы, в папке с дистрибутивом сервера оставлям только пакеты 1c-enterprise83-common и 1c-enterprise83-server, а также соответвующие им nls-пакеты с дополнительным языковыми ресурсами. Откроем терминал, перейдем в папку с пакетами и установим их:\n1cd ~/Загрузки/deb 2sudo dpkg -i *.deb В папке с клиентом находятся пакеты с клиентским приложением (содержит толстый и тонкий клиенты) и языковыми ресурсами. Также установим их (путь к папке указан для 32-битного дистрибутива):\n1cd ~/Загрузки/client.deb32 2sudo dpkg -i *.deb На этом в принципе можно закончить, но следует помнить, что вместе с клиентом мы установили серверный пакет и он прописался в автозагрузку как служба. Поэтому имеет смысл отключить автоматический запуск сервера:\n1sudo update-rc.d -f srv1cv83 remove В остальном работа с клиентом 1С ничем ни отличается от работы с Windows версией. Мы без проблем запустили как в толстом, так и в тонком клиенте конфигурацию на управляемом приложении: Также не возникло сложностей при работе с обычнми конфигурациями (для плафтормы 8.2) и в режиме конфигуратора. Как видим, никаких сложностей при установке клиентской части под Ubuntu, если следовать рекомендациям и заранее установить необходимые зависимости, нет.\n","id":"2a0749005b5459575a6ba69d5f258a6b","link":"https://interface31.ru/post/ustanovka-klienta-1spredpriyatie-na-ubuntu-1204/","section":"post","tags":["1С Предприятие 8.х","Ubuntu","Развертывание"],"title":"Установка клиента 1С:Предприятие на Ubuntu 12.04"},{"body":"Вопрос производительности 1С в файловом режиме стоит довольно остро, особенно перед небольшими фирмами, которые не могут позволить себе существенных вложений в оборудование. Тем не менее \u0026quot;аппетиты\u0026quot; приложения от релиза к релизу только растут и задача повышения быстродействия при умеренных затратах бюджета становится все актуальнее. В этом случае неплохим решением будет приобретение и размещение баз на SSD.\nОдин из наших клиентов, небольшая фирма по бухгалтерскому обслуживанию, начал жаловаться на медленную работу 1С:Предприятие. Собственно и так не очень быстрая работа приложения стала совсем тоскливой после перехода с Бухгалтерии 2.0 на Бухгалтерию 3.0.\nВ наличие имелся простой терминальный сервер на Core i3 2120, 8 Гб RAM, с дисковым массивом RAID 1 из двух Western Digital RE4, который обслуживал от трех до шести пользователей, каждый из которых работал с двумя - тремя базами одновременно.\nАнализ производительности сразу выявил узкое место - дисковая подсистема (скриншот сделан уже после установки SSD, поэтому к RAID массиву относятся логические диски C: и E:). Несложные расчеты показали, что запуск даже одной информационной базы практически полностью использует производительность массива, около 150 IOPS при текущем соотношении чтение/запись - фактический предел для зеркала из двух не самых быстрых дисков. На что косвенно указывает и размер очереди.\nОдновременный запуск нескольких баз в начале рабочего дня приводил к существенному замедлению работы сервера и снижал отзывчивость системы. Также наблюдадлась неприятная задумчивость при работе с журналами, при формировании отчетов и т.п.\nТест производительности массива также показал невысокий результат, по сегодняшним меркам более подходящий портативным дискам. Так как высоких дисковых нагрузок не предусматривалось, то выбор производился в первую очередь из соображений цены. Скоростные характеристики также отходили на второй план, так как узким местом становился интерфейс SATA-II. В итоге был приобретен 128Gb Corsair Neutron [CSSD-N128GB3-BK] LAMD, который будучи установленным в сервер показал следующие скоростные характеристики: Как видим, операции последовательного доступа ожидаемо уперлись в пропускную способность интерфейса, но в нашем случае это имеет второстепенное значение. Основное внимание следует обратить на операции случайного доступа, которые на порядок превосходят аналогичные показатели традиционных HDD.\nСледующий вопрос, который нужно решить: это создать ли \u0026quot;зеркало\u0026quot; из SSD и пожертвовать TRIM ради отказоустойчивости или оставить одиночный диск, выбрав скорость вместо отказоустойчивости. Следует отметить, что современные SSD кроме команды TRIM используют собственные технологии борьбы с деградацией, такие как сбор мусора, что позволяет довольно эффективно работать даже на системах без TRIM. Используемый в данной серии SSD контроллер LAMD (Link_A_Media Devices) как раз таки отличается весьма эффективными технологиями сбора мусора, на уровне накопителей корпоративного уровня, что в общем неудивительно, так как его разработчики давно работают в enterprise-сегменте.\nТак как объем ежедневно вводимых документов невелик, то мы ограничились единственным SSD при обязательных ежедневных бекапах. Косвенно эффект от применения твердотельного диска можно оценить по монитору производительности: Количество операций ввода-вывода существенно выросло, как и скорость обмена с диском, при этом длина очереди не превышает единицы. Это очень неплохие показатели, осталось проверить насколько наши действия ускорили работу непосредственно с 1С:Предприятие.\nДля этого мы провели небольшое экспресс-тестирование в ходе которого измеряли время загрузки информационной базы и время группового перепроведения комплекта документов за определенный период времени. В ходе тестирования применялась конфигурация 1С:Бухгалтерия 3.0.27.7 на платформе 8.3.3.721.\nТакже в ходе анализа производительности мы обратили внимание на тот факт, что в своей работе 1С:Предприятие активно использует временные папки, которые в нашем случае были расположены на жестком диске. Поэтому в целях достижения максимальной производительности их стоит также перенести на SSD, однако для любителей экономить ресурс твердотельных дисков мы включили в тест оба варианта: когда базы расположенны на SSD, а временная папка на HDD и когда для работы приложения полностью используется SSD. Как видим, перенос информационных баз на SSD сразу уменьшил время их загрузки более чем вдвое, а перепроведение ускорилось приблизительно на 30%. При этом полностью сняласть проблема с падением производительности при совместной работе.\nПеренос на SSD временных папок позволяет сократить время загрузки более чем втрое и приблизительно в два раза ускорить проведение документов. Здесь есть над чем подумать даже убежденным приверженцам экономии ресурсов диска. Наше мнение по данному вопросу следующее, если вы купили SSD - то следует использовать его по полной программе.\nСделаем небольшое отступление. Используемый нами диск Corsair Neutron [CSSD-N128GB3-BK] имеет ресурс 2-3K циклов стирания/записи. Несложные расчеты показывают, что если ежедневно полностью перезаписывать всю емкость диска, то для исчерпания ресурса потребуется 5-8 лет. Кроме того статистика показвает, что основная причина выхода из строя SSD в течении гарантийного срока не связана с исчерпанием ресурса, а представляет собой производственный брак или ошибки в прошивке.\nВ заключение хочется сказать, что применение SSD на сегодняшний день пожалуй единственный эффективный способ существенно повысить производительность 1С:Предприятие в файловом режиме. И, что особенно важно, доступный по цене даже для небольших предприятий.\n","id":"8fc9c0b409a1f362b28276d7918304f2","link":"https://interface31.ru/post/uskoryaem-1spredpriyatie-8-pri-pomoshhi-ssd/","section":"post","tags":["1С Предприятие 8.х","HDD","SSD","Диагностика","Производительность"],"title":"Ускоряем 1С:Предприятие 8 при помощи SSD"},{"body":"В нашем прошлом материале мы вскользь касались темы фрагментации и ее влияния на производительность дисковой подсистемы. Сегодня мы поговорим об этом вопросе более подробно, тем более что с фрагментацией связано большое количество заблуждений. Мы разберем причины и следствия данного явления, а также рассмотрим несколько реальных примеров.\nО том, что такое фрагментация, рассказывать не надо, это общеизвестно, в тоже время причины такого поведения файловой системы и особенности данного процесса остаются для многих неясными.\nСразу определимся, здесь и далее речь будет идти о файловой системе NTFS и Windows, так как в силу их большой распространенности с данной проблемой вы чаще всего будете сталкиваться на этой платформе.\nНачнем с теории, как мы уже разбирали, скорость доступа к различным частям жесткого диска различна. Наибольшая с внешней стороны и наименьшая с внутренней. Поэтому диск размечается таким образом, чтобы начало раздела было как можно ближе к началу диска (внешней части). Файловая система в свою очередь стремиться писать файлы именно в начало раздела, чтобы обеспечить максимальную производительность. Минимальной адресуемой областью диска на уровне ФС является кластер, стандартный размер которого 4 Кб.\nРассмотрим следующую схему: Теперь несколько иная ситуация. Перед тем как записать новый файл, мы удалим несколько старых и на их месте появятся свободные области (схема 3). Если теперь попробовать записать новый файл, то система начнет заполнять им свободные области от начала раздела, несмотря на то, что в его конце есть достаточно места, чтобы записать файл в один прием (схема 4). Эта особенность работы NTFS делает ее расположенной к фрагментации. Причем чем меньше по размеру были удаленные файла и чем больше их было, тем сильнее будет фрагментация.\nВторая особенность NTFS состоит в том, что 12% емкости раздела резервируется для зоны MFT, где хранится главная файловая таблица. Запись в эту зону запрещена, однако когда на томе кончается свободное место, то размер этой зоны сокращается вдвое, затем еще раз вдвое и так до тех пор, пока не будет заполнено все свободное пространство. При появлении свободного места размер зоны MFT восстанавливается.\nНесложно понять, что заполненные более чем на 80% диски будут фрагментироваться с ужасающей скоростью, особенно если пользователь ведет борьбу за дисковое пространство, постоянно перемещая или удаляя ненужные файлы. Также практически невозможно выполнить дефрагментацию такого тома, так как нет достаточного свободного пространства. По факту попытка дефрагментации такого тома приведет к еще более сильной фрагментации.\nТеперь попытаемся понять, хорошо это или плохо. С одной стороны, фрагментация это плохо, так как доступ к фрагментированному файлу превращается из последовательного в случайный, что влечет определенную потерю производительности. На практике не все так печально, так как характер работы дисковой подсистемы в современных системах носит преимущественно случайный характер, поэтому фрагментация до определенного предела практически не сказывается на производительности.\nБольше всего от фрагментации страдают крупные файлы с последовательным характером доступа: видео, архивы, образы дисков и т.п., а также предусматривающие такой доступ операции, такие как копирование, перемещение, архивация.\nНаименее чувствительны к фрагментации операции изначально имеющие случайных характер доступа к диску, например системы виртуализации или СУБД, которые хорошо переносят даже очень сильную фрагментацию. Однако рост степени фрагментации негативно сказывается и на них, одно дело случайный доступ в пределах определенной области диска и совсем иное - обращение к файлу размазанному по всему диску.\nЧтобы не быть голословными разберем несколько практических примеров.\nСлучай первый. Раздел на RAID 10 из \u0026quot;черных\u0026quot; WD для размещения виртуальных машин стал показывать сниженную производительность, которая проявлялась в более долгом запуске и переводе виртуальных машин в состоянии паузы при повышенной дисковой активности в этот момент. Экспресс-тест показал следующие скоростные показатели: Случай второй. Терминальный сервер с размещенной на нем SQL-версией 1С:Предприятия 7.7, дисковый массив представляет из себя зеркало из двух \u0026quot;черных\u0026quot; WD, разбитый на три логических тома. Некоторое время назад на данном сервере произошла нештатная ситуация, что потребовало восстановления и, как следствие, записи на диски с последующим перемещением довольного большого количества данных.\nЧерез некоторое время после этого стала проявляться крайне неудовлетворительная работа сервера на линейных дисковых операциях, вплоть до невозможности выполнить резервное копирование в течении разумного времени. Счетчики показывали крайне высокую нагрузку на диски: в среднем 350 IOPS, в пиках доходящую до 600, при длине очереди доходящей до 60. Тест производительности показал следующие результаты: Примечательно, что к производительности 1С:Предприятия, в отличие от общей производительности сервера, вопросов в общем не возникало, что, учитывая характер нагрузки в SQL версии, как 80% чтение / 20% запись, вполне объяснимо с точки зрения полученных результатов.\nЗапуск утилиты дефрагментации показал, что два тома из трех имеют критический уровень фрагментации, а один из них еще и испытывает недостаток свободного места. После того, как было немного расчищено дисковое пространство и проведена дефрагментация, скоростные параметры массива полностью пришли в норму и его работа нареканий больше не вызывала: Какие выводы можно сделать из вышеизложенного? В первую очередь в голову приходит необходимость следить за состоянием томов и регулярно проводить дефрагментацию, но этот вывод лежит на поверхности, в то время как есть еще несколько неочевидных.\nЕсли рассуждать логически - дефрагментация, это борьба с последствиями, в то время как следует бороться с причинами. Поэтому всегда имеет смысл разделять данные и систему, учитывая что во время работы современная ОС и приложения создают, а затем удаляют, большое количество временных файлов, то попытка размещать на этом же томе значительные объемы данных приведет к сильной их фрагментации.\nТакже есть смысл делить пользовательские данные на используемые и архивные, вторые следует размещать на отдельном разделе, что позволит практически полностью избежать их фрагментации. Отсюда же проистекает целесообразность разносить данные и систему по разным физическим дискам, во первых начало раздела с данными будет ближе к началу диска, во вторых запас по IOPS позволит без потери производительности выдерживать более высокий уровень фрагментации.\nВ завершение разберем еще один актуальный вопрос - дефрагментация и SSD. В интернете, даже на серьезных ресурсах, дефрагментация подается как злейший враг SSD, впустую расходующий драгоценный ресурс, в качестве аргумента приводится то, что современные ОС, обнаружив SSD, выключают для него дефрагментацию.\nОднако все обстоит несколько иначе. Ресурс современных SSD давно уже не вызывает каких-либо опасений по поводу \u0026quot;лишних\u0026quot; операций, даже если вы будете каждый день перезаписывать 100% ячеек SSD, ресурс диска будет исчерпан за 5-8 лет. Вы всерьез считаете что за это время ни разу не замените накопитель? К тому же статистика показывает, что основная масса отказов современных SSD никак не связана с ресурсом, на первом месте заводской брак и ошибки в прошивках.\nНо вернемся к фрагментации. Основной вред от которой - переход от последовательного доступа к случайному, что ограничивает производительность физическими параметрами HDD, качественно улучшить которые в обозримом будущем не представляется возможным.\nСовсем иное дело SSD, скорость случайного доступа к произвольной ячейке памяти, вне зависимости от ее физического расположения, есть величина постоянная и понятие \u0026quot;начала\u0026quot; и \u0026quot;конца\u0026quot; диска для твердотельных накопителей весьма условно.\nКроме того есть еще один неочевидный момент, как мы уже говорили, файловая система NTFS стремиться размещать данные как можно ближе к началу раздела, в случае с SSD такой подход приведет к тому, что одни ячейки (в условном начале диска) будут вырабатывать свой ресурс быстрее, чем другие (в условном конце). Для того, чтобы выровнять износ современные контроллеры SSD используют технологию равномерного размещения данных по всему объему SSD, не меняя их логического расположения на разделе, т.е. по сути дополнительно фрагментируют данные.\nМы проиллюстрировали эту ситуацию на рисунке ниже: С точки зрения файловой системы файлы расположены последовательно в начале диска (схема 1), на самом деле контроллер SSD размазал их \u0026quot;ровным слоем\u0026quot; по всей емкости диска (схема 2). Это делает процесс дефрагментации для SSD абсолютно бессмысленным, так как мы получим что-то сродни перетасовки колоды карт, данные как были, так и останутся равномерно распределены по всему диску.\nВ Windows 8 служба дефрагментации автоматически определяет SSD и, вместо выполнения собственно процесса дефрагментации, посылает ему дополнительный набор команд TRIM для повторной оптимизации. Хотя в первых выпусках Windows 8 был баг, который по умолчанию запускал на SSD обычную дефрагментацию.\nИз всего вышесказанного можно сделать следующий вывод: дефрагментация конечно же снижает ресурс SSD, но не является чем-то критичным в этом отношении, но при этом данная процедура абсолютно бессмысленна с точки зрения логики размещения данных на твердотельных накопителях и поэтому от нее следует отказаться. В тоже время регулярная дефрагментация HDD является необходимым условием поддержания их производительности на должном уровне и должна входит в обязательные планы обслуживания.\n","id":"25544a5d27fb0af314db06098d7005f4","link":"https://interface31.ru/post/proizvoditel-nost-diskovoy-podsistemy-fragmentaciya/","section":"post","tags":["HDD","RAID","SSD","Производительность","Файловый сервер"],"title":"Производительность дисковой подсистемы - фрагментация"},{"body":"В наших прошлых материалах мы рассматривали установку сервера 1С:Предприятие 8.2 на платформе Linux, подробно разбирали особенности и подводные камни. С выходом платформы 8.3 довольно многое изменилось, 1С стала уделять альтернативным плафтормам гораздо больше внимания, сегодня Linux поддерживает не только сервер, но и клиентская часть 1С:Предприятия, да и установка самого сервера стала гораздо проще.\nПри написании данной статьи мы предполагали, что читатель имеет базовые навыки администрирования Ubuntu Server и работы в режиме командной строки. Если это вызывает у вас какие либо затруднения, то советуем обратиться к нашим прошлым материалам, где данный процесс был расписан более подробно.\nИтак, будем предполагать, что в вашем распоряжении имеется сервер с установленной и настроенной Ubuntu Server 12.04 (мы настоятельно рекомендуем использовать в производственных целях только LTS версии), и для него сделаны соответсвующие записи на DNS-сервере предприятия, либо в файлах hosts рабочих станций.\nНапоминаем, что вам нужно создать записьА-типа или запись в файлеhosts, которая будет сопоставлять имя сервера с его IP-адресом, для того, чтобы 1С:Предприятие могло обращаться к серверу по имени.\nВ отличие от платформы 8.2, сервер 1С версии 8.3 требует гораздо меньше зависимостей и умеет находить библиотеки на своих местах, что после наших недавних мытарств выглядит как значительный шаг вперед.\nПрежде всего установим зависимости, их немного:\n1apt-get install imagemagick 2apt-get install libgsf-1-114 3apt-get install ttf-mscorefonts-installer 4apt-get install unixodbc После чего можно переходить к установке сервера 1С. Для этого перейдем в каталог с инсталляционными пакетами (в нашем случае папка 1сv83 в домашней директории)\n1cd ~/1cv83 и выполним команду:\n1dpkg -i *.deb Данная команда установит все deb-пакеты в текущем каталоге, поэтому удостоверьтесь, что в выбраном вами расположении нет ничего лишнего.\nУстановим владельца папки 1С:\n1chown -R usr1cv8:grp1cv8 /opt/1C Проверим статус сервера\n1service srv1cv83 status и запустим его\n1service srv1cv83 start Если все сделано правильно, то вы получите короткое сообщение, что служба запущена успешно. ","id":"18c6a4a99a0073709e951cc902b3c6d5","link":"https://interface31.ru/post/ustanovka-servera-1spredpriyatie-83-na-ubuntu-server-1204/","section":"post","tags":["1С Предприятие 8.х","Ubuntu Server"],"title":"Установка сервера 1С:Предприятие 8.3 на Ubuntu Server 12.04"},{"body":"По умолчанию почтовый сервер Zimbra считает все внутренние сети доверенными и разрешает отправку из них без аутентификации. При должном контроле рабочих станций это удобно, так как почту могут без лишних настроек отправлять не только пользователи, но и скрипты или корпоративные приложения. Однако бывают ситуации, когда аутентификацию наоборот требуется включить. Сегодня мы расскажем, как это сделать.\nУстанавливать внутренние сети как доверенные - настройка по умолчанию для многих почтовых серверов. При этом подразумевается, что пользователи ограничены в правах, а администратор имеет полный контроль над сетью. В случае если это не так или сервер обслуживает несколько предприятий, политику безопасности которых вы не контролируете, диапазон внутренней сети из списка доверенных лучше исключить, пока ваш сервер не стал рассадником спама или вирусов.\nОднако в числе доверенных должны оставаться адреса всех интерфейсов сервера, на которых он принимает почту и диапазон 127.0.0.0/8 для взаимодействия внутренних служб Zimbra. Адреса сетевых интерфейсов сервера тоже следует указывать как диапазон, например 10.0.0.25/32. Если ваш сервер имеет сетевые интерфейсы, на которых работа с почтой не предусмотрена, например VPN-канал для служебных целей, то адреса данного диапазона следует исключить полностью, что сделает отправку почты из данной подсети невозможной, даже через веб-интерфейс.\nУказать доверенные сети можно в настройках MTA для вашего сервера (Home - Configure - Servers - server_name - MTA), но если вы попробуете указать только адреса сетевых интерфейсов сервера, то получите следующую ошибку: Веб-интерфейс не даст вам указать диапазоны с маской отличной от той, которая прописана в настройках сетевых интерфейсов и потребует включить в список все сетевые адреса.\nВ тоже время задача отлично решается при помощи командной строки, поэтому перейдем в консоль и первым делом повысим свой привилегии до суперпользователя:\n1sudo -s Затем переключимся на пользователя Zimbra:\n1su zimbra Теперь укажем диапазон доверенных адресов:\n1zmprov modifyServer mail.interface31.ru zimbraMtaMyNetworks \u0026#39;127.0.0.0/8 10.0.0.25/32\u0026#39; где mail.interface31.ru - имя сервера, как это указано в админ-панели Zimbra, а 10.0.0.25/32 - внутренний IP-адрес сервера.\nПосле чего перезагрузим postfix, который исполняет в Zimbra роль MTA:\n1postfix reload Проверить правильность установки значений можно командой:\n1postconf mynetworks в выводе вы должны получить указанный вами список сетей. После этих нехитрых настроек отправка из локальной сети без аутентификации будет невозможна. Если вам требуется разрешить такую отправку для отдельных узлов - просто внесите их в список доверенных.\nКак видим, командный интерфейс позволяет настраивать многие параметры Zimbra быстро и просто, в том числе те, которые недоступны через веб-интерфейс. Поэтому не следует бояться командной строки, а наоборот взять на вооружение этот мощный инструмент.\n","id":"2e5e371b40cac0ec20627d9f762c79b2","link":"https://interface31.ru/post/zimbra-vklyuchaem-smtp-autentifikaciyu-dlya-vnutrenney-seti/","section":"post","tags":["E-mail","Zimbra","Безопасность"],"title":"Zimbra. Включаем SMTP-аутентификацию для внутренней сети"},{"body":"В наших предыдущих материалах мы рассматривали установку сервера 1С:Предприятия на платформу Ubuntu 10.04. Однако, срок поддержки данной версии подходит к концу и перед многими администраторами встает необходимость в обновлении или установке сервера 1С на платформу Ubuntu 12.04. Несмотря на кажущуюся простоту, этот процесс способен вызвать неожиданные затруднения, о них и поговорим ниже.\nСама установка сервера 1С на Ubuntu Server 12.04 ничем не отличается от установки на 10.04, этот процесс был подробно описан нами здесь. Сложности начинаются при попытке выполнить скрипт конфигурирования сервера. Вы совершенно неожиданно получите целый ворох ошибок: Самое время задать вопрос, почему 1С, заявляя Ubuntu как официально поддерживаемую платформу, за время, прошедшее с выхода Ubuntu 12.04, не может привести свои скрипты в порядок? Основные проблемы, как всегда, в том, что скрипт ищет библиотеки не там где они лежат, хотя их расположение не составляет секрета ни для кого, кроме программистов 1С.\nНаченем с библиотеки libc-*.so, которая в нашем случае имеет версию libc-2.15.so и расположена в /lib/x86_64-linux-gnu, сделаем на нее две символьные ссылки:\n1ln -s /lib/x86_64-linux-gnu/libc-2.15.so /lib 2ln -s /lib/x86_64-linux-gnu/libc-2.15.so /lib64 Однако если вы думаете, что на этом проблемы закончились, спешим вас \u0026quot;обрадовать\u0026quot; - они только начинаются. Вновь запущенный скрипт конфигурирования сообщит, что ни установлены ImageMagick, UnixODBC и т.д. Стоп, мы же специально установили их перед установкой сервера. Да, установили, но скрипт опять ищет их не там.\nКак показал анализ скрипта, в нем для поиска библиотек используется не заданная в системе переменная SYSTEM_LIB_PATH. На этом месте у нас снова возникли вопросы к разработчикам, но мы их тут не приводим по причине их непечатности.\nВ интернет приведено много способов решения данной проблемы, большинство из них сводится к обману скрипта, путем явного указания нужного пути и т.п. Да, скрипт таким образом обмануть можно, однако севрер 1С при работе также будет искать данные библиотеки по указанному пути и вполне ожидаемо не найдет. В итоге мы получим ошибку инициализации графической подсистемы. Это имеет значение только для управляемого приложения, для обычных конфигураций эти библиотеки не требуются и даже неправильно настроенный сервер будет работать нормально.\nЗато при первом запуске конфигурации на платформе управляемого приложения нерадивому админу гарантировано веселое развлечение на рабочем сервере, тем более он к тому времени успеет порядком поздабыть, что именно он делал и зачем, если конечно он не читал нашу статью про управление изменениями.\nПоэтому, независимо от того, используете вы управляемое приложение или нет, нужно делать все правильно сразу. Поэтому зададим значение отсутвующей переменной, для этого в /etc/environment добавим строку:\n1SYSTEM_LIB_PATH=\u0026#34;/usr/lib\u0026#34; Часть библиотек уже находится по указанному пути, для остальных сделаем жесткие ссылки, потому как символьные ссылки скрипт не воспринимает:\n1ln /usr/lib/x86_64-linux-gnu/libfreetype.so.6.8.0 /usr/lib//libfreetype.so.6 2ln /usr/lib/x86_64-linux-gnu/libodbc.so.1.0.0 /usr/lib//libodbc.so.1 3ln /lib/x86_64-linux-gnu/libglib-2.0.so.0.3200.3 /usr/lib/libglib-2.0.so.0 Внимание! Внимание! В вашем случае имя библиотек может отличаться, поэтому проверьте фактическое наличие нужных библиотек и при необходимости откорректируйте команды.\nПосле чего перезагружаем сервер и наконец запускаем скрипт:\n1/opt/1C/v8.2/x86_64/utils/config_server Сервер сконфигурирован, можем работать. Попутно продолжаем задаваться философским вопросом, что мешает фирме 1С, которая берет в общем не маленькие деньги за продукт, перестать поставлять полуфабрикат и обеспечить его нормальную работу на официально поддерживаемых платформах, или исключить из списка те платформы, которые она поддерживать не в состоянии.\n","id":"e99fd4a3c670b121c792e1e4bbff1892","link":"https://interface31.ru/post/osobennosti-ustanovki-servera-1spredpriyatie-na-ubuntu-server-1204/","section":"post","tags":["1С Предприятие 8.х","Ubuntu Server"],"title":"Особенности установки сервера 1С:Предприятие на Ubuntu Server 12.04"},{"body":"Протокол FTP применяется давно и на первый взгляд предельно прост. Однако эта простота кажущаяся и многие начинают испытывать проблемы с установлением FTP-соединения, особенно когда сервер или клиент находятся за брандмауэром или NAT'ом. Поэтому сегодня мы поговорим об особенностях работы протокола FTP в различных режимах.\nПротокол FTP является старейшим сетевым протоколом (создан в 1971 году), но, тем не менее, широко используется по сей день. Важной особенностью протокола является то, что он использует несколько соединений: одно для управляющих команд, остальные для данных. Причем соединений для передачи данных может открываться несколько, в каждом из которых файлы могут передаваться в обоих направлениях. Именно с этой особенностью и связан ряд проблем.\nВ зависимости от способа установления соединения для передачи данных различают активный и пассивный режимы работы FTP. В активном режиме сервер сам устанавливает соединение передачи данных к клиенту, в пассивном наоборот. Рассмотрим эти режимы более подробно.\nАктивный режим В активном режиме клиент устанавливает управляющее соединение на порт 21 сервера и передает специальную команду PORT, в которой указывает свой адрес и порт для передачи данных. Получив данную команду, сервер устанавливает соединение с 20 порта на указанный в команде порт клиента.\nВнимательный читатель сразу заметит недостаток данного метода: для работы в активном режиме клиенту требуется выделенный IP-адрес. Также определенные сложности будут возникать при нахождении клиента за брандмауэром или NAT'ом.\nПассивный режим Для установления соединения в пассивном режиме клиент передает серверу команду PASV. В ответ сервер передает адрес и порт, на который следует устанавливать соединение для передачи данных. Получив эту информацию, клиент устанавливает подключение к серверу и начинает передачу данных.\nКак видим, в пассивном режиме все соединения инициирует клиент и поэтому к нему нет никаких требований, он может находиться за NAT и брандмауэром, а также не иметь выделенного IP-адреса. Поэтому на сегодняшний день основным режимом работы FTP является пассивный.\nПроблема брандмауэра В активном режиме основная проблема возникает у клиента. Если брандмауэр настроен отбрасывать не инициированные изнутри входящие соединения, то сервер не сможет установить соединение для передачи данных. А так как порт для данных является динамическим, то возникают определенные сложности с настройкой брандмауэра. Наиболее правильным будет указать в клиенте диапазон используемых портов и создать для них разрешающее правило брандмауэра.\nВ пассивном режиме с такой проблемой может столкнуться сервер. Решение аналогичное: указываем в настройках сервера используемый диапазон портов и создаем для него разрешающее правило.\nПроблема NAT На первый взгляд может показаться, что для нормальной работы FTP-сервера через NAT требуется только правильно настроить форвардинг портов. Однако это не так. Если вы внимательно читали про работу протокола в начале статьи, то должны были запомнить, что в зависимости от режима сервер или клиент передают адрес и порт для соединения. А теперь задумаемся, какой адрес передаст сервер, находящийся за NAT? Правильно, внутренний и, несмотря на правильный проброс портов, клиент не сможет подключиться к такому серверу.\nК счастью, большинство современных реализаций NAT умеют отслеживать управляющий канал FTP-соединения и заменяют внутренний адрес сервера адресом внешнего интерфейса. Однако, несмотря на это большинство FTP-серверов имеют опцию, позволяющую указать адрес внешнего интерфейса, который следует указывать в командах управляющей сессии. В большинстве случаев для нормальной работы FTP-сервера за NAT достаточно будет пробросить 21 порт для управляющей сессии, 20 - для активного режима (если используется), а также указать и пробросить диапазон динамических портов для передачи данных.\nЕще один важный момент, если вы пробрасываете порты для нескольких FTP-северов, то на каждом из них следует указать свой диапазон динамических портов и пробросить на эти же номера портов внешнего интерфейса. Почему? Потому что номер порта передается сервером в управляющей команде и ничего не знает о форвардинге, если номер порта, переданный сервером, не совпадет с номером порта на внешнем интерфейсе, то клиент не сможет установить соединение. В то время как управляющий порт и порт активного режима можно форвардить на любые внешние порты.\nНадеемся, что данная статья поможет вам лучше понять механизм работы протокола FTP и осознанно подойти к процессу настройки и диагностики.\n","id":"756c89f05057293f98f264d13d3ac929","link":"https://interface31.ru/post/osobennosti-raboty-protokola-ftp/","section":"post","tags":["FTP","Сетевые технологии"],"title":"Особенности работы протокола FTP"},{"body":"В наших прошлых материалах мы уже рассматривали настройку DNS-зоны для правильной работы почтового сервера, а также роль отдельных DNS-записей. Однако, как показывает практика, не все администраторы правильно понимают механизм работы систем электронной почты с DNS-записями. Поэтому мы решили посвятить этому вопросу отдельную статью, в которой разберем его более глубоко и расскажем о сравнительно новой технологии SPF.\nОсновная проблема современных почтовых систем - спам. Существует много разных методик борьбы с ним, но основная - анализ отправителя, учитывая что вся необходимая информация в письме имеется.\nПроведем аналогию с обычной почтой. На почтовом конверте или бандероли всегда содержатся адрес отправителя, адрес получатели и штампы тех почтовых отделений в которых побывало это почтовое отправление. Точно также электронное письмо в своих заголовках содержит сведения об отправителе, получателе и отметки тех почтовых серверов, которые принимали участие в обработке почты.\nДопустим вы получили на почте крайне подозрительного вида посылку, якобы от любимого дедушки Константина Макаровича, но почему то штемпель отправителя указывает не на почтовое отделение села Макаровки, а на хутор Гадюкино совсем в другом конце страны. Будете вы открывать такую посылку, рискуя обнаружить вместо банки варенья из райских яблочек споры сибирской язвы, или отправите ее назад, от греха подальше?\nТочно также и в системах электронной почты. Если вам пришло письмо от дедушки konstantin-makarovich@example.com, но сервер отправитель почему-то mail.spam.com, то это повод не принимать такое письмо, так как оно с большой долей вероятности является спамом.\nКаким образом мы осуществили данную проверку? Очень просто, посмотрели на штемпель почтового отделения отправителя и сравнили его с обратным адресом. Например на конверте написано, что отправитель находится в городе Москва, однако на штемпеле отделения-отправителя стоит индекс 683000, который указывает на Петропавловск-Камчатский. Следовательно такое письмо мы принимать не будем, так как оно не прошло проверку отправителя.\nАналогично обстоит дело и с электронным письмом, только вместо индекса отделения-отправителя используется PTR-запись. Так получив письмо от дедушки, мы сделаем PTR-запрос и выясним, что сервер отправитель у нас mail.spam.com, в то время как согласно переданной при соединении информации должен быть mail.example.com. Все понятно, письмо падает в спам.\nОднако если в заголовке будет указано, что сервер отправитель у нас mail.spam.com, то такое письмо успешно пройдет проверку по PTR-записи, не смотря на то, что домен сервера отправителя не совпадает с почтовым доменом письма.\nПочему так происходит? Потому что проверка по PTR-записи позволяет определить лишь то, что сервер-отправитель действительно тот, за кого себя выдает. Но никоим образом не определяет подлинность самого отправителя. Т.е. обращаясь к примеру обычной почты мы проверяем лишь то, что обратный адрес и индекс отделения отправителя совпадают, если место отправления Москва, а индекс указывает на Петропавловк-Камчатский, то проверку по PTR такое письмо не прошло, а если место отправления и индекс совпадают, то все нормально и теперь уже ваша задача думать, что делает ваш любимый дедушка в Петропавловске-Камчатском.\nНепонимание этого момента приводит к тому, что PTR-запись оказывается настроена неправильно и, как результат, большая часть отправляемой почты не доходит до адресата. Особенно важно это понимать при настройке серверов обслуживающих несколько доменов. В этом случае PTR-запись должна указывать на имя почтового хоста (которое он передает в рамках SMTP-сессии), даже если он расположен в другом домене.\nРазберем простой пример. Сервер mail.example.com отправляет письмо для обслуживаемого им домена eхample.org. Сервер-получатель делает запрос PTR-записи и убеждается, что по адресу 123.123.123.123 действительно находится mail.example.com, следовательно такое письмо будет принято, хотя домен отправителя письма и домен сервера-отправителя не совпадают.\nА теперь иная ситуация. Администратор неправильно настроил DNS-зону, указав неправильный хост в PTR-записи. Cервер-получатель, проверив PTR-запись отклонит наше письмо, так как сервер отправитель не совпадает с результатом обратного DNS-запроса.\nОтсутствие PTR-записи практически всегда ведет к отклонению письма, потому как существует негласное соглашение о том, что добросовестный отправитель имеет правильно настроенную обратную зону.\nВернемся к нашему дедушке. Допустим он сообщил вам, что летом собирается выезжать из села Макаровки в соседнее село Ивановка, к некой Марфе Васильевне и намерен оттуда посылать вам корреспонденцию. В таком случае вы без опаски будете принимать письма от дедушки как из Макаровки, так и из Ивановки, но откажетесь от якобы дедушкина письма из Петропавловска-Камчатского.\nПодобная технология в системах электронной почты реализуется с помощью технологии SPF. Если коротко, то данная технология позволяет создать специальную DNS-запись, которая будет указывать, кто именно имеет право отправлять почту от имени вашего домена. В самом простом варианте запись будет иметь вид:\n1example.com. IN TXT \u0026#34;v=spf1 +a +mx -all\u0026#34; Что она означает? То, что для домена example.сom почту могут отправлять узлы указанные в А-записи (+а) и MX-записях (+mx), всю остальную почту следует отклонять (-all).\nОднако не все так радужно. Во первых, поддержка SPF все еще не является стандартом де-факто и отсутвие SPF-записи у домена отправителя не повод отклонять письмо. Вторая проблема - сервера пересылки или случаи когда почту отправляют сервера не указанные в А или MX записях, а то и вообще находящиеся в других доменах. Это может быть обусловлено как архитектурой IT-системы предприятия, так и использованием для отправки чужих серверов, когда вы привязываете свой домен к провайдерскому или публичному сервису. В последнем случае нужно быть особо осторожным и крайне желательно проконсультироваться с поддержкой сервиса.\nРассмотрим еще одну ситуацию. Ваша компания, кроме своего основного почтового сервера mail.example.com, использует услуги сторонних сервисов, которые могут отправлять почту клиентам компании от ее имени. Это может быть сервис экспресс-почты, который от вашего имени будет уведомлять клиентов о статусе доставки и т.п.\nВ нашем примере такая почта будет отправляться от имени zakaz@example.com с сервера mail.web-service.com, так как данный сервер не указан в MX-записях домена example.com, то, согласно указанному нами в SPF-записи правилу, такое письмо будет получателем отклонено.\nПричем поведение сервера-получателя будет однозначным, так как мы сами вполне однозначно указали, что почту от иных отправителей принимать не следует. Поэтому если вы не уверены, что вся почта будет идти исключительно с ваших серверов, то следует указать более мягкое правило:\n1example.org. IN TXT \u0026#34;v=spf1 +a +mx ~all\u0026#34; В отличие от -all (fail), ~all (soft fail) обозначает, что отправители, кроме указанных явно, не имеют права отправлять почту, но не содержит требования отклонять такие письма. Чаще всего такая почта принимается, помечаясь как нежелательная.\nМожно также использовать нейтральный префикс:\n1example.org. IN TXT \u0026#34;v=spf1 +a +mx ?all\u0026#34; В этом случае правило сообщает о том, что отправлять почту от имени нашего домена имеют право хосты указанные в A- и MX- записях, насчет остальных узлов никакой информации нет. Прием почты с явно не разрешенных узлов производится на усмотрение сервера-получателя, чаще всего такая почта будет принята без каких либо пометок.\nКак быть в нашем случае? Самым правильным решением будет добавить в SPF-запись еще одно правило:\n1example.org. IN TXT \u0026#34;v=spf1 +a +mx +mx:web-service.com -all\u0026#34; или\n1example.org. IN TXT \u0026#34;v=spf1 +a +mx +a:mail.web-service.com -all\u0026#34; в первом случае мы разрешим прием почты также от всех серверов, перечисленных в MX-записях домена web-service.com, во втором случае только для сервера mail.web-service.com.\nВ завершение рассмотрим случай, когда почта для вашего домена обслуживается сервером находящимся в другом домене. Например mail.example.com отправляет также почту для домена example.org. В этой ситуации будет правильно использовать для домена example.org те же самые правила, что и для example.com. Для этого используйте специальный вид записи:\n1example.org. IN TXT \u0026#34;v=spf1 redirect=example.com\u0026#34; Это позволит при необходимости изменять записи только один раз, для основного домена и избавляет администраторов иных обслуживаемых доменов от необходимости отслеживать и вносить изменения в DNS-записи.\n","id":"fea75be5e4a451245d1f18caf2d96689","link":"https://interface31.ru/post/pochtovyy-server-dlya-nachinayushhih-ptr-i-spf-zapisi-kak-sredstvo-bor-by-so-spamom/","section":"post","tags":["DNS","E-mail","Сетевые технологии"],"title":"Почтовый сервер для начинающих. PTR и SPF записи как средство борьбы со спамом"},{"body":"Проверка правильности настройки почтового сервера - задача непростая, особенно в части его взаимодействия с внешним миром. Если вы не являетесь специалистом в области почтовых серверов, то скорее всего у вас возникнут затруднения. Но не стоит впадать в уныние, сегодня мы расскажем об онлайн-сервисах которые сделают большую часть работы за вас. Вам останется только изучить рекомендации и исправить ошибки.\nТакже данные сервисы будут полезны в том случае, если что-то работает не так: почта не доходит к некоторым адресатам, принимается, но не отправляется и т.д. и т.п. Но даже если все работает как надо не поленитесь выполнить диагностику, так как некоторые проблемы проще и дешевле устранить заранее, не дожидаясь пока они себя проявят. Например, если из-за ошибки в настройке вы получили открытый релей, то лучше исправить ее сразу, пока ваш сервер не попал во всевозможные спам-листы.\nMX Toolbox Одним из лучших сервисов по диагностике почты является MX Toolbox. Достаточно ввести имя вашего домена, все остальные проверки сервис выполнит самостоятельно. Первым делом будут определены MX-записи: После чего можно будет выполнить поиск проблем: В результате вы получите общий список ошибок и предупреждений, более подробно с результатами проверки можно ознакомиться выбрав соответствующий раздел. Так например настройка DNS не содержит ошибок, а настройка почтового сервера лишь два предупреждения: В общем информации, предоставляемой сервисом, вполне достаточно, чтобы проверить все основные настройки и устранить все грубые ошибки, а также найти возможные проблемы с производительностью.\nДля этих целей полезно воспользоваться еще одним инструментом - анализатором заголовков (Email Header Analyzer), скопировав заголовок письма вы сможете оценить задержки на всех этапах его прохождения от отправителя к получателю. В нашем случае видно как веб-интерфейс Zimbra отдал почту непосредственно серверу (1), который передал ее на localhost для антивирусной и антиспам проверки (2), пройдя проверку письмо вернулось обратно серверу, задержавшись на 1 секунду (3) и было отдано серверу-получателю. Возникновение значительных задержек на одном из этапов - повод обратить внимание на работу этого компонента.\nНа этом возможности данного сервиса не заканчиваются, вам доступно большое количество инструментов, которые могут пригодиться не только для диагностики почты. Microsoft Remote Connectivity Analyzer Второй используемый нами инструмент - Microsoft Remote Connectivity Analyzer, несмотря на то, что в первую очередь предназначен для диагностики продуктов Microsoft, может оказаться полезен и для проверки любых других почтовых серверов.\nНас должен заинтересовать раздел Тесты для электронной почты в Интернете, который не только выполнит проверку настроек, но и попробует отправить тестовое письмо, сопроводив этот процесс подробным отчетом: В нашем случае для домена указаны две MX-записи, одна из которых полностью рабочая, а вторая не прошла проверку.\nПроверка исходящего потока почты позволит обнаружить возможные проблемы проведя эмуляцию реальной отправки с вашего сервера: Мы настоятельно рекомендуем использовать этот инструмент при возникновении проблем с входящим / исходящим потоком почты, так как он позволяет быстро и наглядно выявить проблему. Также сервис позволяет выполнить аналогичные проверки для почтовых клиентов, подключающихся по протоколу POP3 или IMAP.\nАнализатор заголовков на наш взгляд более удобен, чем у предыдущего сервиса, так как содержит большее количество технической информации. В частности определяются и указываются имена участвующих в обработке почты служб, что позволяет гораздо быстрее определить узел вносящий наибольшие задержки. Действительно, MX Toolboox просто уведомил нас, что вторым шагом отдал почту на localhost и, только зная архитектуру Zimbra, мы можем сказать кому именно была отдана почта. Сервис от Microsoft гораздо подробнее, он сообщает что почта отдана сервису amavisd-new на порт 10026, это может сэкономить немало времени, особенно если почта проходит обработку на нескольких узлах.\nВ заключение хочется сказать, что несмотря на то, что оба описанных нами сервиса дают весьма подробную информацию об ошибках и методах их устранения, администратор должен иметь базовые познания в области архитектуры почтовых серверов и работы электронной почты как в общем, так и в частном, применительно к используемому им почтовому ПО. Потому как ни один сервис не способен заменить человека, особенно в таком вопросе как диагностика и устранение неисправностей.\n","id":"e8fb70fe8247522d4f2b6fb2832a5f84","link":"https://interface31.ru/post/onlayn-instrumenty-dlya-proverki-pochtovogo-servera/","section":"post","tags":["E-mail","Диагностика","Сетевые технологии"],"title":"Онлайн инструменты для проверки почтового сервера"},{"body":"Утилита удаленного администрирования TeamViewer - вещь без сомнения удобная и полезная. Её главное преимущество - работа на машинах без выделенного IP-адреса и через практически любое интернет соединение. Но это же и ее главный недостаток, при бесконтрольном применении TeamViewer представляет значительную угрозу информационной безопасности предприятия.\nКак пишут сами разработчики:\nВам не нужно беспокоиться о брандмауэрах, заблокированных портах или маршрутизации NAT -- TeamViewer всегда установит подключение к удалённому компьютеру.\nС одной стороны это хорошо, вы можете всегда оказать удаленную поддержку сотрудникам или клиентам, где бы они не находились. Плюс простота применения программы - достаточно просто запустить ее и продиктовать ID и пароль.\nС другой стороны открывает широкие возможности по неконтролируемому доступу третьих лиц в корпоративную сеть. Причем сами сотрудники редко задумываются об этом аспекте, легко предоставляя доступ в сеть и на машины содержащие важную информацию и персональные данные третьим лицам. Это могут быть как сотрудники техподдержки банков и различных систем электронной сдачи отчетности, так и вообще непонятные лица, типа \u0026quot;знакомых программистов\u0026quot;, родственников и т.п.\nПоэтому озабоченность администраторов прекрасно можно понять. Новые технологии и удобство - это хорошо, но когда периметр сети практически перестает существовать - это гораздо хуже. А в данном случае лучше перебдеть, чем недобдеть, поэтому вполне логичным выглядит полный запрет на использование TeamViewer и аналогичных программ в сети предприятия.\nНо не все так просто. TeamViewer полностью оправдывает приведенную выше цитату, если проанализировать его сетевую активность, то окажется, что заблокировать его не так то простою. Нет возможности установить один тип соединенения, программа попробует другой. Ну прямо как в поговорке: ты его в дверь, а он в окно.\nВ сети описывается несколько методов блокирования TeamViewer, основанных на запрете доступа к используемым им IP-адресам. Но это не дает 100% гарантии, во первых эти адреса еще нужно вычислить, во вторых они могут со временем поменяться, отслеживать такие изменения у обычного администратора нет ни времени, ни возможности.\nЧто же делать? Попробуем посмотреть на вопрос с другой стороны. Мы не можем заблокировать какой-то определенный порт, так как кроме своих портов программа умеет использовать общедоступные HTTP/HTTPS соединения, в т.ч. и через прокси. Также мы не можем заблокировать и какой либо сетевой адрес или блок адресов, точнее их то мы блокировать можем, только нет никаких гарантий, что этот список будет включать все используемые программой адреса и не изменится в будущем.\nНо есть одна особенность. Если мы проанализируем сетевую актвность программы, то можем заметить, что она обязательно устанавливает соединения с хостами типа servernnnn.teamviewer.com А теперь вспомним про технологию Split-DNS, проще говоря - следует отдавать локальным клиентам несуществующий адрес для зоны teamviewer.com, например 127.0.0.1. Ниже мы рассмотрим как это сделать в среде Windows Server и Linux.\nWindows Server Если вы используете Windows Server, то с большой долей вероятности будете использовать роль DNS-сервера в этом качестве. Для реализации задуманного откроем оснастку и создадим в ней новую зону teamviewer.com. В этой зоне создадим А-запись с пустым именем указывающую на адрес 127.0.0.1 Это приведет к тому, что все имена входящие в указанную зону будут разрешаться как 127.0.0.1 и соединение с серверами TeamViewer окажется невозможным.\nUbuntu Server В предлагаемых нами решениях используется легкий кэширующий DNS-сервер dnsmasq, поэтому откроем его конфигурационный файл /etc/dnsmasq.conf и добавим туда следующую строку:\n1address=/teamviewer.com/127.0.0.1 Перезапустим сервис:\n1service dnsmasq restart Следует отметить, что данные изменения коснуться только вновь устанавливаемых соединений, если TeamViewer на момент их применения был запущен - он продолжит нормально работать. Поэтому после внесения изменений есть смысл кратковременно разорвать интернет сессию.\nТеперь при попытке подключения мы увидим следующую картину Однако это еще не все, через некоторое время, убедившись в безуспешности попыток подключения, TeamViewer предложит использовать прокси-сервер. Поэтому если в вашей сети используется прокси, то на нем также следует запретить доступ к домену teamviewer.com. Как это сделать для прокси-серера squid мы рассказывали здесь.\nОбойти установленные нами ограничения можно заменив системные настройки DNS на один из публичных адресов, но это легко решается запретом запросов на 53 порт из локальной сети.\nТеоретически пользователи могут использовать публичный прокси, но это действие лежит за рамками знаний и умений большинства из них, и выявление такого факта как правило требует пристально внимания к данному сотруднику и его действиям.\nДанный способ также подходит для блокировки другого аналогичного ПО, например Ammyy Admin. Хотя для Ammyy достаточно заблокировать единственный хост rl.ammyy.com, программа не сможет получить ID, а следовательно и принимать соединения.\n","id":"59acccfe06e517bb86a69eb4b2f1b918","link":"https://interface31.ru/post/adminu-na-zametku-11-kak-zablokirovat-teamviewer/","section":"post","tags":["DNS","Dnsmasq","iptables","TeamViewer","Безопасность","Удаленное администрирование"],"title":"Админу на заметку - 11. Как заблокировать TeamViewer"},{"body":"Перед многими системными администраторами встает вопрос ограничения доступа пользователей к тем или иным ресурсам сети интернет. В большинстве случаев в ресурсоемкой и сложной контент фильтрации нет необходимости, вполне достаточно URL-списков. Реализовать такой метод вполне возможно средсвами прокси-сервера squid не привлекая стороннего ПО.\nМетод \u0026quot;черных\u0026quot; и \u0026quot;белых\u0026quot; списков идеально подходит для ограничения доступа к ресурсам, адреса которых заранее известны, но по какой-либо причине являются нежелательными, например социальные сети. По сравнению с контентной фильтрацией такой способ имеет множество недостатков, но с другой стороны он гораздо проще в реализации и требует гораздо меньше вычислительных ресурсов.\nЭффективность данного метода следует рассматривать с точки зрения поставленной задачи, так если требуется заблокировать для сотрудников соцсети и ряд развлекательных ресурсов, на которых они проводят больше всего времени, то фильтрация по URL-спискам способна полностью решить эту проблему. В тоже время такая фильтрация окажется малоэффективной, если нужно ограничить доступ к любым ресурсам определенного содержания.\nВ дальнейшем мы будем подразумевать, что читатель обладает начальными навыками администрирования Linux. Также напомним, что все приведеные ниже команды следует выполнять от супрепользователя.\nПрежде всего создадим файл списка. Располагаться он может в любом месте, но будет логично разместить его в конфигурационной директории squid - /etc/squid (или /etc/squid3 если вы используете squid3)\n1touch /etc/squid/blacklist и приступим к его заполнению. При указании URL следует использовать RegExp синтаксис, мы не будем подробно останавливаться на этом вопросе, так как это выходит за рамки статьи, подробнее с правилами RegExp можно ознакомиться здесь. Для примера заблокируем популярные соцсети:\n1vk\\.com 2odnoklassniki\\.ru Обратите внимание, точка в RegExp является служебным симоволом и поэтому должна быть экранирована символом \\ (обратный слеш).\nВ конфигурационном файле squid /etc/squid/squid.conf создадим acl список, в который включим хосты или пользователей, для которых будет производиться фильтрация.\n1acl url_filtred src 10.0.0.100-10.0.0.199 В нашем случае фильтрация включена для всех хостов в диапазоне адресов 10.0.0.100-199, т.е. мы будем фильтровать интернет только для определенной группы пользователей.\nЗатем подключим наш список:\n1acl blacklist url_regex -i \u0026#34;/etc/squid/blacklist\u0026#34; Ключ -i указывает на то, что список нечувствителен к регистру.\nТеперь перейдем в секцию правил и перед правилом\n1http_access allow localnet укажем:\n1http_access deny blacklist url_filtred Еще раз обратим ваше внимание, что все правила в squid обрабатываются последовательно, до первого вхождения, поэтому если мы разместим более общее правило перед более частным, то оно работать не будет. То же самое справедливо и для перекрывающихся правил - сработает самое первое.\nСохраним изменения и перезапустим squid:\n1service squid restart Попробуем посетить сайт из списка, если все сделано правильно, то вы увидите сообщение squid о запрете доступа к данному ресурсу. В дальнейшем вы можете дополнять списки, не забывая каждый раз после этого перезапускать squid.\nРассмотрим немного иную ситуацию, требуется фильтровать интернет для всех, кроме определенной группы. В этом случае создадим acl для исключенных пользователей:\n1acl url_no_filtred src 10.0.0.127 10.0.0.100 и изменим запрещающее правило следующим образом:\n1http_access deny blacklist !url_no_filtred Также вы можете использовать несколько URL-списков и списков доступа, гибко регулируя доступ для разных групп пользователей.\nВернемся к регулярным выражениям. Допустим, что нам нужно заблокировать не ресурс целиком, а его часть, тогда составим строку таким образом, чтобы она обязательно содержала нужную часть адреса, например строка:\n1my\\.mail\\.ru Заблокирует доступ к социальной сети Мой мир, но не будет препятствовать доступу к Майл.ру. В качестве строки можно использовать не только доменное имя, но и его часть. Так если мы внесем в список простую строку\n1mail то это приведет к блокировке всех ресурсов, у которых данное сочетание входит в доменное имя, т.е. и mail.ru и hotmail.com. Поэтому к составлению списков, особенно содержащих короткие простые сочетания, нужно подходить осторожно.\nРассмотрим простой, но показательный пример. Допустим нужно заблокировать известный сайт auto.ru и его поддомены. Если мы, не долго думая, напишем\n1auto\\.ru То вместе с требуемым порталом будут заблокированы все сайты имеющие данное сочетание в имени, например abc-auto.ru. Есть о чем задуматься. Если с поддоменами все просто, достаточно написать\n1\\.auto\\.ru и все что содержит точку перед искомым адресом будет заблокировано, то с основным доменом сложнее, самое время вспомнить про полный формат адреса:\n1http\\:\\/\\/(www\\.)?auto\\.ru Теперь будут заблокированы только адреса начинающиеся с http://auto.ru, конструкция (www\\.)? обозначает, что префикс www c точкой могут быть, а могут не быть. Зато другие сайты, содержащие auto.ru будут нормально открываться. Напоследок рассмотрим еще одну ситуацию, как сделать, чтобы на заблокированом сайте были доступны некоторые страницы. Например, страничка компании в Вконтакте или вы хотите обезопасить определенные адреса от случайного попадания под фильтр в будущем. Для этого следует добавить к системе \u0026quot;белый\u0026quot; список. Создадим файл списка:\n1touch /etc/squid/whitelist внесем в него нужные адреса, для примера разблокируем страничку Вконтакте новостного портала Утро.ру:\n1vk\\.com\\/na_utro_ru Подключим лист:\n1acl whitelist url_regex -i \u0026#34;/etc/squid/whitelist\u0026#34; и добавим правило перед запрещающим, в итоге должно получиться:\n1http_access allow whitelist 2http_access deny blacklist url_filtred Так как разрешающее правило расположено раньше, то указанные в \u0026quot;белом\u0026quot; листе ресурсы будут доступны, несмотря на то, что будут попадать под правила \u0026quot;черного\u0026quot;. Как видим, технология URL-фильтрации по спискам при помощи squid очень проста и позволяет в кратчайшие сроки ограничить доступ к нежелательным ресурсам, ниже приведен набор используемых нами списков, которыми вы можете воспользоваться.\nСкачать URL-списки: url-list.zip\n","id":"42b379ec70aab2332d7ce830edca7a38","link":"https://interface31.ru/post/squid-nastraivaem-url-filtraciyu-po-spiskam/","section":"post","tags":["RegExp","Squid","Ubuntu Server","Сетевые технологии"],"title":"Squid - настраиваем URL-фильтрацию по спискам"},{"body":"Беспроводные сети все плотнее входят в нашу жизнь, если еще несколько лет назад Wi-Fi в офисе был ненужной игрушкой, то сегодня это норма жизни, не говоря уже о домашнем использовании. Вполне резонно возникает вопрос о производительности беспроводных сетей. Красивые упаковки и рекламные буклеты обещают нам высокие скорости, но как обстоит все на самом деле? Мы решили проверить.\nСовременные Wi-Fi устройства стандарта IEEE 802.11b/g/n обещают скорости от 150 Мбит/с и выше, также на рынке стали появляться и широко рекламироваться устройства стандарта IEEE 802.11a/n работающие в диапазоне 5 ГГц. Вполне резонно возникает вопрос: стоит ли тратить деньги на высокопроизводительные новинки или можно обойтись недорогим оборудованием бюджетного класса?\nЧто и как мы тестировали Для нашего теста мы выбрали производительный двухдиапазонный роутер TP-LINK TL-WDR3600, поддерживающий работу в диапазонах 2,4 ГГц и 5 ГГц со скоростями до 300 Мбит/с. Также он оснащен гигабитными сетевыми портами, что исключает узкое горлышко в проводном сегменте сети. К одному из таких портов мы подключили NAS Lenovo Iomega ix2 с двумя дисками 2 Tb SATA 6Gb / s Seagate NAS ST2000VN000 из которых собрали массив RAID1 (зеркало).\nВ качестве тестового пакеты мы использовали Intel NASPT 1.0.7работающий в среде Windows 7 64-бита. Чтобы проверить различные режимы работы мы подключались к беспроводной сети через недорогой адаптер TP-Link TL-WN725N, обещающий скорость до 150 Mбит/с и через двухдиапазонный адаптер TP-Link TL-WDN3200, относящийся к верхней ценовой категории и поддерживающий скорости до 300 Мбит/с. Также мы протестировали два варианта проводного подключения со скоростями 100 Мбит/с и 1 Гбит/с.\nРасстояние от роутера до Wi-Fi адаптеров составило 1 м, эфирная обстановка в обоих диапазонах представлена ниже: Как видим диапазон 2,4 ГГц достаточно сильно загружен, несмотря на это нам удалось выбрать наиболее свободный участок диапазона, разница в уровнях с ближайшими сетями составляет около 40 dB. Диапазон 5 ГГц девственно чист, что объясняется малой распространенностью и довольно высокой ценой оборудования.\nДля каждого режима мы проводили пять запусков теста, ниже представленны средние значения.\nФайловые операции Соеднинение 300 Мбит/с показало более высокий результат, но далекий от ожидаемого. На мелких файлах его производительность близка к производительности проводного 100 Мбит/с линка, максимально достигнутая скорость составила около 160 Мбит/с. Следует отметить несколько более высокие результаты в диапазоне 5 ГГц, что на наш взгляд обусловлено отсутствием помех от соседних сетей.\nМультимедиа Воспроизведение Подключения 150 Мбит/с незначительно уступает 100 Мбит/с проводному соеднинению, а 300 Мбит/с незначительно превосходят, здесь еще более видна разница между диапазонами, 5 ГГц производительнее.\nЗапись Выводы Выводы в общем вполне ожидаемые и полностью соответсвующие субьективным ощущениям от использования беспроводных сетей, производительность которых незначительно отличается от классических проводных 100 Мбит/с. Однако следует помнить одно серьезное отличие: в проводной сети каждый клиент получает канал 100 Мбит/с, беспроводной канал делится на всех клиентов сети.\nЕсли сравнить различные беспроводные режимы между собой, то получим следующую картину: Так 300 Мбит/с сеть на 20% быстрее 150 Мбит/с, а диапазон 5 ГГц добавляет еще 20% производительности. С одной стороны немного, с другой стороны макисимальная разница - 40%, а это уже немало. Однако однозначных рекомендаций здесь не будет, все зависит от стоящих перед беспроводной сетью задач.\nЕсли основное назначения Wi-Fi раздача интернета и обмен данными с мобильными устройствами, то смысла покупать более дорогое 300 Мбит/с клиентское оборудование нет, не говоря уже о двухдиапазонных устройствах. В тоже время можно приобрести 300 Мбит/с роутер, что позволит иметь более высокую скорость в разделяемом беспроводном канале. Проще говоря такой роутер позволит на работать без конкуренции за пропускную способность большему числу клиентских устройств.\nПриобретение 300 Мбит/с адаптеров (или мобильных устройств с поддержкой этого режима) имеет смысл для требующих высокой производительности участков сети, например для потребителей НD видеоконтента или для доступа к корпроративным информационным системам для мобильных сотрудников (например торговые представители с ноутбуками и планшетами).\nЧто касается сетей 5 ГГц, то однозначно рекомендовать их нельзя из-за высокой стоимости оборудования, однако если вам нужна гарантированно высокая производительность и вы готовы к определенным затратам, то приобретение двухдиапазонного роутера или точки доступа будет наилучшим решением. Переход на 5 ГГц может быть также продиктован сильной загруженностью диапазона 2,4 ГГц, когда выбрать более-менее свободный участок не представляется возможным.\nИ уж конечно, несмотря на красивые цифры на коробках, не стоит рассматривать беспроводные сети в качетстве замены проводным сетям.\n","id":"86cb2741c550a0618b12fe72b2a143dc","link":"https://interface31.ru/post/testiruem-proizvoditel-nost-wi-fi-setey/","section":"post","tags":["Wi-Fi","Производительность","Сетевые технологии"],"title":"Тестируем производительность Wi-Fi сетей"},{"body":"Нашим постоянным читателям не нужно представлять антивирусные продукты Comodo, одним из преимуществ которых является то, что их можно бесплатно использовать в офисе. Сегодня мы расскажем о корпоративном антивирусном продукте Comodo Endpoint Security Manager 3, лицензию до 10 пользователей на который можно получить бесплатно.\nНачнем с того, чем именно отличаются настольные и корпоративные версии антивирусных продуктов. В первую очередь возможностью централизованного управления, эту возможность трудно переоценить, даже если в вашей сети всего пять-семь машин. Используя настольные продукты администратор не в состоянии полноценно контролировать состояние защиты и то, что у Иванова давно не обновлялись базы, а у Петрова защита вообще выключена он узнает скорее всего по факту вирусного инцидента.\nВнесение изменений в настройки антивируса тоже лучше проводить централизованно, чем бегать от рабочего места к рабочему месту, особенно если это что-то более сложное, чем действия антивируса по умолчанию.\nТакже корпоративные продукты имеют отличные от настольных политики по умолчанию, поэтому они скорее всего не будут параноидально блокировать ресурсы локальной сети и требовать тонкой настройки, а то и отключения ряда элементов защиты для нормальной работы в офисе.\nКроме покупки Comodo предлагает два варианта получения своего корпоративного продукта: бесплатная годовая лицензия на 10 пользователей или двухмесячная пробная на 60 пользователей. Это позволяет сделать пробное внедрение и оценить продукт перед покупкой, стоит отметить что защита от Comodo обходится дешевле аналогичных продуктов других производителей.\nЧтобы получит бесплатную или пробную лицензию посетите данную страницу и выберите наиболее подходящий вариант. После чего потребуется простая регистрация, сразу после которой вы получите ключ продукта и ссылки для скачивания на электронную почту. По ссылке из письма следует скачать дистрибутив продукта. Сразу оговоримся, Comodo Endpoint Security Manager не является антивирусом, это консоль управления, тем не менее дистрибутив содержит в своем составе пакеты Comodo Endpoint Security и Comodo Antivirus for Servers. Наличие в составе серверной версии делает данный продукт особенно привлекательным для небольших организаций, особенно на фоне стоимости аналогичных предложений конкурентов.\nКонсоль управления следует установить на сервер или ПК админитстратора, этот компьютер станет общей точкой для управления и развертывания защиты. Для установки консоли управления требуются следующие зависимости:\nMicrosoft® .NET Framework 4.0 Microsoft ReportViewer 2010 SP1 Microsoft SQL Server 2008 - 2012 Express Microsoft Silverlight 5.1 При наличии в сети развернутого SQL Server не ниже 2008 вы можете использовать его, иначе следует установить бесплатную Express версию, все остальные зависимости инсталлятор докачивает и устанавливает автоматически. Для небольших инсталляций можно использовать LocalDB выбрав необходимую опцию в процессе установки. Для входа в веб-интерфейс наберите в браузере http://SERVER_NAME:57193, как вы уже поняли доступ к консоли управления возможен не только с сервера, но и с любого компьютера сети. На сервере вы также можете воспользоваться ярлыком в меню Пуск. Для авторизации используйте учетные данные локального или доменного администратора для этого сервера. Если вы подключаетеь с другого ПК, то вам потребуется получить и установить сертификат сервера в хранилище Доверенные корневые центры сертификации, получить сертификат можно по ссылке Get server certificate в левом нижнем углу панели авторизации. Первый раз попав в консоль управления вам будет необходимо ввести полученный лицензионный ключ, только после этого станет возможна полноценная работа. С чего начать? С добавления управляемых компьютеров. Для этого на них потребуется установить Агент управления, сделать это можно многими способами, в зависимости от инфраструктуры сети. Для этого перейдем в раздел Computers и нажмем кнопку Add. Если у вас развернута Active Directory то все довольно просто, в случае рабочей группы все немного сложнее, вам потребуется административный доступ к необходимым компьютерам, причем учетная запись локального администратора должна иметь пароль (удаленные подключения с пустым паролем не допускаются).\nПанель сама просканирует сеть и выведет список доступных ПК, если этого по каким-то либо причинам не произошло, то вы можете добавить ПК вручную по имени хоста или IP-адресу, воспользовавшись соответствующим вариантом на первом экране. Выбираем компьютеры, на которых мы хотим развернуть антивирусное ПО и переходим к следующему шагу - вводим учетные данные локального администратора для выбранных ПК.\nЗатем выбираем пакеты для установки и ее параметры, в частности набор устанавливаемых компонентов, так вы можете поставить один антивирус без файрвола и т.д., и язык. Отдельно приятно, что русский язык доступен по умолчанию (к консоли управления это не относится). Также советуем поставить две нижние галочки, первая откладывает перезагрузку, а вторая удалит несовместимое антивирусное ПО с целевого ПК. Перед установкой антивирусного ПО на компьютер будет обязательно установлен Агент. Теперь, когда все готово к установке, осталось нажать Start Deployment и приступить к развертыванию антивирусного ПО в организации. Подробности процесса будут отображаться в текущем окне, в том числе сообщения об ошибках. Бывают случаи когда автоматически развернуть агента, а следовательно и установить антивирус, невозможно. Например в вашей организации на каждом ПК свой локальный администратор с пустым паролем или в процессе установки возникают ошибки. В этом случае агента можно установить вручную. Чтобы получить пакет для его установки перейдите в Preferences - Packages и скачайте необходимый инсталлятор по ссылке download offline package. При ручной установке агент также определяет и предлагает удалить несовместимые продукты, советуем воспользоваться этим предложением, процесс сократится на одну перезагрузку. Установив агента на целевые ПК следует развернуть на них антивирусное ПО, заново запустив процесс добавления ПК, в этот раз выбираем пункт Managed Computers.\nИнформация о всех управляемых компьтерах выводится в соотвествующем разделе, выводимая информация позволяет быстро оценить состояние защиты и управляемого ПК, а также быстро выполнять ряд наиболее востребованных действий: обновить базы, запустить сканирование, применить политики, выключить или перезагрузить ПК. Также советуем разбить ПК по группам, что позволит более гибко управлять применением политик, назначая их группам. Политики - основа антивирусной безопасности инфраструктуры предприятия, поэтому остановимся на них подробнее.\nПо умолчанию политики устанавливаются в Locally configured, т.е. локальные настройки антивируса, понятно что нас такой подход не устраивает, поэтому приступим к тонкой настройке.\nОдной из приятных возможностей Comodo Endpoint Security является возможность импортировать локальные настроки антивируса в качестве шаблона политики. Поэтому настраиваем одну рабочую станцию как нам требуется и импортируем настройки. Советуем создать несколько политик: обычную и усиленной безопасности, которую следует применять к компьютерам или группам в случае вирусного инцидента или на период эпидемии. Настроив остальные возможности политики указываем для каких групп и в каком качестве она назначается. Существует два вида политик \u0026quot;Для локальной сети\u0026quot; и \u0026quot;Для интернета\u0026quot;, первая применяется при нахождении ПК в локальной сети, вторая - за ее пределами, это позволяет гибко настроить политики для мобильных пользователей, например переключая файрвол в режим повышенной безопасности при покидании периметра сети. Две галочки внизу позволяют перекрывать текущей политикой локальную политику - в этом случае пользователь не сможет менять настройки антивируса, и применить политику сразу после ее создания.\nНо это еще не все, кроме управления непосредственно антивирусом Comodo Endpoint Security Manager предоставляет широкие возможности по управлению и диагностике управляемых ПК. Для этого перейдем в раздел Computers и щелкнем два раза на интересующей нас машине, сразу можно отметить приличный набор инструментов и количество полезной информации. Администратор может управлять антивирусом на пользовательском ПК: Контролировать и удалять установленные приложения: Управлять службами и процессами Просматривать журнал событий и даже оказывать удаленную поддержку пользователям, для этого агент содержит полноценный VNC-сервер, который позволяет, с согласия пользователя, удаленно подключаться к текущему сеансу. Последнюю функцию трудно переоценить, так как удаленная поддержка всегда рассматривается сквозь призму безопасности и тот же TimeViewer или аналогичные решения не всегда приемлемы именно с этой точки зрения.\nКак видим, корпоративный антивирус это не только пакет обеспечения безопасности, но еще и удобный инструмент диагностики и администрирования, а то, что для небольших фирм все эти возможности предоставляются бесплатно - вдвойне приятно. А более крупных пользователей должна порадовать ценовая политика Comodo, как мы уже говорили, данное решение обойдется дешевле популярных корпоративных антивирусных пакетов.\n","id":"2ac2a66f1259ff424b8a2af4fa7e3382","link":"https://interface31.ru/post/comodo-endpoint-security---korporativnyy-antivirus-kotoryy-mozhno-poluchit-besplatno/","section":"post","tags":["Comodo","Антивирус","Развертывание"],"title":"Comodo Endpoint Security - корпоративный антивирус, который можно получить бесплатно"},{"body":"Управление ролями FSMO при помощи стандартных оснасток MMC не совсем удобный процесс, так как для доступа к разным ролям приходится использовать различные оснастки, а к некоторым из них еще и не так просто добраться. Кроме того оснастки MMC не позволяют производить операции захвата ролей в случае выхода из строя контроллера домена на котором они были расположены. Гораздо удобнее для этих целей использовать утилиту ntdsutil, о чем и пойдет речь в данной статье.\nПрежде чем приступать к практической части, вспомним что такое роли FSMO и рассмотрим что именно произойдет с ActiveDirectory при их отказе. Всего ролей FSMO пять, две для леса и три для домена.\nРоли уровня леса существуют в единственном экземпляре и, несмотря на свою важность, наименее критичны для функционирования AD. Что произойдет при недоступности каждой из них:\nХозяин схемы - невозможно изменить схему. Однако данная процедура проводится раз в несколько лет при введении в сеть контроллеров на более новой ОС или установке некоторых иных серверных продуктов, таких как Exchange. На практике отсутсвие хозяина схемы можно не замечать годами.\nХозяин именования домена - невозможно добавить или удалить домен. Аналогично с хозяином схемы его отсутвие может быть незамеченным довольно длительное время.\nРоли уровня домена существуют по одной в каждом домене и являются более критичными для функционирования AD.\nХозяин инфраструктуры - при наличии нескольких доменов на контроллерах которые не являются глобальными каталогами может быть нарушено членство в локальных группах домена. Если все контроллеры домена - глобальные каталоги (сегодня именно такая конфигурация является рекомендуемой Microsoft), то про существование хозяина инфраструктуры можно смело забыть, точно также как и при единственном домене в лесу.\nХозяин RID - через некоторое время будет невозможно создать новый объект в AD, время зависит от оставшегося количества свободных SID, которые выдаются пачками по 500 заготовок. Если в вашей AD небольшое количество объектов и вы не каждый день заводите новые, то отсутствие хозяина RID останется незамеченным на протяжении длительного времени.\nЭмулятор PDC - самая критичная роль. При его недоступности сразу станет невозможным вход в домен клиентов до Windows 2000 (если они где-то еще остались), прекратится синхронизация времени и не будут действовать некоторые политики при вводе неправильного пароля. На практике отсутствие эмулятора PDC будет замечено при первой рассинхронизации времени более чем на 5 минут, а это может произойти раньше, чем вы можете предполагать.\nВместе с тем, как можно увидеть, нет ни одной роли FSMO отказ которой приводил бы к существенной потере функциональности AD, даже при отказе всех ролей FSMO инфраструктура может нормально работать в течении нескольких дней, недель или даже месяцев.\nПоэтому, если вы собираетесь на некоторое время вывести контроллер, содержащий некоторые или все роли, из эксплуатации (например на профилактику), то нет необходимости их передавать, ваша AD нормально проживет и без них.\nПередача ролей уместна в том случае, если вы планируете вывести данный сервер из эксплуатации на длительное время или передать его в другое подразделение (например в другой сайт), либо планируемые операции могут привести к его выходу из строя (например апгрейд железа).\nВ случае отказа контроллера не спешите захватывать роли, вы всегда успеете это сделать, в противном случае при восстановлении и подключении в сеть сервера, ранее содержавшего роли FSMO, вы получите много неприятных моментов связанных с USN Rollback и восстановлением нормального функционирования домена. Если все таки роли были захвачены, а затем вы восстановили старый контроллер, то наилучшим решением будет переустановить на нем систему и ввести в домен заново.\nТакже еще один неочевидный момент, если у вас несколько доменов и не все контроллеры являются глобальными каталогами не размещайте хозяина инфрастурктуры на контроллере с глобальным каталогом. Это равносильно его отсутствию.\nУзнать какие именно контроллеры обладают ролями FSMO можно командой:\n1netdom query fsmo Для управления ролями FSMO запустите утилиту ntdsutil на любом контроллере домена:\n1ntdsutil Затем перейдем к управлению ролями:\n1roles Следующим шагом следует соединиться с контроллером домена, которому мы собираемся передать роли, для этого перейдем в подменю соединения с серверами:\n1connections и соединимся с нужным сервером:\n1connect to server SERVERNAME где SERVERNAME - имя необходимого нам контроллера домена. Затем выйдем из подменю:\n1q При этом следует помнить, что мы можем запустить утилиту на любом из контроллеров домена и присоединиться к любому другому КД для передачи или захвата ролей. В нашем примере мы физически находясь на сервере SRV-DC01 соединились с сервером WIN2K8R2-SP1 и попробуем передать ему какую нибудь роль.\nДля передачи ролей служит команда transfer в качестве агрумента которой выступает имя передаваемой роли, для каждой из ролей используются следующие имена:\nnaming master - хозяин именования домена infrastructure master - хозяин инфраструктуры PDC - эмулятор PDC RID master - хозяин RID schema master - хозяин схемы Важно! Внимание! В системах до Windows Server 2008 R2 для хозяина именования домена использовалось имя domain naming master.\nНапример для передачи роли хозяина именования домена выполним команду:\n1transfer naming master Появится диалоговое окно, которое попросит нас подтвердить действие, советуем всегда внимательно изучать его содержимое. Получив утвердительный ответ утилита передаст выбранную роль другому серверу. Теперь представим, что сервер WIN2K8R2-SP1 безвозвратно выбыл из строя и нам требуется захватить роль хозяина именования назад. Для захвата ролей служит команда seize, которая имеет аналогичный синтаксис.\nДля захвата роли снова запустим ntdsutil и, подключившись к контроллеру для которого будем производить захват, выполним команду:\n1seize naming master После того как мы подтвердим захват ntdsutil попытается осуществить операцию передачи роли и только в случае ее невозможности произведет захват. Это сделано для того, чтобы избежать ситуации, когда роль будет захвачена у исправного контроллера и в сети возникнет два обладателя одной и той же роли.\nВнимание! Помните, что после захвата включать в сеть контроллер с которого была захвачена роль нельзя!\nКак видим, использование утилиты ntdsutil нисколько не сложно и даже более удобно, чем управление ролями при помощи оснасток MMC. Кроме того возможности ntdsutil не исчерпываются управлением ролями, но об этом мы расскажем в следующих материалах.\n","id":"cf07e62635a5688dc256810148a1f839","link":"https://interface31.ru/post/upravlenie-rolyami-fsmo-pri-pomoshhi-ntdsutil/","section":"post","tags":["Active Directory","FSMO","ntdsutil","Windows Server","Службы каталогов"],"title":"Управление ролями FSMO при помощи Ntdsutil"},{"body":"Беспроводные сети - это удобно и модно. Однако, частенько приходится выходить из положения, когда роутер стоит не совсем оптимально. В таком случае, сигнал вынужден пробиваться к пользователю через одну-другую стену. Весь комфорт пропадает, настроение от стрима любимой музыки уже не то...\nМожно купить антенну с дополнительным усилением. А можно порукодельничать по нижеописанной технологии. Это не стоит почти ни копейки, плюс простор для собственных идей. Вперёд! Что потребуется: распечатка, клей, алюминиевая фольга, острый нож.\nСкачать Выкройка антенны\nРаспечатайте выкройку антенны на более плотной бумаге. Можете подправить её размеры под свой рутер в графическом редакторе, но следите, чтобы контрольный квадратик оставался квадратиком.\nТворческим людям рекомендуем разрисовать антенну по своему вкусу и придать изделию индивидуальную ноту.\nАккуратно вырежьте по линиям обе бумажные части, наклейте на них фольгу Обратите внимание! Важно! Дополнительные метки должны остаться на бумажной стороне,\nУдалите выступающую фольгу ножом или ножницами. Теперь сделайте монтажные прорези, как указано на выкройке (линии и крестики).\nВставьте язычки круглого отражателя в прорези прямоугольника, следите, чтобы фольга попала на заднюю сторону рефлектора. Отогните язычки приклейте их для фиксации сооружения. Готово! Вденьте антенну вашего роутера в рефлектор.\nНа дистанции в 15 метров прямой видимости возможно улучшение сигнала wi-fi до 20%. На коротких дистанциях улучшения практически не заметны.\nЭта параболическая антенна имеет очень точную направленность, не забудьте отрегулировать рефлектор.\nЧудес не бывает, но может быть эта небольшая самоделка как раз и будет означать для вас некоторое улучшение сигнала. Попробовать стоит.\nПо материалам Chip DE.\n","id":"1c4228d998142273ab310d5dc740510e","link":"https://interface31.ru/post/napravlennaya-antenna-dlya-wi-fi-svoimi-rukami/","section":"post","tags":["Wi-Fi","Рабочее место"],"title":"Направленная антенна для Wi-Fi своими руками"},{"body":"Сегодня использование защищенного соединения становится нормой жизни для доступа к многим сетевым сервисам, таким как электронная почта, корпоративные веб-интерфейсы и т.д. и т.п. Многие администраторы используют самоподписанные SSL-сертификаты и во многих случаях это оправдано, но если доступ к сервису предполагается с различных мест и устройств, то лучше озаботиться \u0026quot;настоящим\u0026quot; сертификатом. Сегодня мы расскажем как сделать это бесплатно.\nС одной стороны \u0026quot;настоящий\u0026quot; сертификат стоит не так уж и дорого, с другой - обосновать необходимость его приобретения для обеспечения удаленного доступа к почте для двух-трех сотрудников бывает довольно сложно. Поэтому самое время присмотреться к предложению компании StartSSL, которая позволяет получить сертификат начального уровня (1 класс) бесплатно.\nСертификаты данного уровня еще называются сертификатами с упрощенной проверкой и удостоверяют только принадлежность домена владельцу, сама личность владельца не удостоверяется. Такой сертификат подтверждает факт того, что посетитель зашел именно на тот сайт, доменное имя которого указано в сертификате, а не был перенаправлен на подложный ресурс. Данный вид сертификатов не может быть использован для коммерции и финансовых операций.\nКак видим, для того чтобы защитить веб-интерфейс или электронную почту сертификата 1 класса вполне достаточно. Перейдем к процедуре получения. Первым делом необходимо зарегистрироваться на сайте StartSSL. Здесь есть одна тонкость, для авторизации пользователя используется не привычная пара логин-пароль, а персональный SSL-сертификат.\nНа странице регистрации вам предложат заполнить анкету. Вводите только достоверные данные, так как они проверяются вручную. После заполнения формы вы получите на указанный e-mail код подтверждения, который нужно ввести на сайте и терпеливо ожидать пока сотрудники StartSSL проверят вашу анкету. После проверки вы получите еще одно письмо, перейдя по ссылке из которого вы получите возможность сгенерировать и получить персональный сертификат. Сайт также произведет попытку его автоматической установки в хранилище, поэтому для этой операции лучше использовать Internet Explorer, хотя у нас не возникло никаких проблем при работе с Google Chrome. Открыв хранилище убедимся, что сертификат получен и установлен. Данный сертификат является вашим ключом доступа к сервисам StartSSL, поэтому обязательно создайте его резервную копию и примите меры к ограничению доступа к нему третьих лиц.\nПеред тем как начать процедуру получения сертификата следует выполнить валидацию домена, для которого вы хотите получить сертификат. Процесс предельно прост - вам нужно получить проверочный код на указанный почтовый ящик и ввести его на сайте. Для проверки предлагается несколько стандартных ящиков и ящик из Who-is домена, если он не скрыт. Подтвердив владение доменом можно переходить к получению самого сертификата. Сервис позволяет указать также один поддомен, для веб-сайтов это обычно www, для почтового сервера mail или mx (смотрим содержимое MX-записи). На www стоит остановиться отдельно, многие привыкли что www.example.com и example.com это один и тот-же ресурс, однако с точки зрения службы DNS это два разных ресурса, так как www - это один из поддоменов, домена example.com. Поэтому получив сертификат для сайта без поддомена www вы будете получать ошибку сертификата при обращении по адресу www.example.com в то время как example.com будет открываться нормально.\nПеред созданием сертификата вам будет предложено создать закрытый ключ или пропустить этот шаг, если закрытый ключ уже получен. Полученный ключ следует скопировать и сохранить в файл с расширением .key, ключ поставляется в зашифрованном виде и перед использованием его будет необходимо расшифровать. Для этого можно воспользоваться инструментом на панели Tool Box личного кабинета. Закрытый ключ следует хранить в надежном месте, исключающий любой доступ к нему третьих лиц, хранить где-либо расшифрованный ключ мы настоятельно не рекомендуем.\nПроцесс получения самого сертификата прост и мы не будем на нем останавливаться. Полученный сертификат следует сохранить в файл с расширением .crt, щелкнув два раза по созданному файлу можно просмотреть информацию о сертификате. Также просмотреть и получить уже созданные сертификаты можно в разделе Retrieve Certificate закладки Tool Box. Установка сертификата на веб или почтовый сервер выходит за рамки данной статьи, для этого обратитесь к соответствующий документации или инструкциям на StartSSL.\n","id":"10cab9ee338b25b1de199f5faa274056","link":"https://interface31.ru/post/adminu-na-zametku-10-kak-poluchit-ssl-sertifikat-besplatno/","section":"post","tags":["PKI","SSL","Безопасность"],"title":"Админу на заметку - 10. StartSSL или как получить SSL-сертификат бесплатно"},{"body":"Мы не будем напоминать о важности резервного копирования данных, об этом немало сказано, а поговорим о практической реализации одного из сценариев. Сегодня в фокусе нашего внимания будет популярная бесплатная СУБД PostgreSQL. Актуальности данному вопросу добавляет тот факт, что PostgreSQL активно используется для хранения информационных баз системы 1С:Предприятие.\nВ данном материале мы рассмотрим реализацию резервного копирования на примере сервера баз данных для 1С:Предприятия, который мы описывали в данной статье. Также заметим, что всё, о чем пойдет речь ниже одинаково применимо как к платформе Linux, так и к платформе Windows, за незначительными уточнениями.\nPostgreSQL, как и любая другая СУБД, имеет богатые возможности по резервному копированию как кластера БД, так и отдельных баз, но основным механизмом управления при этом является командная строка, что может вызвать определенные затруднения. Несмотря на то, что утилита PgAdmin позволяет выполнять основные задачи через графический интерфейс, мы все равно рекомендуем освоить работу с PostgreSQL через командную строку, что позволит вам уверенно чувствовать себя в любой ситуации и открывает широкие возможности по автоматизации.\nИтак, в нашем распоряжении имеется сервер СУБД на базе Ubuntu Server, где расположены базы 1С:Предприятия, наша задача обеспечить автоматическое резервное копирование в соответствии с заданными условиями.\nПрежде всего настроим авторизацию для СУБД. Так как основные операции должны будут производится из скрипта, то имеет смысл разрешить локальный доступ к СУБД без авторизации. Учитывая, что доступ к серверу БД имеет ограниченный круг лиц и расположен он в периметре сети, безопасность пострадает слабо.\nОткроем файл pg_hba.conf, он находится в /var/lib/pgsql/data и приведем к следующему виду строку:\n1local all all trust На платформе Windows данный файл находится в C:\\Program Files\\PostgreSQL\\Версия_СУБД\\data и строка будет иметь несколько иное содержание:\n1host all all 127.0.0.1/32 trust Перезапустим СУБД\n1service postgresql restart Для создания резервной копии воспользуемся утилитой pg_dump, которая позволяет создать дамп для указанной БД. Создание дампа происходит без блокирования таблиц и представляет снимок БД на момент выполнения команды. Т.е. вы можете создавать дампы во время работы пользователей, в то время как для создания резервной копии средствами 1С вам нужен монопольный доступ к базе.\nСинтаксис pg_dump предельно прост, нам нужно указать имя базы и расположение и название файла дампа. Просмотреть список баз можно командой:\n1psql -U postgres -l Кроме списка баз вывод содержит ряд полезной информации, например о кодировке базы, данная информация пригодится нам при восстановлении БД на другом сервере.\nТеперь, уточнив наименование баз на сервере создадим резервную копию базы unf14:\n1pg_dump -U postgres unf14 \u0026gt; ~/unf14.pgsql.backup результатом выполнения команды будет файл дампа в домашней директории. Расширение файла мы рекомендуем указывать таким образом, чтобы по нему было понятно назначение данного файла и оно может быть любым. В нашем случае мы используем pgsql.backup, глянув на такой файл сразу станет понятно о его назначении, это может быть важно, если поиском дампов будут заниматься ваши коллеги. Также мы не рекомендуем использовать расширение .bak, потому что многие утилиты \u0026quot;для оптимизации\u0026quot; удаляют такие файлы.\nПри необходимости можем создать сжатый дамп:\n1pg_dump -U postgres unf14 | gzip \u0026gt; ~/unf14.pgsql.gz Сжатие позволяет уменьшить размер дампов примерно вдвое, поэтому следует его использовать при передаче резервных копий по сети интернет или при ограниченном размере хранилища.\nТеперь рассмотрим процедуру восстановления. Для примера будем использовать сервер под управлением Windows. Никаких существенных особенностей по работе с PostgreSQL на разных платформах нет. Однако под Windows следует вместо psql использовать psql.bat и указывать полный путь к утилитам C:\\Program Files\\PostgreSQL\\Версия_СУБД\\bin, либо добавить этот путь в системную переменную PATH. Еще одно важное замечание. Кодировка исходного и целевого серверов должна совпадать, иначе вы после восстановления получите нерабочую базу. На платформе Linux СУБД обычно работает в кодировке UTF8, в то время как сборка PostgreSQL от 1С на Windows по умолчанию устанавливается в кодировке WIN1251.\nДля 1С:Предприятия типичным симптомом того, что вы залили UTF8 базу на сервер с WIN1251 является невозможность авторизоваться в ИБ. 1createdb -T template0 unf14 Теперь зальем полученный дамп в только что созданную базу unf14:\n1psql.bat -U postgres unf14 \u0026lt; C:\\backup\\unf14.pgsql.backup На платформе Линукс эта команда будет выглядеть так:\n1psql -U postgres unf14 \u0026lt; ~/unf14.pgsql.backup В нашем примере файл дампа находится в C:\\backup и домашней директории соответственно.\nВсе что теперь остается, это через оснастку Администрирование сервера 1С:Предприятия создать новую ИБ или изменить настройки существующей, указав на новый сервер СУБД и новую базу. С основными командами мы разобрались и убедились, что ничего сложного в процессе резервного копирования и восстановления баз PostgreSQL нет. Но не будем же мы создавать бекапы вручную. Поэтому перейдем к автоматизации. Создадим скрипт, который будет создавать резервные копии указанных баз и размещать их на FTP-сервере. В силу определенных различий между платформами, создать универсальный скрипт для Windows и Linux не получится, поэтому рассмотрим каждую платформу отдельно.\nНачнем с Linux, в нашем случае это Ubuntu Server. Создадим файл скрипта:\n1touch /etc/pgsql-backup и поместим в него следующее содержимое:\n1# ! /bin/sh 2# Зададим переменные 3 4DATE=$(date +%Y%m%d) 5FTP=\u0026#34;ftp.domain.local\u0026#34; 6FTPU=\u0026#34;user\u0026#34; 7FTPP=\u0026#34;password\u0026#34; 8 9#Резервное копирование 10 11cd /root/backup 12 13#База unf14 14 15pg_dump -U postgres unf14 | gzip \u0026gt; $DATE-unf14.pgsql.gz 16 17ftp -n $FTP \u0026lt;\u0026lt;END 18quote USER $FTPU 19quote PASS $FTPP 20bin 21quote pasv 22put $DATE-unf14.pgsql.gz 23quit 24END 25 26#Уборка 27 28rm -f $DATE-unf14.pgsql.gz Скрипт довольно прост и мы не будем разбирать его подробно. Сохраним его и дадим права на выполнение:\n1chmod +x /etc/pgsql-backup Также не забудем создать каталог /root/backup\n1mkdir /root/backup Проверив работоспособность скрипта, зададим его регулярное выполнение через cron.\nДля платформы Windows все несколько сложнее, так как встроенный архиватор отсутствует, то следует воспользоваться сторонним решением, в нашем случае будет использоваться 7zip, также нужно указывать полные пути к бинарным файлам или добавить их в переменную PATH, мы будем задавать эту переменную динамически в скрипте. Еще одна сложность связана с использованием встроенного ftp-клиента, набор команд для него необходимо подготовить в виде отдельного файла.\nСоздадим в Блокноте новый файл и разместим там нижеприведенный текст:\n1set PATH=%PATH%;%ProgramFiles(x86)%\\PostgreSQL\\9.1.9-1.1C\\bin;%ProgramFiles%\\7-Zip 2echo %PATH% 3 4set DAT=%date:~6,4%%date:~3,2%%date:~0,2% 5set FTP=ftp.domain.local 6set FTPU=user 7set FTPP=password 8 9cd C:\\backup 10 11pg_dump -U postgres unf14 \u0026gt; %DAT%-unf14.pgsql.backup 127z a -tzip %DAT%-unf14.pgsql.zip %DAT%-unf14.pgsql.backup 13 14echo open %FTP%\u0026gt;\u0026gt;ftpCMD.txt 15echo %FTPU%\u0026gt;\u0026gt;ftpCMD.txt 16echo %FTPP%\u0026gt;\u0026gt;ftpCMD.txt 17echo bin\u0026gt;\u0026gt;ftpCMD.txt 18echo quote pasv\u0026gt;\u0026gt;ftpCMD.txt 19echo put %DAT%-unf14.pgsql.zip\u0026gt;\u0026gt;ftpCMD.txt 20echo quit\u0026gt;\u0026gt;ftpCMD.txt 21 22ftp -s:ftpCMD.txt 23 24del ftpCMD.txt 25 26del %DAT%-unf14.pgsql.backup 27del %DAT%-unf14.pgsql.zip Скрипт также довольно прост для понимания и повторяет по структуре и логике скрипт для Ubuntu. Задаем переменные, устанавливаем рабочую директорию и выгружаем туда дамп, затем создаем архив. Следующим шагом формируем файл с командами для FTP-соединения, загружаем архив на FTP и делаем уборку.\nФайл следует сохранить как pgsql-backup.bat и разместить в удобном месте. Затем настроить его выполнение по расписанию через Планировщик задач Windows. Также не забудьте создать директорию C:\\backup (или любую другою, которую вы хотите использовать в качестве рабочей).\nКонечно, наши примеры не затрагиваю все возможные сценарии резервного копирования, но мы уверены что приведенные примеры помогут вам создавать собственные скрипты для автоматизации данного процесса.\n","id":"bc6815a464588af67ac8d5a64c594556","link":"https://interface31.ru/post/rezervnoe-kopirovanie-bez-dannyh-postgresql/","section":"post","tags":["1С Предприятие 8.х","PostgreSQL","SQL","Ubuntu Server","Windows Server","Резервное копирование"],"title":"Резервное копирование баз данных PostgreSQL"},{"body":"Производительность вашей Wi-Fi сети не оправдывает ожидания? Соединение с сетью неустойчиво? Вчера все работало прекрасно, а сегодня просто отвратительно? Все это первый признаки того, что ваша сеть испытывает помехи. Сегодня мы поговорим об основных видах помех в Wi-Fi сетях и средствами борьбы с ними.\nПеред тем, как продолжить чтение, мы настоятельно рекомендуем ознакомиться с нашим материалом \u0026quot;Построение сетей Wi-Fi. Краткий ликбез\u0026quot;, если вы не сделали этого раньше. Далее мы будем подразумевать, что читатель имеет базовые знания, как минимум на уровне вышеуказанной статьи.\nОсновная проблема беспроводных сетей - это ограниченный частотный ресурс. В наиболее широко используемом диапазоне 2,4 ГГц в РФ доступно 13 частоных каналов из который только 3 независимых. При этом следует понимать, что частотный канал является разделяемым ресурсом между всеми использующими его устройствами, т.е. если на одном частотном канале работает несколько беспроводных сетей, то пропускная способность канала будет делиться между всеми ними.\nСети Wi-Fi стоятся по схеме полудуплекса, когда прием и передача ведется в одном частотном канале с разделением по времени, т.е. в текущий момент времени устройство или передает или принимает информацию. При работе нескольких устройств на одном канале они будут ждать пока другое устройство освободит канал. Это можно сравнить с учебным классом, говорит учитель (точка доступа) - ученики (клиенты) слушают, затем может высказаться один ученик, за ним второй и т.д. Чем больше устройств - тем больше время ожидания, тем ниже производительность каждого устройства.\nСледует также понимать, что устройство которое работает только на прием (на самом деле оно все равно будет передавать служебные пакеты) все равно занимает канал и другие устройства передавать в это время не могут.\nЧто будет если клиент не может правильно принять передачу от точки доступа? Он перезапросит пакет. Если уверенную связь установить не удается сеть перейдет на более низкоскоростной режим передачи, например с 802.11g на 802.11b. Возвращаясь к нашей аналогии, сидящий на задней парте ученик несколько раз переспрашивает учителя, в ответ тот начинает диктовать ему по слогам.\nСамое время задать следующий вопрос - почему ученик не слышит учителя? У учителя тихий голос и на самой задней парте не слышно - это ситуация когда устройство находится вне зоны уверенного приема. Или рядом с ним открыто окно, а во дворе проводится занятие по физкультуре с другим классом - это помеха, чем тише голос учителя и громче орут за окном, тем хуже будет слышно урок.\nНа время оторвемся от наших аналогий и немного углубимся в теорию электросигналов. Распределение передаваемой энергии в частотном диапазоне называется спектром сигнала, ниже приведена типовая спектральная маска Wi-Fi канала шириной 20 МГц. Основная часть энергии спектра попадает в канал шириной 22 Мгц с уровнем сигнала до -20 dB (не путать данную шкалу со шкалой RSSI). Полностью же спектр занимает более широкую полосу частот и это стоит учитывать при рассмотрении возможных причин появления помех. Общая ширина спектра достигает 60 Мгц, а это значит, что непересекающиеся каналы еще как пересекаются, однако в обычных условиях, когда уровни сигналов примерно равны, этим пересечением можно пренебречь. Следует помнить, что -20 dB это ослабление сигнала в 100 раз, -30 dB - в 1000 раз, -40 dB - в 10 тыс. раз.\nОднако это весомая причина не использовать передатчиков с повышенной мощностью (что запрещено безполучения разрешения правилами эксплуатации беспроводных сетей) и антенн с большим коэффициентом усиления, в этом случае вы можете создавать межканальные помехи на большей части диапазона, даже на непересекающихся каналах.\nНа практике для оценки уровня сигнала используют показатель уровня мощности принимаемого сигнала (RSSI) который выражается в милливатт (mW), а так как мощность излучаемого сигнала изменяется по логарифмическим законам, то общепринятой единицей стал децибел-милливатт (dBm) который показвает отношение мощности к 1 mW. Так если в инструкции к точке доступа написано что выходная мощность 20 dBm, то это соответсвует 100 mW.\nТеперь вернемся к помехам. Что будет, если на одном канале работает сразу несколько точек доступа? Во первых увеличится время ожидания, так как устройство будет воспринимать передачу чужой точки как занятый канал и будет ожидать его освобождения. Однако точки доступа (но не клиенты) могут передавать одновременно - при этом возникает коллизия, которая потребует повторной посылки пакета и вызовет падение производительности. Данный тип помех называется внутриканальной помехой.\nВ тоже время сами Wi-Fi устройства способны успешно противостоять внутриканальным помехам, что обусловлено механизмом работы устройств в рамках одного канала. Даже при наличии нескольких сетей клиентские устройства будут молчать во время передачи чужих устройств и не засорять диапазон шумом. Чтобы остроиться от внутриканальной помехи достаточно поднять уровень RSSI на 20 dB и более. Здесь мы приходим к пониманию ситуации, когда максимальная мощность точки доступа это не всегда хорошо. Возвращаясь к аналогии: две группы вполне могут провести занятия в одном классе, если будут разговаривать в полголоса. Если обе будут говорить в голос - ничего не получится. Также две точки доступа в соседних офисах могут упешно работать на одном канале с пониженной мощностью, но будут создавать сильные помехи друг другу, если мощность не понижать.\nДругая ситуация возникнет при работе двух сетей на соседних каналах. Хотя большая часть их спектров перекрывается, устройства не будут молчать во время чужой передачи, а будут пытаться передавать сами, считая соседнюю передачу обычным шумом. Продолжая аналогию, представим себе ресторан с несколькими шумными компаниями, чтобы сказать что-нибудь другу через столик вам придется повышать голос или даже кричать. Чем больше компаний рядом и чем ближе они к вам находятся, тем хуже вы будете слышать друг друга. Этот тип помех называется межканальными помехами. С точки зрения влияния на производительность межканальные помехи самый худший вариант, так как резко увеличивают уровень шума и даже при достаточной мощности передатчика скорость работы и стабильность связи будут низкими из-за постоянной перепосылки пакетов. Это происходит из за попытки использовать двумя сетями на 2/3 общий частотный диапазон.\nПри прочих равных условиях наличие межканальной помехи всегда значительно хуже, чем внутриканальной и этой ситуации следует всеми силами избегать.\nЕсли обнаружить междуканальные и внутриканальные помехи достаточно просто, то существует еще один вид помех, с которым бороться значительно труднее. Это помехи от устройств не являющимися Wi-Fi устройствами, но работающими в этом же диапазоне. Это могут быть микроволновые печи, беспроводные телефоны, WiMAX и т.д., также помехи в диапазоне 2,4 ГГц способны создавать неисправные электроприборы или электроинструмент. Частотный спектр и интенсивность этих помех могут быть самыми разнообразными, как и последствия, которые могут варьироваться от незначительного снижения производительности, до полного нарушения связи. В нашей практике был случай, когда в одном офисном центре каждый день с 12 до 14 часов наблюдалось полное пропадание беспроводной связи в одном из офисов. Небольшое расследование выявило микроволновую печь прямо через стенку из гипсокартона в соседнем офисе. Проблема полностью решилась переносом точки доступа в другой конец офиса.\nВ заключение хочется еще раз напомнить, частотный диапазон 2,4 ГГц весьма тесен и часто перегружен, поэтому, принимая меры по борьбе с помехами от соседних сетей и достижения максимальной производительности своей сети, не забывайте о том, что вы тоже можете стать помехой соседям и старайтесь принимать меры по недопущению подобной ситуации. Как говорил Кот Леопольд: \u0026quot;Ребята, давайте жить дружно\u0026quot;, нравится вам это или нет, но других вариантов нормального использования диапазона 2,4 ГГц сегодня нет.\n","id":"fb9ee71676b2d12c24549c6e9c240dd0","link":"https://interface31.ru/post/postroenie-setey-wi-fi-mezhkanal-nye-i-vnutrikanal-nye-pomehi/","section":"post","tags":["Wi-Fi","Сетевые технологии"],"title":"Построение сетей Wi-Fi. Межканальные и внутриканальные помехи"},{"body":"Не будет преувеличением сказать, что автоматизация розничной торговли возможна только благодаря применению торгового оборудования. Поэтому очень важно понимать принципы его работы и взаимодействия с товароучетным ПО и операционной системой. Мы решили в первую очередь уделить внимание этому вопросу, так как от правильного выбора торгового оборудования во многом зависит окончательная конфигурация и общие затраты на автоматизацию.\nКак показывает практика, уровень знаний о торговом оборудовании у подавляющего большинства непрофильных специалистов стремится к некоторым обрывочным фрагментам, а их попытки взаимодействия с ним заставят умереть от зависти любого шамана. Поэтому в данной статье мы не будем говорить о том, какую именно модель сканера штрих-кода или электронных весов выбрать для того или иного применения, а остановимся на базовых основах функционирования торгового оборудования.\nНесмотря на то, что мы будем рассматривать работу торгового оборудования совместно с товароучетной системой на базе платформы 1С:Предприятие 8, многое из сказанного будет справедливо и для иных платформ.\nТрадиционно торговое оборудование осуществляло взаимодействие с системой через COM-порт, реже включаясь в разрыв клавиатуры. Сегодня эта традиция сохраняется, невзирая на то, что интерфейс постепенно заменяется на USB, основными режимами по прежнему остаются эмуляция клавиатуры или эмуляция COM-порта, это позволяет сохранить совместимость как оборудования, так и софта, не взирая на время выпуска.\nС точки зрения операционной системы (ОС) оборудование подключенное в разрыв клавиатуры или к COM-порту ничем не отличается от стандартной клавиатуры или периферийного устройства, никаких драйверов для них не требуется, а вся задача ОС заключается в передаче данных с соответствующего порта в запросившее их приложение. Так если мы подключим к COM-порту сканер штрих-кода и подключимся к этому порту через HyperTerminal, то в терминале отобразится считанный сканером код. А данные считанные устройством включенным в разрыв клавиатуры введутся туда, где расположен фокус ввода.\nВ последнее время все большее распространение получает торговое оборудование с сетевым интерфейсом, в этом случае для ОС такое устройство ничем не отличается от любого другого хоста и все взаимодействие с ним, как и в случае подключения через COM-порт и разрыв клавиатуры, отдается на откуп товароучетной системы.\nКаким же образом товароучетная система осуществляет взаимодействие с торговым оборудованием? Рассмотрим следующую схему: Операционная система ничего не знает о подключенном оборудовании, для нее это еще одно устройство подключенное к COM-порту и еще один сетевой хост. Товароучетная система в свою очередь работает с определенными типами оборудования: сканер штрих-кода, считыватель магнитных карт, электронные весы и т.п. Для работы с ними предусмотрены определенные типовые процедуры и функции, которые не зависят от конкретной модели оборудования.\nЗа непосредственное взаимодействие с определенным типом оборудования отвечает обработка обслуживания драйвера, которая отвечает за перевод запросов типовых функций и процедур в понятные конкретной модели оборудования запросы. Это уровень абстракции, отвязывающий код товароучетной программы от запросов к конкретной модели оборудования.\nСледующий уровень абстракции представляет драйвер торгового оборудования. Это чаще всего динамическая библиотека (DLL) преобразующая запросы от обработки обслуживания понятные товароучетной системе в запросы к конкретному типу оборудования и делающая передаваемые оборудованием данные понятными товароучетной системе.\nОбработка обслуживания и драйвер ТО представляют собой единую связку обеспечивающую взаимодействие товароучетного ПО и торгового оборудования. Проще говоря это две части единой системы, одна из них - обработка обслуживания, является частью товароучетной системы, для 1С:Предприятие это внешняя обработка, вторая - частью ОС, динамическая библиотека. Вместе они обеспечивают работу товароучетной системы, которая работает со стандартными типами оборудования, и конкретной модели оборудования, которая может иметь свои особенности.\nСледует четко понимать, что драйвер торгового оборудования не имеет ничего общего с драйвером ОС, так как операционная система просто получает или передает данные для COM или Ethernet порта, а драйвер ТО как раз представляет ту прослойку, которая в связке с обработкой обслуживания позволяет товароучетному ПО отличить сканер штрих-кода от электронных весов и т.д. и т.п.\nНапример стандартная обработка обслуживания 1С для сканера штрих-кода работает со стандартным драйвером 1С который поддерживает подключение сканеров только через COM-порт, в то время как драйвер ТО от АТОЛ позволяет подключать сканеры в режиме эмуляции клавиатуры, но при этом требуя использования собственной обработки обслуживания.\nВ случае использования оборудования с интерфейсом USB ситуация несколько усложняется. Перейдем к следующей схеме: Как видим, добавился еще один уровень - драйвер операционной системы. В ряде случаев USB-оборудование, такое как сканеры штрих-кода, определяются в системе как устройство ввода и эмулируют клавиатуру, в остальных случаях, а также при использовании режима эмуляции COM-порта вам потребуется драйвер для вашей операционной системы.\nОбратите внимание, что до тех пор пока не будет установлен драйвер на уровне OC, драйвер ТО и, следовательно, обработка обслуживания не смогут взаимодействовать с торговым оборудованием.\nОтдельного разговора заслуживает торговое оборудование работающее в режиме эмуляции клавиатуры (т.е. в разрыв клавиатуры). Данные передаваемые таким торговым оборудованием передаются как ввод с еще одной клавиатуры и обслуживаются в общем потоке клавиатурного ввода. Если мы подключим работающий в таком режиме считыватель магнитных карт, откроем Блокнот и считаем карту, то содержимое ее магнитной дорожки появится в Блокноте в виде текста.\nКаким же образом передать данные от торгового оборудования товароучетной программе, выделив их из потока клавиатурного ввода? Для этого мы подготовили еще одну схему: В нашем случае в режиме эмуляции клавиатуры подключен считыватель магнитных карт, который не требует установки драйверов и воспринимается ОС как еще одна клавиатура, т.е. системе абсолютно все равно, что именно там подключено, все считанные / введенные данные попадут туда, где находится фокус ввода. Задача обработки обслуживания (в связке с драйвером ТО) - вырезать часть данных от торгового оборудования и передать их в товароучетную программу.\nТаким образом возникает необходимость каким-то образом обозначить начало и конец передаваемых ТО данных. Для этих целей используются префикс и суффикс, которые представляют собой наборы символов, которые не должны встречаться в обычном клавиатурном вводе и не зависят от раскладки, например три Num+ подряд.\nВстретив в клавиатурном вводе последовательность префикса, обработка обслуживания вырезает его и все что следует после, до тех пор пока не появится последовательность суффикса, вырезав его, обработка отдает текущую последовательность клавиатурного ввода ОС до тех пор пока снова не встретит в нем префикс.\nКакие выводы можно сделать из вышесказанного? При выборе торгового оборудования в первую очередь следует обращать внимание на интерфейс подключения, при необходимости следует уточнить наличие драйверов для вашей ОС. Следующим шагом следует выяснить наличие драйверов ТО и обработки обслуживания для используемой вами конфигурации 1С:Предприятие. Следует помнить, что многие драйвера ТО являются платными, что может неожиданно увеличить бюджет проекта.\nПростой пример: недорогой и весьма популярный сканер штрих-кода Symbol LS1203 с интерфейсом USB может работать в режиме эмуляции COM или в режиме эмуляции клавиатуры. В первом случае он требует драйверов уровня операционной системы, которые существуют только для 32-битных систем, зато позволяет использовать стандартный (и бесплатный) драйвер ТО от 1С. В режиме эмуляции клавиатуры его можно подключить к 1С через обработку обслуживания от АТОЛ, которая требует платного драйвера ТО этого же разработчика.\nПоэтому выбирая торговое оборудование обязательно уточняйте, какие именно режимы оно поддерживает, каких драйверов уровня ОС требует, затем выясните какие потребуются драйвера ТО и обработки обслуживания и их стоимость. Иногда имеется возможность выбирать между драйверами и обработками от различных разработчиков, в этом случае следует смотреть не только на цену, но и на функциональные возможности, выбирая именно то, что требуется в вашем случае.\nВозвращаясь к сканеру Symbol LS1203, мы были свидетелями ситуации, когда одна фирма купила данные сканеры, в тоже время закупив Windows 7 x64. В итоге единственным рабочим решением оказалось приобретение платных драйверов ТО от АТОЛ, которые поддерживают режим работы сканера ШК в режиме разрыва клавиатуры, что крайне отрицательно сказалось на бюджете.\nЕсли бы ответственные лица или технические специалисты данной фирмы имели представление о функционировании торгового оборудования и его взаимодействии с 1С, то подобной ситуации бы не произошло. Собственно для этого мы и написали данную статью и, как всегда, готовы ответить на ваши вопросы в комментариях.\n","id":"1db74543fd8afb9a90e32823c130a47c","link":"https://interface31.ru/post/avtomatiziruem-roznicu-chast-2---torgovoe-oborudovanie/","section":"post","tags":["1С Предприятие 8.х","Автоматизация","Планирование","Торговое оборудование","Штрих-код"],"title":"Автоматизируем розницу. Часть 2 - Торговое оборудование"},{"body":"Данной статьей мы продолжим тему настройки коммутируемых соединений в среде Ubuntu Server. Сегодня рассмотрим настройку PPTP подключений, которые могут использоваться как для подключения к интернету, так и для организации корпоративных сетей. Несмотря на то, что материал рассчитан в первую очередь на системных администраторов, он будет полезен всем пользователям Linux.\nДля работы Ubuntu Server в качестве PPTP-клиента необходимо установить пакет pptp-linux:\n1sudo apt-get install pptp-linux Основные настройки пакета, применяемые ко всем PPTP соедниненям по умолчанию хранятся в**/etc/ppp/options.pptp**, в большинстве случаев менять их нет необходимости, однако вы можете добавить какие-то свои опции, общие для всех соединений.\nДля настройки подключения создадим в /etc/ppp/peers файл настроек с его именем:\n1sudo touch /etc/ppp/peers/test-vpn Откроем его и внесем следующее содержимое:\n1pty \u0026#34;pptp vpn.server.local --nolaunchpppd\u0026#34; #тип и адрес сервера 2name vpnuser #логин 3remotename TEST #имя соединения 4require-mppe-128 #включаем поддержку MPPE 5nodefaultroute #не создавать маршрут по умолчанию 6unit 12 #номер ppp интерфейса 7persist #переподключаться при обрыве 8maxfail 10 #количество попыток переподключения 9holdoff 15 #интервал между подключениями 10file /etc/ppp/options.pptp 11ipparam $TUNNEL В нашем примере создано PPTP подключение для корпоративной сети, поэтому мы добавили опцию \u0026quot;не создавать маршрут по умолчанию\u0026quot;, если вы настраиваете соединение для доступа в интернет, то нужно наоборот разрешить создание нулевого маршрута, для этого укажите опции:\n1defaultroute #создавать маршрут по умолчанию 2replacedefaultroute #принудительно изменять маршрут по умолчанию Опция \u0026quot;включаем поддержку MPPE\u0026quot; не является обязательной и требуется только тогда, когда сервер использует этот тип шифрования. Номер ppp интрефейса создает для подключения всегда один и тот же сетевой интерфейс, в нашем случае это будет ppp12.\nОтдельно стоит остановиться на наборе опций для автоматического переподключения. Мы настоятельно советуем ограничить количество попыток (0 - неограничено) разумным числом и не ставить слишком маленький промежуток времени. Это позволит ограничить нагрузку на VPN-сервер в случае проблем с подключением (например нет денег на балансе или изменились учетные данные).\nЕсли вы подключаетесь к доменной сети, то имя пользователя следует указывать следующим образом:\n1name DOMAIN\\\\vpnuser Теперь укажем авторизационные данные для нашего пользователя, для этого в файл /etc/ppp/chap-secrets добавим следующую строку:\n1\u0026#34;vpnuser\u0026#34; TEST \u0026#34;vpnpassword\u0026#34; которая предусматривает использование указанных учетных данных, где vpnpassword -пароль соединения, для удаленного соеднинения TEST (это имя мы указали в опции remotename). Для доменного пользователя строка будет выглядеть так:\n1\u0026#34;DOMAIN\\\\vpnuser\u0026#34; TEST \u0026#34;vpnpassword\u0026#34; Теперь самое время проверить наше соединение. Первый раз лучше запустить его в интерактивном режиме, тогда все сообщения об ошибках и ходе подключения вы будете видеть прямо в консоли:\n1pon test-vpn nodetach В дальнейшем управлять соединением можно при помощи команд pon и poff (подключить и отключить соответственно).\nЧтобы автоматически поднимать соединение при запуске системы в файл /etc/network/interfaces добавим секцию:\n1auto tunnel 2iface tunnel inet ppp 3provider test-vpn Для доступа в корпоративную сеть может понадобиться добавление статических маршрутов, это тоже можно делать автоматически, для этого в конец созданой секции добавим строку:\n1up route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.0.222 Мы привели реальный маршрут используемый в нашем случае, вы должны указать здесь свои данные, если они не известны - уточните их у системного администратора.\nПерезапустим сеть и убедимся что все работает правильно:\n1sudo /etc/init.d/networking restart Для получения списка маршрутов воспользуйтесь командой route, также можно пропинговать какой-нибудь внутренний хост. При подключении к сети интернет через PPTP бывают ситуации, когда, несмотря на указанные опции, нулевой маршрут через туннель не устанавливается. В этом случае можно в конец соответсвующей секции в /etc/network/interfaces добавить:\n1up route del default 2up route add default dev ppp12 где ppp12 - имя вашего ppp интерфейса.\n","id":"9c091902596333d7a3c7d3630f9630e7","link":"https://interface31.ru/post/nastroyka-pptp-podklyucheniya-v-ubuntu-server/","section":"post","tags":["PPTP","Ubuntu Server","VPN","Сетевые технологии"],"title":"Настройка PPTP подключения в Ubuntu Server"},{"body":"Вопрос полного обновления всей айти-инфраструктуры встал перед бюрократическим аппаратом Мюнхена в 2003 году. 14 тысяч рабочих мест в городских структурах нуждались в новой операционной системе, хотя, в принципе, всё было хорошо и все были довольны. Решение было навязано фирмой Майкрософт, которая заявила о прекращении поддержки Windows NT 4. Ни новые программные пакеты, ни новые компьютеры не могли работать с NT. Необходимо было принимать решение о миграции всей инфраструктуры.\nСтартовая ситуация Городская управа Мюнхена использовала в своей работе исключительно гетерогенную технику и программные пакеты. На базе операционной системы WinNT работали офисные пакеты различных версий, кроме того использовалось 340 специальных процедур для многообразных конкретных задач, из которых 170 были организованы как серверные приложения. В добавок к этому, использовалось 300 различных стандартных программных пакетов и две различные системы серверного хранения файлов. Серверы, примерно поровну, использовали «Netware» фирмы Novell и «Advanced Server for Unix». Примечательно, что продукты от Майкрософт на серверах не применялись.\nЦентральная стратегия и децентрализованное делопроизводство Городская айти-структура Мюнхена разделена на две зоны ответственности: стратегическое планирование и закупки оборудования руководятся и координируются из единого центра, но сама работа и конкретное планирование производилось в 17 самостоятельных отделах города. Сразу видна проблема - в Мюнхене не существовало единой и стандартизированной схемы менеджмента айти-процессов.\nМайкрософт нервничает В самом конце 2003 года в Калифорнии прослышали о мюнхенских задумках прекратить использование Windows. Не мудрено - немецкий центральный офис Майкрософт находится... в Мюнхене. В срочном порядке в командировку к бургомистру Кристиану Уде наладился лично сам Стив Балмер. Он попытался доказать, что переход на другую (не Windows) платформу обойдётся намного дороже и таит много опасностей. Аргументы Балмера не были приняты.\nДля изучения альтернатив были заказаны специальные проектные исследования, которые показали, что отличное от Майкрософт решение, во всяком случае, не будет ни хуже, ни дороже. Городские депутаты высказались за такое решение, которое давало стратегическое преимущество на более дальние перспективы и предотвращало зависимость от какого-либо единого монополиста. Направление бралось на постепенное внедрение открытых программных пакетов, но самой главной целью стала организация всех специализированных процедур в виде веб-приложений, что ликвидировало-бы связку «оперативная система - офисный пакет - специальные приложения».\nВ качестве основы для операционной системы была избрана специальная сборка на базе Debian с рабочим окружением KDE, на замену MS Office предусматривался пакет OpenOffice. Весь проект получил название LiMux (линукс в Мюнхене). После подготовки и предварительных пробных проектов, в сентябре 2006 года начались замены рабочих мест сотрудников управы на линукс. Многочисленные инсталляции и конфигурации были автоматизированы на базе пакета FAI (Fully Automatic Installation) и некоторых собственных наработок.\nУспех или что? В мае 2006 года весь проект LiMux был сертифицирован как «пригодный к использованию» немецкой организацией TÜV по стандарту ISO 9241-110. В начальной стадии 80% пользователей были переведены на OpenOffice, оставаясь в привычной среде Windows, в мае 2009 года линукс стоял на 1800 рабочих мест. В июне 2010 линуксом пользовались 3000 сотрудников, до конца 2010 года их было 5 тысяч, в апреле 2012 линукс стоял на 10 тысячах рабочих мест.\nСпециальная рабочая группа регулярно опрашивает пользователей на предмет удобства используемых программ.\nВ мае 2013 года, после десяти лет работы, руководитель проекта LiMux объявил о его полной реализации.\nВ январе 2013 года в Мюнхене были произведены исследования процесса миграции городских служб на линукс. Стоимость начатого в 2003 году проекта была оценена в 60,6 миллионов евро, что почти в 4 раза выше стоимости апгрейда на базе пакетов Майкрософт (17 миллионов евро). Такие результаты мало кого удивили, так как исследование мюнхенского проекта проводилось фирмой HP по заданию... Майкрософт. Городская управа предоставила данные, согласно которым весь проект, на ноябрь 2012 года, обошёлся в 23 миллиона евро, которым противопоставлена инвестиция на базе Windows и MS Office в объёме 34 миллионов евро.\nФирма Майкрософт не изъявила особого желания сделать доступной всю исследовательскую документацию, а лишь опубликовала её сокращённое изложение. Но в Мюнхене считают свои подсчёты более верными, к тому-же переход на новую систему происходил более плавно, чем это предполагается в изложении Майкрософт, к примеру, стоимость техподдержки рассчитывалась сразу исходя из 12 тысяч пользователей, хотя это число было достигнуто только через 6 лет после старта проекта. К этому добавляется и тот факт, что линукс способен продуктивно работать и на более простой компьютерной инфраструктуре, что опять-таки привело к снижению расходов.\nДелай добро - раздавай диски с дистрибутивами Линукс закрепился в Мюнхене. Миграция от Windows удалась и теперь город хочет раздать желающим гражданам 2 тысячи дисков с линуксом, чтобы слегка помочь тем, кто желает отказаться от Windows.\nМайкрософт прекращает с апреля 2014 года поддержку своего «ветерана» Windows XP, а эта система ещё работает на почти 40% всех домашних компьютеров. Более новые Win7 или Win8 стоят не только денег, но требуют для себя более работоспособные компьютеры. Агитация за переход на линукс позволит избежать преждевременной кончины многих компьютеров на свалке электроники.\nВек живи - век учись Из десяти лет работы над проектом LiMux были вынесены многие полезные знания:\nЭволюция лучше, чем революция -- постепенная замена программ и всей системы сэкономила ресурсы, помогла предотвратить ошибки в масштабах всей системы. Единые процессы, стандартизация инфраструктуры и программных решений резко понижают расходы ресурсов для координирования работы и обучения пользователей. Комплексные проблемы необходимо разделять, решения малых проблем переносить на решения общей задачи. Необходимость к изменениям рабочего окружения должна приниматься сотрудниками с интересом и желанием сотрудничать. Открытая и доверительная совместная работа даёт лучшие результаты. Не изолируйся! Делись опытом, спрашивай у других. На этом стоит свободное программное обеспечение. Источники:\nhttp://www.heise.de/open/meldung/Stadt-Muenchen-widerspricht-HP-Studie-zur-Linux-Migration-1797107.html http://www.heise.de/open/meldung/Muenchen-will-Windows-Aussteigern-Linux-CDs-schenken-1893593.html ","id":"0c3ae95f7753836072aa64d9784ceacc","link":"https://interface31.ru/post/primer-planomernoy-migracii-ot-ms-windows-bavarcy-ne-sdayutsya/","section":"post","tags":["Linux","Внедрение","Планирование"],"title":"Пример планомерной миграции от MS Windows. Баварцы не сдаются!"},{"body":"Внешний жесткий диск сегодня стал одним из предметов первой необходимости для всех, чья деятельность так или иначе связана с обслуживанием ПК. Выбор дисков и контейнеров велик - на любой цвет, вкус и кошелек. Однако есть решения, которые заметно выделяются в общем ряду, одним из них можно назвать внешний контейнер Zalman ZM-VE300 который, кроме функции внешнего диска, может выполнять роль эмулятора привода оптических дисков.\nЭто позволяет разом убить двух зайцев, так как внешний привод ОDD и стопка дисков к нему является таким же предметом первой необходимости для сисадминов, сервисных инженеров и просто компьютерных энтузиастов. Установочные диски с ОС, различные служебные и диагностические Live-CD - в итоге получим довольно внушительный список дисков, которые нужно всегда иметь при себе, а важные диски еще и не в одном экземпляре. Иначе будет очень неприятно, когда в самый ответственный момент \u0026quot;заезженый\u0026quot; диск откажется читаться.\nНо обо всем по порядку. На первый взгляд стоимостьZalman ZM-VE300 может показаться сильно завышенной, отдавать около 2000 руб за внешний контейнер без HDD, пусть и от именитого производителя, это как-то слишком, за эти деньги спокойно можно взять неплохой внешний диск. Но это только на первый взгляд, как мы увидим дальше, устройство полностью оправдывает свою цену.\nПоставляется контейнер в картонной коробке среднего размера, на которой производитель подчеркнул основные достоинства устройства. Комплектация, традиционно для Zalman, богатая. Кроме устройства, кожаного футляра к нему и microUSB 3.0 кабеля в коробке вы найдете инструкцию, компакт-диск с софтом и небольшую отвертку с винтиками. Единственный, на наш взгляд, недостаток - футляр не имеет отдела для хранения кабеля, что требует постоянно контролировать его наличие, а это вносит определенный элемент неудобства при использовании. Контейнер выполнен из алюминия и принципиально ничем не отличается от Zalman ZM-HE130, который мы рассматривали ранее, конструкция корпуса позволяет эффективно рассеивать тепло и температура диска при активном обращении к нему у нас не превышала 40 °C.\nДля тестирования устройства мы использовали ноутбучный диск 320 Gb SATA-II Hitachi Travelstar Z5K320 HTS543232A7A384 2.5\u0026quot; 5400 rpm 8Mb, который подробно рассматривали в этом обзоре. Хочется обратить внимание на удачную конструкцию контейнера - открутив всего два винта вы можете использовать контроллер в качестве переходника для подключения 2,5\u0026quot; накопителей через USB. Что может быть полезно при необходимости слить данные в \u0026quot;полевых\u0026quot; условиях.\nПроизводительность контейнера также на высоте, при подключении через USB 3.0 скорость работы с диском не отличается от скорости работы через SATA. Для выбора образа и отображения режима работы предназначен небольшой LCD-экран. Выбор осуществляется качелькой с левого бока, она же дает доступ в меню настроек. Виртуальный привод уверенно распознается ПК в том числе и на этапе загрузки, что позволяет производить с него установку ОС или запуск нужного Live-CD. По умолчанию контейнер работает в режиме HDD + ODD, когда одновремеено досупен и жесткий диск и виртуальный привод. Также доступны режимы только HDD или только ODD, последний может быть полезен на старых ПК, не всегла распознающих виртуальный привод в режиме HDD+ODD.\nКак видим, данный контейнер способен значительно облегчить жизнь, позволяя отказаться от внешнего привода и стопки дисков к нему, позволяя \u0026quot;все свое носить с собой\u0026quot;. Это действительно удобно, так как позволяет собрать образа на все случаи жизни и не задумываться над тем, взяли ли вы нужный диск и прочитается ли он.\nКроме того виртуальный привод способен вывести работу с оптическими дисками на потенциально новый уровень. Ведь доступ к HDD, даже такому медленному как ноутбучный 2,5\u0026quot; диск, все равно будет гораздо быстрее, чем к оптическому диску. Чтобы оценить преимущества ZM-VE300 на практике, мы провели небольшое тестирование.\nКроме Zalman ZM-VE300 в нем приняли участие:\nASUS DRW-2014L1T - внутренний оптический привод с интерфейсом SATA имеющий следующие характеристики на чтение: DVD-ROM: 16x, DVD±R DL: 8x, CD-ROM: 48x CD-R/RW: 40x, DVD-RAM: 12x 3Q Lite T105-EB (Optiarc AD-7700S) - внешний привод с интерфейсом USB 2.0. Скорость чтения CD-ROM/R/RW: 24x Max; DVD-ROM: 8x Max, DVD-RAM: 5x Для тестирования мы использовали бесплатную утилиту Nero DiscSpeed 11. Для правильной интерпретации результатов теста сделаем небольшое отступление. Традиционно скоростные параметры оптических приводов выражаются не в скорости передачи данных, а посредством множителя относительно некоторой единичной скорости. За единицу для CD-ROM принимается скорость в 150 КБ/с, для DVD-ROM - 1,385 МБ/с, таким образом скорость 1x DVD соответсвует 9х CD.\nКроме того, следует помнить, что указанные в характеристиках привода значения скорости - максимальные. Реальные значения зависят от типа диска, качества его изготовления и состяния поверхности. В нашем тесте мы использовали две штампованные болванки DVD-ROM и CD-ROM из комплекта драйверов, взяв их из нераспечатаных конвертов, и болванку DVD+R из нашего рабочего набора дисков.\nУже первые результаты показали, что не все приводы одинаково работают с разными типами дисков. Так внешний Optiarc AD-7700S показал свою нелюбовь к штампованным дискам, работая с ними на гораздо меньшей скорости, чем с DVD-R или CD-R болванками.\nОбщий расклад никакой неожиданности не представляет. ASUS DRW-2014L1T достиг при работе с DVD-дисками 12х скорости и 40х при работе с CD. В общем довольно неплохо. Optiarc AD-7700S продемонстрировал гораздо более скромные значения 6x при работе с DVD+R, 2,4х для DVD-ROM и 6,3х для CD-ROM. Чем обусловлена низкая скорость работы с заводскими дисками мы так и не поняли, но факт остается фактом. Для Zalman ZM-VE300 подразделение на типы дисков не имеет значения, все равно работа происходит с образом. Если перевести результаты в привычные для оптических дисков значения, то мы получили 39,3х для DVD или 354х для CD при подключении через USB 3.0. График даже не попал в отведенную для него область, так как полученные значения далеко превосходят максимальные значения для оптических приводов. Второй существенный плюс - практически мгновенное, по меркам ODD, время случайного доступа.\nДля USB 2.0 скоростные значения немного скромнее, но все равно остаются гораздо быстрее любого оптического привода: 23,5х для DVD или 211,5х для CD.\nЕсли привести скорости к более привычным МБ/с, то получим следующую картину: Очевидно, что Zalman ZM-VE300 в режиме виртуального привода значительно опережает любой существующий на сегодняшний день оптический привод. Даже в режиме USB 2.0, который является основным, при использовании данного контейнера в качестве загрузочного диска, через USB 3.0 в настоящее время может загружаться только Windows 8, и то не всегда успешно, так как USB 3.0 контроллеры разных производителей имеют свои особенности.\nЧтобы оценить работу виртуального привода в качестве загрузочного, мы сравнили время запуска LiveCD Ubuntu 13.0, записав его на новый диск DVD+R. Оптические приводы показали вполне ожидаемые результаты: самый медленный - внешний привод, внутренний незначительно быстрее. Zalman ZM-VE300 в очередной раз показал существенный отрыв - загрузив образ менее чем за минуту. Это действительно отличный результат, который по достоинству оценят те, кому приходится часто загружать ПК с оптических дисков.\nВыводы Перед нами действительно отличный продукт, который полностью оправдывает свою цену. Основное его преимущество - виртуальный оптический привод, который позволит отказаться от использования оптических дисков и внешних приводов. Кроме того, виртуальный привод позволяет работать с образами дисков значительно быстрее, чем любой оптический дисковод. Все это делает Zalman ZM-VE300 незаменимым помощником администраторов, сервисных инженеров и просто компьютерных энтузиастов.\n","id":"a33da0352fba7789154f086bf760403d","link":"https://interface31.ru/post/zalman-zm-ve300-shveycarskiy-nozh-dlya-sisadmina/","section":"post","tags":["HDD","HGST","USB","Рабочее место"],"title":"Zalman ZM-VE300 - швейцарский нож для сисадмина"},{"body":"Данным материалом мы начинаем цикл статей, посвященный автоматизации розничной торговли, в котором последовательно разберем как теоретические, так и практические аспекты данного вопроса. Также будут рассмотрены некоторые вопросы учета и маркетинга, а также особенности организации продаж отдельных видов товаров.\nСегодня трудно представить оптовую торговую фирму без системы товароучета, но в тоже время большое количество розничных торговых точек продолжает работу по старинке, не имея товароучетной системы вообще или такая система существует отдельно и не отражает текущей ситуации на фирме.\nВозможно для небольших торговых точек такая система может быть оправдана, весь товар находится в голове или тетрадке у владельца, который очень часто еще и продавец, либо заносится в товароучетную систему со значительным опозданием (например вечером). Однако по мере расширения ассортиментной линейки и развития бизнеса такой подход начинает негативно влиять на работу фирмы.\nПочему? Во-первых отсутствует оперативная информация о продажах и товарном запасе. Во-вторых затруднен или невозможен анализ экономической и хозяйственной деятельности торговой точки. Если выручку или наличие товара еще можно быстро оценить \u0026quot;на глаз\u0026quot; с приемлемой точностью, то с анализом и планированием все гораздо хуже. Например нет возможности точно определить потребности в номенклатуре, что может привести как к недополученной прибыли, так и к реальным убыткам, особенно если речь идет о скоропортящихся товарах.\nВторое важное преимущество, которое дает автоматизация, это уменьшение времени обслуживания покупателя и повышение качества сервиса. Это особенно важно для небольших магазинов \u0026quot;у дома\u0026quot;, если там всегда собирается очередь, то определенная часть покупателей будет избегать посещения такого магазина, планируя покупки в других местах.\nДля достижения данной цели в автоматизации розницы широко применяется торговое оборудование: сканеры штрих-кодов, весы с печатью этикеток, либо непосредственной передачей веса в торговую систему, фискальные регистраторы, чековые принтеры и т.д. и т.п.\nСама учетная система тоже имеет существенные отличия от привычных товароучетных программ. Вполне очевидно, что торговой точке не требуются все возможности учета и аналитики, зато требуется возможность максимально быстро выполнять торговые операции. Администрации и товароведам наоборот требуется аналитика и возможности учета и управления складскими запасами и ценообразованием.\nТак как, по сути, требуется два различных вида программ, системы автоматизации розничной торговли традиционно делятся на Front-office, отвечающий за непосредственное обслуживание продаж, и Back-office, который содержит модули маркетинга, управления складом и аналитику. Такой подход позволяет максимально гибко подходить к автоматизации каждого участка, не заставляя выискивать компромиссы. При этом Front-office и Back-office могут быть как одним программным продуктом, так и различными.\nНапример конфигурация 1С: Розница может выполнять функции как Front-office и Back-office, так и использоваться только как Front-office, передав функцию Back-office конфигурации Управление торговлей. Также в качестве Front-office могут использоваться специализированные решения, например от Штрих-М или Атол.\nОснову Front-office составляет Рабочее место кассира (РМК) - специализированный интерфейс для максимально быстрого и удобного обслуживания продаж. Ниже приведен интерфейс РМК 1С: Розница. И РМК специализированного решения АТОЛ: Рабочее место кассира. Как можно видеть интерфейс РМК значительно отличается от интерфейсов товароучетных программ и максимально оптимизирован для обслуживания продаж.\nЕще одной особенностью РМК является то, что все основные операции являются фискальными, даже в том случае если законодательно применять фискальный регистратор не требуется. Это позволяет, кроме соблюдения кассовой дисциплины, существенно уменьшить возможность ошибок и махинаций со стороны персонала, а также обеспечить единые стандарты работы кассиров вне зависимости от типа предприятия.\nКроме того для разных видов деятельности могут применяться различные системы Front-office, созданные с учетом особенностей торговли. Например в магазине одежды и обуви необходим учет в разрезе размеров и цветов, поэтому если компания имеет несколько различных торговых точек, то будет оправдано применение на каждой из них специализированного решения Front-office, вся информация из которых будет консолидироваться в Back-office, общем для предприятия.\nДеление системы на независимые части позволяет достаточно гибко строить распределенную инфраструктуру. В которой каждая торговая точка может будет обладать необходимой автономностью с одной стороны и необходимой степенью интеграции в систему с другой.\nЕсли все торговые точки компании однородны, то можно использовать единую базу данных в режиме распределенной информационной базы (РИБ). В случае когда торговые точки имеют свою специфику более удобной окажется схема с независимыми информационными базами на каждой точке. Это увеличит затраты на администрирование и усложнит его, но позволит применить на каждой точке наиболее подходящее для ее вида деятельности ПО и произвести индивидуальные настройки.\nВозможна также смешанная схема, когда часть точек работает в режиме РИБ, а часть имеет независимые базы.\nВ тоже время следует избегать схем с удаленным доступом к информационной базе в любом виде. Торговая точка должна быть автономной и иметь возможность производить продажи не имея никакой связи с центральным офисом. В противном случае любой сбой связи или авария в центральном офисе (отключили электроснабжение, оборвали кабель) приведет к полной остановке предприятия и вполне реальным убыткам.\n","id":"56eaac20ef7f0ebaebf0ca7c28ed9e70","link":"https://interface31.ru/post/avtomatiziruem-roznicu-chast-1---obshhie-voprosy/","section":"post","tags":["1С Предприятие 8.х","Автоматизация","Планирование"],"title":"Автоматизируем розницу. Часть 1 - Общие вопросы"},{"body":"С поддержкой W-Fi адаптеров в Ubuntu наблюдаются определенные проблемы. Хорошо если можно выбрать заведомо совместимую модель при покупке, но чаще приходится использовать то оборудование, которое есть. В этом случае придется устанавливать адаптер самостоятельно. Сегодня мы рассмотрим как раз такой случай.\nЗабегая вперед, скажем, что ничего сложного в подключении неподдерживаемых Wi-Fi адаптеров нет. Несмотря на то, что ряд производимых нами действий можно выполнить при помощи графического интерфейса, мы будем работать исключительно в консоли, что позволит использовать рекомендации данной статьи как для настольных, так и для серверных версий Ubuntu.\nДля примера рассмотрим подключение в Ubuntu 12.04 LTS недорогого USB-адаптера TP-Link TL-WN725N. Как это обычно бывает, вы купили Wi-Fi адаптер, распаковали, подключили... И никаких признаков жизни. Становится очевидно, что данная модель не поддерживается используемым дистрибутивом. Что делать?\nПрежде всего убедимся, что система видит само USB-устройство. Для этого выполним команду\n1lsusb В выводе вы должны увидеть строку, соответсвующую подключенному устройству, скорее всего она будет содержать информацию о чипе, на котором собран адаптер. В нашем случае это Realtek. Если вы не уверены, что адаптер присутсвует в списке, выполните команду два раза, с подключенным и отключенным устройством. Следующим шагом вам нужно выяснить модель чипа, на котором собран адаптер. Для этого уточните его полную маркировку и аппаратную версию, так как под одним и тем же наименованием могут выпускаться устройства на разных чипах. Вся необходимая информация указана на этикетке, также она может быть продублирована на самом устройстве. Как видим перед нами устройство с аппаратной версией Ver:2.0, располагая этой информацией несложно выяснить что в основу адаптера положен чип Realtek RTL8188EUS. Мы советуем воспользоваться ресурсом wikidevi.com (по ссылке настроеный пример семантического поиска по бренду TP-Link), перейдя на страницу адаптера мы не только узнаем его чип, но и получим ссылку на Linux драйвера.\nПерейдем в домашнюю директорию и скачаем архив репозитория, предварительно повысив права до суперпользователя:\n1sudo -s 2cd ~ 3wget \u0026#34;https://github.com/lwfinger/rtl8188eu/archive/master.zip\u0026#34; Распакуем архив (при необходимости установив unzip).\n1unzip master.zip Как можно увидеть из вывода команды, содержимое архива распаковалось в директорию rtl8188eu-master, перейдем в нее и выполним сборку модуля:\n1cd rtl8188eu-master 2make После сборки модуля в директории должен появиться файл 8188eu.ko, это и есть искомый модуль ядра. Теперь установим его командой:\n1make install Осталось включить наш модуль, выполнив команду:\n1modprobe 8188eu или просто отключить и подключить заново адаптер. В настольной системе вы сразу увидите сообщение о возможности подключиться к беспроводной сети. 1ifconfig В выводе вы увидите появившийся беспроводной интерфейс wlan0. Как видим ничего сложного нет. Однако следует помнить, что модуль собирается и устанавливается под текущую версию ядра, и при его обновлении будет необходимо выполнить сборку и установку модуля заново. Если такой возможности нет, то следует, удерживая Shift при загрузке, выбрать и загрузить версию ядра, для которой собран модуль.\n","id":"21022a3fd8bbd3ec34a1ac0d8d8de671","link":"https://interface31.ru/post/ustanovka-wi-fi-adaptera-v-ubuntu/","section":"post","tags":["Ubuntu","Ubuntu Server","Wi-Fi"],"title":"Установка Wi-Fi адаптера в Ubuntu"},{"body":"Технология UPnP представляет собой набор протоколов для автоматической настройки сетевых устройств, прежде всего бытового назначения. Действительно, вашим домашним совсем не обязательно становиться администраторами, чтобы подключить к сети очередной гаджет или настроить сетевую программу. Поэтому важно обеспечить поддержку UPnP на ключевых узлах сети, в первую очередь на роутере.\nВ частности UPnP позволяет автоматически открывать необходимые для сетевых приложений порты на роутере, что в домашних условиях актуально для торрент-клиентов и некоторых сетевых игр, делая работу с сетью абсолютно прозрачной для конечных пользователей.\nВ данной статье мы добавим поддержку UPnP для домашнего медиа-сервера, настроку которого мы рассматривали здесь.\nДля чего это нужно? Простой пример: запустим Помощник настройки популярного торрент-клиента uTorrent и выполним тест сети: Результаты теста сообщают нам, что порт для внешних подключений не открыт, а следовательно вы не сможете раздавать уже загруженные торренты. Конечно можно открыть нужный порт вручную, но зачем, если можно настроить поддержку UPnP.\nПеред написанием данного материала мы изучили, что пишут в русскоязычном сегменте сети по этому поводу и пришли к неутешительному выводу: с сайта на сайт кочует один и тот-же материал и тот неправильный. К сожалению авторы большинства ресурсов не утруждают себя пониманием публикуемых инструкций, не говоря о их проверке на практике.\nНо не стоит расстраиваться, все гораздо проще, чем кажется. Для поддержки UPnP в Linux, в нашем случае это Ubuntu Server 12.04 LTS, предназнечен пакет linux-igd который мы и установим:\n1sudo apt-get install linux-igd После установки откроем конфигурационный файл /etc/default/linux-igd и укажем внешний и внутренний интерфейсы, в нашем случае:\n1EXTIFACE=eth0 2INTIFACE=eth1 Теперь запустим службу:\n1sudo service linux-igd start При первом запуске вы можете получить ошибку, связанную с log-файлом, в этом случае выполните данную команду еще раз.\nСобственно на этом настройка UPnP закончена. Чтобы убедиться, что все работает как надо, запустим тест сети в торрент-клиенте повторно: Отлично, теперь пользователи могут как качать, так и раздавать торренты, причем настройка необходимых правил на роутере произошла без всякого вмешательства со стороны администратора.\nМожем проверить таблицу iptables, чтобы посмотреть какие правила были добавлены:\n1iptables -L Как видим добавились две цепочки разрешающие транзитные пакеты для нашего домашнего ПК (192.168.30.192) от любого источника по протоколам tcp и udp приходящие на порт 32575, что соответствует настройкам торрент-клиента.\n","id":"d49dcc02854047725034866fe9c771fa","link":"https://interface31.ru/post/nastraivaem-upnp-na-linux-routere/","section":"post","tags":["iptables","torrent","Ubuntu Server","UPnP","Сетевые технологии"],"title":"Настраиваем UPnP на Linux роутере."},{"body":"Продолжаем тестировать специализированные решения от производителей жестких дисков. Сегодня в нашу тестовую лабораторию попал Western Digital AV-GP, диск позиционируемый производителем как надежное решение для систем видеонаблюдения в небольших компаниях. Самое время протестировать его и сравнить с аналогичными предложениями конкурентов.\n2 Tb SATA-II 300 Western Digital AV-GP WD20EURS 64Mb судя по описанию и характеристикам является представителем зеленой \u0026quot;экономичной\u0026quot; серии WD с прошивкой оптимизированной для работы с потоковым видео. По этой же причине производитель не рекомендует использовать его использовать в настольных системах и серверах. Согласно информации, полученной от техподдержки WD, в данных дисках выключена коррекция ошибок в пользу своевременного завершения операций записи. Это означает что при возникновении ошибок диск не будет производить их коррекцию и повторную запись, а запишет некорректные данные.\nВ этом есть свой резон, лучше получить несколько некорректных участков изображения, чем пропустить несколько кадров. В настольных системах и серверах это может привести к тому, что записанная информация не будет соответвовать исходной и узнаете вы об этом далеко не сразу.\nПо стоимости хранения диск ничем не выделяется среди своих одноклассников и имеет примерно равное значение с Seagate SV35, хотя и выше чем у дисков массового применения. Результаты CrystalDiskMark показали очень и очень невысокие результаты, особенно там, где касается случайного чтения. Хотя скорость линейного доступа вполне достаточна для работы с потоковым видео, в тоже время современные диски массовых серий имеют более высокие показатели линейной скорости. Файловый тест показывает среднюю скорость передачи данных около 100 МБ/с и оптимизацию на работу с большими блоками данных. Результаты теста случайного доступа также невысоки, данный диск здесь уступил даже зеленому собрату, показав значения на уровне 2,5\u0026quot; ноутбучного диска. Однако записать это в недостатки данного диска нельзя, характер применения данного семейства дисков не предполагает подобной нагрузки. Общие результаты также предсказуемо невысоки. Пока что перед нами диск с очень невысокими характеристиками и весьма специфичным назначением. Посмотрим что он покажет в реальных сценариях, для этого мы используем тест Intel NASPT. Результаты откровенно средние, но в задачах записи и воспроизведения видео данный диск показывает довольно высокие (для своего уровня) результаты. Однако провал на воспроизведении в четыре потока показывает, что высокие нагрузки данный диск не держит и напомнили нам аналогичную ситуацию с красным диском WD.\nПосмотрим на более подробные графики. Воспроизведение в один поток - вопросов нет, диск обеспечивает максимальную производительность на протяжении всего времени. Два потока, на графике появляются провалы, но общая производительность остается вполне приемлемой для комфортной работы с видео. А вот четыре потока полностью повторяет картину, которую мы видели у WD Red. Выводы На первый взгляд Western Digital AV-GP неудачная модель, за теже деньги можно взять гораздо более производительный Seagate SV35 или WD Green, или любой диск массовой серии за меньшую стоимость.\nНо не будем делать скоропалительных выводов. К достоинству данного диска относится его экономичность и очень небольшой уровень нагрева, можно сказать что диск почти не греется. В то время как производительный Seagate SV35 греется на уровне дисков массовых серий.\nА теперь вспомним, что представляют собой системы видеонаблюдения в небольших организациях. Обычно это недорогой видеорегистратор на 4 или 8 каналов без сисемы охлаждения (либо с небольшим \u0026quot;символическим\u0026quot; вентилятором), которые чаще всего закрыты в невентилируемый шкаф, поэтому тепловой режим диска в таких условиях вряд-ли можно назвать легким.\nВ тоже время производительности AV-GP для таких систем хватает с запасом, а небольшое тепловыделение и повышенная надежность делают его неплохим выбором для таких систем. Это как раз тот случай, когда выбирая между производительностью и надежностью следует отдать однозначное предпочтение последней.\n","id":"bd18772ae7b8b8d5b1314cfcb7c7cfb8","link":"https://interface31.ru/post/wd-av-gp---zhestkiy-disk-dlya-videonablyudeniya/","section":"post","tags":["HDD","Western Digital"],"title":"WD AV-GP - жесткий диск для видеонаблюдения"},{"body":"Как известно - ничего вечного нет, все меняется, особенно в такой отрасли как IT. Развернутая один раз инфраструктура постоянно развивается, расширяется, совершенствуется и наступает момент когда в вашу Active Directory требуется ввести контроллер домена под управлением более поздней версии операционной системы.\nКазалось бы - в чем проблема? Но, как показывает практика, проблемы возникают, во многом от того, что системные администраторы слабо владеют теорией и откровенно путаются в данном вопросе. Поэтому самое время разобраться в том, что такое схема AD и какое отношение она имеет к нашему случаю.\nСхемой AD называется описание всех объектов каталога и их атрибутов. По существу схема отражает базовую структуру каталога и имеет первостепенное значение для его правильного функционирования.\nНовые версии ОС и содержат новые объекты и атрибуты, поэтому для их нормального функционирования в качестве контроллеров домена нам потребуется обновить схему.\nВроде бы понятно, но не совсем, поэтому перейдем к распространенным ошибкам и заблуждениям.\nОбновление схемы необходимо для включения в домен ПК под управлением более новых версий ОС Windows. Это не так, даже самые последние версии Windows могут вполне успешно работать в домене уровня Windows 2000 без обновления схемы. Хотя, если вы все-таки обновите схему, то ничего страшного не произойдет.\nДля включения в домен контроллера под управлением более новой ОС требуется повысить уровень работы домена (леса). Это тоже не так, но в отличие от предыдущего случая, данная операция сделает невозможным использование контроллеров домена под управлением ОС ниже, чем режим его работы. Поэтому в случае ошибки вам придется восстанавливать вашу структуру AD из резервной копии.\nТакже заострим ваше внимание на режиме работы леса и домена. Домены входящие в лес могут иметь различные режимы работы, например один из доменов может работать в режиме Windows 2008, а остальные в режиме Windows 2003. Схема работы леса не может быть выше, чем схема работы самого старого домена. В нашем примере режим работы леса не может быть выше, чем Windows 2003.\nПри этом более низкий режим работы леса никак не мешает использовать более высокий режим работы в домене, все что для этого требуется - это обновить схему.\nОзнакомившись с теорией, перейдем к практическому примеру. Допустим у нас есть домен уровня Windows 2000 (смешанный режим) - самый низкий уровень AD - в котором имеется контроллер под управлением Windows 2003, а наша цель - создать новый контроллер взамен вышедшего из строя.\nНовый сервер работает под управлением Windows 2008 R2. Заметьте, у нас не возникло никаких сложностей по включению данного сервера в существующий домен. Однако при попытке добавить новый контроллер домена мы получим ошибку: Для успешного включения контроллера под управлением более новой версии ОС нам потребуется обновить схему леса и схему домена. Исключение составляет Windows Server 2012, который при добавлении нового контроллера домена произведет обновление схемы самостоятельно.\nДля обновления схемы используется утилита Adprep которая находится в папке \\support\\adprep на установочном диске Windows Server. Начиная с Windows Server 2008 R2 эта утилита по умолчанию 64-разрядная, при необходимости использовать 32-разрядную версию следует запускать adprep32.exe.\nДля выполнения обновления схемы данная утилита должна быть запущена на Хозяине схемы. Чтобы узнать какие из контроллеров имеют необходимую нам роль FSMO воспользуемся командой:\n1netdom query FSMO В Windows 2008 и новее данная утилита установлена по умолчанию, а в Windows 2003 ее нужно установить с диска из директории \\support\\tools Результатом вывода данной команды будет перечисление всех ролей FSMO и контроллеров имеющих данные роли: В нашем случае все роли находятся на одном контроллере, поэтому копируем папку \\support\\adprep на жесткий диск (в нашем случае в корень диска C:) и приступаем к обновлению схемы леса. Для успешного выполнения операции ваш аккаунт должен входить в группы:\nАдминистраторы схемы Администраторы предприятия Администраторы домена, в котором находится хозяин схемы Чтобы обновить схему леса выполните команду:\n1C:\\adprep\\adprep /forestprep Ознакомьтесь со стандартным предупреждением и продолжите нажав C, затем Enter. Начнется процесс обновления схемы. Как видим ее версия изменится с 30 (Windows 2003) до 47 (Windows 2008 R2). После обновления схемы леса следует обновить схему домена. Перед этим следует убедиться что домен работает как минимум в режиме Windows 2000 (основной режим). Как помним, у нас домен работает в смешанном режиме, поэтому следует изменить режим работы домена на основной или повысить его до Windows 2003. Так как в данном домене у нас нет контроллеров под управлением Windows 2000, то наиболее разумно будет повысить режим домена.\nДля успешного обновления схемы домена выполняем команду:\n1C:\\adprep\\adprep /domainprep И внимательно читаем выводимую информацию. Обновляя схему домена с уровня Windows 2000 или Windows 2003 необходимо выполнить изменение разрешений файловой системы для групповых политик. Данная операция производится один раз и в дальнейшем, например обновляя схему с уровня 2008 на 2008 R2, выполнять ее нужно. Для обновления разрешений объектов GPO введите команду:\n1С:\\adprep\\adprep /domainprep /gpprep В версиях AD начиная с Windows 2008 появился новый тип контроллеров домена: контроллер домена только для чтения (RODC), если вы планируете развернуть такой контроллер, то вам нужно подготовить схему. Вообще мы рекомендуем выполнить данную операцию вне зависимости от того, собираетесь вы в ближайшее время устанавливать RODC или нет.\nДанную операцию можно выполнить на любом контроллере домена, однако вы должны входить в группу Администраторы предприятия и Хозяин именований должен быть доступен.\n1C:\\adprep\\adprep /rodcprep На этом обновление схемы AD можно считать законченной и приступать к развертыванию нового контроллера домена. После обновления схемы данная операция проходит без каких-либо затруднений. Как видим, обновление схемы домена, будучи правильно спланировано не вызывает каких либо затруднений, однако в любом случае следует помнить, что это необратимая операция и иметь под рукой необходимые резервные копии.\n","id":"b00bca12c7aab42fadf8e949edd0ef43","link":"https://interface31.ru/post/obnovlenie-shemy-active-directory/","section":"post","tags":["Active Directory","Adprep","Windows Server","Службы каталогов"],"title":"Обновление схемы Active Directory"},{"body":"Собственная почтовая система организации редко создается с полного нуля, обычно до этого использовались публичные почтовые службы или почтовый сервер провайдера. Понятно, что большая часть почты еще долгое время будет идти по старым адресам и возникает вопрос сбора этой почты в новую почтовую систему. Процесс должен быть автоматическим и прозрачным для пользователя, поэтому сегодня мы поговорим о том, как лучше это сделать.\nСбор почты с внешних ящиков - первый вопрос который встает после запуска собственной почтовой системы. Старые адреса широко известны большому кругу партнеров и клиентов, использовались в рекламе, проиндексированы поисковиками, содержатся в различных справочных и т.д. и т.п. Поэтому почта на старые адреса будет идти довольно долго.\nМожно, конечно, использовать старую и новую систему параллельно, однако это самый плохой вариант. Так как сотрудник скорее всего будет отвечать с того же адреса, на который пришло письмо и процесс перехода со старой почты на новую затянется надолго.\nОптимальный вариант - пересылка почты со старого адреса на новый, при этом ответы будут писаться с нового адреса и он понемногу начнет заменять старый у ваших контрагентов. Да и сотрудникам удобнее видеть всю почту в одном месте.\nК сожалению в Zimbra 8 нет встроенного инструмента, позволяющего получать почту с внешних аккаунтов, но это не представляет собой проблемы. Пересылку почты можно организовать разными способами. Так многие публичные почтовые службы позволяют настроить пересылку почты на внешние адреса, но, на наш взгляд, лучше если сбором почты будет заниматься сам сервер, таким образом все задачи связанные с электронной почтой будут собраны в одном месте, а не размазаны по различным сторонним сервисам.\nДля сбора почты с внешних аккаунтов мы предлагаем использовать простую в использовании утилиту fetchmail, для ее установки выполним в консоли почтового сервера команду:\n1sudo apt-get install fetchmail Теперь откроем /etc/default/fetchmail и разрешим запуск утилиты в режиме службы:\n1START_DAEMON=yes Затем создадим конфигурационный файл из шаблона\n1sudo cp /usr/share/doc/fetchmail/examples/fetchmailrc.example /etc/fetchmailrc и установим нужные права доступа на него:\n1chown fetchmail:root /etc/fetchmailrc 2chmod 600 /etc/fetchmailrc Чтобы задать периодичность сбора почты раскомментируем и изменим следующую строку:\n1set daemon 300 По умолчанию установлено 5 минут (300 сек), вы можете установить то значение, которое вам необходимо.\nЧтобы fetchmail собирал почту, надо задать параметры подключения к внешним почтовым ящикам. Рассмотрим пару примеров. Допустим нам необходимо собирать почту с ящика zakaz-interface@yandex.ru и перенаправлять ее в ящик zakaz@interface31.ru и почту с ящика interface31@gmail.com в ящик info@interface31.ru.\nПрежде всего обратитесь к справке соответствующей почтовой службы, дабы узнать параметры подключения для сбора почты сторонними клиентами. Если вы до этого пользовались только веб-интерфейсом, получение почты по протоколам POP3 или IMAP надо явно разрешить в настройках внешней почтовой службы. Мы рекомендуем использовать (по возможности) протокол IMAP и защищенное соединение.\nТакже следует обратить внимание на формат указания учетных данных, так для почтовой службы Яндекса это имя аккаунта, т.е. то что расположено до @, в нашем случае zakaz-interface, то Gmail требует указывать почтовый адрес полностью.\nВ самый конец файла /etc/fetchmailrc дописываем секцию для Яндекса:\n1poll imap.yandex.ru with protocol imap 2user zakaz-interface password qwerty is zakaz@interface31.ru here ssl; Синтаксис довольно прост, в первой строке указываем почтовый сервер (imap.yandex.ru) и протокол (imap), во второй пользователя, пароль (qwerty) и адрес назначения, опция ssl указывает на то, что следует использовать защищенное соединение.\nДля Gmail секция будет выглядеть следующим образом:\n1poll imap.gmail.com with protocol imap 2user interface31@gmail.com password qwerty is info@interface31.ru here ssl; Сохраним файл конфигурации и запустим службу:\n1sudo service fetchmail start Если все сделано правильно, то в целевом почтовом ящике начнут появляться письма из внешнего аккаунта, в противном случае смотрите в /var/log/mail.err причину ошибки. В большинстве случаев это неправильно указанные учетные данные или запрет сбора почты внешними клиентами в настройках публичных почтовых служб. Либо настройки требуют обязательного SSL, а вы подключаетесь без него или наоборот.\nВ любом случае fetchmail создает информативные и понятные сообщения об ошибках и разобраться с ними самостоятельно обычно не составляет труда.\n","id":"3f7a43830c883c94d35a6abf8d76559b","link":"https://interface31.ru/post/zimbra-sbor-pochty-s-vneshnih-akkauntov/","section":"post","tags":["E-mail","fetchmail","Ubuntu Server","Zimbra"],"title":"Zimbra. Сбор почты с внешних аккаунтов"},{"body":"Как показывает практика, многие администраторы не знают, как отключить конфигурацию усиленной безопасности Internet Explorer в серверных ОС семейства Windows, предпочитая установку альтернативных браузеров. Однако данное решение нельзя назвать оптимальным, так как, в отличие от IE, сторонние браузеры не позволяют централизованно управлять своими настройками, что представляет потенциальную угрозу безопасности. В тоже время конфигурация усиленной безопасности отключается очень просто.\nКонфигурация усиленной безопасности Internet Explorer - вещь крайне специфичная, настолько специфичная, что пользоваться ею практически невозможно. Нет, идея безусловно хорошая, но вот реализация...\nДанная настройка успешно затрудняет доступ даже к родному сайту компании, из-за чего попытка скачать патч, обновление или какой-либо компонент превращается в нетривиальную задачу с добавлением всего, чего только можно в зону доверенных узлов.\nНеудивительно, что многие предпочитают первым делом поставить сторонний браузер. Но не спешите, данную настройку очень легко отключить.\nWindows Server 2003 Открываем оснастку Установка и удаление программ, переходим в раздел Установка компонентов Windows и снимаем галочку с компоненты Конфигурация усиленной безопасности Internet Explorer. Windows Server 2008 / 2008R2 Открываем Диспетчер сервера, переходим на самый верхний (одноименный) уровень дерева и справа находим ссылку Настроить конфигурацию усиленной безопасности Internet Explorer. Данная ОС предлагает нам выбор: отключить настройку можно для Администраторов и/или Пользователей, что бывает полезно, если последние имеют доступ к серверу, например в терминальной сессии. Также следует помнить, что если вы хотите отключить конфигурацию усиленной безопасности Internet Explorer для пользователей сервера терминалов, то лучше это сделать прежде, чем будет поднята роль терминального сервера.\nДизайн Диспетчера сервера в данной версии Windows Server претерпел значительные изменения. Теперь он называется Диспетчер серверов и позволяет управлять как локальным, так и удаленным сервером. Переходим в раздел Локальный сервер и в правой колонке находим ссылку Конфигурация усиленной безопасности Internet Explorer. Дальше все точно также как и в предыдущей версии ОС, мы можем отдельно задать настройки для Администраторов и Пользователей. Теперь при запуске браузера он будет уведомлять вас, что Конфигурация усиленной безопасности Internet Explorer выключена и снабжать подробными инструкциями по ее включению. При этом не стоит забывать, что сервера гораздо более подвержены атакам из интернета и последствия таких атак могут иметь гораздо более тяжелые последствия, поэтому старайтесь ограничить использование интернета на серверах разумным минимумом и посещением только доверенных ресурсов.\n","id":"e55c932ba651c2105c3135e839516bfe","link":"https://interface31.ru/post/adminu-na-zametku---9-kak-otklyuchit-konfiguraciyu-usilennoy-bezopasnosti-internet-explorer/","section":"post","tags":["IE","Windows Server","Безопасность"],"title":"Админу на заметку - 9. Как отключить конфигурацию усиленной безопасности Internet Explorer"},{"body":"Думаю что ни для кого не представляет секрета, что работа большинства системных администраторов в небольших компаниях практически никак не формализована и не документирована. С одной стороны вроде бы и размах задач не тот и времени в обрез, а с другой все оказывается завязано на одного единственного человека, который \u0026quot;вроде-бы знает, как это все работает\u0026quot;. Особенно ярко данная проблема проявляется при необходимости внести какие либо изменения в инфраструктуру.\nПоводом для написания данной заметки послужил вполне реальный случай. Администратор одного из наших клентов вносил изменения в движок корпоративного сайта, попутно сделал какие-то настройки на сервере и обновил его. После перезагрузки сервер перестал отвечать на сетевые запросы. Кроме сайта на этом сервере работало корпоративное web-приложение и работа фирмы оказалась практически парализована.\nКогда мы приехали, то выяснилось, что администратор не может четко пояснить что-именно он делал, в какой последовательности и зачем. Также не может сказать где лежит последний бекап и можно ли его развернуть немедленно. К счастью ошибку быстро нашли. Администратор забыл (или не знал) что для сетевой карты сервера был отдельно подключен модуль ядра, который слетел при обновлении на новое ядро. Мы просто загрузили старое ядро и восстановили нормальную работу инфраструктуры.\nСитуация, что и говорить, малоприятная, получить серьезный сбой на \u0026quot;ровном месте\u0026quot; - это очень плохой показатель работы админа, который, как правило, сказывается на его зарплате. Можно ли было этого как-либо избежать? Можно. Для управления IT-инфраструктурой давно существует библиотека ITIL, которая содержит набор методик и практических подходов по управлению информационными технологиями. Конечно, внедрение ITIL в работу небольшой фирмы (да и средней тоже) - это что-то из области фантастики, а вот взять на вооружение отдельные моменты можно и нужно.\nОбеспечение изменений - один из базовых процессов ITIL, обеспечивающий стабильность инфраструктуры. На его базе мы сделали небольшую \u0026quot;выжимку\u0026quot;, которую с успехом применяем в повседневной деятельности. Об этом мы и поговорим в данной статье.\nКак показывает статистика, большинство серьезных инцидентов в инфраструктуре происходит именно при внесении изменений. В большинстве случаев это происходит потому, что изменения никак не документируются и производятся без какого-либо планирования. Я думаю, каждый может вспомнить ситуацию, когда по ходу внесения именений \u0026quot;внезапно оказывалось, что ...\u0026quot; и дальнейшие события превращались в аврал, чтобы это все хоть как-то начало работать.\nГораздо хуже, если вы планируете внедрение с привлечением сторонних специалистов, в этом случае выявление таких \u0026quot;неожиданных моментов\u0026quot; способны серьезно увеличить сроки и стоимость проекта, либо вообще поставить под угрозу его реализацию.\nИтак. Любое изменение инфраструктуры должно быть спланировано и задокументировано. Это позволит грамотно оценить риски и провести изменения с минимальным влиянием на работу предприятия, даже если они окажутся неудачными. Мы предлагаем следующий способ документирования изменений:\nОписание изменений В данном пункте постарайтесь коротко и ясно изложить, для чего предназначено данное изменение, какие цели преследует и кто инициатор. Это позволяет впоследствии легко вспомнить, зачем это было сделано, кому это было нужно и сохраняется ли такая необходимость сейчас. Даже если изменение чисто техническое, также укажите это, чтобы потом не вспоминать для чего именно был установлен этот патч или сделана эта настройка.\nОписание зависимостей Следующий пункт описывает службы, от которых зависит наше изменение, а также те службы на которое оно может повлиять. Это поможет правильно оценить риски и оценить время вынужденного простоя инфраструктуры. Также здесь следует указать критичность вносимых изменений для той или иной службы. Иногда уже на этом этапе следует отказ от изменения, либо его более детальная проработка, если оказывается, что потенциальный риск превышает потенциальную выгоду. Согласитесь, это гораздо лучше, чем сначала сделать, а потом в панике пытаться срочно исправить ситуацию.\nВыделение ресурсов Еще один момент, о котором часто забывают. Проанализируйте, какие ресурсы требуются или могут потребоваться вашему изменению. Это могут быть процессорные и дисковые ресурсы, требования к наличию свободной памяти, место в стойке, наличие розеток и запаса по электропитанию и т.д.\nПодготовка Здесь следует указать предварительные действия, которые необходимо провести перед тем, как вносить изменения. Особенно если они связаны с привлечением третьих лиц. Например будет очень неприятно узнать, смонтировав оборудование в новую стойку, что электрик еще не провел сюда электричество или провайдер не выделил необходимый блок адресов и т.д. и т.п. Также укажите необходимое оборудование и материалы, необходимые лицензии на ПО. Здесь ценным подспорьем будет предыдущий пункт, согласно которого вы проверите, что у вас есть, а что нужно докупить или сделать.\nПланирование Самый важный пункт документации. Он должен как можно более подробно и последовательно описывать все действия по внесению изменений. Сначала укажите более общие этапы, затем перейдите к более частным. Обычно на этом этапе всплывает 90% подводных камней, когда выясняется, что еще нужно сделать это и это, а также чуть не забыли это. В итоге из \u0026quot;полчаса делов и одна перезагрузка\u0026quot; изменение превращается во вдумчивую работу на пару часов. Подробно укажите действия на каждом этапе и планируемый результат данных действий.\nВ итоге у вас должен получиться аналог чек-листа в авиации, советуем распечтать один его экземпляр и использовать при внесении изменений. Этим вы сразу убьете двух зайцев: у вас будет перед глазами шпаргалка и вам не придется мучительно вспоминать (или бежать гуглить) забытые ключи команды и вы будете контролировать исполнение всех необходимых этапов. Если вдруг что-то пойдет не так, вы будете четко знать что вы сделали последним и круг поисков проблемы значительно сузится.\nДалее отмечаем критичность тех или иных этапов плана, некритичные шаги можно пропустить, проблемы средней важности допустимо решать непосредственно при изменениях, а при возникновении критических ошибок следует сразу переходить к восстановлению.\nЗдесь вы можете ознакомиться с примером реального плана, который в общих чертах описывает все основные этапы будущего изменения. Многие из этапов данного плана также нуждаются в отдельном планировании. Таким образом двигаясь от общего к частному вы разобьете работу на логически завершенные этапы, каждый из которых будет отдельно документирован. Еще один плюс такого подхода в том, что вы всегда можете показать руководству что именно уже сделано и что еще предстоит сделать.\nПлан восстановления Еще один важный раздел, который должен содержать последовательность действий по приведению системы в первоначальное состояние на случай если что-то пойдет не так. Возможно что при составлении данного раздела вам придется значительно скорректировать основной план и дополнить этап подготовки. Приступая к изменениям очень важно убедиться в наличии резервных копий и возможности восстановления из них. Не будет лишним создать резервные копии непосредственно перед изменениями.\nНаличие плана восстановления хорошо тем, что в аварийная ситуация не перерастет в авральную, а будет находиться под контролем. Не забудьте четко ограничить временные рамки, по истечению которых вам нужно переходить к восстановлению. Например у вас есть 2 часа, планируемое время изменений - 20 минут, планируемое время восстановления - 40 минут. Следовательно на решение возможных проблем у вас есть час. Т.е. при наступлении времени Ч + 1 ч 20 мин вам следует прекратить все попытки и приступить к восстановлению.\nВ ряде случаев, если решение возникшей проблемы не очевидно, лучше сразу приступить к восстановлению, уменьшая возможное время простоя. Помните, что вам платят не за то, что вы успешно решили сложную техническую проблему, а за то, что все работает.\nЗаключение Приведенная выше схема позволяет с небольшими затратами эффективно планировать и документировать изменения инфраструктуры. Понятно, что не обязательно выполнять все пункты для небольших изменений, но план внедрения и план восстановления должны быть всегда. Если бы администратор из примера в начале статьи начал составлять план, то выяснил бы, что восстановить систему в разумное время ему не удастся, что заставило бы его или провести соответсвующую подготовку, либо отказаться от обновления до лучших времен, в любом случае простоя фирмы удалось бы избежать.\nВ тоже время внося изменения в политики безопасности и правила доступа мы настоятельно советуем заполнять описание, чтобы было понятно, для чего и зачем применяется данная политика. Не так давно мы проводили аудит IT-инфраструктуры на одном предприятии. В его ходе выяснилось, что около половины политик неактуальны и не применяются, причем часть из них просто перекрыта нижестоящими политиками, потому как админ не знал для чего и кем введена основная политика, руководство также не могло пояснить ничего внятного, в итоге он просто перекрыл данные политики своими, в последствии инициировав проведение аудита.\nВ заключение хотелось бы сказать о еще одной полезной функции документирования изменений. Составления плана позволяет грамотно распределить работу между сотрудниками с различной квалификацией, так как сразу становится видно, что можно поручить младшему персоналу, что сделать самому, а что лучше поручить специалистам со стороны. Планирование также позволяет называть реальные сроки, позволяя избегать ситуаций \u0026quot;ты же еще на прошлой неделе говорил, что работы на полчаса\u0026quot;.\nТакже наличие детально проработанных планов, с отметками о выполнении, позволяет избежать конфликтных ситуаций с руководством, которое, не видя немедленного результата от проводимых администратором действий, может считать, что вы ничего не делаете или уделяете вопросу недостаточно времени.\nВ любом случае приняв правило докуменировать и планировать, даже сугубо для себя, все изменения, включая незначительные на первый взгляд, вы очень скоро заметите, что нештатных ситуаций в вашей работе стало значительно меньше, а следовательно выросла оценка вашей работы как специалиста со стороны руководства, что самым благоприятным образом должно отразится как на материальных результатах работы, так и на перспективах карьерного роста.\n","id":"ca62494a9ba7ef476067566f36a1f4c5","link":"https://interface31.ru/post/kak-pravil-no-vnosit-izmeneniya-v-it-infrastruktru/","section":"post","tags":["ITIL","Внедрение","Планирование"],"title":"Как правильно вносить изменения в IT-инфраструктуру"},{"body":"Установка самоподписанных сертификатов весьма частая задача для системного администратора. Обычно это делается вручную, но если машин не один десяток? И как быть при переустановке системы или покупке нового ПК, ведь сертификат может быть и не один. Писать шпаргалки-напоминалки? Зачем, когда есть гораздо более простой и удобный способ - групповые политики ActiveDirectory. Один раз настроив политику можно больше не беспокоится о наличии у пользователей необходимых сертификатов.\nСегодня мы рассмотрим распространение сертификатов на примере корневого сертификата Zimbra, который мы экспортировали в прошлой статье. Наша задача будет стоять следующим образом - автоматически распространять сертификат на все компьютеры входящие в подразделение (OU) - Office. Это позволит не устанавливать сертификат туда, где он не нужен: на севера, складские и кассовые рабочие станции и т.д.\nОткроем оснастку Управление групповой политикой и создадим новую политику в контейнере Объекты групповой политики, для этого щелкните на контейнере правой кнопкой и выберите Создать. Политика позволяет устанавливать как один, так и несколько сертификатов одновременно, как поступить - решать вам, мы же предпочитаем создавать для каждого сертификата свою политику, это позволяет более гибко менять правила их применения. Также следует задать политике понятное имя, чтобы открыв консоль через полгода вам не пришлось мучительно вспоминать для чего она нужна. После чего перетащите политику на контейнер Office, что позволит применить ее к данному подразделению. Теперь щелкнем на политику правой кнопкой мыши и выберем Изменить. В открывшемся редакторе групповых политик последовательно разворачиваем Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Политики открытого ключа - Доверенные корневые центры сертификации. В правой части окна в меню правой кнопкой мыши выбираемИмпорт и импортируем сертификат. Политика создана, теперь самое время проверить правильность ее применения. В оснастке Управление групповой политикой выберем Моделирование групповой политики и запустим по правому щелчку Мастер моделирования. Большинство параметров можно оставить по умолчанию, единственное что следует задать - это пользователя и компьютер для которых вы хотите проверить политику. Выполнив моделирование можем убедиться, что политика успешно применяется к указанному компьютеру, в противном случае раскрываем пункт Отклоненные объекты и смотрим причину по которой политика оказалась неприменима к данному пользователю или компьютеру. После чего проверим работу политики на клиентском ПК, для этого обновим политики вручную командой:\n1gpupdate Теперь откроем хранилище сертификатов. Проще всего это сделать через Internet Explorer: Свойства обозревателя -Содержание -Сертификаты. Наш сертификат должен присутствовать в контейнере Доверенные корневые центры сертификации. Как видим - все работает и одной головной болью у администратора стало меньше, сертификат будет автоматически распространяться на все компьютеры помещенные в подразделение Office. При необходимости можно задать более сложные условия применения политики, но это уже выходит за рамки данной статьи.\n","id":"277fb9b4f8f60fa0ef160e30011ce545","link":"https://interface31.ru/post/ustanovka-sertifikata-pri-pomoshhi-gruppovyh-politik/","section":"post","tags":["Active Directory","GPO","PKI","SSL","Windows Server","Службы каталогов"],"title":"Установка сертификата при помощи групповых политик"},{"body":"При работе с сервером корпоративных коммуникаций Zimbra часто возникает проблема с самоподписанным сертификатом, почтовые клиенты и браузеры каждый раз выдают сообщение об ошибке проверки сертификата и угрозе безопасности. Как минимум это неудобно, да и не стоит приучать пользователей игнорировать непроверенные сертификаты. К счастью, данная проблема решается очень просто, о чем мы расскажем в этой статье.\nЕсли мы попробуем подключиться к почтовому серверу с самоподписанным сертификатом, то получим следующее сообщение об ошибке сертификата безопасности. Можно, конечно, данное предупреждение игнорировать, но, кроме неудобства, это приучает пользователей легкомысленно относится к подобным предупреждениям, что таит потенциальную угрозу безопасности.\nПопробуем разобраться, что именно не нравится браузеру. Прочитав подробности ошибки становится понятно, что система не может доверять этому сертификату, так как нет доверия к выпустившему его центру сертификации. Но мы, в отличие от системы, знаем, кто выпустил данный сертификат и доверяем этому центру. Чтобы система также начала доверять сертификатам данного центра сертификации нам нужно экспортировать корневой сертификат Zimbra и установить его в систему.\nПерейдем на почтовый сервер и повысим права до суперпользователя:\n1sudo -s Затем перейдем в папку центра сертификации и экспортируем корневой сертификат:\n1cd /opt/zimbra/ssl/zimbra/ca 2openssl x509 -in ca.pem -outform DER -out ~/zimbra.cer После чего корневой сертификат Zimbra будет находиться в домашней папке вашего пользователя. Чтобы скачать его можно воспользоваться любым клиентом, позволяющим передавать файлы через ssh. Например популярным FTP-клиентом Filezilla. В параметрах подключения укажите адрес сервера, учетные данные вашего пользователя и порт подключения 22. После подключения вы сразу окажетесь в своей домашней папке и сможете без проблем скачать сертификат. Теперь установим его на целевой системе, для этого нужно открыть сертификат двойным щелчком и выбрать Установить сертификат. Откроется мастер импорта сертификатов, работа с которым не представляет сложности. На этапе выбора хранилища ставим переключатель в положение Поместить все сертификаты в выбранное хранилище, где выбираем Доверенные коренные центры сертификации. Соглашаемся с предупреждением и завершаем установку сертификата. Теперь при подключении к почтовому серверу ошибка сертификата появляться не будет и пользователи будут видеть, что работают по защищенному соединению с доверенным ресурсом. Аналогичным образом сертификат следует установить на все работающие с почтовым сервером клиентские ПК. Если в вашей сети развернута ActiveDirectory то вы можете автоматически распространять сертификат с помощью групповых политик.\n","id":"e44718495beb25c2426560bfc987a811","link":"https://interface31.ru/post/eksport-i-ustanovka-sertifikata-zimbra/","section":"post","tags":["E-mail","SSL","Ubuntu Server","Zimbra"],"title":"Экспорт и установка сертификата Zimbra"},{"body":"В прошлой статье мы начали рассматривать настройку домашнего медиасервера на базе Ubuntu Server 12.04 и рассказали как настроить общий доступ к сети Интернет и сетевое хранилище. Сегодня мы разберем настройку торрент-клиента и DNLA-медиасервера, что позволит получать доступ к мультимедийному контенту с самого широкого спектра бытовых и мобильных устройств.\nТоррент-клиент Можно без преувеличения сказать, что сегодня торренты стали одним из основных способов получения контента. Вопрос лицензионной чистоты мы оставим за кадром, пусть каждый сам принимает для себя решение, хотя в порядке личного мнения могу сказать, что качество многих выходящих в прокат \u0026quot;фильмов\u0026quot; настолько низко, что их авторам впору приплачивать зрителям за бесполезно потраченное время.\nМы же поставим себе иную цель: настроить простой и удобный торрент-клиент, который будет автоматически закачивать торренты на нашем сервере. В качестве клиента мы будем использовать transmission, который может работать в качестве службы и лучше всего подходит для работы на сервере.\nДля установки серверной версии transmission выполните команду:\n1sudo apt-get install transmission-daemon Перейдем к настройкам, которые хранятся в файле /etc/transmission-daemon/settings.json.\nВнимание! Внимание! transmission-daemon имеет одну неприятную особенность, если в момент изменения конфигурационного файла служба была запущена, то при повторном запуске она откатит все внесенные изменения. Поэтому все настройки следует производить только при остановленной службе!\nОстановим службу:\n1sudo service transmission-daemon stop Теперь можно переходить к настройке, при правке конфигурационного файла не забываем про синтаксис: каждая строка, кроме последней, должна заканчиваться запятой.\nПрежде всего определимся с рабочими директориями. Загруженные торренты будем помещать в уже существующую папку Downloads (/data/Downloads). Для самих торрент-файлов создадим специальную папку Torrents, содержимое которой будет отслеживаться нашим клиентом и при появлении в ней нового торрент-файла загрузка будет начинаться автоматически. В этой же папке создадим скрытую директорию для недокачаных торрентов .incomplete, чтобы они не смущали ваших домашних и были бы им недоступны до момента полной закачки.\nСоздадим директории и установим нужные права:\n1sudo mkdir /data/Torrents 2sudo mkdir /data/Torrents/.incomplete 3sudo chmod 777 -R /data/Torrents Обращаем внимание, что точка в начале имени файла или папки делает его скрытым. Теперь откроем /etc/samba/smb.confи добавим еще один общий ресурс:\n1[Torrents] 2 path = /data/Torrents 3 guest ok = yes 4 writeable = yes Перезапустим Samba:\n1sudo service smbd restart Включив отображение скрытых файлов и папок в Проводнике можем убедиться, что папки созданы правильно. Создав необходимую структуру директорий перейдем к настройке торрент-клиента, откроем /etc/transmission-daemon/settings.json и начнем его редактирование. Первым делом включим веб интерфейс и зададим параметры доступа к нему:\n1\u0026#34;rpc-authentication-required\u0026#34;: true, 2\u0026#34;rpc-bind-address\u0026#34;: \u0026#34;192.168.30.100\u0026#34;, 3\u0026#34;rpc-enabled\u0026#34;: true, 4\u0026#34;rpc-password\u0026#34;: \u0026#34;password\u0026#34;, 5\u0026#34;rpc-port\u0026#34;: 9091, 6\u0026#34;rpc-url\u0026#34;: \u0026#34;/transmission/\u0026#34;, 7\u0026#34;rpc-username\u0026#34;: \u0026#34;transmission\u0026#34;, 8\u0026#34;rpc-whitelist\u0026#34;: \u0026#34;127.0.0.1,192.168.30.*\u0026#34;, 9\u0026#34;rpc-whitelist-enabled\u0026#34;: true, Последовательно пробежимся по настройкам. Первая строка требует аутентификации при доступе, вторая задает ip-адрес на котором будет работать веб-интерфейс, третья его включает. В следующей строке задается пароль, при сохранении файла он будет автоматически заменен на хэш. Затем указывается порт, url-адрес и имя пользователя. Две последние строки включают \u0026quot;белый список\u0026quot;, т.е. откуда можно заходить в веб-интерфейс.\nНастроим директории:\n1\u0026#34;download-dir\u0026#34;: \u0026#34;/data/Downloads\u0026#34;, 2\u0026#34;incomplete-dir\u0026#34;: \u0026#34;/data/Torrents/.incomplete\u0026#34;, 3\u0026#34;incomplete-dir-enabled\u0026#34;: true, Здесь все должно быть понятно без комментариев: задаем папки для закачек, неполных закачек и разрешаем помещать неполные закачки в отдельную папку.\nРазрешим отслеживать папку на предмет появления новых торрент-файлов, для этого в конец файла добавим следующие строки (не забываем про синтаксис):\n1\u0026#34;watch-dir\u0026#34;: \u0026#34;/data/Torrents\u0026#34;, 2\u0026#34;watch-dir-enabled\u0026#34;: true После чего настроим торрент-опции:\n1\u0026#34;dht-enabled\u0026#34;: true, 2\u0026#34;peer-port\u0026#34;: 51413, 3\u0026#34;port-forwarding-enabled\u0026#34;: true, 4\u0026#34;utp-enabled\u0026#34;: true, Данные настройки включают DHT, указывают порт, на котором следует принимать входящие соединения, включает автоматический форвардинг портов с использованием UPnP или NAT-PMP, что позволяет принимать входящие соединения даже находясь за NAT и, последняя опция, включает протокол µTP.\nСохраняем файл и, на всякий случай, делаем его резервную копию:\n1sudo cp -f /etc/transmission-daemon/settings.json /etc/transmission-daemon/settings.bak Теперь можно запустить службу:\n1sudo service transmission-daemon start и зайти в веб-интерфейс, набрав в браузере адрес http://ubuntu-home.local:9091. Для проверки поместим в общую папку Torrents торрент-файл, если все сделано правильно то к его имени добавится расширение added и начнется закачка, а в папке .incompleted появится закачиваемый торрент. Также можно добавлять торренты через веб-интерфейс, выбирая файл на компьютере или указывая URL-адрес. Для того, чтобы наш торрент-клиент мог принимать внешние подключения разрешим входящие соединения на порт 51413, для этого добавим в /etc/nat строки:\n1#Разрешаем входящие torrent 2iptables -A INPUT -i eth0 -p tcp --dport 51413 -j ACCEPT 3iptables -A INPUT -i eth0 -p udp --dport 51413 -j ACCEPT Обратите внимание, что добавить их нужно перед правилом**#Запрещаем входящие извне**.\nПерезагрузим сервер. В нашем случае (тестовая лаборатория) данный сервер расположен за NAT, войдя в веб-интерфейс роутера можем убедиться, что NAT не помеха, UPnP работает и позволяет принимать внешние подключения. На этом настройку торрент-клиента можно считать законченной и переходить к следующему этапу.\nDLNA-сервер Что такое DLNA? Это сокращение от Digital Living Network Alliance, под которым скрывается набор стандартов для обмена медиаконтентом для совместимых устройств. DLNA позволяет пользователям легко и прозрачно получать доступ к мультимедийному содержимому сети с любого устройства (телевизор, планшет. ноутбук и т.п.) не задумываясь о технической стороне вопроса, работа сводится к оперированию привычными понятиями: музыка, видео, изображения и выборе необходимого контента из структурированного каталога.\nВ качестве DLNA-сервера мы будем использовать MediaTomb. Установим пакет:\n1sudo apt-get install mediatomb Если вы хотите отображать фильмы в виде превью, то установите еще два пакета:\n1sudo apt-get install ffmpeg ffmpegthumbnailer Сразу укажем сетевые интерфейсы на которых будет работать сервис, для этого в файле /etc/default/mediatomb найдем и зададим опцию:\n1INTERFACE=\u0026#34;eth1\u0026#34; Основные настройки медиасервера хранятся в /etc/mediatomb/config.xml. Настроек немного, сначала включим веб-интерфейс и зададим параметры доступа к нему:\n1\u0026lt;ui enabled=\u0026#34;yes\u0026#34; show-tooltips=\u0026#34;yes\u0026#34;\u0026gt; 2 \u0026lt;accounts enabled=\u0026#34;yes\u0026#34; session-timeout=\u0026#34;30\u0026#34;\u0026gt; 3 \u0026lt;account user=\u0026#34;mediatomb\u0026#34; password=\u0026#34;mediatomb\u0026#34;/\u0026gt; Укажем имя сервера и корневой каталог для медиаконтента:\n1\u0026lt;name\u0026gt;Ubuntu Home\u0026lt;/name\u0026gt; 2\u0026lt;home\u0026gt;/data\u0026lt;/home\u0026gt; Включим превью при отображении фильмов:\n1\u0026lt;ffmpegthumbnailer enabled=\u0026#34;yes\u0026#34;\u0026gt; Ниже идут опции отвечающие за размер и место фильма, откуда будет взята картинка, при желании можете поэкспериментировать с ними. Остальные настройки оставляем по умолчанию. Перезапускаем сервис:\n1sudo service mediatomb restart Теперь в сетевом окружении мы можем увидеть значок медиасервера. Но подключаться к нему еще рано, необходимо создать библиотеки мультимедиа. Для этого зайдем в веб-интерфейс http://ubuntu-home.local:49152 и перейдем к дереву файловой системы. Выбрав папку с мультимедийным контентом можем добавить ее в библиотеку нажав на кнопку \u0026quot;плюс\u0026quot; справа или задать режим регулярного сканирования папки нажав на соседнюю кнопку где плюс изображен в окружении стрелочек. Для работы с медиасервером можно использовать любой поддерживающий DNLA клиент. Например Windows Media Center, работа с ним очень проста и не вызовет затруднений даже у неподготовленного пользователя. Добавляем библиотеку: Просматриваем содержимое: Однако посмотреть фильм или послушать музыку у нас не получится, Media Center не знаком с flac и не умеет показывать mkv, с аналогичными ограничениями вы можете сталкиваться и в других клиентах. Вариантов решения проблемы может быть несколько: выбор поддерживаемых форматов для медиафайлов, перекодировка мультимедийного содержимого сервером или использование клиентов поддерживающих более широкий спектр форматов.\nПонятно, что перекодирование файлов сервером наилучшим образом может решить все проблемы, но это потребует более дорогого и мощного железа, что повлечет за собой более высокий уровень шума и энергопотребления, а также довольно сложной настройки, для описания которой потребуется отдельная статья.\nИз \u0026quot;всеядных\u0026quot; клиентов мы можем порекомендовать XMBC, который существует практически под все платформы, включая мобильные. Работа с ним тоже крайне проста, добавляем библиотеки с нашего сервера: Затем смотрим кино: или слушаем музыку: Как видим, в течении всего одного вечера можно создать на базе Ubuntu Server простой и удобный медиасервер, который станет центром вашей домашней сети.\n","id":"4644b8c88ae7c6c2a5f3009f3d020b95","link":"https://interface31.ru/post/domashniy-media-server-nat-samba-torrent-dlna-na-platforme-ubuntu-server-chast-2/","section":"post","tags":["DHCP","DLNA","DNS","Dnsmasq","iptables","Samba","torrent","Ubuntu Server","Сетевые технологии"],"title":"Домашний медиа-сервер (NAT + Samba + Torrent + DLNA) на платформе Ubuntu Server. Часть 2"},{"body":"Специализированные серии жестких дисков всегда вызывают интерес и большое количество вопросов: какие именно параметры диска производитель оптимизировал, не в ущерб ли другим и т.д. и т.п. Ответить на эти вопросы могут только живые тесты, поэтому мы с большим интересом протестировали жесткие диски Seagate SV35 как только они попали в нашу лабораторию.\nВ наших руках оказались жесткие диски 2 Tb 6Gb/s Seagate SV35 (ST2000VX000) 64Mb, которые производитель позиционирует как устройства для хранения данных в современных системах видеонаблюдения. Действительно, системы видеонаблюдения характеризуются высокой и постоянной нагрузкой на дисковую подсистему - запись нескольких потоков видео в режиме реального времени, кроме того они должны обеспечивать возможность одновременного просмотра архива с приемлемой скоростью и не в ущерб записываемым данным. Самое время посмотреть насколько реальные параметры соответствуют маркетинговым заявлениям производителя. Начнем, как всегда с CrystalDiskMark. Как можно сразу заметить, диск показывает очень высокую скорость последовательного доступа, здесь с ним может сравниться только WD VelociRaptor, а вот остальные характеристики самые средние, на уровне массовых моделей. Отдельное внимание следует обратить на две последних строки, одинаковые значения в которых показывают, что диск не умеет работать с NCQ, во всяком случае никакого видимого эффекта от работы с очередью команд нет, в то время как у других дисков данная технология позволяет повысить скорость случайного доступа на чтение в 2-2,5 раза.\nГрафик в HD Tune Pro 5.0 очень сильно нам напомнил Seagate Barracuda ST2000DM001, действительно, если убрать колебания скорости доступа и провести линию по максимальным значениям получим график Seagate SV35. Остальные параметры у двух дисков практически совпадают. А вот файловый тест показывает гораздо более высокий результат, начиная с блоков размером в 32 КБ получаем стабильную скорость доступа около 175 МБ/с, конкуренцию этой модели здесь может составить только VelociRaptor. Тест случайного доступа показал вполне обычный для массовых дисков результат, хотя на работу с потоковым видео этот параметр не оказывает заметного влияния. Радует, что Seagate не пошла по пути улучшения одних характеристик за счет ухудшения других. Общий результат опять очень похож на результаты массового диска, что наводит на мысли о том, что SV35 хорошо оптимизированная под видеонаблюдение настольная модель. Гораздо интереснее взглянуть на результаты Intel NASPT. В тестах на работу с видео и крупными файлами диск показывает блестящие результаты, сравнивать их можно только с VelociRaptor. В остальном результаты на уровне настольного диска, как видим специализация проявляется очень четко. Порадовали графики воспроизведения в 1, 2 и 4 потока, диск уверенно держит нагрузку. Если сравнивать результат, то опять таки только с VelociRaptor, других конкурентов у данной модели в этой области нет.\nВыводы Без всякого преувеличения можно сказать - перед нами отличный специализированный диск. В задачах последовательного доступа к данным он показывает результаты на уровне WD VelociRaptor. Но это диск уже совсем иного класса и с иным ценником, да и в видеорегистратор его не поставить. Со стоимостью хранения у Seagate SV35 тоже все в порядке: 1,65 руб/ГБ, что лишь немного выше чем у массовой модели и очень привлекательно на фоне конкурентов.\nРадует и то, что остальные характеристики этой модели остаются на уровне массовых серий, что позволяет использовать его не только по прямому назначению, но и везде, где может понадобиться высокая скорость при обработке больших массивов данных. Да и цена к этому располагает. Поэтому мы не видим противопоказаний для приобретения данного диска для домашнего ПК или рабочей станции.\n","id":"e843ef530edc6ebc48ad2db3624cb5d9","link":"https://interface31.ru/post/seagate-sv35---proizvoditel-nyy-zhestkiy-disk-dlya-video-i-ne-tol-ko/","section":"post","tags":["HDD","Seagate"],"title":"Seagate SV35 - производительный жесткий диск для видео и не только..."},{"body":"Смартфоны, планшеты, телевизоры - сегодня все они являются сетевыми устройствами и активными потребителями сетевого контента, что вызывает необходимость в упорядочивании домашних сетей и созданию в них специальных сервисов для обслуживания подобных устройств, поэтому все чаще возникает необходимость в домашнем сервере, который станет центром домашней сети и единой точкой доступа к медиаконтенту.\nКакие функции должен выполнять домашний медиа-сервер? Прежде всего хранение и доступ к разнообразному медиаконтенту: видео, музыка, фотографии. Вторая важная функция - организация общего доступа в интернет и связанные с ними сетевые службы. Ну и куда же без торрентов, если на сервере есть интернет и он является местом хранения медиаконтента, то вполне разумно будет заставить его качать этот самый контент.\nНесколько слов об аппаратной части. Если не планируется перекодировка медиаконтента силами сервера, то для обслуживания домашней сети вполне можно выбрать компактные mini-ITX решения на базе новых процессоров Intel Atom D2700/2500 или аналогичных решений от AMD. Это позволяет собрать компактную и практически бесшумную систему которую можно без труда разместить в любом удобном месте. Единственная сложность в этом случае - поиск дополнительной низкопрофильной сетевой карты.\nТак как основная работа нашего сервера заключается в предоставлении медиаконтента, то дисковая подсистема должна обеспечивать высокую скорость последовательного доступа и быть способной обслуживать нескольких клиентов одновременно. Поэтому не стоит выбирать экономичные диски и диски со скоростью вращения 5400 об/мин, в тоже время нет особой необходимости в приобретении производительных жестких дисков, с задачей одновременного доступа к медиаконтенту трех-пяти клиентов отлично справятся диски массовых серий.\nЕсли же вы планируете работу с тяжелым FullHD материалом и не хотите идти на компромиссы, то отличным решением будут жесткие диски Seagate серии SV35, на сегодняшний день это лучшие для подобных задач из протестированных нами дисков. Необходимость в RAID массиве представляется нам сомнительной, если только вы не собираетесь хранить на сервере в единственном экземпляре домашний фото и видеоархив.\nЧто касается совмещения функции медиасервера и беспроводной точки доступа в одном устройстве, то мы не видим в этом смысла. При организации домашней Wi-Fi сети основной задачей является максимально возможная зона покрытия без увеличения мощности сигнала, поэтому точку доступа следует располагать где-то в середине квартиры или дома, в то время как медиасервер и сетевое оборудование лучше расположить там, где они никому не будут мешать и к ним будет затруднен несанкционированный доступ.\nПримерная схема домашней сети будет иметь вид: В специально отведенном месте находятся медиасервер и сетевое оборудование, туда же сведена сетевая разводка для стационарных клиентов, точка доступа Wi-Fi расположена с учетом получения наилучшей зоны покрытия и может быть подключена с использованием PoE, что избавит вас от необходимости отдельно подводить питание. С ней работают все мобильные устройства домашней сети и те из стационарных, подключение которых посредством кабеля затруднено. При этом необходимо помнить, что Wi-Fi канал делится между всеми клиентами и для стационарных устройств по возможности следует использовать проводную сеть.\nРазобравшись с общими вопросами, перейдем к практической части. Наша задача: создать на базе Ubuntu Server 12.04 домашний медиасервер, который будет обеспечивать общий доступ в интернет, сетевое хранилище для медиаконтента и иных документов, торрент-клиент и DLNA-сервер для простого и удобного доступа к мультимедийному содержимому мобильных и бытовых устройств. Процесс настройки мы разделим на этапы, каждый из которых будет создавать отдельный сервис и если вам не требуется та и или иная функциональность, то вы можете их пропустить.\nОбщий доступ в интернет и сетевые службы (NAT + DHCP) Первым делом необходимо выполнить настройку сети. Будем считать что интерфейс eth0 у нас смотрит в сеть провайдера, а eth1 во внутреннюю сеть. Если провайдер предоставляет доступ в интернет посредством коммутируемого соединения, то вам потребуется настроить его дополнительно, например воспользовавшись нашей статьей.\nСетевые настройки хранятся в /etc/network/interfaces, откроем его\n1sudo nano /etc/network/interfaces и приведем к следующему виду:\n1auto eth0 2 iface eth0 inet static 3 address 192.168.3.106 4 netmask 255.255.255.0 5 gateway 192.168.3.1 6 dns-nameservers 192.168.3.1 7 8auto eth1 9 iface eth1 inet static 10 address 192.168.30.100 11 netmask 255.255.255.0 12 13post-up /etc/nat Внимание! Внимание! Настройки eth0 в нашем случае приведены исключительно в качестве примера, вам необходимо настроить данный интерфейс в соответствии с настройками вашего провайдера.\nПоследняя строка предназначена для автоматической загрузки правил iptables, которые будут располагаться в файле /etc/nat. Перезапустим сеть:\n1sudo /etc/init.d/networking restart В процессе перезапуска мы получим сообщение об ошибке, что /etc/nat не найден, которое можем смело проигнорировать. Если все было сделано правильно, то на сервере появится интернет.\nУстановим последние обновления:\n1sudo apt-get update 2sudo apt-get upgrade и для удобства администрирования установим ssh и mc:\n1sudo apt-get install mc ssh Теперь создадим /etc/nat\n1sudo touch /etc/nat и приступим к его редактированию:\n1#!/bin/sh 2 3# Включаем форвардинг пакетов 4echo 1 \u0026gt; /proc/sys/net/ipv4/ip_forward 5 6# Сбрасываем настройки брандмауэра 7iptables -F 8iptables -X 9iptables -t nat -F 10iptables -t nat -X 11 12# Разрешаем доступ из локальной сети 13iptables -A INPUT -i eth1 -j ACCEPT 14 15# Разрешаем инициированные нами подключения извне 16iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT 17 18# Разрешаем подключения по SSH 19iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT 20 21#Запрещаем входящие извне 22iptables -A INPUT -i eth0 -j DROP 23 24# Разрешаем инициированные нами транзитные подключения извне 25iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT 26 27# Запрещаем транзитный трафик извне 28iptables -A FORWARD -i eth0 -o eth1 -j DROP 29 30# Включаем NAT 31iptables -t nat -A POSTROUTING -o eth0 -s 192.168.30.0/24 -j MASQUERADE Сохраняем файл и делаем его исполняемым:\n1sudo chmod +x /etc/nat Перезагружаем сервер:\n1sudo reboot После выполнения вышеуказанных действий наш имеет доступ в интернет и может раздавать его во внутреннюю сеть. Однако клиенты все еще не могут автоматически получать сетевые настройки, для этого нам необходим DHCP-сервер. Мы рекомендуем пакет dnsmasq, который кроме DHCP-сервера содержит кеширующий DNS-прокси:\n1sudo apt-get install dnsmasq Перейдем к настройке, для этого откроем файл /etc/dnsmasq.conf, найдем и зададим следующие опции:\n1address=/ubuntu-home.local/192.168.30.100 данная опция позволит обращаться к нашему серверу не по ip-адресу, а по понятному простым пользователям имени, в нашем случае ubuntu-home.local.\n1listen-address=127.0.0.1, 192.168.30.100 Задает адреса сетевых интерфейсов, на которых будет доступен DHCP и DNS сервер.\n1dhcp-range=192.168.30.150,192.168.30.250,255.255.255.0,12h Указывает диапазон адресов выдаваемый DHCP сервером 192.168.30.150-250 и срок аренды - 12 часов.\nЭто необходимый минимум настроек, перезапускаем службу:\n1sudo service dnsmasq restart после чего пробуем получить сетевые настройки на клиентском устройстве и выйти с него в интернет. На этом первый этап можно считать завершенным. Устанавливать для домашней сети прокси-сервер (squid и т.п.) мы не видим смысла, так как никаких значительных преимуществ вы не получите.\nСетевое хранилище (Samba) Одна из основных функций домашнего сервера, который должен обеспечивать хранение и легкий доступ к данным посредством протокола SMB, т.е. через привычные общие файлы и папки Windows.\nУстановим сервер samba:\n1sudo apt-get install samba затем откроем конфигурационный файл /etc/samba/smb.conf и приступим к настройкам.\nВ секции Global Settings укажем сетевое имя и рабочую группу в которую входят устройства вашей домашней сети:\n1workgroup = HOME 2server string = %h server (Samba, Ubuntu) Вторая строка обозначает, что будет использоваться имя сервера которое вы указали при установке, можете указать там свое желаемое имя.\nВ секции Networking укажем сетевые интерфейсы, на которых будет доступно сетевое хранилище:\n1interfaces = 127.0.0.0/8 eth1 В секцииAuthentication устанавливаем:\n1security = share В конец секции Misc добавим строку включающую поддержку протокола SMB2:\n1max protocol = SMB2 Сохраним файл и закроем его. Теперь самое время создать папки для наших общих ресурсов. Мы будем хранить пользовательские данные в /data, где создадим для разного типа контента папки Backups, Documents, Downloads, Movies, Music и Pictures. Однако вам никто не мешает создать свои собственные папки. Для создания структуры каталогов выполним следующие команды:\n1sudo mkdir /data 2sudo mkdir /data/Backups 3sudo mkdir /data/Documents 4... 5sudo mkdir /data/Pictures Затем установим на созданные папки полные права для всех, чтобы любой пользователь с любого устройства мог читать и записывать файлы в сетевое хранилище:\n1sudo chmod 777 -R /data Теперь снова откроем /etc/samba/smb.conf и создадим общие ресурсы. В самый конец конфигурационного файла добавим:\n1[Backups] 2 path = /data/Backups 3 guest ok = yes 4 writeable = yes 5 6[Documents] 7 path = /data/Documents 8 guest ok = yes 9 writeable = yes 10 ... Мы не стали приводить все секции, так как все общие ресурсы описываются одинаково и вы без труда сможете создать необходимое их количество по аналогии с приведенным выше примером. В квадратных скобках задаем имя сетевого ресурса, затем указываем путь к нему, разрешаем гостевой доступ и запись.\nСоздав все необходимые общие ресурсы перезапустим сервис:\n1sudo service smbd restart Наш сервер должен появиться в сетевом окружении и зайдя на него мы должны увидеть созданные нами общие папки. На этом настройку сетевого хранилища можно считать законченной, как и первую часть нашего материала. В следующей части мы рассмотрим настройку торрент-клиента и DLNA медиа-сервера.\n","id":"6dd4ae0dfcb75a4906973941e2b90a7e","link":"https://interface31.ru/post/domashniy-media-server-nat-samba-torrent-dlna-na-platforme-ubuntu-server-part1/","section":"post","tags":["DHCP","DLNA","DNS","Dnsmasq","iptables","Samba","torrent","Ubuntu Server","Сетевые технологии"],"title":"Домашний медиа-сервер (NAT + Samba + Torrent + DLNA) на платформе Ubuntu Server. Часть 1"},{"body":"Развернув Wi-Fi сеть администраторы все чаще сталкиваются с необходимостью организовать гостевой доступ для клиентов фирмы и партнеров. При этом, используя единую физическую инфраструктуру, следует решить две прямо противоположные задачи: обеспечить наиболее простой и понятный доступ для гостей, поддерживая при этом высокий уровень безопасности внутренней сети.\nДа, задача не столь проста, как может показаться на первый взгляд. Как правило сетевая инфраструктура давно создана и для решения задачи нужно использовать существующие каналы связи. Вот здесь и встает вопрос: как надежно разделить данные гостевой сети, от данных сети предприятия передавая их по одним и тем же каналам. Как сочетать защищенную Wi-Fi сеть предприятия с открытой гостевой сетью?\nСамое время вспомнить о VLAN (Virtual Local Area Network) и стандарте IEEE 802.1Q, VLAN позволяет создавать виртуальные сети поверх физической инфраструктуры, что позволяет создавать полностью изолированные на канальном уровне сети при использовании одних и тех же каналов связи и коммутационного оборудования.\nСегодня широко применяется два типа VLAN:\nна базе портов, когда конечные хосты не догадываются реальной сетевой структуре и разделение на виртуальные сети происходит на уровне коммутатора; на базе тегов, когда в каждый сетевой кадр встраивается специальная метка, показывающая на его принадлежность к определенному VLAN, но при этом все сетевое оборудование должно иметь поддержку стандарта IEEE 802.1Q. На практике эти два типа VLAN успешно совмещаются, VLAN на базе портов позволяет использовать любое сетевое оборудование без каких либо дополнительных настроек, VLAN на базе тегов позволяет передавать информацию из разных сетей между устройствами с поддержкой IEEE 802.1Q используя единственный канал связи.\nДля реализации поставленной задачи нам потребуется оборудование с поддержкой VLAN и IEEE 802.1Q, а так как различные производители имеют свои особенности, то мы будем рассматривать решения на базе популярной продукции марки TP-LINK.\nТочка доступа должна поддерживать режим MultiSSID, который позволяет создать виртуальные Wi-Fi сети, каждая из которых будет относиться к своему VLAN и пакеты которой будут помечены специальны тегом. В качестве примера такой точки можно использовать TL-WA701ND.\nДля работы с такой точкой доступа нам потребуется коммутатор с поддержкой IEEE 802.1Q, например TL-SG2216. Каждый порт такого коммутатора может работать в одном из трех режимов:\nACCESS - нетегированый порт, принадлежит одному VLAN, взаимодействовать с другими VLAN не может. GENERAL - может принадлежать нескольким VLAN, по умолчанию нетегирован, но может быть переключен в тегированый режим. TRUNK - тегированый порт, служит для передачи данных сразу нескольких VLAN. В зависимости от инфраструктуры сети может быть несколько способов решить данную задачу. В самом простом варианте нам нужно организовать гостевой доступ в интернет, которой может раздаваться как роутером, так и недорогим аппаратным маршрутизатором. В этом случае нам потребуется создать три VLAN, данные настройки производятся в коммутаторе SW1:\nVLAN 101 - гостевая сеть - в который включаем порты 1 и 3 (слева направо на коммутаторе); VLAN 102 - корпоративная сеть - порты 3 и 4; VLAN 103- общие ресурсы - порты 1, 3 и 4. Затем следует настроить порты SW1:\nПорт 1 - GENERAL - UNTAG - PVID 103 (соответствие порта VLAN) Порт 3 - TRUNK Порт 4 - GENERAL - UNTAG - PVID 102 На точке доступа AP1 включаем режим MultiSSID и вводим следующие настройки:\nSSID1 - гостевая сеть - открытая сеть - VLAN 101 SSID2 - корпоративная сеть - WPA2 - VLAN 102 Таким образом точка доступа будет иметь две беспроводные сети на одном канале, одну открытую SSID1 для гостей и защищенную SSID2 для сотрудников. Пакеты передаваемые точкой в локальную сеть будут промаркированы VLAN-тегами и работать с ними сможет только оборудование с поддержкой IEEE 802.1Q, проще говоря, если между AP1 иSW1 окажется обычный свитч, то тегированые пакеты окажутся отброшены и схемаработать не будет.\nКоммутатор SW1 приняв на порт 3 тегированые пакеты убирает теги и отправляет их на порты соответствующие указанным VLAN. Пакеты направленные к роутеру будут переданы в VLAN 103, так как к нему относятся все порты коммутатора. Однако роутер не будет иметь доступа к иным VLAN, так как PVID 103 имеет только порт 1.\nЕсли гостям требуется доступ не только к интернету, но и к иным службам роутера (SMB, почта и т.п.) или необходимы различные настройки для гостевой и корпоративной сети, то имеет смысл добавить в сервер вторую сетевую карту и настроить ее на работу с гостевым VLAN. В этом случае наша схема примет вид: На SW1 создаем следующие VLAN:\nVLAN 101 - гостевая сеть - в который включаем порты 1 и 3 (слева направо на коммутаторе); VLAN 102 - корпоративная сеть - порты 2,3 и 4; Затем настраиваем порты:\nПорт 1 - ACCESS- PVID 101 Порт 2 - ACCESS- PVID 102 Порт 3 - TRUNK Порт 4 - ACCESS- PVID 102 Логически данная схема еще проще, каждый порт, кроме магистрального (TRUNK) закреплен за своим VLAN и получает только предназначенные ему пакеты.\nЕсли сетевая карта сервера поддерживает IEEE 802.1Q, то схему можно упростить: НастраиваемSW1 следующим образом:\nVLAN 101 - гостевая сеть - в который включаем порты 1 и 3 (слева направо на коммутаторе);\nVLAN 102 - корпоративная сеть - порты 1,3 и 4;\nПорт 1 - TRUNK\nПорт 3 - TRUNK\nПорт 4 - ACCESS- PVID 102\nВ этом варианте логически (и физически) все еще проще, SW1 выделяет только пакеты VLAN2 c адресом назначения принадлжащим корпоративной сети и, сняв тег, отправляет их на порт 4. Остальные пакеты остаются тегироваными и передаются сетевой карте LAN1 роутера, которая имеет поддержку IEEE 802.1Q, поэтому разделение VLAN будет происходить на самом роутере. Однако данная схема самая сложная в настройке и требует достаточно глубоких сетевых знаний, поэтому если вы чувствуете пробелы в данном вопросе, то лучше реализовать одну из предыдущих схем.\nКак видим, VLAN и MultiSSID дают нам в руки богатый инструментарий для создания логической сетевой инфраструктуры, которая будет полностью соответствовать вашим нуждам.\n","id":"489d3e9b1c54fff4772d5fb403f6c423","link":"https://interface31.ru/post/nastraivaem-gostevoy-dostup-cherez-wi-fi-multissid-vlan/","section":"post","tags":["MultiSSID","VLAN","Wi-Fi","Сетевые технологии"],"title":"Настраиваем гостевой доступ через Wi-Fi (MultiSSID + VLAN)"},{"body":"Жесткие диски для ноутбуков сегодня имеют гораздо более широкое применение: от тонких клиентов и медиацентров, до внешних жестких дисков. Что в свою очередь делает актуальным вопрос о их производительности. Поэтому, как только представилась возможность, мы протестировали один из таких жестких дисков.\nНа этот раз в нашу лабораторию попал самый обычный жесткий диск 320 Gb SATA-II Hitachi Travelstar Z5K320 (HTS543232A7A384) 2.5\u0026quot; 5400 rpm 8Mb, стоимостью 1352 руб. Стоимость хранения 1 Гб составляет 4,23 руб, что несколько дороже массовых дисков 3,5\u0026quot;, но вполне нормально для форм-фактора 2,5\u0026quot;. Следует помнить, что в силу меньших размеров магнитных дисков, при той же плотности записи емкость ноутбучных дисков будет всегда меньше, при сопоставимых затратах на изготовление одного экземпляра. Перейдем к тестированию. Результаты в CrystalDiskMark где-то в два раза ниже настольных дисков массового применения по всем тестируемым показателям. Здесь все понятно, но не слишком информативно, ведь нас интересуют не столько цифры, сколько сферы применения для данных дисков, поэтому продолжим тестирование с помощью HD Tune Pro.\nПервый тест подтвердил предыдущие результаты, диск не отличается высокими скоростными показателями и имеет довольно высокое время доступа, которое к концу диска достигает достаточно больших величин. Файловый тест показал весьма неплохой и ровный результат на максимуме производительности для блоков среднего и крупного размера, но при работе с небольшими блоками результаты крайне низкие. Тест случайного доступа показал также невысокий, но вполне ожидаемый результат. Аналогичные результаты можно наблюдать у экономичных серий HDD, предназначенных первую очередь для хранения данных, например WD Green или WD Red. Общие результаты в особых комментариях не нуждаются, перед нами обычный диск с невысокой производительностью, который вполне вполне подойдет для систем не требующих высокой производительности и где во главу угла ставятся небольшие размеры и малое энергопотребление. Последний тест Intel NASPT поможет нам лучше понять, для каких именно задач можно использовать данный и аналогичные ему диски. Как видим диск вполне подойдет в качестве внешнего HDD с интерфейсом USB 2.0, ограничения которого скажутся раньше, также его можно использовать в небольшом домашнем медиасервере или роутере небольшого отдела.\nСкорость потока HD (h.264, 1080p) видео варьируется в среднем от 12 до 20 Мбит/с, а процесс представляет преимущественно последовательное чтение. В один поток производительности диска более чем достаточно. В два и четыре потока скорость падает практически вдвое и если посмотреть два HD фильма, например на телевизоре и ПК, еще удастся, то при большем числе клиентов \u0026quot;кина не будет\u0026quot;. Хотя если ваш медиасервер будет отдавать портативным потребителям перекодированный контент, вполне может получиться одновременно посмотреть фильм на планшете. При более низком качестве видео особых проблем с одновременным просмотром не возникнет. А вот грузить диск закачками явно не стоит, работающий торрент-клиент вполне способен снизить производительность диска до неприемлемых значений, поэтому качать лучше в свободное от просмотра время.\nПри использовании диска в роутерах и т.п. серверах уровня SOHO не следует перегружать диск операциями произвольного доступа, например стоит отказаться от кэширующего прокси, для трех-пяти клиентов кэш не даст заметного эффекта, зато можно получить вполне ощутимое снижение производительности. Ну и конечно не стоит забывать об основных плюсах данных дисков: тишине и малом потреблении, что позволяет рекомендовать их для компактных и бесшумных систем.\n","id":"ed15a07c69abf435012f3c7e85504bd3","link":"https://interface31.ru/post/proizvoditel-nost-zhestkih-diskov-dlya-noutbukov/","section":"post","tags":["HDD","HGST"],"title":"Производительность жестких дисков для ноутбуков"},{"body":"Как показывает практика, многие администраторы недостаточно серьезно относятся к удалению данных с жестких дисков при передаче последних (чаще всего в месте с ПК) в другие подразделения, филиалы, при продаже или списании, а также при передаче в сервис. Поэтому сегодняшняя краткая заметка будет посвящена именно этому вопросу.\nК сожалению многие администраторы исповедуют принцип \u0026quot;неуловимого Джо\u0026quot;, которого никто не ловит, так как он никому не нужен. В чем то они может и правы, промышленным шпионам и компетентным органам данные с ПК менеджера Иванова или бухгалтера Петровой вряд-ли интересны.\nОднако не следует забывать, что утечка ряда информации в первую очередь нежелательна внутри фирмы. К примеру персональных данных или сведений о заработной плате. А такое вполне может случиться, после того как вы передадите старый компьютер кадровика в отдел продаж и там кто нибудь из чистого интереса попробует восстановить данные или просто найдет их в корзине. Да и директор не обрадуется, если весь цех будет читать его деловую переписку.\nОтвечать за это безобразие вполне ожидаемо будет системный администратор, даже если такие задачи перед ним никем не ставились. Поэтому такие ситуации надо предвидеть и предотвращать заранее. В связи с этим встает вопрос: как эффективно и просто удалить данные с жесткого диска?\nСегодня в сети доступно большое количество утилит, которые делают простое форматирование неэффективным, данные или их часть вполне возможно будет восстановить за несколько часов. Очевидно, что нужно искать иное решение. Одним из таких инструментов является Darik's Boot and Nuke (DBAN) бесплатный инструмент для полного уничтожения данных. Скачать загрузочный ISO-образ можно на официальном сайте.\nЗагрузившись с данного диска можно выбрать интерактивный режим или приступить к автоматическому удалению данных, введя команду autonuke. В последнем случае будьте предельно внимательны, так как утилита уничтожит данные на всех доступных жестких дисках. В интерактивном режиме вам нужно будет, используя пробел, выбрать диски, которые будут помечены тегом wipe. Затем, нажав M, выбрать метод очистки. По умолчанию предлагается DoD Short, представляющий собой упрощенную версию алгоритма DoD 5220.22-M, который является национальным стандартом министерства обороны США. Отдельного упоминания заслуживает метод Гутмана, который предусматривает 35 циклов перезаписи жесткого диска. Выбрав наиболее подходящий метод следует еще раз все проверить и запустить уничтожение данных клавишей F10. Остается только дождаться конца процедуры, после чего можете попробовать восстановить данные любой доступной утилитой, сразу скажем - у нас ничего не получилось. Как видим, данная бесплатная программа позволяет просто и эффективно удалять данные с жестких дисков, что позволит избежать возможных утечек данных и значительно повысит безопасность вашей информационной системы.\n","id":"dcbc1747c4afd6d883b03c2483caffad","link":"https://interface31.ru/post/adminu-na-zametku---8-kak-effektivno-udalit-dannye-s-zhestkogo-diska/","section":"post","tags":["dban","HDD"],"title":"Админу на заметку - 8. Как эффективно удалить данные с жесткого диска"},{"body":"Корпоративные диски всегда вызывают повышенное внимание, особенно со стороны начинающих администраторов. К сожалению, не все понимают, на какие именно характеристики делает упор производитель при производстве таких дисков, поэтому результат от их применения может оказаться совсем неожиданным. Но, как известно, лучше один раз увидеть, чем сто раз услышать и, как только появилась возможность, мы провели тестирование одного из таких дисков.\nНа тестирование в нашу лабораторию попали два HDD 500 Gb 6Gb/s Seagate Constellation ES ST500NM0011 64Mb, стоимость которых на начало февраля 2013 года составила 2493 рубля или 5 руб / ГБ, для сравнения стоимость хранения 1 ГБ на диске массовой серии той же емкости (500 Gb SATA 6Gb/s Seagate Barracuda 7200.12 ST500DM002) составляет всего 3,5 руб. Понятно, что такая разница в стоимости должна быть чем-то обусловлена, но вот чем? Постараемся ответить на этот вопрос. Мы провели уже ставший традиционными набор тестов и сейчас постараемся разобраться в результатах.\nCrystalDiskMark показал неплохие результаты, если скорость линейного обмена не сильно отличается от скорости массовых дисков, то на случайном обмене результат заметно их превосходит, это еще раз показывает нацеленность диска в первую очередь на серверные нагрузки. HD Tune Pro также показал более ровный график, нежели настольная модель Seagate, что может говорить о более высоком качестве изготовления пластин и более точной работе механики. При этом скоростные характеристики диска выглядят несколько скромнее, но делать какие-либо выводы пока не стоит. Файловый тест также ничем примечательным не выделяется, хотя стоит отметить более стабильную скорость работы с небольшим размером блока и более равномерный график. Время случайного доступа - один из самых важных тестов для корпоративного диска, так как чаше всего серверные нагрузки представляют как раз интенсивное случайное обращение к диску. Здесь Constellation ES показывает себя во всей красе - 80 IOPS, что лучше всех массовых моделей, соревноваться с ним на равных может только \u0026quot;черный\u0026quot; Western Digital. Общий результат диска также не плох, гораздо выше массовых моделей, на уровне производительного \u0026quot;черного\u0026quot; WD. Теперь перейдем от синтетических тестов к практическим результатам, полученным в тесте Intel NASPT. Результаты данного теста сильно не отличаются от результатов массовой модели, да, где-то быстрее, но в общем и целом сказать что Constellation ES имеет какое-либо преимущество нельзя, хотя стоит отметить на однозначное превосходство данного диска в тестах предусматривающих преимущественно случайное обращение к диску (Dir copy to/from NAS). В отличии от настольной модели графики чтения в один и несколько потоков довольно равномерны и стабильны. Отдельно следует отметить, что диск практически не снижает скорости при переходе от двух к четырем потокам, сказывается оптимизация для работы со случайным доступом. Выводы Как можно увидеть из результатов, перед нами производительная модель оптимизированная под серверные нагрузки со случайным характером обращения к диску. В качестве накопителя для хранения данных данная модель не имеет практически никаких преимуществ перед массовыми дисками, ее покупка для использования в NAS, файловых серверах начального уровня или в качестве системного диска полностью лишена смысла. Зато диск придется ко двору при создании массивов для обработки данных на веб-серверах, СУБД, системах виртуализации.\nОтдельно стоит отметить MTBF в 1,2 млн. часов, что вдвое больше чем у дисков массовых и настольных серий, аналогичный по производительности \u0026quot;черный\u0026quot; WD имеет MTBF всего 650 тыс.час.\nНадеемся что наш обзор поможет правильно позиционировать данные диски и более грамотно подойти к вопросу выбора дисков для достижения максимальной производительности вашей дисковой подсистемы за разумные деньги.\n","id":"8149ec658aa16388373ad2c27c0cb605","link":"https://interface31.ru/post/seagate-constellation-es---korporativnyy-zhestkiy-disk/","section":"post","tags":["HDD","Seagate","Файловый сервер"],"title":"Seagate Constellation ES - корпоративный жесткий диск"},{"body":"Когда заходит речь о производительности в первую очередь обращают внимание на частоту процессора, скорость памяти, чипсет и т.д. и т.п., про дисковую подсистему если и вспоминают, то мимоходом, чаще всего обращая внимание только на один параметр - скорость линейного чтения. В тоже время именно дисковая подсистема чаще всего становится узким местом в системе. Почему так происходит и как этого избежать мы расскажем в данной статье.\nПрежде чем говорить о производительности вспомним как устроен жесткий диск, так как многие особенности и ограничения HDD заложены именно на физическом уровне. Не вдаваясь в подробности, можно сказать что диск состоит из одной или нескольких магнитных пластин над которыми расположен блок магнитных головок, пластины в свою очередь содержат намагниченные концентрические окружности - цилиндры (дорожки), которые в свою очередь состоят из небольших фрагментов - секторов. Сектор - минимальное адресуемое пространство диска, его размер традиционно составляет 512 байт, хотя некоторые современные диски имеют более крупный сектор размером в 4 Кбайт.\nВо время вращения диска сектора проходят мимо блока магнитных головок, которые осуществляют запись или чтение информации. Скорость вращения (угловая скорость) диска в конечный момент времени величина постоянная, однако линейная скорость различных участков диска различна. У внешнего края диска она максимальна, у внутреннего - минимальна. Рассмотрим следующий рисунок: Как видим за один и тот же промежуток времени определенная область диска сделает поворот на один и тот же угол, если мы обозначим эту область в виде сектора, то окажется что в него попадет пять секторов с внешней дорожки и только три с внутренней. Следовательно за данный промежуток времени магнитная головка считает с внешнего цилиндра большее количество информации, чем с внутреннего. На практике это проявляется в том, что график скорости чтения любого диска представляет собой снижающуюся кривую.\nНачальные сектора и цилиндры всегда располагаются с внешней стороны, обеспечивая максимальную скорость обмена данными, поэтому рекомендуется размещать системный раздел именно в начале диска.\nТеперь перейдем на более высокий уровень - уровень файловой системы. Файловая система оперирует более крупными блоками данных - кластерами. Типичный размер кластера NTFS - 4 Кб или 8 секторов. Получив указание считать определенный кластер диск произведет чтение 8 последовательных секторов, при последовательном расположении данных операционная система даст указание считать данные начиная с кластера 100 и заканчивая кластером 107. Данное действие будет представлять собой одну операцию ввода-вывода (IO), максимальное количество таких операций в секунду (IOPS) конечно и зависит от того, сколько секторов пройдут мимо головки за единицу времени (а также от времени позиционирования головки). Скорость обмена данными измеряется в МБ/с (MBPS) и зависит от того, какое количество данных будет считано за одну операцию ввода-вывода. При последовательном расположении данных скорость обмена будет максимальной, а количество операций ввода-вывода минимально. Здесь будет не лишним вспомнить о таком параметре как плотность записи, которая выражается в площади необходимой для записи 1 бита данных. Чем выше этот параметр, тем больше данных может вместить одна пластина и тем выше скорость линейного обмена данными. Этим объясняются более высокие скоростные характеристики современных винчестеров, хотя технически они могут ничем не отличаться от более старых моделей. Рисунок ниже иллюстрирует данную ситуацию. Как несложно заметить, при более высокой плотности записи за один и тот-же промежуток времени, при той же самой скорости вращения будет считано/записано большее количество данных Теперь разберем прямо противоположную ситуацию, нам требуется считать большое количество небольших файлов случайным образом разбросанных по всему диску. В этом случае количество операций ввода-вывода будет велико, а скорость обмена данными низка. Основное время будет занимать ожидание доступа к следующему блоку данных, которое зависит от времени позиционирования головки и задержки из-за вращения диска. Простой пример: если после 100 сектора поступит команда прочитать 98, то придется ждать полный оборот диска, пока появится возможность прочитать данный сектор. Сюда же следует добавить время, которое требуется чтобы физически прочитать нужное количество секторов. Совокупность этих параметров составит время случайного доступа, которое имеет очень большое влияние на производительность винчестера. Следует отметить, что для ОС и многих серверных задач (СУБД, виртуализация и т.п.) характерен именно случайный доступ с размером блока в 4 Кб (размер кластера), при этом основным показателем производительности будет не скорость линейного обмена данными (MBPS), а максимальное количество операций ввода-вывода в секунду (IOPS). Чем выше этот параметр, тем большее количество данных может быть считано в единицу времени.\nОднако количество операций ввода-вывода не может расти бесконечно, это значение очень жестко ограничено сверху физическими показателями винчестера, а именно временем случайного доступа.\nА теперь поговорим о фрагментации, суть этого явления общеизвестна, мы же посмотрим на него сквозь призму производительности. Для крупных файлов и линейных нагрузок фрагментация способна значительно снизить производительность, так как последовательный доступ превратится в случайный, что вызовет резкое снижение скорости доступа и также резко увеличит количество операций ввода-вывода.\nПри случайном характере доступа фрагментация не играет особой роли, так как нет никакой разницы в каком именно месте диска находится тот или иной блок данных.\nПоявление дисков с более крупным 4 Кб сектором стало причиной появления еще одной проблемы: выравнивания файловой системы относительно секторов диска. Здесь возможны два варианта: если файловая система выровнена, то каждому кластеру соответствует сектор, если не выровнена, то каждому кластеру соответствует два смежных сектора. А так как сектор это минимальная адресуемая единица, то для считывания одного кластера потребуется считать не один, а два сектора, что негативно скажется на производительности, особенно при случайном доступе. Реальная производительность жесткого диска - это всегда баланс между скоростью обмена данными и количеством операций ввода вывода. Для последовательного чтения характерен большой размер пакета данных, который считывается за одну операцию ввода вывода. Максимальная скорость (MBPS) будет достижима при последовательном чтении секторов с внешнего края диска, количество операций ввода-вывода (IOPS) будет при этом минимально - дорожки длинные, позиционировать головку нужно реже, данных при этом считывается больше. На внутренних дорожках линейная скорость будет ниже, количество IO - выше, дорожки короткие, позиционировать головку нужно чаще, данных считывается меньше.\nПри случайном доступе скорость будет минимальна, так как размер пакета данных очень мал (в худшем случае кластер) и производительность упрется в максимально доступное количество IOPS. Для современных массовых дисков это значение равно около 70 IOPS, нетрудно посчитать, что при случайном доступе с размером пакета в 4 Кб мы получим максимальную скорость не более 0,28 MBPS.\nНепонимание этого момента часто приводит к тому, что дисковая подсистема оказывается бутылочным горлышком, которое тормозит работу всей системы. Так, выбирая между двумя дисками с максимальной линейной скоростью в 120 и 150 MBPS, многие не задумываясь выберут второй, не посмотрев на то, что первый диск обеспечивает 70 IOPS, а второй всего 50 IOPS (вполне характерная ситуация для экономичных серий), а потом будут сильно удивляться тому, почему \u0026quot;более быстрый\u0026quot; диск сильно тормозит.\nЧто будет, если количества IOPS диска окажется недостаточно чтобы обработать все запросы? Возникнет очередь дисковых запросов. На практике все несколько сложнее и очередь диска будет возникать даже в том случае, когда IOPS достаточно. Это связано с тем, что различные процессы, обращающиеся к диску, имеют разный приоритет, а также то, что операции записи всегда имеют приоритет над операциями чтения. Для оценки ситуации существует параметр длина очереди диска, значение которого не должно превышать (по рекомендациям Microsoft)\n1количество шпинделей HDD + 2 В любом случае постоянная большая длина очереди говорит о том, что системе недостаточно текущего значения IOPS. Увеличение очереди диска на уже работающих системах говорит либо о увеличении нагрузки, либо о выходе из строя или износе жестких дисков. В любом случае следует задуматься об апгрейде дисковой подсистемы.\nНа этом мы закончим наш сегодняшний материал, приведенной информации должно быть достаточно для понимания физических процессов, происходящих при работе жесткого диска и того, как они влияют на производительность. В следующих статьях мы рассмотрим, как правильно определить, какое количество IOPS нужно в зависимости от характера нагрузки и как правильно спроектировать дисковую подсистему, чтобы она удовлетворяла предъявляемым требованиям.\n","id":"932ab544337ec0b0cb13a3d4b5efbb6a","link":"https://interface31.ru/post/proizvoditel-nost-diskovoy-podsistemy---kratkiy-likbez/","section":"post","tags":["HDD","RAID","SSD","Производительность","Файловый сервер"],"title":"Производительность дисковой подсистемы - краткий ликбез"},{"body":"Ошибку формата потока без преувеличения можно назвать кошмарным сном специалиста по 1С. А учитывая крайне скудную информацию выводимую при возникновении данной ошибки, выявление и устранение причин становится крайне непростой задачей. Сегодня мы рассмотрим один из возможных случаев возникновения ошибки формата потока и методы борьбы с ней.\nКак это обычно и бывает, ошибка проявилась в самый неожиданный момент, при штатном обновлении информационной базы на очередной релиз. Доходя до определенного момента платформа просто падала с абсолютно неинформативной ошибкой. Обновление платформы, попытка обновить с другого ПК, выгрузка-загрузка базы не дали положительного результата, указывая на то, что проблема в кроется в данной информационной базе. В то же время проверка базы штатными средствами и с помощью утилиты сhdbfl.exe не находила никаких ошибок. Все это наводило на мысль, что источником ошибки является конфигурация. Однако бухгалтера в один голос утверждали, что никто ничего с конфигурацией не делал и вообще база работала нормально. Поэтому мы решили выполнить сравнение и объединение конфигураций, как хороший способ быстро увидеть все внесенные изменения. В определенный момент конфигурация снова сообщила об ошибке, в этот раз информации стало немного больше: ошибка формата потока. Однако ясности это не добавило, мы не знали ни причин ошибки, ни что нам делать с этой базой. Единственное, что становилось понятно, это источник ошибки - конфигурация. Поэтому следующим шагом мы выполнили проверку конфигурации и снова получили ту же ошибку. Несколько повторных проверок выявили, что ошибка возникает в одном и том-же месте, а учитывая, что в строке состояния выводится название проверяемого элемента, можно попробовать установить поврежденный элемент конфигурации. Для этого надо попытаться запомнить последний проверяемый элемент перед ошибкой, помощь в этом могут оказать программы записи видео с экрана ПК.\nВ нашем случае оказалось совершенно несложно заметить, что последним проверяемым объектом оказался РегламентированныйОтчетНДПИ, а так как деятельность предприятия никак не связана с добычей полезных ископаемых, то неудивительно, что в повседневной работе данная ошибка никак себя не проявляла.\nЧтобы убедиться в правильности определения попробуем скопировать или выгрузить данный объект конфигурации, в результате мы снова должны получить ошибку формата потока.\nПоврежденный объект найден, но что делать с ним дальше? Вполне логичным будет решение удалить его, а затем заменить исправным объектом из типовой конфигурации, если вы вносили изменения в данный объект конфигурации, то они будут потеряны.\nДля осуществления задуманного нам понадобится файл конфигурации того же самого релиза либо более старшего, сразу выполнив обновление. Перед тем, как удалить поврежденный объект, его надо снять с поддержки. После чего можно приступать к сравнению и объединению конфигурации или обновлению, проконтролировав замену поврежденного объекта исправным из конфигурации поставщика. Важно! Важно! Обновление следует производить только используя файл полной конфигурации - cf, а не обновления - cfu, так как последний может не содержать необходимого объекта.\nТеперь можем сохранять конфигурацию и обновлять конфигурацию базы данных, не забыв вернуть замененный объект на поддержку.\nКак видим, ошибка формата потока, связанная с повреждением объекта конфигурации не так страшна, как это кажется на первый взгляд и вполне поддается исправлению в короткие сроки. Хотя лучше всего не надеяться на реанимационные мероприятия, а иметь актуальные и полные резервные копии.\n","id":"03adc96a63cbca36b05104333958b7d2","link":"https://interface31.ru/post/1spredpriyatie-8-oshibka-formata-potoka-pri-obnovlenii/","section":"post","tags":["1С Предприятие 8.х","Диагностика"],"title":"1С:Предприятие 8. Ошибка формата потока при обновлении"},{"body":"Проактивная защита занимает сегодня видное место в описании антивирусных продуктов всех известных производителей, которые позиционируют ее как средство защиты от новых и неизвестных угроз. Чтобы проверить насколько эффективен данный механизм мы провели небольшое тестирование популярных коммерческих продуктов.\nВ теории проактивная защита, основываясь на поведении запущенных программ, должна определять и пресекать потенциально опасные действия, такие как изменение файла hosts, добавление программы в автозагрузку, подмену системных файлов, маскировку под системные процессы и т.д. и т.п., или уведомлять пользователя, если действие нельзя однозначно трактовать как вредоносное.\nПроизводители антивирусного ПО не устают повторять, что только проактивная защита, в сочетании с остальными компонентами антивируса, способна обеспечить полноценную защиту от современных угроз. Действительно, как показала эпидемия блокировщиков Windows, антивирусное ПО оказалось бессильно перед новым классом вредоносного ПО, которое не имело признаков \u0026quot;классического\u0026quot; вредоносного ПО и следовательно не обнаруживалось ни сигнатурным анализом, ни эвристиком. В данном случае основной удар должна принять на себя проактивная защита, если не предотвратив проникновение в систему, то хотя бы уведомив об этом пользователя и предложив ему запретить (или разрешить) дальнейшую активность программы.\nСегодня сложно найти продукт, в описании которого не было бы указано, что он использует эффективные технологии проактивной защиты, которые позволяют защитить пользователя лучше и эффективнее, чем какой либо иной продукт. Понятно, что в данных заявлениях больше маркетинга, чем технологий, однако если данный модуль есть, то он должен как-то работать.\nМы решили протестировать младшие продукты в линейках известных производителей, так как именно в них проактивная защита нужнее всего, так как без нее пользователь остается только с сигнатурным сканером против всего спектра интернет угроз, в то время как продукты более высокого уровня содержат множество фильтров, экранов и защит, которые могут эффективно препятствовать заражению. Не последнюю роль здесь играет и цена, делая младшие продукты наиболее привлекательными для потребителей.\nДля тестирования мы использовали методику предложенную Agnitum, суть которой сводится к следующему: у продукта отключаются все сигнатурные сканеры и запускается образец вредоносного ПО, который остается один на один с проактивной защитой. Данная методика не идеальна и содержит ряд недостатков, самый существенный из которых, что модуль проактивной защиты используется в отрыве от остальных механизмов защиты. Однако получить определенное представление о работе данного механизма такой подход позволяет.\nВ тестировании приняли участие наиболее популярные и распространенные на российском рынке продукты, кроме Dr.Web и MSE, которые не позволяют отключить сигнатурный сканер отдельно от модуля проактивной защиты.\nВ качестве образца вредоносного ПО мы использовали сэмпл вируса P2P-Worm.Win32.Palevo.gidq, первое обнаружение которого специалистами Лаборатории Касперского датировано 26 декабря 2012 года, экземпляр достаточно свежий и в то же время относящийся к давно известно семейству вредоносного ПО. После запуска в системе зловред копирует собственное тело в папку профиля пользователя под именем etkrkf.exe, создает ключ в реестре для собственной автозагрузки и запускается, маскируясь под системный процесс svchost.exe. Как видим - вполне стандартный набор действий для вредоносного ПО, осталось проверить как на это будет реагировать проактивная защита.\nАнтивирус Касперского 2013. Результат: удовлетворительно Антивирус Касперского 2013 успешно распознал и удалил наш образец еще на стадии распаковки. Проактивная защита также определила вредоносную активность и даже попыталась удалить исходный файл, однако не смогла воспрепятствовать заражению. После включения всех компонентов защиты антивирус определил активное заражение и, с помощью специальной процедуры лечения, успешно его устранил.\nКак рассматривать данный результат? С одной стороны заражение системы все-таки произошло, с другой - пользователь был уведомлен о попытке заражения и мог своевременно принять меры по дополнительной проверке системы. Тем более что в реальной ситуации в дело могут вступить и иные компоненты защиты. Поэтому оценка удовлетворительно, так как несмотря ни на что пользователь как минимум в курсе о происходящей в системе нездоровой активности.\nESET NOD32 Антивирус 6. Результат: плохо Шестая версия NOD32 также без труда определила и обезвредила вредоносный образец. Однако оставшись со зловредом один на один модуль проактивной защиты никак не отреагировал на процесс заражения системы. С лечением активного заражения антивирус справился хорошо, однако оставил созданные вирусом следы в реестре, что в ряде случаев может привести к некорректной работе системы и потребовать дополнительных процедур по ее восстановлению. Общая оценка: плохо, так как пользователь остался в неведении о потенциально опасной активности в его системе.\nNorton AntiVirus. Результат: тест не пройден Norton AntiVirus на момент тестирования для данного вируса записей в базе сигнатур не имел, поэтому абсолютно никак не прореагировал на распаковку и запуск вредоносного сэмпла. Хотя заражения системы так и не произошло, запущенный вредоносный процесс не подвал никаких признаков активности, как и антивирус. Это происходило как при полностью включенной защите, так и при выключенной.\nНесмотря на то, что антивирус препятствовал заражению системы, мы не засчитали данному продукту прохождение теста. Почему? Ответ прост: если блокировка активности вредоносного процесса произошла благодаря антивирусу, то пользователь должен получить уведомление об этом, как минимум запись в журнале. В нашем случае найти какую либо информацию о причастности данного антивируса к происходящему в системе мы не смогли. Остается только гадать что это было: работа антивируса, счастливое стечение обстоятельств, баг?\nЕсть еще очень неочевидный момент, если это все таки работа антивируса, то никто не мешает ему в следующий раз заблокировать вполне легальную программу или ее компонент. А если вспомнить, что антивирус относится к тому немногому числу программ, которые имеют доступ к коду исполняемому на уровне ядра, то становится понятно, что такое поведение может привести к самым разнообразным сбоям, вплоть до \u0026quot;синих окон смерти\u0026quot;. А так как, в отличии от нашего случая, причинно следственная связь между сбоями и работой антивируса не очевидна, то пользователь или администратор может потратить очень много сил и времени для установления причин нестабильного поведения системы.\nПоэтому наш результат: тест не пройден. Если антивирус проводит в системе какие либо действия, то он должен уведомить об этом пользователя, даже если продукт рассчитан на домохозяек. В этом случае достаточно записи в журнал: и домохозяйка спокойна, и специалист, при необходимости, без труда надет нужную информацию.\nTrend Micro Titanium Antivirus Plus. Результат: тест не пройден Антивирус от Trend Micro нас сильно разочаровал. Не имея записей в сигнатурной базе продукт никак не препятствовал заражению и мы получили активное вредоносное ПО в системе при полностью рабочем антивирусе.\nВпоследствии, устраняя активное заражение при помощи Dr.Web CureIt!, мы получили забавное сообщение о том, что следует обеспечить более надежную защиту. Пожалуй мы последуем данному совету. А пока вполне закономерный результат: тест не пройден.\nOutpost Antivirus Pro 8.0. Результат: тест не пройден Так как данная методика в свое время была предложена компанией Agnitum, то мы не могли не протестировать последнюю версию антивирусного продукта данного производителя. Тем более разработчики сами делают упор на проактивные технологии, которые должны обеспечить защиту от новых и ранее неизвестных угроз. Ну что же, посмотрим...\nКак и в случае с Norton AntiVirus, данный продукт никак не отреагировал на распаковку и запуск образца вируса, однако препятствовал заражению. В итоге получил аналогичный результат: тест не пройден. Наше мнение: о всех своих действиях антивирус должен так или иначе уведомлять пользователя, иначе, если вдруг \u0026quot;молча\u0026quot; заблокирована легальная программа, какая разница между ним и вредоносным ПО?\nВыводы Выводы сегодня не очень радостные: широко разрекламированная технология проактивной защиты в младших продуктах практически всех ведущих производителей антивирусного ПО оказалась сугубо маркетинговым ходом, а не рабочим и эффектным средством защиты. Отдельно стоит выделить только Лабораторию Касперского, продукт которой хоть как-то отреагировал и попытался воспрепятствовать нежелательной активности.\n","id":"c8e910a9d7efaae76d379c5f797b2f6d","link":"https://interface31.ru/post/testiruem-proaktivnuyu-zashhitu-populyarnyh-antivirusov/","section":"post","tags":["Kaspersky","NOD 32","Norton","Outpost","Trend Micro","Антивирус"],"title":"Тестируем проактивную защиту популярных антивирусов"},{"body":"Протокол PPPoE пользуется заслуженной популярностью у многих интернет-провайдеров, так как позволяет подключаться к сети без сложных настроек, просто указав логин и пароль. Если в графической среде современных ОС настройка PPPoE крайне проста, то столкнувшись с командной строкой Ubuntu многие администраторы испытывают затруднения, поэтому в данной статье мы решили подробно разобраться с этим вопросом.\nPPPoE сегодня широко используется не только ADSL-провайдерами, но и провайдерами кабельных сетей, однако существенной разницы в том, какой тип доступа использует провайдер нет. В случае с ADSL вам придется настроить модем в режиме Bridge и правильно указать значения VPI/VCI выданные вашим провайдером, IP-адрес внешнего интерфейса можно задать любым, чаще всего его выбирают из одного диапазона с ADSL-модемом, чтобы можно было без лишних проблем заходить к нему в админ-панель. В кабельных сетях вам нужно будет указать IP-адрес выданный вам провайдером или настроить сетевой интерфейс на автоматическое получение настроек через DHCP.\nПеред тем, как приступать к настройке PPPoE необходимо убедиться, что внешний интерфейс настроен и подключен к сети провайдера или модему, который также включен, подключен и настроен.\nСама настройка осуществляется консольной утилитой pppoeconf в интерактивном режиме:\n1sudo pppoeconf Утилита выполнит поиск доступных концентраторов PPPoE и в случае успеха перейдет к следующему шагу, в противном случае вам следует еще раз проверить настройки внешнего сетевого интерфейса (модема) и повторить попытку. На предложение перезаписать настройки отвечаем положительно. В большинстве случаев проще запустить pppoeconf еще раз, нежели \u0026quot;жонглировать\u0026quot; конфигурационными файлами. Указываем логин и пароль: Отвечаем утвердительно на остальные вопросы и разрешаем автоматический запуск соединения: После чего будет предложено установить соединение. Его состояние можно проверить командой ifconfig c аргументом ppp (выводит информацию о всех ppp-соединениях).\n1ifconfig ppp Перезагружаемся и сразу после входа в систему видим, что PPPoE подключение выполнено автоматически либо проверяем с помощью ifconfig. На этом можно было бы и закончить нашу статью, но настоящий админ никогда не успокоится, пока не разберется до конца. Возможно многим из вас никогда не придется обращаться к указанным ниже конфигурационным файлам, но знать где хранятся какие настройки будет не лишним. Ну не запускать же каждый раз утилиту только потому, что вы изменили пароль.\nНастройки соединения хранятся в /etc/ppp/peers/dsl-provider, содержимое данного файла перезаписывается при каждом запуске pppoeconf и вносить в него изменения без четкого понимания, что и зачем вы делаете не следует. Отдельно следует остановиться на опции user, как понятно из называния, она указывает учетные данные какого пользователя использовать при подключении. Список пользователей для коммутируемых соединений хранится в /etc/ppp/chap-secrets. Синтаксис весьма прост: имя, список разрешенных серверов, пароль, в нашем случае имя и пароль test. Обратите внимание, что пароль хранится в данном файле открытым текстом и следует принять меры к недопущению несанкционированного доступа к нему.\nЗа автоматический запуск соединения отвечает секция в файле /etc/network/interfaces, его содержимое понятно и комментариев не требует. Как видим ничего сложного в настройке PPPoE в среде командной строки Ubuntu Server нет, а в случае необходимости вы всегда можете изменить настройки вручную, не прибегая к повторному запуску pppoeconf.\n","id":"82fa0ab991974fed8e2226b307b27180","link":"https://interface31.ru/post/nastroyka-pppoe-podklyucheniya-v-ubuntu-server/","section":"post","tags":["PPPoE","Ubuntu Server","Сетевые технологии"],"title":"Настройка PPPoE подключения в Ubuntu Server"},{"body":"Протокол L2TP является более предпочтительным для построения VPN-сетей, нежели PPTP, в основном это касается безопасности и более высокой доступности, благодаря тому, что для для каналов данных и управления используется одна UDP-сессия. Сегодня мы рассмотрим настройку L2TP VPN-сервера на платформе Windows.\nНесмотря на простоту развертывания и подключения самых различных клиентов протокол PPTP имеет ряд существенных недостатков. Самый существенный - это однофакторная аутентификация при помощи пары логин / пароль, а так как логин пользователя чаще всего известен (или не составляет труда его выяснить), то по факту для аутентификации используется только пароль, будучи скомпрометированным он позволяет третьим лицам получить полный доступ к корпоративной сети.\nВторой недостаток, вытекающий из первого - невозможность проверить подлинность подключающегося хоста, т.е. администратор не может с уверенностью сказать, что данное подключение выполнено пользователем Иванов со служебного ноутбука, а не злоумышленником, получившим доступ к учетным данным.\nИ наконец, третий недостаток связан с тем, что PPTP использует для работы два соединения: канал данных и канал управления. Это создает сложности с подключением, так как не все провайдеры, особенно при мобильном или гостевом доступе, обеспечивают нормальное прохождение GRE-пакетов, что делает подключение к VPN-серверу невозможным.\nL2TP не имеет указанного недостатка, так как использует только одну UDP-сессию для передачи данных и управления, что облегчает подключение клиентов и администрирование сетевой инфраструктуры.\nВторым достоинством L2TP является двухфакторная аутентификация. Перед установлением соединения узлы проверяют подлинность друг друга на основании сертификата или предварительного ключа и только после этого приступают к соединению. Аутентификация с использованием сертификатов требует развернутой в сети инфраструктуры PKI, при ее отсутствии можно использовать аутентификацию по предварительному ключу. Мы будем рассматривать именно этот вариант.\nАутентификация по предварительному ключу менее надежна, чем по сертификату, но тем не менее позволяет организовать более высокий уровень безопасности VPN-сети нежели с использованием протокола PPTP. Предварительный ключ указывается один раз, при создании VPN-подключения на клиенте и может быть неизвестен пользователю (настройку производит администратор), в этом случае можно быть уверенным в подлинности подключающегося хоста и компрометация пароля в этом случае не позволит подключится к сети предприятия, так как предварительный ключ неизвестен.\nДля развертывания VPN L2TP-сервера мы будем использовать Windows Server 2008 R2 SP1, однако все сказанное, с небольшими поправками, будет справедливо и для иных версий Windows Server.\nНам потребуется установленная роль Службы политики сети и доступа, которая должна содержать Службы маршрутизации и удаленного доступа. Дальнейшая настройка производится через оснастку Маршрутизация и удаленный доступ, доступной в меню Пуск - Администрирование. При первом обращении будет запущен мастер, который поможет вам быстро настроить необходимые службы. Если вы планируете использовать это сервер как роутер, для обеспечения доступа в интернет компьютеров локальной сети, то следует выбрать Доступ к виртуальной частной сети (VPN) и NAT, если вам нужен только VPN-сервер, то Удаленный доступ (VPN или модем). Настройку служб NAT мы рассматривать не будем, при необходимости обратитесь к данной статье. Также довольно часто встречается ситуация, когда службы NAT уже развернуты, в этом случае нужно включить службы VPN вручную. Для этого в оснастке Маршрутизация и удаленный доступ щелкните правой кнопкой мыши на имени сервера и выберите Свойства. В открывшемся окне на вкладке Общие поставьте переключатель IPv4-маршрутизатор в положение локальной сети и вызова по требованию, а также установите галочку IPv4-сервер удаленного доступа. На вкладке Безопасность введите предварительный ключ. Остальные параметры мы подробно рассматривать не будем, так как подробно рассматривали их в статье посвященной настройке PPTP-сервера. Применяем изменения, перезапускам службу.\nЗатем переходим в раздел Порты и в свойствах L2TP устанавливаем обе галочки Подключения удаленного доступа и Подключения по требованию, максимальное число портов должно соответствовать или превышать предполагаемое количество клиентов. Неиспользуемые протоколы лучше отключить, убрав с свойствах обе галочки. В итоге в списке портов должны остаться только L2TP порты в указанном вами количестве. Настройка L2TP подключения на клиенте производится стандартными методами, на вкладке Безопасность выберите тип VPN как L2TP с IPsec и нажмите кнопку Дополнительные свойства, в открывшемся окне укажите использование предварительного ключа и введите сам ключ. Также не забудьте включить использование протокола расширенной проверки подлинности EAP. В остальном никаких отличий от создания PPTP подключения нет, пользователи могут подключаться к нашему серверу используя свои учетные данные.\n","id":"32a44138073728d0abc2994962b46bb9","link":"https://interface31.ru/post/nastraivaem-vpn-server-chast-5-l2tp-windows/","section":"post","tags":["L2TP","VPN","Windows Server","Сетевые технологии"],"title":"Настраиваем VPN сервер. L2TP. Платформа Windows"},{"body":"Бесплатные антивирусные решения всегда вызывали у пользователей повышенный интерес. Действительно, зачем платить больше, когда можно не платить совсем. С другой стороны всегда существует определенное недоверие к незнакомым и особенно бесплатным антивирусникам. Поэтому по многочисленным просьбам наших читателей мы провели экспресс-тестирование наиболее популярных бесплатных продуктов.\nСразу сделаем важное предупреждение. Мы не проводили полноценного тестирования каждого решения, а выполнили только сигнатурный тест, который характеризует работу исключительно антивирусного сканера, оставляя за бортом все иные методы и технологии защиты. Поэтому не стоит делать выбор того или иного продукта основываясь исключительно на результатах сигнатурного теста.\nСовременные угрозы весьма сложны и разнообразны и становится очевидно что один только сканер, каким бы хорошим он не был не в состоянии обеспечить полноценной защиты. Также справедливо и иное, если сканер не способен эффективно обнаруживать вредоносное ПО, то вряд ли иные технологии, такие как проактивная защита и поведенческие анализаторы, способны будут кардинально изменить ситуацию.\nСхема тестирования не изменилась, эффективность поиска вредоносного ПО оценивалась на подготовленной наборе из 8588 сигнатур отобранных из баз VirusSign за первую половину ноября 2012 года. В качестве платформы нами использовалась Windows 8 Enterprise x64, что позволяло дополнительно оценить работу антивирусных продуктов в среде новой ОС. Скажем сразу - ни у одного участника тестирования проблем не возникло.\nПо итогам тестирования большинство бесплатных антивирусов показали довольно ровный результат, за исключением нескольких представителей. В качестве контроля использовался Антивирус Касперского 2013. Самое время разобрать результаты несколько подробнее, всех участников мы условно разделим на основную группу, куда входят продукты набравшие от 90% и выше, и группу аутсайдеров которую составили MSE и Immunet (ClamAV). Начнем с аутсайдеров нашего тестирования.\nMicrosoft Security Essentials - 19,58% В ходе последующих экспериментов выяснилась еще одна интересная особенность данного программного продукта: если проверка занимает вполне приемлемое время, в данном случае около 1 ч 20 мин, то дождаться обработки обнаруженного вредоносного ПО мы отчаялись и оставили тестовый стенд на ночь. Впоследствии, прогоняя MSE на небольшой свежей базе мы уделили этому моменту немного больше внимания.\nЕсли проверка набора из 2087 сигнатур заняла что-то около получаса, то обработка заняла гораздо больше времени, однако компьютер в общем и процесс антивируса в частности никакой заметной активности не проявляли. На скриншоте ситуация спустя 45 минут от начала обработки: индикатор показывает, что большая часть работы уже выполнена, однако на самом деле там еще \u0026quot;конь не валялся\u0026quot;, все образцы вредоносного ПО на месте. Существует мнение, что MSE создает точки восстановления системы, однако создавать точку восстановления 45 минут явный перебор, да и дисковой активности, которая должна сопутствовать данном процессу, мы не зафиксировали. Спустя примерно час MSE наконец начал обработку, которая заняла у него около получаса. Чем занимался антивирус предшествующий час для нас осталось загадкой, иллюзия работы?\nImmunet 3.0.8.9025 ClamAV + Cloud - 72,29% Еще один бесплатный продукт, который мы подробно рассматривали отдельно, подробнее можно ознакомиться здесь. Мы включили в общий зачет бесплатную версию Immunet использующую связку облачного движка и ClamAV. Результат, конечно, гораздо лучше чем у MSE, но для защиты конечных ПК явно недостаточный, единственный плюс - очень высокая скорость работы. Поэтому оставим ClamAV то, для чего он был разработан - проверка трафика в режиме реального времени на шлюзах, а для защиты ПК лучше поискать другое решение.\navast! Free 7.0.1474 - 90,77% Популярный бесплатный антивирус от чешских разработчиков, считается самым популярным бесплатным антивирусом. Согласно лицензионного соглашения avast! можно бесплатно использовать только в личных, некоммерческих целях и для образовательных учреждений, использование бесплатной версии в организациях будет нарушением лицензии. Для бесплатного продукта avast! имеет весьма богатый набор функций, на уровне дорогих коммерческих решений. В рамках нашего тестирования мы проверили только один компонент - Экран файловой системы в терминах avast! - поэтому делать вывод об эффективности данного антивируса на основании работы только одного компонента, пусть и важного, явно не стоит.\navast! оказался самым быстрым антивирусом в основной группе, но при этом показал самый слабый результат. Почти 10% пропущенного вредоносного ПО это не так уж и мало, однако вполне возможно, что в реальных условиях сочетание сканера с остальными механизмами защиты будет обеспечивать достаточный уровень безопасности, как мы уже писали ранее, одного сканера, как бы хорош он не был, для полноценной защиты от современных угроз будет недостаточно.\nAvira 13.0.0.2832 - 96,17% Avira один из известных и старейших немецких разработчиков антивирусного ПО, однако у нас продукты данного производителя известны мало. Бесплатная версия антивируса Avira предназначена для домашнего использования и для коммерческого применения придется приобрести платную версию продукта.\nAvira - единственный продукт, который не имеет версии для Windows 8, о чем предупреждает при установке, но не смотря на это, с какими либо проблемами при использовании текущей версии в среде Windows 8 мы не столкнулись. По факту бесплатный антивирус Avira является рекламой более функциональной коммерческой версии, недоступные функции не убраны из интерфейса продукта, а просто сделаны неактивными, что должно ежедневно агитировать пользователя к приобретению полной версии продукта. В бесплатной версии пользователю доступны только самые базовые функции. Никаких отличительных особенностей Avira нам не продемонстрировала: хороший, добротно сделанный немецкий продукт, который просто работает. Сканирование заняло среднее время и результат оказался весьма неплох.\nAVG 2013.0.2805 - 96,53% Еще один популярный в Европе антивирусный продукт чешских разработчиков, у нас также имеет некоторое распространения, явно уступая avast! по популярности. Бесплатная версия, аналогично уже рассмотренным нами продуктам, предназначена исключительно для домашнего и некоммерческого использования и является рекламой коммерческих решений данного производителя. Набор функций в бесплатной версии несколько богаче, чем у Avira, но значительно уступает avast! Антивирус продемонстрировал быстрое время сканирования, однако обработка угроз заняла весьма продолжительное время, значительно большее чем у остальных коллег по тестированию, исключая MSE и ZoneAlarm. Результат также неплох, на уровне остальных участников основной группы.\nZoneAlarm Free Antivirus 11.0.000.020 - 96,87% ZoneAlarm - известный разработчик одноименного брандмауэра, весьма популярного в середине двухтысячных. ZoneAlarm Free Antivirus содержит в себе бесплатные версии брандмауэра и антивируса предназначенные для домашнего и некоммерческого использования, исключая госучреждения и учебные заведения. Функциональность бесплатного продукта средняя, однако настройки показались нам несколько скуповаты. По времени сканирования, которое у данного продукта совмещено с обработкой угроз, ZoneAlarm абсолютный аутсайдер в основной группе - это процесс занял 3 часа 21 минуту. Результат вполне типичен и ничем не выделяется из основной группы.\nComodo Antivirus 6.0.260739.2674 - 97,35% Единственный разработчик, который не накладывает ограничений для использования бесплатных версий своих продуктов, вы можете их использовать как дома, так и в офисе. По функциональности Comodo достаточно богатый продукт, уступая только avast!, однако для продвинутых пользователей доступна бесплатная версия Comodo Internet Security, которая по количеству функций и возможности их настройки с большим отрывом опережает не только бесплатные, но и многие платные антивирусные продукты.\nВместе с собой Comodo Antivirus на безальтернативной основе устанавливает набор фирменного софта разной степени полезности, начиная от защищенного браузера Dragon, на основе Chrome и заканчивая сервисами получения технической помощи по подписке GeekBuddy и AntiError, которые довольно навязчивы по умолчанию. Интересно, что при удалении основного продукта этот \u0026quot;товар в нагрузку\u0026quot; вполне благополучно остается жить в системе и каждый экземпляр нужно удалять отдельно. По пользовательским характеристикам Comodo ничем особым не выделяется, довольно прост в использовании, понятен. Время сканирования и обработки угроз среднее, результат несколько выше чем у основных участников и самый высокий из них. Однако, учитывая небольшую разницу, сказать что Comodo Antivirus стал лучшим мы не можем, все продукты основной группы, кроме avast!, показали очень близкие результаты.\nВыводы Выводов сегодня как таковых не будет. Практически все тестируемые продукты, кроме аутсайдеров, показали хороший результат и выбор между ними следует делать исходя из иных показателей, например функциональности продуктов, скорости работы или возможности коммерческого использования.\n","id":"42b7154b0931a3f60ee2d50ab87b2d90","link":"https://interface31.ru/post/ekspress-testirovanie-besplatnyh-antivirusov/","section":"post","tags":["avast","AVG","Avira","ClamAV","Comodo","Kaspersky","Windows Defender","Zone Alarm","Антивирус"],"title":"Экспресс-тестирование бесплатных антивирусов"},{"body":"Zimbra Collaboration Server - известный продукт компании VMWare, который представляет собой не только электронную почту корпоративного уровня, но и календарь, и средство совместной работы, одинаково подходящий как крупным компаниям, так и небольшим фирмам. В данной статье мы рассмотрим установку бесплатной Open Source версии Zimbra на сервер под управлением Ubuntu 12.04 LTS.\nИ почему все таки Zimbra? Причин несколько. Во-первых просто почта, как средство отправки - получения электронной корреспонденции сегодня мало кого устраивает. Как минимум требуется календарь с возможностью пересылать задачи и контролировать ход их выполнения. Также крайне желательно наличие удобного веб-интерфейса, поддерживающего работу мобильных устройств, для сотрудников находящихся вне офиса. И это - необходимый минимум. Сегодня даже бесплатные почтовые службы готовы предложить многое из перечисленного.\nПостоянные читатели помнят, что в свое время мы начали цикл, посвященный почтовому серверу для начинающих, однако с практической частью вышла весьма продолжительная задержка. Мы несколько раз пробовали подготовить материалы и убеждались, что \u0026quot;классическая схема\u0026quot;: Postfix (Exim) + Dovecot весьма сложна для настройки начинающими и не менее сложно администрирование этой связки. А поставил жирную точку на этой схеме тот факт, что получавшийся на выходе продукт годился максимум на почту для хостинга и в корпоративной среде оказывался бесполезен.\nВ тоже время Zimbra даже в бесплатной версии предоставляет все то, что нужно корпоративным клиентам и весьма проста в установке и использовании. Для установки мы будем использовать сервер под управлением Ubuntu Server 12.04 64-бит и подразумеваем что читатель имеет начальные навыки администрирования Linux, а также располагает необходимым минимумом знаний, хотя бы объеме этих материалов:\nПочтовый сервер для начинающих. Структура и принцип работы. Почтовый сервер для начинающих. Настраиваем DNS зону. Перед тем, как приступать к настройке почтового сервера, следует убедиться что для домена сделана MX-запись, которая указывает на почтовый хост, А-запись которого содержит внешний IP-адрес вашей корпоративной сети.\nВ нашем случае имя почтового хоста будет mail.interface31.ru и А-запись данного хоста будет указывать на внешний интерфейс нашего роутера, сам почтовый сервер будет располагаться в локальной сети и иметь адрес 10.0.0.25.\nПри установке системы следует обратить внимание на две особенности:\nИмя почтового сервера должно содержать полное FQDN имя хоста, т.е. в нашем случае mail.interface31.ru. Так как сама Zimbra и все сообщения хранятся в /opt есть смысл вынести его на отдельный диск. После установки обновим систему и приступим к подготовительным работам. Обязательное условие нормальной работы Zimbra - используемый DNS сервер должен содержать MX и А записи для хоста. В случае, когда почтовый сервер находится в локальной сети за NAT требуется настройка схемы с двойным горизонтом DNS (Split DNS), его можно настроить на DNS сервере предприятия, что требует достаточно глубоких знаний используемого DNS-сервера или установить на хост с Zimbra DNS-сервер - заглушку, которая будет иметь необходимые записи и обслуживать исключительно почтовый сервер.\nДля этих целей установим dnsmasq\n1apt-get install dnsmasq и приведем его конфиг /etc/dnsmasq.conf к следующему виду:\n1server=10.0.0.1 2domain=interface31.ru 3mx-host=interface31.ru,mail.interface31.ru,10 4listen-address=127.0.0.1 Первая опция указывает вышестоящий DNS-сервер, в качестве которого вам следует указать используемый в вашей сети DNS или один из публичных серверов.\nТеперь следует откорректировать /etc/hosts чтобы он содержал следующие записи:\n1127.0.0.1 localhost.localdomain localhost 210.0.0.25 mail.interface31.ru mail Затем следует настроить наш сервер на использование локального DNS, следует помнить, что в Ubuntu 12.04 resolv.conf генерируется автоматически и для указания DNS-серверов следует использовать файл /etc/network/interfaces, который в нашем случае имеет следующее содержимое:\n1auto eth0 2 iface eth0 inet static 3 address 10.0.0.25 4 netmask 255.255.255.0 5 gateway 10.0.0.1 6 dns-search interface31.ru 7 dns-nameservers 127.0.0.1 Сохраняем конфигурацию, перезагружаем сервер.\nДля проверки правильности настроек выполним команду:\n1dig interface31.ru mx которая должна вернуть в качестве MX-записи имя нашего сервера, А-запись которого должна указывать на локальный адрес. Установим необходимые зависимости:\n1apt-get install libgmp3c2 2apt-get install libperl5.14 3apt-get install sysstat 4apt-get install sqlite3 На этом подготовка сервера закончена, можно переходить непосредственно к установке Zimbra. Скачаем дистрибутив с сайта разработчика и разместим архив на сервере, скажем в домашней папке. После чего перейдем в нее и распакуем архив, для ввода длинных имен удобно набрать несколько первых букв и воспользоваться автодополнением по Tab:\n1cd ~ 2tar xzvf zcs-8.0.1_GA_5438.UBUNTU12_64.20121105164409.tgz Теперь перейдем в распакованную папку и запустим скрипт установки:\n1cd zcs-8.0.1_GA_5438.UBUNTU12_64.20121105164409 2./install.sh Соглашаемся с лицензионными соглашениями и, после проверки необходимых настроек и зависимостей, скрипт предложит вам перейти к установке, либо сообщит какого пакета вам не хватает. В этом случае надо выйти, доустановить зависимости и начать установку заново. Следующий шаг - выбор устанавливаемых компонентов, в нашем случае принимаем значения по умолчанию и приступаем к установке. В конце установки вы можете получить ошибку DNS, связанную с тем, что Zimbra неправильно определила имя домена, в этом случае необходимо принять предложение инсталлятора и указать домен правильно. После чего будет выведено основное меню, единственное, что здесь нужно сделать - указать пароль администратора (учетная запись admin), для этого нажимаем 3, затем 4, вводим новый пароль, возвращаемся в основное меню нажав r и подтверждаем изменения клавишей a, после чего скрипт предложит сохранить конфигурацию. Здесь есть еще один неочевидный момент, при установке Zimbra в первый раз, многие получив на экран сообщение Save config in file: [/opt/zimbra/config. 30316] ждали и не могли дождаться конца операции, в то время как нужно подтвердить сохранение конфига в указанный файл нажав Enter.\nДальнейший процесс не занимает много времени и не способен вызвать каких-либо затруднений. По окончании установки следует проверить что все необходимые службы запущены:\n1su zimbra 2zmcontrol status Если какая либо служба не запущена, то пробуем запустить ее командой\n1zmcontrol start Убедившись что все нормально, можно задвигать сервер на полку в серверной, все остальные настройки делаются через удобный веб-интерфейс. Но не стоит спешить. Для удобства клиентов следует прописать на локальном DNS-сервере запись сопоставляющую имя хоста mail.interface31.ru с внутренним IP-адресом сервера, иначе, находясь в офисе им придется набирать один адрес, а за его пределами другой.\nПанель администрирования будет доступна по адресу https://mail.interface31.ru:7071/zimbraAdmin, для входа используем имя admin и пароль заданный на этапе конфигурирования. Подробное рассмотрение возможных настроек Zimbra выходит за рамки данной статьи, однако стоит отметить что запутаться в админ-панели решительно негде и даже начинающий администратор без труда справится с основными задачами. Например с созданием почтовых аккаунтов. Теперь можно проверить работу почты. Клиентский веб-интерфейс по умолчанию доступен только по защищенному протоколу, поэтому набираем https://mail.interface31.ru и попадаем на страницу входа, где можно выбрать тип клиента: современный AJAX (по умолчанию), обычный HTML или интерфейс для мобильных устройств. Работа с почтой не вызовет затруднений даже у самых малоопытных сотрудников: все привычно и стандартно: Для проверки пробуем отправить почту локальным пользователям, затем на внешний почтовый ящик. Для того, чтобы наш сервер мог получать почту извне нужно опубликовать на внешнем интерфейсе роутера (пробросить) порт 25 SMTP и 443 HTTPS для доступа в веб-интерфейс. Как это сделать в Ubuntu мы рассказывали здесь.\nКроме почты в нашем распоряжении адресная книга, задачи и календарь, события которого можно легко пересылать коллегам. Попытка даже коротко рассказать о всех возможностях Zimbra выходит далеко за рамки данной статьи и мы оставим ее для следующих материалов, при этом напомнив, что никакой сложности в их освоении нет и обычно сотрудники без труда сами осваивают все новые функции.\n","id":"02d856ba7633dba9a19b9c184196b306","link":"https://interface31.ru/post/zimbra-pochtovyy-server-i-ne-tolko/","section":"post","tags":["DNS","Dnsmasq","E-mail","Ubuntu Server","Zimbra"],"title":"Zimbra - почтовый сервер и не только..."},{"body":"ClamAV стоит несколько особняком в компании прочих антивирусных решений. Это свободный продукт распространяемый по лицензии GPL и доступный для всех основных операционных систем. Справедливо возникает вопрос - насколько данный антивирус эффективен? В нашей статье мы постараемся дать ответ на данный вопрос.\nТакже сразу следует уточнить: ClamAV не является антивирусом для защиты рабочих станций, его основное назначение - работа на почтовых шлюзах, что накладывает определенный отпечаток на характеристики продукта. В тоже время существуют и десктопные версии антивируса и даже коммерческие продукты на его основе.\nНо обо всем по порядку. Прежде всего нас интересует эффективность движка ClamAV в средах Windows и Linux. Для этого мы протестировали ClamAV с графической надстройкой в среде Kubuntu 12.10 и ClamWin в среде Windows 8. Для тестирования мы использовали тот же набор вредоносного ПО, который использовали для проверки MSE, что дает возможность дополнительно сравнить результаты. В обоих случаях использовалась последняя на сегодня версия ClamAV - 0.97.6.\nПервое, что обращает на себя внимание - это высокая скорость сканирования, пожалуй самая высокая среди известных нам антивирусов. Учитывая то, что основная задача ClamAV - сканирование почтового трафика на шлюзах, становится понятно, что скорость положена во главу угла, возможно даже в ущерб эффективности, что подтверждается результатами. Linux версия ClamAV определила чуть больше половины из предложенного набора, Windows версия неожиданно показала ощутимо более плохой результат. Итоговый расклад выглядит следующим образом: Как интерпретировать полученные результаты? Безусловно, хотя бесплатный и открытый ClamAV показал себя гораздо лучше Microsoft Security Essentials, для защиты рабочих станций его эффективности явно недостаточно. Однако никто и не предлагает это делать.\nА вот если учесть, что основное использование ClamAV - шлюзы и это первый рубеж антивирусной защиты инфраструктуры, то результат весьма и весьма неплох, с учетом возможности сканирования трафика (и не только почтового) на лету. Действительно, 50% вирусов отсеянные на первом этапе - это в разы меньшее количество вирусных инцидентов в вашей сети. Хотелось бы, конечно, и больше, но что имеем, то имеем. Во всяком случае мы не видим оснований отказываться от ClamAV, как решения для шлюзов, и заменять его на коммерческие решения. Высокая скорость и бесплатность делают ClamAV неплохим выбором для небольших и средних сетей.\nНо на этом наш обзор не заканчивается. На официальном сайте ClamAV присутствует ссылка на Immunet 3.0 - коммерческий продукт на основе ClamAV и предназначенный для защиты рабочих станций под управлением Windows. Данный продукт предлагает к использованию три антивирусных движка: ClamAV, TETRA и облачный движок на базе ClamAV, требующий наличия интернет соединения. Существует также бесплатная версия, в которой доступны только ClamAV и облачный движок. Облачный движок можно сочетать с двумя другими, совместное использование ClamAV и TETRA не рекомендуется. Антивирусный движок в облаке довольно необычный, но вполне ожидаемый шаг, облачные решения предлагают все ведущие антивирусные вендоры. Кроме минуса, в виде обязательного интернет соединения, такой подход несет ряд плюсов: всегда актуальная база, высокая скорость реагирования на новые угрозы.\nМы протестировали каждый движок в отдельности и связки из оффлайн и облачного движков, в итоге были получены следующие результаты: Облачный движок показал более высокий чем ClamWin результат, но все еще весьма низкий для настольного антивируса, кроме того требование постоянного наличия интернет соединения позволяет использовать данный движок только в качестве дополнительного.\nClamAV показал более высокий результат, но также недостаточный для применения для защиты рабочих станций, в сочетании с облаком получился несколько более высокий результат, но все еще недостаточный для настольного продукта.\nДвижок TETRA показал гораздо лучшие результаты и подключение облачного движка практически никак не повлияло на результат. Однако резко выросло время сканирования, примерно на уровне коммерческих решений. Общий результат для движка не первого эшелона неплох, однако платить за это деньги? Какой смысл? Немного доплатив (Immunet стоит 20$) можно взять антивирус от ведущих производителей или воспользоваться многочисленными бесплатными решениями.\nВыводы ClamAV в ходе нашего тестирования показал весьма неоднозначные результаты. С одной стороны высокая скорость при среднем уровне детекта делает его неплохим, с учетом бесплатности, решением для шлюзов, с другой результат явно недостаточен для защиты рабочих станций и Immunet 3.0 это прекрасно продемонстрировал. Поэтому мы не рекомендуем использовать ClamAV для защиты пользовательских ПК, в тоже время не видим причин отказываться от него на шлюзах и Linux-серверах в качестве первого рубежа антивирусной защиты.\n","id":"7ce0ebae5bab3fc2d4905fd423d840bb","link":"https://interface31.ru/post/naskolko-effektiven-clamav/","section":"post","tags":["ClamAV","Антивирус"],"title":"Насколько эффективен ClamAV?"},{"body":"В прошлых материалах мы рассказали как правильно развернуть и настроить инфраструктуру Active Directory, сегодня мы поговорим о том, как правильно ввести в структуру AD уже существующие рабочие станции и учетные записи пользователей. Следуя нашим рекомендациям вы сможете избежать ряда потенциальных проблем и осуществить переход к AD наиболее безболезненно.\nОчень редко когда структура Active Directory создается с нуля, гораздо чаще службы каталогов разворачиваются уже на базе существующей сети, где каждый пользователь имеет свою, настроенную согласно его потребностям, учетную запись, свой набор ярлыков, папок, программ, настроек. При переходе от локальной учетной записи к учетной записи Active Directiory все эти настройки окажутся потерянными и учетную запись пользователя нужно настраивать заново.\nА сколько таких учетных записей? Явно не одна и не две, а если принять во внимание, что все равно что нибудь забудете или упустите из виду, то становится понятно, что процесс перевода инфраструктуры от обычной сети к службе каталогов способен превратиться в настоящий ад, как для администратора, так и для сотрудников. Что же делать? Не спешить и, для начала, внимательно прочитать нашу статью.\nК сожалению не одни только ученые записи способны вызвать затруднения при переходе на Active Directory, поэтому самое время вспомнить о том, что такое SID. SID компьютера - это уникальный идентификатор безопасности, который генерируется при установке системы и используется в качестве основы при создании прочих идентификаторов (для пользователей, групп и т.п.). Хотя в настоящее время многие специалисты считают проблему дублирующегося SID преувеличенной, например см. статью М. Руссиновича \u0026quot;Миф о дублировании SID компьютера\u0026quot;, мы не рекомендуем рисковать и включать в домен машины с одинаковыми SID.\nКогда может возникнуть такая ситуация? При клонировании уже установленной системы на несколько ПК, например столь любимыми многими утилитами Norton Ghost или Acronis. Появление в сети подобным машин может привести к неправильному применению групповых политик и некорректной работе некоторых сетевых служб, например WSUS. Мы не будем однозначно утверждать, что данные проблемы возникают именно от дублирующегося SID, но лучше предупредить возможные проблемы, чем потом заниматься их решением. Поэтому лучше позаботиться об уникальности SID до включения машин в домен и появления возможных проблем.\nДля обеспечения уникальности SID следует использовать утилиту sysprep, о использовании которой мы рассказывали в данной статье, в Windows 7 данная утилита входит в состав системы и расположена в C:\\Windows\\System32\\sysprep.\nТакже ни при каких обстоятельствах не допускайте клонирования уже включенной в домен системы - это верный способ получить вес спектр неприятностей связанных с одинаковыми идентификаторами. С этой темой тесно пересекается ситуация с заменой ПК сотрудника, когда новый компьютер должен иметь то-же самое имя, что и старый. При этом простое переименование старого ПК не даст нужного эффекта, для устранения возможных проблем старый ПК необходимо вывести из домена, ввести туда новый ПК под тем же именем, а затем снова ввести старый, но с новым именем хоста, если есть такая необходимость.\nИтак, у нас есть некая рабочая станция за которой работает сотрудник Иванов и которую нужно ввести в домен. В первую очередь убедитесь что ПК имеет желаемое имя и при необходимости переименуйте компьютер, не забудьте перезагрузиться. Следующим шагом необходимо правильно настроить сеть, так как в нашей сети развернут DHCP-сервер достаточно установить автоматическое получение сетевых параметров и убедиться в получении правильных значений. Для серверов, которые должны иметь статические сетевые параметры укажите необходимые значения вручную, особое внимание следует уделить DNS-серверам, это должны быть адреса двух любых контроллеров домена (которые совмещают роль DNS-сервера), в противном случае у вас не получится ввести такой компьютер в домен.\nЕсли вам нужно чтобы какая-либо рабочая станция имела статический адрес, то не стоит указывать его вручную, более правильно будет использовать такую функцию DHCP-сервера как резервирование. Это позволит вам в последующем менять настройки сети без необходимости вносить изменения на каждой рабочей станции (например поменять адрес шлюза). Для резервирования откройте оснастку управления DHCP-сервером, перейдите в папку Арендованные адреса и щелкнув на нужном хосте правой кнопкой мыши выберите Добавить к резервированию. Этим вы закрепите выделенный адрес за данным компьютером на постоянной основе. Теперь самое время включить наш компьютер в домен. Для этого перейдите в Свойства системы - Имя компьютера и нажмите кнопку Изменить. В открывшемся окне выберите Является членом домена и укажите имя домена в который мы хотим войти, затем нажмите OK, затем укажите имя и пароль пользователя имеющего право на включение компьютера в домен (по умолчанию администратор домена). Если все сделано правильно и указанный пользователь имеет необходимые права то вы увидите следующее сообщение: В противном случае проверьте правильность сетевых настроек, доступность контроллеров домена и наличие необходимых прав у указанного пользователя, затем повторите попытку.\nПосле перезагрузки можно попробовать войти под доменной учетной записью, которую нужно предварительно создать на любом из контроллеров домена. Для этого откройте оснастку Active Directory - пользователи и компьютеры, перейдите в папку User и создайте там нового пользователя. Теперь в систему можно войти под именем нового пользователя. И убедиться в том, о чем мы говорили в начале статьи: работая под локальной учетной записью пользователь Иванов имел привычным образом расположенные файлы, папки и ярлыки, программы были соответствующим образом настроены, кроме того имелась учетная запись почты, избранное браузера и т.д. и т.п. Сейчас он имеет стерильно чистый профиль, который необходимо настраивать заново. Поэтому самое время заняться переносом профиля локальной учетной записи в доменную. Для этого следует воспользоваться инструментом User State Migration Tool, который входит в состав Пакета автоматической установки Windows (AIK), скачать его можно здесь.\nДанный пакет нет необходимости устанавливать на всех ПК, вполне достаточно будет установки на компьютер администратора или один из серверов. Искомый набор утилит находится в папке C:\\Program Files\\Windows AIK\\Tools\\USMT нам нужно будет скопировать их на целевую систему или сделать доступными по сети. Процесс переноса профиля состоит из двух этапов: создание файла переноса с данными и параметрами указанного пользователя и восстановление профиля из файла переноса, причем сделать это можно на любом ПК, что позволяет быстро перенести профиль с одного ПК на другой при замене компьютера.\nИнформация Внимание! Вы можете перенести профиль из 32-х разрядной системы в 64-х разрядную, однако обратный перенос из 64-х разрядной в 32-х разрядную не поддерживается!\nДля создания файла переноса используется утилита ScanState с синтаксисом которой можно ознакомиться здесь. В нашем случае мы будем переносить локальный профиль пользователя WWW в профиль доменного пользователя ivanov. Для создания файла переноса войдите в систему под учетной записью администратора домена, перейдите в папку с нужной версией USMT (32 или 64 бит) и выполните следующую команду:\n1scanstate C:\\Migration\\User /i:miguser.xml /i:migapp.xml /v:13 /ue:*\\* /ui:WWW /l:C:\\Migration\\scan.log Синтаксис команды на первый взгляд довольно сложен, но это не так. Первый аргумент указывает расположение файла переноса, ключ /i: указывает какие правила переноса следует использовать, ключ /v: задает необходимый уровень детализации лога, сочетание ключей /ue: и /ui: исключает из переноса всех пользователей кроме WWW, а ключ /l: определяет расположение лога.\nРезультатом исполнения команды будет короткий отчет о выполненных операциях которые должны закончиться успехом. Итак, файл переноса создан, но не спешите переходить ко второму этапу. Если вы уже входили в систему под целевым пользователем, то необходимо удалить или переименовать папку с профилем в каталоге C:\\Users и удалить соответствующий профилю раздел в ветке реестра:\n1HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ProfileList В противном случае при попытке восстановления профиля вы получите ошибку с кодом 71: LoadState return code: 71. После того, как вы выполните данные операции можно переходит к восстановлению профиля при помощи утилиты LoadState, советуем ознакомиться с ее синтаксисом здесь. Для переноса профиля используйте следующую команду:\n1loadstate C:\\Migration\\User /i:miguser.xml /i:migapp.xml /v:13 /mu:WWW:interface31.lab\\ivanov /l:C:\\Migration\\load.log Структура команды во многом похожа на предыдущую, одноименные ключи имеют аналогичное значение, ключ /mu: указывает исходный профиль и профиль назначения, доменные учетные записи указываются как Domain\\User. В нашем случае профиль локального пользователя WWW будет восстановлен в профиль пользователя interface31.lab\\ivanov. Теперь, выполнив вход под доменной учетной записью пользователь Иванов обнаружит привычное рабочее окружение, как видно на скриншоте ниже, перенеслось даже содержимое корзины. Данный метод можно использовать для операционных систем Windows Vista/7, для переноса профилей в среде Windows XP также можно использовать USMT несколько изменив синтаксис команд, но лучше воспользоваться утилитой moveuser, которая входит в состав Windows Server 2003 Resource Kit Tools (скачать). Точно также, как и в предыдущем случае, нет необходимости устанавливать пакет на каждую машину, достаточно скопировать утилиту moveuser которая находится в папке C:\\Program Files\\Windows Resource Kits\\Tools. Для переноса профиля также войдите на целевой ПК как администратор домена и выполните команду:\n1moveuser www interface31.lab\\petrov /y Синтаксис данной утилиты гораздо проще и его можно изучить запустив ее без аргументов. Ключ /y разрешает перезаписать профиль назначения если он существует, т.е. вы можете предварительно выполнить вход доменным пользователем на эту машину, это никак не помешает переносу, после переноса вход под локальным пользователем будет невозможен, если вы хотите продолжать использовать локальный профиль укажите дополнительно ключ /k. Выполним вход под доменной записью пользователя Петров и убедимся что он может продолжать работу в домене с привычным рабочим окружением. Как видим, использование специализированных утилит для переноса пользовательских профилей не вызывает затруднений и способно значительно облегчить работу системного администратора и свести к минимуму неудобства пользователей в процессе внедрения Active Directory.\n","id":"74894b3c7c6558225475bec0a5201a07","link":"https://interface31.ru/post/active-directory-ot-teorii-k-praktike-chast-4/","section":"post","tags":["Active Directory","DHCP","rktools","Sysprep","WAIK","Windows Server","Службы каталогов"],"title":"Active Directory - от теории к практике. Часть 4 - перенос учетных записей в домен"},{"body":"Данный продукт представлять не надо, Microsoft сама в этом преуспела. Изначально представив Security Essentials как продукт для домашних пользователей, компания начала наступление в сектор SOHO, разрешив использовать продукт в небольших компаниях, а затем и вовсе сделала его частью операционной системы Windows 8 под именем Windows Defender. Предложение безусловно привлекательное, осталось только разобраться, насколько надежна эта защита.\nВопрос этот, к сожалению, не праздный. В нашей практике приходилось неоднократно сталкиваться с ситуацией наличия на компьютерах с установленным MSE активного вредоносного ПО. Поэтому мы решили провести небольшое экспресс-тестирование.\nНаиболее доступный способ тестирования антивируса - сигнатурный тест, хотя он последнее время подвергается критике со стороны как производителей антивирусного ПО, так и специалистов по безопасности. Критика во многом справедлива, так как один только сканер, как бы хорошо он не справлялся со своими задачами не способен оградить пользователя от всего спектра интернет угроз. Но справедливо и иное, если сканер работает неудовлетворительно, то никакой эвристик, поведенческий анализатор и т.д. не спасут ситуацию.\nКритика сигнатурного способа звучит в основном от крупных производителей и их вполне можно понять. Если продукт А известного вендора и продукт Б собраный на коленке группой энтузиастов набирают в сигнатурном тесте примерно одинаковое количество баллов, то это не говорит, что продукт Б также хорош как А, так как первый, кроме сканера, содержит еще и поведенческий анализатор, антифишинг, веб-антивирус и т.д. и т.п., а второй ничего этого не имеет. Также учитывая, что разница в сигнатурных тестах между основными участниками рынка составляет единицы процентов, то становится понятно, что для полноценного сравнения антивирусных продуктов нужны иные методы.\nМы не ставили себе целью узнать, насколько хорошо Microsoft Security Essentials защищает от всего спектра современных угроз, нас интересовало только то, как он справляется со свой основной задачей - поиском вредоносного ПО, а для этой цели сигнатурный метод подходит как нельзя лучше.\nВ качестве базы сигнатур мы использовали базу VirusSign за первые две недели ноября 2012 года, отобрав из нее только явно вредоносное ПО и исключив разного рода неоднозначности, типа рекламного ПО, потенциально опасного и т.д. прогнав ее предварительно сканерами нескольких ведущих производителей антивирусного ПО. В итоге мы получили набор из 8588 сигнатур на которых и проводили наше тестирование.\nМетодика теста проста, мы запускали проверку папки с сигнатурами, отключив активную защиту антивируса и установив в настройках сканера удаление вредоносного ПО без попытки лечения. После окончания проверки смотрели что осталось в целевой папке и на основании этих данных подсчитывали результат. Такая методика была выбрана потому что многие образцы вредоносного ПО являются контейнерами, содержащими внутри еще некоторое количество файлов и разные антивирусы по разному определяют число проверенных и обнаруженных объектов.\nВ качестве объектов тестирования выступали Microsoft Security Essentials последней версии в вариантах для Windows XP и Windows 7 (x64), а также Windows Defender из состава Windows 8 Enterprise (x64). В качестве контроля тот же самый набор сигнатур был проверен в среде этих же OC последними версиями Антивируса Касперского и Dr.Web. Результат нас разочаровал, откровенно говоря, такого провала мы не ожидали. Антивирусные решения от Microsoft смогли найти только пятую часть от всего набора вредоносного ПО. Кроме того вся \u0026quot;линейка продуктов\u0026quot;, начиная с MSE для XP и заканчивая Windows Defender для Windows 8 по сути является одной и той же программой в разных обертках, о чем наглядно свидетельствует результат.\nРезультаты данного теста повторяют результат нашего коллеги Владимира Безмалого, хотя он использовал иной набор сигнатур и проводил несколько более широкий набор тестов (поэтому рекомендуем ознакомиться с материалом по ссылке).\nЕще один скриншот, без комментариев: Выводы Нам кажется, что читатели к данному моменту уже сделали выводы самостоятельно. Но все-таки подведем итог: на сегодняшний день рассматривать Microsoft Security Essentials / Windows Defender в качестве средства антивирусной защиты нельзя и использовать его категорически не рекомендуется. Фактически данный продукт создает только иллюзию защиты, на самом деле не предоставляя ее.\n","id":"0059f8d487c115c5f32545db0ff8aec8","link":"https://interface31.ru/post/microsoft-security-essentials-illyuziya-zashhity/","section":"post","tags":["Dr.Web","Kaspersky","Windows Defender","Антивирус"],"title":"Microsoft Security Essentials - иллюзия защиты"},{"body":"Жесткие диски общего назначения - что может быть скучнее? Ну о чем еще тут писать? Так думают многие, пока не столкнутся с вопросом расширения дискового пространства за разумные деньги. Seagate Barracuda 2 Тб имеет весьма привлекательный ценник и одно из самых низких значений стоимости хранения. Здесь у нас все в порядке. Осталось посмотреть как обстоят дела с другими характеристиками.\nHDD 2 Tb SATA 6Gb / s Seagate Barracuda (ST2000DM001) действительно выглядит очень привлекательно - еще бы, 3120 руб за 2 Тб диск или 1,56 руб/Гб. Ниже мы представили небольшое сравнение стоимости хранения популярных 2 Тб дисков присутствующих на рынке (цены указаны на конец октября 2012). Как видим, наш диск уверенно лидирует по стоимости хранения 1Гб данных, что-то похожее может предложить только WD с диском Green серии. Но не будем забывать, что Green - экономичная серия и предназначена в первую очередь для хранения данных, в то время как Barracuda - диск массового применения и должен обладать лучшей производительностью.\nИтак перед нами Seagate Barracuda (ST2000DM001) по характеристикам это самый обычный диск массовой серии. Даже написать нечего, поэтому самое время перейти к тестам. CrystalDiskMark показывает вполне обычные для современного массового диска характеристики, особо выделить также нечего, диск однозначно быстрее экономичных и медленнее производительных. Все по честному. Хотя можно вернуться на полтора года назад и сравнить данный диск с одним из лидеров рынка начала 2011 года Western Digital 500 Гб Caviar Black WD5002AALX, как видим, технологии неплохо шагнули вперед и сегодня обычный диск массовой серии превосходит производительные решения полуторагодовалой давности.\nПерейдем к более подробным тестам которые мы проводим с помощью HD Tune Pro 5.0.\nПервый тест принес вполне ожидаемые результаты: Единственно настораживает большая нестабильность скорости чтения - колебания до 50 МБ/с в начале диска. Мы проверили все четыре имеющихся в нашем распоряжении диска, на всех картина была идентичной. Хотя, учитывая стоимость диска, выдвигать какие-либо претензии будет неуместно, да и катастрофического мы пока ничего не увидели, несмотря на нестабильный график общие скоростные характеристики находятся в пределах нормы, как и время доступа.\nФайловый тест опять показал некоторую нестабильность результатов - график представляет собой ступеньки с шагом в 25 МБ/с, но назвать результат плохим мы снова не можем. Тест времени случайного доступа показал весьма неплохой результат, как раз такой, какой мы и ожидали увидеть у диска массовой серии. Последний тест мы даже комментировать не будем, настолько тут все типично и ожидаемо. В общем и целом перед нами обычный средний диск со средними характеристиками, не лучше и не хуже других массовых дисков общего применения. В минусы можно записать нестабильность графика чтения, но с учетом того, что это самый недорогой диск на рынке, мы не будем слишком требовательны в оценке.\nТеперь самое интересное, тестирование практических сценариев с помощью Intel NASPT. Данный тест хорошо показывает поведение диска в условиях максимально приближенных к реальным и иногда приносит неожиданные результаты. Так например WD Red WD10EFRX неплохо показав себя в предыдущих тестах с треском завалил многопоточное чтение. Общие результаты вполне соответствуют ожиданиям, во всяком случае никаких явных провалов не наблюдается. Посмотрим на графики.\nВоспроизведение в один поток, сразу бросается в глаза нестабильная скорость, это наглядное отражение неровного графика в HD Tune Pro применительно к реальному сценарию. Однако опять-таки результат трудно назвать плохим, средняя скорость весьма велика и серьезных проблем с производительностью не наблюдается. Графики в два и четыре потока выглядят получше, вполне возможно что нестабильная скорость чтения каждого из потоков просто усредняется накладываясь друг на друга. В тоже время общий результат можно смело назвать неплохим, диски уверенно обеспечивают достаточно высокую среднюю скорость и не допускают значительных провалов. Выводы Несмотря на некоторые недостатки, перед нами вполне обычные диски общего применения, не обладающие какими либо выдающимися качествами и не сильно отличающиеся от других массовых дисков. Все что выделяет их - это цена. А это уже совсем меняет дело, можно сказать что перед нами вполне неплохой и производительный диск за очень небольшие деньги, который можно смело рекомендовать к покупке и применению для хранения и обработки ваших данных. Он одинаково хорошо подойдет как для домашнего ПК или рабочей станции, так и для небольших файловых серверов уровня рабочей группы, где на первое место выходит низкая стоимость хранения при средней производительности.\n","id":"958e2a832e77dd8f95c9531a75155139","link":"https://interface31.ru/post/seagate-barracuda-2-tb-nedorogo-i-serdito/","section":"post","tags":["HDD","Seagate","Файловый сервер"],"title":"Seagate Barracuda 2 Тб - недорого и сердито"},{"body":"Hyper-V является одним из самых простых в освоении и доступных средств серверной виртуализации. Этому способствуют несколько причин: он бесплатен и может быть развернут как в виде отдельного гипервизора, так и в виде одной из ролей Windows Server. Последняя возможность делает продукт особенно интересным для начинающих администраторов, позволяя опробовать виртуализацию в реальной среде без особых затрат и сложностей.\nДействительно, внедрение виртуализации в реальную инфраструктуру предприятия часто сдерживается опасениями администраторов и руководства по поводу надежности, стабильности и производительности подобного решения. Руководство вполне справедливо высказывает опасения, а администраторы не спешат брать на себя ответственность, так как не имеют достаточного опыта работы с данной технологией в реальных условиях.\nОсновное затруднение связано с тем, что большинство гипервизоров требуют установки на железо, т.е. выделения отдельного сервера. Покупка же нового оборудования для \u0026quot;экспериментов\u0026quot; администратора - это уже фантастика, причем далеко не научная. В тоже время любой администратор без труда отыщет в своем хозяйстве сервер ресурсы которого используются неоптимально, а это прекрасный повод совместить полезное с приятным: изучить новую технологию получив реальные результаты в производственной среде.\nПервые кандидаты для переезда в виртуальную среду - это вспомогательные сервисы, такие как web-сервера, сервера обмена сообщениями (Jabber) и т.д. и т.п. Обычно данные службы не удостаиваются выделенных серверов и подняты как \u0026quot;еще одна роль\u0026quot; на каком либо из серверов предприятия, что создает для администраторов ряд неудобств, так как обслуживание данных сервисов напрямую затрагивает важные службы и делать это очень часто приходится в нерабочее время и с большой опаской. Иногда предпочитают даже не делать, так как эпизодически падающий web-сервер лучше эпизодически падающего сервера приложений. Также в ряде случаев сбои вспомогательных служб могут приводить к отказу и основных ролей размещенных на этом сервере.\nГоворить о преимуществах виртуализации можно долго, но лучше один раз увидеть, чем сто раз услышать, поэтому перейдем к практической части нашего материала.\nУстановка Hyper-V как роли ничем не отличается от установки иных ролей Windows Server. Также выбираем оснастку Роли в Диспетчере сервера и запускаем Мастер добавления ролей. Выбираем роль Hyper-V и нажимаем Далее. Следующим шагом нам будет предложено создать виртуальные сети. В Hyper-V виртуальная сеть представляет собой виртуальный коммутатор к которому подключаются виртуальные машины, с внешним миром такой коммутатор может быть соединен посредством одного из физических сетевых адаптеров хоста.\nВажно понимать, что в отличие от VMware, Hyper-V не позволяет подключить виртуальный сетевой адаптер непосредственно к внешней сети и вы должны создать виртуальную сеть даже если у вас будет всего одна виртуалка.\nВ показанном ниже окне выбираем одну или несколько сетевых плат, которые будут соединены с соответствующими виртуальными сетями. Если вы не собираетесь реализовывать сложную схему с несколькими сетями, то будет вполне достаточно выбрать один адаптер, тот который смотрит в локальную сеть. Единственное что следует учитывать - это пропускную способность, так как к собственному трафику хоста прибавится трафик виртуальных машин, поэтому категорически не рекомендуется использовать для этих целей 100 Мбит/с сетевое подключение.\nПосле чего жмем далее и приступаем к установке роли, для ее окончания потребуются две перезагрузки, это стоит учитывать при планировании, чтобы не допустить непредвиденного останова основных служб.\nДля управления виртуальными машинами предназначен Диспетчер Hyper-V, вы можете запустить его из оснастки Роли Диспетчера сервера или через меню Пуск - Администрирование. Диспетчер Hyper-V позволяет подключаться как к локальному, так и к удаленным Hyper-V серверам, в данном случае нас интересует подключение к локальному серверу.\nРабота с Hyper-V довольна проста и интуитивно понятна. Для примера создадим виртуальную машину и установим туда Windows Server 2003. Справа вверху в меню Действия выберем Cоздать - Виртуальную машину, запустится соответствующий мастер, который пошагово проведет нас через все необходимые этапы. Прежде всего укажем название и расположение файлов виртуальной машины. Следующим шагом указываем доступный виртуальной машине объем памяти, исходить тут следует из разумного минимума, так как память выделяется виртуальной машине при запуске сразу в полном объеме. В последующем вы сможете всегда изменить это значение или настроить динамическое выделение памяти, если у виртуальной системы эпизодически будет возникать такая потребность. Затем укажем к какой виртуальной сети присоединена данная машина, так как сеть у нас одна выбирать особо не из чего. Теперь перейдем к созданию виртуального жесткого диска. Сразу обратим ваше внимание, что расположение файлов виртуальных дисков отличается от файлов виртуальных машин, в реальных условиях располагать виртуальные диски желательно на отдельном производительном массиве, так как производительность дисковой подсистемы оказывает существенное влияние производительность виртуальных машин в целом. В отличие от оперативной памяти, дисковое пространство выделяется динамически, т.е. файл виртуального диска имеет размер равный фактическому размеру расположенных в нем файлов и папок, но не более выделенного значения. Заключительным шагом будет выбор параметров установки операционной системы, вы можете использовать для этого физический CD-привод хоста или смонтировать ISO-образ, также доступна установка по сети или загрузка с образа жесткого диска. После чего вам предстоит еще раз ознакомиться со сводкой всех произведенных настроек и завершить создание виртуальной машины нажатием кнопки Готово.\nСнова возвращаемся в Диспетчер Hyper-V и подключаемся к созданной виртуальной машине два раза щелкнув по ней мышью, теперь, вставив диск или смонтировав образ, можно приступать к установке операционной системы. Этот процесс ничем ни отличается от установки на физический ПК и мы не будем описывать его подробно. По окончании установки ОС не забудьте установить Службы интеграции Hyper-V, которые необходимы для обеспечения максимальной производительности и корректного взаимодействия виртуальной машины с хостом. Для этого в окне виртуальной машины выберите Действие - Вставьте установочный диск служб интеграции, после чего в дисковод виртуалки будет смонтирован нужный образ и начнется установка.\nСледует помнить, что Службы интеграции доступны только для официально поддерживаемых гостевых OC, если ваша система не входит в этот список, то вам нужно будет установить необходимые компоненты вручную, для чего обратитесь к соответствующему руководству. На этом установку гостевой ОС можно считать законченной и вы можете переходить непосредственно к настройке сервера согласно стоящих перед вами задач.\n","id":"4194cf39023c1b1d1eb4ac42a3760b3b","link":"https://interface31.ru/post/ustanovka-hyper-v-kak-roli-windows-server/","section":"post","tags":["Hyper-V","Windows Server","Виртуализация"],"title":"Установка Hyper-V как роли Windows Server"},{"body":"Western Digital Red - новая серия накопителей от известного производителя, которая позиционируется как специально предназначенная для работы в системах NAS для дома и малого офиса. Данные диски, как и любая новинка, безусловно вызывают повышенный интерес и мы, как только представилась возможность, отправили их в свою тестовую лабораторию.\nПредварительное изучение обзоров и отзывов оставило впечатление, что многие \u0026quot;обозреватели\u0026quot; данных дисков в руках не держали или только этим и ограничились. Многие материалы полны радостной эйфории и уже успели назвать данную серию как \u0026quot;RE для экономных\u0026quot;, сравнивая \u0026quot;красные\u0026quot; диски с корпоративной (RE) линейкой. Попробуем разобраться, что же из себя представляет новинка на самом деле.\nНа тестирование в нашу лабораторию попали четыре HDD 1 Tb SATA 6Gb / s Western Digital Red (WD10EFRX) 64Mb, стоимость которых на конец октября 2012 года составила 2766 руб. По характеристикам данные диски ближе всего к зеленой серии - низкое энергопотребление и уровень шума, переменная скорость вращения шпинделя. Отличает их наличие специализированных технологий для работы в RAID-массивах и системах NAS и более высокий MTBF - 1 млн. часов против 650 тыс. у \u0026quot;зеленой\u0026quot; серии, но ниже чем у RE - 1,2 млн. CrystalDiskMark показал вполне неплохие для современного диска скоростные параметры, разве что несколько насторожила довольно низкая скорость чтения с размером блока 512 Кб. Это может быть объяснимо для дисков имеющих размер сектора в 4 КБ, но данные диски имеют сектора по 512 Кб и такой провал несколько настораживает.\nПерейдем к более подробным тестам с использованием HD Tune Pro 5.0. Первый тест никаких неожиданностей не принес, картина очень похожа натест \u0026quot;зеленого\u0026quot; диска: средние скоростные характеристики и высокое время случайного доступа.\nФайловый тест показал вполне неплохие, ровные результаты и довольно неплохую скорость в 150 МБ/с. В данном тесте диск выглядит несколько лучше своего \u0026quot;зеленого\u0026quot; коллеги, но и не показывает ничего выдающегося. Вполне средние для современного диска результаты.\nА вот с временем случайного доступа все вполне ожидаемо и довольно печально. Здесь результат даже хуже чем у диска \u0026quot;зеленой\u0026quot; серии и явно дает о себе знать назначение диска - для бюджетных систем хранения и недорогих NAS, когда на первый план выходит емкость и потребление энергии, а также шум и нагрев, а не скоростные характеристики. Надо сказать что с этим у \u0026quot;красных\u0026quot; дисков все в порядке: мы не зафиксировали сколь нибудь заметного нагрева, а в этом тесте, одном из самых шумных, мы практически не слышали диска, так что о тишине можно не беспокоиться. Общий тест еще раз подтверждает вышесказанное. Перед нами экономичный, бесшумный, но не быстрый диск для бюджетных систем хранения, оптимизированный для использования в массивах и NAS, а также более надежный.\nТеперь самое время посмотреть, как диск будет вести себя в реальных сценариях, для чего мы будем использовать Intel NASPT. Никаких особых сюрпризов данный тест не выявил, кроме резкого падения скорости чтения при воспроизведении сразу нескольких потоков HD видео. Мы повторно прогнали серию тестов на другом ПК, чтобы исключить ошибку, но результат стабильно повторялся. Возможно нам попался такой экземпляр диска? Однако тест оставшихся трех продемонстрировал аналогичные значения. Будем разбираться подробнее.\nВоспроизведение в один поток никаких отклонений не выявило, диск стабильно держит скорость на протяжении всего теста. А вот в два потока уже начались проблемы: График демонстрирует резкие провалы в скорости практически до нуля. По факту диск не в состоянии обеспечить даже итоговые 47 МБ/с на протяжении всего теста, т.е. два фильма одновременно посмотреть с такого диска скорее всего не удастся. К сожалению наш коллега, тестировавший \u0026quot;зеленый\u0026quot; WD не проводил подобных тестов и поэтому мы не можем сказать характерно такое поведение только для \u0026quot;красной\u0026quot; серии или это особенность всех экономичных дисков данного производителя. Также трудно сказать что может быть причиной: переменная скорость вращения шпинделя или высокое время произвольного доступа, а может быть все факторы вместе взятые.\nЧетыре потока, слабонервные могут не смотреть: Скорость диска уверенно устремилась к околонулевой отметке с редкими и неуверенными проблесками. Обойдемся без комментариев...\nВыводы Скажем честно - диск оставил после себя противоречивые впечатления. С одной стороны мы имеем неплохой диск для бюджетных накопителей: экономичный, бесшумный, с малым нагревом. Для домашних NAS - то что доктор прописал. Да и в небольшом офисе он тоже будет к месту. Но неспособность держать даже относительно небольшую нагрузку сводит на нет все преимущества диска и заставляет сильно задуматься о сферах его применения.\nСтоит ли покупать и использовать данные диски? Однозначно - да, но с оглядкой на результаты тестирования. Например они неплохо подойдут для сетевых файлохранилищ: архивы, инсталляционные пакеты, резервные копии, т.е. там где не предполагается интенсивного обращения к массиву. Это позволит максимально использовать сильные стороны диска. В тоже время приобретать их для сколь нибудь нагруженных систем хранения, таких как файловые сервера или в качестве системного диска в ПК категорически не рекомендуется.\nМожно ли использовать эти диски в обычном ПК? Можно, особенно если вы собираетесь собрать из них RAID массив, в качестве одиночного диска лучше все-таки приобрести WD Green, при прочих аналогичных показателях он дешевле, если конечно вы не ставите на первый план более высокую надежность диска.\n","id":"0817a4d408123ecc543ed3c6cd277944","link":"https://interface31.ru/post/wd-red---zhestkiy-disk-dlya-byudzhetnyh-nas/","section":"post","tags":["HDD","NAS","RAID","Western Digital","Файловый сервер"],"title":"WD Red - жесткий диск для бюджетных NAS"},{"body":"В нашей прошлой статье мы рассмотрели общие вопросы виртуализации: что это такое, зачем и для чего нужно, особенности и преимущества. Сегодня мы поговорим от технологиях виртуализации более подробно, расскажем какие бывают типы и для решения каких задач они предназначены.\nСразу оговоримся, что различные вендоры используют различные термины для обозначения одних и тех же технологий, что вносит определенную путаницу. Поэтому мы будем стараться придерживаться общих терминов либо использовать терминологию VMware и Microsoft как лидеров этого рынка. Что касается иных производителей, то в их системе понятий употребляемые нами термины и выражения могут иметь несколько иной смысл, поэтому при выборе того или иного продукта вам следует внимательно изучить его описание и документацию.\nНастольная виртуализация Наиболее распространенная и доступная в освоении технология. Применяется в основном для учебных и исследовательских целей. В данном случае платформа виртуализации устанавливается как еще одно приложение в операционной системе и позволяет создавать, запускать и управлять виртуальными машинами, а также обеспечивать сетевое взаимодействие между ними, а также с хостом и внешними сетями.\nОтличительными особенностями настольных систем виртуализации является их расширенная интеграция с хостом и широкие мультимедийные возможности, такие как работа со звуком и ускорение 3D графики, что позволяет их полноценно использовать для работы с современными приложениями в виртуализированной среде, что широко используется при разработке, отладке, обучении и иных исследованиях и экспериментах.\nК наиболее ярким представителям этого семейства относятся VMware Workstation и менее функциональный, зато бесплатный, VMware Player. По сути они являются единственными и неоспоримыми лидерами в данной категории предоставляя на десктопе все возможности современных платформ виртуализации корпоративного уровня. Созданные с их помощью виртуальные машины могут быть впоследствии размещены на серверных средствах виртуализации. Мы уже продолжительное время (начиная с версии 4.0) используем VMware Workstation как основу нашей тестовой лаборатории, которая в данный момент насчитывает около 60 виртуальных машин.\nТакже стоит отметить еще один популярный продукт Oracle VirtualBox. Однако мы можем порекомендовать его только в ознакомительных целях, так как у данного продукта отсутствует полноценная экосистема, в частности гипервизор корпоративного уровня и серверные продукты. А это неизбежно приведет к тому, что ваши виртуальные машины, созданные в VirtualBox неизбежно придется конвертировать для работы с иными гипервизорами, что крайне нежелательно по многим причинам.\nСерверная виртуализация О данном типе виртуализации мы достаточно говорили в предыдущей статье. Как следует из названия, основное назначение данной технологии - консолидация серверов, она же пользуется наибольшей популярностью и распространенностью. Это неудивительно - как правило виртуализация в корпоративной среде начинается именно с консолидации серверов.\nСуть данной технологии проста. Несколько физических серверов заменяются одним, на котором установлена платформа виртуализации (гипервизор), которая управляет виртуальными серверами и рабочими станциями запущенными на этом сервере. Каждая такая виртуальная машина представляет изолированный от хоста и других виртуальных машин компьютер со своим эмулированным оборудованием, своими настройками и т.д. на котором может быть запущена любая поддерживаемая операционная система. Наиболее крупные игроки на этом рынке: VMware c vSphere ESXi Hypervisor и Microsoft c Hyper-V, также стоит отметить Citrix Xen и Red Hat Enterprise Virtualization (на базе KVM). Все перечисленные продукты являются полноценными средствами серверной виртуализации и поддерживают самый широкий спектр возможностей и все основные современные ОС в качестве гостевых.\nВиртуализация на уровне операционной системы Одна из разновидностей серверной виртуализации, также предназначенная для виртуализации серверов и широко используемая на рынке хостинга. Ее основное отличие в том, что виртуализируется не компьютер и не операционная система, а пользовательское окружение ОС. Эти экземпляры пользовательского окружения, называемые также контейнерами, полностью идентичны основному серверу и используют общее ядро ОС.\nПреимуществами такого подхода являются: высокое быстродействие, быстрое развертывание новых контейнеров и высокая плотность размещения (количество выделенных виртуальным ОС ресурсов может в несколько раз превышать ресурсы сервера), которая достигается за счет того, что использование одного экземпляр ядра и общих динамических библиотек позволяет значительно экономить память. Для пользователя каждый контейнер выглядит как отдельный сервер в который он может настраивать в соответствии со своими потребностями, устанавливать софт, выключать, перезагружать.\nК недостаткам можно отнести невозможность глубокой настройки или самостоятельной установки ОС, а также использование иной, отличной от хоста, версии операционной системы. По сути каждый контейнер представляет изолированную копию операционной системы хоста с настраиваемым пользовательским окружением и общими базовыми ресурсами (ядро и т.п.). Как мы уже говорили, основное применение данная технология нашла на рынке хостинга, так как позволяет быстро предоставить максимальному числу клиентов типовой виртуальный выделенный сервер с базовым установленным ПО. А крайне низкие накладные расходы на виртуализацию и высокая плотность размещения позволяют сделать данную услугу недорогой и доступной самым широким массам.\nНаиболее популярным решением для данного типа виртуализации является OpenVZ и коммерческий продукт на его основе Parallels Virtuozzo Containers, последнее время приобретает известность разрабатываемый при поддержке IBM LXC, на аналогичных принципах работают FreeBSD Jail и Solaris Containers.\nВиртуализация настольных компьютеров В терминологии Microsoft - виртуализация рабочих столов. Дальнейшее развитие технологии и идеи виртуализации. Если мы можем перенести в виртуальную среду сервера, то почему нельзя сделать это с рабочими станциями? Виртуализация рабочих станций даст те-же преимущества, что и виртуализация серверов: повышение надежности, уменьшение затрат на обслуживание, экономия на клиентских ПК.\nПри виртуализации настольных компьютеров клиентский ПК выполняет роль тонкого клиента, через который пользователь подключается к рабочему столу своего виртуального ПК, работающего на сервере. При этом он может получать доступ к своему рабочему месту не только из офиса, но и дома, и в командировке. При появлении нового рабочего места достаточно создать новую виртуальную машину по одному из ранее созданных шаблонов, что занимает считанные минуты, при этом появляется гораздо большая гибкость при приобретении клиентских ПК - их аппаратная начинка может быть любой.\nДополнительный плюс для администраторов - централизованное управление парком виртуальных ПК, возможность оперативно перераспределять ресурсы, высокая отказоустойчивость, а консолидация рабочих станций значительно снижает стоимость владения. Постойте, скажет внимательный читатель, а чем это принципиально отличается от терминального доступа? Действительно, данные технологии имеют много общего, но также имеется ряд существенных отличий.\nПри терминальном доступе нет изоляции пользователей и запущенных ими процессов, а следовательно трудно обеспечить высокий уровень безопасности и снизить влияние пользователей друг на друга. Так например ресурсоемкий процесс, запущенный одним из пользователей, неизбежно приведет к снижению производительности у остальных. Также пользователи весьма ограничены в возможностях индивидуальной настройки системы и приложений, возникают трудности с использованием различных версий одного программного продукта. Виртуализация настольных компьютеров изолирует каждого пользователя в рамках своей виртуальной машины, что позволяет с одной стороны добиться минимального влияния на других пользователей и высокой безопасности, а с другой возможность гибкой настройки каждого рабочего места в соответствии с потребностями пользователя. Технологии виртуализации настольных ПК представлены такими продуктами как VMware View, Microsoft Enterprise Desktop Virtualization (MED-V) и Citrix XenDesktop.\nВиртуализация приложений Идея виртуализации приложений не нова и весьма востребована в корпоративном секторе, вспомним хотя-бы режимы совместимости при запуске приложений, которые позволяли худо-бедно запустить устаревшие приложения в среде современных ОС. Виртуализация дала ход дальнейшему развитию этой идеи и позволила значительно ее усовершенствовать.\nВиртуализированное приложение запускается в отдельном контейнере, который содержит также необходимые настройки среды, переменные окружения, библиотеки, ресурсы. Это позволяет снизить взаимное влияние запущенных программ между собой и операционной системой и на практике позволяет запускать устаревшие и несовместимые приложения, разные версии одного и того же приложения одновременно без оглядки на совместимость.\nДля запуска такого приложения пользователю достаточно скопировать необходимый контейнер к себе на ПК и запустить его. Администраторы оценят такие возможности как быстрое развертывание приложений и низкая степень влияния пользователей на них, если даже пользователь и смог что-то испортить, достаточно будет заменить его контейнер с приложением новым. А про экономию времени и средств на развертывание даже и говорить не стоит. Несмотря на то, что групповые политики AD позволяют автоматически устанавливать приложения многие из них требуют последующей настройки и не решают проблемы конфликтов совместимости. С виртуальными приложениями достаточно один раз настроить контейнер и распространять его без оглядки на совместимость. Виртуализация приложений также широко используется совместно с виртуализацией настольных компьютеров, позволяя значительно экономить дисковые ресурсы, а также совместно с терминальными службами предоставляя пользователям необходимые приложения не загромождая сервер большим количеством установленных программ.\nДанная технология также позволяет организовать доставку приложений по сети, реализуя сервис \u0026quot;приложение по запросу\u0026quot;, полностью контролируя использование приложений как в корпоративной сети, так и за ее пределами, что весьма актуально для мобильных сотрудников, которые могут работать со служебными ноутбуками вне сети.\nДля виртуализации приложений можно использовать такие продукты как VMware ThinApp, Microsoft Application Virtualization (App-V) или Citrix XenApp.\nЗаключение Данным материалом мы хотели познакомить вас с основными технологиями современной виртуализации. Но нельзя объять необъятное, как нельзя полностью раскрыть особенности той или иной технологии в паре абзацев. Поэтому мы сознательно пошли на упрощение и обобщение материала, чтобы читатель, встречаясь с упоминанием того или иного термина имел представление о чем идет речь и как это можно использовать. Детально изучение каждой технологии потребует написания не одной статьи, причем отдельно по каждому вендору. Поэтому для получения дополнительной информации мы рекомендуем обращаться к официальной документации по тому или иному продукту.\n","id":"ff79c8bc6acd1ea0d66ca6de4fce9d78","link":"https://interface31.ru/post/vvedenie-v-virtualizaciyu-chast-2/","section":"post","tags":["Виртуализация"],"title":"Введение в виртуализацию. Часть 2"},{"body":"Western Digital VelociRaptor можно без преувеличения назвать легендарной серией HDD и объектом мечтания многих пользователей. Как и у любой топовой \u0026quot;железки\u0026quot; основным сдерживающим фактором была и остается цена. Однако сегодня стоимость младших моделей линейки не сказать, что демократична, но вполне приемлема и поэтому мы решили протестировать один из таких дисков.\nНа тестирование к нам в лабораторию попал HDD 250 Gb SATA 6Gb / s Western Digital VelociRaptor (WD2500HHTZ) 10000rpm 64Mb стоимость которого на момент тестирования составляла 3280 руб. С одной стороны это весьма дорого для диска подобной емкости, с другой - гораздо дешевле SSD и вполне достаточно для размещения производительной БД или высоконагруженного массива данных. А стоит ли овчинка выделки покажет наше тестирование. В первую очередь мы запустили CrystalDiskMark, который позволяет быстро получить общее представление о производительности диска. Очень и очень неплохо, если не брать во внимание параметры случайного доступа, то скоростные характеристики на уровне недорогих SSD.\nДля более детальных тестов мы использовали HD Tune Pro 5.0. Первый тест снова показал весьма высокие скоростные характеристики наряду с небольшим временем произвольного доступа. Можно видеть, что диск значительно превосходит даже производительные \u0026quot;черные\u0026quot; модели, которые были протестированы нашим американским коллегой.\nФайловый тест также показал высокую производительность диска, здесь он идет вровень с недорогими SSD, например OCZ Agility2, который уже давно используется в нашей тестовой лаборатории. Тест случайного доступа, пожалуй, один из самых важных тестов, так как показывает производительность диска применительно к реальным условиям, когда данные запрашивают сразу несколько приложений и находятся они в разных областях диска. Результат опять выше всяких ожиданий, наряду с невысоким временем случайного доступа, диск показывает отличную производительность на протяжении всего теста. Из недостатков можно отметить довольно громкий и неприятный высокочастотный треск диска при прохождении данного теста.\nПоследний тест содержит наиболее важные параметры диска и скорость обмена с кэшем, которая также весьма велика. Следующий набор тестов Intel NASPT реализует набор практических сценариев для NAS и файловых серверов, результаты диска в данном тесте также весьма высоки. Можно отметить высокую производительность в тесте с одновременным воспроизведением нескольких потоков HD видео и одновременной записью-воспроизведением, что делает этот диск хорошим приобретением для станций видеомонтажа. Да и на производительном файловом сервере Raptor придется ко двору, производительности диска более чем достаточно для работы в гигабитных сетях.\nОтличным показателем высокой нагрузочной способности диска служат графики тестов с одновременным воспроизведением HD видео: 1, 2 и 4 потока. При увеличении числа клиентов диск равномерно снижает скорость чтения, не допуская при этом резких бросков или просадок, т.е вы в любой момент времени можете рассчитывать на максимальную в данных условиях производительность.\nВыводы Результаты тестов однозначно показывают - WD VelociRaptor является одним из самых быстрых и, в то же время, доступных дисков на рынке. Его можно смело рекомендовать для производительных рабочих станций и серверов начального уровня, когда SAS - дорого, а SSD - дорого и ненадежно. Обеспечивая производительность на уровне недорогих SSD, Raptor обладает одним ощутимым преимуществом - он позволяет собирать на своей основе любые RAID массивы, которые нельзя собрать на SSD из-за отсутствия поддержки TRIM в данном режиме.\nМинусы: высокий уровень шума и высокая стоимость хранения - 13,12 руб/ГБ. Однако следует четко понимать, что такие диски приобретаются не для хранения архива документов, музыки и фотографий, а для работы с высоконагруженными массивами данных, объем которых обычно не столь велик и приобретение нескольких Raptor'ов младших моделей для создания производительного массива не сильно ударит по бюджету.\nПодводя итог вышесказанному, мы можем рекомендовать диски WD VelociRaptor как недорогой аналог SSD для использования в высоконагруженных системах и производительных рабочих станциях.\n","id":"4bfdbe6c4e7994c9b4cad3bb79719608","link":"https://interface31.ru/post/wd-raptor-pozhaluy-samyy-bystryy-zhestkiy-disk/","section":"post","tags":["HDD","Western Digital","Файловый сервер"],"title":"WD VelociRaptor - пожалуй, самый быстрый жесткий диск"},{"body":"В практике каждого системного администратора бывают ситуации, когда нужно установить Windows на устройство без привода оптических дисков. Также не всегда бывает возможность подключить привод или записать нужный диск. В этой ситуации на выручку придет загрузочная USB-флешка, сделать которую можно за считанные минуты штатными средствами самой ОС.\nВсе что нам понадобится - это диск или образ нужного диска и USB-накопитель. Единственное, на что нужно обращать внимание при выборе последнего - скоростные характеристики, так как от этого напрямую будет зависеть время установки системы.\nСразу оговоримся, данная методика применима только для OC семейства NT 6.х, т.е. начиная от Windows Vista и Windows Server 2008. Более старые OC имеют иной механизм загрузки и подобным образом сделать загрузочный USB-диск с той же Windows XP не удастся.\nПриступим. Сначала скопируем содержимое установочного диска (образа) на USB-диск. В нашем примере мы использовали SSD OCZ Agility 2 подключенный через USB 3.0 контейнер Zalman ZM-HE130. Для работы с загрузчиком в ОС семейства NT 6.x предназначена утилита bootsect, которая находится на установочном диске в папке boot. Будучи запущена без параметров она покажет справку, это полезно, если вы вдруг забыли синтаксис.\nОткроем командную строку с правами администратора и дадим команду:\n1E:\\boot\\bootsect /nt60 E: /mbr где E: буква нашего USB диска. Готово! Теперь можем перезагрузиться и, выбрав в качестве загрузочного наш USB-диск, начать установку ОС. Следует помнить, что все OC семейства NT 6.x имеют одинаковый загрузчик, а это значит, что вы можете устанавливать с этого USB-диска любую ОС данного семейства, просто разместив установочные файлы на диске.\nВ нашем случае мы создавали загрузчик при помощи дистрибутива Windows 7 32-бита, но затем просто скопировав на диск (удалив предыдущие) файлы из установочного образа Windows Server 2012 64-бита не испытали никаких затруднений при его установке. Как видим, при помощи штатных инструментов ОС, мы можем без труда создать универсальный загрузочный USB диск и использовать его для установки любой современной OC семейства Windows.\n","id":"0cefb3dd3ad1cb2861dcd04cde014cb0","link":"https://interface31.ru/post/adminu-na-zametku-7-kak-sdelat-zagruzochnyy-usb-disk-s-windows/","section":"post","tags":["USB","Windows 7","Windows Server","Развертывание"],"title":"Админу на заметку - 7. Как сделать загрузочный USB-диск с Windows"},{"body":"Мы часто сталкиваемся с ситуацией, когда администраторы слабо представляют по каким именно критериям следует выбирать жесткие диски, руководствуясь не реальными потребностями, а личными предпочтениями, ценой и т.п. В лучшем случае такой подход может привести к тому, что вы потратите больше денег, чем это было нужно, в худшем - дисковая подсистема не будет справляться с возложенными на нее задачами.\nВо многом эта проблема связана с сугубо техническим подходом - диски выбираются исходя из технических показателей и / или цены. Но не всегда самый производительный диск или имеющий наиболее низкую стоимость хранения наилучшим образом подойдет для вашей системы. Чтобы правильно выбрать диски именно для ваших задач, нужно разобраться какие именно данные будут храниться и как будет осуществляться доступ к ним.\nСразу оговоримся, мы не будем рассматривать выбор дисков для обычных офисных ПК, где к ним не предъявляется ровным счетом никаких требований и выбор производится по колонке \u0026quot;Цена\u0026quot; в прайс-листе поставщика. Предметом нашей беседы будут сервера и производительные рабочие станции, где от правильной конфигурации дисковой подсистемы во многом зависит стабильность и общее быстродействие.\nНачнем с конфигурации дисковой подсистемы. Часто распространенная ошибка - покупка одного диска большого размера, от которого выделяется небольшая часть под системный раздел, а остальное пространство используется для хранения данных. Такой ситуации следует избегать, так как крайне негативное влияние на производительность будет оказывать конкуренция за головки между системой и клиентами (приложениями) осуществляющими доступ к данным на другом разделе.\nЭто становится критичным при случайном доступе к данным, что является узким местом для всех жестких дисков. А теперь представим, что выполняется задача требующая высокой дисковой активности в системном разделе, например дефрагментация. У нас резко упадет производительность всего диска, в т.ч. и раздела с данными. Также справедливо и обратное - высокая нагрузка на раздел с данными приведет к падению производительности системы. Поэтому рекомендуется выносить системный раздел на отдельный физический диск, что позволит избежать конкуренции за головки и высокая нагрузка на один из разделов не будет приводить к падению производительности второго. Также следует разносить по разным физическим дискам отдельные массивы данных к которым осуществляются параллельные активные запросы. Например базу данных и лог транзакций. Немного разобравшись с конфигурацией дисковой системы, хотя мы еще будем к ней возвращаться, перейдем к выбору самих жестких дисков. Прайс-листы радуют нас богатством выбора, есть диски на любой вкус, цвет и кошелек. Самое время разобраться - чем они отличаются друг от друга.\nПрежде всего стоит определиться, на какие параметры мы будем обращать внимание. В первую очередь производительность, точно оценить этот параметр без изучения тестов нельзя, однако производители довольно четко позиционируют свои диски на производительную серию, общего применения и экономичные диски.\nВторой параметр тесно связан с первым, это энергопотребление. Многие не придают этому большого значения, а зря. Одно дело когда вы выбираете диск для офисного ПК, и совсем иное, если перед вами сервер в котором дисков штук пять и работает он в режиме 24/7. С учетом растущих тарифов на электроэнергию этот вопрос становится весьма актуальным, как и энергосберегающие лампочки.\nНу и как же без цены, однако следует рассматривать не номинальную стоимость диска, а стоимость хранения одного ГБ информации. Это позволит сделать правильный выбор, так как не всегда самый недорогой диск предлагает самую низкую стоимость хранения.\nИтак, какие бывают диски? Начнем с дисков общего назначения. Это основная часть линейки любого производителя, крепкие середнячки, имеющие приемлемую скорость передачи данных в сочетании с средним энергопотреблением и средней стоимостью хранения. Типичным примером являются диски Western Digital серии Blue.\nТак например диск 1 Tb Western Digital Caviar Blue (WD10EZEX) имеет следующие параметры: потребление 6,8 Вт, стоимость хранения 2,6 руб/ГБ и среднюю производительность (цены указаны на начало октября 2012 года).\nОтдельную группу составляют производительные диски, такие как \u0026quot;черная\u0026quot; серия WD. Данные диски имеют сравнимое (или большее) потребление чем диски общего назначения, но при этом имеют более высокую скорость передачи данных и, что более важно, меньшее время случайного доступа. Стоимость хранения данных на таких дисках также будет выше.\nДля сравнения возьмем производительный диск 1 Tb Western Digital Caviar Black (WD1002FAEX) который также имеет потребление 6,8 Вт, но стоимость хранения заметно выше - 3,3 руб/ГБ.\nПолную противоположность производительной серии являют экономичные диски, которые обычно имеют скорость вращения шпинделя 5400 rpm (или переменную), но отличаются низким энергопотреблением и, как следствие, низким уровнем шума и небольшим нагревом. Следствием такого подхода являются пониженная скорость передачи данных и более высокое время случайного доступа. У WD к данным дискам относится \u0026quot;зеленая\u0026quot; серия.\nТипичный представитель \u0026quot;зеленых\u0026quot; 1 Tb Western Digital Caviar Green (WD10EZRX) имеет почти вдвое меньшую потребляемую мощность - 3,7 Вт и стоимость хранения 2,6 руб/ГБ, как и у дисков общего назначения.\nНельзя также не отметить сверхпроизводительные диски, которые, на сегодняшний момент, на рынке представлены в основном серией VelociRaptor от WD. Здесь все положено для достижения максимальной производительности, уровень шума, энергопотребление и стоимость хранения отходят на второй план.\nОдин из самых быстрых дисков 1 Tb Western Digital VelociRaptor (WD1000CHTZ) имеет вполне приемлемую потребляемую мощность - 5,8 Вт, но стоимость хранения бьет все рекорды - 9,1 руб/ГБ.\nТакже существуют и специализированные диски, оптимизированные для выполнения определенных задач. Например серии Western Digital AV-GP или Red, первая предназначена для устройств видеонаблюдения, вторая для бюджетных NAS. К приобретению и использованию данных дисков нужно подходить максимально осмотрительно, так как узкая оптимизация может отрицательно сказываться на иных параметрах диска. Проще говоря, технические характеристики данных дисков сложно назвать сбалансированными, поэтому мы рекомендуем применять данные диски строго по назначению.\nРаз уж мы заговорили об энергосбережении, то будет разумно сделать небольшой расчет, чтобы иметь реальное представление о размере экономии, так как сегодня мало кто еще серьезно задумывается над этим вопросом.\nРассчитать затраты на электроэнергию можно по формуле:\n1Цена энергии = Мощность х Часы х Тариф х Рост Последний параметр отражает предполагаемый рост тарифов при расчете на несколько лет вперед. Мы будем брать период в 3 года, как средний срок службы устройства хранения данных / рабочей станции. Тарифы приведены для Белгородской области, где стоимость 1 КВтч для населения составляет 2,75 руб, а для организаций 4,45 руб.\nВозьмем в качестве примера небольшой файловый сервер имеющий два диска в массиве и режим работы 24*7.\nДля дисков общего назначения:\n0,0136 кВт * 26280 ч * 2,75 руб. * 1,25 = 1228,59 руб. для населения 0,0136 кВт * 26280 ч * 4,45 руб. * 1,25 = 1988,08 руб. для организаций Для экономичных дисков:\n0,0074 кВт * 26280 ч * 2,75 руб. * 1,25 = 668,50 руб. для населения 0,0074 кВт * 26280 ч * 4,45 руб. * 1,25 = 1081,75 руб. для организаций С одной стороны, цифры выходят небольшие, 150 рублей в год с жесткого диска (для организаций), но если посчитать количество жестких дисков в организации и учесть вторичные факторы, такие как затраты на охлаждение (а это тоже электроэнергия), а также чисто потребительские факторы, такие как низкий уровень шума, то экономия от экономичных дисков окажется не такой уж и маленькой. Как говорится - копейка рубль бережет.\nС другой стороны, если оценивать совокупную стоимость владения, то диски общего назначения обойдутся вам вдвое дороже, за три года эксплуатации фактически вы купите его еще раз.\nВ заключение нашей статьи подведем общие итоги. Для большинства производительных систем имеет смысл выносить систему на отдельный диск небольшой емкости, который следует выбирать из производительной серии или дисков общего назначения. Для остального хранилища следует выбирать диски в зависимости от характера хранимых данных.\nЕсли основной массив данных составляют файлы и документы к которым не предполагается интенсивного обращения: архив документов, образа дисков, инсталляционные пакеты, музыка и т.д. - ваш выбор диски экономичной серии. Кроме низкой стоимости владения, вы получите тишину и низкое тепловыделение.\nЕсли ваши данные требуют высокой скорости доступа: базы данных, виртуальные машины и т.п. - то логично будет выбрать производительную серию, однако придется мириться с нагревом, шумом и высокой стоимостью владения.\nА что делать, если ваши данные содержат признаки обоих вышеперечисленных групп? Здесь возможны варианты: диски общего назначения, как компромисс между скоростью доступа и стоимостью владения, либо создание двух массивов - экономичного для хранения данных и высокопроизводительного для БД и ресурсоемких приложений.\nВ любом случае надеемся, что данный материал окажется вам полезен и позволит подойти к выбору жестких дисков осознанно.\n","id":"d5b3dfc0748f58c644ec17f4b02a6bdc","link":"https://interface31.ru/post/pravilnyy-vybor-zhestkih-diskov-obem-cena-skorost/","section":"post","tags":["HDD","Планирование","Производительность"],"title":"Правильный выбор жестких дисков - объем, цена, скорость?"},{"body":"Сервер СУБД является важной составляющей частью сервера 1С, но при этом является полностью самостоятельным узлом. Один и тот-же сервер 1С может (с небольшими ограничениями) работать с любой из поддерживаемых СУБД. На платформе Linux заслуженной популярностью пользуется бесплатная СУБД PostgreSQL и сегодня мы поговорим об ее установке.\nВначале, как всегда, немного теории. Следует помнить, что в силу особенностей реализации платформы 1С Предприятие PostgreSQL в версии \u0026quot;из коробки\u0026quot; работать не будет. Основная проблема заключается в различных механизмах блокировки, используемых СУБД и 1С. Подробнее об этом можно узнать из комментария сотрудника 1С Дмитрия Русанова:\n\u0026quot;Применение табличных блокировок в PostgreSQL в автоматическом режиме не является искусственным. 1С:Предприятие 8 в автоматическом режиме блокировок реализует подход неизменности прочитанных в рамках транзакции данных. PostgreSQL, как типичный версионник, не накладывает никаких блокировок на прочитанные данные (в отличие от DB2 или SQL Server - блокировочников), то для обеспечения идентичной функциональности приходится использовать эти самые табличные блокировки.\nВ управляемом режиме блокировок управление целостностью данных в транзакции отдано на откуп разработчику конфигурации. Там, соответственно, табличные блокировки не используются. Конечно, блокировка на уровне таблицы - это довольно грубо. Но в данном случае было решено принести в жертву параллельность для того, чтобы обеспечить идентичную функциональность.\u0026quot;\nДля того, чтобы PostgreSQL умел накладывать табличные блокировки 1С выпускает набор специальных патчей и уже готовые сборки СУБД для Windows и RedHat-совместимых систем. Пользователям Debian-совместимых систем лучше всего использовать альтернативную сборку PostgreSQL от компании Etersoft, которую можно взять на их FTP-сервере. На текущий момент последней версией является 9.0.4 которая доступна в версиях для 32-битных и 64-битных систем.\nВнимание! ВАЖНО! Мы не рекомендуем использовать сборки PostgreSQL от Ethersoft новее, чем 9.0.x, так как они содержат ошибку в библиотеке fasttrun.so, что деалет невозможной работу с платформой 1С:Предприятие. На настоящий момент ошибка наблюдается в версиях 9.1.x и 9.2.x.\nБудем считать что необходимые пакеты скачаны и расположены на сервере, а читатель обладает базовыми навыками работы в командной строке Linux. Для установки СУБД мы будем использовать Ubuntu Server 10.04.4 64-бита.\nПрежде всего создадим нужные локали:\n1locale-gen en_US 2locale-gen ru_RU Если система была установлена с языком отличным от русского, то дополнительно необходимо сделать основной русскую локаль:\n1update-locale LANG=ru_RU.UTF8 Теперь переконфигурируем локали:\n1dpkg-reconfigure locales И перезагрузим систему.\nЗатем перейдем в каталог с пакетами PostgreSQL (в нашем случае директория pgsql904 в домашней папке) и установим их:\n1cd ~/pgsql904 2dpkg -i *.deb Последняя команда установит все находящиеся в директории deb-пакеты, поэтому важно, чтобы там не было ничего лишнего. В процессе установки вы получите сообщение о неразрешенных зависимостях, для их исправления выполните команду:\n1apt-get install -f После чего система сама найдет и установит недостающие пакеты. На этом установку PostgreSQL можно считать законченной, но, перед тем как его использовать, необходимо внести некоторые изменения в настройки системы. В файл /etc/sysctl.conf необходимо добавить две строки, отвечающие за размер разделяемого сегмента памяти:\n1kernel.shmall=134217728 2kernel.shmmax=134217728 Сохраним файл и применим настройки:\n1sysctl -p Теперь можно попробовать запустить PostgreSQL:\n1service postgresql start Если все сделано правильно произойдет запуск и начальная инициализация сервера баз данных. Теперь зададим пароль суперпользователю СУБД postgres. Для этого в конфигурационном файле PostgreSQL**/var/lib/pgsql/data/pg_hba.conf** найдем следующую строку:\n1local all all ident и заменим ident на trust. Сохраним файл и перезапустим СУБД:\n1service postgresql restart и выполним следующую команду:\n1psql -U postgres -d template1 -c \u0026#34;ALTER USER postgres PASSWORD \u0026#39;password\u0026#39;\u0026#34; где password - желаемый пароль. После чего снова заменим trust на ident и еще раз перезапустим PostgreSQL.\nНа этом установку можно считать законченной. Не забудьте на всех машинах, которые будут работать с данным сервером, добавить в hosts запись связывающую ip-адрес сервера с его сетевым именем, либо добавьте соответствующую запись типа A на ваш DNS-сервер.\nДля примера рассмотрим создание новой информационной базы на сервере 1С с использованием только что настроенного сервера БД. При создании базы выберем нужный шаблон и укажем что база будет располагаться на сервере 1С. Затем укажем расположение серверов 1С и СУБД, а также желаемое имя базы данных и параметры доступа к серверу БД. В результате этих несложных действий получим информационную базу работающую на указанном кластере серверов 1С и использующую наш сервер БД под управлением PostgreSQL. В нашем примере мы использовали для сервера 1С и сервера БД разные физические сервера, для небольших баз с невысокой нагрузкой эти роли можно совместить на одной машине.\nДополнительные материалы:\nСервер 1С Предприятия. Часть 1 - Общие вопросы. Сервер 1С Предприятия. Часть 2 - Установка на платформе Windows. Сервер 1С Предприятия. Часть 3 - Установка на платформе Linux (Ubuntu). Сервер 1С Предприятия. Часть 4 - Установка PostgreSQL на платформe Linux (Ubuntu) ","id":"be9dbd3adf3db30345985b2e5aa9a205","link":"https://interface31.ru/post/server-1s-predpriyatiya-chast-4-ustanovka-postgresql-na-platforme-linux-ubuntu/","section":"post","tags":["1С Предприятие 8.х","PostgreSQL","Ubuntu Server"],"title":"Сервер 1С Предприятия. Часть 4  Установка PostgreSQL (Ethersoft) на платформe Linux"},{"body":"Рано или поздно это случается. Посыпался рейд, админ случайно удалил базу, при восстановлении наложили базу на другую и т.д. и т.п, вобщем, все те ситуации, для устранения последствий которых необходимо прибегнуть к мерам спасения, а точнее, к восстановлению из резервных копий. Сегодня мы поговорим о вариантах восстановления баз данных из резервных копий на Microsoft SQL Server. Ниже будут рассмотрены варианты для баз с простой и полной моделью восстановления.\nДля начала нам понадобятся входные условия. Собственно, вот они:\nSERVER-1C на Microsoft Windows Server 2008 R2 SERVER-1C\\SERVER1C - экземпляр Microsoft SQL Server 2008 R2 PingvinBuh - потерянная тестовая БД с простой моделью восстановления PolkaBuh - потерянная тестовая БД с полной моделью восстановления I:\\Архив\\PingvinBuh - директория с архивами БД PingvinBuh I:\\Архив\\ PolkaBuh - директория с архивами БД PolkaBuh В прошлых частях мы уже рассматривали модели восстановления для баз данных в Ms SQL Server 2008 R2 и их основные отличия между собой. Для начала попытаемся провести восстановление случайно удаленной БД PingvinBuh , имеющую простую модель восстановления. Процесс восстановления базы данных можно поделить на несколько тривиальных этапов:\nСоздание базы данных с таким же именем, как и потерянная. Восстановление потерянной базы данных из резервной копии в созданную одноименную базу.\nСоздав одноименную базу данных (не забыв установить в ней нужную вам модель восстановлении и указав место хранения файлов .log и .mdf), откройте контекстное меню для всего дерева Базы данных и пройдите в Восстановить базу данных. В открывшемся окне в Назначение для восстановления укажем В базу данных и выберем PingvinBuh, а в Источник для восстановления выберем С устройства и укажем путь к нашему архиву с БД PingvinBuh. Не забудем отметить выбранный архив галкой Восстановить в Выберите наборы резервных данных для восстановления.\nЕсть возможность так же выбрать желаемое время восстановление. Оно ограничено временем создания полной резервной копии. За это отвечает опция К моменту времени. Создав полную резервную копию, вы сможете восстановить базу данных на любой момент времени до момента создания этой резервной копии. Перейдем на страницу Параметры.\nВ Параметрах восстановления укажем Перезаписать существующую базу данных (WITH REPLACE). Обратим внимание на возможность выбора места. Пути исходных файлов должны быть такие же, как и у новой созданной вами базы. Т.е. при восстановление мы просто запишем поверх этой пустой базы нашу потерянную. Состояние восстановления можно оставить по-умолчанию: Оставив базу данных готовой к использованию, выполнив откат незафиксированных транзакций. После нажатия на OK мастер запустит восстановление базы данных из полной резервной копии. По окончанию процесса вы сможете воспользоваться базой.\nПоследовательность действий в процессе восстановления базы данных с полной моделью восстановления почти полностью аналогичная вышеописанному, но с небольшими дополнениями.\nДля восстановления базы данных PolkaBuh на момент времени, прошедший после последнего резервного копирования требуется в Источник для восстановления указать архивы не только с последней полной резервной копией, но еще и архивы копии журнала транзакции (если они у вас не в одном архиве с полной резервной копией),а в поле Выберите наборы резервных данных для восстановления последовательно отметить полную резервную копию и все журналы транзакции, включающие интересующий вас момент времени. Очень важная пометка: нельзя выбрать полую резервную копию и только последнюю копию журнала транзакции. Для восстановления до последней копии журнала транзакций необходимо иметь все предыдущие резервные копии журналов от последнего полного резервного копирования.\nДополнительные материалы:\nОбслуживание баз 1С в MS SQL Server. Часть 1. Настройка планов обслуживания БД Обслуживание баз 1С в MS SQL Server. Часть 1. Оповещение по e-mail Обслуживание баз 1С в MS SQL Server. Часть 3. Восстановление из резервных копий Резервное копирование баз данных Microsoft SQL Server ","id":"30ec38714d740a0e207f1b91eb9627f6","link":"https://interface31.ru/post/obsluzhivanie-baz-1c-v-ms-sql-server-chast-3/","section":"post","tags":["1С Предприятие 8.х","MS SQL","SQL","Резервное копирование"],"title":"Обслуживание баз 1С в MS SQL Server. Часть 3"},{"body":"Как показывает читательский отклик, вопрос разделения административных прав в Ubuntu до сих пор остается малопонятным для большинства начинающих администраторов, поэтому мы решили данным материалом внести некоторую ясность в данный вопрос. Поэтому если вы не знаете чем su отличается от sudo, куда спрятали root'а и т.д. и т.п. - самое время приступить к изучению нашей статьи.\nНачнем с небольшого отступления. Система административных прав Linux восходит корнями к ОС Unix и поэтому имеет много общего с другими Unix-like системами: BSD, Solaris, MacOS. В тоже время различные дистрибутивы имеют свои особенности реализации отдельных моментов, поэтому конкретные примеры мы будем приводить относительно семейства Ubuntu, однако знание общих правил позволит вам без труда разобраться в среде любой другой Unix-like ОС.\nВсей полнотой административных прав в Linux обладает пользователь root, ограничить которого в правах невозможно, поэтому повседневная работа от лица данного пользователя крайне нежелательна: неосторожные действия пользователя могут привести к повреждению системы, а компрометация данной учетной записи даст злоумышленнику неограниченный доступ к системе.\nПоэтому в Linux принята иная схема, все пользователи, включая администраторов, работают под ограниченной учетной записью, а для выполнения административных действий используют один из механизмов повышения прав. Для этого можно повысить права с помощью утилиты sudo или войти под именем суперпользователя (root'а) не завершая текущий сеанс с помощью команды su. Многие ошибочно путают эти два механизма, поэтому разберем их подробнее.\nКоманда su позволяет войти в систему под именем другого пользователя (не обязательно root) не завершая текущий сеанс. Так команда:\n1su petrov позволит войти в систему от имени пользователя petrov, пользовательское окружение (домашняя папка) также будут изменены на принадлежащие этому пользователю.\nКоманда su без указания имени пользователя позволяет войти под учетной записью root'а. Однако данный способ имеет один существенный недостаток - для входа от имени другого пользователя нужно знать его пароль. Если у вас несколько администраторов, то каждый из них будет знать пароль суперпользователя и ограничить в правах вы их не сможете.\nК тому же это небезопасно, знание пароля суперпользователя и возможность входа под его именем в случае компрометации может привести к полной потере контроля над системой.\nЧто будет если мы попробуем таким образом повысить права в Ubuntu? У нас ничего не получится, так как мы не знаем пароля пользователя root, в тоже время никто не мешает нам войти под иным пользователем. \u0026quot;Подождите!\u0026quot; - скажет иной пользователь, - \u0026quot;а разве права root'а не получает первый созданный пользователь, которого мы указываем при установке?\u0026quot; Действительно, административные задачи можно выполнить только от имени созданного при установке пользователя, при попытке сделать это от имени другого пользователя нас постигнет неудача. Здесь мы вплотную подходим к второму механизму повышения прав - утилите sudo. Однако прежде чем переходить к ее изучению стоит внести ясность: права суперпользователя (root) в Ubuntu принадлежат учетной записи root, которая по умолчанию отключена. Поэтому повысить права с помощью команды su не представляется возможным.\nОсновным механизмом повышения прав в Ubuntu является утилита sudo. Эта утилита позволяет повысить права до уровня суперпользователя для выполняемой команды, при этом знать пароль суперпользователя не нужно, пользователь должен ввести собственный пароль. После чего утилита проверит, имеет ли данный пользователь право выполнять данную команду на данном хосте с правами суперпользователя и, в случае успешного прохождения проверок, выполнит ее.\nВнимание! Это важно! Основным отличием su от sudo служит то, что su позволяет сменить текущего пользователя на root, что требует активной записи суперпользователя в системе и знания пароля к ней, sudo позволяет повысить права для выполняемой команды без указания пароля суперпользователя, пользователь должен ввести свой собственный пароль, войти под root с этим учетными данными не получится.\nЕще одно важное обстоятельство, при использовании конвейера или перенаправления с правами суперпользователя будет выполнена только первая часть команды, так например в конструкции:\n1sudo команда1 | команда2 с правами root будет выполнена только команда1. А команда\n1sudo cat sources.list \u0026gt; /etc/apt/sources.list выдаст ошибку прав доступа так как запись в /etc/apt/sources.list будет происходить с правами обычного пользователя.\nЧтобы выполнять сложные комбинации команд вы можете перейти в режим суперпользователя командой\n1sudo -s что аналогично повышению прав командой su, однако пользовательское окружение от этого не изменится и в качестве домашнего будет использоваться каталог текущего пользователя, что удобно и безопасно. Каждый из администраторов будет иметь доступ только к своему домашнему каталогу.\nТеперь самое время разобраться, кто имеет право использовать возможности sudo и в каком объеме. За настройки данной утилиты отвечает файл /etc/sudoers, несмотря на то, что это обычный конфигурационный файл для его редактирования настоятельно рекомендуется использовать команду:\n1sudo visudo Данная команда блокирует файл и осуществляет проверку синтаксиса, в противном случае вы рискуете из-за опечатки потерять административный доступ к ПК.\nСинтаксис данного файла весьма прост. Например в самом конце файла содержится запись:\n1%admin ALL=(ALL) ALL Это означает, что пользователи группы admin могут выполнять на любом хосте, от имени любого пользователя любую команду. Как мы можем легко убедиться с помощью команды groups в нашем случае пользователь andrey входит в группу admin, а пользователь petrov нет. Но все достоинства данной утилиты заключаются в возможности гибко настроить параметры получения прав в каждом конкретном случае. Например:\n1petrov ubuntu-lts=(andrey) ALL Данная строка позволяет пользователю petrov выполнить любую команду на хосте ubuntu-lts от имени пользователя andrey. При указании команд следует указывать полный путь к ним, узнать его можно при помощи команды which Например мы хотим разрешить пользователям petrov и sidorov выполнять выключение и перезагрузку компьютера, а также снимать задачи. При этом данные команды не должны требовать ввода пароля.\nЕще одной приятной возможностью утилиты sudo является создание алиасов, так в нашем случае добавим в /etc/sudoers следующие строки:\n1User_Alias USERGROUP1 = petrov, sidorov 2Cmnd_Alias CMDGROUP1 = /bin/kill, /sbin/reboot, /sbin/shutdown Этим мы создали два алиаса USERGROUP1, куда включили необходимых нам пользователей и CMDGROUP1 с набором нужных команд, в последствии мы можем править только алиасы, не затрагивая все правила, где они могут использоваться. Затем добавим правило:\n1USERGROUP1 ALL = (ALL) NOPASSWD:СMDGROUP1 которое позволит пользователям перечисленным в указанном алиасе выполнять на любом хосте от имени любого пользователя команды из приведенного алиаса без ввода пароля.\nКроме указанных двух, доступны алиасы и для имени хоста и пользователей от имени которых разрешено выполнять команды, например:\n1Host_Alias WWW = webserver1, webserver2 2Runas_Alias WWW = www-data, www-developer 3 4USERGROUP1 WWW = (WWW) ALL Приведенный набор записей позволит пользователям входящим в USERGROUP1 выполнять любые команды от имени пользователей www-data и www-developer на веб-серверах компании.\nНапоследок рассмотрим, как же быть, если учетная запись root все таки нужна. Все просто, чтобы включить ее достаточно задать пароль:\n1sudo passwd root Снова заблокировать учетную запись суперпользователя можно командой:\n1sudo passwd -l root Внимание! Помните, что все административные задачи в Ubuntu можно решать с использованием утилиты sudo, поэтому не включайте учетную запись root без реальной необходимости!\nКак видим, Ubuntu имеет богатые возможности управления административными правами, что позволяет гибко распределять права между несколькими администраторами, а также давать возможность повышения прав некоторым пользователям, причем делать это эффективно и безопасно.\n","id":"927189c64471a0173b9da2a801faaa79","link":"https://interface31.ru/post/ubuntu-server-administrativnye-prava-pol-zovateley/","section":"post","tags":["sudo","Ubuntu Server"],"title":"Ubuntu Server - административные права пользователей"},{"body":"В заключение нашего цикла статей о веб-сервере IIS мы расскажем, как добавить поддержку популярной СУБД MySQL. Это позволит получить в распоряжение полноценный веб-сервер, который даст возможность запускать весь спектр веб-приложений, как платных, так и бесплатных.\nДля начала скачаем дистрибутив СУБД с официального сайта, нас интересует бесплатная версия MySQL Community Edition, разрядность которой следует выбирать исходя из разрядности вашего сервера, в нашем случае это x86, 64-bit.\nУстановка СУБД проходит в режиме Next - Next - Finish, и не должно вызвать затруднений. В конце установки не забываем установить флажок Launch the MySQL Instance Configuration Wizard для запуска мастера конфигурирования. В первую очередь выбираем режим Детальной конфигурации, чтобы иметь доступ ко всем значимым параметрам сервера СУБД. Следующий экран предложит нам выбор между рабочей станцией разработчика, сервером и выделенным MySQL сервером. Последний режим позволит СУБД утилизировать все доступные ресурсы, что в нашем случае неприемлемо, поэтому выбираем режим сервера. Теперь укажите режим работы СУБД, если нет никаких особых требований, то стоит выбрать Multifunctional Database, это позволит использовать ваш веб-сервер для широкого спектра веб-приложений. Затем выберите место хранения MySQL баз данных, здесь все зависит от конфигурации вашего сервера, желательно использовать для этого отдельный быстродействующий диск, но так как мы производим установку в тестовых целях, то использовали папку на системном диске. Так как наша система не относится к высоконагруженным (иначе вам нужно изучать иные статьи), то на следующем экране выбираем Decision Support (DSS)/OLAP: Далее включаем доступ к нашему серверу посредством TCP/IP и заставляем работать его как традиционная СУБД. Затем указываем кодовую страницу по умолчанию, для большинства современных веб-приложений это UTF-8, хотя возможны и иные варианты, например Windows-1251 (CP1251). Следующим шагом указываем запускать MySQL сервер как службу и добавляем путь к исполняемым файлам в переменную PATH, что позволит обращаться к ним по имени, не указывая полного пути. На этом настройку экземпляра сервера СУБД можно считать завершенной и жмем Execute для применения параметров и запуска сервера с указанными параметрами. Теперь попробуем установить на сайт phpsite.local, который мы создали в предыдущей статье, популярную CMS Joomla. Никаких особых сложностей установка не вызывает, главное правильно указать параметры подключения к MySQL БД. И через некоторое, непродолжительное, время в вашем распоряжении полноценный сайт на популярной CMS. Для управления MySQL базами данных мы рекомендуем использовать phpMyAdmin, его можно установить как в папку текущего сайта, так и создать для него отдельный сайт, мы рекомендуем последний вариант.\nСкачиваем последнюю версию утилиты с официального сайта и размещаем ее в папке созданного сайта phpmyadmin.local, не забываем выставить полные права для групп IIS_IUSRS и IUSR. Для авторизации используем учетные данные нашего MySQL сервера. Если все сделано правильно, то вы получите мощный инструмент для управления своими MySQL БД. Как видим, вопреки досужим домыслам, настроить полноценный веб-сервер на основе IIS абсолютно несложно. Поэтому можно смело рекомендовать администраторам использовать данную роль Windows Server в повседневной деятельности.\nДополнительные материалы:\nWindows Server. Настраиваем веб-сервер IIS Windows Server. Добавляем поддержку PHP веб-серверу IIS Windows Server. Веб-сервер IIS, добавляем поддержку MySQL ","id":"79605a3cb64f147057d477aa82843214","link":"https://interface31.ru/post/windows-server-web-server-iis-dobavlyaem-podderzhku-mysql/","section":"post","tags":["IIS","MySQL","PHP","Web-сервер","Windows Server","Сетевые технологии"],"title":"Windows Server. Веб-сервер IIS, добавляем поддержку MySQL"},{"body":"Если вы работает с большим количеством серверных и пользовательских операционных систем от Microsoft и вам приходится часто посещать их по протоколу RDP, то от mstsc.exe потихоньку начинает тошнить. В этом случае для вас есть бесплатное \u0026quot;родное\u0026quot; решение в виде программы Remote Desktop Connection Manager.\nСкачать ее вы можете отсюда. Поддерживаются все версии серверных операционных систем, начиная с Microsoft Windows Server 2008 и пользовательские ОС, начиная с Windows Vista. Для Windows Server 2003 и Windows XP вам потребуется обновить на них RDP до 6 версии (или выше). RDCM представляет собой, прежде всего, инструмент централизованного управления RDP-сессиями. Единая точка авторизации позволяет упростить в разы процессы управления и переключения между серверами и рабочими станциями.\nУстановка программы не вызывает особых затруднений. Сам интерфейс программы довольно прост. Вначале нам потребуется создать файл конфигурации. Этот файл будет содержать все наши настройки и именно его мы будем запускать для доступа к своему дереву созданных серверов и рабочих станций. Для создания файла конфигурации перейдите в меню File и выберите New. Укажите место хранения конфигурации. Вы можете создавать различные группы серверов и рабочих станций, а для каждой группы задавать конкретные настройки (например авторизации и внешнего вида). Для создания новой группы выделите созданную конфигурацию (в нашем случае это test), откройте ее свойства и выберите Add group. В появившемся окне настроек доступно большое количество опций. Задав имя группы, настройте в Logon Credentials параметры пользователя, под которым будете выполнять вход на все машины в этой группе. В нашем случае это будет администратор домена domenadmin. Активная опция Inherit from parent позволяет брать настройки, заданные не в самой группе, а в директории выше. Если вы оставляете здесь галку, то параметры берутся из конфигурации test. Если снимаете, то задавать их придется для этой группы отдельно.\nВ следующих вкладках вам предоставляется возможность изменить настройки дисплея, установить шлюз, изменить порты, опции перенаправления и т.д.\nСоздав группу, следует в нее добавить сервера, только теперь в качестве объекта, в котором мы будем создавать сервер, выделяем уже группу. Созданный сервер будет брать все настройки из группы office1. Подключиться к целой группе сразу можно нажав на ее название и выбрав Connenct Group. Мы получим справа уменьшенное изображение рабочих столов компьютеров, к которым присоединились. Как мы видим, задачу одновременного администрирования нескольких серверов можно заметно упростить, используя бесплатные программные инструменты.\n","id":"4816928c2482d134d9187737384da5ad","link":"https://interface31.ru/post/uproschaem-administrirovanie-chast-1-rdcm/","section":"post","tags":["RDP","Windows Server","Удаленное администрирование"],"title":"Упрощаем администрирование. Remote Desktop Connection Manager"},{"body":"В прошлой статье мы подробно рассмотрели процесс создания контроллеров домена для вашей структуры AD. Сегодня мы хотим поговорить о правильной настройке службы DHCP, которой обычно не придают особого внимания. А зря, от правильной работы этой службы во многом зависит бесперебойная работа вашей локальной сети.\n\u0026quot;DHCP? Да что там настраивать?\u0026quot; - скажет иной администратор - и будет неправ. При всей кажущейся простоте данная служба является одной из ключевых и будет очень плохо если об ее отказе вы узнаете от пользователей.\nВ отличии от DNS или AD, DHCP не позволяет создать два полноценных сервера и реплицировать данные между ними (данная возможность появилась в Windows Server 2012). Как же быть? Единственный DHCP-сервер способен доставить немало головной боли администратору, сервер с данной ролью даже на профилактику вывести проблемно, не говоря уже о сбоях.\nНо не стоит впадать в уныние. Следуя нашим рекомендациям вы сможете без труда создать отказоустойчивую сетевую инфраструктуру.\nОбычно DHCP-сервер совмещают с роутером, в простых сетях данный подход оправдан, в структуре AD мы рекомендуем совместить роли контроллера домена и DHCP-сервера. Для создания отказоустойчивой схемы нам понадобится два DHCP-сервера, между которыми следует разделить пул адресов области. Рекомендуется соотношение 80/20, хотя никто не мешает вам разделить область согласно собственным предпочтениям. Однако перед тем как нарезать пул адресов, стоит сесть и задуматься над схемой распределения адресов в вашей сети. Стоит раз и навсегда выработать определенные правила присвоения адресов и придерживаться их в дальнейшем, это позволит значительно упростить администрирование сети и сократит до минимума глупые вопросы: \u0026quot;а что это за хост с адресом 192.168.51.51 ???\u0026quot;\nМы, например, придерживаемся следующей схемы: Данная схема не претендует на оригинальность и приведена исключительно в качестве примера. Вы можете составить собственные схемы и придерживаться их. Основным достоинством данного подхода является то, что встретив IP-адрес 192.168.51.203 администратор точно знает, что это один из сетевых принтеров, а 192.168.51.51 - Wi-Fi оборудование.\nС учетом данной схемы выделите пул DHCP-адресов и поделите его в соотношении 80/20 (или как вам больше нравится). В нашем случае это будут диапазоны до и после адреса (включительно) 192.168.51.210.\nОтдельно стоит упомянуть почему мы не используем блок адресов 1-10, как правило многие сетевые устройства настроены на использование адреса 192.168.x.1 по умолчанию и всякие сетевые \u0026quot;умельцы\u0026quot; при попытке подключиться к сети используют адреса из этого диапазона. Особенно это актуально для сетей диапазонов 192.168.0.0 и 192.168.1.0, поэтому мы советуем выбрать для своей корпоративной сети иной диапазон, в самом деле, от 2 до 254 весьма много цифр.\nИтак, с теорией закончили, переходим к практике. На первом КД запускаем Диспетчер сервера и добавляем роль DHCP-сервера: В качестве родительского домена указываем наш домен AD, в качестве DNS-серверов адреса наших КД. Следующим шагом добавляем область, в настройках указываем полный диапазон адресов: 192.168.51.10-.192.168.51.253, исключения настроим позже. Затем наш DHCP-сервер требуется авторизовать в AD, если вы вошли в систему как администратор домена, то дополнительных действий не потребуется, иначе нужно будет указать учетные данные доменного администратора. После этого еще раз проверьте все введенные данные и установите роль DHCP-сервера. После чего перейдите в оснастку управления данной ролью и задайте диапазоны исключения: В итоге у вас должна получиться примерно аналогичная настройка (согласно вашей схеме распределения адресов): Теперь аналогичным образом добавляем и настраиваем роль DHCP на втором КД. Настройкам области особого внимания не уделяем, все равно ее придется удалить: Да, на втором КД удаляем созданную область и снова переходим на первый КД. Щелкаем правой кнопкой мыши по DHCP-области и выбираем Дополнительно - Разделенные области. В открывшемся мастере выбираем второй DHCP-сервер: И укажите пропорции в которых следует раздеть область. Можете сильно не вникать в опции, разделив зону \u0026quot;на глаз\u0026quot;, более точные настройки позже можно задать вручную. Следующим шагом укажите задержки ответа серверов, так как первый сервер будет являться основным, то укажем для второго сервера задержку в 10 мс, это позволит выдавать все адреса первым сервером, используя второй только при отказе первого или заполнении его пула адресов. По окончании работы мастера область будет разделена и на первом сервере она примет вид: На втором сервере, скорее всего, придется \u0026quot;доработать напильником\u0026quot; и удалить лишний диапазон исключения: Теперь, убедившись что оба сервера обслуживают непересекающиеся части области, можно активировать область на втором сервере: Теперь в случае отказа или вывода на профилактику основного DHCP-сервера, второй сервер обработает запросы клиентов с истекшей арендой адреса (по умолчанию 8 дней), если основной сервер выбыл на больший срок, то на дополнительном DHCP-сервере стоит расширить пул адресов, в последующем сделав данный сервер основным, а другой сервер дополнительным.\nВ любом случае данный подход позволяет обеспечить бесперебойное функционирование вашей сетевой инфраструктуры вне зависимости от работоспособности отдельных узлов.\n","id":"699ed2048f4687eec8d13c9d5b6dbe5c","link":"https://interface31.ru/post/active-directory-ot-teorii-k-praktike-chast-3/","section":"post","tags":["Active Directory","DHCP","LDAP","Windows Server","Службы каталогов"],"title":"Active Directory - от теории к практике. Часть 3 - настройка DHCP"},{"body":"Если у Вас возникло желание получать оповещения о результатах своих бэкапов на Microsoft SQL Server 2008R2, то это статья поможет разобраться в данном несложном вопросе. В продолжении темы «Обслуживание баз 1С в MS SQL Server» хотелось бы описать настройку оповещений на email адрес.\nВ распоряжении у нас имеется:\nSERVER-1C на Microsoft Windows Server 2008 R2 SERVER-1C\\SERVER1C - экземпляр Microsoft SQL Server 2008 R2 Задача: Оповещать на email в случае положительного или отрицательного результата регламентных заданий.\nДля начала необходимо создать оператора в Microsoft SQL Server. Для этого зайдем в среду Microsoft SQL Server Management Studio, перейдем к Агенту SQL Server и в папке Операторы произведем создание оператора. Дадим ему имя, укажем адрес электронной почты. Именно на этот адрес будут приходить все уведомления от MS SQL. Дальше необходимо в нашем регламентном задании добавить задачу Уведомление оператора. В добавленном задании необходимо выбрать созданного оператора. Также указываем тему и желаемый текст сообщения, которые будут приходить на электронную почту. Следующим действием необходимо настроить сообщения о неудачном выполнение регламентного задания. Перейдем в Агент SQL Server, затем на Задания и зайдем в свойства нашей регламентной процедуры. На странице Уведомления отметим действия по завершению задания указав Электронная почта, выбрав оператора и при ошибке задания.\nОсталось настроить почтовый профиль для отправки и прикрепить его к Агенту SQL Server.\nВ обозревателе объектов SERVER-1C\\SERVER1C выберем Управление, затем Компонент Database Mail. В Свойствах компонента выбираем пункт - Настроить компонент Database Mail.\nПропускаем информационное окно и переходим к выбору действий по установке и настройке компонента Database Mail. Выбираем Установить компонент Database Mail. Вводим имя профиля и добавляем учетную запись SMTP. В окне Добавление учетной записи к профилю выбираем Создать запись. Создаем smtp-учетку для почты. На скриншоте приведен пример для почты на yandex.ru. В следующем окне установим профиль по умолчанию и сделаем его открытым. Настройки в следующем меню можно оставить по умолчанию. Настройка завершится созданием почтового профиля, параметры которого вы всегда сможете изменить в компоненте Database Mail. Проверить созданный профиль можно отправив тестовое сообщение через Database Mail. Перейдем к свойствам Агент SQL Server. На странице Система предупреждений включаем почтовый профиль (если он еще не включен) и выбираем созданный нами. На этом можно завершить настройку оповещений на email. Теперь после выполнения регламентного задания на почту будут приходить письма с результатами выполнения планов обслуживания.\nДополнительные материалы:\nОбслуживание баз 1С в MS SQL Server. Часть 1. Настройка планов обслуживания БД. Обслуживание баз 1С в MS SQL Server. Часть 2. Оповещение по e-mail. Обслуживание баз 1С в MS SQL Server. Часть 3. Восстановление из резервных копий. ","id":"2a2cda63e344a84f95fe46b2ff346dd9","link":"https://interface31.ru/post/obsluzhivanie-baz-1s-v-ms-sql-server-chast-2/","section":"post","tags":["1С Предприятие 8.х","E-mail","MS SQL","SQL"],"title":"Обслуживание баз 1С в MS SQL Server. Часть 2"},{"body":"Наиболее распространенная проблема с которой сталкиваются пользователи и администраторы файловых серверов - это случайное удаление или перезапись файлов. Бороться с этим явлением весьма сложно, технические средства здесь не помогут, а административные часто оказываются неэффективными. Очень часто сотрудники сами случайно перезаписывают нужные файлы. Что делать? Ответ прост - настраивать теневое копирование общих папок.\nТеневое копирование - специальный механизм, позволяющий делать копии файлов соответствующее определенному моменту времени, даже если они открыты или заблокированы системой. Теневые копии позволяют просматривать содержимое общих папок по состоянию на тот или иной момент времени в прошлом.\nТеневые копии могут быть использованы для восстановления случайно удаленных и случайно перезаписанных файлов, а также позволяет сравнить несколько версий одного файла. Следует помнить, что теневые копии не могут служить заменой резервному копированию в силу ряда ограничений и особенностей о которых мы поговорим ниже.\nТеневое копирование поддерживают серверные ОС начиная с Windows Server 2003, клиентское ПО для работы с теневыми копиями доступно начиная с Windows XP SP2.\nПри использовании теневых копий следует учитывать следующие ограничения:\nПри превышении лимита выделенного дискового пространства старые теневые копии будут удалены без возможности восстановления. На одном томе может быть не более 64 теневых копий для каждого файла. Теневое копирование включается на уровне тома, т.е. нельзя выбрать общие папки и файлы для которых будет или не будет выполнятся теневое копирование. На компьютерах с двумя ОС при загрузке более старой системы или при подключении тома к другому ПК теневые копии могут быть повреждены. Перед тем, как настраивать теневое копирование, следует продумать расписание. Для этого нужно проанализировать активность пользователей и критичность данных, найдя компромисс между частотой создания теневых копий и промежутком времени который должно охватывать теневое копирование. При этом следует отталкиваться от того, потерю какого промежутка рабочего времени можно считать допустимым, после чего рассчитать за какой промежуток времени будет достигнут предел, составляющий 64 копии. Не рекомендуется делать теневые копии чаще чем раз в час. Также продумайте расписание таким образом, чтобы копии делались только в рабочее время.\nДля включения теневых копий перейдите в оснастку Управление компьютером в меню Администрирование. В левой части окна найдите пункт Общие папки и, щелкнув правой кнопкой мыши, выберите Все задачи - Настроить теневые копии. В открывшемся окне выберите том, на котором вы будете включать теневое копирование для общих папок и нажмите Включить, первая теневая копия будет создана немедленно. Затем нажмите на кнопку Параметры и укажите размер дискового пространства, выделяемый для хранения теневых копий. Следующим шагом задайте расписание. Теперь самое время проверить работу теневых копий в действии. В обучающих целях мы установили небольшой промежуток между созданием теневых копий и провели несколько типовых действий с файлами в общей папке.\nСамая распространенная и труднорешаемая проблема - файл перезаписали. Открываем свойства файла, переходим на закладку Предыдущие версии и выбираем одну из доступных теневых копий (в нашем случае только одна). Мы можем открыть, восстановить или скопировать файл. Для начала просто откроем. Убедившись, что перед нами необходимая версия файла, мы можем ее восстановить или скопировать, если нам нужны оба варианта файлов. Для восстановления удаленных файлов откройте свойства папки и выберите одну из ее теневых копий, затем вы можете просмотреть содержащиеся в ней файлы и восстановить нужные. Помните, что из теневой копии файлы можно открыть только на чтение. Как видим, теневое копирование дает пользователям и администратору богатые возможности по работе предыдущими версиями файлов и папок. Данная технология, в сочетании с правильно настроенным резервным копированием, позволяет обеспечить высокую доступность данных и свести риск их потери к разумному минимуму.\n","id":"b4ca08c3c4974f9665e9fd330f54740f","link":"https://interface31.ru/post/windows-server-nastraivaem-tenevye-kopii-dlya-obshhih-papok/","section":"post","tags":["SMB","Windows Server","Файловый сервер"],"title":"Windows Server. Настраиваем теневые копии для общих папок"},{"body":"В прошлой части нашей статьи мы разобрали тот минимум теоретического материала, который необходимо знать перед развертыванием доменных служб Active Directory. Сегодня мы начнем практическую часть цикла, в которой подробно рассмотрим создание и переход к доменной структуре сети. Начнем, как всегда, сначала - в данной статье мы расскажем как правильно развернуть контроллеры домена.\nПеред тем как приступить к практическому воплощению в жизнь всех своих планов сделайте паузу и еще раз проверьте некоторые мелочи. Очень часто эти вещи ускользают от взгляда администратора, принося в дальнейшем довольно серьезные затруднения, особенно для начинающих.\nИтак:\nПрисвойте будущему доменному контроллеру удобочитаемое имя, например SRV-DC01, а не WIN-VAGNTE3N62T. Установите для сетевого адаптера статический IP адрес. Переименуйте встроенную учетную запись администратора, используйте только латинские буквы и символы. Убедившись, что все вышеизложенные рекомендации выполнены, можно приступать к установке роли Доменные службы Active Directory, это можно сделать через оснастку Роли в Диспетчере сервера. Установка данной роли еще не сделает данный сервер контроллером домена, для этого необходимо запустить Мастер установки доменных служб, что и будет предложено сделать по окончании установки, также вы можете сделать это позже, запустив dcpromo.exe. Мы не будем разбирать подробно все настройки мастера, остановившись только на ключевых, кроме того стоит отметить, что в процессе установки будет выводиться довольно большое количество справочной информации и мы рекомендуем внимательно с ней ознакомиться.\nТак как это наш первый контроллер домена, то выбираем Создать новый домен в новом лесу. Следующим шагом следует указать имя вашего домена. Не рекомендуется давать домену интернет имя внешнего домена, также не рекомендуется давать имя в несуществующих зонах первого уровня, типа .local или .test и т.д. Оптимальным вариантом для домена AD будет поддомен в пространстве имен внешнего интернет домена, например corp.example.com. Так как наш домен используется исключительно в тестовых целях в рамках лаборатории, то мы назвали его interface31.lab, хотя правильно было бы назвать его lab.interface31.ru. Затем указываем режим работы леса, на этом вопросе мы уже останавливались в предыдущей части статьи и в подробности вдаваться не будем. В дополнительных параметрах обязательно укажите опцию DNS-сервер. Так как Active Directory и службы DNS тесно связаны между собой, то мы рекомендуем делать каждый контроллер домена DNS сервером и не видим веских оснований разносить эти роли. Очень важный момент - укажите и запишите в надежном месте пароль администратора режима восстановления служб каталогов, при хорошем раскладе он вам понадобиться не должен, но гораздо хуже, если вы его не можете вспомнить. В следующем окне еще раз перепроверьте все введенные данные и можете запускать процесс настройки доменных служб. Помните, с этого момента уже ничего изменить или исправить нельзя и если вы где-то ошиблись, то придется начать все заново. А пока мастер настраивает доменные службы можете сходить налить себе чашечку кофе. По завершении работы мастера перезагрузите сервер и, если все сделано правильно, в вашем распоряжении первый контроллер домена, который также будет исполнять роль DNS-сервера для вашей сети. Здесь возникает еще один тонкий момент, данный сервер будет содержать записи о всех объектах вашего домена, при запросе записей, относящихся к другим доменам, которые он не сможет разрешить, они будут переданы вышестоящим серверам, т.н. серверам пересылки.\nПо умолчанию в качестве серверов пересылки указывается адрес DNS-сервера из свойств сетевого подключения, чтобы впоследствии избежать разного рода сбоев в работе сети следует явно указать доступные сервера во внешней сети. Для этого откройте оснастку DNS в Диспетчере сервера и выберите Сервера пересылки для своего сервера. Укажите не менее двух доступных внешних серверов, это могут быть как сервера провайдера, так и публичные DNS-службы. Также обратите внимание, что в свойствах сетевого подключения контроллера домена, который является DNS-сервером, в качестве адреса DNS должно быть указано 127.0.0.1, любые другие варианты записи являются ошибочными.\nСоздав первый контроллер домена, не откладывая дело в долгий ящик, приступайте к развертыванию второго, без этого ваша структура AD не может считаться полноценной и отказоустойчивой. Также убедитесь, что сервер имеет удобочитаемое имя и статический IP-адрес, в качестве DNS-сервера укажите адрес первого контроллера и введите машину в домен.\nПосле перезагрузки войдите доменным администратором и установите роль Доменные службы Active Directory, после чего также запустите мастер. Принципиальных отличий в настройке второго контроллера нет, разве что отвечать придется на меньшее число вопросов. Прежде всего укажите, что вы добавляете новый контроллер в существующий домен. Как мы уже говорили, рекомендуем сделать этот сервер DNS-сервером и Глобальным каталогом. Помните, что при отсутствии глобального каталога ваш домен может оказаться неработоспособным, поэтому рекомендуется иметь как минимум два глобальных каталога и дополнительно добавлять ГК в каждый новый домен или сайт AD. Остальные настройки полностью идентичны и, проверив все еще раз, приступайте к развертыванию второго контроллера, в процессе которого будет выполнена настройка соответствующих служб и произведена репликация с первым контроллером. Закончив установку второго контроллера можете переходить к настройкам доменных служб: создавайте пользователей, разносите их по группам и подразделениям, настраивайте групповые политики и т.д. и т.п. Делать это можно на любом контроллере домена, для этого воспользуйтесь соответствующими пунктами меню Администрирование. Следующим шагом будет введение в домен пользовательских ПК и рядовых серверов, а также миграция пользовательского окружения на доменные учетные записи, об этом мы поговорим в следующей части.\n","id":"30f8741001bc4202b03a7dba5e83bf36","link":"https://interface31.ru/post/active-directory-ot-teorii-k-praktike-2/","section":"post","tags":["Active Directory","LDAP","Windows Server","Службы каталогов"],"title":"Active Directory - от теории к практике. Часть 2 - разворачиваем доменную структуру"},{"body":"О виртуализации сегодня не слышал разве что ленивый. Можно без преувеличения сказать, что сегодня это один из основных трендов развития IT. Однако многие администраторы до сих пор имеют весьма отрывочные и разрозненные знания о предмете, ошибочно полагая что виртуализация доступна только крупным компаниям. Учитывая актуальность темы, мы решили создать новый раздел и начать цикл статей о виртуализации.\nЧто такое виртуализация? Виртуализация сегодня - понятие весьма обширное и разноплановое, однако мы не будем сегодня рассматривать все его аспекты, это выходит далеко за рамки данной статьи. Тем, кто только знакомится с данной технологией будет вполне достаточно упрощенной модели, поэтому мы постарались максимально упростить и обобщить данный материал, не вдаваясь в подробности реализации на той или иной платформе.\nТак что-же такое виртуализация? Это возможность запустить на одном физическом компьютере несколько изолированных друг от друга виртуальных машин, каждая из которых будет \u0026quot;думать\u0026quot; что работает на отдельном физическом ПК. Рассмотрим следующую схему: Поверх реального аппаратного обеспечения запущено специальное ПО - гипервизор (или монитор виртуальных машин), который обеспечивает эмуляцию виртуального железа и взаимодействие виртуальных машин с реальным железом. Он также отвечает за коммуникации виртуальных ПК с реальным окружением посредством сети, общих папок, общего буфера обмена и т.п.\nГипервизор может работать как непосредственно поверх железа, так и на уровне операционной системы, существуют также гибридные реализации, которые работают поверх специально сконфигурированной ОС в минимальной конфигурации.\nС помощью гипервизора создаются виртуальные машины, для которых эмулируется минимально необходимый набор виртуального железа и предоставляется доступ к разделяемым ресурсам основного ПК, называемого хостом. Каждая виртуальная машина, как и обычный ПК, содержит свой экземпляр ОС и прикладного ПО и последующее взаимодействие с ними ничем не отличается от работы с обычным ПК или сервером.\nКак устроена виртуальная машина? Несмотря на кажущуюся сложность виртуальная машина (ВМ) представляет собой всего лишь папку с файлами, в зависимости от конкретной реализации их набор и количество может меняться, но в основе любой ВМ лежит один и тот-же минимальный набор файлов, наличие остальных не является критически важным. Наибольшую важность представляет файл виртуального жесткого диска, его потеря равносильна отказу жесткого диска обычного ПК. Вторым по важности является файл с конфигурацией ВМ, который содержит описание аппаратной части виртуальной машины и выделенных ей разделяемых ресурсов хоста. К таким ресурсам относится, например, виртуальная память, которая является выделенной областью общей памяти хоста.\nВ принципе потеря файла конфигурации не является критическим, имея в наличии один только файл виртуального HDD можно запустить виртуальную машину создав ее конфигурацию заново. Точно также, как имея только один жесткий диск, можно подключить его к другому ПК аналогичной конфигурации и получить полностью работоспособную машину.\nКроме того в папке в виртуальной машиной могут содержаться и другие файлы, но они не являются критически важными, хотя их потеря может быть также нежелательна (например снимки состояния, позволяющие откатить состояние виртуального ПК назад).\nПреимущества виртуализации В зависимости от назначения разделяют настольную и серверную виртуализацию. Первая используется преимущественно в учебных и тестовых целях. Теперь, чтобы изучить какую нибудь технологию или протестировать внедрение какого-либо сервиса в корпоративную сеть достаточно лишь довольно мощного ПК и средства настольной виртуализации. Количество виртуальных машин, которые вы можете иметь в своей виртуальной лаборатории ограничено только размерами диска, количество одновременно запущенных машин ограничивается в основном количеством доступной оперативной памяти.\nНа рисунке ниже окно средства настольной виртуализации из нашей тестовой лаборатории в окне которого запущена ОС Windows 8. Серверная визуализация широко используется в IT инфраструктурах любого уровня и позволяет использовать один физический сервер для запуска нескольких виртуальных серверов. Преимущества данной технологии очевидны:\nОптимальное использование вычислительных ресурсов Не секрет, что вычислительные мощности даже серверов начального уровня и просто средних ПК для многих задач и серверных ролей избыточны и не используются полностью. Обычно это решается добавлением дополнительных серверных ролей, однако такой подход значительно усложняет администрирование сервера и повышает вероятность отказов. Виртуализация позволяет безопасно использовать свободные вычислительные ресурсы, выделив под каждую критичную роль свой сервер. Теперь, чтобы произвести обслуживание, скажем, веб-сервера, вам не придется останавливать сервер баз данных\nЭкономия физических ресурсов Использование одного физического сервера вместо нескольких позволяет эффективно экономить электроэнергию, место в серверной, затраты на сопутствующую инфраструктуру. Особенно это важно небольшим компаниям, которые могут значительно сократить расходы на аренду ввиду уменьшения физических размеров оборудования, например отпадает необходимость иметь хорошо вентилируемую серверную с кондиционером.\nПовышение масштабируемости и расширяемости инфраструктуры По мере роста фирмы все большее значение приобретает возможность быстро и без существенных затрат увеличить вычислительные мощности предприятия. Обычно данная ситуация предусматривает замену серверов на более мощные с последующей миграцией ролей и сервисов со старых серверов на новые. Провести подобный переход без сбоев, простоев (в т.ч. и запланированных) и разного рода \u0026quot;переходных периодов\u0026quot; практически невозможно, что делает каждое такое расширение маленьким авралом для фирмы и администраторов, которые зачастую вынуждены работать ночами и по выходным.\nВиртуализация позволяет решить данный вопрос гораздо более эффективно. При наличии свободных вычислительных ресурсов хоста их можно легко добавить нужной виртуальной машине, например увеличить объем доступной памяти или добавить процессорные ядра. При необходимости поднять производительность более существенно создается новый хост на более мощном сервере, куда переносится нуждающаяся в ресурсах виртуальная машина. Время простоя в данной ситуации кране мало и сводится ко времени необходимому для копирования файлов ВМ с одного сервера на другой. Кроме того многие современные гипервизоры содержат функцию \u0026quot;живой миграции\u0026quot;, которая позволяет перемещать виртуальные машины между хостами без их остановки.\nПовышение отказоустойчивости Пожалуй, физический выход сервера из строя, один из самых неприятных моментов в работе системного администратора. Осложняет ситуацию тот факт, что физический экземпляр ОС практически всегда является аппаратно зависимым, что не дает возможности быстро запустить систему на другом железе. Виртуальные машины лишены такого недостатка, при отказе сервера-хоста все виртуальные машины быстро и без проблем переносятся на другой, исправный, сервер. При этом различия в аппаратной части серверов не играют никакой роли, вы можете взять виртуальные машины с сервера на платформе Intel и успешно запустить их несколько минут спустя на новом хосте, работающем на платформе AMD.\nЭто же обстоятельство позволяет временно выводить сервера на обслуживание или изменять их аппаратную часть без остановки работающих на них виртуальных машин, достаточно временно переместить их на другой хост.\nВозможность поддерживать устаревшие ОС Несмотря на постоянный прогресс и выход новых версий ПО корпоративный сектор часто продолжает использовать устаревшие версии ПО, хорошим примером может служить 1С:Предприятие 7.7. Виртуализация позволяет без лишних затрат вписать такое ПО в современную инфраструктуру, также она может быть полезна, когда старый ПК, работавший под управлением устаревшей ОС вышел из строя, а на современном железе запустить ее не представляется возможным. Гипервизор позволяет эмулировать набор устаревшего железа для обеспечения совместимости со старыми ОС, а перенести физическую систему в виртуальную среду без потери данных позволяют специальные утилиты.\nВиртуальные сети Трудно представить современный ПК без подключения к какой-либо сети. Поэтому современные технологии виртуализации позволяют виртуализировать не только компьютеры но и сети. Как и обычный компьютер, виртуальная машина может иметь один или несколько сетевых адаптеров, которые могут быть подключены либо к внешней сети, через один из физических сетевых интерфейсов хоста, либо к одной из виртуальных сетей. Виртуальная сеть представляет собой виртуальный сетевой коммутатор к которому подключаются сетевые адаптеры виртуальных машин. При необходимости, в такой сети, средствами гипервизора, могут быть реализованы сервисы DHCP и NAT, для доступа к интернету через интернет-подключение хоста.\nВозможности виртуальных сетей позволяют создавать достаточно сложные сетевые конфигурации даже в пределах одного хоста, для примера обратимся к следующей схеме: Хост подключен к внешней сети посредством физического сетевого адаптера LAN 0, посредством этого же физического интерфейса к внешней сети подключена виртуальная машина VM5, через сетевой адаптер VM LAN 0. Для остальных машин внешней сети хост и VM5 два разных ПК, каждый из них имеет свой сетевой адрес, свою сетевую карту со своим MAC-адресом. Вторая сетевая карта VM5 подключена к виртуальному коммутатору виртуальной сети VM NET 1, к нему же подключены сетевые адаптеры виртуальных машин VM1-VM4. Таким образом мы в пределах одного физического хоста организовали безопасную внутреннюю сеть, которая имеет доступ к внешней сети только через роутер VM5.\nНа практике виртуальные сети позволяют легко организовать в пределах одного физического сервера несколько сетей с разным уровнем безопасности, например вынести потенциально небезопасные хосты в DMZ без дополнительных затрат на сетевое оборудование.\nМоментальные снимки Еще одна функция виртуализации полезность которой сложно переоценить. Суть ее сводится к тому, что в любой момент времени, не останавливая работы виртуальной машины, можно сохранить снимок ее текущего состояния, да еще и не один. Для неизбалованного админа это просто праздник какой-то, иметь возможность легко и быстро вернуться к первоначальному состоянию, если что-то вдруг пошло не так. В отличии от создания образа жесткого диска с последующим восстановлением системы с его помощью, что может занять значительное время, переключение между снимками происходит в течение считанных минут.\nДругое применение моментальные снимки находят в учебных и тестовых целях, с их помощью можно создать целое дерево состояний виртуальной машины, имея возможность быстро переключаться между различными вариантами конфигурации. На рисунке ниже приведено дерево снимков роутера из нашей тестовой лаборатории с которым вы прекрасно знакомы по нашим материалам: Заключение Несмотря на то, что мы старались дать лишь краткий обзор, статья получилась довольно объемной. В тоже время мы надеемся, что благодаря данному материалу вы сможете реально оценить все возможности, которые предоставляет технология виртуализации и осмысленно, представляя те преимущества, которые способна получить именно ваша IT-инфраструктура, приступить к изучению наших новых материалов и практическому внедрению виртуализации в повседневную практику.\n","id":"4e0962f8d63c3631964aa4d97a9cc306","link":"https://interface31.ru/post/vvedenie-v-virtualizaciyu-chast-1/","section":"post","tags":["Виртуализация"],"title":"Введение в виртуализацию. Часть 1"},{"body":"В прошлой статье мы рассказывали как настроить веб-сервер IIS для запуска на нем ASP.NET приложений. Не менее популярным языком для веб-приложений является PHP, поддержка которого позволит запускать на нашем сервере большое число популярных CMS, разработанных с его применением. Тем более что установить PHP для веб-сервера IIS довольно просто.\nСразу внесем ложку дегтя в бочку с медом. Большинство популярных решений на базе PHP не поддерживают работу с СУБД MS SQL, для их работы потребуется также установить MySQL, что несколько выходит за рамки этой статьи.\nУчитывая, что большинство из них разрабатываются для платформы LAMP, то их взаимоотношения с MS SQL Server еще долгое время будут оставаться напряженными. Даже Joomla 2.5, в которой заявлена поддержка MS SQL содержит большое число ошибок реализации данного механизма, что практическое использование данной связки не представляется возможным.\nПоэтому, если вам необходимо использовать массовые CMS разработанные для связки PHP + MySQL, то мы бы советовали все-таки обратить внимание на решения на платформе Linux.\nВ тоже время вы можете использовать связку PHP + IIS + MS SQL для разработки собственных решений или при использовании PHP движков поддерживающих данную СУБД, например старшие версии Битрикс. В следующих статьях мы также расскажем, как установить MySQL на платформу Windows, если вы все таки решите использовать IIS для запуска популярных PHP систем управления сайтом.\nИтак, что нам понадобиться, чтобы установить PHP для IIS? Прежде всего сам PHP, скачиваем его с официального сайта в виде msi инсталлятора, также хотим обратить ваше внимание, что скачивать нужно потоконебезопасную (Non Thread Safe) версию.\nЗа безопасность потоков в нашем случае будет отвечать IIS, при установке потокобезопасной версии вы можете столкнуться с неожиданным (вплоть до полной неработоспособности) поведением скриптов. Несмотря на то, что последней версией PHP является 5.4, мы будем использовать 5.3, так как еще не все популярные скрипты полностью совместимы с последней версией PHP.\nПеред тем, как устанавливать PHP необходимо добавить веб-серверу поддержку технологии CGI, для этого перейдите в Диспетчер сервера - Роли - Веб-сервер - Добавить службы ролей. Также мы добавили поддержку технологии SSI, которая часто используется в популярных CMS. Теперь можно запускать инсталлятор PHP, путь установки лучше заменить на более короткий и без пробелов, например C:\\PHP, в соответствующем окне выбираем режим работы IIS FastCGI. Все необходимые настройки PHP и IIS будут сделаны автоматически. Для работы с СУБД MS SQL установим драйвер Microsoft Drivers 3.0 for PHP for SQL Server, также мы рекомендуем установить Windows Cache Extension for PHP, чтобы PHP приложения могли эффективно кэшировать данные, работая на платформе Windows. Для установки необходимо указать папку с расширениями PHP, в нашем случае это C:\\PHP\\ext, куда будут распакованы необходимые библиотеки. В файл C:\\PHP\\php.ini добавим следующие строки, которые обеспечат подключение и загрузку необходимых модулей:\n1extension=php_wincache.dll 2extension=php_sqlsrv_53_nts.dll Также советуем обратить внимание на следующие опции:\n1upload_max_filesize = 2M 2memory_limit = 128M Первая задает максимальный размер загружаемого через PHP файла, по умолчанию 2 Мб, вторая максимально доступный размер памяти, которую может использовать скрипт. Вы можете откорректировать данное значение исходя из требований PHP-приложений и имеющейся в наличии свободной памяти.\nТакже мы советуем установить модуль URL Rewrite Module 2.0, после чего перезапустите веб-сервер через оснастку Диспетчер служб IIS.\nПосле чего при помощи этой оснастки создадим новый сайт phpsite.local, для обращения к нему по URL не забудьте добавить соответствующие записи в файлы hosts на клиентах или A-запись на вашем DNS-сервере. Установим необходимые права на папку с сайтом, чтобы PHP имел доступ к содержимому папки необходимо добавить полные права, кроме группы IIS_IUSRS, также группе IUSR. Для проверки создадим в корневом каталоге сайта файл index.php со следующим содержимым:\n1\u0026lt;?php 2phpinfo(); 3?\u0026gt; Теперь на клиентской машине в браузере наберем http://phpsite.local, если все сделано правильно вы должны увидеть следующую страницу: На этом установку и настройку PHP для веб-сервера IIS можно считать успешно завершенной. Можно приступать к размещению и запуску своих приложений, написанных с применением этого языка. В следующей статье мы дополним наш сервер СУБД MySQL, что позволит вам запускать весь спектр популярных PHP-приложений.\n","id":"6f9e1d0e2e6c1b12498bdd96667e66a4","link":"https://interface31.ru/post/windows-server-dobavlyaem-podderzhku-php-web-serveru-iis/","section":"post","tags":["IIS","MS SQL","PHP","Web-сервер","Windows Server","Сетевые технологии"],"title":"Windows Server. Добавляем поддержку PHP веб-серверу IIS"},{"body":"В нашей прошлой статье мы рассмотрели настройку автообмена для адаптированных конфигураций платформы 8.2 (Бухгалтерия 2.0), сегодня мы рассмотрим автообмен в конфигурациях на основе управляемого приложения. Сразу скажем - ничего нового из данного материала вы не узнаете, принципиальных отличий от адаптированных конфигураций нет. Если вы успешно настраивали автообмен ранее, то без труда разберетесь и с управляемым приложением. Данный материал в первую очередь рассчитан на тех, кто настраивает автообмен первый раз и сразу делает это на управляемом приложении.\nКонфигурации на основе управляемого приложения пока еще не имеют повсеместного применения, многие из них только находятся в начале жизненного цикла, например Бухгалтерия Предприятия 3.0. Наиболее зрелой и имеющей наибольшее распространение является конфигурация Управление торговлей 11, на ее примере мы и будем рассматривать настройку автообмена.\nСледует признать, 1С выполнила большую работу, собрав все настройки автообмена в одном месте и сделав этот процесс еще более простым и понятным. Теперь не нужно выполнять различные настройки в различных местах конфигурации, достаточно ответить на вопросы мастера, при этом не нужно обладать никакими особыми знаниями, всю техническую часть 1С спрятала подальше от пользователей.\nОсновным отличием интерфейса управляемого приложения является его возможность автоматически адаптироваться для определенных условий применения, в зависимости от прав пользователя, функциональных опций, персональных настроек и т.п. интерфейс будет отображать только необходимые элементы, скрывая неиспользуемые. Поэтому, прежде чем искать настройки автообмена, эту опцию необходимо включить. Это можно сделать в Администрирование - Настройка параметров учета - Обмен данными, не забудьте указать префикс для распределенной ИБ. Теперь в боковом меню закладки Администрирование будет доступна опция Обмен данными, перейдя на эту страницу выберем пункт Обмены данными и в открывшемся окне создадим новый обмен в распределенной информационной базе. После чего откроется мастер, который проведет нас через все шаги настройки обмена. Для выполнения обмена предлагается три варианта связи: через локальный или сетевой каталог, через FTP или посредством электронной почты. По умолчанию предлагается первый вариант, поэтому прежде чем переходить к следующему варианту настройки снимите галочку использования данной настройки. На странице с настройками FTP укажите параметры подключения и не забудьте проверить настройку нажав соответствующую кнопку. Далее укажите наименование баз, способ обмена и префикс второй базы. На этом настройка обмена будет закончена и мастер предложит создать начальный образ новой базы, в открывшемся окне указываем расположение ИБ и переходим к созданию образа. Это может занять некоторое время, иногда довольно продолжительное. Полученную информационную базу можно отправлять в филиал, при первом запуске снова появится мастер, который предложить продолжить настройку обмена. Никаких сложностей здесь возникнуть не должно, все основные настройки мы уже задали, в частности нужно будет указать параметры связи с FTP-сервером. Настроив периферийную базу можно приступать к проверке обмена. Вручную обмен можно выполнить из окна со списком обменов, в выпадающем списке Выполнение обмена данными выберите Выполнить автоматически. Перед вами появится следующее окно, которое позволяет как выполнить обмен и проконтролировать результаты, так и внести изменения в настройку обмена. Для автоматизации процесса выберите в списке Выполнение обмена данными пункт Настроить сценарии обмена данными и создайте новый сценарий с необходимыми вам событиями. Аналогичную настройку нужно провести также в базе филиала. Обратите внимание, что вы можете настраивать отдельно расписание загрузки и выгрузки данных, это, например, позволяет создать сценарий, когда центр сначала выгружает данные, а спустя некоторое время, после того как произойдет обмен в филиалах, будет производить загрузку полученных данных.\nДля файловых баз данных необходимо дополнительно настроить выполнение регламентых заданий в отдельном сеансе. Для этого выберите Администрирование - Регламентные и фоновые задания - Настройка выполнения регламентых заданий (кнопка 2 на рисунке ниже) - Автоматически запускать отдельный сеанс для выполнения регламентных заданий. После чего, при запуске информационной базы, будет автоматически запущен отдельный сеанс в котором будут выполняться регламентные задания.\n","id":"fa2755bd844b84782dd6ecdf6960c390","link":"https://interface31.ru/post/1spredpriyatie-82-nastraivaem-avtoobmen-chast-2/","section":"post","tags":["1С Предприятие 8.х","FTP","Автообмен"],"title":"1С:Предприятие 8.2. Настраиваем автообмен. Часть 2"},{"body":"Предлагаем вам очередной перевод статьи нашего зарубежного коллеги в котором он провел сравнительное тестирование производительности жестких дисков WD серий Green и Black. На наш взгляд данный материал также будет интересен широкому кругу русскоязычных читателей.\nВ недавнем посте я рассказывал о своем новом домашнем сервере и приводил его конфигурацию. Этот сервер содержит 120 SDD SATA 6,0 Гбит/с для операционной системы и **Western Digital 2TB Green SATA 6,0 Гбит/с (WD20EARX-00PASB0)**для виртуальных машин и хранения данных.\nНекоторые из моих читателей высказали предположение что \u0026quot;зеленый\u0026quot; WD не обеспечит подходящей производительности по сравнению с \u0026quot;черным\u0026quot; диском. Также они задавались вопросом: какова реальная экономия электроэнергии \u0026quot;зеленым\u0026quot; диском. WD Green потребляет меньше энергии работая с переменными пониженными оборотами (~5400 против 7200).\nЯ решил купить Western Digital Caviar Black SATA 6,0 Гбит/с (WD2002FAEX-007BA) для тестирования и сравнить с два диска с использованием HD Tune Pro 5.00 и Microsoft Exchange Server Jetstress 2010 (64 бит).\nЯ выполнил набор тестов для \u0026quot;зеленого\u0026quot; диска, затем заменил его на \u0026quot;черный\u0026quot; и еще раз выполнил набор тестов на моем новом сервере. Во время тестирования сервер был подключен через счетчик электроэнергии для точного измерения и сравнения энергопотребления.\nТесты HD Tune Pro Ниже приведены результаты тестов для обоих дисков. Первые (верхние) для \u0026quot;зеленого\u0026quot;, вторые для \u0026quot;черного\u0026quot;. \u0026quot;Черный\u0026quot; диск обеспечивает на 17,9% выше среднюю скорость передачи данных и меньшее время доступа 12 мс против 17,6. Я был удивлен тем, что загрузка процессора при тестировании \u0026quot;зеленого\u0026quot; диска была значительно выше (6%), по сравнению с \u0026quot;черным\u0026quot; (2,4%). В файловом тесте производились запись/чтение 500 Мб данных блоками по 4 Кб. \u0026quot;Черный\u0026quot; диск показал лучшую производительность на 11,7% при последовательном доступе и 28,2% при случайном доступе. В тесте случайного доступа измеряется производительность случайных операций чтения/записи данных различного размера (512 байт - 1 Мб). Опять таки \u0026quot;черный\u0026quot; диск по всем направлениям показал лучшие результаты, в среднем на 31,2%, также он имеет гораздо лучшее время доступа. Примечательно, что \u0026quot;зеленый\u0026quot; диск прошел этот тест молча, в то же время \u0026quot;черый\u0026quot; трещал как счетчик Гейгера на Фукусиме. Ни один из этих дисков не имеет AAM (Automatic Acoustic Management), так что это не влияет на результаты (и не может быть изменено). Данный раздел содержит различные тесты, которые определяют наиболее важные параметры производительности жестких дисков. \u0026quot;Черный\u0026quot; диск показывает на 35,3% лучший результат при случайном поиске и на 18,3% выше производительность при последовательном чтении. Также он имеет более высокую скорость обмена данными с кэш-памятью. Оба диска имеют кэш 64 Мб.\nТест Exchange JetStress Я запускал Exchange 2010 JetStress на каждом диске, чтобы получить точный профиль IOPS для Exchange 2010 SP2. JetStress был настроен на два часа тестирования с использованием 1 Тб данных в один поток.\n\u0026quot;Зеленый\u0026quot; диск показал 47,396 IOPS с задержкой 10,751 мс. \u0026quot;Черный\u0026quot; диск показал 64,57 IOPS с задержкой 15,180 мс. Я не знаю, почему \u0026quot;черный\u0026quot; диск имеет большую задержку, особенно учитывая тесты выше, но я дважды запускал тест и получил каждый раз одинаковый результат.\nАнализ энергопотребления \u0026quot;Зеленый\u0026quot; диск: 1,10 кВт за 27,5 часов\nПотребление энергии в час = 1,1 кВт / 27,5 часа= 0,04 кВтч Потребление энергии в день = 0,04 кВтч * 24 часа = 0,96 кВтч Стоимость в день = 0,96 кВтч * 18,5 цента = 17,8 центов Потребление энергии в год = 0,96 кВтч * 365 дней = 350 кВтч Стоимость за год = 350 кВтч * 18,5 цента = $ 64,82\n350 кВтч = ~ 700 фунтов парниковых газов в атмосферу в год.\n\u0026quot;Черный\u0026quot; диск: 0,72 кВт за 14,75 часов\nПотребление энергии в час = 0,72 кВт / 14,75 часа = 0,049 кВтч Потребление энергии в день = 0,049 кВтч * 24 часа = 1,18 кВтч Стоимость в день = 1,18 кВт * 18,5 цента = 21,83 центов Потребление энергии в год = 1,18 кВтч * 365 дней = 431 кВтч Стоимость за год = 431 кВтч * 18,5 цента = $ 79,74\n431 кВтч = ~ 860 фунтов парниковых газов в атмосферу в год.\nРезультат: диск WD Green использует на 18,8% меньше энергии чем \u0026quot;черный\u0026quot; диск.\n(Здесь и далее цены указаны для США по состоянию на февраль 2012 года. прим. перев.)\nВыводы Как видно из результатов тестирования, Western Digital Caviar Black работает лучше чем \u0026quot;зеленый\u0026quot; диск. На момент написания этой статьи \u0026quot;зеленый\u0026quot; диск стоил $ 139, цена \u0026quot;черного\u0026quot; составляла $ 249. Это на 44% дороже, при этом данный диск в среднем на 24% лучше.\nВо время реальных наблюдений я не увидел большой разницы в производительности между этими двумя дисками. Тем не менее, этот Hyper-V сервер имеет вдвое больше памяти, чем мой последний сервер, и, потенциально, он может хостить намного больше виртуальных машин (и будет иметь более высокую нагрузку на диск). По этой причине я решил оставить \u0026quot;черный\u0026quot; диск, даже если он стоит дороже, немного шумнее, когда активно работает, и использует больше энергии. Я тоже люблю \u0026quot;прокачанные\u0026quot; тачки :)\nЕсли вы планируете делать RAID, я бы определенно рекомендовал \u0026quot;черный\u0026quot; диск, поскольку он вращается с постоянной скоростью 7200 оборотов в минуту. Я встречал мнение, что переменные обороты \u0026quot;зеленого\u0026quot; диска могут вызывать ошибки чтения/записи.\nНадеюсь, вы найдете эту информацию полезной.\nПо материалам: Western Digital Green vs Black Drive Comparison\nАвтор: Jeff Guillet\nPacifica, CA, United States\nMicrosoft Exchange MCM and MVP. Senior consultant for ExtraTeam, Microsoft Gold Partner in Pleasanton, CA.\nПеревод: Уваров А.С.\nООО \u0026quot;Интерфейс\u0026quot;, РФ, Белгород.\n","id":"af29780136df965146f32ed3937b65f3","link":"https://interface31.ru/post/sravnenie-proizvoditelnosti-diskov-western-digital-green-i-black/","section":"post","tags":["HDD","Western Digital","Файловый сервер"],"title":"Сравнение производительности дисков Western Digital Green и Black"},{"body":"В прошлом году мы проводили тестирование производительности жестких дисков при подключении их через USB, оставив за кадром новый интерфейс USB 3.0. Тогда мы не стали проводить такие тесты ввиду малого выбора и дороговизны USB 3.0 оборудования, сегодня на рынке представлено достаточно устройств с данным интерфейсом в приемлемом ценовом диапазоне, поэтому мы решили вернуться к данному вопросу.\nКакие принципиальные отличия USB 3.0 от предыдущих поколений данного интерфейса? Прежде всего увеличенная до 4,8 Гбит/с (как и у SATA 6 Гб/с) пропускная способность, сила тока одного порта также выросла с 500 мА до 900 мА, что позволяет отказаться от внешнего блока питания для многих периферийных устройств. Технически это реализовано путем добавления дополнительных линий передачи данных и увеличения числа проводников USB кабеля, поэтому разъемы USB 3.0 не являются полностью совместимыми с USB 2.0, хотя высокая степень совместимости все же была сохранена. Чаще всего вы сможете подключить ваши USB 3.0 устройства с помощью USB 2.0 кабеля, другой вопрос как они будут при этом работать, но не наоборот.\nПоводом для тестирование стало приобретение внешнего бокса для 2,5\u0026quot; диска Zalman ZM-HE130 Black, данное устройство относится к средней ценовой категории, выполнено из алюминия и имеет богатую комплектацию. В качестве участников теста выступали уже знакомые по предыдущему тестированию жесткий диск 320 Gb SATA-II 300 Fujitsu (MJA2320BH) 2.5\u0026quot; 5400 rpm 8Mb и твердотельный накопитель 60 Gb OCZ Agility 2 (OCZSSD2-2AGTE60G).\nОднако не все прошло гладко. Как выяснилось не все USB 3.0 контроллеры \u0026quot;одинаково полезны\u0026quot;: контроллер Etron EJ168, которым укомплектованы многие платы Gigabyte, отказался стабильно работать с внешним боксом, через некоторое время диск просто отключался, продолжая присутствовать в системе и выдавая ошибки при попытке обращения к нему. Как выяснилось, Etron является весьма проблемным контроллером и назвать ситуацию с совместимостью безоблачной мы не можем. Положение спас дополнительный контроллер на чипе Renesas µPD720202, однако необходимость докупать дополнительные компоненты не может радовать, а если добавить сюда не дешевые USB 3.0 кабели, то покупка устройства с новым интерфейсом все еще способна вылететь в копеечку.\nПрежде всего мы подключили жесткий диск непосредственно через SATA, чтобы получить отправную точку для сравнения производительности. Значения весьма невысоки, но это и неудивительно, перед нами типичный \u0026quot;ноутбучный\u0026quot; диск со скоростью вращения шпинделя 5400 rpm и без претензий на производительность. Теперь подключим его через USB 3.0. Как видим скорость USB подключения перестала быть узким горлышком, производительность диска подключенного через USB 3.0 ничем не отличается от производительности диска подключенного через SATA. Посмотрим как обстоят дела у более скоростного SSD. Точно также сначала тоже прямое подключение: А затем через USB 3.0: Если с записью особых проблем не возникло, то на чтение имеем довольно существенное снижение производительности. В данном случае вступают в действие ограничения текущих моделей контроллеров. Однако все равно неплохо, в три раза быстрее чем через USB 2.0. Учитывая, что SSD никто во внешние боксы ставить не будет по экономическим соображениям, а скорость самых производительных массовых HDD не превышает 100-130 Мб/с, то результат просто замечательный. Уже сегодня производительность жестких дисков подключенных через USB не уступает дискам подключенным через SATA.\nНапоследок мы решили проверить, как ведет себя внешний бокс будучи подключен через USB 2.0. Для подключения мы использовали как microUSB 3.0 кабель, так и обычный microUSB, так как результаты отличались лишь на размер погрешности мы приведем лишь один из них.\nЖесткий диск: Твердотельный накопитель: Никаких существенных отличий от подключения через \u0026quot;родной\u0026quot; USB 2.0 контроллер мы не выявили (см. предыдущее тестирование), разве что немного ниже скорость записи. Поэтому с обратной совместимостью все обстоит неплохо.\nВыводы Если вы задумались о приобретении нового устройства или решили улучшить уже существующее, то выбор USB 3.0 очевиден. Это позволит вам использовать любой современный жесткий диск без потери производительности. Также существует соблазн заменить во внешнем боксе медленный диск 5400 rpm на более быстрый 7200 rpm, однако здесь надо принимать во внимание энергопотребление диска и то, что не все порты USB 2.0, которых еще большинство, смогут обеспечить ему питание.\nТакже перед покупкой стоит обратить самое пристальное внимание на совместимость вашего контроллера и приобретаемого устройства. Возможно потребуется покупка дополнительной платы и кабелей, так как родной короткий кабель бокса не всегда удобно использовать для подключений к задней панели ПК. Это способно омрачить покупку и значительно увеличить финансовые затраты.\nВозможно некоторые будут разочарованы, но современные USB 3.0 устройства не позволяют использовать всю предусмотренную стандартом пропускную способность, реальная производительность ограничена скоростью передачи около 1 Гбит/с (125 МБ/с), что было подтверждено нашими тестами. Поэтому использование SSD через USB 3.0 остается, мягко говоря, неоптимальным расходованием средств, чего не скажешь о классических жестких дисков. Приобретение для любого из них внешнего бокса с интерфейсом 3.0 будет отличной покупкой.\n","id":"9f3358afab8c4483042ef953e99c5f91","link":"https://interface31.ru/post/proizvoditelnost-zhestkih-diskov-pri-podklyuchenii-po-usb-30/","section":"post","tags":["HDD","USB","Файловый сервер"],"title":"Производительность жестких дисков при подключении по USB 3.0"},{"body":"Каждый администратор знает что проблемы с автозагрузкой способны доставить массу хлопот. Особенно если нужно устранить следы вирусной активности или убрать запуск нежелательных приложений. Стандартные инструменты не дают полного доступа к всем параметрам автозагрузки, а ручное редактирование реестра черевато отказом системы в случае ошибки. Что делать? Использовать небольшую утилиту AutoRuns от Sysinternals.\nМожно без преувеличения сказать, что данная утилита дает в руки администратора полный контроль над автозагрузкой, что делает ее уникальным инструментом. Скачать последнюю версию утилиты можно с сайта разработчиков, комплект содержит собственно утилиту и ее версию для работы в командной строке. Рассмотрим возможности AutoRuns подробнее, для примера возьмем реальную систему, в которой после вирусного заражения стали появляться сообщения об ошибках загрузки системных компонентов.\nПервый запуск утилиты поражает количеством информации, стартовый экран содержит всю доступную информацию об автозагрузке, при необходимости вы можете выбрать одну из вкладок, каждая из которых содержит информацию об определенном разделе: приложения запускаемые при входе в систему, автозагружаемые компоненты Проводника или IE и т.д. Уже беглый взгляд на первый экран позволяет легко обнаружить виновников происходящего. Да, это тот самый csrcs.exe, запускающийся вместе с оболочкой (не путать с системным процессом csrss.exe), для удаления его из автозагрузки просто снимаем галочку. Все изменения применяются моментально, подтверждать и сохранять их не нужно. Также не будет лишним убрать неработающие записи на отсутствующие компоненты явно вирусного происхождения (выделены желтым).\nПо умолчанию AutoRuns не удаляет записи, а просто отключает их, что дает возможность включить их загрузку при необходимости. Если же вам нужно удалить запись, то воспользуйтесь командой Delete в контекстном меню (вызывается правой кнопкой мыши) или кнопкой на панели инструментов. Перед удалением не будет лишним сохранить текущую настройку автозагрузки, что поможет быстро откатить изменения, если что-то пойдет не так. Кроме того мы советуем сохранять состояние автозагрузки по еще одной причине, команда Compare в меню File позволяет быстро сравнить текущее состояние автозагрузки с сохраненной копией.\nПри выборе строки утилита отображает доступную информацию о запускаемом процессе или приложении, а контекстное меню дает возможность быстро перейти к соответствующей записи реестра или найти данный компонент воспользовавшись командами Jump. Если вам нужно больше информации, то воспользуйтесь опцией Search Online, которая произведет поиск по имени интересующего вас компонента в интернет используя настройки вашего браузера (поисковую систему по умолчанию). При запуске AutoRuns от имени Администратора становится доступным еще один пункт меню User, который позволяет быстро перейти к параметрам автозагрузки других пользователей системы. Опция File - Analyze Offline System позволяет получить доступ к автозагрузке выключенной системы, все что вам надо, это указать путь к системный папке и профилю интересующего пользователя. Данная функция может быть полезна в случаях, когда нормальным образом загрузить систему не представляется возможным из-за проблем с автозагрузкой, например из-за SMS-блокировщика или подмены оболочки. Как видим, возможности утилиты никак не соответствуют ее размеру: всего один файл 628 Кб, а возможность запуска без установки как на 32-х так и на 64-х битных системах делают ее предметом первой необходимости в наборе утилит каждого системного администратора.\n","id":"0e56ac599cb8ba9327c154cdc0825477","link":"https://interface31.ru/post/adminu-na-zametku-vypusk-6-sysinternals-autoruns-polnyy-kontrol-nad-avtozagruzkoy/","section":"post","tags":["Microsoft","Sysinternals","Windows 7","Windows XP"],"title":"Админу на заметку - 6. Sysinternals AutoRuns - полный контроль над автозагрузкой"},{"body":"Несомненным достоинством IIS является его тесная интеграция с другими технологиями и средствами разработки Microsoft. В частности веб-решения для IIS могут использовать богатые возможности .NET и легко взаимодействовать с настольными приложениями на этой платформе. Если же вас это пока не интересует, то к вашим услугам богатый выбор готовых CMS, в том числе написанных специально для IIS. Сегодня мы рассмотрим как установить и настроить IIS для работы с веб-решениями на базе ASP.NET и установим одну из популярных CMS для этой платформы.\nОбычно, когда говорят о web-сервере, подразумевают решения на базе платформы Linux. Но если ваша инфраструктура развернута на основе Windows Server то логично будет использовать веб-сервер IIS. Вопреки распространенному мнению, это весьма популярная платформа, которая позволяет работать как с большинством популярных CMS, так и имеет широкий спектр систем, предназначенных для работы именно на Windows и IIS.\nДля установки веб-сервера на платформе Windows перейдем в оснастку Роли в Диспетчере сервера и выберем установку ролей Веб-сервер (IIS) и Сервер приложений. Но не спешите нажимать Далее, слева, под названием каждой роли, доступна опция Службы ролей, перейдем на нее и установим для Сервера приложений следующие опции: Поддержка веб-сервера (IIS), Общий доступ к TCP-портам и Активация через HTTP. А для веб-сервера установите службу FTP-сервер. После чего установите выбранные роли. Для проверки работоспособности IIS наберите в браузере IP-адрес вашего сервера, вы должны будете увидеть стандартную страницу-заглушку веб-сервера. Теперь перейдем в к настройке сервера, для этого откроем Диспетчер служб IIS (находится в Пуск - Администрирование). Первым делом создадим новый сайт, для этого щелкните правой кнопке на пункте Сайты в боковом меню Диспетчера IIS и выберите Создать новый сайт. В открывшемся окне укажите имя сайта, путь к корневой папке (по умолчанию сайты пользователей располагаются в C:\\inetpub\\wwwroot), которую следует предварительно создать и укажите имя узла (доменное имя сайта), в нашем случае iissite.local\nНе забудьте добавить A-запись с именем вашего сайта на DNS-сервер или пропишите необходимые строки в файлы hosts тех рабочих станций, откуда будете обращаться к сайту\nВ принципе вы уже можете размещать в папке сайта web-страницы и получать к ним доступ через браузер, но для полноценной работы с сайтом не помешает FTP-доступ к нему. Для этого щелкните правой кнопкой по названию вашего сайте в боковом меню и выберите Добавить FTP-публикацию Далее укажите привязку FTP-cлужбы к сетевым интерфейсам и портам, а также настройте параметры безопасности. Если вы собираетесь использовать SSL, то учтите что вам потребуется сертификат, хотя если вы будете использовать FTP-доступ только для собственных нужд, то можно обойтись самоподписанным сертификатом. Не забудьте поставить галочку для автоматического запуска FTP-сайта. На следующей странице укажите параметры доступа к серверу, мы советуем указывать конкретных пользователей, которые будут работать с данным сайтом. Попробуйте подключиться через FTP используя любой клиент и загрузите проверочную html страницу с именем index.html, пример такой страницы мы приводили здесь. Если все сделано правильно, то, набрав в браузере имя нашего сайта, вы увидите такую страницу: Веб-сервер настроен и вы можете использовать его для размещения HTML-страниц, однако современные сайты используют для хранения своих данных СУБД, поэтому следующим шагом установим MS SQL Express 2012, возможностей которого с лихвой хватит для наших задач. Установка производится со значениями по умолчанию, кроме Режима проверки подлинности, который следует переключить в Смешанный режим и задать пароль суперпользователю SQL-сервера sa. Теперь попробуем установить какую либо популярную CMS созданную на базе технологии ASP.NET, обширный выбор таких решений представлен в галерее web-приложений Microsoft. Обратите внимание, что по кнопке скачать вы получите пакет для установки через Web PI, для установки на IIS вам потребуется перейти на сайт разработчика и скачать полный пакет с CMS\nМы будем устанавливать Orchard CMS, для получения пакета пройдите по ссылке и выберите Загрузить как zip, распакуйте полученный архив и закачайте в корень сайта содержимое папки Orchard. Данная CMS создана на базе ASP.NET 4, поэтому настроим наш сайт на использование необходимых технологий. Для этого щелкните правой кнопкой на имени сайта в боковом меню и выберите Управление веб-сайтом - Дополнительные параметры В открывшемся окне измените параметр Пул приложений, указав там ASP.NET v.4\nЗатем установите необходимые права на папку с сайтом, вам нужно добавить пользователю IIS_IUSRS возможность записи и изменения содержимого данной папки.\nТакже не забудьте создать базу данных для сайта, для этого зайдите в SQL Server Management Studio и, щелкнув правой кнопкой на пункте Базы данных в боковом меню, создайте новую базу. Для установки CMS наберите в браузере адрес сайта и следуйте указаниям скрипта установки. Никаких сложностей там нет, единственное затруднение может вызвать правильное указание параметров подключения к SQL-серверу. Укажите что вы используете SQL Server (или SQL Express) В строке подключения ниже укажите следующее:\n1server=SERVERNAME\\SQLEXPRESS;database=iissite;user=sa;password=sapasswd; где:\nserver=SERVERNAME\\SQLEXPRESS - имя сервера, на котором установлен SQL-сервер, и экземпляра SQL-сервера. database=iissite - имя базы данных (в нашем случае iissite) user=sa - пользователь СУБД (в нашем случае sa) password=sapasswd - пароль пользователя sa. Так как наш сайт предназначен для внутреннего использования и использует изолированный экземпляр SQL, то мы использовали для доступа к серверу параметры пользователя sa, если же вы собираетесь размещать на веб-сервере несколько сайтов и администрировать их будут разные пользователи, то заведите на SQL сервере дополнительных пользователей и для подключения используйте их учетные данные, не забыв ограничить им доступ только к \u0026quot;своим\u0026quot; базам.\nСпустя некоторое время, необходимое для установки CMS, в вашем браузере отобразиться страница сайта с тестовым содержимым. Можете переходить в админ-панель и настраивать сайт согласно ваших потребностей. Несмотря на то, что мы рассмотрели установку только одного \u0026quot;движка\u0026quot;, установка других CMS производится аналогичным образом и сложностей вызвать не должна\nВ следующей части нашей статьи мы расскажем как добавить нашему серверу поддержку PHP для запуска на нем популярных CMS написанных на этом языке.\nДополнительные материалы:\nWindows Server. Настраиваем веб-сервер IIS. Windows Server. Добавляем поддержку PHP веб-серверу IIS. Windows Server. Веб-сервер IIS, добавляем поддержку MySQL. ","id":"651e074f00b710dbabfcdc5e1e1fb7a9","link":"https://interface31.ru/post/windows-server-nastraivaem-veb-server-iis/","section":"post","tags":["IIS","MS SQL","Web-сервер","Windows Server","Сетевые технологии"],"title":"Windows Server. Настраиваем веб-сервер IIS"},{"body":"Не так давно мы рассказывали о возможностях файловых служб Windows Server. Безусловно, наиболее востребованы дисковые квоты, которые позволяют гибко контролировать использование дискового пространства и не допускать его нецелевого использования. Сегодня мы поговорим о настройке квот для файловых серверов на базе Ubuntu Server и Samba.\nДисковые квоты в Linux системах реализуются при помощи специальной утилиты quota, которая работает на уровне раздела и позволяет устанавливать квоты пользователям и группам. Возможности установить квоту для отдельного общего ресурса нет, также существуют ограничения по используемым файловым системам, например не поддерживается XFS, которая имеет свои инструменты для квотирования. Поэтому если вы настраивали файловый сервер по нашей инструкции, то вам потребуется изменить файловую систему на разделе с данными или обратиться к документации по xfs_quota.\nВ нашем случае использовался файловый сервер, настроенный по вышеуказанной инструкции, однако с использованием на разделе /data файловой системы ext4. Все действия следует выполнять с правами суперпользователя или с помощью sudo.\nСледует помнить, что при гостевой модели доступа квоты не применяются, поэтому нужно изменить настройки samba, чтобы пользователи получали доступ к общим ресурсам только после авторизации на сервере. Для этого в глобальной секции изменим параметр:\n1[global] 2security = USER Теперь создадим общий ресурс:\n1[Users] 2path = /data/USERS 3read only = No Подразумевается, что папка USERS уже создана и на нее выставлены права 777. Перейдем к списку пользователей. Сначала создадим группу, в нашем случае smbuser:\n1groupadd smbuser Создадим пользователей и сразу установим им основной только что созданную группу:\n1useradd -g smbuser sidorov Установим им пароли к системе и samba, учтите, что пароли должны совпадать, иначе вы не сможете получить доступ к SMB ресурсам:\n1passwd sidorov 2smbpasswd -a sidorov Перезапустим sambа и проверим, что все работает:\n1service smbd restart Чтобы убедиться, что раздел смонтирован с поддержкой квот, выполним команду\n1mount Если все сделано правильно, вы увидите примерно следующее: Теперь установим пакет quota:\n1apt-get install quota Чтобы использовать квоты, нужно смонтировать соответствующий раздел с их применением. Откроем /etc/fstab найдем строку отвечающую за монтирование раздела /data и добавим опции для включения квот, строка будет иметь примерно следующий вид:\n1UUID=bdf379fc-627d-49e6-9153-a2cb571a6ee1 /data ext4 defaults,usrquota,grpquota 0 2 UUID - уникальный идентификатор раздела и, в вашем случае, будет иметь иное значение. За включение квот отвечают опции usrquota и grpquota, их назначение понятно из названий, также вы можете применить к разделу только один вид квот, указав только одну опцию. Чтобы изменения вступили в силу перезагрузим сервер.\nВ корне раздела, к которому применяем квоты, создадим два файла для хранения записей квот и установим необходимые права доступа к ним:\n1touch /data/aquota.user 2touch /data/aquota.group 3chmod 600 /data/aquota.user 4chmod 600 /data/aquota.group Теперь перечитаем значения квот командой:\n1quotacheck -avug -f Данная команда проверит файловую систему пересчитает и заново установит квоты, это необходимо сделать для того, чтобы учесть данные уже записанные пользователями на сервер.\nДля установки квот используется команда edquota, размер квоты можно выставить в количестве блоков или количестве файлов, чтобы рассчитать количество блоков нужно необходимый размер квоты в МБ умножить на 1024. Квота также может быть двух видов: мягкая и жесткая. Мягкая квота позволяет использовать пространство сверх квоты в течении некоторого времени (по умолчанию 7 дней), после чего мягкая квота становится жесткой, жесткая квота не может быть превышена ни при каких обстоятельствах.\nУстановим группе smbuser жесткую квоту в размере 200 МБ (204800 блоков):\n1edquota -g smbuser Откроется редактор nano с файлом следующего вида: Вносим в него необходимые значения и сохраняем, квоты вступают в действие сразу. Для установки квот пользователям используется следующий синтаксис:\n1edquota -u sidorov Для изменения времени, по истечении которого мягкая квота становится жесткой, используйте:\n1edquota -t Самое время проверить как это работает: Просмотреть состояние дисковых квот можно командой:\n1repquota -ug /data Ключи u и g указывают, что необходимо вывести отчет как по пользователям, так и по группам, в итоге вы должны увидеть следующее: Все это хорошо, но если пользователей (групп) много, то ручная установка квот для них может стать трудоемкой задачей. Более оптимально будет настроить квоты для одного пользователя, а потом скопировать эти настройки остальным, для этого создадим прототип:\n1edquota -u sidorov Теперь мы можем применить настройки прототипа (пользователь sidorov) к другому пользователю командой:\n1edquota -p sidorov vasilev Данная возможность удобна еще и тем, что вам не нужно вспоминать, какие именно квоты установлены для того или иного пользователя или группы, создав нового пользователя вы просто и быстро можете применить к нему квоты \u0026quot;как у Сидорова\u0026quot;.\n","id":"eeb5806bbbb94b62b079f686f445c5fe","link":"https://interface31.ru/post/samba-nastraivaem-diskovye-kvoty/","section":"post","tags":["Samba","SMB","Ubuntu Server","Файловый сервер"],"title":"Samba - настраиваем дисковые квоты"},{"body":"С недавних пор популярный сервис DynDNS стал платным. Не сказать, что 20$ в год большая сумма, но зачем платить, если можно этого не делать. Копейка, как известно, рубль бережет. В данной заметке мы расскажем вам как совершенно легально использовать сервис DynDNS бесплатно.\nКомпанию D-Link представлять не надо, с ее продукцией знаком каждый. Но не каждый знает, что многие роутеры D-Link содержат встроенный DynDNS клиент и для поддержки таких пользователей производитель создал собственную службу D-Link DDNS. Данный сервис представляет собой крайне урезанную версию DynDNS с ограничением 1 хост на аккаунт, но многим большего и не надо. Никакой привязки к железу D-Link нет и лицензионное соглашение также не содержит каких либо ограничений по стороннему использованию. С другой стороны каждый из нас хоть раз (а то и не раз) приобретал роутеры D-Link, поэтому может воспользоваться данным сервисом с чистой совестью. Если же вы являетесь счастливым обладателем устройства от данного производителя, то использовать данную службу будет совершенно естественно.\nЕсли у вас уже есть учетная запись на DynDNS, то не используйте указанные в нем данные для регистрации на D-Link DDNS, иначе вы получите сообщение, что для доступа к данному аккаунту нужно использовать DynDNS.\nНастроек очень мало и запутаться решительно негде: Все что вам нужно, это придумать имя хоста и указать его IP-адрес, для удобства текущий IP указан строкой выше. В последующем, для динамического обновления адреса можно использовать любой DynDNS клиент.\nНо это еще не все. Учетные данные от D-Link DDNS можно использовать для входа на DynDNS, в этом случае у вас появится возможность создать еще один бесплатный хост. Это может быть полезно, если вы используете оборудование сторонних производителей, которое настроено на использование именно DynDNS. В любом случае данный способ позволяет бесплатно и полностью легально получить два бесплатных хоста.\nДополнительные материалы:\nАдмину на заметку - 12. Comexe - бесплатный DynDNS от китайских товарищей. ","id":"35e4974906f95cc0e1e8b246dd48d945","link":"https://interface31.ru/post/adminu-na-zametku-vypusk-5-kak-ispol-zovat-dyndns-besplatno/","section":"post","tags":["DNS","DynDNS","Сетевые технологии"],"title":"Админу на заметку - 5. Как использовать DynDNS бесплатно"},{"body":"В наших прошлых материалах мы разобрали общие вопросы касающиеся служб каталогов и Active Directory. Теперь пришла пора переходить к практике. Но не спешите бежать к серверу, перед развертыванием доменной структуры в вашей сети необходимо ее спланировать и иметь четкое представление о назначении отдельных серверов и процессах взаимодействия между ними.\nПеред тем как создавать ваш первый контроллер домена необходимо определиться с режимом его работы. Режим работы определяет доступные возможности и зависит от версии применяемой операционной системы. Мы не будем рассматривать все возможные режимы, кроме тех которые имеют актуальность на текущий момент. Таких режимов три: Windows Server 2003, 2008 и 2008 R2.\nРежим Windows Server 2003 следует выбирать только тогда, когда в вашей инфраструктуре уже развернуты сервера на данной ОС и планируется использовать один или несколько таких серверов в качестве контроллеров домена. В остальных случаях нужно выбирать режим Windows Server 2008 или 2008 R2 в зависимости от купленных лицензий. Следует помнить, что режим работы домена можно всегда повысить, а вот понизить уже не удастся (разве что восстановив из резервной копии), поэтому подходите к данному вопросу осмотрительно, с учетом возможных расширений, лицензий в филиалах и т.д. и т.п.\nМы сейчас не будем подробно рассматривать сам процесс создания контроллера домена, к этому вопросу мы вернемся позже, а сейчас хотим обратить ваше внимание на то, что в полноценной структуре Active Directory контроллеров домена должно быть не менее двух. В противном случае вы подвергаете себя неоправданному риску, так как в случае отказа единственного контроллера домена ваша структура AD будет полностью уничтожена. Хорошо если будет актуальная резервная копия и из нее удастся восстановиться, в любом случае все это время ваша сеть будет полностью парализована.\nПоэтому сразу же после создания первого контроллера домена нужно развернуть второй, вне зависимости от размеров сети и бюджета. Второй контроллер должен быть предусмотрен еще на стадии планирования и без него за развертывание AD даже не стоит браться. Также не стоит совмещать роль контроллера домена с любыми иными серверными ролями, в целях обеспечения надежности операций с базой AD на диске отключается кэширование записи, что приводит к резкому падению производительности дисковой подсистемы (это объясняет и долгую загрузку контроллеров домена).\nВ итоге наша сеть должна принять следующий вид: Вопреки распространенному мнению, все контроллеры в домене равнозначны, т.е. каждый контроллер содержит полную информацию о всех объектах домена и может обслужить клиентский запрос. Но это не значит, что контроллеры взаимозаменяемы, непонимание этого момента зачастую приводит к отказам AD и простою сети предприятия. Почему так происходит? Самое время вспомнить про роли FSMO.\nКогда мы создаем первый контроллер, то он содержит все доступные роли, а также является глобальным каталогом, с появлением второго контроллера ему передаются роли хозяина инфраструктуры, хозяина RID и эмулятора PDC. Что будет если администратор решил временно вывести из строя сервер DC1, например чтобы почистить от пыли? На первый взгляд ничего страшного, ну перейдет домен в режим \u0026quot;только чтение\u0026quot;, но работать то будет. Но мы забыли про глобальный каталог и если в вашей сети развернуты приложения требующие его наличия, например Exchange, то вы узнаете об этом раньше, чем снимете крышку с сервера. Узнаете от недовольных пользователей, да и руководство вряд ли придет в восторг.\nИз чего следует вывод: в лесу должно быть не менее двух глобальных каталогов, а лучше всего по одному в каждом домене. Так как у нас домен в лесу один, то оба сервера должны быть глобальными каталогами, это позволит вам без особых проблем вывести любой из серверов на профилактику, временное отсутствие каких либо ролей FSMO не приводит к отказу AD, а лишь делает невозможным создание новых объектов.\nКак администратор домена, вы должны четко знать каким образом роли FSMO распределены между вашими серверами и при выводе сервера из эксплуатации на длительный срок передавать эти роли другим серверам. А что будет если сервер содержащий роли FSMO необратимо выйдет из строя? Ничего страшного, как мы уже писали, любой контроллер домена содержит всю необходимую информацию и если такая неприятность все же произошла, то нужно будет выполнить захват необходимых ролей одним из контроллеров, это позволит восстановить полноценную работу службы каталогов.\nПроходит время, ваша организация растет и у нее появляется филиал в другом конце города и возникает необходимость включить их сеть в общую инфраструктуру предприятия. На первый взгляд ничего сложного, вы настраиваете канал связи между офисами и размещаете в нем дополнительный контроллер. Все бы хорошо, но есть одно но. Данный сервер вы контролировать не можете, а следовательно не исключен несанкционированный доступ к нему, да и местный админ вызывает у вас сомнения в его квалификации. Как быть в такой ситуации? Для этих целей специально существует особый тип контроллера: контроллер домена доступный только на чтение (RODC), данная функция доступна в режимах работы домена начиная с Windows Server 2008 и выше.\nКонтроллер домена доступный только для чтения содержит полную копию всех объектов домена и может быть глобальным каталогом, однако не позволяет вносить никаких изменений в структуру AD, также он позволяет назначить любого пользователя локальным администратором, что позволит ему полноценно обслуживать данный сервер, но опять таки без доступа к службам AD. В нашем случае это то, что \u0026quot;доктор прописал\u0026quot;. Настраиваем в филиале RODC, все работает, вы спокойны, но пользователи начинают жаловаться на долгий вход в систему и счета за трафик в конце месяца показывают превышение. Что происходит? Самое время еще раз вспомнить про равнозначность контроллеров в домене, клиент может направить свой запрос к любому контроллеру домена, даже находящемуся в другом филиале. Примите во внимание медленный и, с большой вероятностью, загруженный канал связи - вот и причина задержек входа.\nСледующий фактор, отравляющий нам жизнь в этой ситуации, это репликация. Как известно, все изменения, сделанные на одном из контроллеров домена, автоматически распространяются на другие и называется этот процесс репликацией, он позволяет иметь на каждом контроллере актуальную и непротиворечивую копию данных. Служба репликации не знает о нашем филиале и медленном канале связи и поэтому все изменения в офисе тут же будут реплицироваться в филиал, загружая канал и увеличивая расход трафика.\nЗдесь мы вплотную подошли к понятию сайтов AD, которые не следует путать с интернет сайтами. Сайты Active Directory представляют способ физического деления структуры службы каталогов на области отделенные от других областей медленными и/или нестабильными каналами связи. Сайты создаются на основе подсетей и все клиентские запросы отправляются в первую очередь контроллерам своего сайта, также крайне желательно иметь в каждом сайте свой глобальный каталог. В нашем случае потребуется создать два сайта: AD Site 1 для центрального офиса и AD Site 2 для филиала, точнее один, так как по умолчанию структура AD уже содержит сайт, куда входят все ранее созданные объекты. Теперь рассмотрим как происходит репликация в сети с несколькими сайтами. Будем считать, что наша организация немного подросла и главный офис содержит целых четыре контроллера домена, репликация между контроллерами одного сайта называется внутрисайтовой и происходит моментально. Топология репликации строится по схеме кольца с условием, чтобы между любыми контроллерами домена было не более трех шагов репликации. Схема кольца сохраняется до 7 контроллеров включительно, каждый контроллер устанавливает связь с двумя ближайшими соседями, при большем числе контроллеров появляются дополнительные связи и общее кольцо как бы превращается в группу наложенных друг на друга колец.\nМежсайтовая репликация происходит иначе, в каждом домене автоматически выбирается один из серверов (сервер-плацдарм) который устанавливает связь с аналогичным сервером другого сайта. Репликация по умолчанию происходит раз в 3 часа (180 минут), однако мы можем установить собственное расписание репликации и для экономии трафика все данные передаются в сжатом виде. При наличии в сайте только RODC репликация происходит однонаправленно.\nБезусловно, затронутые нами темы весьма глубоки и в данном материале мы только слегка их коснулись, однако это тот необходимый минимум знаний, который нужно иметь перед практическим внедрением Active Directiry в инфраструктуру предприятия. Это позволит избежать глупых ошибок при развертывании и авральных ситуаций при обслуживании и расширении структуры, а каждая из поднятых тем еще будет обсуждаться более подробно.\n","id":"ccb9f7519162b7eb7d4048c3e577de57","link":"https://interface31.ru/post/active-directory-ot-teorii-k-praktike-chast-1/","section":"post","tags":["Active Directory","LDAP","Службы каталогов"],"title":"Active Directory - от теории к практике. Часть 1 - общие вопросы"},{"body":"Файловый сервер на базе Windows Server, ну что может быть проще! Открыл общий доступ и работай. Казалось бы, придумать что-то новое здесь трудно. Однако не спешите делать скоропалительные заявления. Windows Server 2008 R2 предоставляет в руки администратора богатые инструменты по управлению файловым сервером. О некоторых из них мы расскажем в этой статье.\nС чего начинается создание роли файлового сервера? Нет, не с создания общей папки, а, как и создание любой другой роли, с оснастки Роли в Диспетчере сервера. Выберем роль Файловые службы и посмотрим, что мы можем установить. Как видим выбор довольно богат, не будем пока трогать продвинутые службы, каждая из которых требует, минимум, отдельной статьи, а установим собственно службы Файлового сервера и Диспетчера ресурсов. Следующим шагом нам будет предложено настроить наблюдение над томами хранилища. Настраивать наблюдение за системным диском мы не видим смысла, поэтому выбираем только те тома, которые будут использоваться для хранения пользовательских данных. Завершим установку роли и создадим необходимые общие ресурсы. Но не спешите открывать доступ пользователям, сначала посмотрим какие возможности по управлению хранилищем предоставляет нам система. Для этого запустим Диспетчер ресурсов файлового сервера. Начнем по порядку, а именно с Управления квотами, оснастка позволяет устанавливать квоты как к тому хранилища в целом, так и отдельным ресурсам. Квоты могут быть мягкими, когда о превышении квоты уведомляется администратор, и жесткими, когда запись на том (общий ресурс) блокируется. По умолчанию для тома уже выставлена мягкая квота в 85%, это позволит избежать ситуации, когда место на дисках внезапно закончится, администратор будет своевременно предупрежден и будет иметь возможность расширить том или удалить ненужные данные.\nДля любого общего ресурса или папки на томе можно создать свою квоту, при создании квоты можно использовать один из шаблонов или установить все параметры вручную. В нашем случае мы создали для папки Users жесткую квоту 200+50 Мб, по превышению квоты администратор будет уведомлен, а пользователь сможет записать еще 50 Мб, после чего запись будет блокирована. Следующим шагом перейдем к шаблонам, данный раздел уже содержит некоторое количество готовых настроек и мы можем создавать здесь новые. Мы рекомендуем задавать собственные настройки квот именно через шаблоны, это позволит быстро применить однотипные настройки сразу к нескольким ресурсам и столь-же быстро изменить их в случае необходимости. Разобравшись с квотами, перейдем к блокировке файлов. Не секрет, что пользователи хранят на общих ресурсах и то, что надо и то, что не надо, в частности очень любят размещать там коллекции фото, видео, музыки, причем часто не ограничиваясь одной папкой, а растаскивая одно и тоже содержимое по массе папок. В результате дисковое пространство стремительно сокращается, а у администратора появляется еще одна головная боль. Можно, конечно, бороться административными мерами, но как показывает практика - это малоэффективно.\nСразу перейдем к шаблонам. Эврика! Это то, что нам надо. Уже готовы настройки для блокирования основных типов \u0026quot;проблемных\u0026quot; файлов. Блокировка может быть активной, когда размещение данных типов файлов не допускается, или пассивной, когда об этом только уведомляется администратор. При необходимости можно создать свои шаблоны или отредактировать текущие. Определение того, что именно относится к тому или иному типу содержимого производится в разделе Группы файлов. В нашем случае мы создали активную блокировку аудио и видео содержимого для общего ресурса Users.\nТеперь самое время проверить, как это работает на практике. Попробуем превысить квоту: Или записать запрещенное содержимое: Как видим все работает и админ может спать спокойно. Но наш рассказ будет неполным, если не рассказать об отчетах, которые раскрывают перед администратором широкие возможности контроля и анализа использования файлового хранилища. Каждый из вас наверное ни раз задавался вопросом: кто из пользователей занял все место и чем именно. Теперь получить ответ можно за считанные минуты, для этого переходим в раздел Управление ресурсами хранилища и создаем новый отчет, в котором указываем интересующие нас показатели, также можно настроить автоматическое формирование необходимых отчетов по расписанию. Отчеты формируются в формате HTML и могут быть просмотрены как локально, так и удаленно, все что вам понадобится - это браузер. Ниже несколько примеров отчетов: Как видим, файловые службы в Windows Server 2008 R2 это не только и не столько общие папки, за которыми в админской среде закрепилось меткое название \u0026quot;файлопомойка\u0026quot;, а мощные средства контроля и управления, которые позволяют создать структурированное и управляемое файловое хранилище любых масштабов.\n","id":"a938dbb1c189e6e9eb40f526f9358176","link":"https://interface31.ru/post/faylovyy-server-na-windows-server-r2-novyy-staryy-znakomyy/","section":"post","tags":["SMB","Windows Server","Файловый сервер"],"title":"Файловый сервер на Windows Server R2 - новый старый знакомый"},{"body":"В небольших сетях довольно часто встречается ситуация когда компьютер содержит несколько учетных записей, однако для локального входа используется только одна. При этом возникает желание скрыть неиспользуемые учетные записи с экрана приветствия, как для удобства так и в целях безопасности, снизив вероятность несанкционированного локального входа. В данной заметке мы расскажем вам как это сделать.\nВ общем данная ситуация знакома многим, стоит только завести учетные записи для сетевого входа или для каких либо служб, как они появляются на экране приветствия, при большом количестве пользователей делая его похожим на новогоднюю елку. Во-первых это неудобно, во-вторых небезопасно, так как пользователь Иванов, которому вы разрешили доступ на чтение к одной сетевой папке может легко войти на ваш компьютер под своей учеткой.\nРешение напрашивается само собой - скрыть ненужных пользователей с экрана приветствия, понятно, что опытного пользователя это не остановит, но для подавляющего большинства данной меры будет достаточно. Как это сделать? Весьма и весьма просто.\nWindows XP Запускаем редактор реестра Regedit и находим раздел:\n1HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\SpecialAccounts\\UserList в котором создаем Параметр DWORD в названии которого указываем имя учетной записи \u0026quot;ненужного\u0026quot; пользователя (в нашем случае test). Данная опция применяется без перезагрузки, достаточно выйти из системы или сменить пользователя.\nБыло: Стало: Windows 7 Если попытаться выполнить вышеуказанные рекомендации в Windows 7, то обнаружится, что указанный раздел реестра отсутствует. Однако данная опция применима и к этой ОС, нужно всего лишь создать недостающие разделы. Для этого в редакторе реестра перейдем в раздел:\n1HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon И щелкнув правой кнопкой мыши в правой панели выберем Создать -\u0026gt; Раздел: В качестве имени раздела указываем SpecialAccounts, затем внутри этого раздела создаем раздел UserList,** теперь, точно также, создав параметр DWORD с именем пользователя, мы можем скрыть его с экрана приветствия. Данная настройка скрывает пользователя не только на экране приветствия, но и в оснастке Учетные записи пользователей Панели управления, однако они остаются доступными через оснастку Локальные пользователи и группы консоли MMC. Если вам нужно вернуть пользователя обратно, достаточно удалить соответствующий ему параметр DWORD.\n","id":"9bccfa647b49312c042a644f3f57028e","link":"https://interface31.ru/post/kak-skryt-pol-zovatelya-s-ekrana-privetstviya-windows/","section":"post","tags":["Windows 7","Windows XP"],"title":"Как скрыть пользователя с экрана приветствия Windows"},{"body":"Данные утилиты предназначены для полного удаления пакета MS Office в случае когда продолжить / отменить установку или удалить пакет штатными методами не представляется возможным.\nНедавно у одного нашего клиента случилась неприятность. В момент установки MS Office отключили электропитание, после чего офисный пакет ни устанавливаться ни удаляться штатными средствами не захотел. Что делать? Пытаться чистить систему руками или переустанавливать? Нет, это не наш метод, тем более разработчик предлагает нам целый набор утилит для удаления офисных пакетов актуальных версий.\nСледует помнить, что данный способ полностью удалит все компоненты офисного пакета, даже если они были установлены отдельно. Например если у вас установлен Office 2010 и затем вы отдельно установили MS Visio или Project, которые также относятся к семейству MS Office, то будут удалены все приложения относящиеся к офисному пакету соответствующей версии.\nДля скачивания предлагаются две ссылки: одна на сайт Microsoft, вторая (зеркало) с нашего сервера, предпочтение следует отдавать первой, так вы получите наиболее актуальную версию утилиты.\nMicrosoft Office 2003 Скачать Зеркало Инструкция\nMicrosoft Office 2007 Скачать Зеркало Инструкция\nMicrosoft Office 2010 Скачать Зеркало Инструкция\nMicrosoft Office 2013 Скачать Зеркало Инструкция\n","id":"3550f89521b78fa1e7bdb69ec07d7c10","link":"https://interface31.ru/post/adminu-na-zametku-vypusk-4-kak-udalit-ms-office/","section":"post","tags":["Microsoft","MS Office","Removal Tools"],"title":"Админу на заметку - 4. Как удалить MS Office."},{"body":"В данной статье мы рассмотрим установку сервера 1С в среде Ubuntu Server. Решения на альтернативной платформе пользуются заслуженной популярностью в среде пользователей и администраторов, так как позволяют экономить ощутимые суммы за счет отказа от покупки Windows Server, но отличаются повышенной сложностью установки и настройки. Однако если вы будете следовать нашим рекомендациям, то проблем не возникнет.\nКак всегда, начнем с краткого теоретического отступления. Сервер 1С Предприятия поставляется в двух вариантах: 32 и 64 бита, которые отличаются прежде всего ценой (42 и 72 тыс. руб.). Ключ от 64-битного сервера позволяет запускать и 32-битную версию, но не наоборот.\nВ случае с платформой Linux мы рекомендуем чтобы битность сервера 1С и Ubuntu совпадали, хотя вы можете установить 32-битную версию сервера на 64-битный Ubuntu воспользовавшись пакетом ia32-libs, но это выходит за рамки данной статьи. В нашем случае мы будем устанавливать 64-битный сервер на Ubuntu Server 10.04.4 64-бита, однако все сказанное будет справедливо и для 32-битной платформы, существенные отличия мы будем оговаривать отдельно.\nПочему 10.04.4, когда на подходе 12.04? Во-первых 10.04 (как и 12.04) - LTS релиз, предполагающий стабильные пакеты и расширенную поддержку, во-вторых 10.04 отлично изучен, все известные баги устранены, все особенности изучены и задокументированы.\nВ любом случае у нас в запасе остается год для перехода на новый 12.04 LTS, что позволит хорошо изучить новую версию ОС, устранить известные ошибки, создать пользовательскую документацию. Сегодня ничего этого еще нет.\nТакже мы не рекомендуем использовать промежуточные релизы: 10.10, 11.04, 11.10. Почему? В данных релизах используются последние версии пакетов, производится обкатка новых технологий, они имеют короткий срок поддержки. Конечно никто не может вам запретить их использовать, но в этом случае будьте готовы взять на себя риски возможного нестандартного поведения или отказа системы.\nИтак, у нас имеется свежеустановленная и обновленная Ubuntu Server 10.04.4, с установленными mc и ssh, это позволит нам проводить все работы по настройке сервера удаленно, со своего рабочего места. В первую очередь установим необходимые для сервера 1С зависимости. Мы будем приводить отдельную команду для установки каждого пакета, хотя вы можете установить их все за один раз, просто перечислив необходимые пакеты через пробел. Все команды выполняются от имени суперпользователя или через sudo:\n1apt-get install imagemagick 2apt-get install libgsf-1-114 3apt-get install ttf-mscorefonts-installer 4apt-get install t1utils 5apt-get install libt1-5 6apt-get install unixodbc Теперь установим пакет ttf2pt1, которого нет в репозитории, его можно взять с нашего сервера. Создадим в домашней директории отдельную папку:\n1mkdir ~/1c-depends Перейдем в нее:\n1cd ~/1c-depends Скачаем пакет:\n1wget \u0026#34;http://interface31.ru/tech_it/files/1c/ttf2pt1_3.4.4-1.3_amd64.deb\u0026#34; Для 32-битной системы:\n1wget \u0026#34;http://interface31.ru/tech_it/files/1c/ttf2pt1_3.4.4-1.3_i386.deb\u0026#34; Установим его:\n1dpkg -i *.deb Создадим символическую ссылку для библиотеки libglib:\n1ln -s /lib64/libglib-2.0.so.0.2400.1 /usr/lib64/libglib-2.0.so Для 32-битной системы:\n1ln -s /lib32/libglib-2.0.so.0.2400.1 /usr/lib32/libglib-2.0.so Внимание! Внимание! В вашем случае имя библиотеки может отличаться от libglib-2.0.so.0.2400.1, поэтому проверьте фактическое наличие данной библиотеки и при необходимости откорректируйте команды.\nТеперь можно приступать к установке непосредственно сервера 1С. Дистрибутив можно получить на дисках ИТС, с сайта поддержки 1С или у обслуживающих вас партнеров. Будем считать что дистрибутив находится у вас на диске. Смонтируем оптический диск:\n1mount /dev/cdrom /media Создадим каталог для пакетов сервера 1С:\n1mkdir ~/1c При помощи mc (или иным образом) найдем на диске и скопируем необходимые пакеты в созданную директорию, затем перейдем в нее и установим пакеты:\n1cd ~/1c 2dpkg -i *.deb Изменим владельца для папки 1С:\n1chown -R usr1cv82:grp1cv82 /opt/1C Настроим автозапуск:\n1update-rc.d srv1cv82 defaults Сконфигурируем сервер:\n1/opt/1C/v8.2/x86_64/utils/config_server Перезагрузимся:\n1reboot Теперь на всех клиентских машинах, которые будут работать с нашим сервером 1С добавим в Windows\\System32\\drivers\\etc\\hosts следующую запись:\n110.0.0.128 1c-server где 1c-server имя нашего сервера, а 10.0.0.128 его IP-адрес.\nЕсли в вашей сети работает DNS-сервер, то можно добавить на нем запись типа A:\n11c-server.domain.local. IN A 10.0.0.128 где 1c-server имя сервера, а 10.0.0.128 его IP-адрес,domain.local имя локального домена.\nТеперь можно установить на клиентскую машину компоненту Администрирование сервера 1С:Предприятия и попробовать подключиться к нашему серверу: Если все пройдет удачно, сервер 1С можно признать настроенным и готовым к использованию. Остается только установить драйвер ключа HASP, однако это тема для отдельной статьи и мы рассмотрим ее в ближайшее время.\nДополнительные материалы:\nСервер 1С Предприятия. Часть 1 - Общие вопросы Сервер 1С Предприятия. Часть 2 - Установка на платформе Windows Сервер 1С Предприятия. Часть 3 - Установка на платформе Linux (Ubuntu) Сервер 1С Предприятия. Часть 4 - Установка PostgreSQL на платформe Linux (Ubuntu) ","id":"5d3795ccd0d0169e0f90aab91ef8a004","link":"https://interface31.ru/post/server-1s-predpriyatiya-chast-3-ustanovka-na-platforme-linux-ubuntu/","section":"post","tags":["1С Предприятие 8.х","Ubuntu Server"],"title":"Сервер 1С Предприятия. Часть 3 - Установка на платформе Linux"},{"body":"24 августа 2011 года компания Oracle отозвала лицензию на поставку Java в составе дистрибутивов Linux, а в октябре закрыла в свежем выпуске JDK 20 опасных уязвимостей. В результате разработчики Ubuntu приняли решение удалить из репозитория пакет sun-java6-jre предлагая пользователям использовать OpenJDK или установить Oracle Java вручную. Но не все так просто и при работе с пакетами имеющих зависимости от удаленного пакета java могут возникнуть сложности, один из таких пакетов Openfire.\nИтак, давайте разберемся, что именно произошло и как нам жить с этим дальше. А произошло следующее: Oracle запретил (отозвав лицензию) размещать в репозиториях пакеты Java, собранные под конкретный дистрибутив. Как альтернативу можно использовать OpenJDK, но он имеет определенные проблемы совместимости или скачать и установить Oracle Java вручную. Все это хорошо, но имеется ряд программ, например Openfire, которые имеют пакет sun-java6-jre в зависимостях и пользователи, по крайней мере до тех пор, пока разработчики не выпустят новые версии пакетов, оказываются перед непростой проблемой.\nСделаем небольшой отступ и попробуем понять откуда эта проблема взялась. Отзыв лицензии обратной силы не имеет и пакеты выпущенные до этого момента можно распространять и использовать не нарушая лицензионное соглашение. Но исправление 20 критических уязвимостей в октябре 2011-го поставило разработчиков дистрибутивов перед выбором: уязвимый пакет в репозитории или его удаление. Разработчики Ubuntu сначала вообще планировали выпустить пакет заглушку с более высокой версией, что привело бы к автоматическому удалению sun-java6-jre при очередном обновлении.\nОднако благоразумие возобладало, иначе по репутации дистрибутива был бы нанесен сильнейший удар, особенно в корпоративной среде, и разработчики ограничились удалением пакета из репозитория. Поэтому если у вас уже установлен Openfire на платформе Ubuntu, можете спать спокойно - ваша Java просто перестанет обновляться, работоспособности сервера ничего не грозит. А вот тем, кто собирается только установить Openfire, придется столкнуться с проблемой отсутствия пакета sun-java6-jre. Установка OpenJDK или Oracle Java проблемы не решит, нет, конечно можно собрать Openfire из исходников... Но это резко увеличивает сложность данной операции и не каждый администратор располагает необходимыми для этого знаниями.\nЧто делать? Ждать выпуска новой версии Openfire? Но работать надо сегодня и поэтому следует трезво оценить угрозы и принять решение о возможности использования устаревшей уязвимой Java. Так как в большинстве случаев Openfire выполняет роль внутрисетевого средства коммуникации, то вопрос безопасности на повестке дня не стоит. Поэтому остается возможность использовать старые пакеты Java, удаленные из репозитория. Мы своевременно скачали их и разместили на своем сервере.\nПриступим к установке. Перейдем в домашний каталог:\n1cd ~ Создадим там директорию java и перейдем в нее:\n1mkdir java 2cd java Скачаем необходимые пакеты. Для 32-битной системы:\n1wget \u0026#34;http://interface31.ru/tech_it/files/openfire/sun-java6-jre_6.26-2lucid1_all.deb\u0026#34; 2wget \u0026#34;http://interface31.ru/tech_it/files/openfire/sun-java6-bin_6.26-2lucid1_i386.deb\u0026#34; и для 64-битной:\n1wget \u0026#34;http://interface31.ru/tech_it/files/openfire/sun-java6-jre_6.26-2lucid1_all.deb\u0026#34; 2wget \u0026#34;http://interface31.ru/tech_it/files/openfire/sun-java6-bin_6.26-2lucid1_amd64.deb\u0026#34; Теперь установим их командой:\n1sudo dpkg -i *.deb Система сообщит об неудовлетворенных зависимостях, ничего страшного, она сама прекрасно умеет с ними разбираться:\n1sudo apt-get install -f Данная команда скачает все недостающие пакеты, установит их и настроит наши пакеты. После чего мы получим систему с установленным sun-java6-jre и можем продолжать установку программ, требующих данный пакет в качестве зависимости.\n","id":"f0443abbba0b111f6102fe30a176cbfb","link":"https://interface31.ru/post/openfire-i-situaciya-vokrug-oracle-java-v-linux/","section":"post","tags":["Jabber","Java","Openfire","Ubuntu Server"],"title":"Openfire и ситуация вокруг Oracle Java в Linux"},{"body":"Очень часто наши читатели задают нам вопросы связанные с теми или иными неисправностями службы общего доступа в интернет. В какой-то момент количество подобных вопросов и частота их повторения стали явно указывать нам на необходимость подобной статьи. В данном материале мы постарались рассмотреть основные неисправности и дать рекомендации по их выявлению и устранению.\nУ начинающего администратора неисправности службы общего доступа в интернет способны вызвать нешуточные проблемы. С одной стороны пользователи и руководство, требующие как можно быстрее восстановить работу, с другой стороны провайдер, как всегда утверждающий что у него все в полном порядке. Что делать? Куда смотреть? Спокойно, без паники, после прочтения данного материала подобных вопросов возникать не должно. Ниже мы разберем из каких частей состоит служба общего доступа в интернет и каким образом каждая из них влияет на общую работоспособность.\nПопробуем разобраться из чего сделан роутер и как это все работает. Важно понимать, что все, о чем мы будем говорить в этой статье, одинаково применимо к любым роутерам, независимо от платформы и используемого ПО. Да, какие-то подсистемы могут отсутствовать или работать несколько иначе, но общие принципы нахождения и устранения неисправностей остается неизменной. Или вы понимаете как это все работает и где может быть проблема, или... не будем о грустном, поэтому учиться, учиться и еще раз учиться.\nВ минимальной конфигурации любая служба общего доступа в интернет состоит из двух частей: службы трансляции сетевых адресов - NAT, позволяющей всей внутренней сети выходить в интернет через один внешний адрес и службы DNS, которая преобразует запросы пользователей в понятные системе IP-адреса. В дополнение к этому для протокола HTTP (на который приходится основная часть интернет трафика) используются прокси-сервера, которые позволяют не только уменьшить нагрузку на канал за счет кэширования, но и осуществлять различного рода фильтрацию запросов, ограничение скорости и т.д. и т.п.\nПрокси-сервера могут работать в двух режимах: прозрачного прокси, когда клиентское приложение не догадывается о его наличии и перенаправление трафика на прокси осуществляется средствами роутера и когда прокси указывается явно в настройках соответствующих программ.\nПеред тем как рассматривать конкретные схемы реализации службы общего доступа, разберемся как именно работает клиентское приложение при доступе к тем или иным ресурсам сети интернет. Допустим пользователь хочет получить доступ к ресурсу site.ru, каким образом браузер может определить куда посылать запрос? На помощь приходит служба DNS, которая сообщит нам, что имени site.ru соответствует адрес 111.222.333.444, после чего браузер посылает запрос к данному адресу, который будет направлен шлюзу сети, так как адрес ей не принадлежит. В свою очередь шлюз передаст запрос службе NAT, которая уже от своего имени, пометив в своей таблице адрес источника, пошлет его по назначению и получив ответ, по данным своей таблицы, передаст его запрашивавшему узлу. В итоге пользователь увидит в своем браузере содержимое запрашиваемой страницы.\nНа схеме ниже, мы схематически показали взаимодействие различных узлов службы общего доступа с клиентскими приложениями. Серым цветом отмечены DNS-запросы, синим HTTP, зеленым прочие протоколы. В данном случае реализована схема с прозрачным прокси. Перед тем, как обратиться к какому либо узлу сети интернет, любое приложение посылает запрос DNS-серверу, который в ответ на доменное имя сообщает соответствующий ему IP-адрес. DNS-сервер может представлять собой как локальный сервер, так и кэширующий DNS или программную заглушку пересылающую DNS-запросы вышестоящему серверу. В любом случае DNS-сервер для разрешения имен интернет ресурсов обычно использует вышестоящие DNS-сервера: провайдера (ISP) или публичные службы, типа OpenDNS, Google DNS и т.п.\nТеперь самое время спросить себя: а что будет если...\nперестанет работать NAT? перестанет работать прокси? перестанет работать DNS? Теперь посмотрим на схему с обычным прокси и зададим себе те же самые вопросы. При всей схожести, эти схемы имеют одно большое различие: при явном указании прокси браузер не обращается к локальному DNS для разрешения имени, это за него сделает прокси-сервер, обратившись напрямую к серверу провайдера, и, при отказе локального DNS, интернет через браузер продолжит работать, в то время как все остальные службы получить доступ к глобальной сети не смогут. В случае с прозрачным прокси все сетевые службы будут зависеть от локального DNS.\nОднако вопрос \u0026quot;что делать\u0026quot; остается на повестке дня. Для его успешного разрешения мы составили небольшую карту. Прежде всего нужно определить, что скрывается под диагнозом \u0026quot;нет интернета\u0026quot;. Сразу оговоримся, что не будем рассматривать тот случай, когда интернета нет на одном, отдельно взятом, компьютере. Причин здесь может быть великое множество и большинство из них к службе общего доступа отношение не имеют, хотя то, о чем мы будем говорить ниже можно и нужно применять для диагностики и в этом случае.\nЕсли доступ к сети не может получить ни одно приложение следует последовательно проверить:\nЛинк (наличие сигнала) на сетевой карте. Настройки сети, если они задаются вручную, то проверьте их правильность, если в сети работает DHCP-сервер проверьте корректность получаемых клиентом настроек. Работоспособность сетевого оборудования, не редки случаи когда оказывается выдернут кабель или питание у промежуточного коммутатора. Работоспособность роутера в целом, исправность его внешнего и внутреннего интерфейсов. Наличие интернета на роутере, возможно проблемы не у вас, а у провайдера. Вы будете смеяться, но иногда очень много времени тратилось на выявление неполадок, в то время как причиной отсутствия интернета был всего лишь отрицательный баланс у провайдера. Выполнение этих шагов очень важно, так как позволяет сразу проверить и отсечь возможный круг аппаратных и прочих (организационных, финансовых) проблем и перейти непосредственно к проверке сетевых служб.\nВ первую очередь следует проверить NAT, для этого следует последовательно пропинговать внутренний и внешний интерфейсы роутера, затем любой хост во внешней сети, например 8.8.8.8 (DNS Google). Для примера возьмем адреса внутреннего и внешнего интерфейсов роутера как 10.0.0.1 и XXX.XXX.XXX.XXX, в этом случае первой командой будет:\n1ping 10.0.0.1 Отсутствие пинга будет указывать на то, что внутренний интерфейс вашего роутера недоступен, в этом случае еще раз проверьте исправность сетевого оборудования, кабельных трасс, сетевой карты роутера, настройки брандмауэра и сетевого интерфейса.\nПри успешном прохождении пинга переходим к следующему шагу, вводим:\n1ping XXX.XXX.XXX.XXX Если NAT работает нормально, то вы должны получить ответ от внешнего интерфейса, в противном случае проверяйте настройки NAT и исправность сетевой карты смотрящей во внешнюю сеть.\nПолучив ответ от внешнего интерфейса роутера попробуйте обратиться к любому узлу в глобальной сети:\n1ping 8.8.8.8 Если ответ получен, то все нормально, в противном случае проблема на стороне провайдера и стоит начинать звонить в поддержку, аргументированно указав им, что проблема на их стороне. Как правило вам нужно прорваться через первое звено - оператора, который согласно имеющихся инструкций будет просить вас перезагрузить компьютер, проверить логин и пароль и еще много глупых и не нужных в данной ситуации вещей. Вам следует твердо, но вежливо, пояснить, что вы обладаете нужными знаниями для первичной диагностики и просить соединить вас с техническим специалистом.\nПрежде чем звонить в поддержку, проверьте еще один момент. Если доступ в интернет осуществляется посредством ADSL, радиодоступа и т.п. способом (проще говоря если кабель провайдера не вставлен напрямую в вашу сетевую карту), то проверьте состояние промежуточного оборудования. Это поможет избежать глупых ситуаций, когда окажется что вышел из строя или был обесточен ADSL-модем или аналогичное оборудование.\nУбедившись, что NAT работает нормально, следует перейти к диагностике службы DNS. Как показывает практика, большинство неполадок связаны именно с ошибками в работе данной службы. Прежде всего поверим, как и каким сервером производится разрешение имен. Наберем следующую команду:\n1nslookup ya.ru В качестве ответа вы должны получить список IP-адресов для данного хоста. В противном случае налицо неполадки в службе DNS и теперь нужно их локализовать. Сложность заключается в том, что неисправен может быть как локальный, так и вышестоящий DNS сервер, к которому происходит обращение за разрешением имен, записи о которых отсутствуют в кэше. Косвенным признаком, указывающим на это, может быть ситуация, когда открываются только некоторые, часто посещаемые сайты. Чтобы развеять сомнения попробуем разрешить имя через сервер провайдера:\n1nslookup ya.ru YYY.YYY.YYY.YYY где YYY.YYY.YYY.YYY - адрес DNS-сервера провайдера. Для контроля можете использовать публичные DNS-сервера, например OpenDNS:\n1nslookup ya.ru 208.67.222.222 Если публичный сервер и сервер провайдера выдают правильный ответ, то проблему стоит искать в локальном DNS, в качестве временной меры можно прописать на клиентах публичный DNS или DNS провайдера. В случае когда получен ответ от публичного сервера, а локальный и провайдерский не могут разрешить имя, проблема явно на стороне провайдера, в этом случае можно посоветовать отказаться от использования DNS-серверов провайдера, заменив их публичными серверами.\nТеперь рассмотрим некоторые частные случаи, например когда не работает интернет через браузер, однако другие службы без проблем получают доступ к сети. Это явно указывает на наличие прокси-сервера и проблемы с ним. Лучшим способом диагностики является попытка выйти в интернет минуя прокси, для этого нужно убрать настройку отвечающую за прозрачное проксирование или убрать указание прокси в браузере. Если вы используете какую либо фильтрацию, то проверьте, не являются ли ваши проблемы результатом некорректной работы фильтров.\nДальнейшая диагностика выходит за рамки данной статьи, в любом случае правильно будет временно отказаться от использования прокси и обратиться к документации на него или в поддержку.\nДругой частный случай - интернет в браузере есть, остальные службы доступ получить не могут. Это обычно указывает на неисправность NAT (HTTP идет через прокси), а также, в случае непрозрачного прокси, на проблемы с локальным DNS. Также будет не лишним проверить доступность неработающих служб, зачастую пользователь может говорить о неработающем интернете всего лишь на основании недоступного сервиса публичной почты или службы обмена сообщениями (самое время вспомнить про обновления ICQ и альтернативные клиенты).\nКак видите, процесс диагностики неисправностей службы общего доступа довольно непрост, но если вы представляете схему работы и назначение отдельных узлов, то проблему можно достаточно быстро локализовать. Поэтому можем посоветовать вам детально изучить матчасть используемых решений, в этом случае все возможные неполадки вы сможете быстро выявить и устранить, а мы, в свою очередь, постараемся ответить на все ваши вопросы в комментариях.\n","id":"ff3f46908299a68da074eeca247b463d","link":"https://interface31.ru/post/obshhiy-dostup-v-internet-poisk-i-ustranenie-neispravnostey/","section":"post","tags":["DHCP","DNS","NAT","RRAS","Диагностика"],"title":"Общий доступ в интернет. Поиск и устранение неисправностей"},{"body":"Технология распределенных информационных баз (РИБ) позволяет создать территориально распределенную систему на базе конфигураций 1С Предприятие. Это позволяет иметь общее информационное пространство даже с теми подразделениями, которые не имеют надежного канала связи, сочетая высокую автономность узлов с возможностью оперативного обмена информацией. В наших статьях мы рассмотрим особенности и практическую реализацию этого механизма на платформе 8.2\nПрежде всего зададимся вопросом: почему именно автообмен? Современные технологии, в сочетании с недорогим и быстрым интернетом, позволяют организовать удаленную работу без каких либо затруднений. Выбор способов как никогда широк: RDP, тонкий и веб-клиенты, объединение сетей при помощи VPN - есть над чем задуматься. Однако все эти способы имеют один существенный недостаток - сильная зависимость от качества канала связи.\nДаже при идеальной работе местного провайдера гарантировать 100% доступность канала связи невозможно. Проблемы у магистрального провайдера, отсутствие электроснабжения, физическое повреждение линии связи и многие другие факторы делают эту задачу неразрешимой. В тоже время недоступность информационной базы на удаленном складе или в розничном магазине приводит к вполне ощутимым убыткам. Ну и наконец не будем забывать, что есть места (например промзоны на окраине городов) в которые подвести качественный канал связи дорого и/или проблематично.\nМеханизм РИБ позволяет избавиться от указанных недостатков, каждое подразделение имеет собственный экземпляр информационной базы с которой можно работать автономно даже при полном отсутствии связи с внешним миром. А небольшой объем передаваемой информации позволяет использовать для обмена любой канал связи, в том числе мобильный интернет.\nРИБ на платформе 8.2 не является чем-то принципиально новым, представляя собой дальнейшее развитие УРИБ платформы 7.7, только теперь эта технология стала доступней и проще. В отличии от компоненты УРИБ, которую нужно было приобретать отдельно, РИБ является неотъемлемой частью многих типовых конфигураций и работает полностью в пользовательском режиме, позволяя обойтись без Конфигуратора даже на этапе настройки.\nНа этом месте пора бы было перейти к практической части, но придется сделать еще одно отступление. Дело в том, что переход на платформу 8.2, который вроде бы уже произошел, по факту привел к появлению двух типов конфигураций: на основе управляемого приложения, \u0026quot;родные\u0026quot; для платформы 8.2, и адаптированные с 8.1, продолжая использовать устаревшие технологии и механизмы. Так как существенная часть конфигураций (Бухгалтерия предприятия, Зарплата и управление персоналом) являются адаптированными или переходными, то сбрасывать их со счетов нельзя, поэтому первая часть нашей статьи будет посвящена этим конфигурациям (по сути платформе 8.1), в то время как во второй мы разберем настройку автообмена для конфигураций на основе управляемого приложения (платформе 8.2).\nРассмотрим практическую задачу: настроить автообмен через FTP для конфигурации Бухгалтерия предприятия 2.0. Несмотря на то, что РИБ позволяет производить обмен с использованием электронной почты или общих файловых ресурсов, мы рекомендуем использовать именно FTP, как наиболее простой и надежный способ связи. Как настроить собственный FTP-сервер вы можете прочитать в этой статье, либо можно использовать FTP сервис любого хостинг провайдера.\nВ первую очередь нам нужно настроить узлы обмена. Для этого запустим конфигурацию с правами администратора и выберем Операции - Планы обмена. В появившемся списке выберем Полный план или По организации, если в одной базе ведется учет по нескольким фирмам и обмен нужно производить только для одной из них. В открывшемся окне уже существует один узел - центральный, нам нужно его отредактировать, указав код и название. После чего создадим еще один узел для филиала, заполнив его аналогичным образом (для добавления нажмите зеленый кружок с плюсом). Следующим шагом будет создание начального образа для данного узла, который представляет собой готовую информационную базу в файловом режиме. Для этого кликните правой кнопкой мыши на нужном узле и в выпадающем списке выберите Создать начальный образ. Теперь перейдем Сервис - Распределенная информационная база (РИБ) - Настроить узлы РИБ. В открывшемся окне нажмите кнопку Добавить и настройте новый обмен, указав удаленный узел, тип обмена (через FTP) и параметры подключения к серверу. Закладка Автоматический обмен позволяет настроить расписание обменов, обмен по событиям (начало и завершение работы и т.п.), данные настройки производятся для пользователя от чьего имени будет выполняться обмен, поэтому убедитесь в наличии у него прав для обмена данными. Не забудьте указать префикс узла для нумерации документов (иначе вы получите разные документы с одинаковыми номерами) в Сервис - Настройки программы, здесь же можно настроить и некоторые другие параметры обмена. На этой же закладке следует выбрать пользователя для выполнения заданий обмена, если вы этого не сделаете расписание работать не будет. Помните, что обмен будет производиться только в том случае, если данный пользователь выполнил вход в программу. На этом настройка центрального узла закончена, теперь нужно произвести аналогичные настройки для периферийного узла, подключив начальный образ как существующую ИБ. После чего можно приступать к обмену данными. Для контроля следует воспользоваться Монитором обмена данными, он позволяет не только контролировать успешность прохождения выгрузки/загрузки, но и показывает возникшие коллизии или отложенные движения (если пользователю производившему обмен не хватает прав для совершения каких либо действий в базе). Наличие данного инструмента позволяет быстро и эффективно решать различного рода проблемы, возникающие при автообмене. На этом настройку обмена можно считать законченной и приступать к работе в распределенном режиме. Отдельно стоит остановиться на обновлении или внесении изменений в конфигурацию. Эти действия доступны только на центральном узле, все внесенные изменения будут автоматически распространены на периферийные узлы при следующем обмене. Для автоматического внесения изменений требуется чтобы периферийная база находилась в монопольном режиме, в противном случае нужно будет запустить Конфигуратор и выполнить Обновление конфигурации базы данных вручную.\n","id":"db3cce2d1f3ebccbdf36897854392ef2","link":"https://interface31.ru/post/1s-predpriyatie-82-nastraivaem-avtoobmen-chast-1/","section":"post","tags":["1С Предприятие 8.х","FTP","Автообмен"],"title":"1С:Предприятие 8.2. Настраиваем автообмен. Часть 1"},{"body":"Как показал читательский отклик - ротация логов одна из тем, вызывающих некоторое затруднение. В частности возникают проблемы с настройкой ротации логов прокси сервера squid, что затрудняет получение отчетов за длительный период. Поэтому мы решили внести ясность и рассказать, что такое ротация логов и как ее настроить.\nВсе события, заслуживающие внимания, записываются системой в файлы журналов или лог-файлы, которые впоследствии можно использовать для анализа сбоев, получения статистики, расследования инцидентов и т.д. и т.п. Необходимость ведения логов, подлежащие записи события, их подробность и полнота обычно задаются в конфигурации той или иной службы и, как правило, имеют некоторые установки по умолчанию, которые подходят большинству пользователей.\nЧтобы избежать бесконтрольного роста таких файлов нужен механизм ограничивающий число записей некоторым разумным пределом, это может быть размер файла, при превышении которого старые записи будут затираться, либо срок, по истечении которого записи перестанут быть актуальными и могут быть удалены. В Ubuntu Server такой механизм называется ротацией логов и реализуется с помощью системной службы logrotate.\nКак следует из названия, ротация логов осуществляет периодическую замену старых логов новыми, помещая устаревшие данные в архив или просто удаляя их. В зависимости от настроек архив логов может храниться как в сжатом, так и в несжатом виде и иметь необходимую глубину.\nНикаких ограничений тут нет, кроме здравого смысла и объема жесткого диска, что позволяет настроить этот процесс в полном соответствии с вашими потребностями. Так например вы можете делать ежедневную ротацию и хранить вчерашний лог в несжатом виде, а остальные в виде архивов. При каждой следующей ротации цепочка как-бы сдвигается, самый последний лог перезаписывается предпоследним, а текущий лог очищается (или создается заново).\nРассмотрим настройку ротации на примере логов прокси-сервера squid, которая вызывает у наших читателей ряд затруднений. Основные настройки ротации хранятся в /etc/logrotate.conf, кроме того отдельные службы могут иметь собственные настройки ротации, которые хранятся в специальных файлах в директории /etc/logrotate.d, настройки которых перекрывают настройки logrotate.conf.\nТакой подход позволяет гибко настроить ротацию для каждой конкретной службы, не затрагивая общих настроек. Сама служба вызывается раз в сутки через планировщик cron.\nОткроем файл /etc/logrotate.d/squid, у нас он имеет следующий вид:\n1# 2#Logrotate fragnment for squid. 3# 4/var/log/squid/*.log { 5daily 6compress 7delaycompress 8rotate 2 9missingok 10nocreate 11sharedscripts 12prerotate 13test ! -x /usr/sbin/sarg-reports || /usr/sbin/sarg-reports 14endscript 15postrotate 16test ! -e /var/run/squid.pid || /usr/sbin/squid -k rotate 17endscript 18} Разберем его структуру подробнее. Первая строка указывает путь к обрабатываемым файлам логов. В данном случае обрабатываются все файлы в директории /var/log/squid в соответствии с указанными ниже опциями:\ndaily - задает ежедневную ротацию, для еженедельной или ежемесячной используйте weekly или monthly. compress - указывает сжимать архивные логи, обратная опция nocompress. delaycompress - не сжимать текущий лог до следующей ротации, обычно используется в тех случаях, когда в лог происходит непрерывная запись. rotate 2 - количество ротаций до удаления файла, в данном случае будут храниться два архива. missingok - при отсутствии файла журнала указывает продолжить работу без вывода сообщения об ошибке. nocreate - не создавать новый файл лога. sharedscripts - используется для секций prerotate и postrotate, данная опция указывает исполнять скрипты из этих секций один раз перед и после ротации всех логов, в противном случае скрипты будут исполнены перед и после ротации каждого лога. Ниже идут секции prerotate и postrotate, каждая из которых заканчивается строкой endscript, все что расположено между этих строк исполняется перед и после процесса ротации.\nСекция postrotate проверяет, запущен ли squid и запускает ротацию логов самим прокси сервером. Остановимся на этом моменте немного подробнее. В конфигурационном файле squid имеется опция:\n1logfile_rotate n где n - число ротаций (по умолчанию 0), т.е. сам squid может хранить несколько ротаций логов, каждая из которых будет в свою очередь обрабатываться logrotate. При настройках по умолчанию данная команда приводит к очистке основного лога squid.\nСекция prerotate добавлена автоматически при установке анализатора логов SARG и в случае если файл /usr/sbin/sarg-reports существует и является исполняемым, запускает его.\nОтдельно следует остановиться на записи команд, используемая в них конструкция может быть непонятна с первого раза. В данном случае используется двойное отрицание, если отрицание условия ложно, то выполняется команда указанная за символом || (логическое ИЛИ), это связано с логикой работы команды test и синтаксисом записи файла (восклицательный знак после test указывает на отрицание условия).\nКак видим logrotate позволяет весьма гибко настраивать процесс ротации логов. Так если мы хотим формировать статистику использования squid помесячно, то должны указать период ротации - месяц и в секции prerotate изменить команду для формирования месячного отчета.\n","id":"baa159b74e4c506bc64d616560bfcdcc","link":"https://interface31.ru/post/logrotate-rotaciya-logov-v-ubuntu-server-na-primere-squid/","section":"post","tags":["logrotate","Squid","Ubuntu Server","Сетевые технологии"],"title":"Logrotate - ротация логов в Ubuntu Server на примере Squid"},{"body":"Время от времени у каждого системного администратора возникает потребность в FTP-сервере, чаще всего это связано с необходимостью обеспечить обмен информацией в автоматическом режиме между приложениями, например, при автообмене распределенной информационной базы 1С, или для доступа к файлам на веб-сервере. Сегодня мы расскажем, как меньше чем за полчаса создать такой сервер на платформе Ubuntu.\nНо сначала немного теории. Протокол FTP (File Transfer Protocol) предназначен, как следует из названия, для передачи файлов и появился в 1971 году, но несмотря на свой преклонный возраст продолжает широко использоваться до сих пор. Хотя сегодня его использование носит чаще технический характер, для доступа конечных пользователей к данным обычно используют браузер и протокол HTTP. К достоинствам FTP можно отнести возможность докачки файла при обрыве связи и возможность одинаково легко как считывать файлы, так и записывать их. Но есть и недостатки, самый серьезный - низкая безопасность, поэтому этому вопросу следует уделить самое пристальное внимание.\nFTP, как и PPTP, использует разные соединения для передачи команд и передачи данных. При инициации соединения клиент передает управляющие команды на порт 21 сервера, который в свою очередь устанавливает исходящее соединение для передачи данных на 20 порту, порт со стороны клиента определяется в результате согласования. Однако при нахождении клиента за NAT соединение подобным образом установить не удастся, поэтому был разработан дополнительный режим FTP passive mode (пассивный режим), когда соединение для передачи данных устанавливает не сервер, а клиент, однако с параметрами, указанными сервером. Эти моменты следует учитывать при форвардинге FTP и при настройке сетевого фильтра.\nДля нашего сервера мы будем использовать vsftpd - простой, быстрый и безопасный FTP сервер. Так как он будет обслуживать как внешнюю, так и внутреннюю сети, то имеет смысл добавить эту роль нашему роутеру. Установка сервера предельно проста:\n1apt-get install vsftpd Настройка сервера производится через конфигурационный файл /etc/vsftpd.conf он имеет простую структуру, хорошо откомментирован и позволяет настроить сервер без какой-либо инструкции при наличии минимальных знаний. Рассмотрим его основные параметры.\nСервер может быть запущен постоянно, как служба или стартовать при необходимости, нам больше подходит первый вариант:\n1listen=YES Данная опция имеет взаимоисключающую запись, которую следует привести к виду:\n1listen_ipv6=NO Разрешим вход только локальным пользователям:\n1anonymous_enable=NO 2local_enable=YES Разрешим пользователям записывать файлы и укажем серверу автоматически выставлять нужные права (755 на папки и 644 на файлы):\n1write_enable=YES 2local_umask=022 Если требуется установить иной набор прав: 775 и 664, то umask должен быть равен 002.\nПо умолчанию сервер использует время GMT, чтобы файлам устанавливалось время вашего часового пояса, используйте опцию:\n1use_localtime=YES Включим лог загружаемых и скачиваемых файлов:\n1xferlog_enable=YES Разрешим серверу устанавливать соединения для передачи данных на порт 20:\n1connect_from_port_20=YES Следующие опции задают место и формат хранения логов:\n1xferlog_file=/var/log/vsftpd.log 2xferlog_std_format=YES Зададим таймауты сессии:\n1idle_session_timeout=600 2data_connection_timeout=120 Также в целях безопасности изолируем пользователя в его домашнем каталоге и сразу разрешим запись в его корень:\n1chroot_local_user=YES 2allow_writeable_chroot=YES Для коррекной работы с текстовыми данными можно включить поддержку ASCII, это позволит при передаче текстового файла с Windows системы в UNIX (Linux) корректно заменить символы переноса строки с CR+LF на LF для корректного отображение содержимого и выполнить обратное преобразование при передаче его назад.\n1ascii_upload_enable=YES 2ascii_download_enable=YES Можно включить только одну опцию, для закачки или скачивания. Обратите внимание, что при передаче бинарного файла в режиме ASCII последний может быть поврежден.\nДостаточно интересная опция:\n1ls_recurse_enable=YES Она позволяет рекурсивный просмотр каталогов, с одной стороны это удобно, с другой способно вызвать большую нагрузку на сервер, если, например, получить листинг директории, содержащей большое количество файлов и каталогов.\nВсе остальные опции оставляем по умолчанию, хотя можете отредактировать приветствие сервера, написав там все что вам нравится:\n1ftpd_banner=Welcome to Roga i Kopyta LLC FTP В конце конфигурационного файла зададим настройки для пассивного режима, рекомендуется явно задать порты, чтобы была возможность указать их при форвардинге, если сервер стоит за NAT или в правилах брандмауера:\n1pasv_enable=YES 2pasv_min_port=62000 3pasv_max_port=62999 Перезапускаем сервер (это нужно делать всякий раз после внесения изменений в конфигурацию):\n1service vsftpd restart и пробуем подключиться любым FTP-клиентом используя учетные данные существующего пользователя. Мы должны попасть в его домашнюю директорию и быть изолированы в ней.\nВ случае появления ошибки, связанной с некорректной работой vsftpd и системы безопасности seccomp:\n1500 OOPS: prctl PR_SET_SECCOMP failed добавьте в файл недокументированную опцию:\n1seccomp_sandbox=NO Однако помните, что FTP - небезопасный протокол, поэтому пускать на сервер любого локального пользователя, как это сделано сейчас, не самый лучший вариант. Чтобы избежать такой ситуации vsftpd имеет встроенный механизм контроля пользователей. Добавим в конфигурационный файл опцию:\n1userlist_enable=YES и создадим файл списка пользователей:\n1touch /etc/vsftpd.user_list По умолчанию vsftpd запрещает доступ к серверу пользователям, указанным в данном списке еще до ввода пароля, т.е. реализует принцип разрешено всем, кому не запрещено. Но гораздо лучше будет реализовать иной подход: запрещено всем, кому не разрешено. Т.е. разрешать доступ только указанным пользователям. Для этого добавим опцию:\n1userlist_deny=NO Теперь доступ к FTP-серверу будут иметь только явно указанные пользователи, их следует указывать в vsftpd.user_list по одному в строку, например:\n1ivanov 2petrov Если не указано иное, то подключившись по FTP пользователи попадают в свой домашний каталог. Это не всегда удобно, часто нужно перенаправлять их в иную директорию. Если это общая для всех папка, скажем /var/ftp, то можно задать опцию:\n1local_root=/var/ftp Которая перенаправит всех пользователей в указанный каталог и изолирует их там.\nЭто самая простая ситуация, реальные задачи обычно сложнее, допустим нам надо установить пользователю Иванову в качестве корневой директории**/var/www/example1.com**, а Петрову /var/www/example2.com, чтобы каждый из них работал со своей папкой. Для этих целей можно использовать еще одну возможность vsftpd - пользовательские настройки, которые перекрывают настройки основного конфигурационного файла.\nДля этого добавим опцию:\n1user_config_dir=/etc/vsftpd_user_conf Затем создадим саму директорию\n1mkdir /etc/vsftpd_user_conf Чтобы задать пользователю собственные настройки в данной директории следует создать файл с именем пользовтаеля и добавить в него необходимые опции. Изменения применяются без перезапуска FTP-сервера при следующем подключении клиента.\nСоздадим файл с настройками для Иванова:\n1tocuh /etc/vsftpd_user_conf/ivanov и внесем в него опцию:\n1local_root=/var/www/example1.com При следующем подключении корневая директория пользователя изменится на указанную. Также в этом файле мы можем задавать любые персональные опции, например, другой umask или права на доступ к файлам. Однако мы не можем использовать здесь глобальные настройки: опции подключения, логгирования, аутентификации, они будут просто игнорироваться.\nЕсли вам нужно скрыть реальных владельцев файлов и папок, то можно использовать опцию:\n1hide_ids=YES В этом случае вместо реальных владельцев и групп будет указано ftp:ftp, это может быть полезным в случае публичного сервера или наличия в списке пользователей посторонних лиц, которым вы не хотите раскрывать реальные имена пользователей вашей системы.\nКак видим, мы действительно создали рабочий FTP-сервер менее чем за полчаса.\n","id":"4cec6bb2a8be30140e7d6ff5c7baff1c","link":"https://interface31.ru/post/prostoy-ftp-server-na-baze-ubuntu/","section":"post","tags":["FTP","Ubuntu Server","Сетевые технологии"],"title":"Простой FTP-сервер на базе Ubuntu (vsftpd)"},{"body":"Итак в продолжении темы обслуживания баз 1С присмотримся к системе управления реляционными базами данных Microsoft SQL Server. Этот продукт предоставляет нам большие возможности обработки, хранения, резервирования и восстановления баз. Я начну небольшой цикл статей, посвященных этой теме. Все, что будет написано ниже, является личным мнением по данному вопросу и подлежит критике.\nВ данной статье рассмотрен процесс создания планов обслуживания баз. Оповещение оператора, а так же пример восстановления базы рассмотрим в следующих статьях.\nВ тестовой лаборатории у нас следующее:\nСервер Windows Server 2008 Enterprise: SRV-1C-TEST. Microsoft SQL Server 2008: SRV-1C-TEST. Тестовая база BuhFirma. Как обычно, поставим перед собой задачу:\nПроводить обслуживание базы в период 00:30 - 01:00, при этом обслуживание не должно быть заметным (либо слабозаметным) для пользователей базы.\nНачнём с важных моментов. MS SQL база данных может иметь один из трех типов модели восстановления:\nПростая. Полная. С неполным протоколированием.\nТак же при резервном копировании нам предоставляется на выбор три варианта копирования:\nПолное. Разностное. Копирование журнала транзакций (логов).\nПри полном варианте копирования происходит сохранение базы mdf и журнала транзакций. Разностное копирование (по-другому дифференциальное) производит копирование данных, изменившихся с момента создания последней полной резервной копии. Копирование журнала транзакций соответственно производит сохранение только самого журнала транзакций.\nПри выборе простой модели восстановить базу данных можно с момента создания последней разностной или полной резервной копии. При выборе полной модели восстановления мы можем восстанавливать базу до минуты, создав полную резервную копию, например, ночью, и в течение дня создавать копии журнала транзакции. Ниже мы увидим, где всплывает этот момент. Хотелось так же привести некоторые выдержки из MSDN: \u0026quot;Модель восстановления с неполным протоколированием предназначена исключительно как дополнение к модели полного восстановления. В общем случае модель восстановления с неполным протоколированием похожа на модель полного восстановления, за исключением того, что протоколирование большинства массовых операций в ней производится в минимальной степени\u0026quot;.\nМодель восстановления своей базы вы можете посмотреть, зайдя в свойства базы данных, например BuhFirma и перейдя на строку - Параметры. В MSSQL 2008 по умолчанию в созданных базах данных модель восстановления Полная.\nКак выбрать модель восстановления? Надо лишь ответить на вопрос: смертельна ли потеря информации за время, прошедшее после полного резервного копирования? Если ответ да, тогда выбираем полную модель восстановления, если нет, простую. Модель с неполным протоколированием стоит применять только на время массовых операций в БД.\nТаким образом, если вы выбрали простую модель, то восстановить данные вы сможете только на момент ночного полного или разностного копирования, а всю информацию после этого пользователи будут восстанавливать вручную. Выбирая Полную модель, вы обязательно должны делать резервное копирование журнала транзакций, иначе логи будут сильно расти. При любой модели восстановления вы всегда должны иметь полную резервную копию.\nВ начале создадим ночной план обслуживания базы, который будет включать в себя последовательность следующих действий:\nПроверка целостности базы Перестроение индекса Обновление статистики Очистка процедурного кэша СУБД Резервное копирование базы данных Очистка после обслуживания Очистка журнала Для этого подключимся к MSSQL серверу с помощью среды Microsoft SQLServer Management Studio. Запустить среду можно перейдя в Пуск - Все программы - Microsoft SQL Server 2008. Подключимся с серверу SQL и перейдем в Управление - Планы Обслуживания. Кликнем правой кнопкой по Планы обслуживания и выберем Создать план обслуживания. Дадим ему имя: SRV1CTEST.\nПеред нами окно SRV1CTEST, в котором мы и будем создавать последовательность действий, обозначенных раннее. Сразу видим появившейся Вложенный_План1. Справа от названия вложенного плана вы увидите иконку в виде таблички. Нажимаем на нее и попадаем в свойства расписания задания. Здесь можно менять название вложенного плана, выставить частоту повторения в Ежедневно и установить время. И так теперь осталось наполнить наш план заданиями. Для этого с Панели инструментов, которая находится справой стороны, перетаскиваем задания.\nНачнем с Проверки целостности базы данных. После того, как вы перетащили задание, щелкните по нему два раза. Откроется окно, в котором в строке Базы данных мы выбираем созданную нашу базу BuhFirma. Далее таким же образом добавляем задания Перестроение индекса и Обновление статистики, не забыв выбрать в них нужную базу данных.\nПроцедура Перестроение индекса пересоздает индекс с новым коэффициентом заполнения. За счет этого мы увеличиваем производительность работы в БД.\nЗадача Обновление статистики обновляет сведения о данных таблиц для MS SQL. Что тоже повышает производительность. Но после этой операции надо обязательно проводить очистку кэша.\nПока остановимся и поговорим о настройке связей между заданиями. Связи отражают последовательность выполнения. Что бы провести связь между заданиями надо нажать один раз на задание и увидите появившуюся стрелку. Её надо перетащить на следующее задание. У связи может быть 3 цвета: синий, зеленый и красный, каждый из которых означает три типа срабатывания перехода: при простом завершении предыдущего задания - Завершение, в случае успешного завершения - Успех, а в случае возникновения ошибки при выполнение предыдущего задания - Ошибка. Все эти параметры вы можете увидеть, нажав правой кнопкой мыши на проведенную между заданиями стрелку. Таким образом, если нам надо, чтобы Перестроение индекса срабатывало только после успешного завершения задания Проверка целостности базы данных, мы должны связать их стрелкой. Нажав правой кнопкой мыши на стрелку, сменим ее режим на Успешно, как видим, ее цвет изменился на зеленый. На данный момент мы имеем 3 созданных задания в нашем вложенном плане. Как вы могли заметить, задания Очистка процедурного кэша СУБД в панели элементов нету. Мы воспользуемся задачей Выполнение инструкции T-SQL. Перетащим ее в план, и щелкнем на ней два раза. Мы видим окно, в которое впишем следующее:\nDBCC FREEPROCCACHE Нажмем ОК. Далее стоит добавить задание задачу Резервное копирование базы данных. Так же щелкнув на добавленном задании, увидим опции настройки задания. Здесь, исходя из поставленной задачи, выбираем полное резервное копирование, место, куда будем помещать архивы, а так же не забудем установить параметр Сжимать резервные копии.\nЗадача Очистка после обслуживания позволяет удалять устаревшие архивы. В нем мы можем установить место расположения архивов, а так же время, по истечению которого они будут удаляться.\nЗадача Очистка журнала производит удаление данных журнала, связанных с процессами резервного копирования, восстановления, планами обслуживания баз, а также с деятельностью агента SQLServer.\nТаким образов в конце мы получим список последовательно выполняемых задач. Сохранив план обслуживания, надо удостовериться в том, что на нашем сервер запущен Агент SQL Server. Для этого перейдем в Пуск - Все программы - Microsoft SQL Server 2008 - Средства настройки - Диспетчер конфигурации SQL Server. Перейдя на строчку Службы SQLServer, проверим, что служба Агент SQLServer находится в состоянии Работает и режим запуска выставлен в Авто. В конце хотелось бы сказать о том, что использование задачи Перестроение индекса можно заменить или совместить с задачей Реорганизация индекса. Реорганизация индекса представляет собой инструмент для дефрагментации индексов. Для того что бы просмотреть какие операции требуются индексу, необходимо просмотреть физическую статистику индекса. Для этого правой кнопкой мыши нажмите на базу данных, перейдите в Отчеты - Стандартные отчеты - Физическая статистика индекса. Следить за состоянием выполняемых операций вы можете из Управление - Планы обслуживания. Для этого в свойствах плана SRV1CTEST выберите Просмотр журнала. Так же можно просмотреть журнал, который ведет Агент MS SQL по этому заданию. Для этого перейдите на строку Агент MS SQL и в свойствах задания SRV1CTEST выберите Просмотр журнала.\nДополнительные материалы:\nОбслуживание баз 1С в MS SQL Server. Часть 1. Настройка планов обслуживания БД Обслуживание баз 1С в MS SQL Server. Часть 2. Оповещение по e-mail Обслуживание баз 1С в MS SQL Server. Часть 3. Восстановление из резервных копий Резервное копирование баз данных Microsoft SQL Server ","id":"95a5a1039514bf3adf3879f9c0e57f1f","link":"https://interface31.ru/post/obsluzhivanie-baz-1s-v-ms-sql-server-chast-1/","section":"post","tags":["1С Предприятие 8.х","MS SQL","SQL","Резервное копирование"],"title":"Обслуживание баз 1С в MS SQL Server. Часть 1"},{"body":"Установка сервера 1С Предприятия на платформе Windows задача простая и интуитивно понятная, с которой по силам справиться даже неопытному администратору. Однако мы решили уделить ей пару строк, чтобы внести окончательную ясность в данный вопрос и придать нашему циклу полноту и законченность.\nКак известно, повторение - мать учения, обновить знания всегда полезно, тем более что иногда установка сервера 1С Предприятия превращается в сборную солянку всевозможных компонентов, половину из которых на сервере не нужны.\nПрежде всего поговорим о версиях. На текущий момент 1С предлагает сервер в двух редакциях 32-х и 64-х бита, которые различаются прежде всего стоимостью 42 000 и 72 000 руб. При этом следует помнить, что лицензия на 64-битный сервер дает право использовать 32-битную версию, но не наоборот. Для нормальной работы сервера 1С Предприятия ключ защиты должен быть физически подключен к серверу, однако для успешного запуска прикладных решений вам понадобится сетевой ключ на нужное количество пользователей, оба ключа можно физически располагать на одном сервере, друг другу они не мешают. Подробнее о ключах читайте здесь.\nШироко распространенная ошибка - установка не той версии сервера, когда на 64-битную серверную ОС устанавливают 64-битный сервер имея лицензию для 32-битного. Поэтому перед установкой внимательно проверьте какая именно версия у вас приобретена.\nДля установки 32-битной версии сервера используется тот-же самый дистрибутив, что и для установки клиентской части. Запустим программу установки и внимательно изучим окно доступных компонентов: Первые три пункта нас не интересуют - это различные варианты клиентских платформ, которые на сервере не нужны. Я думаю излишне говорить о том, что не стоит совмещать роль сервера 1С Предприятия и роль терминального сервера. Единственная роль, с которой можно совместить сервер 1С, это сервер БД, при условии небольшой нагрузки и достаточных ресурсов, которые правильно распределены между ролями. В первую очередь следует ограничить аппетиты СУБД относительно оперативной памяти и крайне желательно хранить БД на отдельном дисковом массиве.\nОсновной компонент - Сервер 1С:Предприятия, уточнять его назначение нам кажется излишним. Если вы предполагаете использовать веб-сервер или тонкий клиент через интернет - следует установить Модули расширения веб-сервера, компонента Администрирование сервера 1С:Предприятия обязательной не является, ее можно (и нужно) установить на рабочее место администратора.\nС 64-битной версией попроще, данный пакет установки содержит только сервер 1С Предприятия: Как можно заметить, в 64-битной поставке отсутствует компонента администрирования сервера, при необходимости ее следует установить из 32-битного дистрибутива.\nЕсли локализация вашей ОС не совпадает с языком интерфейса 1С, то не забудьте дополнительно установить нужные и явно выбрать их на следующем шаге. Например при установке украинской версии 1С на русскую локализацию ОС.\nДля запуска служб сервера 1С Предприятия можно использовать учетную запись Администратора или, что будет более правильно и безопасно, специальную учетную запись USR1CV82. Если данная учетная запись не существует вам будет предложено ее создать во время установки. При задании пароля помните, что он должен соответствовать требованиям политики безопасности, в противном случае получите ошибку 8007056B / 800708C5, в этом случае вам будет нужно установить новый пароль данному пользователю вручную. Также недопустимы пустой пароль, даже если ваша политика безопасности это позволяет.\nЕще одна возможная ошибка - неправильно указанный пароль к уже существующей учетной записи, это обычно происходит при обновлении платформы, в таком случае вы получите ошибку: Здесь возможны два варианта действий. Если вы помните пароль, то прервите установку и выполните ее заново, указав пароль правильно. В противном случае нажмите Пропустить и смените пароль пользователя USR1CV82 на тот, который вы указали при установке. После чего запустите службу Агент сервера 1С:Предприятия 8.2 вручную.\nТакже не забывайте, что версии платформы сервера и клиента должны совпадать и следующим шагом должна стать установка (обновление) клиентских платформ. При необходимости обновить версию сервера мы советуем предварительно удалить предыдущую через Установку и удаление программ и только после этого устанавливать новую версию, все настройки при этом сохранятся.\nДополнительные материалы:\nСервер 1С Предприятия. Часть 1 - Общие вопросы Сервер 1С Предприятия. Часть 2 - Установка на платформе Windows Сервер 1С Предприятия. Часть 3 - Установка на платформе Linux (Ubuntu) Сервер 1С Предприятия. Часть 4 - Установка PostgreSQL на платформe Linux (Ubuntu) ","id":"6779c88880a95d0e4f381d394b648123","link":"https://interface31.ru/post/server-1s-predpriyatiya-chast-2-ustanovka-na-platforme-windows/","section":"post","tags":["1С Предприятие 8.х","Windows Server"],"title":"Сервер 1С Предприятия. Часть 2 - Установка на платформе Windows"},{"body":"Мы уже рассказывали о форвардинге (пробросе) портов на роутере под управлением Ubuntu Server, однако рассмотрев общие принципы, оставили без внимания частные реализации. Одним из частных случаев является публикация PPTP VPN сервера, которая вызывает наибольшее количество затруднений, сегодня поговорим об этом более подробно.\nЕсли все сделать по нашей статье, пробросив во внутреннюю сеть порт 1723 (PPTP), то при попытке установить VPN соединение вы получите... Правильно - ошибку. Почему? Самое время сделать небольшое отступление и вспомнить, как работает протокол PPTP.\nПрочитали, вспомнили... Становится очевидно, что настроив форвардинг порта 1723, мы обеспечили только работу только управляющей сессии, совершенно забыв о сессии для передачи данных, использующей протокол GRE. Выглядит это так: клиент нормально соединяется с сервером, успешно проходит проверку учетных данных и терпит фиаско при попытке создать канал для данных.\nДля нормальной работы PPTP соединения через NAT следует настроить прохождение не только управляющих данных, но и GRE пакетов. Чем мы сейчас и займемся. Будем считать, что читатель знаком с нашими предыдущими материалами и обладает достаточными навыками работы в среде Ubuntu Server. Все изменения будут вносится нами в файл /etc/nat роутера.\nЧтобы обеспечить нормальную работу с протоколом GRE следует загрузить дополнительные модули ядра, для этого после секции #Включаем форвардинг пакетов добавим:\n1#Включаем модули iptables 2modprobe ip_gre 3modprobe ip_nat_pptp После секции #Включаем NAT добавляем:\n1#Разрешаем входящий PPTP 2iptables -A FORWARD -p gre -j ACCEPT 3iptables -A FORWARD -i eth0 -p tcp --dport 1723 -j ACCEPT Мы разрешили прохождение через NAT как управляющих пактов на порт 1723, так и GRE пакетов в любом направлении. Теперь нужно настроить форвардинг пактов приходящих на порт 1723 роутера к внутреннему VPN серверу. Для условности примем X.X.X.X - IP адрес внешнего интерфейса сервера, 10.0.0.121 - внутренний адрес VPN-сервера, 10.0.90.90-99 блок адресов VPN-сети.\nНиже предыдущей секции продолжим:\n1# Форвардинг PPTP 2iptables -t nat -A PREROUTING -p tcp -d X.X.X.X --dport 1723 -j DNAT --to-destination 10.0.0.121:1723 Сохраняем файл, перезагружаем сервер.\nНастраиваем на клиенте VPN-подключение и пробуем соединиться, если все сделано правильно то проблем не возникнет.На рисунке ниже, в консоли VPN сервера видим успешно подключившегося клиента. Теперь попробуем получить доступ к какому нибудь внутреннему ресурсу, например общему диску E: на VPN-сервере. Как видим, все прекрасно работает. Теперь можете настраивать вашу VPN-сеть согласно ваших потребностей, PPTP сервер будет доступен на внешнем интерфейсе роутера без каких либо ограничений.\n","id":"cf133d115d0a53cb682425ee97bd5bc6","link":"https://interface31.ru/post/ubuntu-server-forvarding-pptp-sredstvami-iptables/","section":"post","tags":["iptables","PPTP","Ubuntu Server","VPN","Сетевые технологии"],"title":"Ubuntu Server. Форвардинг PPTP средствами iptables"},{"body":"По многочисленным просьбам наших читателей сегодняшняя статья посвящена SAMS - веб-интерфейсу для Squid, который позволяет в графическом режиме производить все основные настройки прокси-сервера, а также реализует дополнительный функционал, позволяющий использовать его в качестве простейшего биллинга.\nК сожалению, придется начать наш материал с печальной новости. На данный момент проект SAMS закрыт и его будущее под большим вопросом. Из этого следует, что использовать данный продукт вам придется на свой страх и риск, полагаясь исключительно на свои силы.\nМы также предупреждаем, что данный материал актуален только на текущий момент и мы не можем гарантировать, что все нижеизложенное будет работать на следующих версиях Ubuntu Server, при обновлении ПО и при любых иных условиях, отличных от изложенных в статье. Итак, если вы отдаете себе отчет и осознаете ответственность, то продолжим. В нашем распоряжении имеется роутер, настроенный согласно данной статьи, работающий под управлением Ubuntu Server 10.04.3 LTS на котором мы будем производить все действия. В первую очередь нам необходимо настроить веб-сервер, для этого можно воспользоваться данным руководством, в качестве имени сайта укажем router.local, а в dnsmasq пропишем строку с адресом 10.0.0.1 (внутренний адрес нашего роутера). Не забудьте в /etc/lighttpd/lighttpd.conf раскомментировать и привести к следующему виду опцию:\n1server.bind = \u0026#34;10.0.0.1\u0026#34; Это ограничит доступность веб-сервера внутренним интерфейсом. Теперь установим необходимые пакеты:\n1sudo apt-get install php5 php5-gd Затем в /etc/php5/cgi/php.ini найдем и раскомментируем следующую строку, установив ее значение как:\n1safe_mode = On Перезапустим веб-сервер:\n1sudo service lighttpd restart Мы настроили сервер, можно приступать к установке SAMS. На официальном сайте доступны две версии: стабильная 1.5 и бета 2.0, по причине заморозки проекта и некоторой нестабильности последней версии мы рекомендуем использовать 1.5. С данной страницы качаем пакеты для Debian Lenny, а также пакет libmysqlclient15off с нашего сервера (i386/ amd64). Переносим их на сервер, например при помощи флешки, ее можно смонтировать командой:\n1mount -t vfat /dev/sdb1 /media где sdb имя съемного диска, его можно увидеть на экране сервера после подключения флешки: Перейдем в каталог /media и установим пакеты:\n1cd /media 2sudo dpkg -i libmysqlclient15off_5.0.51a-24+lenny5_i386.deb 3sudo dpkg -i sams_1.0.5_i386.deb 4sudo dpkg -i sams-doc_1.0.5_all.deb 5sudo dpkg -i sams-web_1.0.5_all.deb Теперь откроем /etc/sams.confи укажем параметры подключения к MySQL серверу:\n1MYSQLUSER=root 2MYSQLPASSWORD=password где password - пароль суперпользователя MySQL который вы задали на этапе его установки.\nСоздадим линк на папку SAMS в каталоге веб-сервера:\n1sudo ln -s /usr/share/sams /var/www/sams Скопируем дампы БД в каталог для установки:\n1sudo cp /usr/share/sams/mysql/squid_db.sql /usr/share/sams/data 2sudo cp /usr/share/sams/mysql/sams_db.sql /usr/share/sams/data Установим необходимые права и владельцев на папки и файлы:\n1sudo chown -R www-data:www-data /usr/share/sams 2sudo chown www-data:www-data /etc/sams.conf 3sudo chmod -R 777 /usr/share/sams 4sudo chmod 777 /etc/sams.conf В данном релизе SAMS есть один неприятный баг, сервис samsdaemon отказывается стартовать автоматически, для его устранения нужно заменить скрипт /etc/init.d/sams следующим файлом (скачать). Будем считать что он распакован и находится на флешке, которая смонтирована в /media:\n1sudo cp /media/sams /etc/init.d/ Перезагрузим сервер:\n1sudo reboot Перейдем к установке веб-интерфейса. Для этого в браузере наберем http://router.local/sams, на экране появится сообщение о невозможности подключится к БД и будет предложено запустить скрипт установки: На следующем экране нужно указать параметры подключения к MySQL и задать пароль пользователю БД sams. Если все сделано правильно вы увидите следующую страницу: Можно смело жать кнопку и переходить в веб-интерфейс. Для авторизации используйте логин: admin и пароль: qwerty. Осталось проверить, что сервис samsdaemon запущен и работает. Для этого перейдите в SAMS - SQUID и нажмите левую нижнюю иконку Squid reconfiguration, затем нажмите кнопку Reconfigurate, вы должны увидеть следующее сообщение: На этом установку можно считать законченной. Настройка Squid при помощи SAMS выходит за пределы данной статьи и при наличии необходимых знаний не представляет каких-либо затруднений.\n","id":"f3751570e3eed9763a1faf89903edab1","link":"https://interface31.ru/post/sams-web-interfeys-dlya-upravleniya-squid-i-ne-tol-ko/","section":"post","tags":["SAMS","Squid","Ubuntu Server","Сетевые технологии"],"title":"SAMS - веб-интерфейс для управления Squid и не только."},{"body":"Около двух лет назад мы публиковали материал о сервере 1С Предприятия на платформе Linux, интерес к этой теме велик до сих пор. В тоже время многое успело измениться, платформа 1С не стоит на месте и чаще всего внедрение выходит за рамки простого повторения инструкций. Это неудивительно, сервер 1С Предприятия сложный продукт, поэтому мы решили начать этот цикл статей, нацеленный на более глубокое изучение предмета.\nПрежде чем брать в руки мышку и бежать в серверную, следует четко усвоить необходимый минимум знаний, а именно иметь представление о структуре сервера 1С Предприятия и назначении его отдельных компонентов. Большинство проблем при внедрении связано с тем, что сервер 1С Предприятия воспринимается в качестве некоего монолитного образования, в котором все компоненты связаны между собой хитрым, одному разработчику известным, способом. Однако это не так и сегодня мы разберемся из чего же состоит наш сервер и как это все между собой работает.\nХотелось бы еще раз подчеркнуть чрезвычайную важность того, о чем пойдет речь ниже. Не обладая данными знаниями будет проблемно добиться стабильной работы, не говоря уже о диагностике узких мест и увеличении производительности. В итоге может получится классическая картина: вроде бы железо мощное, сделано все по инструкции, а тормозит. К сожалению, большинство инструкций для начинающих (и наша в том числе) содержат информацию лишь о том как сделать, не заостряя внимание что именно делается и почему. Поэтому начнем исправляться.\nКлиент-серверная версия 1С Предприятия представляет собой трехуровневую структуру (т.н. \u0026quot;трехзвенка\u0026quot;), в которую входят: клиент, сервер 1С Предприятия и сервер СУБД. Это полностью независимые компоненты, которые могут сочетаться в любой допустимой комбинации для достижения наилучшего результата. Рассмотрим следующую схему: Начнем с клиентов, текущая версия платформы (8.2) предусматривает использование трех типов клиентов. Разберем их подробнее.\nТолстый клиент Это классическое клиентское приложение 1С, до выхода платформы 8.2 он был единственно доступным видом клиента. Схема работы толстого клиента следующая: клиентское приложение запрашивает данные у сервера 1С, то в свою очередь запрашивает их из БД и предает обратно клиенту, на котором и производится их обработка. Как можно заметить, данная схема неоптимальна: сервер 1С по сути является всего лишь прослойкой между клиентом и БД, все вычисления происходят на клиенте. Это накладывает повышенные требования на клиентские ПК, т.к. вычислительные мощности сервера не используются. Стоит четко понимать, что в режиме толстого клиента вы не получите увеличения быстродейстивия от перехода к клиент-серверной версии, возможно даже наоборот.\nТонкий клиент Его можно назвать основным видом клиентского приложения для платформы 8.2, в теории, на практике не все так гладко и мы еще к этому вернемся. Схема его работы кардинально иная: клиент запрашивает данные у сервера 1С, тот получает их из БД, обрабатывает и отдает клиенту результат вычислений. Основная вычислительная нагрузка при этом ложится на сервер, поэтому особых требований к клиентским ПК и каналу от клиента к серверу не предъявляется.\nТакже тонкий клиент может работать как по протоколу TCP/IP в локальной сети, так и через HTTP через интернет. Для этого требуется еще один посредник - веб-сервер, который передает запросы клиента серверу 1С, никакой обработки данных на веб-сервере не производится, он используется исключительно как транспорт. Преимущества тонкого клиента понятны, он позволяет, при наличии мощного сервера, значительно ускорить работу с программой, также значительно снижается сетевой трафик, что весьма актуально для офисных сетей.\nВеб-клиент Его существование логично вытекает из некоторых свойств тонкого клиента, действительно, если все запросы обрабатываются сервером, транспортом служит HTTP, то почему бы не использовать для работы браузер? Схема работы веб-клиента ничем не отличается от тонкого, однако на сегодняшний день не все функции поддерживаемые тонким клиентом реализованы и корректно работают в веб-клиенте. Отчасти это можно исправить в конфигурации, отчасти накладывает ограничения механизм вывода информации в браузер. Однако веб-клиент у 1С есть и он работает и никто не мешает вам (опять таки в теории) работать в программе лежа на пляже с планшетом.\nТеперь о ложке дегтя в бочке меда. Для нормальной работы в режиме тонкого и веб-клиентов конфигурация должна работать в режиме управляемого приложения и поддерживать все функции в данном режиме. Режим управляемого приложения является основным для платформы 8.2 и довольно радикально отличается от того, что было раньше, в том числе и внешне. Визуально управляемое приложение можно отличить по новому интерфейсу, отличительными чертами которого являются вкладки и гиперссылки: Как минимум, непривычно, особенно в сравнении с классическим интерфейсом, но не спешите радоваться, увидев новый интерфейс, кроме внешнего вида, конфигурация должна поддерживать исполнение на сервере всего своего функционала, вполне может оказаться, что в режиме тонкого и веб-клиента будут доступны не все возможности.\nНа сегодня в режиме управляемого приложения работает лишь часть типовых конфигураций, такие как: Управление небольшой фирмой, Управление торговлей 11, Розница 2 и Зарплата и управление персоналом. Эти решения могут использовать все преимущества новой платформы. Бухгалтерия предприятия 2.0 не использует режим управляемого приложения и в тонком и веб-клиентах работать не будет, это же относится и ко многим сторонним решениям, таким как \u0026quot;Камин\u0026quot; и т.п.\nВыводы По возможности следует использовать тонкий клиент, так как это позволяет переложить все вычисления на сторону сервера комфортно работать даже на медленных каналах, в т.ч. через интернет. При этом следует помнить, что работа в режиме Конфигуратора возможна только через толстый клиент, который также придется использовать для работы с конфигурациями еще не переведенными в режим управляемого приложения.\nВеб-клиент следует использовать тогда, когда нет возможности воспользоваться тонким, например с чужого ПК в командировке, при этом следует быть готовым к отсутствию или некорректной работе некоторых функций.\nКластер серверов 1С Разобравшись с клиентами, перейдем к серверам. Система предусматривает использование трех видов серверов: Сервер 1С, сервер СУБД и веб-сервер. Важно понимать что данные сервера полностью независимы друг от друга, это придает системе гибкость и позволяет рационально использовать вычислительные ресурсы.\nТакже система не накладывает никаких требований к платформам. Вы можете совместно использовать как Windows так и Linux сервера, в качестве веб-сервера можно использовать Apache и IIS, из СУБД поддерживаются PostgreSQL, MS SQL Server, IBM DB2 и Oracle. Поэтому никто не мешает вам создать схему, в которой сервер 1С работающий на платформе Linux будет работать совместно с сервером БД под управлением Windows Server и IIS и наоборот. Кроме того вы можете использовать несколько серверов СУБД (как и веб-серверов) располагая разные базы на разных серверах.\nТакой подход позволяет гибко комбинировать, расширять и изменять существующую конфигурацию в зависимости от текущих потребностей, при этом для конечного пользователя все будет происходить максимально прозрачно. Например вы можете вынести ресурсоемкую ИБ на отдельный сервер СУБД, изменив только параметры подключения к БД в настройках сервера не затрагивая клиентских настроек.\nИ наконец самое интересное: кластер серверов 1С Предприятия. Да, именно так, не одиночный сервер, а кластер серверов. Обычно здесь и начинаются непонятки, особенно если сервер один. Однако все встает на свои места, если принять во внимание, что понятие кластера серверов в первую очередь логическое, однако данный подход легко позволяет масштабировать схему повышая ее производительность или отказоустойчивость. Любой кластер состоит из Центрального сервера 1С Предприятие и рабочих серверов. В простейшей конфигурации это будет один и тот же физический сервер. Однако при необходимости мы можем добавить дополнительные рабочие сервера, нагрузку по которым будет балансировать центральный сервер. Это позволяет быстро и прозрачно для пользователей увеличить вычислительную мощь системы и увеличить отказоустойчивость. Кластер также не накладывает требований к однородности платформы, в его составе могут работать сервера как под управлением Windows, так и под управлением Linux.\nКакие выводы можно сделать из вышесказанного? Во первых, клиент-серверная система 1С Предприятие является весьма гибкой и позволяет оптимальным образом использовать доступные вычислительные ресурсы для получения оптимального результата. Какую именно конфигурацию выбрать, зависит от конкретных задач и средств, выделяемых для их решения.\nНапример, если у вас небольшая нагрузка и вы используете толстый клиент и не поддерживающую режим управляемого приложения конфигурацию имеет смысл совместить кластер серверов 1С и сервер СУБД на одном физическом сервере, так как выделять отдельную машину для прослойки между клиентом и БД весьма расточительно.\nИ наоборот, при использовании управляемого приложения в режиме тонкого клиента сервер СУБД и кластер серверов лучше разнести по разным серверам, каждый из которых будет оптимизирован под свою задачу.\nДополнительные материалы:\nСервер 1С Предприятия. Часть 1 - Общие вопросы Сервер 1С Предприятия. Часть 2 - Установка на платформе Windows Сервер 1С Предприятия. Часть 3 - Установка на платформе Linux (Ubuntu) Сервер 1С Предприятия. Часть 4 - Установка PostgreSQL на платформe Linux (Ubuntu) ","id":"5bf25e2dee5619d56cc675c0d420d654","link":"https://interface31.ru/post/server-1s-predpriyatie-chast-1---obshie-voprosy/","section":"post","tags":["1С Предприятие 8.х"],"title":"Сервер 1С Предприятия. Часть 1 - Общие вопросы"},{"body":"Тема сетевой установки Ubuntu уже поднималась на наших страницах. Сегодня мы поговорим о том, как создать универсальный сервер сетевой установки, позволяющий устанавливать различные варианты ОС и, при необходимости, быстро изменять набор доступных систем.\nВ статье Михаила Пинаева рассказывалось, как создать простой сервер сетевой установки (PXE-сервер) на базе уже имеющегося в сети роутера, в нашем материале пойдет речь о создании автономного сервера. В тоже время все приведенные рекомендации можно использовать для обоих решений, так как они затрагивают исключительно содержимое каталога TFTP сервера, откуда производится сетевая загрузка клиентов.\nДля реализации данного решения мы использовали Ubuntu Server 10.04.3 LTS 64-бита, на котором установлен mc и ssh, а также настроена сеть и доступ в интернет через наш роутер. Также подразумевается, что читатель умеет создавать папки, файлы, редактировать и сохранять их, а также владеет навыком монтирования CD дисков в среде командной строки Ubuntu.\nПрежде всего установим необходимые пакеты, это tftpd-hpa для создания TFTP сервера и apt-cacher-ng для организации локального кэша пакетов, чтобы их не приходилось каждый раз скачивать из сети.\n1sudo apt-get install tftpd-hpa apt-cacher-ng Оба пакета не требуют настройки и начинают работать сразу, тонкая настройка apt-cacher-ng рассматривалась в статье М. Пинаева.\nТеперь настроим DHCP сервер, чтобы он сообщал клиентам параметры сетевой загрузки, для этого на роутере в /etc/dnsmasq.conf добавим строку:\n1dhcp-boot=pxelinux.0,ubuntu-tftp,10.0.0.124 где ubuntu-tftp сетевое имя PXE сервера, а 10.0.0.124 его IP-адрес. Перезапустим DHCP сервер:\n1sudo service dnsmasq restart Вернемся к нашему PXE серверу. Допустим, мы хотим иметь возможность сетевой установки любой версии Ubuntu 11.10 как 32-х так и 64-х битной архитектуры. Что нам для этого понадобится? Специальные образы для сетевой установки, их можно взять с alternate дисков (в каталоге install/netboot) или скачать отдельно (i386 и amd64). Перейдем в каталог /var/lib/tftpboot в котором будут размещаться наши файлы для сетевой загрузки. В его корне разместим файл pxelinux.0, его можно взять из любого дистрибутива, он везде одинаков.\nБудьте внимательны, не перепутайте файл с одноименной символической ссылкой, имеющей нулевой размер. Затем создайте две папки, скажем i386 и amd64, где будут размещаться загрузочные образы для разных архитектур. В каждый из них скопируйте файлы linux и initrd.gz с дисков соответствующих архитектур.\nСледующим шагом будет создание загрузочного меню, создайте в /var/lib/tftpboot каталог pxelinux.cfg а в нем файл default, в котором поместите следующее содержимое:\n1DEFAULT 1 2TIMEOUT 30 3PROMPT 1 4DISPLAY boot.menu 5 6LABEL 1 7KERNEL i386/linux 8append vga=788 initrd=i386/initrd.gz --quiet 9 10LABEL 2 11KERNEL amd64/linux 12append vga=788 initrd=amd64/initrd.gz --quiet Все пути в данном файле указываются от корня TFTP сервера, т.е. от /var/lib/tftpboot. Файл содержит две основные секции LABEL, в которых указываются пути к загрузочным образам разных архитектур. Названия секций лучше выбирать цифровыми, так как их придется вводить вручную при загрузке. Коротко рассмотрим основные параметры:\nDEFAULT - секция выбираемая по умолчанию, если пользователь не выбрал никакого варианта или просто нажал Enter. TIMEOUT - время в секундах, в течении которого показывается загрузочное меню. PROMPT - отображает строку для ввода варианта загрузки (1 - отображать, 0 - скрыть) DISPLAY - содержимое файла для вывода на экран. Выйдем на уровень выше (в корень TFTP) и создадим там файл boot.menu следующего содержания:\n1------BOOT MENU------ 2 31. Install Ubuntu 11.10 32-bit (default) 42. Install Ubuntu 11.10 64-bit 5 6--------------------- В принципе здесь можно написать все, что вы хотите, главное дать пользователю понять, что для выбора нужного варианта он должен ввести номер нужного пункта и нажать Enter.\nЕсли все сделано правильно, то вы должны получить следующую структуру каталогов: Теперь попробуем загрузиться с нашего сервера, для этого сетевая карта вашего компьютера должна поддерживать загрузку по сети и эта опция должна быть активирована в BIOS. Вначале компьютер получает с DHCP сервера необходимые параметры загрузки, скачивает и запускает загрузчик pxelinux, который выводит на экран наше меню и ждет дальнейших действий. В зависимости от нашего выбора будет загружен образ для соответствующей архитектуры и начнется процесс установки, который ничем не отличается от установки с alternate диска. Но на некоторых моментах мы остановимся.\nПосле того как вы выберете зеркало для загрузки файлов, система предложит вам указать прокси. Здесь мы вводим http://10.0.0.124:3142 - адрес и порт на которых работает apt-cacher-ng, это позволит не скачивать второй раз одни и те же пакеты и избавит от необходимости прописывать службу кэширования пакетов в /etc/apt/apt.conf на рабочих станциях. Следующий раз наше внимание понадобится при выборе устанавливаемого ПО. Здесь, кроме Ubuntu Desktop, рабочего стола по умолчанию (Unity), можно выбрать Kubuntu, Xubuntu, LXDE и т.п., получив на выходе установку соответствующей версии Ubuntu, или выбрать сразу несколько рабочих столов и выбирать их перед входом в систему. Также сразу можете выбрать иное необходимое ПО, хотя никто не мешает установить его позже. Далее следует запастись терпением, если это первая ваша установка, так как время загрузки пакетов из сети зависит от скорости вашего канала и может занять длительное время.\nВ дальнейшем вы можете легко добавлять или изменять варианты предлагаемые вашим сервером, для этого нужно создать папку с файлами linux и initrd.gz для сетевой загрузки нужной системы и добавить новую секцию в pxelinux.cfg/default, также не забудьте отредактировать загрузочное меню в boot.menu.\n","id":"54e6aeb62aea2f9adce004a73ae7f541","link":"https://interface31.ru/post/usovershenstvovannyy-server-setevoy-ustanovki-dlya-ubuntu/","section":"post","tags":["APT","apt-cacher-ng","PXE","TFTP","Ubuntu Server","Развертывание"],"title":"Усовершенствованный сервер сетевой установки для Ubuntu"},{"body":"Мы часто используем lighttpd в качестве встроенного веб-сервера для различных служб (например веб-панелей и т.п.), в то же время многим нашим читателям нужен простой и легкий веб-сервер для размещения своих внутрисетевых ресурсов. Сегодня мы расскажем как сделать такой сервер на базе lighttpd.\nДля придания законченности материалу мы будем рассматривать установку веб-сервера с нуля на отдельную машину, в тоже время ничто не мешает использовать уже существующие инсталляции lighttpd, в таком случае ряд компонентов уже будет у вас установлен и ряд действий описанных в данной статье можно будет пропустить.\nМы развернули в нашей тестовой лаборатории следующую схему: Роутер, настройка которого описана в данной статье, имеет IP-адрес 10.0.0.1. Веб-сервер, настройкой которого мы займемся, имеет IP-адрес 10.0.0.145 Рабочие станции, получают сетевые настройки автоматически. Наша задача: развернуть на веб-сервере внутренний ресурс по адресу http://site.local и сделать возможным использование для него любых современных движков (например Joomla). В качестве операционной системы сервера будем использовать Ubuntu 10.04.3 x64 со всеми последними обновлениями.\nПрежде всего установим необходимые для администрирования пакеты mc и OpenSSH:\n1sudo apt-get install mc ssh Теперь мы можем задвинуть сервер на полку в серверной и производить все операции с ним удаленно через SSH, например используя PuTTY.\nПрежде всего установим сам веб-сервер:\n1sudo apt-get install lighttpd После установки он сразу готов к работе, в чем можно убедиться набрав в браузере IP-адрес нашего сервера. Вы должны увидеть стандартную страницу-заглушку сервера: Это хорошо, но нам нужно чтобы пользователи могли обращаться к сайту набирая его имя. Для этого в /etc/lighttpd/lighttpd.conf добавим следующую секцию:\n1$HTTP[\u0026#34;host\u0026#34;] == \u0026#34;site.local\u0026#34; { 2server.document-root = \u0026#34;/var/www/ \u0026#34; } Которая описывает наш хост и задает для него корневую директорию, так как мы собираемся размещать один сайт, то мы указали для него директорию используемую веб-сервером по умолчанию, т.е. /var/www. Подобным образом мы можем разместить на сервере несколько сайтов, указав для каждого свою корневую директорию, например /var/www/site.local и /var/www/site1.local**[1]**. Перезапустим веб-сервер:\n1sudo service lighttpd restart Осталось только сообщить компьютерам нашей сети, что сайт site.local обслуживается нашим веб-сервером по адресу 10.0.0.145, это можно сделать прописав соответствующие строки в файле hosts на каждой рабочей станции, но лучше сделать это централизованно. Так как у нас в сети развернут кеширующий DNS (Dnsmasq) будет глупо не воспользоваться его возможностями. Для этого на роутере в конфигурационном файле /etc/dnsmasq.conf добавим следующие строки:\n1address=/site.local/10.0.0.145 Перезапустим Dnsmasq:\n1sudo service dnsmasq restart Если теперь мы наберем в браузере site.local, то также увидим страницу-заглушку веб-сервера.\nТеперь на нашем сервере можно размещать свои веб-странички, но как это сделать? Обычно на хостингах для доступа к содержимому сайтов используют FTP, в нашем случае мы не видим смысла использовать дополнительный сервис, так как установленный OpenSSH сервер дает возможность передачи файлов по защищенному протоколу SFTP. Никаких дополнительных настроек для этого не потребуется, достаточно в любом поддерживающем SFTP клиенте (например FileZilla) указать имя хоста, логин и пароль (вашего пользователя на веб-сервере) и порт подключения 22 или sftp://site.local в имени хоста. Создадим в блокноте проверочную HTML страницу и сохранив ее под именем index.html разместим в папке /var/www нашего сервера (не забудьте установить права 755 на /var/www):\n1\u0026lt;head\u0026gt; 2\u0026lt;meta http-equiv=\u0026#34;Content-Type\u0026#34; content=\u0026#34;text/html; charset=utf-8\u0026#34; /\u0026gt; 3\u0026lt;title\u0026gt;Site.local Тестовая страница\u0026lt;/title\u0026gt; 4\u0026lt;/head\u0026gt; 5\u0026lt;body\u0026gt; 6\u0026lt;h2\u0026gt;Site Local \u0026lt;/h2\u0026gt; 7\u0026lt;h3\u0026gt; Тестовая страница.\u0026lt;/h3\u0026gt; 8\u0026lt;p\u0026gt; Если вы можете прочитать этот текст, значит ваш веб-сервер работает и настроен правильно. \u0026lt;/p\u0026gt; 9\u0026lt;/body\u0026gt; Если все сделано правильно, то набрав адрес сайта вы должны увидеть вместо заглушки нашу страничку: Современные веб-технологии предусматривают широкое использование т.н. \u0026quot;движков\u0026quot;, для поддержки которых требуются PHP и MySQL, поэтому самое время добавить их к нашему серверу. Сначала установим PHP:\n1sudo apt-get install php5-cgi Затем в /etc/php5/cgi/php.ini найдем, раскомментируем и приведем к следующему виду строку:\n1cgi.fix_pathinfo = 0 Теперь включим поддержку PHP в lighttpd:\n1sudo lighttpd-enable-mod fastcgi 2sudo lighttpd-enable-mod fastcgi-php Перезапустим веб-сервер:\n1sudo service lighttpd restart Для проверки создадим в блокноте файл следующего содержания:\n1\u0026lt;?php 2phpinfo(); 3?\u0026gt; И сохранив его как test.php разместим в /var/www нашего сервера, затем наберем в браузере http://site.local/test.php после чего вы увидите стандартную страницу с информацией о РНР: Следующим шагом установим сервер баз данных MySQL и модуль PHP для работы с ним:\n1sudo apt-get install mysql-server php5-mysql По умолчанию MySQL сервер использует кодировку latin1, в то время как большинство современных движков работают в UTF-8. Поэтому откроем /etc/mysql/my.cnf и добавим в секции [client] и [mysqld] следующие строки:\n1[client] 2default-character-set=utf8 3 4[mysqld] 5character_set_server=utf8 6collation_server=utf8_unicode_ci Перезапустим MySQL:\n1service mysql restart Для удобного управления СУБД установим пакет phpMyAdmin:\n1sudo apt-get install phpmyadmin В процессе установки не забудьте указать используемый вами веб-сервер, в нашем случае lighttpd, инсталлятор сам произведет все требуемые настройки. Набрав в браузере http://site.local/phpmyadmin вы окажетесь на страничке входа данной утилиты, для авторизации используйте имя пользователя root и пароль указанный на этапе установки MySQL. В данном случае не стоит путать пользователя root c одноименным системным пользователем, в данном случае речь идет о суперпользователе СУБД. В заключение установим на наш сервер популярный движок Joomla. Для этого скачаем с официального сайта необходимые пакеты, разместим файлы движка в /var/www (предварительно удалив все содержимое папки) и установив необходимые права на папки и файлы (см. инструкции к движку) начнем установку просто набрав в браузере адрес сайта.\nНикаких сложностей на этом этапе возникнуть не должно. После установки в первую очередь устанавливаем языковой пакет и в нашем распоряжении полноценный сайт, можем переходить к его наполнению и оформлению: Вот так, менее чем за полчаса времени, в вашем распоряжении может оказаться простой веб-сервер поддерживающий все современные технологии.\n","id":"bf7086cd90270688451fcecc5491791b","link":"https://interface31.ru/post/nastraivaem-prostoy-veb-server-na-baze-lighttpd/","section":"post","tags":["Dnsmasq","lighttpd","MySQL","PHP","Ubuntu Server","Web-сервер","Сетевые технологии"],"title":"Настраиваем простой веб-сервер на базе lighttpd"},{"body":"Не так давно мы уже писали о вопросах совместимости 1С Предприятия 8.2 с программными продуктами других производителей и вот сегодня снова возвращаемся к данному вопросу. С одной стороны это частный случай, который встречается при определенных условиях на определенном наборе оборудования. С другой, именно из таких частных случаев и складывается опыт, от которого зависит профессиональный уровень специалиста.\nКак всегда, ничто не предвещало беды, инженер с утра выехал на объект к новому клиенту для выполнения в общем-то банального набора действий: обновить релиз конфигурации и посмотреть некоторые ошибки при формировании отчетов. Однако уже первое знакомство с ситуацией показало, что она далека от стандартной. При попытке построения некоторых отчетов программа аварийно завершалась, аналогичная ошибка стала возникать и при попытке обновить конфигурацию.\nИзучив информацию в окне с ошибкой стало ясно, что причиной сбоя служит библиотека gdiplus.dll, что позволило выдвинуть первые предположения о причинах такого поведения системы. Данная библиотека относится к подсистеме GDI+ которая является улучшенной средой для 2D графики и входит в состав Windows XP / Vista / Server 2003. Следующим шагом стало изучение аппаратной составляющей компьютера, который представлял собой обычный офисный ПК на базе интеловского чипсета G45. Никаких отклонений от нормального режима работы при беглой диагностике обнаружено не было, однако было очевидно что причина сбоев связана с видеоподсистемой. Классический прием в таких случаях - понижение уровня аппаратного ускорения, что и было сделано (Панель управления - Экран - Параметры - Дополнительно - Диагностика). Результат не заставил себя долго ждать, работа 1С Предприятие полностью нормализовалась. Так как в остальном данный ПК вел себя нормально, то был сделан вывод о проблемах совместимости 1С Предприятие 8.2 и драйверов для встроенного видео Intel, беглый поиск подтвердил наличие такой проблемы. После чего была скачана последняя версия пакета Intel® Graphics Driver, которая полностью решила проблему.\nСобственно данная ситуация еще раз показывает, что специалисты даже в таких специфических областях как 1С Предприятие должны располагать базовым объемом знаний об устройстве операционной системы и ее основных компонентов, так как многие проблемы лежат именно на стыке взаимодействия программного продукта с системой и другими программами. В данном случае проблемы вызывала старая версия драйвера Intel Graphics и только знание работы подсистем ОС позволило быстро выявить и устранить возникшую неисправность.\n","id":"bc0a4c4728bdfcd194e1181ddb895d13","link":"https://interface31.ru/post/1s-predpriyatie-82-oshibka-v-module-gdiplusdll/","section":"post","tags":["1С Предприятие 8.х","Диагностика"],"title":"1С Предприятие 8.2 ошибка в модуле gdiplus.dll"},{"body":"Статья посвящена запуску платформ 1С:Предприятие версий 8.1 и 8.2 на одном рабочем сервере. Это может понадобиться в условиях когда, скажем, частичный переход на 8.2 уже произведен, но на предприятии еще используются конфигурации под 8.1.\nИ так, имеем рабочий сервер SERVER-1C с установленным Windows Server 2008 R2 и Windows SQL Server 2008 x64.\nПроизведем по очереди процедуру инсталляции платформ.\nНачнем с 1С:Предприятие 8.1. Сам процесс мы описывать не станем, т.к. ничего сверхъестественного в этом нет. После установки идем в Пуск - Панель управления - Администрирование и запустим консоль Службы. Зайдем в свойства службы Агент сервера 1С:Предприятие 8.1 (1C:Enterprise 8.1 Server Agent) и убедимся, что она запускается от Пользователя с правами администратора или с системной учетной записью. Запустим эту службу. Подключим пробную БД FirmaBuh81: И подключимся к ней с рабочей станции: После того как пробное подключение успешно выполнено, приступим к установки 1С:Предприятие 8.2. После этого аналогичным образом как мы делали выше зайдем в Пуск - Панель управления - Администрирование и запустим консоль Службы. Появится служба Агент сервера 1С:Предприятие 8.2 (1C:Enterprise 8.2 Server Agent). Аналогично версии 8.1 установим вход параметры входа для этой службы: Тут следует отметить одну важную вещь. По стандарту 1С:Предприятие запускается на 1541 порту. Для того что бы запустить сразу несколько служб Агент сервера 1С:Предприятие 8.Х нам потребуется изменить порт, за которым привязывается служба. Дальше мы будем менять порты для версии 8.2.\nЗапускаем редактор реестра (Пуск-Выполнить вводим regedit и нажимаем ОК). Проходим по пути:\n1HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ И видим две папки с названиями наших служб Агента сервера 1С:Предприятие (1C:Enterprise 8.Х Server Agent) Нам требуется изменить значение строкового параметра ImagePath с\n1\u0026#34;C:\\Program Files\\1cv82\\8.2.13.219\\bin\\ragent.exe\u0026#34; -srvc -agent -regport 1541 -port 1540 -range 1560:1591 -d \u0026#34;C:\\Program Files\\1cv82\\srvinfo\u0026#34; на\n1\u0026#34;C:\\Program Files\\1cv82\\8.2.13.219\\bin\\ragent.exe\u0026#34; -srvc -agent -regport 1641 -port 1640 -range 1660:1691 -d \u0026#34;C:\\Program Files\\1cv82\\srvinfo\u0026#34; После этих действий можем спокойно запускать службу Агент сервера 1С:Предприятие 8.2 (1C:Enterprise 8.2 Server Agent) в Службах.\nДалее заходим в Консоль администрирования 1С:Предприятия 8.2 (Administration of 1C Enterprise server) Для проверки подключим БД FirmaBase82. В результате картина в Консоли администрирования 1С:Предприятия 8.2 будет следующая: Для подключение к этой базе с рабочей станции во время добавления БД в поле Кластер серверов 1С:Предприятия к названию сервера добавим еще и порт кластера 1641: Подключимся с рабочей станции к БД FirmaBuh82: Таким образом мы получили сразу два работающих кластера от различных версий платформы 1С:Предприятие.\n","id":"afd329ecc754e50ca686adad3f4fe995","link":"https://interface31.ru/post/1s-predpriyatie-81-i-82-sovmestnyy-zapusk-na-odnom-servere/","section":"post","tags":["1С Предприятие 8.х","Развертывание"],"title":"1С: Предприятие 8.1 и 8.2. Совместный запуск на одном сервере"},{"body":"Беспроводные сети с каждым годом получают все большую популярность, однако многие администраторы сталкиваются с трудностями при построении подобных сетей. Действительно, технология Wi-Fi имеет свои особенности, которые следует учитывать еще на стадии планирования. Сегодня мы постараемся дать краткий ликбез, необходимый для успешного планирования и развертывания беспроводной сети.\nДавайте прежде всего разберемся, что такое Wi-Fi, какие преимущества и недостатки имеет данная технология. Собственно термин Wi-Fi возник как игра слов и не имеет расшифровки, в настоящий момент он применяется для обозначения беспроводных сетей по стандарту IEEE 802.11, точнее группы стандартов. Наиболее распространены стандарт 802.11g предусматривающий работу на скорости до 54 Мб/с и 802.11n, теоретически допускающий работу на скоростях до 600 Мб/с, наиболее распространенные устройства стандарта n поддерживают скорости до 150 Мб/с.\nВ России для работы Wi-Fi устройств выделено 13 каналов в диапазоне 2,4 ГГц, без регистрации можно эксплуатировать сети только внутри помещений и производственных территорий, также с 15 июля 2010 года разрешено использование диапазона 5 ГГц, однако переход на него затруднен из-за необходимости обеспечивать совместимость с оборудованием не поддерживающим работу в этом диапазоне частот (а это практически все оборудование ввезенное, как минимум, до июля 2010 года). Поэтому в дальнейшем мы будем рассматривать работу в диапазоне 2,4 ГГц.\nСейчас мы подошли к очень важному моменту, понимание которого необходимо для грамотного планирования и развертывания сетей. Для передачи данных Wi-Fi использует некий частотный канал, шаг сетки каналов составляет 5 МГц, а ширина канала - 20 МГц. Это значит, что работающее на соседних каналах устройства будут оказывать взаимные помехи друг другу. Для лучшего понимания ситуации ниже приведено схематическое изображение распределения каналов в диапазоне 2,4 ГГц. Как можно заметить, в диапазоне есть только три независимых канала, которые могут работать без взаимных помех, например 1, 6 и 11. В диапазоне 5 ГГц дела обстоят лучше, можно использовать 22 независимых канала, однако, как мы уже говорили, развертыванию сетей в этом диапазоне препятствуют проблемы совместимости. Стандарт 802.11n допускает использование широких каналов (шириной 40 МГц), которые используют полосу двух смежных непересекающихся каналов, например 1+5 или 5+9, таким образом можно организовать работу только двух, условно независимых каналов.\nПочему мы уделяем этому так много внимания? Потому что данные факторы напрямую влияют на скорость работы беспроводного канала. Следует помнить, что полоса пропускания канала используется для передачи данных в обоих направлениях, в том числе служебной информации, также скорость сильно зависит от расстояния между точками и наличия помех. Максимально достижимая скорость на практике обычно не превышает половины доступной скорости канала, для 802.11g это значение редко превышает 20-22 Мб/с. Доступная полоса канала делится между использующими ее устройствами, что тоже следует учитывать при планировании сети и расчете ее пропускной способности.\nВсе это серьезно осложняет построение производительных Wi-Fi сетей, особенно при наличии соседних сетей, поэтому стоит использовать беспроводные сети в основном для доступа в интернет, электронной почте, терминальным службам и т.п. сервисам, не требующих высокой пропускной способности сети. Категорически не рекомендуем использовать беспроводное подключение для требовательных к скорости канала узлов сети.\nПеред тем как приступить к планированию не помешает произвести разведку обстановки в эфире. Для этих целей можно использовать бесплатную программу inSSIDer, ниже показана ситуация в диапазоне 2,4 ГГц в обычном многоэтажном жилом доме. Программа позволяет видеть, что по соседству работает большое количество устройств стандарта 802.11n, использующих широкий канал. В тоже время реальные помехи нашей сети способен создать передатчик стандарта 802.11g, работающий на канале 11. Располагая подобной информацией можно выбрать наименее загруженные участки диапазона для использования в своей сети. Однако не все так радужно, большинство оборудования \u0026quot;из коробки\u0026quot; настроено на автоматический выбор канала, поэтому через некоторое время ситуация может измениться.\nДля построения беспроводной сети нам потребуется, как минимум, одна точка доступа. Если вы разворачиваете сеть масштаба предприятия или планируете в дальнейшем расширять область покрытия, то мы рекомендуем применять именно точки доступа, отказавшись от беспроводных маршрутизаторов и прочих комбинированных устройств. Дело в том, что стандарт не описывает взаимодействие между точками доступа и разные производители используют разные технологии, что делает их несовместимыми с оборудованием других производителей или даже собственным оборудованием других типов. Поэтому мы советуем использовать оборудование одного производителя и желательно одной модели, в противном случае необходимо дополнительно уточнять возможность совместной работы в интересующем режиме.\nПервая и единственная точка доступа должна работать в одноименном режиме (Acceess Point), в этом случае устройство обслуживает клиентские подключения, но не устанавливает соединений с другими точками доступа. Отличительной чертой любой беспроводной сети является ее идентификатор SSID, уникальный для каждой сети, в пределах одной сети все устройства должны иметь одинаковый идентификатор, в тоже время несколько SSID позволяют разбить сеть на подсети, например с разным уровнем безопасности. Дома или в малом офисе одной точки доступа обычно достаточно и большинство перечисленных нами проблем вряд ли окажутся актуальными, другое дело сети с относительно большой площадью покрытия, когда мощности одного устройства недостаточно. Здесь можно пойти двумя путями: использовать антенну с более высоким коэффициентом усиления или развертывать инфраструктуру используя несколько точек доступа.\nПервый путь при всей своей простоте таит ряд опасностей, ваша сеть может оказаться доступной за пределами здания (территории) и может создавать помехи соседним сетям, в этом случае не избежать проблем с контролирующими органами. Также это не всегда приемлемо с точки зрения безопасности.\nЧто-же делать когда одной точки доступа недостаточно? Поставить вторую. Ниже мы рассмотрим какими способами это можно сделать, их достоинства и недостатки.\nЕсли вам нужна сеть с высокой пропускной способностью и в местах расположения точек доступа есть проводная сеть, то дополнительные точки также стоит включать в режиме \u0026quot;точки доступа\u0026quot; (Acceess Point), в этом режиме каждая точка доступа обеспечивает в зоне своего покрытия полную скорость канала, не разделяя его с другими точками. Обе точки должны иметь одинаковый SSID и одинаковые параметры шифрования, но должны работать на разных каналах, лучше всего на независимых. Взаимное расположение точек следует подобрать таким образом, чтобы зоны покрытия пересекались без существенного ослабления сигнала. Клиентские устройства принимают решение о подключении к той или иной точке доступа автоматически, на основании уровня сигнала. Таким образом мобильные пользователи могут свободно перемещаться по все зоне покрытия без обрыва связи. Если необходимо использовать более 3 точек, то необходимо чередовать независимые каналы таким образом, чтобы зоны их покрытия не пересекались.\nДанная схема оптимальна, когда требуется развернуть беспроводную сеть поверх проводной, например гостевой интернет для клиентов фирмы или в кафе. Однако ее реализация сопряжена с наибольшими сложностями, так как требуется использовать несколько независимых каналов, что может быть не всегда возможно.\nБывают ситуации когда надо расширить зону покрытия на площадь не имеющую проводных коммуникаций, что делает невозможным применение первой схемы, в таком случае дополнительную точку доступа можно сконфигурировать как повторитель (Repeater), которая будет ретранслировать сигнал основной точки доступа. Обе точки должны иметь одинаковый SSID, одинаковые параметры шифрования и работать на одном канале, в настройках повторителя нужно указать MAC адрес точки доступа или другого повторителя, сигнал которого нужно ретранслировать. При этом повторитель должен находиться в зоне уверенного приема другого устройства, что несколько снижает общую площадь покрытия. Следует также помнить, что канал делится на все устройства в общей зоне покрытия. При использовании повторителей скорость работы каждого следующего звена падает, так как канал делится на передачу одной и той-же информации между участками сети (устройство-повторитель и повторитель-точка доступа). Т.е. если клиентское устройство, работающее через повторитель будет использовать канал на 1 Мб/с, общая загрузка канала составит 2 Мб/с, при использовании двух повторителей 3 Мб/с и т.д.\nСуществует еще один режим точки доступа - беспроводной мост, он может быть типов Point-to-point или Point-to-Multipoint, в этом случае точки доступа устанавливают соединение между собой. В режиме Point-to-point можно соединить только две точки доступа, в режиме Point-to-Multipoint одна точка может устанавливать соединение с несколькими. Данный режим обычно используют для связи двух участков сети, когда проложить кабель между ними невозможно или нецелесообразно, и не предъявляется особых требований к пропускной способности. Например для подключения тонких клиентов в отдельно стоящем складе на территории фирмы. В этом случае целесообразно использовать направленные антенны, чтобы уменьшить зону покрытия и не создавать помех другим сетям. Каждая точка должна иметь одинаковый SSID, канал и параметры шифрования, в настройках потребуется указать MAC адрес точки, с которой нужно установить соединение. В этом режиме точки доступа не обслуживают беспроводных клиентов. Использование беспроводного моста имеет свои особенности, так как точки принимают передают пакеты только друг другу, то обнаружить работающий мост клиентским устройством невозможно, inSSIDer также покажет чистый диапазон. В то-же время сети использующие смежные каналы могут испытывать сильные помехи в зоне покрытия моста. Поэтому используйте данную схему только внутри своих помещений или территорий, не допуская пересечения иных зон, где могут быть развернуты другие беспроводные сети, также всегда старайтесь использовать направленные антенны с минимально необходимым коэффициентом усиления.\nНу и напоследок самое вкусное, режим WDS, он сочетает режим точки доступа и моста, в данном режиме точки могут устанавливать соединения друг с другом и одновременно обслуживать клиентов. Данный режим позволяет создавать самые разнообразные конфигурации беспроводных сетей абсолютно прозрачных для клиентских устройств, точка может работать как в режиме мост, так и в режиме мост+точка доступа, что позволяет, в отличии от цепочки повторителей, обеспечить беспроводное покрытие только там, где вам надо. Например вам нужно пробросить гостевой интернет в другой корпус, но вы совсем не хотите, чтобы он был доступен на стоянке, где придется расположить промежуточную точку. В этом случае также следует использовать один канал, SSID и настройки шифрования для всех точек, а также помнить что с каждым звеном скорость работы будет падать за счет передачи повторяющихся данных в общей полосе. Также стоит избегать кольцевых схем соединения точек, если они не поддерживают Spanning Tree Protocol, так как скорость работы сети резко упадет из за широковещательного шторма. При настройке точек следует указать режим и MAC адреса точек с которыми надо установить соединение.\nВ заключение хочется дать общие рекомендации: при проектировании и развертывании сетей помните о том, что частотный диапазон выделенный для Wi-Fi весьма тесен, поэтому старайтесь не использовать антенн с коэффициентом усиления больше чем необходимо, а также примите меры для недопущения помех соседним сетям. Помните нарушение правил эксплуатации беспроводных сетей влечет административную ответственность по статьям 13.3 и 13.4 КоАП, предусматривающие штраф с возможной конфискацией оборудования.\n","id":"682b789ff7f84bbf7d4a8d0c94470184","link":"https://interface31.ru/post/postroenie-setey-wi-fi-kratkiy-likbez/","section":"post","tags":["Wi-Fi","Сетевые технологии"],"title":"Построение сетей Wi-Fi. Краткий ликбез"},{"body":"Гибридные жесткие диски, сочетающие в себе классический диск и кэш из твердотельного накопителя небольшой емкости, пока еще слабо представлены на рынке, поэтому мало кто может похвастаться опытом их практического применения. Когда перед нами стал вопрос модернизации дисковой подсистемы одного из ПК мы решили установить туда гибридный диск, что из этого получилось читайте в этой статье.\nПочему именно гибридный диск? Обычный пользователь редко сталкивается с задачами требующими высокой производительности дисковой подсистемы (вспомните, как часто вы копируете большие объемы данных?), зато время загрузки ОС и запуска тяжелых приложений является одним из наиболее критичных факторов влияющих на субъективное восприятие быстродействия ПК.\nЭта концепция и была положена в основу гибрида: использовать для хранения данных емкий жесткий диск, в то же время скопировав наиболее часто используемые файлы в быстрый кэш на основе SSD. Такой подход позволяет достичь разумного компромисса, получив емкость HDD вместе с основными преимуществами SSD за вполне разумную цену.\nКак показало наше тестирование, влияние SSD на производительность при повседневной работе на ПК довольно невелико, поэтому в большинстве случаев нет необходимости приобретать дорогой SSD большой емкости.\nДля того, чтобы получить основные преимущества твердотельных накопителей, будет вполне достаточно небольшого кэша. В последнее время многие производители предлагают различного рода гибридные решения как для серверных систем, так и для настольных. Их можно разделить на две категории: собственно гибридные диски и контроллеры для создания гибридных массивов.\nНаиболее известна технология Intel Smart Response, позволяющая ускорить работу диска или массива путем подключения к нему быстрого SDD, однако ее использование связано с рядом ограничений, прежде всего с поддержкой исключительно чипсетом Z68. Использование топового чипсета автоматически ограничивает круг применения данной технологии небольшим числом энтузиастов.\nНесколько лучше обстоят дела у Marvell, представившей аналогичную технологию HyperDuo, но сегодня ее поддержка ограничена чипом Marvell 88SE9130 (также заявлена поддержка в будущих чипах), который практически не представлен на рынке.\nАльтернативой этому являются гибридные диски, которые уже содержат в себе SSD кэш. В настоящий момент выбор невелик, на рынке доступен только Seagate Momentus XT (ST95005620AS) Hybrid HDD 500 Gb + 4GB SLC NAND SATA-II 2.5\u0026quot;.\nДиск выполнен в формате 2,5\u0026quot; и одинаково подходит как для ноутбуков, так и для настольных систем, вам нужно будет только купить переходник для крепления диска в отсек 3,5\u0026quot;. Мы приобрели данный диск и отправили его в нашу тестовую лабораторию.\nТестовый стенд и методика тестирования Материнская плата: ASUSTeK Maximus II Formula LGA775 P45 Процессор: Intel Core 2 Quad Q9550 2.83 ГГц Оперативная память: 8 Гб, 4 x Kingston HyperX KHX8500D2K2/4G DDR-II PC2-8500 CL5 Операционная система: Windows 7 Профессиональная 64-бита. Для тестирования дисковой подсистемы мы использовали: Western Digital Caviar Blue WD3200AAKS 320 Gb SATA-II 16Mb Seagate Momentus XT ST95005620AS Hybrid HDD 500 Gb + 4GB SLC NAND SATA-II 2.5\u0026quot; RAID 0, 2 х Western Digital Caviar Black WD1001FALS 1 Tb SATA-II 32Mb Первые два диска использовались и для синтетических тестов и в качестве загрузочных, с клонированным экземпляром ОС, RAID массив использовался только в синтетике для лучшего сравнения скоростных характеристик гибридного диска.\nВ качестве теста мы использовали PCMark Vantage 1.0.2.0 64-bit, в частности набор тестов HDD Suite, а также измеряли время загрузки ОС при помощи утилиты BootRacer. Следует понимать, что тестирование гибридного диска имеет свои особенности, которые надо учитывать для получения адекватного результата.\nПо сути перед нами обычный жесткий диск, поэтому классические методики тестирования не дадут нам никаких, отличающихся от массы аналогичных дисков, результатов. Действительно, при операциях копирования, чтения или записи твердотельный кэш задействован не будет и мы будем иметь дело с механической частью HDD.\nОценить все преимущества гибридного диска можно только на повторяющихся файловых операциях, поэтому мы использовали несколько характерных тестов PCMark, отражающих подобные сценарии.\nКаждый тест мы прогоняли пять раз, сравнивая результаты первого и пятого запусков, их разница позволит оценить эффективность кэша для данного вида задач и производительность гибридного диска в целом. Также мы исключили ряд тестов не имеющих никакого практического смысла, например кодирование видео.\nПонятно, что после пяти запусков часть данных окажется в кэше и мы получим более высокие значения теста, только вот реально вряд ли кто будет пять раз подряд кодировать одно и тоже видео.\nPCMark Vantage Сначала мы прогнали полный комплект тестов HDD Suite, чтобы иметь общее представление о раскладе сил, а затем разобрали отдельные, представляющие практический интерес, тесты из данного набора. Общий результат не принес каких либо неожиданностей: При первом прогоне гибридный диск не показал сколь нибудь большого отличия от обычного механического диска, ничего удивительного здесь нет, скоростные характеристики дисков, как это можно увидеть выше, примерно равны. Однако после пятого запуска расклад кардинально меняется, гибридный диск, за счет твердотельного кэша, обходит не только своего механического \u0026quot;собрата\u0026quot;, но и чередующийся массив из производительных дисков. Производительность диска увеличилась почти вдвое, что можно считать очень неплохим результатом.\nТест HDD1 - Windows Defender Данный тест имитирует работу одноименного приложения, представляющего собой антивирусный сканер, т.е. осуществляет последовательный доступ к большому количеству файлов на диске. Мы сомневаемся, что гибридный диск даст какой либо прирост скорости антивирусной проверки, так как кэш будет занят, скорее всего, другими данными, но с точки зрения оценки эффективности кэширования данный тест весьма интересен. Результат данного теста практически точно повторяет общий результат. Это позволяет еще раз оценить эффективность кэширования, работая с повторяющимся набором данных вы вполне можете рассчитывать на двукратное увеличение производительности дисковых операций, на уровне быстрого дискового массива.\nТест HDD2 - игровой тест HDD Игры обычно лежат за пределами наших интересов, однако в этом случае поведение гибридного диска в игровых приложениях весьма интересно, так как они являются весьма тяжелыми приложениями, активно обращающимися к диску. Результат превосходит все ожидания, гибридный диск значительно обгоняет как одиночный диск, так и чередующийся массив, показавших примерно равные результаты. Недоразумений тут быть не должно, произвольное чтение из твердотельной памяти будет гораздо быстрее аналогичной операции на механических дисках, для которых это одна из самых медленных операций.\nТест HDD4 - загрузка Windows Vista Весьма интересный с практической точки зрения тест. Ведь низкое время загрузки одно из широко рекламируемых преимуществ SSD и, следует признать, весьма эффектное. Полученные данные позволяют ожидать двукратного увеличения скорости загрузки, в предыдущем тестировании SSD также обеспечил вдвое более быструю загрузку. Чуть позже у нас появится возможность проверить данный показатель на практике и заодно сравнить скорость загрузки гибридного диска со скоростью загрузки SSD.\nТест HDD8 - загрузка приложений Еще один интересный тест. Запуск тяжелых приложений во многом определяет комфортность работы с системой, быстрая загрузка обеспечивает ощущение общего высокого быстродействия и отзывчивости системы. Опять таки, результат значительно превосходит показатели механических дисков и субъективно обеспечивает скорость загрузки часто используемых приложений на одном уровне с SSD. Также этот показатель позволяет сократить время загрузки после экрана приветствия, когда загружаются приложения из автозагрузки, особенно если их там много.\nВремя загрузки системы Пора перейти от синтетических тестов к практике. В данном случае мы решили замерить наиболее заметный невооруженным глазом параметр - время загрузки ОС. Для этого мы сделали необходимые замеры на старом диске, затем клонировали содержимое диска на гибридный HDD и произвели загрузку с него. Уже первая перезагрузка системы показала все преимущества гибридной технологии, время загрузки уменьшилось вдвое, а на пятой загрузке вообще достигло рекордно малых значений, сравнимых с SSD (напомним, в прошлом тесте SSD загрузил чистую систему за 23 секунды).\nОднако следует помнить, что в кэш помещаются только часто используемые данные и после того, как ПК проработал трое суток без перезагрузки, время запуска опять приблизилось к значениям первого запуска.\nХотя в любом случае данный результат, учитывая достаточно большое количество приложений в автозагрузке можно считать отличным, общее время загрузки системы сократилось с 2,5 минут до одной, а то и до 30 секунд.\nСтоимость хранения. Сегодня, после тотального подорожания жестких дисков в связи с наводнением в Таиланде, это довольно насущный вопрос. Однако с этим у гибридного диска все в порядке, стоимость хранения 1 ГБ составляет 0,27 USD, в то время как средняя стоимость хранения гигабайта на механическом диске аналогичной емкости составляет 0,22 USD.\nЭто остается все еще выгоднее приобретения SSD, стоимость хранения на которых составляет 1,7-1,8 USD за гигабайт.\nТакже использование гибридных дисков однозначно выгоднее использования иных гибридных решений, для которых кроме того необходимо либо приобретение дорогой материнской платы с чипсетом Z68 или поиск альтернативного контроллера от Marvell. Даже в этом случае стоимость хранения гибридной системы 500 ГБ HDD + 60 ГБ SSD составит 0,37 USD за гигабайт, что на 40% дороже хранения данных на гибридном HDD и почти вдвое дороже обыкновенных HDD.\nВыводы. Гибридный диск от Seagate можно с полной уверенностью назвать удачным решением и смело рекомендовать к покупке тем, кто хочет получить основные преимущества SSD (быструю загрузку и запуск программ) в сочетании с большой емкостью и стоимостью на уровне обычного жесткого диска. А формат 2.5\u0026quot; позволяет использовать данный диск для модернизации дисковой подсистемы ноутбуков и иных мобильных устройств.\n","id":"d18fa56c2b73d93ad8ee3e656ff01602","link":"https://interface31.ru/post/gibridnyy-hdd-kak-alternativa-ssd/","section":"post","tags":["HDD","RAID","Seagate","SSD"],"title":"Гибридный HDD как альтернатива SSD"},{"body":"Предлагаем вашему вниманию перевод статьи Райана Хэвесона, руководителя группы работающей над инструментами управления ПК, посвященной новым возможностям диспетчера задач Windows 8. Данный материал был опубликован в блоге Стивена Синофски, президента подразделения Windows в Microsoft, отвечающего за разработку и маркетинг Windows, Windows Live, и Internet Explorer.\nМы действительно волнуемся, предлагая вам вместе с нами попробовать некоторые из улучшений, которые мы сделали к Диспетчеру задач в Windows 8. Диспетчер задач является одним из наиболее часто используемых приложений и у него есть долгая история. Он появился в ранних версиях Windows как простая утилита, позволяющая переключаться между программами и закрывать их, наращивая свою функциональность в каждом из следующих выпусков, чтобы стать тем, что вы видите сегодня.\nСписок задач Windows 3.0 Диспетчер задач Windows NT 4.0 (теперь с \u0026quot;Новой задачей\u0026quot;) Диспетчер задач Windows XP (с новыми вкладками Сеть и Пользователи) Диспетчер задач Windows 7* Поскольку Диспетчер задач так широко используется, мы знали, что любые сделанные нами изменения будут замечены, поэтому мы были и взволнованы и осторожны в наших усилиях. Вначале было несколько ключевых проблем, на которых мы хотели сосредоточиться:\nСоздать современный инструмент, который был бы хорошо продуман. В конце концов, даже технический инструмент может выиграть, если уделить внимание дизайну. Заполнить некоторые пробелы функциональности, которые заставляли некоторых, технически опытных, клиентов использовать другие инструменты, такие как Монитор ресурсов и Process Explorer. Организовать и выделить все богатство доступной информации, чтобы сделать ее представление более простым и понятным для тех, кто хочет получить доступ к новому уровню данных. Как люди используют Диспетчер задач? Чтобы сделать Диспетчер задач действительно отличным инструментом, мы сначала хотели понять, как его используют люди. За эти годы функциональность постоянно росла и сделала доступными множество различных сценариев. В Windows 7 вы могли использовать Диспетчер задач, чтобы закрыть приложения, получить подробные данные о работающих процессах, запустить или остановить службы, контролировать ваш сетевой адаптер, или даже выполнять базовые задачи администрирования в отношении вошедших в систему пользователей. Это действительно большая функциональность.\nБлагодаря инвестициям, сделанным нами в телеметрию, мы смогли запустить программу сбора данных, которая объединила отдельные потребительские интервью с наблюдением в научно-исследовательской лаборатории, чтобы понять, что люди делают с Диспетчером задач и как они это делают. Результаты показывают, что люди проводят большую часть своего времени, используя первые две вкладки, которые содержат данные о приложениях и процессах. Было интересно видеть, хотя это и не удивило нас, что использование было примерно равномерно разделено между вкладками Приложения и Процессы. Это указывает на то, что должна быть некоторая существенная деталь, недостающая вкладке Приложения, которая заставляет людей переходить на вкладку Процессы. Затем мы рассмотрели, как люди используют вкладку Процессы, чтобы понять, что они там делают. Когда мы изучили эти данные, а затем коррелировали их с интервью и наблюдениями за пользователями в наших научно-исследовательских лабораториях, мы обнаружили, что люди используют вкладку Процессы или чтобы найти что-то, чего нет в списке приложений (например, фоновый или системный процесс), или увидеть, какие процессы используют много ресурсов.\nЗатем мы рассмотрели, какие действия совершают в Диспетчере задач. Глядя на данные и поговорив с клиентами, мы выяснили, что наиболее частое использование инструмента сводится к завершению приложения или процесса.\nЦели нового Диспетчера задач. Основываясь на полученных данных и нашем фоновом исследовании, мы решили сфокусировать внимание на трех главных целях:\nОптимизировать Диспетчер задач для наиболее распространенных сценариев. Мы выбрали два наиболее часто используемых действия: использование вкладки Приложения, чтобы найти и закрыть определенное приложение, или переход на вкладку процессов, сортировка по используемым ресурсам и завершение определенного процесса с целью освободить ресурсы. Использовать современный дизайн для достижения функциональных целей. Создать современный, продуманный инструмент, сосредоточившись на представлении и визуализации данных, чтобы легче достигать функциональные цели сценария. Не удалять функциональность. Хотя есть некоторые основные базовые сценарии, существует действительно длинный список других, менее частых сценариев использования для Диспетчера задач. Мы поставили цель, не удалять функциональность, а по возможности расширить ее, увеличить и улучшить. Ключевым вопросом, который мы подняли, было то, как можно добавить всю интересную новую функциональность не усложняя инструмент для большинства пользователей. Чтобы решить это, мы добавили кнопку \u0026quot;Больше/меньше деталей\u0026quot;, подобной аналогичной кнопке нового диалогового окна копирования.\nМеньше деталей Больше деталей Данная модель позволила нам оптимизировать представление по умолчанию (\u0026quot;Меньше деталей\u0026quot;) для базового сценария нахождения нужного приложения и его закрытия. Это также позволило нам добавить намного больше деталей в другом представлении, потому что оно доступно только для тех, кому действительно нужны эти данные. В представлении \u0026quot;Больше деталей\u0026quot; мы решили сохранить существующую модель вкладок Диспетчера задач и сосредоточиться на том, чтобы улучшить содержимое каждой из них. Это помогло нам доработать, расширить и улучшить то, что мы уже имели, не удаляя функциональность.\nСценарий №1: Быстрое и эффективное завершение процессов. Мы знаем, что сторонние инструменты (или утилиты типа Process Explorer от Sysinternals) имеют много вещей, которые мы могли добавить в Диспетчер задач для опытных пользователей, но мы считаем, что сначала нужно уделить внимание обычным пользователям, поэтому мы не хотели создавать что-то, что приведет в замешательство большинство наших клиентов. Мы, конечно, будем продолжать оценивать сторонние инструменты, поскольку они учитывают специализацию и содержат уникальные новшества для этого круга задач. Для представления по умолчанию мы разработали минималистский интерфейс, который удовлетворяет потребности самой широкой клиентской базы в наиболее распространенных сценариях. Когда вы запускаете Диспетчер задач в Windows 8, вы отчетливо видите свои рабочие приложения. Мы сделали представление по умолчанию сильным в одном: завершении неправильно себя ведущих приложений. И мы убрали все, что непосредственно не поддерживает этот базовый сценарий. Вся ценность представления по умолчанию в том, что мы убрали. Мы удалили все, что не сосредотачивается на базовой задаче завершения приложений, которая делает инструмент фокусируемым и эффективным.\nА именно:\nМы убрали вкладки, так как они отвлекают от базового сценария. Мы удалили строку меню. В данном представлении показаны только приложения, и убраны отдельные окна, которые не могут быть закрыты. Мы удалили вещи, которые требуют определенного опыта, такие как использование ресурсов, статистика и иные технические термины, непонятные большинству пользователей. Никаких двойных запросов. Если вы щелкаете \u0026quot;Завершить задачу\u0026quot;, мы не спрашиваем вас, \u0026quot;Действительно ли вы уверены?\u0026quot;, мы завершаем приложение, и делаем это быстро! (Но будьте осторожны, потому что запроса о сохранении тоже не будет!) Сравните, насколько более прост и фокусируем новый Диспетчер задач по сравнению с Диспетчером задач Windows 7 с теми же самыми открытыми приложениями и окнами: После удаления всех дополнительных возможностей вас оставляют с инструментом, который хорош в одном: завершение неправильно себя ведущего приложения. И это то, что нужно большинству пользователей, которые испытывающих неудобства от \u0026quot;не отвечающего\u0026quot; приложения, которое не хочет закрываться штатным образом.\nСценарий №2: Диагностика проблем с производительностью. Многое из нового в Диспетчере задач вы увидите только в представлении \u0026quot;Больше деталей\u0026quot;. Это - область опытного пользователя, поэтому имейте в виду, что большинство пользователей возможно никогда не захотят переходить на этот уровень детализации, все их потребности должны быть удовлетворены представлением \u0026quot;Меньше деталей\u0026quot;.\nВот что вы будете видеть в новом представлении: Тепловая карта. Наиболее заметным улучшением в новой вкладке процессов является тепловая карта, которая представляет различные значения цветом. Наши телеметрические данные показали, что пользователям очень свойственно перейти во вкладку «Процессы», упорядочить данные по «ЦП» или «память», а затем искать приложения, использующие больше ресурсов, чем ожидается. Преимущество тепловой карты состоит в том, что она позволяет вам контролировать потребление сразу нескольких ресурсов (сеть, диск, память и использование ЦП) одновременно, не испытывая необходимости сортировать данные. Это также позволяет вам находить «горячую» точку немедленно, не требуя считать числа или иметь некоторые специальные знания. При исследованиях удобства пользования мы использовали отслеживающую глаз систему, чтобы выяснить, на что смотрят пользователи, когда имеются различные способы визуализировать эту информацию. Это помогло нам свести варианты к проекту, который эффективно притягивает взгляд пользователя к наиболее потребляемым ресурсам.\nСеть и дисковые счетчики. Многие опытные пользователи совмещают использование Диспетчера задач с другими инструментами, такими как Монитор ресурсов, просто потому что прошлый Диспетчер задач не показывал использование сети и диска каждого. Это был пробел в возможностях, если вы полагали, что нагрузка на диск или несколько приложений, конкурирующих за пропускную способность сети, являются первопричиной заметных проблем с производительностью ПК. Новый Диспетчер задач показывает эти ресурсы с тем же уровнем детализации как память и ЦП.\nОбзор использования ресурсов. Одной из главных причин возникающих проблем производительности ПК является конкуренция за ресурсы. Когда определенный ресурс будет использоваться выше порогового значения, заголовок столбца будет окрашен, чтобы привлечь ваше внимание к нему. Подумайте об этом, как о предупреждающем индикаторе, который указывает вам на что обратить внимание, если вы испытываете проблемы производительности. Ниже можно увидеть что выделен заголовок столбца ЦП, чтобы привлечь ваше внимание к тому, что у вас имеются несколько приложений, конкурирующих за процессорное время. Группировка приложений, фоновых процессов и служб Windows. Большая проблема сегодняшнего Диспетчера задач состоит в том, что трудно узнать, какие процессы соответствуют приложению (которое можно безопасно завершить), какие являются службами ОС (завершение некоторых из них может вызвать \u0026quot;синий экран\u0026quot;) и какие являются различными фоновыми процессами, которые, возможно, должны быть более глубоко изучены. Новый Диспетчер задач показывает процессы, сгруппированные таким образом, что вы легко можете определить принадлежность процесса, когда нуждаетесь в этом. Дружественные имена для фоновых процессов (служб и т.п.) Глядя на снимок экрана выше, вы видите строку \u0026quot;Диспетчер печати\u0026quot;, в старом Диспетчере задач это отображалось бы как splwow64.exe. Но если хотите видеть имя исполняемого файла процесса, то это, конечно, можно вернуть в виде дополнительного столбца.\nГруппировка высокоуровневых окон приложений Больше всего неудобств в старом Диспетчере задач доставляло то, что вкладка Приложения была плоским списком, который включал все высокоуровневые окна всех процессов в системе. В то же время список высокоуровневых окон содержит интересную информацию, которая иногда имеет большое значение, помогая определить, можно ли закрыть текущее окно, не закрывая других окон приложения. Новый Диспетчер задач теперь группирует высокоуровневые окна под их родительским процессом. Это создает более понятное представление для типичных сценариев и помогает вам сосредоточиться на завершаемых процессах, оценить использование ресурсов, также позволяет видеть, какие окна принадлежат каждому процессу, таким образом, вы знаете что будет закрыто, если вы завершите данный процесс. Что такое fussvc.exe? Если вы когда-либо просматривали список процессов, то наверняка замечали что-то типа fussvc.exe, и задавались вопросом, что бы это могло быть? Добавление дружественных имен оказалось хорошим шагом к разрешению этой проблемы (fusssvc.exe является Службой быстрого переключения пользователей), но чтобы действительно узнать что это за процесс, вам приходилось искать информацию в интернет. Новый Диспетчер задач интегрирует поиск в контекстное меню при щелчке правой кнопкой, таким образом, используя вашу поисковую систему по умолчанию (это можно настроить) для получения подробной и релевантной информации. Это может оказать огромную помощь, при выяснении, делает ли фоновый процесс что-то полезное или попусту тратит ресурсы. Результаты поиска для fussvc.exe Подробности и дружественные имена служб. Если Вы откроете Диспетчер задач Windows 7 на вкладке Processes и выберете \u0026quot;Отображать процессы всех пользователей\u0026quot;, то, вероятно, вы увидите восемь на вид идентичных экземпляровsvchost.exe. Это было отмечено в исследовании как \u0026quot;не очень информативные\u0026quot; источники информации, которые мы предоставили. Конечно, некоторые из вас знают, что можно добавить столбец PID, после чего перейти на вкладку Службы, на которой можно определить дружественные имена служб соответствующих процессу с аналогичным PID, но это - большая работа (и не все знают как это сделать)! В новом Диспетчере задач мы показываем все службы, сгруппированные по процессам с дружественными именами для каждой из них, таким образом вы сразу можете видеть, что происходит, когда экземпляр svchost использует много ресурсов. Как можно видеть, мы добавили довольно много к новому Диспетчеру задач (а мы всего лишь показали вам первую вкладку!). Диспетчер задач стал уникальной возможностью для разработчиков пользовательского интерфейса и исследователей, сотрудничающих с техническими специалистами и инженерами, чтобы создать чистый, организованный и эффективный инструмент. Мы сделали его более оптимизированным для простых пользователей и более подробным для опытных.\nПо материалам:\nThe Windows 8 Task Manager Автор: Ryan Haveson, the group program manager of our In Control of Your PC team.\nПеревод: Уваров А.С. ООО \u0026quot;Интерфейс\u0026quot;, РФ, Белгород.\n","id":"e8768576fc16fcdfd1152c9920d1f6d5","link":"https://interface31.ru/post/dispetcher-zadach-windows-8/","section":"post","tags":["Microsoft","Windows 8"],"title":"Диспетчер задач Windows 8"},{"body":"Active Directory, пожалуй, самая распространенная и популярная на сегодня служба каталогов. Мы решили немного отступить от обычного формата изложения материала об AD и простым, понятным языком рассказать о довольно сложных вещах, намеренно упростив некоторые моменты. На начальном этапе гораздо важнее иметь цельное представление о предмете и на этом фундаменте углублять свои знания, чем пытаться разобраться в каше из малопонятных вещей.\nActive Directory - сложный программный продукт, способный удовлетворить потребности как небольших фирм, так и крупных корпораций, и кажущаяся простота освоения не должна создавать ложного впечатления, что изучение продукта можно ограничить \u0026quot;методом научного тыка\u0026quot; а возникающие проблемы решать по мере их поступления.\nДа, AD имеет низкий порог вхождения, что позволяет за полчаса методом Next -\u0026gt; Next -\u0026gt; Finish получить вполне работоспособный результат не имея никаких специфических знаний в данной области. Многие материалы для начинающих освещают именно практическую сторону развертывания AD, оставляя без внимания более общие и сложные вещи, как не нужные на данном этапе. Возможно это так, администратору небольшой фирмы нет дела до лесов и доменных деревьев, но по мере роста IT-инфраструктуры эти вопросы появятся на повестке дня и окажется что текущая схема каталога, построенная по принципу \u0026quot;что вижу, о том и пою\u0026quot;, не позволяет \u0026quot;малой кровью\u0026quot; провести необходимые изменения и в ряде случаев бывает проще создать инфраструктуру заново.\nПоэтому мы считаем, что структуре AD следует уделить самое пристальное внимание и уже с учетом полученных знаний подходить к проектированию службы каталогов на вашем предприятии, ведь видя картину в целом окажется что дремучий лес не настолько уж и дремуч, а решения будут учитывать как текущие, так и будущие задачи с пониманием зачем и почему нужно делать именно так, а не иначе.\nВысшим уровнем логической иерархии службы каталогов является лес, лесом называется полностью самостоятельная организации Active Directory, имеющая определенный набор атрибутов и являющаяся периметром безопасности организации. В состав леса могут входить как один, так и несколько доменов. Все объекты создаваемые внутри леса имеют общий набор атрибутов, например объект пользователя содержит имя, фамилию, адрес, телефон, сведения о членстве в группах и т.д., изменяя этот набор мы меняем его для всех объектов леса. Этот набор называется схемой AD, которая описывает все объекты которые мы можем создать и их структуру, схема общая для всего леса.\nЧаще всего в пределах одной организации достаточно одного леса, создание схемы с несколькими лесами может понадобиться когда в состав фирмы входят организации имеющие низкий уровень доверия между собой и имеющие абсолютно различные направления деятельности, в каждой из которых свой IT-персонал и своя инфраструктура. Это позволяет надежно изолировать организации друг от друга, оставляя свободу действий внутри каждой из них.\nОсновой структуры каталога является домен, это административная единица внутри которой действуют свои правила и политики, домен представляет собой еще одну границу безопасности и репликации. Если границу леса можно сравнить с государственной границей, то границы домена представляют границы административных единиц, любой пользователь любого домена может получить доступ к любому объекту другого домена если, конечно, имеет на это права. Репликация (синхронизация каталога между контроллерами домена) также ограничена границами домена, это значит что записи об объектах этого домена будут храниться только в его пределах и не будут доступны администратору другого домена. Это позволяет разграничить полномочия IT-персонала: каждый отдел отвечает за свой домен и ошибки администратора одного из доменов не приведут к выходу из строя всей сети.\nРассмотрим схему AD гипотетической организации. Сначала, когда фирма была небольшая в лесу существовал единственный домен domain.org, который содержал в себе все объекты предприятия: пользователей, группы, сервера, компьютеры, ресурсы. Постепенно фирма развивается и возникает необходимость выделить отдельно региональные подразделения, допустим российское и украинское, текущее подразделение будет выполнять административные функции и также должно управляться отдельно. Нет проблем, создаем еще два домена: ru.domain.org и ua.domain.org, которые имеют с корневым доменом общее пространство имен, получившая схема носит название дерева доменов. В свою очередь в пространстве имен региональных доменов можно создать домены для более мелких подразделений, например spb.ru.domain.org.\nСледует запомнить одну важную вещь: все домены в лесу равноправны и автономны, вне зависимости от их положения в дереве. Это значит, что домены вида ru.domain.org, хоть и входят в адресное пространство domain.org, никоим образом от него не зависят, никаких настроек и политик не наследуют и администраторы корневого домена не имеют доступа к управлению поддоменами.\nЧто дает выделение подразделений в отдельные домены? Прежде всего безопасность, пользователи имеют доступ только к ресурсам своего домена, учетные записи хранятся только на \u0026quot;своих\u0026quot; контроллерах, администраторы могут настраивать политики не оглядываясь на другие отделы и подразделения и, в тоже время, не опасаясь что неудачные эксперименты другого IT-отдела приведут к неработоспособности сети.\nСо временем в организации появляется подразделение не связанное с основным видом деятельности, например своя транспортная компания или служба техподдержки, которая обслуживает как предприятие, так и сторонних клиентов. Для нее создается отдельный домен в отдельном пространстве имен office.com, точно также мы можем выделить в отдельный домен некую структурную единицу данного подразделения, например ou.office.com. Таким образом мы создадим новое дерево доменов в текущем лесу.\nПочему новое дерево? Просто так удобнее, иной вид деятельности, иное пространство имен. Как мы уже говорили, расположение домена в лесу никак не влияет на его настройки и взаимодействие с другими доменами, поэтому строить одно разветвленное дерево доменов или несколько отдельных вопрос сугубо организационный, обычно структура дерева повторяет структуру компании.\nРазобравшись с доменами, перейдем к более глобальным вещам, а именно к глобальному каталогу. Глобальный каталог предназначен для обработки запросов информацией о которых не обладает контроллер домена, например при обращении к ресурсам другого домена или универсальным ресурсам. Глобальный каталог содержит полную копию объектов своего домена и частичную копию объектов всех остальных доменов, какие именно атрибуты объектов включаются в глобальный каталог определяется схемой AD. Одна из основных функций глобального каталога - поиск объектов, позволяя производить поиск в рамках леса максимально быстро и с минимальным трафиком. Допустим пользователь Иванов Иван из домена office.com ищет компьютер sales1 входящий в домен ua.domain.org, при обычном поиске пришлось бы последовательно опрашивать контроллеры доменов, пока один из них не вернул бы необходимую информацию, реально достаточно одного запроса к глобальному каталогу.\nВторая роль глобального каталога - проверка подлинности пользователя при входе, если контроллер домена не располагает сведениями об учетной записи, например при входе в систему физически находясь в другом домене. Реально глобальный каталог используется при любом входе пользователя в домен и при его недоступности вход будет невозможен.\nПочему? Потому что глобальный каталог хранит сведения об универсальных группах, в которые могут входить любые учетные записи леса и разрешения которым могут быть назначены для любого домена. Это важно для работы таких сервисов как Exchange, который при отказе глобального каталога просто перестанет работать. Глобальным каталогом может быть любой контроллер домена или несколько, рекомендуется иметь, как минимум один глобальный каталог в каждом домене, это позволяет снизить трафик между доменами и повысить отказоустойчивость и автономность доменов (пропала связь, отказал сервер и т.д. и т.п.)\nКроме глобального каталога существуют роли называемые мастерами (хозяевами) операций, которые отслеживают уникальность критически важных объектов AD. Например, сразу два администратора решат создать домены с одинаковым именем или внести изменения в схему. Поэтому в каждом лесу существует только один контроллер с ролью хозяина операций и при его недоступности соответствующие действия будут невозможны. Всего существует пять ролей FSMO (flexible single master operation): две для леса и три для каждого домена, сейчас мы не будем их подробно рассматривать, это тематика отдельной статьи, просто коротко перечислим выполняемые ими функции:\nХозяин именования домена - отслеживает уникальность имен доменов в лесу. Хозяин схемы - здесь также все понятно из названия. Хозяин инфраструктуры - обеспечивает информацию об объектах другого домена в локальных группах своего домена. Хозяин RID - осуществляет выдачу уникальных идентификаторов безопасности (SID), да это те самые записи вида S-1-5-21-165875785-1005667432-441284377-1023. Эмулятор PDC - нужен в первую очередь для клиентов ниже Windows 2000, отслеживает блокировки пользователей при ошибках паролей и является эталоном времени домена. Хозяин именования домена и хозяин схемы одни на весь лес, остальные роли FSMO приходятся по одной на каждый домен. Отказ ролей FSMO не приводит к неработоспособности домена, однако делает невозможным многие операции, фактически переводя домен в режим \u0026quot;только чтение\u0026quot;.\nНа этом мы закончим наш сегодняшний рассказ. Несмотря на то, что затронутая тема весьма обширна, для понимания структуры приведенных знаний вполне достаточно и, на наш взгляд, не стоит излишне усложнять начальную модель. Более подробно об элементах AD мы поговорим позже, когда будем рассматривать конкретные решения.\n","id":"5aec4f663dced33b5d608e00e72e7665","link":"https://interface31.ru/post/sluzhby-katalogov-chast-3-struktura-active-directory/","section":"post","tags":["Active Directory","LDAP","Службы каталогов"],"title":"Службы каталогов. Часть 3 - Структура Active Directory"},{"body":"В этом году Россия не будет переходить на зимнее время. Если для обычных граждан это означает только то, что не нужно переводить часы, то IT-специалистов ожидает целый спектр проблем, многие из которых неочевидны. Так как до времени отмененного перехода осталась всего неделя, самое время заняться подготовкой своих систем к этой дате.\nПеред тем, как переходить к технической стороне вопроса, давайте разберемся в сути проблемы.\nНачнем, как всегда, с терминологии, мы привыкли говорить: \u0026quot;летнее время\u0026quot;, \u0026quot;зимнее время\u0026quot;; мало задумываясь над тем, что означают эти понятия. Поэтому самое время вспомнить про часовые пояса и всемирное координированное время (UTC), смысл которого состоит в следующем: время в любой точке земной поверхности определяется как UTC ± смещение для данного часового пояса.\nВремя UTC не переводится ни зимой, ни летом, поэтому термин \u0026quot;зимнее время\u0026quot; является некорректным, т.к. зимнее время совпадает с временем UTC для данного пояса. Переход на летнее время вносит дополнительное смещение +1 час к UTC.\nТеперь рассмотрим, что произошло в России после отмены зимнего времени. Собственно в законе нигде не присутствует формулировка \u0026quot;зимнее время\u0026quot; и правильно п.4 ст. 4 171 ФЗ звучит так:\nСчет часов, минут и секунд в течение календарного года, календарного месяца и календарной недели не изменяется. Следовательно с момента вступления закона в силу, а фактически с 30 октября 2011 года часовые пояса в России получают дополнительное смешение +1 час к UTC. Понимание этого момента позволяет правильно оценить весь спектр возможных проблем и принять меры к устранению части из них.\nСамая простая и очевидная проблема: самопроизвольный переход информационной системы на зимнее время. Это неприятно, но, в большинстве случаев не критично, откорректировать часы могут и сами пользователи.\nНеприятности кроются гораздо глубже, даже скорректировав локальное время в системе мы продолжим (по ее мнению) находится в часовой зоне (для Москвы) UTC +3, в то время как реальное время должно соответствовать UTC +4, в связи с чем возможны разного рода проблемы при синхронизации данных, календарей, встреч.\nМогут быть сорваны важные мероприятия, неправильно рассчитаны маршруты движения и т.д. и т.п.\nНапример, послав своему партнеру в Киев приглашение в виде события Outlook вы с большой долей вероятности пропустите встречу, так как разница между Московским и Киевским временем составит 2 часа (UTC +4 Москва и UTC +2 Киев, зимнее), а ваша система будет считать что разница составляет 1 час (UTC +3 Москва, зимнее и UTC +2 Киев, зимнее), хотя часы у вас и вашего партнера будут показывать правильное время.\nОчевидно, что проблема связанная с отменой зимнего времени носит глобальный характер и не является сугубо российской, поэтому полностью избежать ее последствий не удастся, однако следует принять все необходимые меры со своей стороны и быть готовым к возникновению связанных с этим сложностей в будущем.\nЧто нужно проверить и сделать уже сегодня? Убедиться что данные о часовых поясах в вашей системе находятся в актуальном состоянии и все календари, события, встречи и прочие системы имеющие привязку ко времени правильно перешли на новое время и, при необходимости, внести необходимые коррективы.\nПлатформа Windows. Для учета последних изменений в часовых поясах Microsoft выпустила обновление KB2570791 для всех актуальных ОС, начиная с Windows XP SP3 и Windows Server 2003 SP2. Если у вас включено автоматическое обновление, то скорее всего этот пакет уже установлен, в любом случае не помешает убедиться в этом открыв оснастку Панель управления - Дата и время. Ниже показаны сообщения в данной оснастке для системы с установленным обновлением (слева) и без обновления (справа): При необходимости данное обновление следует загрузить с этой страницы и установить вручную. Кроме того следует позаботится об обновлении календарей Outlook, события в которых должны быть скорректированы следующим образом:\nВстречи организованные в России останутся на месте ваших календарях, но передвинутся в календарях зарубежных коллег. Встречи организованные зарубежными коллегами останутся на месте у них, но передвинутся в ваших календарях. Для этих целей необходимо использовать средства обновления календарей для Outlook или Exchange, приведенная ниже таблица показывает необходимость применения того или иного средства в зависимости от версии используемых продуктов: Выбор применяемого средства зависит от ситуации и допускает два варианта:\nОбновление календарей на каждом рабочем месте, используя средство для Outlook. Обновление календарей на сервере, используя средство для Exchange. Если вы используете только Outlook использовать средство обновления потребуется для версий Outlook 2003 и 2007. В любом случае все изменения должны быть спланированы и проводиться быстро, желательно во внерабочее время, иначе вы рискуете получить рассинхронизацию событий внутри предприятия.\nПлатформа Linux (Ubuntu). Данные о часовых поясах в Linux содержит пакет tzdata, проверить содержимое этого пакета можно командой:\n1zdump -v /etc/localtime | grep 2011 Если пакет обновлен, то вы увидите только две записи, соответствующие переходу на летнее время весной 2011 года, иначе четыре, как в выводе за 2010 год: В этом случае пакет следует обновить вручную:\n1sudo apt-get install tzdata Отдельное внимание следует уделить программам имеющим собственные настройки даты/времени, например движкам веб-сайтов, в некоторых случаях вам придется корректировать часовой пояс и текущее время вручную, после чего, конечно же, следует проверить наличие для данного продукта обновления, учитывающего изменения часовых зон и применить его.\nНесмотря на все принятые меры следует быть готовым к разного рода коллизиям, связанных с тем, что не все ваши партнеры вовремя обновили свои системы и взять все важные события, связанные с переходом из одной часовой зоны в другую под усиленный контроль.\n","id":"b6aea6154c9731c43b6a246ccc03df9d","link":"https://interface31.ru/post/otmena-perehoda-na-zimnee-vremya-v-rf-problemy-i-resheniya/","section":"post","tags":["Exchange","Outlook","Ubuntu Server","Windows 7","Windows Server","Windows XP","Перевод времени"],"title":"Отмена перехода на зимнее время в РФ. Проблемы и решения"},{"body":"Несмотря на то, что емкости жестких дисков с каждым годом все увеличиваются и стоимость хранения гигабайта постоянно падает, архиваторы не спешат сходить со сцены. Сегодня они продолжают оставаться предметом первой необходимости для большинства пользователей. Каким же должен быть современный архиватор? Постараемся разобраться в этом вопросе.\nНачнем с задач, которые ставятся перед программами этого класса. За прошедшие годы они успели измениться, если раньше во главу угла ставилась степень сжатия и преследовалась цель экономии дорого дискового пространства (особенно на мобильных носителях), то теперь архиваторы используют для дополнительного контроля целостности набора документов и оптимального использования емкости дисков.\nКроме степени сжатия важную роль начало играть быстродействие архиватора. Оно и понятно, объемы архивируемых данных постоянно растут и мало кому охота ждать половину дня для создания или извлечения данных из архива.\nЗдесь возникает вопрос: как оценить производительность архиватора? Что оценивать? Степень сжатия? А если ждать результат приходится часами? Время?\nМы решили взять за основу три основных показателя: степень сжатия, время сжатия и время распаковки, выведя по их совокупности итоговую оценку, которая и будет отражать производительность.\nПод производительностью мы понимаем лучшие показатели сжатия при минимальных временных затратах. Понятно, что эти показатели во многом взаимоисключающие, поэтому попробуем найти разумный компромисс.\nТестовый стенд. Для тестирования мы использовали следующую платформу:\nМатеринская плата: ASUS P7F-E LGA1156 (i3420) Процессор: Intel Xeon X3450 2.66 ГГц Оперативная память: 16 Гб, 4 x Kingston (KVR1333D3D8R9S/4G) 4Gb PC3-10600 ECC Registered Дисковая система: RAID 10, 4 x HDD 500 Western Digital RE4 (WD5003ABYX) Операционная система: Windows Server 2008 R2 Enterprise Edition Что и как мы тестировали. Для тестирования мы использовали наиболее часто встречающиеся в нашей повседневной практике наборы данных подвергающихся архивированию: Информационные базы 1С Предприятия 7.7 и 8.х, базы данных (Access и MS SQL) и офисные документы.\nВ качестве форматов сжатия мы использовали как ZIP, так и свои форматы для большинства популярных архиваторов. К преимуществам ZIP можно отнести его широкую распространенность и поддержку на всех платформах, в большинстве случаев распаковать ZIP архив можно без привлечения стороннего софта.\nСобственные форматы архиваторов обычно имеют более высокую степень сжатия, однако не позволяют извлечь данные без установки соответствующей программы, хотя любой современный архиватор поддерживает извлечение всех популярных форматов.\nУчастники нашего тестирования:\nWinRAR 4.01 - пожалуй самый популярный архиватор на постсоветском пространстве, свой формат: RAR, стоимость: от 29 USD. WinZip 15 - довольно популярная на Западе программа, свой формат: ZIPX, стоимость: от 29,95 USD. 7-Zip 9.20 - бесплатный архиватор с открытым исходным кодом, свой формат: 7z, стоимость: бесплатно. Power Archiver 12.01 - малоизвестный в нашей стране, но заслуживающий внимания продукт, свой формат: 7z, стоимость: от 22,95 USD. WinAce 2.69 - немецкий архиватор, ранее довольно распространенный, свой формат: ACE, стоимость: от 29 USD. Также вне общего зачета нами был протестирован быстрый консольный архиватор qpress, данный продукт не поддерживает никаких иных форматов, кроме собственного и не имеет GUI, поэтому не может быть использован в качестве универсального архиватора. Также могут быть проблемы с извлечением данных, формат QP не поддерживается ни одним популярным архиватором.\nПо возможности использовались 64-битные версии продуктов (WinRAR, 7Zip и qpress), все тесты проводились с настройками \u0026quot;по умолчанию\u0026quot;, результат представляет среднее значение от 5 замеров.\n1С Предприятие 7.7 Информационные базы \u0026quot;семерки\u0026quot; содержат большое количество файлов и неплохо поддаются сжатию, поэтому их архивация преследует две основные цели: контроль целостности базы и экономия дискового пространства. Мы использовали базу конфигурации \u0026quot;Торговля и склад\u0026quot; объемом 905 МБ. Абсолютным лидером оказался qpress, справившийся с задачей за рекордные 4 секунды. Из архиваторов общего назначения в ZIP побеждает Power Archiver, очень быстро работающий с этим форматом, среди своих форматов лучший результат показывает WinRAR, показав при этом неплохой второй результат при работе с ZIP. А вот кто удивил, так это WinZip показав худший результат в родном формате, не говоря уже о новом ZIPX. Да, за скорость надо платить, в данном случае степенью сжатия, qpress весьма серьезно отстал от конкурентов, проигрывая им в 2-3 раза. Поэтому, если вам более важна скорость, используйте Power Archiver и формат ZIP, если же во главу угла ставится степень сжатия, то следует обратить внимание на 7-Zip, лучший результат сжатия и лучшее время среди своих форматов.\n1С Предприятие 8.х Несмотря на то, что все данные \u0026quot;восьмерки\u0026quot; хранятся в одном файле, они довольно неплохо сжимаются и позволяют более рационально использовать дисковое пространство, особенно если копий нужно хранить много. Для теста мы использовали базу \u0026quot;Бухгалтерия предприятия 2.0\u0026quot; объемом 402 МБ. Результат qpress снова впечатляет - 2 секунды! В общем зачете побеждает Power Archiver c очень неплохим результатом в 8 секунд (формат ZIP), среди своих форматов пальму первенства удерживает WinRAR, от которого незначительно отстает 7-Zip. Со степенью сжатия результат практически ровный. Смысла в использовании собственных форматов архивов мы не видим, поэтому рекомендуем Power Archiver и формат ZIP, ну или qpress, если время создания архивов перевешивает все недостатки данного решения.\nБазы данных. Обычно для резервного копирования БД используют штатные инструменты, однако, учитывая что дампы баз неплохо сжимаются, многие администраторы используют архивирование для экономии занимаемого места. Для теста мы использовали дамп небольшой MS SQL базы и несколько Access файлов общим объемом 291 МБ. Мы еле успевали щелкать секундомером, qpress справился с заданием за 1 секунду, трудно поверить, но это так. В ZIP формате лучшим остается Power Arciver, вторым идет WinRAR, он же с отрывом занимает первое место при использовании своих форматов, значительно опередив остальные продукты. Опять таки, сжатие баз различными алгоритмами дает примерно равный результат, поэтому наш выбор Power Archiver и ZIP формат, хотя если сильно хочется, можно использовать WinRAR, получите небольшой выигрыш в сжатии, незначительно пожертвовав временем.\nОфисные документы. В данной категории довольно трудно выделить какой-либо определенный тип данных, поэтому мы не стали мудрствовать лукаво и взяли для теста общую папку с файлового сервера отдела продаж оптово-розничной торговой фирмы. В состав данной папки входят примерно в равных долях офисные документы (MSO и OOo), PDF-файлы и сканированные документы в графических форматах (преимущественно JPG). Общий объем папки составил 209 МБ. Полученный результат заставляет задуматься о результатах qpress, показывая отличные результаты на крупных файлах, он неожиданно сдал на россыпи мелких. В остальном результат ожидаем: в формате ZIP лидирует Power Arhiver, при использовании своих форматов лидируют WinRAR и 7-Zip. Текущий набор данных показал самый плохой результат сжатия, что вполне ожидаемо - PDF и графические форматы используют собственные алгоритмы компрессии и делают это довольно эффективно. Поэтому мы опять не видим смысла использовать собственные форматы архивов и рекомендуем ZIP в связке с Power Archiver, если же приоритет отдается степени сжатия, то лидером данного теста является 7-Zip - лучший результат за меньшее время.\nСмешанное содержимое. В заключительном тесте на сжатие мы объединили содержимое всех предыдущих испытаний в одну папку общим объемом 1,76 ГБ. В формате ZIP лучший результат, вполне ожидаемо, получил Power Archiver, значительно опередив конкурентов, даже сверхбыстрый qpress. При использовании собственных форматов первое место получил WinRAR, также получив неплохой отрыв от остальных участников теста. Данный тест еще раз подтвердил народную поговорку: старый конь борозды не испортит. Это мы о формате ZIP, если вам приходится сжимать разнородные данные, то большого смысла использовать собственные форматы нет, выигрыш в сжатии весьма невелик, зато значительно возрастает время необходимое для создания архива.\nВремя распаковки. Еще один очень важный тест. Сжать мы сжали, но извлекать ведь тоже когда-то понадобиться и ждать половину рабочего дня тоже как-то не охота (да и за простой предприятия никто не похвалит). Для ZIP формата мы использовали архив со смешанным содержимым, созданный посредством Сжатых папок Windows, для своих форматов аналогичный архив созданный соответствующим архиватором в предыдущем тесте. В лидерах \u0026quot;старый, добрый\u0026quot; формат ZIP, лучше всего с задачей распаковки справился 7-Zip, второе место делят WinRAR и Power Arhiver, явный аутсайдер WinZip, очень сильно уступив конкурентам. В своих форматах неожиданно отличился WinAce, он быстрее всех распаковал собственный формат архива.\nОбщие результаты. Перед тем, как вынести окончательный вердикт, мы решили подвести несколько промежуточных итогов. Ведь в некоторых случаях выбирать архиватор приходится исходя из одного значимого параметра, а не по их совокупности.\nПоэтому мы решили обобщить результаты по каждому из трех значимых параметров и только затем подвести черту. Стоит отметить, что итоговые результаты являются синтетическими, лучший результат в каждой группе тестов был принят за 100%, относительно которого были рассчитаны значения относительных участников теста.\nРезультат следует интерпретировать как: больше - лучше, лидер будет иметь значение 100%. При сжатии в формат ZIP однозначный лидер Power Arсhiver, по совокупности значений лидирует WinRAR, показав неплохие результаты при работе с ZIP и лучший результат при работе с собственным форматом. При распаковке на первое место в ZIP формате выходит 7-Zip, ему в затылок дышат WinRAR и Power Archiver, при работе с собственными форматами неожиданно пальму первенства получил WinAce, при распаковке собственного формата он оказался лучшим, чего не скажешь о времени сжатия. Что касается степени сжатия в ZIP, то здесь все архиваторы примерно одинаковы и выбирать их стоит исходя из иных показателей. Среди собственных форматов наиболее эффективными являются 7z и ZIPX, обеспечивая наибольшую степень сжатия. Пришла пора подвести общие результаты. В формате ZIP и общем зачете побеждает Power Archiver - отличный выбор архиватора для самого широкого спектра задач.\nВторое место получает WinRAR, показав сбалансированный результат как при работе с ZIP, так и с собственным форматом.\nТретье место следует отдать 7-Zip, хотя при работе с собственным форматом весьма неплохо выглядит WinAce. Явный аутсайдер - WinZip, он же наиболее дорогой продукт среди участников теста.\nЧто-же выбрать? Мы бы рекомендовали приобрести Power Arhiver или WinRAR, последний может быть более интересен ввиду гибкой ценовой политики для корпоративных клиентов. Бесплатная альтернатива в виде 7-Zip тоже очень неплоха и, если перед вами стоит задача экономии бюджета, его можно назвать лучшим выбором.\n","id":"f167e00eafff5a785a546541503a1462","link":"https://interface31.ru/post/test-proizvoditelnosti-arhivatorov/","section":"post","tags":["Архивация","Производительность"],"title":"Тест производительности архиваторов"},{"body":"Сегодня мы поговорим о такой важной теме, как автоматизация резервного копирования информационных баз 1С Предприятия 7.7, 8.1 и 1С8.2 на платформе Windows Server 2008 SP2.\nВ нашем распоряжении имеются 3 сервера с различными версиями платформы:\nSRV1 - с установленной платформой 1С 7.7 SRV2 - с установленной платформой 1С 8.1 SRV3 - с установленной платформой 1С 8.2 На всех серверах одинаковая разметка дисковой подсистемы:\nНа разделе C:\\ имеем установленную систему Windows Server На разделе Е:\\ содержатся базы платформ И наконец, на разделе I:\\ будут содержаться резервные копии баз. Автоматизировать резервное копирование мы будем посредством пакетного или по-другому bat-файла, который представляет собой текстовый файл с расширением .bat, в который записываются, а затем исполняются последовательности команд при помощи программы-интерпретатора (cmd.exe).\nНа сервере SRV1 установлен файловый вариант платформы 1С 7.7, расположенный в \u0026quot;E:\\Базы\\База 1С7.7\u0026quot;. На сервере SRV2 установлен файловый вариант платформы 1С 8.1, расположенный в \u0026quot;E:\\Базы\\База 1С8.1\u0026quot;. На сервере SRV3 установлен серверный вариант платформы 1С 8.2, расположенный в \u0026quot;E:\\Базы\\База 1С8.2\u0026quot;. Кластер базы будет иметь название FirmaBuh Перед нами стоит задача: делать резервные копии указанных выше баз в назначенное время - 1:00 после плановой перезагрузки серверов в 00:00.\nДля выполнения поставленной задачи, во-первых создадим на каждом разделе I наших серверов папки с названиями:\nI:\\Архив\\База 1С7.7 I:\\Архив\\База 1С8.1 I:\\Архив\\База 1С8.2 После того, как мы создали основные каталоги для наших будущих архивов, приступим к написанию самих bat-ников. В данной статье bat-файлы располагаются в тех же каталогах что и архивы. На SRV1 в директории \u0026quot;I:\\Архив\\База 1С7.7\u0026quot; создадим файл с названием backup77.bat Не забываем задать расширение .bat. Архивировать базу на SRV1 мы будем с помощью бесплатного архиватора 7-zip, скачать который вы можете на сайте разработчика. Следует отметить, что в приведенном ниже методе происходит архивирование всего каталога с базой.\nОткроем созданный нами файл с помощью блокнота. Запишем туда следующее:\n1chcp 1251 2\u0026#34;C:\\Program Files\\7-Zip\\7z.exe\u0026#34; a -t7z \u0026#34;I:\\Архив\\База 1С7.7\\backup77-%date%.7z\u0026#34; -mx3 \u0026#34; E:\\Базы\\База 1С7.7\u0026#34; -ssw 3@echo off 4pause Рассмотрим детально написанный выше код. Команда chcp 1251 задает кодировку cp1251, т.е. все русские названия директорий будут восприниматься интерпретатором правильно (хотя в командной строке при запуске батника вы будете видеть нечитаемые символы).\nДалее мы указываем путь к .exe файлу программы 7-zip. Команда а означает добавить данный каталог, а именно I:\\Архив\\База 1С7.7 в архив \u0026quot;I:\\Архив\\База 1С7.7\\backup77-%date%.7z\u0026quot;, формат для которого мы задаем ключом -t7z. Т.е. мы получим архив с названием backup77-%date%.7z и форматом 7z, например: backup77-03.10.2011.7z\nПараметр %date%, как вы уже догадались, задает дату на момент запуска архивирования. Ключ -mx3 задает уровень сжатия. В нашем примере он означает быстрое сжатие. На всякий случай здесь приведена команда -ssw. Она позволяет архивировать даже в том случае, если 1с 7.7 будет запущена. Дополнительную справку по всем ключам командной строки вы можете получить в русской документации к программе 7-zip.\nЗапустив bat-файл, вы сможете пронаблюдать весь процесс архивирования. Если вам это не надо, следует удалить команду pause, а @echo off переместить после команды chcp 1251.\nНа SRV2 в директории \u0026quot;E:\\Базы\\База 1С8.1\u0026quot; создадим файл с названиемbackup81.bat. В отличие от прошлого сервера, на этом архивирование мы будем проводить с помощью выгрузки базы напрямую через 1с 8.1, а не архивируя каталог с базой целиком.\n1chcp 1251 2@echo off 3setlocal 4set kat=C:\\Program Files 5set ver=1cv81 6set base= E:\\Базы\\База 1С8.1 7\u0026#34;%kat%\\%ver%\\bin\\1cv8.exe\u0026#34; CONFIG /F \u0026#34;%base%\u0026#34; /DisableStartupMessages /DumpIB \u0026#34;I:\\Архив\\База 1С8.1\\1c81_%date%.dt\u0026#34; /N Администратор /P 123 /OUT \u0026#34;I:\\Архив\\База 1С8.1\\backup.log\u0026#34; -NoTruncate 8echo %date% \u0026gt;\u0026gt; backup.log 9endlocal Параметр setlocal позволяет нам изменить переменные в пакетном файле. Мы можем обозначить путь вместо длинной строки просто двумя или тремя символами. К примеру, мы задаем путь к 1cv8.exe, при этом не вписываем целиком путь, а вначале просто даем обозначение каталогу, где располагается 1с и папки в которой находится наш exe. Параметр CONFIG запускает 1с 8.1 в режиме \u0026quot;Конфигуратора\u0026quot;. После ключа /F указываем каталог с файлами БД, /DisableStartupMessages подавляет стартовые сообщения программы о различных предупреждениях. Для поставленной задачи они нам не нужны. Команда**/DumpIB** выгружает заданную базу в каталог I:\\Архив\\База 1С8.1.\nВыгруженный файл БД будет иметь вид 1c81_%date%.dt. К примеру: 1c81_03.10.2011.dt\nДалее командами /N и /P задаются логин и пароль администратора базы соответственно. Затем происходит выгрузка лог файла параметром /OUT в каталог I:\\Архив\\База 1С8.1 c именем backup.log. В него будут записывать результаты выгрузки базы:\n1Выгрузка информационной базы успешно завершена 203.10.2011 Ключ -NoTruncate делает так, что лог файл не очищается каждый раз при запуске bat-ника. Так же в конце батника для удобства мы записываем дату выгрузки базы в лог-файл backup.log.\nНа SRV3 в директории \u0026quot;E:\\Базы\\База 1С8.2\u0026quot; создадим файл с названием backup82.bat. Конфиг, представленный ниже почти идентичен предыдущему, за исключением того, что запуск 1с происходит для серверного варианта установки. Соответственно, совпадающие параметры мы не будем описывать.\n1chcp 1251 2echo off 3setlocal 4set kat=C:\\Program Files 5set ver=1cv82 6set serv=SRV3 7set base=FirmaBuh 8\u0026#34;%kat%\\%ver%\\bin\\1cv8.exe\u0026#34; CONFIG /S %serv%\\%base% /DisableStartupMessages /DumpIB \u0026#34;I:\\Архив\\База 1С8.2\\1c82_%date%.dt\u0026#34; /N Администратор /P 123 /OUT \u0026#34;I:\\Архив\\База 1С8.2\\ backup.log\u0026#34; -NoTruncate 9echo %date% \u0026gt;\u0026gt; backup.log 10endlocal Стоит лишь отметить ключ /S после которого указывает адрес сервера 1С:Предприятия 8.2 в формате: Имя_Сервера\\Название_Базы. В нашем случае это SRV3\\FirmaBuh.\nНа этом мы окончательно разобрали выгрузку и архивирование баз платформ 1с 7.7, 8.1 и 8.2. Созданные нами bat-файлы можно добавить в любой планировщик. Мы использовали для этого стандартный планировщик заданий Windows. В конце статьи хотелось бы привести код bat-файла, позволяющего автоматизировать проверку наличия файла с архивами. Запускать его можно с любого компьютера, но при этом каталоги с архивами должны быть открыты в общем доступе в сети.\n1chcp 1251 2@echo off 3setlocal 4set arhiv1=\u0026#34;\\\\SRV1\\Архив\\ База 1С7.7\\ backup77-%date%.7z\u0026#34; 5set arhiv2=\u0026#34;\\\\SRV2\\Архив\\ База 1С8.1\\1c81_%date%*.dt\u0026#34; 6set arhiv3=\u0026#34;\\\\SRV3\\Архив\\ База 1С8.2\\1c82_%date%*.dt\u0026#34; 7set kat1=\u0026#34;\\\\SRV1\\Архив\\ База 1С7.7\\\u0026#34; 8set kat2=\u0026#34;\\\\SRV2\\Архив\\ База 1С8.1\\\u0026#34; 9set kat3=\u0026#34;\\\\SRV3\\Архив\\ База 1С8.2\\\u0026#34; 10set errlog=\u0026#34;Лог-файл с ошибками архивирования баз.log\u0026#34; 11set viewlog=\u0026#34;C:\\Users\\Admin\\Desktop\\Ошибки архивирования баз.log\u0026#34; 12if not exist %arhiv1% echo Дата: %date% Время: %time% Сервер SRV1 сообщает: в папке %kat1% файлы архива не найдены \u0026gt;\u0026gt; %errlog% 13if not exist %arhiv2% echo Дата: %date% Время: %time% Сервер SRV2 сообщает: в папке %kat2% файлы архива не найдены \u0026gt;\u0026gt; %errlog% 14if not exist %arhiv3% echo Дата: %date% Время: %time% Сервер SRV3 сообщает: в папке %kat3% файлы архива не найдены \u0026gt;\u0026gt; %errlog% 15echo. \u0026gt;\u0026gt; %errlog% 16copy %errlog% %viewlog% /a Bat-файл проверяет наличие файлов архивов на серверах и, если не находит, то записывает лог-файл с ошибками, который создается в том каталоге, в котором он был запущен. Строка copy %errlog% %viewlog% /a копирует лог-файл на рабочий стол Администратора. Таким образом, придя на работу, вы можете, заглянув в Ошибки архивирования баз.log увидеть список отсутствующих архивов. Сам bat-ник можно добавить опять же в планировщик.\nДополнительные материалы: 1С:Предприятие 8 - обновление информационных баз в пакетном режиме.\n","id":"00fb3fa9138934ecf0389763b9e33394","link":"https://interface31.ru/post/avtomatizaciya-rezervnogo-kopirovaniya-baz-1s-predpriyatie/","section":"post","tags":["1С Предприятие 7.7","1С Предприятие 8.х","Резервное копирование"],"title":"Автоматизация резервного копирования баз 1С Предприятие"},{"body":"В продолжение нашего материала о программном RAID в Ubuntu Server мы рассмотрим основные задачи администрирования такого массива. Ведь недостаточно только создать RAID, нужно постоянно контролировать его состояние и своевременно заменять диски в случае их отказа. Об этом и пойдет речь в данной статье.\nСразу хотим обратить ваше внимание: создание RAID массива страхует от аппаратного отказа дисков и никоим образом не отменяет резервные копии. Поэтому перед любыми операциями с RAID обязательно сделайте резервное копирование всех ваших данных. К сожалению, ошибочная замена не того диска в массиве или перезеркаливание чистого диска на диск с данными - это не админский фольклор, а реальные случаи, причем имеющие тенденцию регулярно повторяться.\nПоэтому, сразу после того, как вы создали массив и успешно установили туда систему, не поленитесь проделать ряд организационных мероприятий, которые позволят избежать досадных ошибок в будущем. Запишите в отдельный журнал серийные номера жестких дисков, порт подключения на материнской плате и наименование в системе каждого из них, а также снабдите каждый диск наклейкой с аналогичной информацией. Это избавит вас, в будущем, от вопросов: а какой из них sda?\nТакже следует составить план замены жестких дисков в массиве и обеспечить достаточный запас новых дисков для обеспечения бесперебойной работы предприятия. Сейчас мне могут возразить, мол такой подход применим только для крупных предприятий, небольшие фирмы не могут себе позволить держать запас дисков, тем более диски выходят из строя не так уж и часто. Это распространенное заблуждение и чаще всего в этом убеждаются только после потери данных. Поэтому сделаем небольшое теоретическое отступление.\nКак правильно рассчитать вероятность отказа? Простая на первый взгляд задача оказывается не такой уж и простой, все дело в неправильном понимании некоторых терминов. Чаще всего путаницу вносит такой показатель как наработка на отказ (MTBF), например у 500 Gb Western Digital RE4 (WD5003ABYX) этот показатель составляет 1,2 млн. часов, а у массовой модели 500 Гб Caviar Blue (WD5000AAKS) - 650 тыс. часов. На первый взгляд какие-то безумные цифры, глядя на которые можно предположить, что диски должны работать вечно. Однако это не так. Под наработкой на отказ подразумевается среднее время до отказа одного диска из всей партии в течении заявленного гарантийного срока. Что это значит? Что в течении трех лет заявленной гарантии вы можете ожидать отказ для каждого 46-го диска из партии (для RE4).\nОднако нам более интересно, какая вероятность отказа для отдельного диска, так как все купленные нами диски могут оказаться как 46-ми (т.е. могут отказать), так и не оказаться ими (проработают без отказа). Для этого рассчитаем такой параметр, как ежегодная вероятность отказов (AFR), который рассчитывается по формуле:\n1AFR = 1 - exp(-8750/MTBF) Для одного диска серии RE получим вероятность отказа 0,7%, а для серии Blue - 1,3%, казалось бы цифры небольшие, но не будем забывать, что это вероятность отказа одного диска, для нескольких дисков формула будет иметь вид:\n1AFR = 1 - exp(-8750*n/MTBF) где n - количество дисков, так для 2 и 4 дисков (RE4 / Blue) получим 1,4% / 2,7% и 2,9% / 5,2% соответственно.\nЗа три года, если считать что вероятность отказа в течении этого времени постоянна (на самом деле это не так) получим для 4 дисков величину 8,7% / 15,6% для разных серий. Как видим, для настольной серии значение довольно велико и не может быть проигнорировано. Вероятность одновременного отказа двух дисков составит 0,8% для северной серии и 2,4% для массовой \u0026quot;синей\u0026quot;. Помня, что в большинстве случаев одновременный отказ двух дисков приводит к полному разрушению массива, то это тоже весьма немаленькая цифра. Под одновременным отказом следует понимать не одновременный выход из строя, а последовательный отказ в течении довольно малого промежутка времени (несколько дней - неделя), и не имея под рукой резервного диска можно не всегда успеть приобрести новый диск для замены отказавшего.\nНаш расчет справедлив для одинаковой вероятности выхода из строя в течении гарантийного срока (3 года), реально это показатель имеет тенденцию к увеличению, что подтверждают различные исследования, в своей практике мы применяем повышающие коэффициенты 1,25 для второго и 1,5 для третьего годов эксплуатации. С учетом этого получим вероятность отказа для 4 дисков в течении трех лет для RE серии - 10,8% (каждый десятый диск) и для Blue серии - 19,7% (каждый пятый диск). Вероятность одновременного отказа двух дисков - 1,2% и 3,9% соответственно.\nКакие выводы можно сделать? Во первых, постарайтесь не использовать недорогие диски массовых серий, либо уменьшайте срок их эксплуатации до получения приемлемых значений надежности (для серии Blue таким сроком можно считать 2 года), во вторых составьте план замены выработавших свой ресурс дисков, не дожидаясь их выхода из строя и не используйте диски с истекшим сроком гарантии.\nТакже всегда имейте под рукой определенное количество исправных дисков, достаточное для того, чтобы оперативно заменить вышедшие из строя. Это число следует рассчитывать исходя из расчетной вероятности отказов и требований к надежности системы хранения данных. Не забывайте включать эти диски в план замены, чтобы они не залеживались до конца гарантийного срока, на наш взгляд оптимально держать диски в резерве год, затем приобретать туда новые, а эти использовать для плановых замен. Для ответственных систем мы рекомендуем использовать диски горячей замены (тем более штатные возможности Ubuntu это позволяют), которые будут автоматически использованы при отказе одного из дисков.\nЕсли кто-то еще считает, что подобные мероприятия все еще слишком дороги, спросите себя и руководство, соизмерима ли стоимость двух-трех дисков с возможным ущербом от простоя или потери данных по причине их выхода из строя, вероятность подобного события нетрудно рассчитать по формулам выше.\nПерейдем от теории к практике. В нашем распоряжении имеется тестовый сервер на Ubuntu Server 10.04.3 LTS установленная на программный RAID1 (зеркало). Для администрирования массива используется утилита mdadm, которая уже установлена в системе. Рассмотрим типовые ситуации и действия администратора в них.\nМассив перешел в состояние inactive Такая ситуация возникает при выходе из строя нескольких дисков или при иных аппаратных сбоях. Проявляется это в недоступности массива, если массив загрузочный, то загрузка с него будет невозможна. В первую очередь проверяем состояние дисков, показания S.M.A.R.T, делаем тест поверхности и, если все нормально или почти все нормально (найдены и исправлены бэд-блоки и планируется замена диска), то заново собираем массив командой:\n1mdadm /dev/md0 --assemble --scan В случае с загрузочным массивом нужно будет загрузиться с установочного диска в режим восстановления. Бывает массив переходит в данное состояние при полностью исправных дисках, например при сбоях в электропитании, но в любом случае такая ситуация требует проведения полной проверки дисков и обстоятельств произошедшего.\nЗамена диска при некритическом отказе или плановая замена Прежде всего выясняем, какой именно диск нам необходимо заменить, вот здесь и придет на помощь созданный ранее журнал и наклейки на дисках. Затем помечаем его как сбойный:\n1sudo mdadm /dev/md0 --fail /dev/sdb1 В отличии от команды --remove, которая удаляет диск из массива, команда**--fail** позволяет отключить диск не останавливая работу массива, на загрузочных массивах это единственная возможность отключить диск. Ниже показана попытка отключить сбойный диск у загрузочного массива и прекрасно видна разница между этими двумя командами: Затем выключаем сервер и физически меняем диск. Загружаемся, теперь нужно просмотреть список всех подключенных дисковых устройств, чтобы выяснить как наш новый диск определился в системе:\n1sudo fdisk -l Из вывода команды определяем, что новый диск имеет имя sdb и не содержит разделов. Так как единицей программного массива является не диск, а раздел, мы не можем подключить к массиву чистый диск и нужно создать на нем аналогичный раздел. Однако эта задача не так проста, как кажется, отклонение в размерах раздела даже на 1 сектор сделает невозможным добавление его в массив. Поэтому самым простым решением будет скопировать разметку (со всем содержимым) с исправного диска:\n1sudo dd if=/dev/sda of=/dev/sdb bs=1M После чего перезагружаемся и добавляем раздел в массив командой:\n1sudo mdadm /dev/md0 --add /dev/sdb1 Теперь если выполнить\n1cat /proc/mdstat мы увидим процесс ресинхронизации массива: Замена диска при критическом отказе Под критическим отказом понимается ситуация, когда жесткий диск полностью вышел из строя. В этом случае определяем название отказавшего диска при помощи mdstat и производим его замену, далее порядок действий полностью аналогичен предыдущему пункту.\nДобавление резервного диска и расширение массива Кроме замены дисков перед администратором так-же встают задачи расширения массива (для тех уровней, которые это допускают) и добавление новых дисков горячей замены. Для добавления нового диска на нем также надо создать копию раздела с исправного диска массива и добавить его командой:\n1sudo mdadm /dev/md0 --add /dev/sdс1 Добавленные в исправный массив диски считаются резервными и будут автоматически использованы при отказе одного из основных. Резервные диски (hot spare) обозначаются в выводе mdstat как S, отказавшие - F. Для проверки пометим один из дисков сбойным. Как видим резервный диск был автоматически добавлен в массив и началась ресинхронизация. Резервные диски также можно использовать для расширения массива, для этого используется команда --grow, в качестве опции которой передается количество дисков в расширенном массиве. Например мы хотим расширить RAID5 массив (md2) из трех дисков (sda1, sdb1, sdc1) и одного резервного диска (sdd1), на четыре диска (используя для этого резервный). Это можно сделать командой:\n1sudo mdadm /dev/md2 --grow --raid-devices=4 Расширение будет произведено без отключения массива и абсолютно прозрачно для пользователя. Однако перед любыми подобными операциями следует обязательно создать резервные копии, если позволяют ресурсы, оптимально скопировать каждый из дисков массива на резервные командой dd, если что-то пойдет не так, достаточно будет просто заменить диски.\n","id":"db73e15939d4db8150fe0d42d7c6372e","link":"https://interface31.ru/post/ubuntu-server-administrirovanie-programmnogo-raid/","section":"post","tags":["mdadm","RAID","Ubuntu Server","Файловый сервер"],"title":"Ubuntu Server. Администрирование программного RAID"},{"body":"Диагностика один из важнейших этапов, когда речь идет о ремонте аппаратной части ПК. От того, насколько быстро и качественно она будет выполнена, зависят дальнейшие сроки и стоимость ремонта. В данной заметке мы расскажем о двух простых приборах, способных значительно облегчить работу сервисного инженера.\nЭта история началась, когда мы встали перед вопросом оснащения оборудованием нашего нового сервисного центра. Переезд, как известно, равен двум пожарам, и немного обжившись в новом офисе мы начали делать неприятные открытия: что-то потеряли, что-то сломали, что-то где-то лежит но найти не получается и т.д. и т.п. Поэтому наш взор устремился к известному китайскому интернет-магазину DealExtreme, ассортимент и цены которого давно нас привлекали.\nМы не будем описывать все подробности, скажем только что с оплатой (если вы имеете кредитку) и доставкой никаких проблем возникнуть не должно. Качество товаров на довольно высоком уровне, заявленные функции честно выполняются. Единственное, перед заказом, стоит почитать комментарии пользователей, что позволит выбрать оптимальный вариант среди аналогичных устройств (а выбрать есть из чего).\nМы заказали тестер для блоков питания ATX и POST-плату для диагностики материнских плат. Несмотря на то, что основное применение эти приборы находят в сервисном центре, системным администраторам тоже полезно иметь подобные инструменты, так как им тоже приходится производить первичную диагностику железа и правильно поставленный диагноз способен резко сократить срок ремонта оборудования и, следовательно, убытки связанные с простоем рабочего места.\nТестер для блоков питания ATX Очень простой и в тоже время полезный инструмент, позволяет быстро проконтролировать наличие основных напряжений и их фактическое значение, а также только наличие напряжения на дополнительных разъемах. В нашем случае тестер показывает значения напряжения на основном и дополнительном разъемах питания и показывает только наличие напряжения на SATA-разъеме (зеленые светодиоды слева).\nОднако основной интерес представляет индикатор с маркировкой PG, который показывает наличие сигнала PowerOK, отображая время его появления. Данный сигнал указывает материнской плате, что все напряжения после включения пришли в норму, после чего происходит ее старт.\nПри отсутствии этого сигнала мы будем наблюдать классическую картину: индикаторы светятся, вентиляторы работают, компьютер не стартует. Данный прибор позволяет быстро выявить виновника происходящего, что особенно актуально при отсутствии под рукой заведомо исправного блока питания (например на выезде). На фотографии ниже неисправный блок питания (нет PowerOK): Повторимся, полезность данного инструмента трудно переоценить, если раньше для проверки блока питания приходилось иметь под рукой тестовый стенд, замерять напряжения тестером или стартовать ПК с заведомо исправным блоком, то теперь достаточно просто подключить разъемы к прибору и получить результат, а небольшие размеры позволяют легко брать его с собой на выезд.\nPOST-плата Еще один удобный инструмент для диагностики, который позволяет быстро дать ответ на вопрос: почему не стартует материнская плата. Обычно в этом случае приходится ориентироваться на звуковые сигналы, издаваемые системным динамиком (\u0026quot;спикером\u0026quot;), и последовательно пробовать менять память, процессор, видеокарту на заведомо исправные. Процесс довольно долгий и не дающий 100% результата. POST-плата отображает коды самодиагностики материнской платы, процесс которой включает в себя следующие этапы:\nПроверка регистров процессора; Проверка контрольной суммы ПЗУ; Проверка системного таймера и порта звуковой сигнализации; Тест контроллера прямого доступа к памяти; Тест регенератора оперативной памяти; Тест нижней области ОЗУ для проецирования резидентных программ в BIOS; Загрузка резидентных программ; Тест стандартного графического адаптера (VGA); Тест оперативной памяти; Тест основных устройств ввода; Тест CMOS Тест основных портов LPT/COM; Тест накопителей на гибких магнитных дисках (FDD); Тест накопителей на жёстких магнитных дисках (HDD); Самодиагностика функциональных подсистем BIOS; Передача управления загрузчику. Расшифровка данных кодов производится по документации производителя BIOS материнской платы или по прилагающемуся к POST-плате руководству.\nМы приобрели плату отображающую сразу два последних кода (4 индикатора), хотя вы можете немного сэкономить и взять плату отображающую один код (2 индикатора), в любом случае коды можно пролистать с помощью аппаратных кнопок на плате. Для проверки мы запустили заведомо исправную материнскую плату без оперативной памяти: Заметим, что видеть два последних кода более удобно, т.к. не всегда последний код отображает возникшую проблему. В нашем случае последний код не несет никакой полезной информации:\n00 - Code copying to specific areas is done. Passing control to INT 19h boot loader next А предпоследний как раз таки отражает возникшую проблему:\nC1 - OEM specifiс test of size оп-board memory Верхняя линейка светодиодов показывает наличие основных напряжений и сигналов и их расшифровка также приводится в документации.\nВ частности с их помощью можно выявить неисправность блока питания, короткое замыкание в корпусе, запавшую кнопку Reset и т.п. неисправности.\nЯркость основных индикаторов вполне достаточна для их уверенного считывания под углом при нормальном дневном освещении, что актуально, учитывая что плата устанавливается в системный блок индикаторами вниз. Теперь вставим память и посмотрим на показания платы: Два последних кода показывают, что материнская плата завершила тест основных устройств ввода и готовится передать управление загрузчику, однако не может этого сделать из-за отсутствия подключенных дисковых устройств.\nДанная карта поддерживает BIOS следующих производителей: Award, AMI, Phoenix и успела хорошо себя зарекомендовать за месяц эксплуатации.\nМы считаем что данные инструменты, учитывая их невысокую стоимость, должны занять достойное место в повседневном наборе сервисного инженера или системного администратора.\nВедь быстрая и правильная диагностика способна значительно уменьшить время затраченное на ремонт и, следовательно, повысить прибыль сервисного центра, уменьшить убытки и увеличить удовлетворение клиента, а также служит хорошим показателем профессионализма сотрудника.\n","id":"1f75927f708c60ec056417523948aa41","link":"https://interface31.ru/post/adminu-na-zametku-vypusk-3-poleznye-instrumenty-dlya-diagnostiki-pk/","section":"post","tags":["POST","Диагностика"],"title":"Админу на заметку - 3. Полезные инструменты для диагностики ПК"},{"body":"Организация VPN каналов между филиалами компании имеет большое значение в работе любого IT-специалиста. В данной статье рассматривается один из способов реализации этой задачи на основе программного продукта OpenVPN.\nНиже мы рассмотрим топологию сети, в которой будем организовывать VPN-туннель, разберем особенности конфигурирования программы OpenVPN и пошагово настроим маршрутизацию для наших офисов. Статья написана из расчета, что OpenVPN будет устанавливаться на платформы Windows 7 и Windows Server 2008.\nТопология сети. Использованная нами сетевая топология стандартна. Имеется Сеть Центрального Офиса (назовем её СЦО) и Сеть Филиала (назовем её СФ). Стоит задача соединить офисы таким образом, чтобы конечный пользовательский компьютер (далее ПК1) офиса СЦО имел доступ к общим ресурсам пользовательского компьютера (далее ПК2) СФ. CЦО имеет в своем составе: Интернет-шлюз (назовем его ИШ1) с двумя сетевыми интерфейсами: OpenVPN Сервер (далее ОС) на котором будем поднимать OpenVPN с одним виртуальным и одним физическим интерфейсом: ПК1 - пользовательский компьютер 1, с сетевым интерфейсом 192.168.0.3, смотрит аналогично в СЦО. СФ имеет в своем составе: Интернет-шлюз (далее ИШ2) с двумя сетевыми интерфейсами: OpenVPN Клиент (далее ОК) на котором будем поднимать OpenVPN с одним виртуальным и одним физическим интерфейсом: ПК2 - пользовательский компьютер 2, с сетевым интерфейсом 192.168.1.3, смотрит в СФ. Настраиваем OpenVPN сервер. Теперь перейдем к самой программе, основам и особенностям её конфигурирования. OpenVPN доступен в вариантах для Linux и Windows. Вы можете скачать установочный пакет на сайте разработчика.\nСам процесс инсталлирования не вызовет никаких проблем. Единственное, стоит отключить антивирус на время установки, дабы избежать дополнительных проблем. На момент написания статьи, к примеру, продукты Лаборатории Касперского не блокировали установку, а лишь выводили подозрение на некоторые устанавливаемые компоненты.\nВ процессе установки в систему инсталлируется виртуальный сетевой адаптер TAP-Win32 Adapter V9 и, соответственно, драйвер к нему. Этому интерфейсу программа OpenVPN как раз и будет назначать ip адрес и маску виртуальной сети OpenVPN. В нашем случае ему назначен адрес 10.8.0.1 с маской 255.255.255.0 на сервере ОС и 10.8.0.2 с аналогичной маской на клиенте ОК. По стандарту программа устанавливается в C:\\ProgramFiles\\OpenVPN. В этой директории следует сразу же создать дополнительно папку keys (здесь мы будем хранить ключи аутентификации) папку ccd (здесь будут находится конфиги настроек сервера для клиента).\nВ директории C:\\ProgramFiles\\OpenVPN\\sample-config представлены стандартные конфиги. Конфиги, которые мы будем создавать, должны размещаться в директории C:\\Program Files\\OpenVPN\\config.\nНастройка OpenVPN начинается с генерации ключей. Генерируемые ключи делятся на:\nглавный CertificateAuthority (CA) сертификат и ключ, используемый для подписывания каждого сертификата сервера и клиента. публичный и приватный ключи для сервера и каждого (это важно) клиента отдельно. Последовательность создания ключей следующая (названия файлов сертификатов и ключей указаны в скобках):\nГенерируем основной CA (ca.crt) сертификат и CA (ca.key) ключ. Генерируем сертификат (server.crt) и ключ (server.key) сервера. Генерируем сертификат (office1.crt) и ключ (office1.key) для клиента. Генерация параметров DiffieHellman (dh1024.pem). Генерация ключа tls-auth (ta.key) для аутентификации пакетов. Разберем каждый пункт более подробно.\nГенерируем основной сертификат СА и СА ключ: Заходим в Пуск - Выполнить набираем cmd, жмем OK, заходим в командную строку. Пишем:\n1cd C:/Program Files/OpenVPN/easy-rsa Таким образом мы находимся в директории easy-rsa: Во время выполнения всех пунктов генерации ключей вы должны находиться именно в ней. Выполняем команду:\n1init-config Не закрывая командную строку, зайдем в C:\\ProgramFiles\\OpenVpn\\easy-rsa и отредактируем файл vars.bat, заполнив следующие параметры (указав, естественно, свои данные):\n1KEY_COUNTRY=RF 2KEY_PROVINCE=MO 3KEY_CITY=Malinino 4KEY_ORG =Organization 5KEY_EMAIL=organization@email.ru Теперь создадим СА сертификат и СА ключ. Раскрываем командную строку, которая все это время висела где то на рабочем столе, и продолжаем вписывать команды:\n1vars 2clean-all 3build-ca Последняя команда как раз и выполняет генерацию СА сертификата и СА ключа. В процессе создания ключа вам будут задавать вопросы, на которые вы можете отвечать просто нажатием Enter'a (тогда значения будут браться из файла vars.bat который мы редактировали выше) или же вводить свои. Стоит обратить внимание на вопрос:\n1Common Name (eg, your name or your server\u0026#39;s hostname) []: OpenVPNS Здесь вы должны задать название для сервера - в примере мы ввели OpenVPNS.\nГенерируем сертификат (server.crt) и ключ (server.key) сервера. Не выходя из директории, в нашей командной строке продолжим вводить команды. Сгенерируем сертификат сервера и ключа командой:\n1build-key-server server На вопросы отвечаем так же как в первом пункте. На вопрос:\n1Common Name *: server Введем: server. На вопросы:\n1Sign the certificate? [y/n] и\n11 out of 1 certificate requests certified, commit? [y/n] надо дать положительный ответ: Y.\nГенерируем сертификат (office1.crt) и ключ (office1.key) для клиента. Очевидно, что клиентов может быть много, в нашем примере он один - office1. В зависимости от количества клиентов следующая команда в командной строке выполняется несколько раз, причем названия генерируемых ключей так же меняйте:\n1build-key office1 если требуется еще сертификаты и ключи, скажем для второго клиента, то вводим:\n1build-key office2 В процессе ответа на вопросы не забывайте, что каждый клиент на вопрос CommonName должен получить уникальное имя, например: office1, office2 и т.д.\nГенерация параметров DiffieHellman (dh1024.pem). Вводим в командной строке, находят во все той же директории easy-rsa:\n1build-dh Генерация ключа tls-auth (ta.key) для аутентификации пакетов В конце создаем ключ для tls-аутификации командой:\n1openvpn --genkey --secret ta.key Теперь разберемся с тем, какие файлы оставлять на сервере, а какие перенести клиенту. На сервере (OC) должны находиться в созданной нами папке keys только следующие файлы:\nca.crt ca.key dh1024.pem server.crt server.key ta.key На клиенте OK аналогично серверу ОС создадим так же папочку keys, там должны быть:\nca.crt office1.crt office1.key ta.key Все файлы с расширением .key являются секретными. Передавать их стоит только по защищенным каналам, лучше на физическим носителе.\nДалее приступим к созданию конфига для нашего сервера ОС и клиента ОК. В директории config создаем файл со следующим названием и расширением: server.ovpn Открываем его блокнотом и начинаем писать конфиг:\nВыбираем протокол для передачи данных - в данном случае upd:\n1proto udp Стандартный порт для OpenVPN:\n1port 1194 Режим работы программы L3-туннель. В данном режиме OpenVPN - роутер:\n1dev tun Режим клиент-сервер:\n1tls-server Данного топология доступна с версии 2.1 и заключается в том что каждому клиенту выдается по 1 адресу, без виртуальных портов маршрутизатора:\n1topology subnet Маршруты добавляются через .exe - это важно:\n1route-method exe Задержка при добавлении маршрута, можно уменьшить до 5:\n1route-delay 10 Данная опция задает организацию сети. У нас появляется виртуальная сеть 10.8.0.0 /24. Первый адрес из этой сети, то есть 10.8.0.1 выдается серверу, последующие (10.8.0.2, 10.8.0.3 и т.д.) клиентам. DHCP сервер получает адрес 10.8.0.254:\n1server 10.8.0.0 255.255.255.0 Задаем шлюз в openvpn сеть:\n1route-gateway 10.8.0.1 Директория, в которой мы должны расположить файл с названием нашего клиента, то есть office1 без расширения, и в нем записать команды, которые будут выполнятся на клиенте:\n1client-config-dir \u0026#34;C:\\\\Program Files\\\\OpenVPN\\\\ccd\u0026#34; Далее идут пути до файлов сертификатов и ключей сервера. Заметим, что пути обязательно пишутся с двойной чертой, а именно \\:\n1ca \u0026#34;C:\\\\Program Files\\\\OpenVPN\\\\keys\\\\ca.crt\u0026#34; 2cert \u0026#34;C:\\\\Program Files\\\\OpenVPN\\\\keys\\\\server.crt\u0026#34; 3key \u0026#34;C:\\\\Program Files\\\\OpenVPN\\\\keys\\\\server.key\u0026#34; 4dh \u0026#34;C:\\\\Program Files\\\\OpenVPN\\\\keys\\\\dh1024.pem\u0026#34; 5tls-auth \u0026#34;C:\\\\Program Files\\\\OpenVPN\\\\keys\\\\ta.key\u0026#34; 0 Задаем серверу ОС маршрут на всю сеть:\n1route 10.8.0.0 255.255.255.0 Выбираем метод сжатия:\n1cipher BF-CBC Задаем сжатие трафика:\n1comp-lzo OpenVPN передает системе регистраций событий программы не критические ошибки сети. На практике это уменьшит содержимое статус-окна, появляющегося при запуске сервера OpenVPN:\n1verb 1 Cервер пингует противоположную сторону с интервалом в 10 секунд и если сторона не отвечает за 60 секунд, то сервер запустит пересоединение:\n1keepalive 5 60 Далее переходим в директорию ccd и создаем файл, в котором будут лежать команды, посылаемые клиенту от сервера. Назвать его надо так же как мы называли самого клиента, например office1. Файл не будет иметь расширения. Редактируем его через блокнот. Все параметры, заданные ниже, будут автоматически переданы клиенту:\nЗадаем ip и маску для нашего клиента office1:\n1ifconfig-push 10.8.0.2 255.255.255.0 Передаем ему маршрут на всю сеть:\n1push \u0026#34;route 10.8.0.0 255.255.255.0\u0026#34; Задаем для него шлюз:\n1push \u0026#34;route-gateway 10.8.0.1\u0026#34; Эта команда говорит серверу ОС о том, что за данным клиентом, а именно ОК (office1) находится сеть 192.168.1.0:\n1iroute 192.168.1.0 255.255.255.0 Таким образом, мы закончили конфигурирование сервера на стороне ОС.\nНастройка клиента. Далее приступим к изменению параметров клиента. Зайдем на машине ОК в папку config. Создадим в ней файл office1.ovpn Приступим к его редактированию, ряд опций повторяет аналогичные на сервере, поэтому мы их пояснять не будем:\n1dev tun 2proto udp 3port 1194 Указываем внешний адрес ИШ1:\n1remote 111.111.111.111 Клиент будет в работать в режиме тлс-клиента:\n1tls-client Эта опция защищает от подмены сервера третьим лицом:\n1remote-cert-tls server Эти опции аналогичны серверу:\n1route-method exe 2route-delay 10 Задаем маршрут к сети 192.168.0.0:\n1route 192.168.0.0 255.255.255.0 Этой командой разрешаем прием конфигурации клиента с сервера:\n1pull Пути к ключам:\n1ca \u0026#34;C:\\\\Program Files\\\\OpenVPN\\\\keys\\\\ca.crt\u0026#34; 2cert \u0026#34;C:\\\\Program Files\\\\OpenVPN\\\\keys\\\\office1.crt\u0026#34; 3key \u0026#34;C:\\\\Program Files\\\\OpenVPN\\\\keys\\\\office1.key\u0026#34; 4tls-auth \u0026#34;C:\\\\Program Files\\\\OpenVPN\\\\keys\\\\ta.key\u0026#34; 1 Остальные опции также аналогичны серверу:\n1cipher BF-CBC 2comp-lzo 3verb 1 4keepalive 5 60 На этом настройка программы на стороне клиента ОК закончена.\nНастройка брандмауэра и маршрутизация. И так, мы имеем настроенные конфиги на ОК и на ОС. Теперь разберем очень важные моменты. Заранее оговоримся, если вы использует KIS 2011 или подобные антивирусные программы, то в настройках сетевого экрана следует разрешить прохождение ICMP пакетов. Это позволит беспрепятственно пинговать хосты в наших сетях. Так же стоит добавить наш виртуальный интерфейс программы OpenVPN в список доверенных сетей. На ИШ1 должны быть проделаны следующие действия:\nНастроено перенаправление порта 1194 протокола UDP с интерфейса 111.111.111.111 на интерфейс сервер ОС 192.168.0.2 В файерволе должна быть разрешена передача по порту 1194 протокола UDP, иначе пинг не будет проходить даже между ОС и ОК. На ИШ2 надо предпринять аналогичные действия:\nНастроить перенаправление порта 1194 протокола UDP с интерфейса 222.222.222.222 на интерфейс клиента ОК 192.168.1.2 Проверить, открыт ли порт 1194 протокола UDP в файерволе. В Usergate 5.2, к примеру, настройка форвардинга пакетов по порту 1194 протокола UDP выглядит так: На этом этапе мы уже пингуем ОК и ОС по их OpenVPN адресам, то есть 10.8.0.1 и 10.8.0.2. Далее нам необходимо обеспечить правильный маршрут пакетов с клиента ОК до удаленной сети 192.168.0.0. Делаем это одним из нескольких способов:\nЛибо задаем постоянный маршрут до этой сети на самом клиенте ОК:\n1route -p add 192.168.0.0 mask 255.255.255.0 10.8.0.1 Либо задаем этот маршрут в ccd конфиге клиента на сервер, а именно в файле office1 допишем:\n1push \u0026#34;route 192.168.0.0 255.255.255.0\u0026#34; Так же это можно сделать, добавив строку напрямую в конфиг клиента ОК:\n1route 192.168.0.0 255.255.255.0 Но мы бы не рекомендовали загружать его, а делать все на стороне сервера.\nЗатем необходимо обеспечить маршрут пакетов с сервера ОС до удаленной сети 192.168.1.0. делается это аналогично варианту выше за несколькими исключениями.\nДобавляем команду в конфиг сервера ОС:\n1route 192.168.1.0 255.255.255.0 10.8.0.2 или же добавляем команду непосредственно в командной строке:\n1route -p add 192.168.1.0 mask 255.255.255.0 10.8.0.2 Так же необходимо на сервере ОС и клиенте ОК включить в службах службу Маршрутизации и удаленного доступа, таким образом обеспечив маршрутизацию на внутреннюю сеть (форвардинг). Без этого внутренние адреса в сетях СЦО И СФ клиента ОК и сервера ОС не будут пинговаться. На этом этапе мы уже свободно можем пинговать внутренние адреса наших ОС и ОК, т.е. набирая на сервере ОС ping 192.168.1.2 и на клиенте ОК ping 192.168.0.2 мы получаем положительный результат в виде: Таким образом ОК и ОС взаимно пингуются по своим OpenVPN и внутренним СЦО и СФ адресам. Дальше нам надо прописать маршрут в командной строке в сеть 10.8.0.0 на наших ПК1 и ПК2. Делается это следующими командами:\nДля ПК1:\n1route -p add 192.168.1.0 mask 255.255.255.0 192.168.0.2 Для ПК2:\n1route -p add 192.168.0.0 mask 255.255.255.0 192.168.1.2 В результате расшаренные ресурсы в ПК1 и ПК2 будут доступны по их внутрисетевому адресу: ","id":"8251de3c50fe916e1a67cd75d34fcf3f","link":"https://interface31.ru/post/organizaciya-vpn-kanalov-mezhdu-ofisami/","section":"post","tags":["OpenVPN","VPN","Windows Server","Сетевые технологии"],"title":"Организация VPN каналов между офисами при помощи OpenVPN"},{"body":"13 сентября Microsoft предоставила всем желающим доступ к предварительной версии Windows 8. Данный релиз рассчитан в первую очередь на разработчиков и, судя по всему, имеет целью показать новый интерфейс Metro, но при этом опробовать его может уже сейчас любой желающий. Мы не могли пройти мимо такого события и с первого дня активно включились в тестирование новой системы.\nНадо сказать - это весьма смелый шаг, новая система весьма далека даже от бета-версии, но тем не менее весьма стабильна, за полторы недели ее использования мы не сталкивались с серьезными проблемами. Для тестирования нами была выделена виртуальная машина под управлением VMware Workstation 8, которой было выделено два ядра Core 2 Quad Q9550 и 2 ГБ оперативной памяти, виртуальный жесткий диск был расположен на массиве RAID 10 из дисков Western Digital Caviar Black.\nУстановка новой системы ничем принципиально не отличается от установки Windows 7 / Vista и мы не будем заострять внимание на этом процессе, а вот дальнейшее способно привести в замешательство даже опытного пользователя. Дело в том, что Metro, в его нынешнем виде, рассчитан исключительно на сенсорное управление и для настольных систем весьма неудобен. Но делать какие-либо выводы еще преждевременно, так как это всего лишь ознакомительная версия для разработчиков.\nЕсли подойти с другой стороны, то уже сейчас можно сказать, что Microsoft сделала огромный шаг вперед по унификации настольной платформы, планшетов и мобильных устройств. Действительно, сегодня корпорации нечего предоставить в ответ на Android или iOS, тот кто \u0026quot;работал\u0026quot; на сенсорных устройствах с Windows 7 прекрасно понимает о чем идет речь.\nЕще один козырь - поддержка новой системой платформы ARM, кроме того, согласно заявлениям на конференции BUILD, для портирования .NET Framework приложений не потребуется значительных усилий, при этом новая среда разработки Visual Studio 11 позволит создавать изначально кроссплатформенные приложения. Это действительно здорово, получить вместе с планшетом привычную рабочую среду и набор привычных приложений.\nТакже есть все основания ожидать более тесной интеграции с сервисами Windows Live, при первой загрузка система предлагает авторизоваться при помощи Live ID, хотя никаких интегрированных с Windows Live приложений в системе пока нет. Но не будем забывать, что перед нами ознакомительная версия и Microsoft не предполагает ее использование в качестве рабочей системы.\nЭкран входа в систему способен ненадолго озадачить: дата, время, значок сетевого подключения и больше ничего. Чтобы авторизоваться в системе нужно сдвинуть его мышкой вверх экрана - типичный мобильный прием, когда для разблокировки экрана нужно сдвинуть заставку пальцем. После входа в систему нас встречает новое меню Пуск, которое по структуре и виду повторяет интерфейс Windows Phone 7. Ориентированность на сенсорные устройства здесь не вызывает никаких сомнений: крупные плитки, мимо которых не промахнешься пальцем, горизонтальная прокрутка меню, что крайне неудобно делать мышкой, в отличие от пальца. Метро-приложения представленные в данном меню также рассчитаны на мобильные устройства, сомнительно, что кто-то захочет любоваться развернутым на весь монитор стационарного ПК виджетом погоды. Или Метро-версия Internet Exporer: спартанский функционал, крупные, под палец, органы управления. Еще один чисто мобильный момент: Метро-приложения нельзя закрыть их можно только свернуть, при этом они приостанавливаются, но не завершают свою работу. Данный подход широко практикуется в мобильных устройствах, где это вполне оправдано: в условиях ограниченных вычислительных ресурсов гораздо легче развернуть приостановленное приложение, чем загружать его заново.\nВсе это хорошо и интересно, но представить работу с профессиональными приложениями посредством Метро интерфейса весьма затруднительно. Хотя в Microsoft говорят о постепенном переводе под Метро всех приложений, очевидно что это произойдет еще не скоро, корпоративный сектор, на который приходится значительная доля продаж, весьма консервативен, можно вспомнить как был встречен ленточный интерфейс в Офисе. Поэтому, кликнув на соответствующую плитку, мы попадаем на привычный рабочий стол, мало чем отличающийся от такового в Windows 7.\nСама система также мало отличается от своей предшественницы и это хорошо. Мы не испытали никаких трудностей ни с драйверами, ни с установкой большей части ПО. Существенным и приятным новшеством стало использование ленточного интерфейса в проводнике. Также, для тех кто так и не освоил \u0026quot;хлебные крошки\u0026quot;, вернули кнопку перехода к папке уровнем выше. Администраторам и опытным пользователям должен понравиться новый диспетчер задач, который теперь гораздо более информативен. Кроме привычных параметров загрузки процессора и оперативной памяти теперь можно легко отслеживать нагрузку на дисковую подсистему. Это, без преувеличения, одно из самых нужных новшеств, влияние дисковой подсистемы на общую производительность ПК не меньше, если не больше, чем влияние CPU и RAM. Теперь гораздо проще будет установить, что является причиной недостаточной производительности или какое приложение без конца обращается к диску. Субъективно новая система работает более быстро, чем Windows 7 на аналогичной виртуальной машине. Это относится не столько к производительности конкретных приложений, сколько к отзывчивости интерфейса в целом. Да и потребление ресурсов нельзя назвать, по современным меркам, высоким. Несмотря на ранний статус, система вполне стабильна, за несколько дней довольно активного использования мы не сталкивались с какими либо ошибками.\nВ заключение стоит сказать, что система в целом произвела на нас благоприятные впечатления, кроме интерфейса Метро. В том виде, который показан в данном релизе, он пригоден исключительно для планшетов и мобильных устройств, выглядя абсолютно чужеродным для настольных систем. Это особенно заметно при появлении в режиме рабочего стола ряда элементов или всплывающих событий выполненных в новом стиле.\nС другой стороны нам никто не обещал законченной системы, сразу и честно предупредив, что это ознакомительная версия для разработчиков, так что к релизу еще многое должно измениться. Так что будем держать руку на пульсе событий, судя по всему, нас ожидает публичное бета-тестирование. И вот тогда уже можно будет делать выводы и давать оценки, пока же еще рано, поэтому просто смотрим и изучаем.\n","id":"861e4229451cd20fbbbac170379800c1","link":"https://interface31.ru/post/windows-8-pervye-vpechatleniya/","section":"post","tags":["Microsoft","Windows 8"],"title":"Windows 8 - первые впечатления"},{"body":"Существует распространенное заблуждение, что сервера под управлением ОС Linux являются наиболее безопасными и защищенными от вторжений извне. К сожалению это не так, безопасность любого сервера зависит от ряда факторов и мероприятий по ее обеспечению и практически не зависит от применяемой операционной системы.\nМы решили начать цикл статей посвященных сетевой безопасности с Ubuntu Server, так как решения на данной платформе вызывают большой интерес у наших читателей и так как многие считают, что Linux решения безопасны сами по себе.\nВ тоже время роутер с выделенным IP-адресом является \u0026quot;воротами\u0026quot; к локальной сети и только от администратора будет зависеть будут эти ворота надежной преградой или окажутся дачной калиткой закрытой на гвоздик.\nЕще одно частое заблуждение, рассуждения в стиле: \u0026quot;да кому он нужен, наш сервер, у нас ничего интересного нет\u0026quot;. Действительно, ваша локальная сеть может не представлять для злоумышленников никакого интереса, однако они могут использовать взломанный сервер для рассылки спама, атак на другие сервера, анонимный прокси, короче говоря как отправную точку для своих темных делишек.\nА это уже неприятно и может послужить источником разнообразных проблем: начиная от провайдера и заканчивая правоохранительными органами. Да и про распространение вирусов, кражу и уничтожение важной информации тоже забывать не стоит, как и о том, что простой предприятия приводит к вполне ощутимым убыткам.\nНесмотря на то, что статья посвящена Ubuntu Server, вначале мы рассмотрим общие вопросы безопасности, которые в равной степени относятся к любой платформе и являются азами, без усвоения которых нет смысла обсуждать вопрос более детально.\nС чего начинается безопасность? Нет, безопасность не начинается с брандмауэра, она вообще не начинается с технических средств, безопасность начинается с пользователя. Ведь что толку от самой-самой крутой металлической двери установленной самыми лучшими специалистами если хозяин оставит ключ под ковриком?\nПоэтому первое, что вы должны сделать - это провести аудит безопасности. Не пугайтесь этого слова, все не так сложно: начертите схематический план сети, на котором отметьте безопасную зону, зону потенциальной опасности и зону повышенной опасности, а также составьте список пользователей которые имеют (должны иметь доступ) к этим зонам.\nК безопасной зоне следует отнести внутренние ресурсы сети доступ к которым извне отсутствует и для которых допустим низкий уровень безопасности. Это могут быть рабочие станции, файловые сервера и т.п. устройства доступ к которым ограничен локальной сетью предприятия.\nК зоне потенциальной опасности стоит отнести сервера и устройства не имеющие непосредственного доступа к внешней сети, однако отдельные службы которых доступны извне, например веб и почтовые сервера находящиеся за брандмауэром, но при этом обслуживающие запросы из внешней сети.\nК опасной зоне следует отнести устройства непосредственно доступные извне, в идеальном случае это должен быть один роутер.\nПо возможности потенциально опасную зону следует вынести в отдельную подсеть - демилитаризованную зону (DMZ), которая отделена от основной сети дополнительным брандмауэром. Устройства локальной сети должны иметь доступ только к тем службам в DMZ, которые им необходимы, например SMTP, POP3, HTTP, остальные соединения должны блокироваться. Это позволит надежно изолировать злоумышленника или вредоносное ПО, воспользовавшихся уязвимостью в отдельном сервисе, демилитаризованной зоной, закрыв им доступ к основной сети.\nФизически DMZ можно организовать поставив отдельный сервер / аппаратный брандмауэр или добавив дополнительную сетевую карту в роутер, однако в последнем случае придется уделить пристальное внимание безопасности роутера. Но в любом случае обеспечить безопасность одного сервера гораздо проще, чем группы серверов.\nСледующим шагом должен стать анализ списка пользователей, всем ли им нужен доступ в DMZ и к роутеру (за исключением общедоступных служб), отдельное внимание следует уделить пользователям подключающимся извне.\nКак правило, здесь требуется очень непопулярный шаг - введение в действие политики паролей. Все пароли пользователей имеющих доступ к критически важным сервисам и имеющих возможность подключаться извне должны содержать не менее 6 символов и иметь в составе, кроме строчных букв, символы двух категорий из трех: прописные буквы, цифры, неалфавитные символы.\nКроме того пароль не должен включать логин пользователя или его часть, не содержать дат и имен, которые можно связать с пользователем и, желательно, не являться словарным словом.\nНеплохо завести практику менять пароли раз в 30-40 дней. Понятно, что подобная политика способна вызвать неприятие со стороны пользователей, но вы должны всегда помнить, что пароли типа 123 или qwerty равносильны ключу оставленному под ковриком.\nБезопасность сервера - ничего лишнего. Теперь, имея представление, что мы хотим защитить и от чего, перейдем к самому серверу. Составьте список всех служб и сервисов, затем подумайте, все ли они необходимы именно на этом сервере, либо их можно куда-либо вынести.\nЧем меньше служб, тем проще обеспечить безопасность, тем меньше шанс компрометации сервера через критическую уязвимость в одной из них.\nСконфигурируйте службы, обслуживающие локальную сеть (например squid), таким образом, чтобы они принимали запросы исключительно с локального интерфейса. Чем меньше служб доступно извне, тем лучше.\nПо возможности подпишитесь на рассылки безопасности для используемого серверного ПО и поддерживайте его в актуальном состоянии, устанавливая все необходимые обновления.\nХорошим помощником в деле обеспечения безопасности будет сканер уязвимостей, которым следует просканировать внешний интерфейс сервера. Мы использовали демо-версию одного из самых известных продуктов - XSpider 7.7. Сканер показывает открытые порты, пытается определить тип работающей службы и, если это удалось, уязвимости для нее. Как видим - правильно сконфигурированная система вполне безопасна, однако не стоит оставлять ключ под ковриком, наличие на роутере открытых портов 1723 (VPN) и 3389 (RDP, проброшен на терминальный сервер) хороший повод подумать о политике паролей.\nОтдельно стоит поговорить о безопасности SSH, данная служба обычно используется администраторами для удаленного управления сервером и представляет повышенный интерес для злоумышленников. Настройки SSH хранятся в файле /etc/ssh/sshd_config, все описываемые ниже изменения вносятся в него. В первую очередь следует запретить авторизацию под пользователем root, для этого добавьте опцию:\n1PermitRootLogin no Теперь злоумышленнику придется подбирать не только пароль, но еще и логин, при этом ему все равно будет неизвестен пароль суперпользователя (надеемся он не совпадает с вашим паролем). Все административные задачи при подключении извне стоит выполнять из-под sudo, входя в систему непривилегированным пользователем.\nСтоит явно указать список разрешенных пользователей, при этом можно использовать записи типа user@host, которая разрешает указанному пользователю подключаться только с указанного хоста. Например чтобы разрешить пользователю ivanov подключаться из дома (IP 1.2.3.4) следует добавить следующую запись:\n1AllowUser ivanov@1.2.3.4 Также запретите использование устаревшего и менее безопасного протокола SSH1, разрешив только вторую версию протокола, для этого приведите следующую строку к виду:\n1Protocol 2 Несмотря на все принятые меры попытки подключится к SSH и иным публичным сервисам все равно будут, чтобы предотвратить подбор паролей воспользуйтесь утилитой fail2ban, которая позволяет автоматически банить пользователя после нескольких неудачных попыток авторизации. Установить ее можно командой:\n1sudo apt-get install fail2ban Данная утилита готова к работе сразу после установки, однако мы бы советовали сразу изменить некоторые параметры, для этого внесите изменения в файл /etc/fail2ban/jail.conf. По умолчанию контролируется только доступ к SSH и время бана составляет 10 минут (600 секунд), на наш взгляд стоит его увеличить, изменив следующую опцию:\n1bantime = 6000 После чего пролистайте файл и включите секции для работающих в вашей системе служб, установив после имени соответствующей секции параметр enabled в состояние true, например для службы proftpd это будет выглядеть так:\n1[proftpd] 2enabled = true Еще один важный параметр maxretry, который отвечает за максимальное количество попыток подключения. После изменения настроек не забудьте перезапустить сервис:\n1sudo /etc/init.d/fail2ban restart Лог работы утилиты вы можете посмотреть в /var/log/fail2ban.log.\nНадеемся, что приведенные рекомендации помогут вам сделать ваш сервер действительно неприступной крепостью.\n","id":"5cefd0c32adddd2bd102deef66b95682","link":"https://interface31.ru/post/setevaya-bezopasnost-chast-1-ubuntu-server/","section":"post","tags":["Ubuntu Server","Безопасность","Сетевые технологии"],"title":"Сетевая безопасность. Ubuntu Server"},{"body":"Думаем, что ни для кого не секрет, что производительность труда прямо зависит от организации рабочего места. Когда там порядок, все инструменты и приспособления удобно размещены под рукой, ничего не валяется и не мешается, то и работа спорится. И наоборот, так называемый \u0026quot;рабочий беспорядок\u0026quot; плохой помощник в работе, да и какая там работа, когда сначала ищешь инструмент, а найдя его начинаешь деталь ради которой это все затевалось.\nОдним из ключевых инструментов инженера по ремонту ПК, сборщика и, очень часто, системного администратора является системный блок. Специфика работы такова, что к нему постоянно приходится подключать различные сторонние устройства, пальму первенства здесь занимают жесткие диски: проверить на вирусы, слить - залить информацию, исправить ошибки, восстановить данные. Несколько реже приходится вставлять для проверки различные платы расширения, либо извлекать собственные, в качестве заведомо исправных при диагностике.\nПоэтому системный блок обычно стоит по правую руку с вечно снятой боковой крышкой, но при этом возникает несколько неудобных моментов. Во первых, все органы управления, индикаторы и передние разъемы USB находятся вне поля зрения и использовать их приходится вслепую, либо вставать с рабочего места. Кроме того не всегда удобно туда тянуться. Второй большой проблемой является лоток привода оптических дисков, во первых он выезжает далеко вправо, что уже неудобно, так и не позволяет придвинуть корпус в упор к стене или разместить на полке над монитором.\nМы уже не помним, кому в голову первому пришла идея развернуть корзины и элементы передней панели на 90°, лицом к пользователю, но впервые на практике ее реализовали наши коллеги из компании \u0026quot;НИКС-Белгород\u0026quot;. Решение оказалось простым и удачным, позволяя расположить индикацию, органы управления и дисководы наиболее удобным образом и экономя около 25% рабочего пространства. Как видно из рисунка, удалось значительно сократить требования к занимаемому месту по ширине и убрать все органы управления, индикаторы и разъемы из непросматриваемой области (выделена красным). Для подобной переделки корпуса потребуется дрель, отвертка, надфиль, термоклей и час свободного времени, а также ровные руки и немного смекалки.\nПрежде всего разбираем корпус и высверливаем заклепки, держащие корзину. Затем разворачиваем ее на 90° и смотрим каким образом ее можно закрепить, обычно для этого сверлится несколько отверстий в верхней крышке и, если требуется, дне. Перед тем, как ставить корзину на новое место вставляем и прикручиваем туда оптический привод, жесткий диск и другие девайсы, так как в собранном виде сделать это будет проблематично. В итоге у вас должно получиться что-то похожее на это: На дно пятидюймовой корзины и дно корпуса стоит приклеить прокладки из вспененного полиэтилена (или поролона) от упаковок материнских плат, это позволит размещать там подключаемые жесткие диски не опасаясь, что они замкнут на металлической поверхности, также в пятидюймовый отсек стоит вывести свободный SATA кабель и разъем питания.\nОтдельного разговора и смекалки потребует выведение кнопок, светодиодов и USB-планок. Здесь широкий простор для фантазии и творчества. Мы приспособили для этих целей пластиковую заглушку, к которой прикрепили USB-разъемы от планок для слотов расширения. Рядом размещены кнопки включения и сброса, а также индикаторы, мы закрепили их на термоклей, хотя никто не мешает придумать собственное решение для размещения этих элементов. Удобство пользования таким корпусом каждый может оценить самостоятельно. Но преимущества очевидны: сэкономлено рабочее пространство, к кнопкам, лотку оптического привода и USB разъемам больше не надо тянуться, в корпусе появилось два отделения куда можно положить подключенный жесткий диск, больше не рискуя задеть его на столе или пролить на него что-нибудь, да и порядка на рабочем месте прибавится. Кроме того, корпус теперь можно разместить более удобно: поставить вплотную к стене, разместить в нише или на полке, повесить на стену над монитором.\nНадеемся что наше решение окажется вам полезным и даст повод для изобретения собственных решений повышающих удобство использования рабочего места.\n","id":"0071b62c84654478ef85daa47691fb8a","link":"https://interface31.ru/post/adminu-na-zametku-vypusk-2-organizaciya-rabochego-mesta/","section":"post","tags":["Диагностика","Персонализация","Рабочее место"],"title":"Админу на заметку - 2. Организация рабочего места"},{"body":"В последнее время все большую популярность приобретают различные USB аксессуары к жестким дискам: внешние боксы, док-станции. Не меньшей популярностью пользуются портативные жесткие диски. Самое время задуматься: а как обстоят дела с производительностью у подобных решений?\nВполне очевидно, что производительность подобных устройств будет ниже, чем у классического жесткого диска, гораздо более важно - насколько.\nЕсли не считать использования USB дисков в качестве \u0026quot;большой флешки\u0026quot;, то наиболее часто их применяют в качестве рабочего диска для хранения и работы с документами, базами данных, в том числе совместного, в этом случае к диску открывается общий доступ по сети.\nОбычно такой подход практикуется в небольших организациях, где сотрудников немного и они могут работать как в офисе, так и дома, а также в домашних сетях, где на первый план выходит возможность оперативно снять диск и пойти с ним, скажем, в гости.\nПеред тем, как переходить к тестированию, стоит навести порядок в значениях скоростей интерфейсов, так как неправильное толкование этих значений способно привести к неправильным выводам, а различные маркетинговые уловки этому только способствуют.\nВо первых нужно раз и навсегда запомнить, что для измерения скорости передачи данных могут использоваться две единицы бит в секунду (бит/с) и байт в секунду (Б/с). Так как в одном байте 8 бит, то скорость выраженная в Б/с будет в восемь раз меньше скорости в бит/с.\n1 Б/с = 8 бит/с Скорость интерфейсов как правило выражается в бит/с: Ethernet 100 Мбит/с, SATA 6 Гбит/с и т.п., в то время как скорость передачи данных в Б/с.\nКлассический пример непонимания разницы: подключив интернет со скоростью тарифа, скажем 8 Мбит/с пользователь совершенно искренне недоумевает, почему скорость скачки не превышает 1 МБ/с. Поэтому сделаем небольшую памятку, чтобы в будущем не возникало вопросов:\nТип интерфейса Скорость передачи данных USB 1.x 12 Мбит/с = 1,5 МБ/с USB 2.0 480 Мбит/с = 60 МБ/с Fast Ethernet 100 Мбит/с = 12,5 МБ/с Gigabit Ethernet 1 Гбит/с = 125 МБ/с SATA II 2,4 Гбит/с = 300 МБ/с SATA 6 Гб/с 4,8 Гбит/с = 600 МБ/с Стоит обратить внимание, что для SATA указана реальная пропускная способность, с учетом накладных расходов (10b/8b кодирование).\nТестовый стенд Для тестирования мы использовали два ПК, один основной, к которому подключались тестируемые диски, и второй, дополнительный, в качестве клиента при тестировании скорости передачи по сети.\nОсновной ПК Материнская плата: ASUS P8P67 LE rev3.0 LGA1155 (P67) Процессор: Intel Core i5-2500 3.3 ГГц Оперативная память: 8 Гб, 2 х Kingston ValueRAM (KVR1333D3N9/4G) DDR-III DIMM 4Gb PC3-10600 Дисковая система: RAID0 2 х 1 Tb SATA 6Gb/s Western Digital Caviar Black (WD1002FAEX) 7200rpm 64Mb Операционная система: Windows 7 Professional 64-bit Дополнительный ПК Материнская плата: ASUS P8H61-M EVO rev3.0 LGA1155 (H61) Процессор: Intel Pentium G620 2.6 ГГц Оперативная память: 2 Гб, 2 х Kingston ValueRAM (KVR1333D3N9/1G) DDR-III DIMM 1Gb PC3-10600 Дисковая система: 500 Gb SATA-II 300 Western Digital Caviar Blue (WD5000AAKS) 7200rpm 16Mb Операционная система: Windows 7 Professional 32-bit В качестве тестируемого диска мы использовали еще один 1 Tb SATA 6Gb/s Western Digital Caviar Black (WD1002FAEX) 7200rpm 64Mb и внешний бокс AgeStar (SUB3A8-Black).\nРезультаты тестов Выбранный нами жесткий диск относится к производительной \u0026quot;черной\u0026quot; серии винчестеров WD и имеет весьма неплохие скоростные характеристики: Посмотрим, какие результаты он покажет при подключении через USB: Да, мягко говоря, результат не очень. Хотя он вполне закономерен, на практике максимальная пропускная способность USB 2.0 составляет около 40 МБ/с (не будем забывать про накладные расходы), поэтому данные результаты можно считать вполне неплохими.\nНо это был высокопроизводительный диск, а какие результаты покажут более медленные диски или SSD? Поэтому мы расширили наше тестирование и включили в него жесткий диск 320 Gb SATA-II 300 Fujitsu (MJA2320BH) 2.5\u0026quot; 5400 rpm 8Mb, входящий в состав внешнего диска Prestigio Data Safe II USB2.0 Portable HQ Leather HDD 320Gb и уже знакомый по предыдущим тестам твердотельный накопитель OCZ Agility 2 (OCZSSD2-2AGTE60G).\nМы не стали разбирать внешний HDD, и так понятно, что 2,5\u0026quot; ноутбучный диск значительно уступает по производительности \u0026quot;черному\u0026quot; WD. Нас больше интересовали его результаты применительно к USB подключению: А также результаты при подключении через USB твердотельного накопителя: Как видим, результат практически ровный, из чего можно сделать вывод, что \u0026quot;узким горлышком\u0026quot; в данном случае является пропускная способность шины USB 2.0 и скорость диска не оказывает практически никакого влияния на результат.\nПоэтому, если вы выбираете диск для внешнего бокса нет смысла тратить деньги на высокопроизводительный винчестер, лучше обратите внимание на экономичные, бесшумные и с малым нагревом диски \u0026quot;зеленой\u0026quot; серии WD или аналогичные решения от других производителей.\nЭтим вы сэкономите определенную сумму денег и снимете ряд проблем связанных с температурным режимом и энергопотреблением диска. Покупка для этих целей SSD иначе как \u0026quot;деньги на ветер\u0026quot; назвать нельзя.\nВторым, интересовавшим нас вопросом, было использование USB дисков в качестве общего сетевого ресурса. Как правило подобный подход практикуется в небольших фирмах с небольшим числом сетевых клиентов и сетью 100 Мбит/с.\nМы провели несколько тестов на копирование файлов и папок из пакета Intel® NAS Performance Toolkit. Для сравнения мы использовали общий сетевой ресурс на том же диске (1 Tb SATA 6Gb/s Western Digital Caviar Black), только подключенном через SATA. Как видим, большой разницы нет. Основным сдерживающим фактором в данном случае является пропускная способность сети (12,5 МБ/с), поэтому нет никаких причин отказываться от удобства USB дисков в пользу предполагаемой производительности.\nТакже нет смысла пытаться увеличить производительность покупкой более быстрого диска, даже самый медленный современный диск даст вам возможность по максимуму использовать все возможности сети 100 Мбит/с.\nТеперь посмотрим, что изменится при переходе к гигабитной сети, хотя использование внешних дисков в качестве общих ресурсов в таких сетях как раз таки является скорее исключением, чем правилом. А вот здесь уже проявляются ограничения USB подключения, максимально доступная скорость передачи данных уперлась в значение 40 МБ/с, что лишает практического смысла использование внешних дисков в качестве сетевых ресурсов в гигабитных сетях.\nВыводы Какие выводы можно сделать из полученных нами результатов? Сегодня все довольно очевидно: если у вас нет особых требований к производительности дисковой системы и на первый план выходит удобство и мобильность, то внешние диски с подключением через USB 2.0, это то, что вам нужно.\nПодобный диск вполне справится с ролью сетевого накопителя в 100 Мбит/с сети или домашнего файлового сервера. Однако для производительных решений стоит выбрать подключение дисков посредством SATA интерфейса.\nТакже нет никакого смысла в приобретении высокопроизводительных дисков для внешних боксов, лучше обратите внимание на другие характеристики, такие как: энергопотребление, нагрев, уровень шума и вибрации.\nНадеемся, что результаты нашего исследования помогут вам сделать правильный выбор и получить оптимальное решение при минимальных затратах.\n","id":"cd06f09a3e2d6b428d70851645ac99d1","link":"https://interface31.ru/post/proizvoditelnost-zhestkih-diskov-pri-podklyuchenii-po-usb/","section":"post","tags":["HDD","USB","Western Digital","Файловый сервер"],"title":"Производительность жестких дисков при подключении по USB."},{"body":"Этот материал не совсем обычен. Дело в том, что у нас есть множество разных полезных утилит, методик, памяток, советов и т.п., которые не тянут на полноценную статью, но должны быть интересны нашим читателям. Поэтому мы решили ввести новую рубрику, где будем публиковать короткие заметки. Наш сегодняшний, первый, выпуск посвящен тому как удалить антивирус.\nВ админской практике часто возникают ситуации, когда удалить антивирусную программу штатными средствами не представляется возможным. И сразу на повестке дня возникает вопрос: каким образом все-таки удалить этот censored антивирус. Предлагаем вашему вниманию подборку утилит для удаления антивирусного ПО от всех ведущих производителей.\nЛаборатория Касперского Скачать Kaspersky Virus Removal Tool\n","id":"60890bda1e8245a945b2f5242d4f0706","link":"https://interface31.ru/post/adminu-na-zametku-vypusk-1-kak-udalit-antivirus/","section":"post","tags":["Removal Tools","Антивирус"],"title":"Админу на заметку - 1. Как удалить антивирус"},{"body":"Не будет преувеличением сказать, что неисправности в AD - кошмар любого системного администратора, особенно когда внезапно перестают применяться групповые политики. А еще хуже когда неисправность плавающая, здесь проявляется, а там нет. В такие моменты неволей начинаешь верить в восстание машин, но не стоит отчаиваться и наш сегодняшний случай тому пример.\nЭта история началась в прошедший понедельник. Мы отгрузили нашему постоянному клиенту 4 новых рабочих станции и одну ремонтную, с заменой материнской платы. Как говориться, ничто не предвещало беды, однако во вторник утром системный администратор клиента озадачил нас возникшей проблемой - ни на одной из рабочих станций не применяются групповые полититки, точнее применяются, но как-то сугубо выборочно. Проблема усугублялась тем, что большая часть корпоративного софта устанавливалась именно через GPO и устанавливать это все руками админу явно не улыбалось, да и оставлять без внимания проблему такого уровня тоже не стоило.\nМы тщательно проверили конфигурацию AD, исправив походя несколько незначительных ошибок, но вскоре выяснили, что проблема проявляется только на новых ПК, уже существующий парк компьютеров обрабатывал групповые политики как положено. Поэтому решено было изучить журналы событий с этих ПК, первое что мы увидели, это ошибка NETLOGON, которая сообщала, что нет доступного контроллера домена: В журнале Приложения также нашлась аналогичная ошибка о том, что не удалось получить имя контроллера домена: В связи с чем была еще раз проверена конфигурация DNS серверов, однако каких либо проблем выявлено не было, поэтому мы углубились в дальнейшее изучение логов и нашли там что-то интересное: На первый взгляд невинное сообщение, что система обнаружила сетевой адаптер и инициировала через него нормальную работу. Но это событие стоит в списке выше сообщения об ошибке, а следовательно произошло позже. Ситуация начала немного проясняться, если на момент выполнения стека групповых политик сетевой адаптер оказался недоступным, то вполне логично ожидать сбоя в их применении.\nТеперь мы знаем, что искать, поиск по коду ошибок быстро привел нас к статье 326152 базы знаний Miсrosoft из которой следовало, что виной всему гигабитные сетевые адаптеры и функция проверки сетевого состояния системы. Дело в том, что данная функция определяет состояние сетевого адаптера и, если он отключен или недоступен, то все привязанные к нему сетевые протоколы дезактивируются.\nВ тоже время на начальном этапе загрузки драйвер сетевого адаптера пытается определить тип сети и установить параметры передачи данных, для системы в этот момент адаптер недоступен и применение групповых политик оказывается невозможным. Для устранения этой проблемы следует воспользоваться исправлением Microsoft Fix it 50492, которое достаточно скачать и запустить на целевом ПК.\nДействительно, после применения исправления и перезагрузки все заработало как надо, а в нашу копилку знаний добавился еще один случай. Мы надеемся, что данный материал окажется вам полезен и позволит при возникновении подобной ситуации сэкономить время и силы, которые мы потратили на решений данной проблемы.\n","id":"bedf1a96d2d794a6478f56728177f94f","link":"https://interface31.ru/post/windows-xp-ad-gigabit-ethernet-trouble/","section":"post","tags":["Active Directory","Windows XP","Службы каталогов"],"title":"Windows XP. Проблемы с подключением к контроллеру домена и применением групповых политик на ПК с Gigabit Ethernet"},{"body":"Как обычно, начнем с теории. Чтобы успешно установить и устранить причину появления BSOD, нужно обладать определенным минимумом знаний, проливающих свет на природу этого явления. А для этого нам придется обратиться к внутреннему устройству операционной системы.\n\u0026quot;Синие окна смерти\u0026quot; (BSOD) до сих пор являются для многих явлением весьма загадочным и даже мистическим. К сожалению, действия администраторов при появлении \u0026quot;синего окна\u0026quot; зачастую напоминают шаманские пляски с бубном, нежели осмысленную диагностику и устранение проблемы. Чем мы сегодня и займемся.\nСобственно BSOD есть ни что иное, как сообщение системы о критической ошибке, когда продолжение нормальной работы невозможно, произошедшей на уровне ядра ОС. Теперь самое время вспомнить, что архитектура NT, которая лежит в основе всех современных ОС семейства Windows, имеет модульную структуру и имеет два основных уровня: компоненты работающие в пользовательском режиме и компоненты работающие в режиме ядра.\nВ пользовательском режиме выполняются приложения и большинство системных служб, данный режим имеет ограниченный доступ к ресурсам и оборудованию. Вполне понятно, что сбой приложения или службы работающей в пользовательском режиме затрагивает только это приложение и зависимые от него, при этом всегда имеется возможность завершить некорректно работающую программу или это произойдет автоматически.\nВ режиме ядра исполняются ключевые системные службы: собственно ядро ОС, менеджеры ввода-вывода, процессов, памяти и т.д., а также драйвера устройств. Любой процесс работающий в режиме ядра имеет неограниченный доступ к ресурсам и оборудованию и некорректная работа любого из них способна привести к краху всей системы.\nВнимание! Запомните: единственный доступный пользователю способ добавить новый код, работающий в режиме ядра, это установка драйвера. Также это реальный способ убить систему. Недаром разработчики уделили этому вопросу самое пристальное внимание и система выводит грозные предупреждения при попытке установить сомнительный драйвер (а то и вовсе блокирует его установку).\nВыделим основные причины критических сбоев:\nОтказ оборудования. Одна из самых часто встречающихся причин, к ее разновидностям стоит отнести работу оборудования в нештатных режимах: разгон, перегрев и т.п. В ряде случаев к этому приводят неправильные настройки BIOS или ошибки в нем.\nОшибки в драйвере. Занимают почетное второе место, особенно при использовании драйверов не имеющих WHQL подписи. Также сюда можно отнести ошибки вызванные приложениями устанавливающими в систему собственные драйвера: антивирусы, дисковые утилиты, программы для записи дисков и т.п. Чаще всего ошибки вызывают несовместимые версии данных приложений.\nИзменение кода, работающего в режиме ядра. Это может быть как несанкционированное изменение, например заражение вирусами, так и вполне легальное: установка непроверенных обновлений и драйверов.\nКонечно, это очень упрощенная модель, но вполне достаточная для понимания причин сбоев и осмысленного подхода к их устранению.\nПерейдем от теории к практике. Увидеть классическое синее окно сегодня можно редко, только если сбой произошел при установке или на ранней стадии загрузки, в остальных случаях система самопроизвольно перезагружается.\nЭто происходит потому, что по умолчанию в современных ОС установлена опция \u0026quot;Выполнять автоматическую перезагрузку при отказе системы\u0026quot;. В целях диагностики эту опцию рекомендуется снять. Для доступа к этим настройкам откройте Панель управления - Система - Дополнительные параметры системы - Загрузка и восстановление. Кроме того, не дожидаясь сбоев, установите в секции Запись отладочной информации значение Малый дамп памяти, это поможет нам при последующем анализе причин отказа. По окончании диагностики не забудьте снова включить автоматическую перезагрузку, даже если причина пока не найдена, гораздо лучше если сервер или ПК перезагрузится и продолжит работать дальше, чем будет радовать окружающих синим экраном (вы можете узнать об этом еще не скоро).\nИтак, в один не очень прекрасный день ваш ПК встретил вас синим экраном. Что делать? Ни в коем случае не паниковать и не предпринимать необдуманных решений, даже если нужно в кратчайшие сроки восстановить работу системы.\nСобственно синий экран уже содержит начальную техническую информацию о причинах сбоя, что позволяет тут-же приступить к диагностике и, в ряде случаев, успешно решить проблему не прибегая к другим методам анализа.\nМы в нашей тестовой лаборатории воспроизвели ситуацию, приводящую к появлению BSOD на завершающем этапе загрузки и теперь попробуем провести диагностику проблемы. Рассмотрим \u0026quot;синий экран смерти\u0026quot; подробнее: Он довольно информативен и даже содержит общие сведения по устранению проблемы, однако нас должна интересовать секция технической информации, а именно: код ошибки и драйвер вызвавший ее. Код ошибки присутствует в обязательном порядке и указан после слова STOP, информация о драйвере в данном случае отсутствует. Далее ищем информацию об ошибке с данным кодом на TechNet, в нашем случае выясняем, что сбой происходит в драйвере ntfs.sys по причине того, что некое приложение пытается получить доступ к служебным записям NTFS.\nЕсли система автоматически перезагрузилась и вы не видели синего экрана, то следует изучить журнал Система, который обязательно будет содержать запись о данном событии и код ошибки. Сделаем небольшое отступление. В случаях, когда диагностика указывает на системный драйвер, то чаще всего он не является причиной сбоя, а истинным виновником может являться взаимодействующее с ним приложение или аппаратный сбой. Также если машина каждый раз падает в \u0026quot;синюю смерть\u0026quot; с различными кодами ошибок (систему установить не удается) причина отказа скорее всего аппаратная: разгон, перегрев, неисправность памяти.\nСледующим шагом нужно установить, что является причиной отказа: системный драйвер или сторонний. Если система нормально грузится в обычном режиме, то причиной сбоев в большинстве случаев является сторонний драйвер или аппаратный отказ. Если загрузить систему не удается, делаем попытку загрузиться в безопасном режиме, если нам это удалось, то причина также лежит в сторонних драйверах, иначе - в системных.\nВ этом случае следует произвести тщательную диагностику железа и проверку системы на вирусы, так как причины кроются либо в аппаратном отказе, либо в разрушении или несанкционированной модификации системных файлов.\nНаша система благополучно загрузилась в безопасный режим, следовательно причину следует искать в стороннем драйвере. Как это сделать? Проанализировать мини-дамп, который содержит информацию о всех загруженных в момент сбоя драйверах. Для анализа дампа мы советуем использовать утилиту BlueScreenView, которая весьма проста в использовании и достаточно информативна. Утилиту можно установить как на сбоящую систему, так и на любой другой ПК. В последнем случае потребуется скопировать дампы с нужного ПК и указать путь к ним.\nРабота с утилитой очень проста. При запуске она автоматически ищет дампы в папке C:\\Windows\\Minidump, после чего в списке найденных дампов достаточно выбрать интересующий: Верхняя часть окна программы содержит список дампов с указанием кода и текста ошибки, а также драйвера причины. В нашем случае ничего нового, все тот-же ntfs.sys. А вот нижнее окно гораздо более интересно, особенно список драйверов выделенный розовым, это драйвера найденные в креш-стеке, т.е. любой из них может являться потенциальным виновником ошибки.\nПодробное изучение данного списка позволило выявить предполагаемый драйвер-причину: klif.sys - единственный сторонний драйвер, относящийся к продукту Антивирус Касперского. Действительно, после его удаления, система смогла нормально загрузиться и в дальнейшем работала стабильно.\nСправедливости ради отметим, что качество продуктов Лаборатории Касперского здесь не причем, мы сознательно использовали несовместимые версии: Антивирус Касперского для Windows File Servers 6.0.3.837 и Windows Server 2008 SP1.\nДанная ситуация несколько раз встречалась в нашей практике: антивирус без проблем устанавливается на сервер, а синее окно смерти вызывает при следующей загрузке после обновления баз, учитывая что сервера перезагружают довольно редко (после установки антивируса перезагрузка не требуется) сопоставить факт установки антивируса с фактом сбоя бывает иногда проблематично.\nК сожалению, объем данной статьи не позволяет подробно разобрать все случай появления \u0026quot;синих окон смерти\u0026quot; и методов борьбы с ними, однако мы надеемся, что данный материал окажет практическую помощь и позволит осмысленно подойти к анализу и устранению причин сбоя.\n","id":"9b7a6090252a361c62a0d8f44ac1496b","link":"https://interface31.ru/post/bsod-sinie-okna-smerti-bez-mistiki/","section":"post","tags":["BSOD","Windows 7","Windows Server","Windows XP","Восстановление системы"],"title":"BSOD. \"Синие окна смерти\" без мистики"},{"body":"Около года назад мы провели тестирование различных ОС и файловых систем, изучая их влияние на производительность файлового сервера. Сегодня, когда в обиход плотно входят твердотельные накопители (SSD) и выпущен релиз Samba c поддержкой протокола SMB2, наступило время провести новое тестирование, чтобы на практике выяснить, какие новшества действительно несут увеличение производительности, а какие представляют собой маркетинговые ходы.\nЧто и как мы тестировали Наше сегодняшнее исследование преследует две цели: изучить влияние SSD на производительность файлового сервера и ознакомиться с возможностями новой Samba с поддержкой протокола SMB2. Тестовая платформа осталась прежней, что дает возможность сравнить сегодняшние результаты с результатами прошлогоднего тестирования.\nДля тестирования использовались: жесткий диск Western Digital Caviar Blue (WD5000AAKS) емкостью 500 Гб массовой \u0026quot;синей\u0026quot; серии. И твердотельный накопитель (SSD) OCZ Agility 2 (OCZSSD2-2AGTE60G\u0026gt;) емкостью 60 Гб, также относящийся к бюджетной серии. Из программного обеспечения мы выбрали Windows Server 2008 R2 и Ubuntu Server 11.04, и файловые системы NTFS и ext4 соответственно. Почему Ubuntu Server 11.04, а не 10.04 LTS? Все просто, команда TRIM, без которой использование SSD лишено всякого смысла, поддерживается начиная с ядра 2.6.33 и в состав Ubuntu Server 11.04 входит Samba 3.5.8 которая поддерживает SMB2 (по умолчанию эта опция отключена).\nДля тестирования использовался пакет Intel NASPT 1.0.7 работающий в среде Windows 7 32-бита. Для каждой конфигурации проводилось 5 прогонов теста, предварительно было проведено еще 5 прогонов для \u0026quot;прогрева\u0026quot; кэша. Ниже приведены средние результаты, округленные до целых значений.\nФайловые операции Появление поддержки SMB2 в Samba дает свои плоды, результаты Ubuntu Server, в большинстве тестов приближаются к результатам Windows Server 2008 R2 и говорить о безоговорочном лидерстве последнего уже не приходится. Однако Ubuntu Server имеет определенные проблемы с записью, что хорошо видно в тесте File copy to NAS.\nЧто касается SSD, то в данной группе тестов преимущество весьма сомнительно, очевидно, что в данном случае решающую роль играет реализация сетевого протокола, нежели быстродействие файловой системы, хотя в реальных условиях SSD все таки покажет лучшие результаты, об это мы расскажем ниже.\nМультимедиа Воспроизведение Здесь Ubuntu Server и Windows Server идут практически вровень и выделить лидера не представляется возможным, разница находится в области погрешности измерений. И как раз здесь SSD проявляют себя во всей красе: в то время как HDD с ростом числа клиентов начинает резко снижать производительность, SSD не только поддерживает ее на прежнем уровне, но и имеет тенденцию к увеличению. Собственно данный пример хорошо показывает различие меду механическими и твердотельными накопителями, последние имеют гораздо более высокую скорость произвольного доступа, что хорошо продемонстрировал данный тест. В условиях многопользовательского доступа SSD однозначно предпочтительнее HDD.\nЗапись На запись результат довольно таки ровный, явного преимущества SSD здесь нет, т.е. опять на первый план выходят сетевые протоколы, а не быстродействие дисковой подсистемы. Что касается Ubuntu, то хорошо видны преимущества SMB2, система идет \u0026quot;дыша в затылок\u0026quot; Windows.\nВыводы Итоговые результаты выглядят возможно не так, как представляли себе читатели. Да, приходится признать, для большинства операций файлового сервера SSD не дают никаких преимуществ. Однако следует принять во внимание, что SMB2 даже при использовании массовых HDD практически полностью использует гигабитный канал и дальнейший рост производительности ограничен пропускной способностью сети.\nВ то же время SSD показывает отличные характеристики при увеличении числа клиентов, в то время как HDD диски начинают довольно существенно снижать производительность. Из чего можно сделать вывод, что переход на SSD для файловых серверов оправдан при большом количестве клиентских подключений, если же вы ожидаете увеличение скорости доступа к общему ресурсу, то вынуждены вас разочаровать - этого не произойдет.\nТакже неоднозначно выглядит сравнение Windows Server и Ubuntu Server, последний показал более низкие, но вполне сравнимые результаты, а с учетом того, что Samba и Ubuntu Server ничего не стоят, данное решение является весьма привлекательным для малого и среднего бизнеса.\nВ общем, можно сказать следующее: хотите сэкономить - берите Ubuntu Server, нужна высокая нагрузочная способность - ставьте SSD. Windows Server R2 в роли файлового сервера рекомендуем использовать для высоконагруженных систем или когда требуется плотная интеграция с Active Directory.\n","id":"31f2dce1aa2232099464b1826ca08d3e","link":"https://interface31.ru/post/faylovyy-server-vliyanie-ssd-na-proizvoditelnost/","section":"post","tags":["Samba","SMB","SSD","Производительность","Файловый сервер"],"title":"Файловый сервер. Влияние SSD на производительность"},{"body":"Бывают случаи, когда вы хотите или возникает необходимость включить автоматический вход в систему в Windows 7 или Windows Server 2008. Примерами могут быть машины в терминалах или лабораториях. Предлагаем вам перевод статьи нашего зарубежного коллеги, который рассказывает как это сделать.\nДля настройки автоматического входа в систему сделайте следующее:\nНажмите Пуск - Выполнить и введите control userpasswords2\nСнимите флажок Требовать ввод имени пользователя и пароль и нажмите ОК\nВ появившемся окне введите имя пользователя и пароль, которые следует использовать для входа в систему и нажмите кнопку OK Теперь при запуске компьютера будет производиться автоматический вход в систему с указанными учетными данными.\nКак только ваш компьютер присоединяется к в доменной сети, Windows удаляет значение AutoAdminLogon из следующего ключа реестра: HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon. Это приводит к скрытию флажка Требовать ввод имени пользователя и пароля в показанном выше окне настроек.\nЧто бы вернуть данную опцию и получить доступ к настройкам автоматического входа в систему, откройте командный интерпретатор (CMD) и введите в одну строку:\n1reg add \u0026#34;HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\u0026#34; /v AutoAdminLogon /t REG_SZ /d \u0026#34;1\u0026#34; /f Данная команда восстановит отсутствующий ключ реестра и сделает возможным настройку автоматического входа в систему как указано выше.\nТакже вы можете обнаружить, что вам необходимо указывать имя домена, в который необходимо произвести вход. В этом случае введите в командной строке следующее:\n1reg add \u0026#34;HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\u0026#34; /v DefaultDomainName /t REG_SZ /d \u0026#34;domain\u0026#34; /f Где domain - имя вашего домена. Теперь ваш ПК будет автоматически регистрироваться под выбранным пользователем в указанном вами домене.\nДанный способ работает в Windows 7, Windows Server 2008, и Windows Server 2008 R2.\nПо материалам:\nHow to Enable Autologon in Windows Server 2008 Workgroup Servers and Windows 7 Computers How to Enable Autologon for Windows Server 2008 Member Servers and Windows 7 Member Workstations Автор: Jeff Guillet\nПеревод: Уваров А.С.\nООО \u0026quot;Интерфейс\u0026quot;, РФ, Белгород.\n","id":"b783e09e71e40f1287b3ae6b2412a4fc","link":"https://interface31.ru/post/kak-vklyuchit-avtomaticheskiy-vhod-v-sistemu-dlya-windows-7-i-windows-server-2008/","section":"post","tags":["Active Directory","Windows 7","Windows Server"],"title":"Как включить автоматический вход в систему для Windows 7 и Windows Server 2008"},{"body":"Честно говоря, сегодня (а на дворе 2011 год) детских болезней от новых дистрибутивов Linux уже не ожидаешь. Тем более от дистрибутивов спонсируемых и выпускаемых бизнесом, а не непонятным сообществом. Но, тем не менее, досадные недоразумения все еще случаются. Сегодня мы расскажем как исправить небольшой, но весьма неприятный недочет в последней версии Ubuntu Server.\nПосле выпуска действительно удачного LTS релиза 10.04, который, в отличие от 8.04, не имел многих детских болезней и не требовал \u0026quot;доработки напильником\u0026quot;, мы не спешили изучать свежие выпуски Ubuntu Server, рассчитывая спокойно дождаться следующего LTS релиза. Но жизнь вносит свои коррективы, решив протестировать SSD в среде Ubuntu, мы столкнулись с тем, что полноценная поддержка необходимой команды TRIM реализована в ядрах 2.6.33 и выше, да и посмотреть на реализацию современных технологий, например протокола SMB2 в samba, нам тоже было интересно.\nИ вот у нас в руках свежий образ Ubuntu Server 11.04, уже предвкушая знакомство с новинками за прошедший год мы приступили к установке. Одно из первых впечатлений: кхм... какой \u0026quot;альтернативно-одаренный\u0026quot; человек додумался перекрасить установочное меню в розово-фиолетовый цвет? Заняться больше нечем было? Ладно, оставим это на совести разработчиков, хотя, на наш взгляд, подобная \u0026quot;веселая\u0026quot; палитра солидности продукту никак не придает. Тем более что еще со времен DOS сложилась классическая сине-серая палитра. Как видим, выбрав российские региональные установки, никаких проблем с русским языком нет. Однако сразу после установки выплывает одна неприятная особенность - вместо русских букв везде отображаются квадраты, а если учитывать, что весь софт ставится с учетом региональных установок, становится понятен масштаб проблемы. Система будет пытаться общаться с вами на русском языке, однако понять ее будет весьма затруднительно: Как выяснилось, разработчики \u0026quot;забыли\u0026quot; установить консоль с поддержкой кириллицы, видимо все были заняты гораздо более важным делом - раскраской установочного меню. Решается проблема в одну строку:\n1sudo apt-get install console-cyrillic После установки пакета, в открывшемся окне настроек, выберите сочетание клавиш переключения раскладки, оставив остальные опции по умолчанию, и перегрузите систему:\n1sudo reboot Проверяем, русские буквы отображаются как положено: Вроде бы ничего сложного, однако данный случай заставляет в очередной раз задуматься о перспективах Linux в корпоративном секторе. Уделяя внимание несущественным деталям, вроде внешнего вида, разработчики допускают весьма критичные баги. Исправить несложно, но осадок остается, мало ли что там еще \u0026quot;забыли\u0026quot;...\nПонятно, что это промежуточный релиз, для серьезного применения есть LTS, качество которого заслуживает наивысших похвал, но ведь для кого-то знакомство с Ubuntu Server может начаться именно с этого релиза и, к сожалению, на нем закончиться... Будем надеяться, что это всего лишь досадное недоразумение и новые релизы продукта будут поводом писать о новых возможностях, а не о новых проблемах.\n","id":"1021a63eedd9e2f34bb72db1b57ba342","link":"https://interface31.ru/post/ubuntu-server-1104-kvadraty-vmesto-russkih-bukv/","section":"post","tags":["Ubuntu Server"],"title":"Ubuntu Server 11.04 - квадраты вместо русских букв"},{"body":"Твердотельные диски (SSD) сравнительно новый и все еще довольно дорогой вид накопителя, поэтому принимая решение о приобретении SSD нужно учесть все особенности данной технологии, чтобы максимально использовать преимущества новых дисков и, по возможности, минимизировать влияние недостатков.\nТак как SSD представляют принципиально иной тип памяти, то многие, привычные, методы и правила работы с накопителями оказываются к ним неприменимы. Одной из наиболее серьезных проблем является деградация производительности SSD по мере его заполнения данными. Она выражается в существенном снижении скорости записи, снижая ее до значений среднего жесткого диска.\nПочему так происходит? Для этого вспомним, каким образом организовано хранение данных в современных системах. Эволюция жестких дисков привела к тому, что операционная система ничего не знает о физической структуре диска, которая еще на уровне BIOS преобразуется в логическую структуру с которой уже взаимодействует драйвер контроллера дисков. Фактически все взаимодействие ОС и накопителя заканчивается на уровне файловой системы. Все что находится глубже остается для ОС неким черным ящиком. С одной стороны это правильно, так как обеспечивает обратную совместимость и дает возможность старым ОС эффективно использовать новые накопители. Но в случае использования принципиально иной технологии хранения данных подобный подход добавил только новые проблемы.\nОсобенность используемой в SSD флеш-памяти типа NAND состоит в том, что запись может производиться только в свободные блоки, если блок уже содержит данные, то происходит считывание данных из него в кэш накопителя (или ОЗУ) - очистка блока - замена старых данных новыми - запись. Нетрудно заметить, что занятый блок увеличивает количество операций при записи с одной до четырех. На практике высокая скорость записи доступна до тех пор пока на SSD есть свободные блоки, по мере заполнения диска данными такие блоки заканчиваются и производительность на операциях записи начинает существенно падать.\nТеперь вспомним, о чем мы говорили чуть ранее. ОС не знает какие блоки SSD свободны, а какие нет, поэтому все операции с диском отдаются на откуп файловой системы у которой свои понятия о методах хранения информации. При удалении файла современные файловые системы не спешат физически удалять файл с диска, они просто помечают соответствующие блоки в таблице расположения файлов как свободные. Реально удаленные данные присутствуют на диске до тех пор, пока не будут перезаписаны новыми. При использовании механических жестких дисков такой подход полностью оправдан, так как позволяет избежать лишних обращений к механике диска (время произвольного доступа - главное больное место HDD), в тоже время разницы между записью в свободный и содержащий данные сектор у механических дисков нет.\nЗдесь мы подошли к главной проблеме, при использовании SSD система должна взаимодействовать с диском на уровне его физической структуры - блоков, только так можно использовать все преимущества данных дисков. Но это невозможно без кардинального изменения логики работы всех уровней системы хранения данных, что сделает ее несовместимой со всеми предыдущими технологиями. Поэтому разработчики пошли другим путем, введением специальной команды TRIM, которая уведомляет накопитель, что данные блоки больше не используются и он может их очистить. Это существенно улучшило ситуацию: ОС, определив что имеет дело с SSD, при удалении файла посылает накопителю команду TRIM, а он в свою очередь очищает указанные ячейки, делая снова возможной быструю запись в них. Все что требуется: это поддержка TRIM со стороны SSD и OC.\nЧто касается дисков, то здесь вопрос на сегодняшний день закрыт, все актуальные модели поддерживают TRIM, а для ранее выпущенных моделей существую новые прошивки. С операционными системами не все так радужно, TRIM на сегодняшний день поддерживают:\nWindows 7 Windows Server 2008 R2 Linux c ядром 2.6.33 и выше FreeBSD 8.1, ограниченная поддержка только для низкоуровневого форматирования, полная поддержка ожидается в FreeBSD 9. Сегодня наше теоретическое отступление оказалось неожиданно обширным, самое время проверить как обстоят дела на практике. После нашего тестирования SSD в феврале этого года мы решили подвергнуть один из дисков OCZ Agility 2 (OCZSSD2-2AGTE60G) продолжительному испытанию. Мы установили его в качестве дополнительного диска в сервер под управлением Windows Server 2003 и разместили на нем базы 1С:Предприятие 7.7 с суммарной нагрузкой в 30 пользователей. В начале этой недели мы сняли этот диск. Все последующие операции производились на Windows 7 SP1 64-бита.\nОсновной интерес для нас представляли два параметра: степень износа SSD и уровень производительности после продолжительной работы в системе без поддержки TRIM. Так как SSD имеет конечное количество циклов перезаписи, многие испытывают вполне обоснованные опасения по поводу пригодности SSD для высоконагруженных дисковых подсистем. Данный показатель можно узнать из S.M.A.R.T. таблицы накопителя. Для этого мы воспользовались удобной утилитой CrystalDiskInfo: Как видим, по поводу ресурса можно не беспокоиться, отработав 4 месяца в режиме активного использования диск по прежнему имеет это значение на уровне 100% и, как показывает практика, диск будет заменен как морально устаревший ранее чем выработает свой ресурс.\nТеперь перейдем к производительности, в наших февральских тестах диск показал следующие результаты: Посмотрим, что он покажет теперь: Результат работы без TRIM налицо: производительность операций записи снизилась на 15-40%, что весьма существенно. Внимательный читатель заметит, что тестирование мы проводили в ОС которая поддерживает TRIM, однако производительность так и осталась низкой. Все правильно, ОС не знает какие блоки свободны, а какие нет, поэтому наличие TRIM будет действовать только для вновь удаляемых данных.\nОднако на практике все гораздо хуже. Ни быстрое, ни полное форматирование, ни заполнение диска нулями при помощи специальных утилит не привели к желаемому результату: Да, есть от чего прийти в отчаяние, светлое будущее SSD перестает казаться таким светлым и заставляет задуматься о правильном вложении средств. Сегодня единственным реально работающим способом вернуть SSD былую производительность является использование фирменных утилит, однако это связано с полным уничтожением данных на диске. Мы воспользовались утилитой OCZ Toolbox, а именно функцией Secure Erase. После использования данной функции нужно перезагрузить ПК и заново создать раздел на SSD (текущий будет автоматически удален), форматирование нового раздела, несмотря на установленный флажок \u0026quot;Быстрое форматирование\u0026quot;, займет довольно продолжительное время, в итоге SSD будет полностью очищен. Проверим производительность: Ну, наконец то! Производительность вернулась к исходным показателям.\nВыводы: Что можно сказать по этому поводу? Практического смысла в приобретении SSD для систем не поддерживающих TRIM нет, лучше потратьте эти деньги на создание производительного RAID массива из SATA / SAS дисков. При использовании бывших в эксплуатации SSD обязательно произведите очистку диска фирменной утилитой и не забудьте проверить оставшийся ресурс диска. В остальном остается пожелать вам благоразумия и использовать SSD только в тех случаях, когда это действительно имеет смысл.\n","id":"3815069d622a019af113543c27c3290e","link":"https://interface31.ru/post/degradaciya-proizvoditelnosti-ssd-i-metody-borby-s-ney/","section":"post","tags":["SSD","TRIM","Производительность"],"title":"Деградация производительности SSD и методы борьбы с ней."},{"body":"Так уж повелось, что многие привычные для нас вещи становятся настолько привычны, что мы не замечаем происходящих с ними перемен, воспринимая их \u0026quot;на автомате\u0026quot;. Диалог запуска 1С знаком, пожалуй, каждому, работавшему с этой программой, и что в нем может быть нового? Вы тоже так думаете? Тогда эта статья для вас.\nНа самом деле диалог запуска 1С Предприятие 8.2 имеет достаточно много возможностей, которые таятся под кнопкой Настройка, но далеко не все их знают и используют, а зря. Посмотрим, что-же приготовили нам разработчики. Если с параметрами отображения и каталогами шаблонов все понятно, то следующие два пункта представляют безусловный интерес. Остановимся на них подробнее.\nСписки общих информационных баз. Не будет преувеличением назвать списки общих баз 1С кошмаром любого системного администратора. Во времена 1Сv77 базы приходилось прописывать на каждом компьютере отдельно и при любом изменении повторять эту процедуру, а если компьютеров не один десяток...\nДа, есть от чего загрустить... Но с выходом платформы 8.1 появилось понятие списка общих информационных баз, что позволило свести данную процедуру к однократному указанию пути к данному списку в диалоге запуска.\nСписок информационных баз 1С платформы 8.х хранится в файле ibases.v8i, который хранится в каталоге C:\\Users\\Имя_Пользователя\\AppData\\Roaming\\1C\\1CEStart для ОС Windows 7 (Vista) и в C:\\Documents and Settings\\Имя_Пользователя\\Application Data\\1C\\1CEStart для Windows XP. Достаточно прописать путь к необходимым ИБ на одном из ПК и открыть общий доступ к указанному файлу, после чего указать путь к нему в списке общих ИБ диалога запуска.\nНо не все так просто, любые изменения в списке баз на этом ПК мгновенно отразятся на всех компьютерах сети, что не всегда приемлемо. Поэтому мы советуем, сформировав нужный список баз, скопировать файл ibases.v8i в отдельную папку, открыв общий доступ уже к нему. При необходимости изменить список общих баз формируем на целевом ПК новый файл и выкладываем его на общий ресурс вместо старого.\nИспользуемые версии. Данный пункт появился в версии 8.2 и дает возможность использовать различные версии платформы для различных информационных баз. Эту возможность трудно переоценить.\nЧасто случается, что некоторые, регулярно обновляемые версии ИБ, например Бухгалтерия предприятия, работающие в файловом режиме в рамках отдела, требуют более новую версию платформы, чем работающие на сервере ИБ уровня предприятия и использующие более старые релизы.\nВ данном случае все решается просто, достаточно указать версию для платформы 8.2 (используемой по умолчанию) и платформы 8.2.х, которой требуется более новый релиз. Например так: В данном случае все текущие и вновь созданные базы будут использовать релиз 8.2.13.205, так как по умолчанию в качестве используемой версии 1С Предприятие указывается 8.2. Для баз, требующих более свежий релиз, нужно воспользоватся кнопкой Изменить в диалоге запуска и в соответствующем окне указать необходимую версию. После того, как все ваши ИБ будут готовы к работе с новым релизом платформы, вам будет нужно один раз изменить соответствие версий в диалоге запуска, не затрагивая настройки каждой ИБ.\nКак видим, новый стартовый диалог предоставляет нам много новых возможностей, остается только вовремя их изучить и использовать.\n","id":"fb2f71c150f978c26a96c27abf17f372","link":"https://interface31.ru/post/1s-predpriyatie-82-vozmozhnosti-dialoga-zapuska/","section":"post","tags":["1С Предприятие 8.х"],"title":"1С Предприятие 8.2 Возможности диалога запуска"},{"body":"Настройка программного RAID массива в среде Windows гораздо более простая задача, чем под Linux системами, однако и она имеет свои особенности. Зачастую неполные и отрывочные знания в данной области приводят к сложностям, а в среде администраторов ходят мифы и легенды о \u0026quot;капризности\u0026quot; и \u0026quot;глючности\u0026quot; данного механизма в Windows. В данной статье мы постараемся заполнить этот пробел.\nПеред тем как продолжить, снова вспомним основной принцип построения аппаратных массиво: один элемент массива - один физический диск. Основа программных массивов - логический диск. Понимание этой разницы - залог успеха, то что применимо к аппаратному массиву, может оказаться катастрофическим для программного, особенно если речь идет об отказе одного из элементов массива.\nДля создания программного RAID в среде Windows нам понадобится познакомиться с понятием динамического диска, так как программные массивы могут быть созданы только на них. Репутация динамических дисков неоднозначна, многие администраторы шарахаются от них, как черт от ладана. А зря, запомнив несколько простых правил работа с динамическими дисками становится столь же проста как с обычными.\nГлавное правило: установка или загрузка Windows с динамического тома возможна только в том случае, если этот диск был преобразован из системного или загрузочного тома. Т.е. если у вас стоит несколько экземпляров ОС, то после преобразования диска в динамический вы сможете загрузить лишь тот экземпляр, который находится на загрузочном разделе.\nИсходя из этого правила становится очевидно, что для загрузочного и системного томов возможно создание только зеркального массива (RAID1), создание иных видов массива невозможно, так как они подразумевают установку системы на заранее созданный раздел.\nА стоит ли овчинка выделки? Несмотря на все ограничения, стоит. Основной недостаток аппаратных массивов - привязка к конкретной модели контроллера. Если у вас сгорела материнская плата или контроллер, вам понадобится точно такой же (или материнская плата с аналогичным контроллером), иначе с данными можно попрощаться. В случае программного RAID достаточно машины с установленным Windows Server.\nНа практике работа с программными массивами и динамическими дисками производится через оснастку Хранение - Управление дисками в Диспетчере сервера. Для преобразования дисков в динамические достаточно щелкнуть на одном из них правой кнопкой мыши и выбрать Преобразовать в динамический диск, в открывшемся окне можно выбрать для преобразования сразу несколько дисков. Стоит помнить, что эта операция необратимая и особое внимание следует уделить системному разделу, переразметить загрузочный диск у вас уже не получится (точнее он после этого перестанет быть загрузочным), единственное, что вы сможете - это расширить том за счет неразмеченного пространства.\nСледующим шагом станет создание массива, щелкаем правой кнопкой мыши на нужном томе и выбираем желаемый вариант, в случае с системным и загрузочными томами вариант будет один - зеркало, потом вам будет предложено выбрать диск для размещения зеркального тома. По завершению создания массива тут же начнется его ресинхронизация. Подключив дополнительные диски мы получим гораздо более широкие возможности, вы можете как объединить несколько дисков в отдельный том, так и создать RAID 0, 1 или 5. В общем ничего сложного, однако множество ограничений способны отпугнуть кого угодно. Но не спешите делать скоропалительных выводов, по здравому размышлению никаких серьезных препятствий нет, так как обычно принято разносить систему и данные по разным дискам, учитывая копеечную стоимость современных дисков, это не влечет существенных затрат. Мы, например, для нашего тестового сервера создали зеркало для системного диска и RAID5 для данных. Причем все это удовольствие можно реализовать на самой обычной бюджетной материнской плате, учитывая, что производительность программного массива ничем не отличается от дешевых аппаратных, данная технология выглядит очень привлекательно. О методах обеспечения отказоустойчивости и действиях при отказе дисков мы поговорим в нашей следующей статье.\n","id":"c7a9284e44908949d3feecdc51ec7a28","link":"https://interface31.ru/post/windows-server-nastraivaem-programmnyj-raid/","section":"post","tags":["RAID","Windows Server","Файловый сервер"],"title":"Windows Server. Настраиваем программный RAID"},{"body":"Не столь давно мы рассматривали настройку корпоративного IM-сервера Openfire на платформе Ubuntu Server. Как показали читательские отклики, интерес к этой теме достаточно велик, в том числе и к реализации данного решения в среде Windows. В данной статье мы решили рассмотреть особенности, с которыми придется столкнуться администратору, решившему установить Openfire на данной платформе.\nМы не будем рассматривать процесс установки и настройки полностью, он был детально нами описан в предыдущей статье, а остановимся на характерных особенностях связанных с использованием Windows Server и SQL Express.\nИ почему все таки Openfire? Ответ прост, на сегодняшний день это лучшее решение корпоративного уровня, стабильное, простое в установке и настройке, полноценно интегрирующееся в Active Directory. Наша попытка подружить AD и ejabberd (как альтернативу Openfire) не увенчалась успехом. Несмотря на то, что данная связка в конце концов заработала, рекомендовать ее к применению мы категорически не можем.\nПерейдем к практической части. В качестве серверной ОС мы использовали Windows Server 2008 R2. В нашей тестовой лаборатории были приняты следующие обозначения: SRV01 - контроллер домена (10.0.0.1), SRV03 - Jabber сервер (10.0.0.3), interface31.local - имя домена.\nУстановка Openfire для Windows предельна проста, достаточно скачать инсталляционный пакет и установить его привычным образом. После установки вы увидите окно запуска сервера, позволяющее запустить, остановить и открыть его административную панель. 1cd C:\\Program Files (x86)\\Openfire\\bin Установим Openfire как службу и запустим ее:\n1openfire-service /install 2openfire-service /start После чего перейдем в оснастку Службы и убедимся, что служба Openfire создана, работает и имеет автоматический тип запуска. Теперь, набрав в браузере http://localhost:9090, можно приступать к настройке сервера. Однако не будем спешить, для работы IM-сервера нам потребуется база данных. Если у вас в сети развернут сервер БД, то можно использовать его, в небольших сетях можно попробовать обойтись встроенной БД, мы же рекомендуем использовать MS SQLExpress. Возможностей этой версии СУБД с лихвой хватает для данного сервиса, а использование автономной БД повышает надежность и снижает зависимость от других служб и сервисов.\nБесплатно SQLExpress можно получить здесь, при этом не забываем о необходимой разрядности (в нашем случае 64 бита). Перед установкой SQL сервера необходимо добавить роль Сервер приложений, выбрав в опциях Платформа .NET Framework 3.5.1, в более ранних выпусках Windows Server вам потребуется установить .NET Framework отдельно.\nПри установке SQLExpress в качестве Authentication Mode выбираем Mixed и указываем пароль для SQL администратора sa. Сразу после установки идем в SQL Server Configuration Manager и проверяем состояние службы SQL Server Browser. При установке по умолчанию она остановлена. Заходим в свойства и устанавливаем для нее автоматический тип запуска, после чего запускаем. Затем переходим в SQL Server Network Configuration и включаем протокол TCP/IP, не забываем перейти на закладку IP Adresses и явно включить использование протокола для нужных интерфейсов (127.0.0.1 и 10.0.0.3). Перезапустим SQL Server.\nТеперь создадим новую БД, для этого откроем SQL Server Management Studio, обратите внимание что для входа нужно использовать имя_хоста\\имя_экземпляра_SQL, в нашем случае SRV03\\SQLEXPRESS. В открывшемся дереве находим пункт Databases и щелкнув на нем правой кнопкой мыши создадим новую БД, достаточно только указать название (в нашем случае openfire), оставив остальные параметры по умолчанию. Теперь, настроив SQL сервер и создав базу данных, можно переходить к настройке Openfire через веб интерфейс. Процесс настройки ничем не отличается от уже рассмотренного нами, за исключением того, что при настройке БД необходимо выбрать Microsoft SQLServer и указать следующую строку База данных URL:\n1jdbc:jtds:sqlserver://SRV03/openfire;appName=jive; instance=SQLEXPRESS Имя пользователя должно быть sa с паролем установленным нами на стадии установки SQL сервера. Если все сделано правильно, то Openfire успешно соединится с БД и вы сможете продолжит настройку по уже знакомому сценарию.\n","id":"b9e82f06b506f36a3bcc3c4c6c4ac5c5","link":"https://interface31.ru/post/openfire---osobennosti-ustanovki-na-platforme-windows-server/","section":"post","tags":["Active Directory","Jabber","Java","Openfire","Windows Server"],"title":"Openfire - особенности установки на платформе Windows Server"},{"body":"Многие системные администраторы, использующие Windows Server 2003, пользуются Планировщиком заданий для выполнения различных повторяющихся операций: резервное копирование, автообмен, задачи обслуживания и т.п. Однако инфраструктура имеет свойство развиваться и иногда требуется перенести базу планировщика заданий на другой сервер.\nЧаще всего при миграции отдельных или всех ролей на новый сервер стараются максимально сохранить существующую структуру расположения данных, пространства имен и прочие настройки, дабы свести к минимуму необходимость перенастройки клиентского ПО и связанных с этим перерывов в работе. Это позволяет попробовать перенести и задания планировщика, чтобы не создавать их заново. Тем более сделать это несложно.\nЧто представляет из себя задание? Это специальный файл с расширением .job хранящийся в C:\\Windows\\Task. Очевидно, что их можно просто скопировать. Это можно сделать прямо из окна Назначенные задания Панели задач. В целевой системе производим обратную процедуру, следует учесть, что перетащить файлы в папку Назначенные задания нельзя, но можно вставить используя меню по правой кнопке мыши. Проверяем и, если необходимо, корректируем пути. Также стоит учесть один момент - учетные данные не переносятся в целях безопасности, поэтому если вы ничего не меняли в задании, то зайдите в его свойства и, нажав кнопку Задать пароль, укажите пароль того пользователя под чьим именем должно исполняться задание. В любом случае при возникновении каких либо проблем в первую очередь следует обращаться к журналу планировщика, для этого в окне Назначенные задания выберите меню Дополнительно в котором нас интересует пункт Просмотреть журнал. Если вы проигнорировали предыдущую рекомендацию, то в журнале получите запись следующего плана:\n\u0026quot;TIS2011-weekly.job\u0026quot; (ntbackup.exe) 07.06.2011 23:46:44 ОШИБКА\u0026quot; Попытка получения учетных данных для указанного задания окончилась неудачей, поэтому задание выполнено не было. Либо произошла ошибка, либо для этого задания отсутствуют учетные данные.\nОшибка 0x8004130f: Учетная запись для указанного задания не найдена в базе данных безопасности планировщика заданий.\nОднако не все так просто, как правило задание это всего лишь список команд, запускающих определенные программы и утилиты с установленным набором настроек. Так, например, при запуске заданий резервного копирования мы получим сообщение что задание завершено с кодом 1f (само задание будет не выполнено). Журнал планировщика никаких подробностей нам не сообщит. Самое время обратиться к системным журналам. В журнале Приложение находим интересующую нас запись: Из данной записи можно сделать вывод, что отсутствует файл, требующийся службе архивации. Еще раз идем в свойства задания и смотрим полный путь к этому файлу. Дальше дело техники: скопировать данные файлы из исходной системы в целевую. Если необходимые папки в целевой системе отсутсвуют, то их можно создать вручную или запустив соответствующую утилиту (второй путь предпочтительнее).\nПовторно запускаем задание, все должно работать. Что хочется сказать в заключение, данная статья не является готовым руководством, вслепую скопировать действия вряд-ли получится. Мы хотели показать последовательность действий и используемый инструменты. Если вы подойдете к данной задаче осмысленно, анализируя происходящие в система процессы - мы уверены, у вас все получится. Как всегда, ждем ваших комментариев.\nДополнительные материалы: Перенос заданий планировщика из Windows Server 2003 в Windows Server 2008/2012.\n","id":"e08354da06fc41cdce82a739830719e8","link":"https://interface31.ru/post/windows-server-2003-perenos-planirovshhika-zadanij/","section":"post","tags":["Windows Server"],"title":"Windows Server 2003. Перенос планировщика заданий"},{"body":"При развертывании WSUS системные администраторы зачастую слабо представляют реальные требования этой службы к дисковому пространству. Поэтому через некоторое время им приходится столкнуться с ситуацией катастрофической нехватки свободного места. А учитывая, что WSUS редко разворачивают на выделенном сервере, о том что место кончилось иногда узнают только после отказа других служб и ролей сервера.\nПриятного мало, что и говорить. Поэтому меры для обеспечения службе WSUS необходимого дискового пространства следует принять заранее. Вначале сделаем традиционное теоретическое отступление, чтобы вам было понятно, из каких частей состоит база WSUS, какую роль они играют и насколько критичными являются.\nСобственно все данные службы WSUS можно разделить на две основные части: базу данных и базу обновлений. База данных содержит в себе сведения о компьютерах, обновлениях и их статусах, одобрениях и т.д. и т.п. Фактически все, что вы видите в отчетах WSUS берется из этой базы. Для ее хранения может использоваться SQL сервер или встроенная БД Windows, ее размер редко превышает единицы гигабайт, иначе есть смысл задуматься о создании подчиненных серверов WSUS. База обновлений представляет собой файловую структуру в которой хранятся все скачанные обновления, в зависимости от разнообразия ПО, языковых версии, выпусков и т.д. ее размер может достигать сотен гигабайт и верхний предел в принципе неограничен.\nКакие выводы можно сделать? Правильно, база данных WSUS является для данной службы критичной, ее потеря равнозначна критическому отказу службы. С точки зрения критичности для предприятия, полный отказ WSUS трудно назвать значимым событием, но в любом случае лучше не допускать подобного развития событий. В тоже время база обновлений не имеет особой критичности, в случае чего она всегда может быть скачана заново. Отсюда виден сценарий дальнейших действий: выделение отдельного жесткого диска для хранения базы обновлений, в данном случае вполне можно обойтись одиночным диском, не создавая отказоустойчивых массивов, что позволяет минимизировать затраты.\nИтак, новый диск куплен и подключен к серверу. Как правильно перенести на него базу обновлений? Для этой цели будем использовать штатную утилиту wsusutil. Однако перед ее использованием мы советуем произвести ряд подготовительных действий, позволяющих существенно повысить удобство ее использования. В частности стоит добавить путь к данной утилите в переменную PATH, что позволит обращаться к ней непосредственно по имени, без указания полного пути. Для этого выберем Панель управления - Система - Дополнительные параметры системы - Дополнительно - Переменные среды. Находим переменную PATH и в самый конец, через точку с запятой, без пробелов добавляем путь к утилите wsusutil: C:\\Program Files\\Update Services\\Tools Теперь запускаем командную строку и набираем wsusutil, если все сделано правильно вы увидите вывод списка справки по командам. Нас интересует команда movecontent, которая позволяет перемещать базу обновлений в пределах одной системы. Для получения справки по команде наберем:\n1wsusutil help movecontent Как видим синтаксис команды очень прост и лаконичен: Вам потребуется указать новую папку для базы обновлений (она уже должна быть создана), путь и имя для файла журнала, в котором будет вестись лог переноса. Отдельного пояснения стоит параметр -skipcopy, он позволяет перенести структуру базы обновлений не копируя сами обновления, это обосновано, например, при некритическом отказе диска (посыпался), когда копирование данных сопряжено с определенными проблемами. В этом случае отсутствующие файлы обновлений будут скачаны при ближайшей синхронизации.\nТак, например, чтобы перенести базы обновлений с диска D: на диск E: следует отдать команду:\n1wsusutil movecontent E:\\WSUS E:\\WSUS\\wsus.log После чего можете смело идти пить кофе, в зависимости от размера переносимой базы выполнение команды может занять длительное время. По окончании процесса стоит проверить лог, при успешном переносе он должен содержать примерно следующее: Все что вам остается, это проверить работоспособность службы и удалить ставшие ненужными файлы базы обновлений по старому пути.\n","id":"013189ce36a8c833d15c15a85ec45c17","link":"https://interface31.ru/post/wsus-perenos-bazy-obnovlenij-na-drugoj-disk/","section":"post","tags":["Windows Server","Windows Update","WSUS"],"title":"WSUS. Перенос базы обновлений на другой диск"},{"body":"Программный RAID массив - неплохое решение для серверов начального уровня, особенно не имеющих такой функции на материнской плате. Как показали наши тесты, программная реализация массива ни в чем не уступает реализации средствами южного моста или дополнительного контроллера. Вместе с тем создание программного RAID несколько более сложно, так как требует определенного уровня знаний. Сегодня мы расскажем как создать такой массив средствами Ubuntu.\nПеред тем, как брать в руки мышку, следует разобраться с тем, каким образом реализован программный RAID в конкретной операционной системе. Вы должны четко представлять себе схему работы массива, прежде чем браться за его настройку. Это послужит залогом того, что вы все сделаете правильно и вам не будет мучительно больно за потерянные данные.\nВ аппаратном RAID-массиве логической единицей массива служит физический диск, сам массив представляет собой группу дисков работающих по определенному алгоритму, операционной системой такой массив воспринимается как единый накопитель, работа с которым ничем не отличается от работы с одиночным диском. На этой концепции основаны основные алгоритмы и правила построения массивов, один элемент массива - один жесткий диск, запомните это, мы еще не раз будем возвращаться к этому правилу.\nПрограммный RAID устроен несколько иначе, операционная система воспринимает каждый жесткий диск как отдельную единицу оборудования, объединяя их в массив на начальной стадии загрузки, при помощи специального драйвера.\nОсновой программного RAID в Ubuntu является логический диск, именно из них создаются массивы, имеющие названия md-устройств, т.е. создание массива происходит не поверх физической структуры (жестких дисков), а поверх существующей разметки (логических дисков). Ниже показан пример такого массива: Два жестких диска sda и sdb содержат логические диски sda1 и sdb1, на базе которых создан программный массив md0, отформатированный под ext4 и содержащий корневую файловую систему. Важная особенность: одно md-устройство может содержать один логический диск. Если вы хотите создать массив содержащий корневой раздел, раздел подкачки и, допустим, /home вам придется создать три md-устройства.\nЭта же особенность позволяет использовать один набор физических дисков для создания на них разных типов массивов (аналогично технологии Intel® Matrix Storage). Используя те-же самые два диска можно создать скоростной массив RAID0 для системы и отказоустойчивый RAID1 для данных: Также это позволяет более рационально использовать дисковое пространство, использовав под RAID массив только часть диска, оставшиеся части вы можете разметить и использовать на собственное усмотрение. Как видим, программный RAID гораздо более гибок и предоставляет весьма много возможностей.\nОднако есть ложка дегтя в бочку меда. Стоит помнить, что RAID0 не является отказоустойчивым и при отказе одного из дисков произойдет полный отказ массива. При некритическом отказе диска RAID0, в отличие от остальных уровней RAID, не позволяет извлечь сбойный диск и заменить его исправным, вам потребуется создать аналогичный исправный массив и скопировать на него раздел с аварийного массива.\nПерейдем от теории к практике. В качестве базовой системы мы использовали Ubuntu Server 10.04 LTS, цель - настроить программный RAID1 (зеркало) и обеспечить с него загрузку системы.Начинаем установку системы обычным образом, пока не дойдем до этапа разметки дисков. Отказываемся от автоматической разметки и выбираем ручной метод: На следующем экране выбираем один из жестких дисков и нажимаем Enter: Программа разметки предложит создать на диске новую, чистую таблицу разделов. Соглашаемся. Ту же самую операцию проделываем для второго диска. Чтобы не создавать лишнее md-устройство обойдемся без раздела подкачки, Ubuntu вполне может использовать для этих целей специальный файл (как Windows и MacOS). Его созданием мы займемся сразу после установки. Теперь выбираем свободное место и создаем один раздел на весь размер диска, повторяем эти же действия и для второго HDD. В данном случае несущественно какие разделы, с какой файловой системой и точкой монтирования вы создадите, все равно созданный массив придется форматировать заново. Главное идентично разметить оба диска. В данном примере мы создали два корневых раздела на весь размер диска.\nСледующим шагом выбираем пункт Настройка программного RAID, затем Создать MD-устройство, после чего выберите желаемый тип RAID массива: Потом укажите количество дисков в создаваемом массиве (для зеркала минимум 2) и количество резервных дисков, которые будут использоваться при отказе основных (укажите 0). Теперь укажите разделы из которых вы хотите создать массив: По окончании создания массива вы снова окажетесь в окне разметки дисков, так как наш массив не содержит никаких разделов их нужно создать. Для этого выбираем свободное место (указано просто как емкость массива) и жмем Enter: Указываем, каким образом мы хотим использовать данный раздел. В данном случае это будет корневой раздел с файловой системой ext4: В конце этапа разметки вы получите сообщение об отсутствии раздела подкачки, продолжаем без его создания, после этого вы получите предупреждение на английском, суть которого сводится к следующему: разрешить или нет загрузку с отказавшего массива? В целях обеспечения беспрерывной работы следует ответить утвердительно, но следует помнить, что это потенциальная угроза сохранности данных и необходимо обеспечить регулярный контроль за состоянием массива. На этом создание массива можно считать законченным, можно продолжать установку, никаких отличий от установки на одиночный диск нет. Закончив установку, первым делом займемся файлом подкачки.\nПрежде всего создадим пустой файл нужного размера, для современных систем начального уровня вполне будет достаточно 1 ГБ (1024 МБ):\n1sudo dd if=/dev/zero of=/swap bs=1M count=1024 Теперь отформатируем его как файл подкачки:\n1sudo mkswap /swap Готово, осталось прописать опции монтирования при загрузке системы, для этого откроем /etc/fstab и в самый конец допишем строку:\n1/swap none swap sw 0 0 Перезагружаемся. Проверить состояние массива можно командой:\n1cat /proc/mdstat Если все в порядке вы увидите примерно следующий вывод: Информации немного, но вполне достаточно. Мы видим состояние массива, его тип и входящие в него диски, размер и прочие данные.Теперь можно настраивать необходимые серверные роли и вводить сервер в эксплуатацию. Вопросы обеспечения отказоустойчивости и замены отказавших дисков выходят за объем данной статьи, поэтому мы рассмотрим их в отдельном материале.\n","id":"8445b3801b0e7cb4488c9acc3237e60c","link":"https://interface31.ru/post/ubuntu-server-nastraivaem-programmnyj-raid/","section":"post","tags":["mdadm","RAID","Ubuntu Server","Файловый сервер"],"title":"Ubuntu Server. Настраиваем программный RAID."},{"body":"В прошлой статье мы разобрались, что такое служба каталогов и какие преимущества можно получить от ее использования. Сегодня мы расскажем о существующих реализациях служб каталогов, их достоинствах и недостатках, чтобы вы могли осознанно сделать выбрать решение, которое наиболее полно удовлетворит ваши запросы.\nЧто такое LDAP? Начнем, как всегда, с краткого ликбеза. Стандартом доступа к службам каталогов является протокол LDAP, на его базе построены практически все современные реализации служб каталогов. Использование LDAP позволяет унифицировать структуру записей каталога, что необходимо для совместимости продуктов различных производителей, поддержка LDAP гарантирует поддержку базовых возможностей любого современного сервера служб каталогов.\nЛюбая запись каталога имеет уникальное имя - DN, которое в свою очередь состоит из относительного уникального имени - CN, раздела - OU и класса объекта - DC. Например запись:\n1cn=SALES, ou=Отдел продаж, dc=example, dc=com обозначает компьютер SALES, находящийся в Отделе продаж и входящий в домен example.com, при этом не имеет значения какую именно из служб каталогов вы используете, запись будет выглядеть одинаково в любом из них. Однако кроме протокола LDAP, многие реализации имеют собственные расширения, которые могут быть несовместимы с LDAP, что делает невозможным их использование программными продуктами не имеющими полной поддержки конкретной реализации.\nActive Directory LDAP-совместимая реализация службы каталогов от Microsoft, является наиболее функциональной и самой популярной для Windows сетей. Входит в состав Windows Server и не требует дополнительного лицензирования. Active Directory является основополагающей частью инфраструктуры Windows. Помимо LDAP поддерживает большое количество собственных расширений, таких как групповые политики, позволяющие централизованно и единообразно настраивать пользовательское окружение рабочих компьютеров, устанавливать, удалять и обновлять ПО. Легок в администрировании. Наиболее полно все возможности Active Directory раскрываются в сочетании с другими продуктами Microsoft.\nOpenLDAP Открытая, кроссплатформенная реализация LDAP, наиболее полно поддерживает все возможности протокола, в связке с Samba представляет хорошую альтернативу AD, однако не поддерживает расширенные возможности последней (самые значимые из них - групповые политики). Однако все богатые возможности омрачаются сложностью настройки и администрирования, которое производится с помощью конфигурационных файлов, что требует от администратора глубоких знаний и осложняет освоение продукта. Кроме того OpenLDAP имеет ряд проблем совместимости с AD, что затрудняет его использование в \u0026quot;смешанных\u0026quot; сетях, где имеются серверные продукты Microsoft.\nOpenLDAP может являться хорошей заменой для AD в небольших сетях, а может стать большой головной болью для системного администратора, поэтому перед внедрением этого продукта мы советуем трезво оценить свои силы и знания, также не будет лишним пробное внедрение в тестовой среде.\n389 Directory Server Сервер каталогов корпоративного уровня разрабатываемый сообществом Fedora при поддержке Red Hat и входящий в коммерческие продукты последней. Ранее это проект назывался Fedora Directory Server, переименование связано с тем, что разработчики позиционируют продукт как универсальный, а не исключительно для Fedora / RHEL. Продукт, кроме всех возможностей LDAP предоставляет довольно удобные графические инструменты администрирования, в том числе и для Windows платформы, что делает его довольно простым в освоении, неплохо вписывается в Windows инфраструктуру.\nЕсли вы собираетесь внедрять данный продукт, то следует помнить, что на сегодняшний день готовые пакеты существуют только для Fedora / RHEL, при использовании других дистрибутивов будьте готовы к решению проблем по установке собственными силами.\nApache Directory Еще одна открытая реализация сервера каталогов от известного разработчика. Кроссплатформенн, так как написан на Java. Состоит из двух функциональных частей: сервера каталогов ApacheDS и средства администрирования Apache Directory Studio, которое отличительно тем, что поддерживает любой LDAP-совместимый сервер каталогов, а не только \u0026quot;родной\u0026quot;. Это позволяет использовать данный продукт например для администрирования OpenLDAP, особенно ценной является возможность запуска средства Apache Directory Studio в среде Windows.\nApache Directory - крайне интересный продукт, предоставляющий администратору весьма широкие возможности, если вы ищете бесплатный сервер каталогов, мы бы советовали обратить внимание именно на него. В дальнейшем мы предполагаем вести цикл публикаций по Службам каталогов в разрезе двух продуктов: Apache Directory и Active Directory.\nЗаключение Все реализации служб каталогов рассмотреть в рамках одной статьи невозможно, поэтому мы ограничились на самых интересный и зрелых из них. Что же осталось за кадром? Мы не касались дорогих брендовых систем типа Lotus Domino, имеющих в своем составе сервер служб каталогов, также не затрагивали продукты, будущее которых под вопросом, например Mandriva Directory Server.\nОтдельный абазац мы отведем домену Samba, данная реализация позволяет организовать простейший домен уровня Windows NT4, который сложно назвать полноценной службой каталогов, скорее единой точкой авторизации. Кроме того данное решение несовместимо с LDAP, а следовательно при росте инфраструктуры вы столкнетесь с проблемой миграции на полноценную службу каталогов. Поэтому рекомендовать и рассматривать домен Samba мы не будем.\nВ следующих материалах нашего цикла мы рассмотрим устройство и практическую реализацию служб каталогов на базе Active Directory и Apache Directory.\n","id":"4d1e67f0d4b69d98b18bdf75cb0e9f35","link":"https://interface31.ru/post/sluzhby-katalogov-chast-2-realizacii-sluzhb-katalogov/","section":"post","tags":["Active Directory","LDAP","Службы каталогов"],"title":"Службы каталогов. Часть 2 - Реализации служб каталогов"},{"body":"Программные конфликты - самый сложный вид неисправностей, так как не всегда удается выявить явную взаимосвязь между сбоями в работе одного продукта и присутствием в системе другого, особенно если на него даже не думаешь. Наша сегодняшняя заметка посвящена проблеме нестабильной работы 1С Предприятие 8.2 при установленных продуктах Лаборатории Касперского линейки 2011.\nС данной проблемой нам довелось столкнуться довольно давно, первые сообщения от наших клиентов стали поступать еще в начале года. Чаще всего наблюдался нестабильный запуск платформы, информационную базу удавалось загрузить со второго или третьего раза, предыдущие попытки заканчивались аварийным завершением работы. Так как подобные инциденты имели низкую степень критичности и особо не досаждали пользователям (так как происходили нерегулярно), то детального разбора не производилось. Все списывалось на проблемы релиза, операционную систему, положение звезд и т.д. Часто наши специалисты, выехав к клиенту, так и не могли воспроизвести проблему.\nБолее пристально наше внимание эта проблема привлекла после анализа обращений в поддержку, когда выявилось большое количество однотипных заявок, закрытых без устранения проблемы. Подлил масла в огонь и перевод Камина 3.0 на платформу 8.2, в ряде случаев этот программный продукт отказывался работать вообще, \u0026quot;падая\u0026quot; с ошибкой после двух-трех кликов мышкой. Аналогичная ситуация сложилась и с конфигурацией \u0026quot;Конвертация данных\u0026quot;. Также мы выделили определенное количество инцидентов, когда не удавалось создать информационную базу из шаблона, причем только определенного релиза Еще одной характерной чертой проблемы было отсутствие каких либо записей о сбое, как в логах 1С, так и в журналах Windows. Мы обратились в поддержку 1С и Камина в попытке решить эту проблему, но оказалось что мы искали не с той стороны.\nРешение, как всегда, нашлось случайно. В очередной наш визит к одному из клиентов специалист обновил релиз платформы, т.е. проверил работу на каждом из ПК, все было нормально. Вместе с этим он привез три коробки обновления Антивируса Касперского 2011, которые отдал сотруднику клиента, выполнявшему обязанности администратора. Не успел он уйти, как бухгалтера дружно стали жаловаться на нестабильную работу 1С.\nТак как единственным изменением была именно установка свежей версии Касперского, то подозрения сразу пали на нее. Действительно, стоило выгрузить антивирус, как все пришло в норму. Беглый поиск в базе знаний Касперского показал, что проблема эта известна и решена в последних релизах продуктов.\nТеперь все стало на свои места. Нестабильную работу 1С Предприятие 8.2 вызывают продукты \u0026quot;домашней\u0026quot; линейки 2011 (KAV и KIS), с корпоративными продуктами проблема выявлена не была. Несовместимыми являются все релизы 2011 линейки до 11.0.2.556. В то время как в коробках до сих пор встречаются релизы 11.0.1.4хх, поэтому либо сразу устанавливайте обновленную версию, либо оставайтесь на линейке 2010.\nВ заключение мы хотели бы снова заострить внимание корпоративных пользователей на правильном выборе ПО, если у вас в сети от 7 ПК и более, то стоит рассмотреть возможность приобретения корпоративных версий антивируса. В отличии от своих \u0026quot;домашних\u0026quot; собратьев, эти продукты проходят гораздо более тщательное тестирование на совместимость и с ними подобные проблемы практически не возникают.\n","id":"4d9e33410a40e91c6f3d150fba6631ec","link":"https://interface31.ru/post/kasperskij-2011-i-1s-predpriyatie-82/","section":"post","tags":["1С Предприятие 8.х","Kaspersky","Антивирус"],"title":"Касперский 2011 и 1С Предприятие 8.2"},{"body":"Не так давно мы рассматривали одну из реализаций IM-сервера на базе ejabberd. Сегодня мы расскажем еще об одном Jabber-сервере Openfire, который является неплохим решением для среднего размера сетей, на примере практической реализации корпоративной службы коротких сообщений с интеграцией в службу каталогов Active Directory.\nПочему Openfire? Данный продукт имеет ряд достоинств: настройку и управление через веб-интерфейс, возможность использовать SQL сервер для хранения данных, легкую интеграцию со службами каталогов. Есть и недостатки: повышенная ресурсоемкость (сервер написан на Java), поэтому мы рекомендуем выделять под Openfire отдельный сервер.\nХоть Openfire и кроссплатформенный продукт, мы советуем разворачивать его на платформе Ubuntu Server, что позволит более экономно использовать ресурсы и избавит вас от необходимости покупки еще одной серверной лицензии Windows Server.\nПриступим. Для установки будем использовать сервер с установленной на нем ОС Ubuntu Server 10.04.2 LTS. Так как Openfire требует java от Sun (ныне Oracle), то отредактируем /etc/apt/sources.list, подключив \u0026quot;партнерские\u0026quot; репозитории. Для этого найдите и раскомментируйте следующие строки:\n1deb http://archive.canonical.com/ubuntu lucid partner 2deb-src http://archive.canonical.com/ubuntu lucid partner Теперь обновим список пакетов:\n1sudo apt-get update Внимание! Внимание! В связи с отзывом Oracle лицензию на поставку Java в составе дистрибутивов Linux установить пакет sun-java6-jre по данной инструкции не представляется возможным. Для этого воспользуйтесь нашей статьей: Openfire и ситуация вокруг Oracle Java в Linux.\nУстановим Java от Sun:\n1sudo apt-get install sun-java6-jre Также нам понадобится веб-сервер с поддержкой PHP и сервер БД. В качестве первого мы использовали Apache, а в качестве второго MySQL. Установить все необходимое можно командой:\n1sudo apt-get install apache2 php5 mysql-server При установке MySQL сервер запросит ввести пароль для пользователя БД root (не путать с одноименным системным пользователем). Дополнительной настройки установленные пакеты не требуют.\nДля управления MySQL сервером через веб-интерфейс можно установить пакет phpMyAdmin:\n1sudo apt-get install phpmyadmin Установщик пакета предложит автоматически сконфигурировать веб-сервер, не забудьте отметить необходимый тип сервера (в нашем случае apache2) перед тем как продолжить. Теперь, когда все готово, приступим к установке Openfire. В репозиториях он отсутствует, поэтому скачаем пакет вручную с сайта производителя, предварительно перейдя в домашний каталог:\n1cd ~ 2wget \u0026#34;http://www.igniterealtime.org/downloadServlet?filename=openfire/openfire_3.7.0_all.deb\u0026#34; Данная ссылка актуальна для текущей версии Openfire и может измениться, уточнить ссылку вы всегда можете на сайте разработчика.\nСкачанный пакет установим командой:\n1sudo dpkg -i openfire_3.7.0_all.deb Готово, можно приступать к настройке, но перед этим выполним ряд подготовительных действий. В первую очередь добавим в DNS сервер предприятия запись типа А которая позволит клиентам обращаться к нашему серверу по имени хоста, а не по IP-адресу. В нашем примере имя сервера SRV-05 и адрес 192.168.0.105. После чего создадим базу данных для Openfire. Для этого наберем в браузере http://srv-05/phpmyadmin, если вы все сделали правильно, то увидите страницу входа, для авторизации используйте логин root и пароль пользователя БД указанный вами при установке. В веб интерфейсе на закладке Базы данных создайте новую базу, в нашем случае база называется openfire. Теперь наберите адрес http://srv-05:9090 по которому нам доступна административная панель Openfire, настройка довольно проста: укажите язык и параметры сервера. На этапе настройки БД выберите Стандартная База данных Связи, в следующем окне укажите тип базы - MySQL, ее URL (в качестве параметров [host-name] и [database-name] используйте localhost и имя базы) и авторизационные данные. Следующим шагом выберите Сервер директория (LDAP) и укажите параметры связи со своей службой каталогов. Тип сервера - Active Directory, хост - имя контроллера домена, База DN - домен или OU откуда будут считаны учетные записи, для домена example.com строка должна выглядеть так: dc=example, dc=com, ниже укажите имя и пароль администратора домена. Следующие настройки можете оставить по умолчанию и, в самом конце, выберите администраторов сервера, в его качестве может выступить любой пользователь домена. Укажите одно или несколько имен. На этом первичная настройка сервера будет закончена и вам будет предложено авторизоваться в админ-панели.\nПерейдем на закладку Пользователи/Группы и убедимся что данные из AD считаны нормально: Как видим \u0026quot;смешались в кучу кони, люди\u0026quot; - учетные компьютеров и пользователей добавились вперемешку, без какой либо разбивки по группам. Для упорядочивания списка пользователей с последующим добавлением в общий ростер сделайте следующее: в Active Directory создайте одну или несколько групп (например Openfire User) в которые добавьте необходимых пользователей. Затем перейдите на закладку Группы в админ-панели, найдите в списке групп созданную нами группу и включите ее в общий ростер, воспользовавшись блоком настроек Совместный список Теперь можно установить клиента и попробовать подключиться к серверу. В качестве клиента мы использовали Pandion, данный клиент имеет приятный дизайн, хорошо вписывающийся в корпоративную среду и, что немаловажно, поставляется в виде msi-пакета, что позволяет быстро развернуть его средствами GPO.\n","id":"84c18879fd45d06fa552eb60e03003b4","link":"https://interface31.ru/post/openfire-korporativnyj-im-server-s-integraciej-v-ad/","section":"post","tags":["Active Directory","Jabber","Java","MySQL","Openfire","Ubuntu Server"],"title":"Openfire - корпоративный IM-сервер с интеграцией в AD"},{"body":"Несколько дней назад нам потребовалось развернуть сервер на Ubuntu в виртуальной среде. Так как на выделенном под проект сервере уже стоял Windows Server 2008, выбор пал на Hyper-V, бесплатный гипервизор от Microsoft. В тоже время установка имеет ряд особенностей, о которых мы и поговорим в этой статье.\nПервоначально мы не собирались публиковать этот материал, есть отличная статья Андрея Бешкова, где данный вопрос довольно подробно рассматривается. Однако в процессе установки мы столкнулись с рядом особенностей, не описанных в статье и тем, что в нашем случае у системы отсутствует графический интерфейс, для опытного администратора это не представляет сложности, но у начинающих может вызвать затруднения.\nИтак, у нас имеется Windows Server 2008 SP2 c добавленной ролью Hyper-V и Ubuntu Server 10.04.1 LTS. В Hyper-V создаем стандартную виртуальную машину и начинаем установку системы с образа или диска. Одна неприятная особенность - в текстовом режиме перерисовка каждого экрана занимает 15-20 секунд, неприятно, но на процесс установки это никак не влияет.\nПервое серьезное предупреждение в процессе установки сообщит вам, что установщик не смог обнаружить сетевые интерфейсы. Это нормально, по умолчанию Ubuntu не поддерживает виртуальное оборудование Hyper-V, спокойно продолжаем установку. При установке откажитесь от автоматической установки обновлений, это очень важный момент, почему - поясним ниже.\nУстановив систему следует включить загрузку необходимых для полноценной работы в Hyper-V модулей, которые входят в ядро системы, но не включены. Учитывая что сети нет, и поставить даже mc вы не сможете, будем довольствоваться простым редактором nano. Для включения модулей необходимо отредактировать /etc/initramfs-tools/modules\n1sudo nano /etc/initramfs-tools/modules В открывшийся файл добавляем следующие строки:\n1hv_vmbus 2hv_storvsc 3hv_blkvsc 4hv_netvsc 5hv_utils Выходим по Ctrl+X утвердительно отвечая на предложение сохранить изменения.\nЗа что отвечают и для чего нужны эти модули?\nhv_vmbus - шина Hyper-V, основной модуль hv_storvsc- поддержка виртуального хранилища (виртуальный жесткий диск) hv_blkvsc- поддержка блочных устройств, требуется для хранилища. hv_netvsc - поддержка синтетической сетевой карты hv_utils - поддержка расширенных возможностей Hyper-V, таких как управление питанием гостевой системы и т.п. Теперь обновим образ начальной загрузки системы initramfs:\n1sudo update-initramfs -u Изменения будут применены при следующей загрузке системы, а пока настроим сетевые интерфейсы, для этого отредактируем /etc/network/interfaces:\n1sudo nano /etc/network/interfaces Добавим интерфейс eth0 и настроим его, например у нас это выглядит так:\n1auto eth0 2iface eth0 inet static 3address 192.168.0.105 4netmask 255.255.255.0 5gateway 192.168.0.100 Также на забудьте указать DNS сервера в /etc/resolv.conf\n1sudo nano /etc/resolv.conf нашем случае для DNS серверов 192.168.0.100 и 192.168.0.101 и домена example.com записи будут выглядеть так:\n1nameserver 192.168.0.100 2nameserver 192.168.0.101 3domain example.com 4search example.com Сохраняем изменения и перезагружаемся:\n1sudo reboot После перезагрузки проверяем, сеть и доступ в интернет должны работать. На этом нашу статью можно было бы и закончить, если бы не один неприятный момент: если вы попытаетесь обновить систему, то при обновлении получите ошибку и система больше не загрузится. Чтобы избежать этого, отключите все модули initramfs, кроме hv_vmbus и hv_netvsc (не забудьте перезагрузиться). После обновления включите модули обратно. В любом случае перед обновлением и прочим потенциально опасными операциями стоит сделать снимок системы, что позволит в любой момент времени быстро вернуться к ее текущему состоянию. Вообще в процессе настройки мы советуем делать снимки как можно чаще. Установили пакет, настроили - сделайте снимок. Это позволит, при необходимости, возвращаться на нужное количество шагов назад, а также реализовать и опробовать несколько вариантов настройки, чтобы окончательно выбрать лучший из них.\nВ заключение стоит отметить, что установка Ubuntu Server на Hyper-V, хоть и требует некоторых дополнительных действий, довольно проста и не вызывает проблем. Работа системы в виртуальной среде не вызывает нареканий, стабильна и может быть рекомендована к применению в производственных условиях.\n","id":"d75ec25aa50cbd0ed08060ae3c1a5fcb","link":"https://interface31.ru/post/ustanovka-ubuntu-server-na-hyper-v/","section":"post","tags":["Hyper-V","Ubuntu Server","Windows Server","Виртуализация"],"title":"Установка Ubuntu Server на Hyper-V"},{"body":"Очередная часть нашего цикла посвящена практической реализации VPN сервера на платформe Windows Server. При подготовке данного материала мы рассчитывали, что читатель знаком с предыдущими частями и не стали подробно останавливаться на ранее освещенных вопросах.\nОсновой нашего сервера послужил маршрутизатор на Windows Server 2008 R2 настройку которого мы рассматривали здесь. Все сказанное будет также справедливо и для Windows Server 2003 / 2008 c незначительными отличиями.\nБудем считать, что роль Маршрутизация и удаленный доступ уже настроена, в противном случае при запуске мастера сразу выберите необходимую конфигурацию. Откроем Диспетчер сервера, найдем в ролях Маршрутизацию и удаленный доступ и перейдем к ее свойствам (по щелчку правой кнопки мыши). В открывшемся окне установим переключатель IPv4 маршрутизатор в положение локальной сети и вызова по требованию и поставим ниже галочку IPv4 сервер удаленного доступа. Перейдем на закладку Безопасность, здесь выберем проверку подлинности с использованием протокола MS-CHAP v2 и запретим подключение без проверки подлинности. Следующая закладка IPv4, на которой укажем каким образом и из какого диапазона будут присваиваться адреса клиентам VPN сети, а также выбрать интерфейс, который будет принимать подключения. Сохраним изменения, при этом служба будет перезапущена и добавлена роль VPN сервера. В дереве консоли (слева) появится новый пункт Порты, зайдем в его свойства. По умолчанию система уже создала 5 PPTP и 5 L2TP портов. Зайдем в настройку PPTP и установим обе галочки: Подключения удаленного доступа и Подключения по требованию, а также укажем максимальное число портов. Лишние порты и протоколы лучше отключить. На этом настройку сервера можно считать законченной. Теперь определим список пользователей, которым разрешен удаленный доступ к серверу. Для этого перейдем в оснастку Локальные пользователи и группы (в доменной сети используйте список пользователей AD) и в свойствах пользователя на закладке Входящие звонки установим Права доступа к сети - Разрешить доступ. Можем пробовать подключиться с клиентского ПК, не забыв выбрать в настройках соединения необходимый тип проверки подлинности. Список подключенных клиентов можно посмотреть в консоли в пункте Клиенты удаленного доступа. Для диагностики проблем подключения советуем прежде всего изучить журнал событий Служб политики сети и доступа в котором фиксируются все значимые события. Описания событий как правило содержат исчерпывающую информацию, позволяющую быстро обнаружить и устранить проблему. ","id":"779a9a076da1cfbb1c80453dbd0ff238","link":"https://interface31.ru/post/nastraivaem-vpn-server-chast-4-pptp-platforma-windows/","section":"post","tags":["PPTP","Windows Server","VPN","Сетевые технологии","RRAS"],"title":"Настраиваем VPN сервер. PPTP. Платформа Windows"},{"body":"В моей организации появилась необходимость перевести парк компьютеров на Ubuntu. В свете чего начались поиски решения установки операционной системы по локальной сети. Также одновременно возник вопрос обновлений операционной системы, ведь я понимал, что одновременная установка операционки на кучу машин приведет к большому потреблению трафика для обновлений системы до актуального состояния. Ниже постараюсь изложить, как я вышел из положения.\nСервер мой настроен по статье Уварова А.С. Linux. Настройка роутера (NAT + DHCP + Squid), в качестве DHCP сервера использован Dnsmasq, также локальный веб-сервер lighttpd настроен по статье SARG - анализируем логи прокси-севера Squid, а значит и у всех проблем возникнуть не должно. Итак, приступим.\nПостановка задачи: Настроить установку операционной системы по локальной сети для возможности одновременной установки на большое количество машин (не бегать же к ним ко всем с дисками). Настроить на сервере службу, которая будет кэшировать обновления операционных систем.\nНеобходимо это для разгрузки интернет канала. Да и по логике, зачем каждому компьютеру тянуть одни и те же обновления из интернет, если можно один раз скачать их, положить на диск и пускай все остальные эти обновления внутри локальной сети забирают.\nСистемные требования:\nНа сервере: жесткий диск достаточного объема. Я взял полгиговый жесткий диск, пока хватает. Для создания полного зеркала одного инсталлятора Ubuntu требуется около 80Gb. Мне такое решение не подошло, т.к. работаю я в государственной общеобразовательной школе и вопрос финансирования IT, сами понимаете, на каком уровне. Потому я решил настроить кэширующий сервер обновлений. Т.е. на диск будут сохраняться только те пакеты, которые нужны разным компьютерам. А не используемые пакеты на диске лишнего места занимать не будут. Причем, спешу заметить, что архитектура роли не играет. Кэширующая служба вытягивает все необходимые обновления из интернет, несмотря на архитектуру процессора и прочее. Просто тянет и складывает у себя.\nНа рабочей станции: компьютер должен уметь загружаться по сети. Включить загрузку по сети можно зайдя в BIOS. Поскольку разные материнские платы имеют разные прошивки BIOS, привести алгоритм действий не представляется возможным. Одно можно сказать точно: включение загрузки по сети обычно находится рядом с включением сетевого адаптера. Также для загрузки машины по сети можно попробовать нажать и удерживать клавишу F8 во время включения компьютера. Как правило, после удерживания F8 появляется меню выбора источника за-грузки операционной системы. Выбираем сетевой адаптер (обычно в меню присутствует пункт, в котором фигурирует слово LAN) и загружаемся по сети.\nРеализация: Ну вот, пробрались сквозь дебри вступления и приступим к самому вкусному.\nНастройка загрузки компьютеров по сети. Как я уже упоминал, мой сервер настроен в соответствии с рекомендациями Уварова А.С. и сайта Записки IT специалиста, а значит, DHCP сервер у же установлен и настроен на раздачу IP адресов внутри локальной сети. Все, что необходимо сделать, это дописать несколько строк в конфигурационный файл DHCP сервера. Находится файл в каталоге /etc, и называется этот файл dnsmasq.conf. Открываем его с помощью mc. Структура конфигурационного файла dnsmasq показалась мне несколько запутанной, поэтому я добавляю необходимые мне настройки в начало файла, чтобы не бегать по нему в поиске необходимой строки. Я добавил в конфигурационный файл dnsmasq следующие строки:\n1# PXE 2#Включаю службу загрузки по LAN 3enable-tftp 4 5#Указываю корневой каталог службы загрузки по LAN 6tftp-root=/var/tftpboot 7 8#Указываю загрузочный файл для загрузки по LAN 9tftp-boot=pxelinux.0 Если Вам не по душе добавление строк в начало файла, все эти строки можно найти в конфигурационном файле и соответствующим образом настроить/раскомментировать. Всё. На этом настройка DHCP сервера закончена. Не забудем перезагрузить его:\n1sudo service dnsmasq restart DHCP сервер настроен, однако загрузочные файлы мы ему еще не положили и их надо где-то взять. К сожалению, в стандартной поставке Ubuntu на диске этих файлов нет. Идем на ресурс http://mirror.yandex.ru/ubuntu-cdimage/netboot/maverick/ (для Ubuntu 10.10), выбираем архитектуру (я выбрал i386) и скачиваем файл netboot.tar.gz к себе в домашний каталог:\n1cd /home 2wget http://archive.ubuntu.com/ubuntu/dists/maverick/main/installer-i386/current/images/netboot/netboot.tar.gz Далее создадим каталог, в котором будут лежать наши загрузочные файлы:\n1sudo mkdir /var/tftpboot Распакуем скачанный архив с загрузчиком в каталог, который указали DHCP серверу в качестве загрузочного:\n1 sudo tar -xvf /home/netboot.tar.gz -C /var/tftpboot Обратите внимание - буква С большая!\nВсе, с загрузчиком разобрались. Любая машина теперь может загрузиться через LAN и даже начнется установка, однако... хотелось, чтобы клиенты не ходили в интернет за пакетами и обновлениями, а тянули их с локального сервера, а уж сервер, в случае необходимости докачивал необходимое из интернет.\nУстановка и настройка службы кэширования пакетов apt-cacher-ng. Для начала установим службу:\n1sudo apt-get install apt-cacher-ng После создадим каталог, в котором apt-cacher-ng будет хранить свое добро. Еще раз напомню, места на диске должно быть много:\n1sudo mkdir /data/repository/apt-cacher-ng У меня в точку /data примонтирован второй жесткий диск. У Вас, возможно, путь к каталогу будет отличаться от моего.\nСлужба apt-cacher-ng работает от имени apt-cacher-ng, странно, правда? Зададим владельца и группу владельца каталога для устранения проблем с записью и хранением файлов:\n1sudo chown apt-cacher-ng /data/repository/apt-cacher-ng 2sudo chgrp apt-cacher-ng /data/repository/apt-cacher-ng Можно сходить полюбоваться на наше творение:\n1cd /data/repository 2ls -la Смотрим на владельца и группу владельца каталога apt-cacher-ng. Должно быть apr-cacher-ng. Осталось только сконфигурировать службу apt-cacher-ng, делать это будем с помощью редактора mc, однако и nano вполне подойдет.\nПоехали: Открываем в редакторе файл etc/apt-cacher-ng/acng.conf, правим/поверяем следующие строки:\n1 CacheDir: /data/repository/apt-cacher-ng Это каталог в которомapt-cacher-ng будет хранить свои файлы и которому мы меняли владельца.\n1LogDir: /data/logs/apt-cacher-ng У меня все логи лежат в нестандартном месте (мне показалось так удобнее - все рядом и упорядочено), потому я указываю путь к файлу лога.\n1Port:3142 Порт, на котором будет работать служба.\n1ReportPage: acng-report.html Здесь указывается имя файла в котором будет генерироваться отчет о работе службы.\nВносим необходимые правки, сохраняем файл, перезапускаем службу:\n1 sudo service apt-cacher-ng restart После рестарта службы ее доступность можно проверить по адресу: http://адрес_локального_сервера:3142 Должно получиться нечто следующее: Если вы видите такую страницу, значит служба кэширования пакетов успешно настроена и работает.\nТеперь давайте завернем наш сервер на нашу же службу кэширования, пущай качает помаленьку. Для этого необходимо на сервере в каталоге /etc/apt/apt.conf.d создать файл с инструкцией обращения к службе кэширования:\n1sudo touch /etc/apt/apt.conf.d/01proxy Открываем только что созданный файл и прописываем там инструкцию обращения к службе кэширования:\n1 Acquire::http { Proxy \u0026#34;http://127.0.0.1:3142\u0026#34;; }; Сохраняем и закрываем файл.\nПроверяем что получилось:\n1sudo apt-get updatesudo apt-get upgrade После выполнения этих двух команд в каталоге, который Вы указали в качестве рабочего для службы apt-cacher-ng должны произойти изменения (добавятся каталоги с репозиториями и списками файлов).\nИ напоследок: как заставить установку по сети забирать пакеты из службы кэширования.\nВ процессе установки операционной системы на одном из этапов установщик спрашивает про зеркало с которого скачать пакеты (у нас ведь на сервере только загрузчик, самих пакетов нет), а после этого установщик спрашивает адрес прокси-сервера если таковой имеется. В адрес прокси-сервера вписываем адрес локального сервера, на котором запущена служба кэширования пакетов.\nВ моем случае это: http://192.168.0.1:3142\nК сожалению скрины установщика найти не могу, обратите внимание на то, что зеркало необходимо выбирать ru.archive.ubuntu.com, а уж прокси - локальный.\nЕсли у Вас уже есть машины с установленными Ubuntu, то для настройки их на обращение к локальному серверу кэширования пакетов необходимо сделать следующее:\nВ файл /etc/apt/apt.conf на локальной машине добавляем следующую строку:\n1Aсquire::http::proxy http://адрес:порт В моем случае это Aсquire::http::proxy http://192.168.0.1:3142\nВот вроде как и все. Успехов!\n","id":"b02e426abe6486c1a92e17500380287b","link":"https://interface31.ru/post/ustanovka-ubuntu-po-seti-i-nastrojka-keshiruyushhego-servera-obnovlenij/","section":"post","tags":["APT","apt-cacher-ng","PXE","Ubuntu Server","Развертывание"],"title":"Установка Ubuntu по сети и настройка кэширующего сервера обновлений"},{"body":"В наших материалах посвященных Ubuntu Server время от времени затрагивается вопрос выполнения каких либо задач по расписанию. Чтобы не объяснять каждый раз одно и тоже мы решили создать данный материал, который должен помочь системным администраторам освоить и эффективно использовать планировщик задач в Linux.\nВ Ubuntu Server в качестве планировщика задач используется cron - планировщик с интерфейсом командной строки. Он является важной частью системы и начинает функционировать сразу после установки, исполняя различные системные задачи. Наша цель - поставить его себе на службу, тем более это не так сложно как кажется.\nПредусмотрено два типа расписаний cron: пользовательское и системное. Отличаются они тем, что первое создается пользователями и исполняется с учетом пользовательских прав, второе используется в административных или системных целях и может быть запущено от имени любого пользователя.\nЧтобы создать или изменить пользовательское расписание наберите команду:\n1crontab -e При первом запуске утилита предложит выбрать редактор, мы рекомендуем выбирать mcedit (требует установленного mc), либо другой редактор, с которым вы умеете работать.\nФормат строк расписания имеет вид:\n1 минута час день месяц день_недели команда Минута- время в минутах от 0 до 59 Час- от 0 до 23 День- день месяца от 1 до 31 Месяц- от 1 до 12 либо буквенные обозначения jan - dec День недели - от 0 до 6 (0 - воскресенье) или sat - sun Команда - строка в формате командного интерпретатора которая будет исполнена, допускается запись типа команда1 \u0026amp;\u0026amp; команда2 для запуска нескольких команд подряд. Значения минут, часов, дней можно указывать следующим образом:\nЗначение - число обозначающее дату или время, допускается подстановочный знак * допускающий полный диапазон значений Несколько значений - допускается указывать несколько значений через запятую, например 2,14,22 Диапазон значений - указывается через дефис, например 2-10 Шаг значений - указывается через дробь, в знаменатель которой ставится шаг, например */3 - каждое третье значение 0, 3, 6, 9 и т.д. В качестве числителя должен быть диапазон значений либо звездочка. Рассмотрим следующий пример записи:\n1 0 8-19/2 * * 1 /home/ivanov/test Она означает что каждый второй час с 8 до 19 (8, 10,12,14,16) по понедельникам запускать скрипт test в домашнем каталоге Иванова.\nСразу хотим предостеречь вас от распространенной ошибки, при указании периодического исполнения все даты должны быть указаны явно, звездочка обозначает полный диапазон значений, а не их отсутствие. Например если вам требуется исполнять некий скрипт каждый час с 10 до 15 неправильно будет:\n1* 10-15 * * * /home/ivanov/test Данная строка приведет к запуску скрипта каждую минуту в диапазоне с 10 до 15 часов. Правильно будет:\n10 10-15 * * * /home/ivanov/test Данная запись позволит запускать скрипт в начале каждого часа указанного диапазона.\nКроме даты можно использовать ряд специальных строк:\n@reboot- выполнять команду при перезагрузке @yearly или @annually - выполнять 1 января, аналогично записи: \u0026quot;0 0 1 1 * \u0026quot; @monthly - выполнять 1 числа каждого месяца, аналогично \u0026quot;0 0 1 * *\u0026quot; @weekly - выполнять каждое воскресенье, равносильно \u0026quot;0 0 * * 0\u0026quot; @dailyили @midnight - ежедневно в полночь,\u0026quot;0 0 * * * \u0026quot; @hourly - раз в час, \u0026quot;0 * * * *\u0026quot; Так для ежедневного исполнения нашего скрипта каждую полночь можно написать:\n1@midnight /home/ivanov/test Завершив составление расписания сохраняем файл и выходим из редактора. Пользовательское расписание будет сохранено в /var/spool/cron/crontabs под именем текущего пользователя.\nДля системных и административных задач предусмотрен файл /etc/crontab синтаксис записей в нем отличается наличием дополнительного значения - пользователя, от чьего имени будет запущено задание:\n1минута час день месяц день_недели пользователь команда Пример такой записи:\n10 19 * * 1-5 root /etc/backup Согласно которой в 19:00 с понедельника по пятницу будет запускаться скрипт /etc/backup от имени пользователя root.\nДанный файл также содержит системные расписания, поэтому к его редактированию следует подходить с осторожностью. Все системные и административные задания следует размещать именно в нем.\nКак видим cron достаточно прост в использовании, но в тоже время предоставляет богатые возможности по настройке расписаний в Ubuntu Server. Надеемся данная статья поможет администраторам освоить данный инструмент.\n","id":"ac8dd6506de6b9240c070d070c02650e","link":"https://interface31.ru/post/cron-tochno-po-raspisaniyu/","section":"post","tags":["cron","Debian","Linux","Ubuntu Server"],"title":"Cron - точно по расписанию"},{"body":"Одним из насущных вопросов для системного администратора является получение статистики использования интернета в организации. Располагая такими данными всегда можно ответить на вопрос руководства \u0026quot;куда ушел весь интернет\u0026quot;, обосновать необходимость расширения канала, своевременно выявлять и пресекать нежелательный трафик. Сегодня мы рассмотрим такое решение для нашего роутера на платформе Ubuntu Server.\nОсновной интересующий нас тип траффика - HTTP, который составляет львиную долю входящего интернет-трафика в организации и наиболее интересен, так как позволяет судить об активности и предпочтениях пользователей (а также о том, как они проводят рабочее время). Все необходимые нам данные имеются в логах прокси-сервера Squid, но не будем же мы просматривать их вручную! Необходим инструмент, позволяющий анализировать и предоставлять отчеты на основе этих логов. Одним из таких инструментов является SARG - Squid Analysis Report Generator, что и отражено в его названии.\nПриступим. Прежде чем браться за установку SARG необходимо подготовить сервер, данная утилита выдает отчеты в формате HTML и для работы с ними потребуется установленный веб-сервер. Если вы не собираетесь использовать роутер в качестве полноценного веб-сервера, то будет вполне достаточно легкого сервера lighttpd:\n1sudo apt-get install lighttpd Сервер начинает работать сразу после установки, для проверки наберите в браузере адрес сервера и вы увидите стандартную страницу. По умолчанию lighttpd принимает соединения на всех интерфейсах, что нас никоим образом не устраивает, ограничим его работу внутренней сетью. Открываем конфигурационный файл /etc/lighttpd/lighttpd.conf, находим и приводим к следующему виду опцию:\n1 server.bind = \u0026#34;10.0.0.1\u0026#34; где 10.0.0.1 - внутренний адрес роутера, также не забудьте раскомментировать эту строку и перезагрузить веб-сервер:\n1 sudo /etc/init.d/lighttpd restart Устанавливаем SARG:\n1sudo apt-get install sarg Настройка анализатора логов довольно проста и сводится к выбору языка, кодировки и формата отчета, а также пути для его размещения. Все изменения вносим в файл /etc/sarg/sarg.conf:\n1language Russian_UTF-8 2graphs yes 3graph_days_bytes_bar_color orange 4output_dir /var/www/squid-reports 5charset UTF-8 Также находим и комментируем строку:\n1#site_user_time_date_type table Теперь можем проверить работу анализатора:\n1sudo /usr/bin/sarg После того как утилита закончит работу набираем в браузере http://10.0.0.1/squid-reports, вы должны увидеть следующую страницу: По умолчанию SARG формирует отчет за весь доступный период, отчет содержит детализацию по пользователям (адресам) и посещенным ими сайтам, использованию трафика и кэша, загрузкам. Отдельно можно просмотреть наиболее посещаемые сайты, данный отчет сортирует сайты не по трафику, а по количеству посещений. По каждому пользователю можно получить исчерпывающую статистику: Можно также просмотреть график потребления трафика и статистику работы по датам и времени. Если есть желание, можете настроить отображение отчетов по собственному вкусу, конфигурация SARG использует для задания параметров вывода отчетов стандартные HTML теги и неплохо документирована. Если вы владеете HTML на базовом уровне, эта операция не должна вызвать у вас затруднений.\nАнализатор настроен и работает, это хорошо. Но запускать его каждый раз вручную не очень интересно, поэтому настроим систему на получение ежедневных, еженедельных и ежемесячных отчетов. Для этого откроем файл /etc/sarg/sarg-reports.conf и укажем путь для размещения отчетов, а также адрес и ссылку для логотипа.\n1HTMLOUT=/var/www/squid-reports 2LOGOIMG=/sqiud-reports/logo.png 3LOGOLINK=\u0026#34;http://10.0.0.1/squid-reports\u0026#34; Учтите, что изображение логотипа должно находиться в пределах корневой папки веб-сервера (/var/www) и пути указываются от корня веб-сервера, а не файловой системы.\nТеперь зададим расписание для формирования отчетов, которое необходимо добавить в /etc/crontab\n100 09-18 * * * root sarg-reports today 200 22 * * * root sarg-reports daily 330 22 * * 0 root sarg-reports weekly 430 23 1 * * root sarg-reports monthly Данное расписание означает, что каждый час с 9:00 до 18:00 (рабочий день организации) запускается скрипт формирования ежедневной статистики, каждый день в 22:00 формируется статистка за день, в 22:30 Воскресенья - статистка за неделю и первого числа каждого месяца в 23:30 статистика за месяц.\nНа этом настройку можно считать законченной, вся статистика будет доступна по адресу http://10.0.0.1/squid-reports.\n","id":"621a1ca3c13f5b406f3eb594860fa966","link":"https://interface31.ru/post/sarg-analiziruem-logi-proksi-severa-squid/","section":"post","tags":["lighttpd","Squid","Ubuntu Server","Сетевые технологии"],"title":"SARG - анализируем логи прокси-севера Squid"},{"body":"Более года назад мы опубликовали статью посвященную настройке роутера на базе Ubuntu Server. Позже мы рассказывали как дополнить роутер контент фильтром или антивирусом, рассматривали особенности реализации отдельных функций. Как показали отзывы, наши материалы очень помогли школам, добровольно-принудительно переходящим на СПО, но они также показали что существует ряд вопросов. Сегодня мы решили подвести итоги.\nЗа прошедшее время мы, благодаря вашим отзывам и вопросам, смогли лучше понять, что требуется от школьного роутера, но также увидели и оборотную сторону медали. Школьные учителя, на плечи которых легло основное внедрение СПО в школы, зачастую не всегда представляют каким именно образом функционирует роутер, в связи с чем допускают глупые ошибки или изобретают велосипеды. Но это нельзя поставить им в вину, их работа состоит в другом - учить наших детей, а вынужденная переквалификация в системных администраторов связана с плачевным финансовым состоянием системы школьного образования в целом.\nС учетом вышесказанного мы решили подвести итоги и собрать в единую статью все наши публикации за прошедшие полтора года, создав готовую инструкцию по инсталляции готового школьного роутера. В данном материале мы не будем подробно разбирать те или иные настройки, а будем давать отсылки к уже опубликованным материалам. Зато разберем схему функционирования школьного роутера в целом.\nНачнем с требований. Какие задачи должен выполнять школьный роутер? Предоставлять ученикам и преподавателям доступ в интернет, фильтровать получаемый учениками контент, осуществлять начальную антивирусную проверку трафика и блокировать несанкционированный доступ к ресурсам всемирной сети. Коротко политику доступа можно описать как: все что не разрешено, запрещено. Лучше перебдеть, чем недобдеть, открыть доступ к нужному ресурсу успеете всегда, а вот блокировать после инцидента может оказаться поздно.\nПеред тем как браться за настройку школьного роутера, а это довольно сложный программный комплекс, следует иметь четкое представление о функциях каждого сервиса и способах их взаимодействия между собой.\nОсновным механизмом организации общего доступа к ресурсам внешней сети (в т.ч. интернет) является преобразование сетевых адресов (NAT), суть которого сводится к подмене адреса источника (во внутренней сети) адресом внешнего интерфейса сервера и обратной заменой для ответного пакета. Это позволяет осуществить доступ к внешним ресурсам для всей внутренней сети и в то же время закрыть внутреннюю сеть от попыток доступа извне. В Ubuntu Server функции NAT выполняет встроенный брандмауэр iptables. Главным достоинством NAT является его прозрачность, любое приложение использующее любой сетевой протокол (даже самый экзотический) с легкостью получит доступ во внешнюю сеть, если это разрешено правилами брандмауэра.\nНо кроме организации доступа в сеть интернет нам надо осуществлять фильтрацию контента и первичную антивирусную проверку. Здесь мы подходим к очень важному моменту. Львиная доля интернет трафика приходится на протокол HTTP, все, с чем мы работаем через браузер, использует этот протокол. Иные программы, например почтовый клиент, используют свои протоколы (POP3, SMTP), однако работая с почтой через web-интерфейс мы будем использовать именно HTTP протокол. Проще говоря, нет смысла фильтровать иные протоколы, кроме HTTP, там вы или разрешаете доступ к определенным сервисам, либо запрещаете их.\nДля работы с HTTP трафиком предназначены прокси-сервера, которые обрабатывают запросы пользователей и, в зависимости от результатов обработки, либо отвечают сами, либо перенаправляют запрос во внешнюю сеть или отклоняют его. Прокси-сервера могут представлять собой каскады, каждый элемент которого осуществляет свои функции анализа и обработки запросов.\nДля работы через прокси-сервер, как правило, следует явно указать его адрес и порт в настройках приложения, однако можно сделать так, чтобы все HTTP запросы автоматически отдавались прокси-серверу, такая схема называется прозрачным прокси.\nОсновное назначение прокси-сервера это снижение нагрузки на канал и увеличение скорости работы в интернет за счет кэширования веб-документов имеющих статичное содержимое. Так если несколько пользователей в течении дня обратились к какому -нибудь ресурсу, то все его содержимое, включая оформление будет загружено из сети только один раз, при следующих обращениях клиент будет получать содержимое кэша прокси-сервера. Как показывает практика, экономия трафика за счет использования прокси-сервера может достигать 30-40%, в основном выигрыш идет за счет статичной графики и статичных документов. Также прокси-сервер может осуществлять фильтрацию трафика, авторизацию пользователей, ограничение скорости доступа.\nКроме того существуют специализированные прокси-серверы основная задача которых именно фильтрация трафика, к ним относятся контент-фильтры, антивирусные прокси, фильтры рекламы и т.п. Для школьного роутера, учитывая повышенные требования к безопасности и фильтрации, следует использовать сразу несколько специализированных продуктов, создав каскад-прокси.\nЕще одним рубежом обороны может быть использование фильтрующих DNS. Для образовательных учреждений официально рекомендовано использование сервиса NetPolice DNS. Как работает подобный сервис? Рассмотрим следующую схему: Запрашивая какой-либо материал из сети интернет пользователь набирает в браузере символьное имя сайта, например mail.ru. Однако символьное имя не несет информации, какому именно серверу в сети следует посылать запрос, для этого необходимо знать IP адрес сервера, обслуживающего данное доменное имя, такую информацию предоставляют DNS сервера.\nИтак, пользователь набрал в адресной строке имя сайта. Следующим шагом будет отправка запроса DNS серверу, указанному в сетевых настройках. Он может выдать результат из кэша или перенаправить запрос вышестоящему серверу. В результате мы получим ответ, что введенному нами символьному имени mail.ru соответствует IP адрес 94.100.191.204. Запрос по данному адресу будет направлен к роутеру, который в свою очередь сравнит адрес назначения с текущими правилами брандмауэра и либо отклонит его, либо передаст дальше. Сервер назначения, получив запрос, сформирует ответ и передаст его запросившему клиенту, в данном случае роутеру. Произведя необходимую фильтрацию, роутер передаст ответ тому ПК, с которого был сделан запрос и пользователь увидит на своем экране содержимое веб-страницы (либо страницу блокировки, если запрошенная страница по какой-то причине не прошла фильтрацию).\nИспользуя в качестве DNS сервера NetPolice DNS мы получаем возможность фильтровать DNS запросы по заранее созданным базам. Если запрошенное имя домена не содержится в базах, клиент получит действительный IP адрес страницы, иначе будет выдан адрес сервера, содержащего страницу блокировки, т.е. все остальные участники схемы не будут подозревать, что обращаются не к серверу, обслуживающему сайт xxx.ru, а к серверу службы NetPolice, содержащей страницу блокировки.\nЗдесь следует четко понимать, что вопреки написанному на сайте NetPolice, данная служба не осуществляет контентную фильтрацию, из приведенной схемы прекрасно видно, что DNS сервер не участвует в процессе получения запрошенного контента. В данном случае фильтруются исключительно DNS запросы, что аналогично URL фильтрации. Так использовать NetPolice DNS или нет? Наше мнение - использовать. Получая в свое распоряжение готовые базы для фильтрации вы снижаете нагрузку на собственный контент-фильтр (и уменьшаете вероятность ошибки), отсеивая запросы к нежелательным ресурсам на начальной стадии.\nСледующий и основной рубеж обороны - школьный роутер. Пришла пора разобраться как именно он работает и за что отвечает тот или иной компонент. Схематично роутер можно представить следующим образом: Основными службами роутера являются NAT и брандмауэр, именно они, в тесном взаимодействии, отвечают за все сетевые соединения. Так, например, все инициированные извне соединения будут отклонены, а из внутренней сети будут пропущены только те, которые явно разрешены. Не забываем, у нас по умолчанию действует правило: все что не разрешено - запрещено.\nВ нашем примере один из пользователей работает с электронной почтой, запрос от почтового клиента направляется роутеру, который в соответствии с правилами брандмауэра (почтовые протоколы явно разрешены) перенаправляет их серверу назначения и направляет ответ запросившему клиенту.\nВторой пользователь работает с интернет через браузер. Его запросы также направляются роутеру, однако они, в соответствии с правилами, направляются не во внешнюю сеть, а прокси-серверу, хотя пользователь не подозревает, что работает с прокси (прозрачный прокси).\nВ нашем случае прокси-сервер представляет собой каскад из контент-фильтра DansGuardian, кэширующего прокси-сервера Squid и антивирусного прокси HAVP.\nИсходящий запрос обрабатывается только кеширующим прокси Squid, который проверяет наличие запрашиваемого объекта в кэше и либо отдает объект, либо перенаправляет запрос серверу назначения. Не следует недооценивать роль кэширующего прокси-сервера, мы провели простой эксперимент: с двух ПК последовательно запросили одну и ту же страницу, предварительно очистив кэш браузера и кэш прокси-сервера. Результат, как говорится, налицо. Особенно это заметно по загрузке тяжелых элементов страницы, изображений и т.п. В первом случае все изображения были загружены из сети интернет, во втором получены из кэша прокси-сервера. Кроме экономии трафика также выросла скорость доступа к данному ресурсу за счет получения тяжелых элементов страницы по локальной сети из кэша.\nЕсли запрошенный объект отсутствует в кэше, Squid перенаправляет запрос во внешнюю сеть, серверу назначения. Полученный ответ проходит несколько ступеней фильтрации. В первую очередь антивирусную, специализированный прокси HAVP перенаправляет все полученные объекты антивирусному сканеру, в качестве которого используется ClamAV (хотя могут использоваться и иные антивирусные продукты). Прошедшие проверку объекты передаются кэширующему прокси Squid, который помещает полученный объект в кэш и передает его для обработки контент-фильтру. Такая схема хороша тем, что в кэше Squid будут находиться только чистые объекты, в то же время все объекты (в т.ч. закэшированные) будут проходить контент-фильтрацию. Это позволит избежать ситуации когда ученик получит из кэша нежелательную страницу, ранее просмотренную учителем или администратором.\nПоследнее звено прокси-сервера контент-фильтр, он производит фильтрацию полученного из сети содержимого и либо отдает его клиенту, либо выдает страницу блокировки. Будучи правильно настроенной подобная схема сочетает удобство для пользователя, который может получать сетевые настройки автоматически по DHCP, и высокую степень защиты сети и получаемого пользователями контента.\nВ следующей части нашей статьи мы рассмотрим практическую реализацию нашего варианта школьного роутера, предоставив готовую инструкцию, которая позволит реализовать данное решение с нуля, не прибегая к использованию иных публикаций.\n","id":"53231cb0031e248dd37ac3358fc28969","link":"https://interface31.ru/post/shkolnyj-router-podvodim-itogi-1/","section":"post","tags":["ClamAV","DansGuardian","DNS","NAT","Squid","Ubuntu Server","Сетевые технологии"],"title":"Школьный роутер. Подводим итоги. Теория"},{"body":"Сегодня с одним из наших сотрудников произошел неприятный случай, он случайно удалил учетную запись пользователя в AD. Возможно всему виной были приближающиеся праздники (и три дня выходных), а может недостаток опыта и нежелание читать системные предупреждения. Однако в тот момент это интересовало нас в последнюю очередь, требовалось быстро исправить ситуацию.\nКак же все произошло? В Exchange 2010 есть одна \u0026quot;интересная\u0026quot; особенность: удаление почтового ящика ведет к удалению связанного с ним пользователя в AD, о чем честно выводится предупреждение (но кто их читает). Восстановление удаленного объекта штатными средствами не представлялось возможным, по причине требующейся перезагрузки сервера, имеющихся сомнений в актуальности и наличия бекапа и крайне сжатых сроков. Использование утилит типа Active Directory LDAP Browsing Utility или AdRestore тоже не представлялось хорошим вариантом, без должных знаний и опыта последствия их применения могут оказаться катастрофичными. Нужен был простой инструмент, который позволил бы даже неопытному администратору быстро восстановить удаленный объект.\nПрежде чем перейти к практической части, сделаем маленький ликбез, рассмотрим как происходит удаление объектов в AD и каким образом их можно восстановить. В этом плане AD имеет двойную защиту от дурака, во первых снимки состояния (тот самый пресловутый бекап), которые должны делаться и быть актуальными. Кроме того удаленные объекты помещаются в специальный скрытый контейнер Deleted Objects, где хранятся в течении 60 дней.\nВосстановление из резервной копии более предпочтительно, так как восстановит все атрибуты объекта, за исключением пароля, восстановленные из контейнера объекты будут иметь только основные атрибуты.\nВернемся к нашей ситуации. Понятно, что от подобных действий не застрахован никто и желательно иметь под рукой инструмент позволяющий просто и быстро сделать все \u0026quot;как было\u0026quot;. Мы нашли неплохую утилиту Active Directory Object Restore Wizard от компании NetWrix, имеется полностью бесплатная версия, единственным ограничением которой является то, что она восстанавливает изменения произошедшие только за последний день. Учитывая, что ошибка удаления становится очевидна сразу, это не столь существенно.\nСкачать программу можно на сайте производителя, заполнив небольшую анкету (скачать). Утилита предельно проста в установке и использовании. Вся работа происходит при помощи мастера, который имеет подробные описания для каждой опции. Вы выбираете дату, на которую хотите восстановить изменения и источник восстановления. По умолчанию программа предлагает попытаться найти удаленные объекты в снимках состояния, если же поиск ничего не дал (или снимков нет), то можно воспользоваться поиском по контейнеру удаленных объектов. Закончив поиск программа покажет список удаленных объектов, доступных к восстановлению. Выделяем нужные и восстанавливаем. После успешного восстановления не забываем проверить и откорректировать атрибуты, особенно если объект был восстановлен из контейнера, и сменить пароль.\nВ любом случае при работе с объектами AD следует следовать правилу \u0026quot;семь раз отмерь, один отрежь\u0026quot;, но на случай непредвиденных обстоятельств следует иметь и уметь пользоваться инструментом восстановления. Active Directory Object Restore Wizard на наш взгляд один из таких инструментов и должен быть под рукой у любого системного администратора работающего с AD.\n","id":"91c38f0b1463a30e81b45166f8e177de","link":"https://interface31.ru/post/bystroe-vosstanovlenie-udalennyx-ob-ektov-active-directory/","section":"post","tags":["Active Directory","Windows Server","Службы каталогов"],"title":"Быстрое восстановление удаленных объектов Active Directory"},{"body":"Протокол RDP с защитой на уровне сети (SSL), к сожалению, не получил широкого распространения среди системных администраторов, предпочитающих защищать терминальные соединения другим способом. Возможно это связано с кажущейся сложностью способа, однако это не так, в данном материале мы рассмотрим как просто и без затруднений организовать такую защиту.\nСкажем сразу, мы не испытывали иллюзий и результаты тестов полностью совпали с нашими ожиданиями. Однако для многих, попавших под очарование красивой аббревиатуры SATA 6Gb/s, они могут оказаться неожиданными.\nИтак, у нас в руках диск Western Digital 500 Гб Caviar Black WD5002AALX, который относится к производительной \u0026quot;черной\u0026quot; серии и имеет цену несколько выше своих \u0026quot;голубых\u0026quot; и \u0026quot;зеленых\u0026quot; собратьев, на момент написания данной статьи она составляла 57 $ за диск.\nТестовая платформа: ASUS P8H67-M LX/SI LGA1155 (H67) Intel Core i5-2300 2.8 ГГц Kingmax Hercules NANO DDR-III DIMM 2Gb (PC3-12800) Microsoft Windows 7 Профессиональная 64-bit В качестве тестовых приложений использовались CrystalDiskMarkи Intel® NAS Performance Toolkit, оба этих пакета мы уже рассматривали подробнее и останавливаться на их описании не будем.\nРежим SATA 6Gb/s Диск показал неплохие скоростные характеристики, но ничего сверхъестественного, хотя несомненно быстрее массовых моделей. Нетрудно заметить, что для реализации всех возможностей диска \u0026quot;с запасом\u0026quot; хватает пропускной способности SATA II (300 МБ/с).\nРежим SATA II Для этого теста диск был принудительно переключен в режим SATA II установкой соответствующей перемычки и подключен к SATA II порту материнской платы: После чего был проведен тот-же набор тестов: Ничего иного мы не ожидали, результаты тестирования отличаются в рамках погрешности измерений. Как говориться: \u0026quot;найдите 10 отличий\u0026quot;.\nВыводы Вывод очевиден и вполне однозначен: современным жестким дискам новый интерфейс SATA 6Gb/s не дает абсолютно никаких преимуществ. Даже для самых быстрых дисков вполне достаточно пропускной способности SATA II. Выпуск производителями дисков с маркировкой SATA 6Gb/s не более чем тонкий маркетинговый ход, ни говорящий ни о чем, кроме \u0026quot;родной\u0026quot; поддержки дисками новых контроллеров, хотя мы не испытывали никаких проблем при подключении SATA II дисков к SATA 6Gb/s контроллеру.\nИнтерфейс SATA 6Gb/s предназначен в первую очередь для SSD, которым уже становится тесно в рамках SATA II, большинство моделей твердотельных накопителей уже подходят к верхнему пределу пропускной способности. А высокопроизводительные SSD для корпоративного применения выпускаются с интерфейсом PCI-Ex4, обеспечивая пропускную способность в 450-600 МБ/с.\n","id":"55b5f13dd91fae0efffca8836b3845c3","link":"https://interface31.ru/post/hdd-sata-6gbs-prirost-proizvoditel-nosti-ili-marketingovyj-xod/","section":"post","tags":["HDD","Western Digital"],"title":"Жесткие диски SATA 6Gb/s - прирост производительности или маркетинговый ход?"},{"body":"Твердотельные накопители (SSD) вызывают повышенный интерес у большинства пользователей. Реклама обещает нам существенное увеличение производительности, по сравнению с чем цена окажется не столь уж велика. Так ли это на самом деле ? Попробуем разобраться.\nНе столь давно в нашу тестовую лабораторию попал SSD OCZ Agility 2 объемом 60 Гб, естественно мы не смогли отказать себе в удовольствии всесторонне протестировать данное изделие. Стоимость моделей до 100 Гб уже нельзя назвать заоблачной, хотя она все еще довольно высока, однако, если на первый план выходит производительность, а не объем, то такое вложение денег можно считать вполне разумным.\nПрежде всего нас интересовало влияние SSD на производительность обычного рабочего (офисного) ПК, поэтому мы не рассматривали игры и специализированные приложения. Первые выходят за рамки нашего ресурса, вторые требуют отдельного исследования.\nВ сегодняшних тестах приняли участие: OCZ Agility 2 (OCZSSD2-2AGTE60G) и обычный офисный трудяга Seagate Barracuda 7200.11 (ST3320613AS). Тестовый стенд составили:\nASUS P5Q Pro LGA775 (P45) Intel Core 2 Quad Q9550 2.83 ГГц/ 12Мб/ 1333МГц Kingston HyperX (KHX8500D2K2/4G) DDR-II DIMM 4Gb KIT 2*2Gb PC2-8500 Microsoft Windows 7 Профессиональная 64-bit На каждый из испытуемых дисков был установлен свой экземпляр ОС и проведен ряд тестов. Все результаты для удобства восприятия мы нормировали, т.е. привели к единому диапазону значений, взяв максимальный результат в каждом тесте за 100%. Абсолютные значения в большинстве случаев интереса не представляют, однако когда это может быть интересно, мы привели и их.\nТестирование производительности Для общего сравнения двух дисков мы использовали бесплатный тест CrystalDiskMark, результаты для Seagate: и OCZ Agility 2: Как видим, если при последовательном чтении/записи (особенно записи) преимущество SSD не столь велико и сравнимо с чередующимся RAID массивом, но все меняется при случайном доступе, здесь разница весьма впечатляющая.\nЗагрузка ОС Время загрузки ОС основной аргумент рекламы SSD, в роликах это выглядит довольно впечатляюще, осталось только проверить рекламные заявления на практике. Для измерения времени загрузки мы использовали утилиту BootRacer, результаты которой проверили секундомером, загружалась чистая Windows 7 с минимумом установленного софта. Неплохо, применение SSD позволило сократить время загрузки системы примерно вдвое. Однако не стоит забывать, что время загрузки параметр более психологический и маркетинговый, загружаем ПК мы обычно один раз за день, утром.\nУстановка программ Раз уж мы устанавливаем для тестирования различное ПО, то почему бы не засечь время установки? В данном тесте приведен средний нормализованный результат для установки MS Office 2010, OpenOffice и Adobe Photoshop CS5, все пакеты установки были скопированы на соответствующий диск. Результат, без сомнения, порадует администраторов и всех, кто часто устанавливает программы. Время установки тяжелых пакетов сократилось вдвое, что не только показывают результаты тестов, но и прекрасно видно невооруженным глазом.\nОфисные приложения Для тестирования офисных пакетов мы взяли четыре файла: текстовый документ размером 2,84 МБ в форматах ODT и DOC и табличный документ размером 13,4 МБ в форматах ODS и ХLS. Измерялись: время загрузки документа, время преобразования его в PDF и веб-страницу. При этом результат первого (холодного) запуска редактора отбрасывался. Результаты данного теста могут кого-то разочаровать или привести в недоумение, но приходится признать, для повседневной работы с офисными пакетами быстродействия классических жестких дисков более чем достаточно.\nOpen Office вообще никак не отреагировал на более быстрый носитель при работе как со своим родным форматом, так и с форматами MSO. MS Office стал работать несколько быстрее, причем и с форматами ODF тоже, однако учитывая и без того небольшое время (единицы секунд) такой прирост вряд ли можно назвать существенным. Учитывая, что разница в цене HDD и SSD отнюдь не 15%.\nРабота с графикой В качестве графических приложений мы испытали два бесплатных редактора Gimp 2.6.8 и Paint.NET 3.5.4 и наиболее популярный профессиональный редактор Adobe Photoshop CS5. Для тестирования использовалось изображение размером 3000х4000 px объемом 4,47 МБ сделанное на камеру COOLPIX L110.\nТесты мы разделили на две группы, время загрузки изображения вместе с редактором и время обработки изображения, для этого к нему применялись ряд фильтров, таких как размытие по Гауссу, радиальное размытие и т.п. Что касается времени загрузки, то здесь определенную выгоду получил только Gimp, это легко объяснимо, достаточно посмотреть какое количество модулей он подгружает при старте, при этом по времени \u0026quot;холодного\u0026quot; запуска Gimp абсолютный аутсайдер.\nПерейдем к обработке изображений, здесь имеем ту же самую картину, что и при работе с офисными приложениями, ни одна программа, кроме Photoshop, не получила прибавки к производительности от смены носителя. Что касается Photoshop, то его участие в этом тесте было больше ради \u0026quot;спортивного интереса\u0026quot;, использовать его в повседневной работе дорогое удовольствие. Исследование же влияния SSD на производительность Photoshop при профессиональном применении далеко выходит за рамки этой статьи и данного ресурса в целом.\nРабота с мультимедиа Для этой категории тестов мы использовали музыкальный альбом объемом 388 МБ в формате FLAC, который перекодировали в MP3 при помощи dBpoweramp Music Converter и альбом объемом 183 МБ, содержащий 15 треков в формате MP3, который мы перекодировали в FLAC. Для работы с видео использовался видеофайл продолжительностью 1:22 мин и объемом 97,7 МБ снятый на любительскую камеру, для перекодирования его мы использовали VirtualDub и Киностудию Windows Live. Аналогично предыдущим тестам можно сделать вывод, что возможностей сегодняшних HDD вполне достаточно для повседневных задач обработки аудио-видео. Единственный прирост производительности от использования SSD мы получили только при многопоточном (в 4 потока, по числу ядер процессора) кодировании аудио, за счет более высокой скорости чтения-записи в несколько потоков.\nРабота с файлами и папками Мы не стали использовать специализированные пакеты, а просто измерили время копирования в пределах одного раздела ISO образа объемом 4,24 ГБ и папки размером 784 МБ содержащей 670 файлов в 40 каталогах, затем мы запаковали и распаковали эту папку архиватором WinRAR. Файловые операции позволили SSD проявить себя во всей красе, особенно при работе с папками, здесь как раз сказывается огромная разница в скоростях произвольного доступа. Если для копирования каждого мелкого файла HDD приходится заново позиционировать считывающую головку, SSD лишен этого недостатка и выполняет опреации произвольного доступа гораздо быстрее.\nЧто касается архивирования, то здесь прирост не столь велик, как хотелось бы, все таки данные операции используют в первую очередь процессорные ресурсы, а затем только дисковые.\nСтоимость хранения Если мы говорим об SSD то одним из актуальных вопросов будет стоимость хранения, именно сквозь эту призму стоит рассматривать уместность приобретения SSD в той или иной ситуации. Мы сделали анализ рынка накопителей на 17 февраля 2011 года дабы выяснить какие именно модели жестких дисков и SSD можно назвать оптимальной покупкой.\nДля SATA-II и SATA 6 Гб/с данные примерно равны, в большинстве случаев эти диски при равном объеме стоят одинаково. Средняя стоимость хранения 1 ГБ информации на HDD объемом от 500 Гб и выше лежит в пределах 6-10 центов, возрастая до 25 цетов при использовании 160 Гб дисков.\nДля SSD средняя стоимость хранения 1 ГБ лежит в пределах 2,1 - 2,7 $, причем наиболее низка цена хранения у моделей емкостью 60 или 64 Гб, чего не скажешь о 40 Гб моделях, стоимость хранения у них возрастает до 3,12 $ за ГБ.\nВыводы Результаты тестирования получились несколько неожиданными и неоднозначными. Да SSD показывают отличные скоростные характеристики, особенно при произвольном доступе к данным, однако, вопреки рекламным заявлениям, существенного прироста производительности в повседневной работе на ПК вы не получите. А высокая стоимость хранения заставляет тщательно рассматривать необходимость приобретения SSD в каждом конкретном случае.\nЧто мы можем посоветовать? Если вы хотите увеличить производительность вашего ПК купив SSD, то лучше потратьте эти деньги на что нибудь другое, большого смысла в этом нет, если только не хочется похвастаться перед друзьями малым временем загрузки вашего ПК.\nА есть ли вообще смысл применять SSD сегодня? Есть, но только там, где это действительно нужно. В первую очередь это профессиональные приложения и сервера имеющие высокую нагрузку на дисковую подсистему. В ближайшее время мы опубликуем результаты наших тестов для ряда таких систем.\n","id":"cd76ef7cbba247b27bc6f0cf0a3b03a8","link":"https://interface31.ru/post/ssd-i-obshhaya-proizvoditelnost-pk/","section":"post","tags":["SSD","Производительность"],"title":"SSD и общая производительность ПК"},{"body":"Время от времени системные администраторы сталкиваются с ошибками при обновлении системы. Хорошо если не удалось установить какое либо незначительное обновление, но как быть, если не удается установить критическое обновление или нарушились важные функции системы? Сегодня мы на практическом примере рассмотрим как действовать в подобной ситуации.\nИзучая отчеты сервера WSUS одного из обслуживаемых нами предприятий мы обнаружили, что один из серверов уже продолжительное время не устанавливает обновления. Количество установок, завершившихся с ошибкой, перевалило за шесть десятков, что говорило о серьезном сбое в системе Windows Update. Для диагностики проблемы мы обратились к Журналу обновлений, в котором можно просмотреть подробности установки каждого обновления или получить код ошибки в случае отказа. Отправной точкой для дальнейших действий должен послужить код ошибки, в данном случае 800F0826. Идем на сайт Microsoft и производим поиск по данному коду. Уже первые результаты дают нам исчерпывающую информацию об ошибке:\nОшибка Центра обновления Windows 800f0826 возникает в случае, если обновление для Windows, которое не удалось установить, препятствует установке дополнительных обновлений. В сообщении об ошибке 800f0826 не указывается обновление, вызвавшее проблему. Обновление, которое вызвало проблему, отобразит другое сообщение об ошибке.\nСтановится понятно, что причиной отказа в установке данного обновления (и других с этим кодом ошибки) стало третье обновление, которое должно иметь иной код ошибки. Дальнейший поиск по журналу позволил быстро выявить виновника произошедшего. Поиск по коду ошибки 80070643 дал нам следующий результат:\nОшибка Центра обновления Windows 80070643 может возникать по ряду причин. Самой распространенной из них является проблема с платформой .NET Framework, установленной на компьютере. Кроме того, эта ошибка может возникнуть при установке обновлений для пакета Microsoft Office 2003.\nОчевидно, проблему вызвало очередное обновление .NET Framework, переходим по ссылке в статье, на описание ошибки для этого продукта.\nЧтобы устранить эту проблему, необходимо устранить повреждение регистрацию обновлений программного обеспечения MSI или удалить несколько версий .NET Framework с помощью средства очистки платформы .NET Framework и повторно установить эти компоненты.\nСкачиваем средство очистки платформы .NET Framework (скачать) и удаляем из системы .NET Framework 3.5. После чего качаем web-установщик и устанавливаем .NET Framework 3.5 SP1 заново. Успешно установив данный пакет, пробуем повторно обновить систему. Перезагружаемся и убеждаемся что все установилось правильно. Несмотря на то, что в данной статье мы разобрали частный случай, методика диагностики и устранения неисправностей остается неизменной. База данных Майкрософт содержит исчерпывающие данные практически по всем кодам ошибок, которых вполне достаточно для успешного устранения большинства возникающих проблем.\n","id":"3d885e0381938619eef5e4e3e0bd376e","link":"https://interface31.ru/post/windows-update-diagnostika-i-ustranenie-nepoladok/","section":"post","tags":["Windows Server","Windows Update","Восстановление системы"],"title":"Windows Update. Диагностика и устранение неполадок"},{"body":"С приходом в офисы широкополосного интернета стало возможно полноценное удаленное администрирование. Благодаря этой технологии обслуживающие организации смогли существенно уменьшить время реагирования на заявку клиента, а системные администраторы получили возможность оказывать поддержку даже находясь за пределами офиса. Но инструменты удаленного администрирования работают только после того, как загрузится ОС, если это по каким либо причинам невозможно потребуется физическое присутствие специалиста. Решить эту проблему способны переключатели KVM over IP.\nЧто такое KVM переключатели знают наверное все администраторы, это устройство позволяющее использовать одну консоль (монитор, клавиатура и мышь) для управления несколькими ПК. KVM переключатели могут быть как простыми, рассчитанными на персональное использование: Так и для монтажа в стойку, поддерживающими каскадирование и позволяющие управлять сразу большим числом серверов (до нескольких сотен) из одного места: Особняком в этой компании стоят переключатели KVM over IP, позволяющие получать доступ к консоли ПК из любого места посредством протокола TCP/IP. Долгое время данные устройства считались \u0026quot;предметами роскоши\u0026quot;, однако в последнее время на рынке появились предложения по вполне гуманной цене, делающее их вполне доступными и для небольших организаций.\nРассмотрим возможности KVM over IP переключателя на примере ATEN ALTUSEN KH1508i стоимостью 727 USD. Кроме привлекательной цены данное устройство позволяет управлять до 256 ПК (при каскадировании переключателей), поддерживает платформы PC, Mac, Sun, подключения к ПК через PS/2 и USB.\nПереключатель выполнен в формате 1U и может быть смонтирован в стойку. На передней панели находятся кнопки переключения выходов, индикатор активного порта, разъем для обновления прошивки, индикатор питания и кнопка Reset. Еще одной особенностью переключателя является использование для подключения управляемых ПК витой пары UTP 5e, что позволяет размещать их на расстоянии до 40 м. Теперь не возникает проблемы с подключением серверов, находящихся в соседней стойке (или этажом ниже) и не нужно ломать голову над приобретением и прокладкой дорогостоящих специализированных кабелей. Разъемы для подключения управляемых ПК, сети, подчиненных переключателей и консоли находятся с тыльной стороны переключателя: Для подключения управляемых ПК используются клиентские модули эмулирующие необходимую периферию. Эмуляция производится непосредственно модулем, независимо от наличия управляющего устройства. Это значит, что если вы забыли включить переключатель, управляемые ПК при загрузке все равно обнаружат клавиатуру, мышь и монитор и вам не придется их перезагружать, дабы получить доступ.\nПроизводитель предлагает широкий выбор клиентских модулей управления компьютерами разных платформ, для ПК доступны два типа клиентских модулей: KA9520 (PS/2) и KA9570 (USB) стоимостью в 71 USD. Каждый модуль представляет собой контроллер с интерфейсом RJ-45 и полуметровый кабель с разъемами VGA и PS/2 (USB), имеет собственную прошивку, регулярно обновляемую производителем, на корпусе модуля имеется переключатель, переводящий его в режим обновления прошивки. Ниже показан модуль KA9520: Для крепления на вертикальную поверхность в комплекте с модулем поставляется специальная корзина.\nНастройки переключателя производятся через экранное меню или веб-интерфейс (в несколько ограниченном объеме). Если у вас в хозяйстве нет компьютеров Mac или Sun, то все настройки будут доступны через веб (по умолчанию все порты переключателя настроены на платформу PC).\nСоединение с устройством производится по защищённому протоколу HTTPS, несмотря на то, что переключатель принимает соединения по порту 80, все равно происходит редирект на защищенное соединение (443 порт). Для передачи данных между переключателем и программой-клиентом используется порт 9000, это стоит учитывать при форвардинге портов (т.е. кроме 80 и/или 443 нужно пробросить также 9000).\nПерейдем к сетевым функциям переключателя, по умолчанию он настроен на получение настроек по DHCP, что, на наш взгляд, гораздо лучше чем заранее установленный IP, достаточно посмотреть какой адрес присвоен устройству в настройках DHCP сервера и зарезервировать его за соответствующим MAC адресом (указан на корпусе устройства).\nДля доступа можно использовать любой браузер (оптимально IE), веб интерфейс не богат на настройки, вы можете запустить Windows (только через IE) или Java клиент, либо загрузить их, если запустить через браузер их каким либо образом не получается. Отдельного внимания заслуживает параметр Network Transfer Rate, для комфортной работы с устройством там следует указать минимальную гарантированную скорость канала по которому осуществляется доступ к переключателю.\nДля доступа к управляемым ПК необходимо запустить клиент. Нам не удалось запустить Windows Client на Windows 7 64-bit, в данном случае выручает Java клиент, работающий на любой платформе с поддержкой Java. Уже в клиенте мы можем произвести более тонкую настройку устройства: Для перехода к управляемым устройствам используется закладка Main, на которой отображаются все подключенные к переключателю (или цепочке переключателей) клиентские модули: При правильной настройке скорости передачи данных работа через удаленного клиента довольно комфортна, единственным недостатком можно назвать некоторое (иногда значительное) отставание курсора мыши на удаленной системе от курсора на управляющем ПК. Однако следует помнить, что работа через KVM Over IP требуется по большей части при нештатных ситуациях, когда требуется контроль на уровне загрузки ПК, в остальных случаях будет гораздо комфортней работать через RDP. Если вы используете USB-модуль (KA9570) убедитесь, что в BIOS включена поддержка USB клавиатуры и мыши, во избежание неприятных сюрпризов. Также советуем настроить в BIOS сервера включение по сигналу с клавиатуры или по сети. Это позволит удаленно включить сервер, если вы вдруг его по ошибке выключите или выключит кто-то из излишне усердных сотрудников.\nПереключатели KVM over IP позволяют администратору получить практически полный контроль над управляемым ПК из любой точки мира, был бы доступ в интернет. А кажущаяся на первый взгляд относительно высокая цена устройства с лихвой компенсируется предоставляемыми возможностями. В любом случае стоит прикинуть, что обойдется дешевле, KVM IP переключатель или время простоя предприятия, необходимое для приезда технического специалиста.\n","id":"ccb4019311481c87bc4969152f2a438f","link":"https://interface31.ru/post/polnyj-kontrol-pereklyuchateli-kvm-over-ip/","section":"post","tags":["Удаленное администрирование"],"title":"Полный контроль - переключатели KVM over IP"},{"body":"Выбор корпоративного средства обмена сообщениями задача не из легких. Публичные сервисы, такие как ICQ, Skype и т.п., кроме известных всем достоинств имеют ряд недостатков, таких как необходимость наличия интернета на каждом рабочем месте и невозможность контролировать круг общения сотрудников, в той же ICQ свободно можно в рабочее время общаться с друзьями на отвлеченные темы. Что же делать? Здесь нам на помощь приходит Jabber, позволяющий создать корпоративный сервер обмена сообщениями, как это сделать мы расскажем в данной статье.\nМы будем рассматривать установку Jabber-сервера на выделенный ПК под управлением Ubuntu Server 10.04.1 LTS. Имя сервера, выбранное при установке ubuntu-jabber, которое будет являться именем jabber-сервера, если вы хотите использовать иное имя, то вы будете должны внести соответствующую запись в /etc/hosts.\nВ качестве jabber-сервера мы будем использовать ejabberd, к достоинствам которого относятся: простота настройки, нетребовательность к системным ресурсам и возможность LDAP авторизации (в том числе интеграция в AD), что весьма актуально в корпоративной среде.\nУстановка сервера проста, достаточно одной комманды:\n1 sudo apt-get install ejabberd Все настройки хранятся в /etc/ejabberd/ejabberd.cfg, откроем его и раскомментируем следующую строку:\n1override_local. Ниже укажем логин администратора (у jabber-сервера свой администратор, не путать с системным) и имя сервера:\n1%% Admin user 2{acl, admin, {user, \u0026#34;ADMIN\u0026#34;, \u0026#34;SERVER_NAME\u0026#34;}}. 3 4%% Hostname 5{hosts, [\u0026#34;SERVER_NAME\u0026#34;]. Где ADMIN - имя учетной записи администратора, а SERVER_NAME имя сервера, в нашем случае ubuntu-jabber. После чего опускаемся вниз до секции ACCESS RULES в которой находим и приводим к следующему виду опцию:\n1{access, register, [{allow, all}]}. Данная опция позволяет регистрировать учетные записи пользователям самостоятельно, при помощи клиента. Последняя интересующая нас опция - язык по умолчанию:\n1{language, \u0026#34;ru\u0026#34;}. Теперь зарегистрируем учетную запись администратора:\n1sudo ejabberdctl register ADMIN SERVER_NAME PASSWORD И перезапустим сервер:\n1sudo /etc/init.d/ejabberd restart Теперь можно приступить к настройке клиентских ПК. В первую очередь добавим в C:\\Windows\\System32\\drivers\\etc\\hosts строку следующего вида:\n110.0.0.103 ubuntu-jabber Данная строка позволяет клиентам обращаться к jabber-серверу по имени хоста. Если в вашей организации большое количество ПК и вносить настройки на каждом из них затруднительно, то самое время задуматься о внедрении Службы каталогов, в этом случае было бы достаточно одной записи на DNS сервере.\nВ качестве jabber-клиента мы используем Psi, кроссплатформенный клиент с богатыми возможностями, хотя вы можете выбрать то, что вам больше понравиться, благо есть из чего - список клиентов достаточно велик.\nУстановка и регистрация учетной записи просты и не занимают много времени, структура и принципы работы с программой ничем не отличаются от других IM клиентов и не должны вызвать каких-либо затруднений у пользователя. Добавляем контакт собеседника и уже можно общаться. Для администрирования сервера можно использовать веб-админку, которая доступна по адресу: http://SERVER_NAME:5280/admin и позволяет решать ежедневные задачи администрирования без обращения к файлам конфигурации. В общем на этом можно было бы и остановиться, если бы не одно но. По умолчанию список контактов (ростер на терминологии jabber) нового пользователя пуст. Это вполне нормально для личного использования или для работы с публичными серверами - пользователь сам выбирает с кем общаться, но абсолютно неприемлемо для корпоративной среды, где список контактов заранее определен. Было бы неплохо, чтобы новый пользователь автоматически попадал в этот список и автоматически получал его в свой клиент. К счастью сделать это совсем несложно. В /etc/ejabberd/ejabberd.cfg найдем и раскомментируем следующую строку:\n1{mod_shared_roster, []}, Сохраняем файл, перезапускаем сервис. Теперь в веб-админке в разделе Virtual Hosts - Имя вашего сервера появился пункт Группы общих контактов. Создаем такую группу и настраиваем как показано ниже: Для того, чтобы в группу автоматически попадали все пользователи в поле Члены укажите @all@, а в поле Видимые группы укажите название вашей группы, которое вы ввели при ее создании.\nПроверим как это работает. Зарегистрируем нового пользователя, как видим - все хорошо, он автоматически получил все контакты общей группы. Вот теперь можно и закончить нашу статью. В результате несложных действий мы получили в свое распоряжение мощное корпоративное средство обмена сообщениями, в тоже время простое и понятное пользователю. Однако на этом возможности ejabberd не исчерпываются, он позволяет осуществлять коммуникации с другими сетями обмена сообщениями, для этого нужно настроить соответствующий транспорт, так что если ваши партнеры используют ICQ вы не потеряете контакта с ними, но это тема для отдельной статьи.\n","id":"5338992b67f161a58c2d2ab842673325","link":"https://interface31.ru/post/ubuntu-server-nastraivaem-jabber-server/","section":"post","tags":["Jabber","Ubuntu Server"],"title":"Ubuntu Server. Настраиваем Jabber-сервер"},{"body":"По мере роста локальной сети предприятия сложность структуры и трудоемкость администрирования возрастают в геометрической прогрессии и каждый системный администратор рано или поздно задумывается о внедрении службы каталогов. Однако очень часто возникают затруднения, связанные с тем, что администраторы слабо представляют, что же это такое - служба каталогов и с чем ее едят. Дабы устранить данный пробел мы начинаем этот цикл статей, где, как всегда, расскажем просто о сложном, начав с самого начала.\nЧто бы понять, что такое служба каталогов и для чего она нужна, рассмотрим организацию локальной сети на примере некого развивающегося предприятия. Первоначально, имея несколько компьютеров их объединяют в сеть на основе рабочей группы. Зачем? Для того, чтобы совместно использовать общие ресурсы: папки и файлы, принтеры, доступ в интернет.\nПока предприятие маленькое, все друг друга знают и постоянно на виду в сети используется гостевая модель доступа, как наиболее простая в реализации. Это значит что любой пользователь, имея ПК, физически подключенный к сети, может получить доступ к любым ее ресурсам.\nПо мере развития фирма расширяется, появляется деление на отделы и возникает необходимость разделения доступа к ресурсам. В рабочей группе все компьютеры равноправны, поэтому, для обеспечения доступа к некому ресурсу, на данном ПК должны быть заведены учетные записи для каждого пользователя, которому необходимо обеспечить доступ. Администратор сети в рабочей группе понятие весьма условное, на каждом ПК имеется свой, локальный, администратор, не имеющий аналогичных полномочий на других компьютерах. Рассмотрим схему более подробно: В нашей рабочей группе имеются два ПК на которых работают пользователи Иванов (логин: Ivanov, пароль 123) и Петров (логин: Petrov, пароль 345). Для того, чтобы Иванов имел доступ к общим ресурсам Петрова, на его (Петрова) компьютере необходимо добавить учетную запись Ivanov и наоборот. Через некоторое время в сети появляется файловый сервер, на котором необходимо добавить все учетные записи пользователей, которые должны иметь доступ к его ресурсам. Отдельно стоит поговорить об организации доступа в интернет, обычно для этого используют стороннее ПО со своим списком пользователей и своим методом авторизации, что выливается в еще один список пользователей и еще один набор паролей.\nЧто мы имеем в итоге? Каждый пользователь имеет несколько паролей (а то и несколько пар логин-пароль): от учетной записи, от интернета. В дальнейшем, при появлении в сети новых сервисов (эл. почта, службы терминалов и т.п.), этот список будет только расти. Теперь представим ситуацию, когда Иванов решил поменять пароль к своей учетной записи. Пароль также придется сменить на всех ПК и серверах сети или при доступе к ним Иванову придется отдельно авторизовываться со своим старым паролем.\nИ вот, в один прекрасный день (но явно не для админа), в нашу организацию пришел работать Сидоров. Его учетную запись следует создать на всех ПК и серверах к которым он должен иметь доступ. А если компьютеров в сети не один десяток? А если завтра он перейдет в другой отдел и должен будет иметь доступ к ПК Иванова, но не иметь доступа к ПК Петрова? Да, админу не позавидуешь...\nВот здесь и выходит на первый план необходимость в едином хранилище учетных записей пользователей и ресурсов локальной сети и таким хранилищем выступает служба каталогов. При этом мы переходим от организации сети на базе рабочей группы к доменной структуре, которая более сложная, но в тоже время позволяет четко выстроить иерархию доступа к ресурсам вашей сети. Вернемся к нашей схеме: Как видим, в нашей сети появился новый участник - контроллер домена. Это сердце сети, единое хранилище записей о всех ее ресурсах: рабочих станциях, принтерах, серверах, пользователях и группах пользователей. Теперь, авторизуясь на своем ПК, пользователь вводит логин и пароль выданные ему администратором домена. Эти учетные данные проверяются контроллером домена, который, в случае успешной авторизации, выдает ему своеобразный \u0026quot;пропуск\u0026quot; (билет сеанса), дающий пользователю возможность использовать все, разрешенные для его группы, ресурсы сети без дополнительной авторизации.\nВыгоды от такого подхода очевидны, все учетные записи пользователей создаются один раз, на контроллере домена, любой новый сервис в сети достаточно ввести в общий каталог и доступ к нему автоматически могут получить все пользователи. Теперь появление нового сотрудника - Сидорова, не вызовет у админа головной боли, он один раз создаст его учетную запись и поместит ее в необходимую группу, при переходе сотрудника из отдела в отдел достаточно будет просто переместить пользователя из одной группы в другую. Один единственный раз.\nСледует четко усвоить - служба каталогов предоставляет админу единую точку управления пользователями и ресурсами сети. Все изменения делаются один раз - на контроллере домена и применяются для всей сети. При доменной структуре, администратор, как капитан на судне - \u0026quot;первый после Бога\u0026quot;, имеет неограниченный доступ к любому ПК в сети.\nСуществует довольно много реализаций служб каталогов, наиболее распространенной и богатой по возможностям является Active Directory от Microsoft, существуют также открытые решения, такие как OpenLDAP, Apache Directory Server, 389 Directory Server, домен Samba и иные. Все эти решения, их достоинства и недостатки мы более подробно рассмотрим в следующей статье.\n","id":"4154aa388217e7004fbf1cb3394b8965","link":"https://interface31.ru/post/sluzhby-katalogov-chast-1-obshhie-ponyatiya/","section":"post","tags":["Active Directory","LDAP","Службы каталогов"],"title":"Службы каталогов. Часть 1 - Общие понятия"},{"body":"Последнее время довольно часто приходится сталкиваться с ошибками запуска конфигураций на платформе 1С Предприятие 8.2. Очень часто пользователи и системные администраторы, не представляя причины возникновения данных ошибок, тратят очень много времени и сил на их устранение. Мы надеемся, данный материал будет им полезен.\nТиповыми симптомами данной ошибки является аварийное завершение работы приложения при запуске конфигурации или при попытке ее создания. При этом другие конфигурации могут загружаться успешно, также у других пользователей на данном ПК данной ошибки не возникает. Такое поведение наводит на мысль, что причина ошибки кроется где-то в пользовательских настройках. Самое время разобраться где они находятся и что там хранится.\nВ профайлах 1С хранится информация не оказывающая влияние на логику работы конфигурации, но содержащую параметры и настройки конкретного пользователя: расположение диалогов, окон, настройки отображения и т.п. Вместе с профайлами хранится кэш различных компонентов конфигурации и временные файлы.\nПользовательские данные 1С хранятся в C:\\Users\\Имя_Пользователя\\AppData\\Roaming\\1C\\1Cv82 для ОС Windows 7 (Vista) и в C:\\Documents and Settings\\Имя_Пользователя\\Application Data\\1C\\1Cv82 для Windows XP. Рассмотрим подробнее, что там находится. В корне находятся профайлы общие для всех информационных баз:\n1cv8.pfl - настройки приложения. 1cv8c.pfl - настройки приложения для тонкого клиента. 1cv8cmn.pfl- настройки приложения в режиме конфигуратора. 1cv8prim.pfl - настройки для работы в клиент-серверном варианте. 1cv8strt.pfl- настройка диалога выбора ИБ и параметры запуска. Если вы не используете тонкий клиент или какие либо режимы работы (например ни разу не запускали конфигуратор) соответствующих файлов может не быть.\nПрофайлы считываются в момент запуска и записываются при штатном завершении работы. Большинство проблем запуска 1С связано именно с ними. Так если у вас не запускаются все ИБ, то проблема скорее всего кроется в 1cv8strt.pfl, можно просто его удалить. В подавляющем большинстве случаев этого достаточно для решения проблемы. В более тяжелых случаях можно удалить все профайлы, однако при этом вы можете потерять свои настройки пользовательского окружения.\nВ папках с непроизносимыми названиями хранятся профайлы, кэш и временные файлы информационных баз. Установить соответствие ID базы и ее наименования в диалоге запуска можно при помощи файла ibases.v8i, который хранится в C:\\Users\\Имя_Пользователя\\AppData\\Roaming\\1C\\1CEStart (C:\\Documents and Settings\\Имя_Пользователя\\Application Data\\1C\\1CEStart), он представляет собой текстовый файл содержимое которого имеет вид:\n1[Бухгалтерия 2011] 2Connect=File=\u0026#34;D:\\Work\\1C_Bases\\Buh2011\u0026#34;; 3ID=bd0a9676-e186-4760-b57b-9c40111954e7 4OrderInList=255 5Folder=/ 6OrderInTree=16640 7External=0 8ClientConnectionSpeed=Normal 9App=Auto 10WA=1 11Version=8.2 Назначение профайлов в папках такое же как и общих, за исключением, что относятся они к конкретной ИБ. При возникновении каких либо проблем с запуском определенной базы профайлы и иное содержимое папки можно удалить. Также там может находиться файл def.usr который содержит имя пользователя в последний раз открывавшего ИБ.\nТакже полезно иметь преставление о назначении профайлов и для быстрого приведения определенных пользовательских настроек к нужному виду, для установки значений по умолчанию достаточно удалить соответствующий профайл.\nКаталог tmplts содержит шаблоны конфигурации и обновления, его удалять не следует, если только вы не хотите освободить место на жестком диске.\n","id":"7a0540ffe8ee25a281148ad3b4c8f770","link":"https://interface31.ru/post/1s-predprijatie-82-oshibka-pri-zapuske-programmi/","section":"post","tags":["1С Предприятие 8.х"],"title":"1С Предприятие 8.2 Ошибка при запуске программы"},{"body":"Данная статья довольно необычна для нашего ресурса. В ней вы не найдете ни слова о технике. Наоборот, мы поговорим об организационных вопросах с которыми приходится сталкиваться администратору. Ведь одних технических знаний зачастую недостаточно, чтобы успешно реализовать в жизнь все планы и задумки.\nВнедрение - как много в этом слове... Для системного администратора это хороший повод показать себя, либо нажить кучу проблем на ровном месте. И что самое обидное, это никак не будет зависеть от того насколько грамотно и качественно вы выполнили техническую часть работы, зато очень много будет зависеть от того, как вы ее организовали.\nНезависимо от того, сами вы будете делать внедрение или приглашать сторонних специалистов, а также от его сложности и масштабности (неважно, ставите вы новый файловый сервер или меняете IT-инфраструктуру предприятия), первое о чем должен позаботиться администратор - это детальное планирование будущего внедрения. В любом случае весь последующий \u0026quot;головняк\u0026quot; достанется вам, и чтобы вместо благодарности и премии не получить полный набор неприятностей к теме нашей сегодняшней беседы следует подойти со всей серьезностью.\nИтак, с чего начинается внедрение? С новых серверов и нового ПО? Нет, до этого еще надо дожить. Любое внедрение начинается с вещей гораздо менее интересных. Пройдем по основным этапам.\nПостановка задачи. Как обычно происходит, вызывает вас утром шеф и говорит: \u0026quot;Знаешь, я подумал - нам надо сделать свою электронную почту\u0026quot; или \u0026quot;Тут отдел продаж жалуется, тормозит у них, надо что-то сделать\u0026quot;. Очень редко, когда руководство ставит конкретную задачу, в большинстве случаев перед администратором ставится проблема либо пожелание - выбор решения, его реализация и ответственность за это полностью ложится на его плечи.\n\u0026quot;Ну что, сделаешь?\u0026quot; - спрашивает шеф, не спешите бить себя пяткой в грудь и уверять что для вас это раз плюнуть, сейчас проверяют не ваши знания и квалификацию, а вашу способность предложить для предприятия оптимальный вариант. На этом этапе вы должны выяснить, какие именно функции нужно реализовать и в каком объеме, а также какой экономический эффект ожидается от данного внедрения и какой его предполагаемый бюджет.\nНе бойтесь и не стесняйтесь говорить о возможных трудностях и проблемах, либо о дополнительных затратах. Этим вы покажете себя как грамотного специалиста, думающего в первую очередь о потребностях предприятия. Если же руководство требует \u0026quot;как-нибудь, чтоб работало\u0026quot; реализовать его запросы на текущем и явно не подходящем оборудовании, то стоит задуматься о смене работы.\nЕсли для внедрения требуется новое оборудование, так и скажите об этом. На недоуменный вопрос: \u0026quot;Мы же полгода назад купили новый сервер, ты сам выбирал\u0026quot;, поясните, что тогда не стояло таких задач, а покупать сервер \u0026quot;на вырост\u0026quot; - это деньги на ветер, т.к. оплаченная вычислительная мощность не будет использоваться.\nВ ряде случаев будет также неплохо, если вы сами придете к руководству с предложением, при этом надо четко объяснить, что именно станет лучше после внедрения. При этом забудьте на время технические термины, объяснение что серверу нужно добавить оперативки или купить новый процессор будет воспринято руководством как выпрашивание денег на непонятные нужды. Зато если вы объясните, что количество пользователей сервера увеличилось и уже сейчас некоторые пользователи жалуются на недостаточную скорость работы, а при планируемом расширении есть риск того, что производительность неприемлемо снизится, то руководство будет только за принятие мер для повышения быстродействия. И вы вместо человека живущего на другой планете и говорящего какие-то непонятные вещи, заслужите репутацию толкового специалиста, думающего о нуждах предприятия.\nВ любом случае к окончанию данного этапа у вас в руках должно быть письменное изложение всех требований к новой системе, которое должно отвечать на вопросы: какие именно функции должна иметь новая система, кто должен иметь доступ к этим функциям и в каком объеме и предполагаемый эффект от данного внедрения. И только после этого, но не раньше, можно переходить к следующему этапу.\nФормализация требований. Имея на руках список требований можно переходить к их формализации. Ничего сложного и страшного в этом слове нет, просто вы должны \u0026quot;перевести\u0026quot; поставленную задачу с обычного языка на технический. Фактически вам надо составить техническое описание будущей системы. Какие функции и компоненты требуются, какая должна быть нагрузочная способность, требования к доступности и отказоустойчивости.\nНа этом этапе постарайтесь абстрагироваться от конкретных программных решений, сосредоточитесь на общем описании системы, гораздо более правильно подбирать ПО под задачу, чем подгонять задачу под имеющееся ПО.\nЕще один очень важный момент, про который многие забывают, это список показателей и критериев, по которым следует проводить оценку эффективности системы. Очень хорошо если это будут не \u0026quot;попугаи\u0026quot; бенчмарка, а некий набор показателей, применимый к повседневной деятельности предприятия. Если возможно, выполните нагрузочное тестирование. Если стоит выбор между синтетическими тестами и тестированием на реальных приложениях - выберите последнее. Составьте набор тестов с использованием реальных приложений и учитывающий круг повседневных задач. Также обязательно проведите тестирование существующей системы, чтобы потом была возможность сравнить. Помните, что руководству гораздо интереснее насколько быстрее формируются отчеты и т.п., чем сколько \u0026quot;попугаев\u0026quot; получила система в каком либо бенчмарке.\nПренебрежение этим требованием может сыграть с администратором злую шутку. Внедрение может быть выполнено безукоризненно технически, но если эффект от него не виден невооруженным глазом и вы не сможете доходчиво объяснить, какие преимущества получило предприятие, руководство может счесть внедрение неудачным, а средства потраченными впустую. Ситуация, что говорить, весьма неприятная, учитывая что админ честно выполнил свою работу, поэтому оценке эффективности внедрения следует уделить повышенное внимание. Не забудьте согласовать выбранные вами показатели с руководством, возможно у них несколько другие параметры оценки.\nВыработка решения На этом этапе вы должны предложить решение поставленной задачи с конкретным указанием всех необходимых для этого ресурсов и работ. А также определиться, кто какие задачи будет выполнять и установить сроки.\nЕще раз повторимся, не занижайте требования, даже к недовольству руководства. Если внедрение объективно требует двух недель, а руководство настаивает на неделе, подготовьте перечень необходимых работ и аргументируйте сроки, будет гораздо лучше, если вы закончите работу раньше, чем сорвете сроки. И не надо винить во всех своих бедах \u0026quot;самодуров\u0026quot; из руководства. Пообещав конкретные сроки, вы даете руководству отправную точку для дальнейших действий, например на окончание внедрения может быть запланирована рекламная кампания, с расчетом на новые возможности предприятия, в этом случае срыв сроков череват как прямыми убытками, так и уроном для деловой репутации фирмы.\nТакже, если внедрение требует новый сервер для реализуемого решения, не пытайтесь пойти на компромисс с руководством, реализовав это на имеющихся мощностях. Это вам будет понятно, что неудовлетворительная работа связана с недостаточной вычислительной мощностью. Для остальных это будет неработоспособностью сервиса и показателем того, что вы не справились с поставленной задачей.\nБудьте последовательны и аргументированно отстаивайте свою позицию, за это еще никого не уволили, а вот за проваленный проект можно запросто пойти на улицу. Также определитесь, кто будет реализовывать проект, вы сами или сторонние специалисты. Помните, если вы знакомы с предметом внедрения только теоретически, то лучше пригласить сторонних специалистов, либо убедить руководство в необходимости пройти обучение. При отсутствии реального опыта работы с продуктом обязательно проведите тестирование выбранного решения, хорошим подспорьем тут будет технология виртуальных машин. Если возможно, проведите пилотное внедрение на базе какого нибудь отдела.\nВ любом случае, перед внедрением, вы должны быть знакомы с внедряемым продуктом практически и иметь базовые навыки работы с ним, знать типовые проблемы и способы их решения. В противном случае лучше пригласить специалистов со стороны. В этом нет ничего зазорного, любой сложный программный продукт имеет свои особенности, недокументированные варианты поведения, типовые неисправности и т.п., которые для специалиста-практика не представляют затруднений, зато новичка способны ввергнуть в длительный ступор.\nМы крайне не советуем браться за внедрение без практического опыта работы с внедряемым программным продуктом, даже имея под рукой многократно проверенный мануал. В случае какой либо нештатной ситуации что вы будете делать? Спрашивать совета на форумах? А время идет, сроки поджимают.\nВнедрение С одной стороны здесь все просто, администратор находится в своей родной стихии, с другой стороны здесь тоже немало подводных камней. Перед тем как браться за внедрение, составьте план действий на каждый день и обязательно документируйте его фактическое выполнение. Если что-то вам помешало выполнить запланированные задачи - укажите причину. Еще перед внедрением решите с руководством что важнее, внедрение или текущие заявки пользователей, а также расставьте приоритеты, например заявки отдела продаж имеют приоритет над внедрением, а отдел закупок может и подождать.\nПодобный подход позволяет в любой момент времени показать руководству как идет внедрение, а также вырабатывает самодисциплину и ответственный подход к поставленным задачам. Работы без плана обычно сводятся к тому, что 80% времени занимаются ерундой, а в оставшиеся 20% аврально внедряют, буквально бегая по потолку. Любая задержка, такая как брак оборудования или затягивание сроков третьей стороной, может оказаться для проекта фатальной. Поэтому составьте план и заставьте сами себя его придерживаться, вы увидите, успех не заставит себя долго ждать.\nСдача проекта Ну вот, внедрение закончено, все работает как часы, тестирование показывает увеличение производительности и кажется, что завтра на вас посыпятся благодарности руководства, премии и прочие приятные бонусы. Но рано расслабляться, проект еще нужно сдать.\nОсобое внимание следует уделить конечным пользователям. Именно они будут решать судьбу проекта, не один раз технически безупречные проекты проваливались из-за пренебрежения пользователями. Постарайтесь коротко и на понятном им языке сформулировать основные преимущества именно с пользовательской точки зрения, например: \u0026quot;раньше это действие делалось так, а теперь вот так, что гораздо быстрее и удобнее\u0026quot;. А также подготовьте короткие, но емкие инструкции по работе системой.\nПомните, что пользователю все равно, как работает система, ему нужно чтобы она помогала ему выполнять определенные производственные функции. Если ему приходится вместо выполнения основных обязанностей тратить время на освоение системы - он будет против, однако если он будет видеть грядущие выгоды - он будет за.\nСледует отдавать себе отчет, что IT-отдел это обслуживающий персонал и денег для фирмы он не зарабатывает, в отличие от того-же отдела продаж. В случае конфликта с пользователями руководство станет на сторону пользователей, основная цель фирмы - получение прибыли, а не внедрение IT-технологий.\nМало сделать технически безупречную систему, важно чтобы она была дружественной пользователю. Поэтому если стоит выбор между технически правильным решением и решением удобным пользователю, следует отдать предпочтение второму. Пусть это не эффективно с технической точки зрения, но это удобно пользователю. В конце концов, деньги зарабатывают не сервера, а работающие с ними пользователи.\nПодготовьте инструкции для пользователей, расскажите им о достоинствах новой системы, проведите инструктаж и вы получите положительные отзывы, что позволит вам успешно сдать проект.\n","id":"3954237c2704e1d69e7339ad489d81dd","link":"https://interface31.ru/post/kak-pravil-no-splanirovat-i-organizovat-vnedrenie/","section":"post","tags":["Внедрение","Планирование"],"title":"Как правильно спланировать и организовать внедрение"},{"body":"Несмотря ни на что платформа 1С:Предприятие 7.7 не спешит сдавать свои позиции, особенно в сфере складского учета. Поэтому решения для нее будут актуальны как минимум в течении нескольких следующих лет. Сегодня хотим предложить вашему вниманию статью посвященную подключению сканеров штрих-кода к конфигурациям на базе Торговля и склад 9.2.\nСканеры штрих-кода можно без преувеличения назвать самым популярным торговым оборудованием. С их помощью можно эффективно автоматизировать прием и выдачу товара, документооборот, поиск товаров в информационной базе, ускорить ввод и обработку первичных документов.\nОднако при подключении сканеров к конфигурациям на базе 1С:Предприятие 7.7 многие администраторы сталкиваются со сложностями, которые в большинстве случаев пытаются решить методом \u0026quot;шаманских танцев с бубном\u0026quot;. Поэтому мы решили опубликовать цикл статей посвященных торговому оборудованию. Надеемся что он поможет нашим читателям осмысленно и со знанием дела подойти к данному вопросу.\nКакие бывают сканеры штрих-кода. Так как данная статья не является руководством по выбору сканера штрих-кода, то мы оставим \u0026quot;за кадром\u0026quot; те характеристики, которые не имеют отношения к тематике статьи и рассмотрим какие бывают типы сканеров в зависимости от интерфейса подключения к ПК.\nРазрыв клавиатуры - данный тип сканеров включается в разрыв клавиатуры ПК и не требует драйверов, при считывании штрих кода сканер передает последовательность символов в активное поле ввода, аналогично вводу с клавиатуры. На сегодняшний день практически вышли из употребления, уступив место другим типам сканеров. Данный тип сканера непригоден к использованию с 1С:Предприятие 7.7 при подключении стандартным способом, однако его можно подключить используя коммерческие драйвера «АТОЛ: Драйверы торгового оборудования»\nRS-232 - один из самых популярных типов сканеров, использует для подключения COM порт, не требует драйверов. Это единственный тип сканеров, который подключается к 1С:Предприятие стандартными средствами. Из минусов - требуется внешний источник питания. На настоящий момент уступают свои позиции сканерам с USB интерфейсом во многом из-за отсутствия выведенных COM портов на современных материнских платах.\nUSB - данный тип подключения становится стандартом де-факто для сканеров штрих-кода, некоторые современные модели, например беспроводные сканера, доступны только с этим интерфейсом. По умолчанию работают в режиме эмуляции разрыва клавиатуры и не требуют драйверов. Могут также работать в режиме эмуляции COM порта, для этого нужно перевести сканер в соответствующий режим считыванием специального штрих-кода из инструкции и установки специальных драйверов.\nСтоит отметить, что большинство сканеров может работать в любом из трех перечисленных режимов, достаточно заменить интерфейсный кабель и перевести сканер в нужный режим считыванием соответствующего штрих-кода из инструкции.\nПодключение сканера к 1С:Предприятие. Перед подключением сканера нужно убедиться, что он работает в нужном режиме и, при необходимости, настроить его. Что нам понадобиться? В первую очередь сам сканер и инструкция по по применению, которая содержит настоечные штрих-коды, считыванием которых сканер переводится в необходимый режим. Если данной инструкции в комплекте со сканером нет, ее необходимо получить на сайте производителя или у поставщика.\nЕсли ваш сканер имеет интерфейс USB вам также понадобится драйвер USB - RS232 и специальный шрих-код для перевода сканера в режим эмуляции COM порта. Данный штрих-код находится либо в инструкции, либо содержится в описании к драйверам, в этом случае его следует распечатать.\nПоследовательность действий такова: сканер подключается к ПК, считывается штрих-код, устанавливающий режим эмуляции COM (RS-232) и устанавливается соответствующий драйвер.\nВнимание! ВАЖНО! Обязательно убедитесь, что в конце считываемой последовательности сканер передает код переноса строки (Enter), это необходимое условие для работы с 1С:Предприятие.\nПроверить это можно следующим образом: для сканера с эмуляцией разрыва клавиатуры достаточно открыть Блокнот, для RS-232 сканеров можно воспользоваться программой Hyper Terminal. В последнем случае создайте новое соединение и укажите параметры связи с портом сканера. Затем считайте произвольный штрих код и убедитесь, что курсор переносится на следующую строку. В противном случае обратитесь к инструкции и настройте суффикс (код передаваемый после штрих-кода) сканера. Так для популярного и недорогого сканера Symbol LS1203 необходимо последовательно считать следующие коды: Также не забудьте зарегистрировать библиотеку scanopos.dll, рекомендуем скопировать ее в корневую папку 1С (C:\\Program files\\1cv7\\bin) и выполнить команду:\n1regsvr32 C:\\Program files\\1cv7\\bin\\scanopos.dll Теперь запустите 1С:Предприятие (будем рассматривать на примере конфигурации Торговля и Склад) и откройте Сервис - Настройка торгового оборудования. На закладке Сканер штрих-кода выберите модель Стандартный сканер и не забудьте поставить галочку Сканер штрих-кода включен. После чего перейдите в Сервис - Параметры - Сканер штрих-кода и укажите параметры подключения сканера, в частности номер COM порта. Для проверки можете нажать кнопку Тест устройства и считать произвольный штрих-код, в открывшемся окне должно появиться значение штрих кода.\n","id":"de03c23fb7e26722c176c6883747670d","link":"https://interface31.ru/post/1s-predpriyatie-77-podklyuchenie-skanerov-shtrix-koda-chast-1/","section":"post","tags":["1С Предприятие 7.7","Торговое оборудование","Штрих-код"],"title":"1С Предприятие 7.7 Подключение сканера штрих-кода"},{"body":"Наши читатели часто спрашивают, каким образом можно ограничить скорость или разделить канал между клиентами. Сегодня мы рассмотрим как это можно сделать с помощью прокси-сервера Squid, взяв за основу уже настроенный нами роутер.\nИзлагая материал данной статьи мы будем считать, что читатель уже имеет настроенный по нашим рекомендациям роутер и владеет начальными навыками его администрирования: знает где находятся конфигурационные файлы, умеет их редактировать и сохранять, а также перезапускать службы.\nЗа ограничение скорости в Squid отвечает механизм пулов, работающий по следующему принципу: каждый пул имеет свой размер и свою скорость заполнения. Любой запрошенный клиентом объект сначала помещается в пул, а затем отдается клиенту. Размер буфера и скорость его заполнения задается в байтах и записывается следующим образом: 120000/120000, эта запись обозначает пул с размером буфера в 120 кБ и скоростью заполнения 120 кБ/с. Неограниченный размер буфера / скорости указывается как -1/-1.\nВ зависимости от значений возможны три варианта работы пула\nРазмер буфера и скорость заполнения равны. Клиент всегда качает с максимальной скоростью, равной скорости заполнения.\nРазмер буфера меньше скорости заполнения. Клиент получает трафик с постоянной скоростью, численно равной размеру буфера, но Squid не подкачивает данные пока буфер не будет опустошен. Наполнение буфера (т.е. скачивание информации из интернета) происходит на скорости заполнения.\nРазмер буфера больше скорости наполнения. Клиент получает объекты не превышающие объем буфера на максимальной скорости, численно равной размеру буфера. Объекты большего размера он получает на скорости равной скорости заполнения буфера.\nТакже существуют три класса пулов:\nПервый - ограничивается общая скорость загрузки Второй - ограничивается общая скорость загрузки и скорость каждого хоста. Третий - ограничивается общая скорость загрузки, скорость подсети и скорость каждого хоста. На первый взгляд кажется довольно сложно. Однако это не так, разберем несколько примеров.\nПример 1. Необходимо ограничить скорость сети на уровне 1024 кб/с и скорость каждого клиента на уровне 256 кб/с. Для этой цели нам понадобится пул второго класса с характеристиками 128000/128000 32000/32000 (не забываем переводить килобиты в килобайты)\nПример 2. Необходимо обеспечить серфинг на полной скорости канала (1024 кб/с), а для закачек более 1 МБ ограничить скорость на 128 кб/с. Создадим пул первого класса с параметрами 1000000/16000. Все объекты размером меньше 1 МБ будут отдаваться на максимальной теоретической скорости 8 Мбит/с, реально ограниченной максимальной скоростью канала, все объекты размером свыше одного МБ будут скачиваться на скорости не выше 128 Кб.\nТеперь рассмотрим практический пример конфигурирования Squid для наших нужд, попробуем реализовать следующую схему: Будем считать, что у нас имеется входящий интернет канал шириной 2048 кб/с который требуется разделить на две подсети LAN1 (192.168.0.0/24) и LAN2 (192.168.1.0/24) выделив по 1024 кб/с на каждую. В каждой из подсетей скорость конечных клиентов требуется ограничить на уровне 128 кб/с. Также в подсети LAN1 необходимо выделить неограниченный канал для ноутбука директора (192.168.0.110).\nЗадача ясна, приступим к реализации. Все изменения следует вносить в конфигурационный файл Squid /etc/squid/squid.conf.\nСначала зададим списки доступа (ACL), следует помнить, что поиск в списках ведется по порядку и до первого совпадения, поэтому нужно соблюдать необходимую очередность, сначала указываем хосты, затем подсети. Аналогичных правил следует придерживаться и при указании пулов.\n1acl direktor src 192.168.0.110/32 2acl lan1 src 192.168.0.0/24 3acl lan2 src 192.168.1.0/24 Установим необходимые права доступа\n1http_access allow direktor 2http_access allow lan1 3http_access allow lan2 Теперь создадим пулы. Для решения данной задачи нам потребуется два пула: первого и третьего классов.\n1delay_pools 2 2delay_class 1 1 3delay_class 2 3 Для параметра delay_class указывается номер пула и его класс, так вторая строка создает первый пул первого класса, третья второй пул третьего класса.\nСледующим шагом зададим принадлежность групп доступа к пулам:\n1delay_access 1 allow direktor 2delay_access 1 deny all 3delay_access 2 allow lan1 4delay_access 2 allow lan2 5delay_access 2 deny all Осталось задать параметры пулов. Следует помнить, что параметры указываются по порядку: общие - подсеть - хост и в том же порядке перекрывают друг друга. Если, например, на общем уровне действуют ограничения на размер файла, то они автоматически распространяются на подсеть и хост.\n1delay_parameters 1 -1/-1 2delay_parameters 2 -1/-1 128000/128000 16000/16000 Сохраняем конфигурационный файл, перезапускаем Squid. Проверяем, все должно работать.\n","id":"a6aa27ed609faf6abf809ba1733d1f23","link":"https://interface31.ru/post/ubuntu-server-ogranichivaem-skorost-klientov-cherez-squid/","section":"post","tags":["Squid","Ubuntu Server","Сетевые технологии"],"title":"Ubuntu Server. Ограничиваем скорость клиентов через Squid"},{"body":"Как показал читательский отклик, одной из наиболее интересных тем является настройка аутентификации через прокси-сервер Squid. Сегодня, располагая небольшим свободным временем, мы решили написать небольшую заметку на эту тему, которая в итоге вылилась в полноценную статью.\nСразу важное предупреждение: аутентификация и прозрачный прокси несовместимы! Придется выбирать что-то одно. Второе предупреждение: аутентификация через прокси позволит ограничить доступ в Интернет только по HTTP протоколу. Остальные протоколы: FTP, SMTP, POP3 и другие будут спокойно продолжать работать через NAT. Хотя в небольших организациях это не столь критично, наиболее употребляемым (и злоупотребляемым) является именно протокол HTTP, и одной из задач администратора является ограничение доступа сотрудников в интернет именно через браузер.\nПодготовка сервера. В качестве базы мы будем использовать роутер, обновленный до Ubuntu Server 10.04 LTS. В первую очередь отключим прозрачное проксирование, для этого в файле /etc/nat закомментируем последнюю строку:\n1#iptables -t nat -A PREROUTING -i eth1 -d ! 10.0.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 10.0.0.1:3128 Также следует запретить HTTP соединения (порт 80) через NAT, для этого перед строкой:\n1# Разрешаем доступ из внутренней сети наружу добавляем:\n1# Запрещаем HTTP через NAT 2iptables -A FORWARD -i eth1 -p tcp --dport 80 -j REJECT В случае необходимости можно запретить по умолчанию все порты и протоколы, а затем разрешить нужные. Для этого правило будет выглядеть следующим образом:\n1# Запрещаем все по умолчанию 2iptables -P FORWARD DROP 3 4# Разрешаем нужные службы (FTP, SMTP, POP3) 5iptables -A FORWARD -i eth1 -p tcp --dport 21 -j ACCEPT 6iptables -A FORWARD -i eth1 -p tcp --dport 25 -j ACCEPT 7iptables -A FORWARD -i eth1 -p tcp --dport 110 -j ACCEPT Перезагружаемся, проверяем правильность работы цепочек.\nНастройка Squid Подготовив сервер, перейдем к настройке Squid, для этого откроем /etc/squid/squid.conf, далее пойдем от начала файла. Найдем, раскомментируем и приведем к следующему виду строку:\n1auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd Данная строка указывает использовать NCSA аутентификацию на основе списка пользователей из файла passwd. Далее найдем и раскомментируем следующие строки:\n1auth_param basic children 5 2auth_param basic realm Squid proxy-caching web server 3auth_param basic credentialsttl 2 hours Первая строка указывает количество одновременно доступных каналов для аутентификации, вторая выводимое приветствие, можете заменить Squid proxy-caching web server на то, что вам нравиться, например Интернет сервер ООО \u0026quot;Рога и Копыта\u0026quot;. Третья строка отвечает за время хранения пары логин - пароль, по истечении этого времени сервер попросит повторную проверку.\nЗададим группу доступа для всех прошедших проверку, раскомментировав:\n1acl password proxy_auth REQUIRED Теперь изменим права доступа через Squid, найдем и закомментируем строку, разрешающую доступ всем членам локальной сети:\n1#http_access allow localnet И добавим рядом строку, которая разрешает доступ только для аутентифицированных пользователей:\n1http_access allow password Не забываем убрать настройку, отвечавшую за прозрачность, вместо\n1http_port 10.0.0.1:3128 transparent оставьте\n1http_port 10.0.0.1:3128 Информация Важно, в версиях Squid3, начиная с 3.1 и новее, вместо опции transparent используется intercept.\nСохраняем файл. Теперь нам надо создать файл паролей и завести пользователей. Для этого нам понадобится утилита htpasswd из состава apache2-utils, установим этот пакет:\n1sudo apt-get install apache2-utils Теперь заведем пользователя командой:\n1htpasswd -c /etc/squid/passwd ivanov Ключ -с указывает создать файл паролей в случае его отсутствия, второго и последующего пользователей следует заводить командой:\n1htpasswd /etc/squid/passwd petrov Перезагружаем Squid. На клиентской машине в браузере явно укажем использование прокси и попробуем выйти в интернет, если все сделано правильно должно появиться окно запроса логина - пароля.\nАвтоматическое определение настроек прокси-сервера Вроде бы мы все настроили, но данное решение требует ручной настройки браузеров на каждом клиентском ПК, а если завтра мы поменяем параметры прокси, порт или IP адрес? Снова бегать? Здесь нам на помощь придет WPAD (Web Proxy Auto Detection), который позволяет один раз указать в настройках браузера клиента адрес скрипта автоматической настройки и дальнейшие изменения вносить уже в этот скрипт.\nСкрипт WPAD должен быть опубликован на локальном веб-сервере, если вы не собираетесь использовать роутер в качестве полноценного веб-сервера то нет необходимости устанавливать такой тяжеловес как Apache, с данной задачей отлично справиться быстрый и легкий Lighttpd. Данный веб-сервер благодаря именно этим качествам прочно \u0026quot;прописался\u0026quot; в аппаратных маршрутизаторах, модемах и т.п. Для установки выполним:\n1sudo apt-get install lighttpd Для проверки работы веб-сервера наберем в любом браузере http://10.0.0.1, если все работает нормально мы увидим стандартную страничку Lighttpd: Откроем конфигурационный файл Lighttpd и добавим в него следующую секцию:\n1mimetype.assign += (\u0026#34;.dat\u0026#34; =\u0026gt; \u0026#34;application/x-ns-proxy-autoconfig\u0026#34;) Теперь в корневой папке веб-сервера создадим файл WPAD:\n1sudo touch /var/www/wpad.dat Откроем его внесем следующий текст:\n1function FindProxyForURL(url, host) 2{ 3 if(isInNet(host, \u0026#34;10.0.0.0\u0026#34;, \u0026#34;255.255.255.0\u0026#34;)) { return \u0026#34;DIRECT\u0026#34;; } 4 return \u0026#34;PROXY 10.0.0.1:3128\u0026#34;; 5} Данная конструкция будет автоматически заворачивать на прокси все запросы, кроме адресов вашей локальной сети. Также добавим аналогичное правило для localhost:\n1if (shExpMatch(host, \u0026#34;127.0.0.1\u0026#34; )) {return \u0026#34;DIRECT\u0026#34;;} 2if (shExpMatch(host, \u0026#34;*/localhost*\u0026#34; )) {return \u0026#34;DIRECT\u0026#34;;} Кроме того, отправим напрямую протокол HTTPS, который Squid все равно не обрабатывает, тем самым сняв возможные проблемы с сайтами работающими по этому протоколу:\n1if (shExpMatch(url, \u0026#34;https:*\u0026#34;)) {return \u0026#34;DIRECT\u0026#34;;} В итоге файл должен принять вид:\n1function FindProxyForURL(url, host) 2{ 3 if(isInNet(host, \u0026#34;10.0.0.0\u0026#34;, \u0026#34;255.255.255.0\u0026#34;)) { return \u0026#34;DIRECT\u0026#34;; } 4 if (shExpMatch(host, \u0026#34;127.0.0.1\u0026#34; )) {return \u0026#34;DIRECT\u0026#34;;} 5 if (shExpMatch(host, \u0026#34;*/localhost*\u0026#34; )) {return \u0026#34;DIRECT\u0026#34;;} 6 if (shExpMatch(url, \u0026#34;https:*\u0026#34;)) {return \u0026#34;DIRECT\u0026#34;;} 7 return \u0026#34;PROXY 10.0.0.1:3128\u0026#34;; 8} Если в вашей сети используется Internet Explorer можно передавать расположение скрипта WPAD при помощи DHCP сервера, для этого в etc/dnsmasq.conf добавьте:\n1dhcp-option=252,http://10.0.0.1/wpad.dat В свойствах подключения браузера достаточно будет установить галочку \u0026quot;Автоматическое определение параметров\u0026quot; К сожалению, не все альтернативные браузеры не умеют получать настройки по DHCP, в этом случае адрес скрипта настройки придется указать вручную.\nДля Firefox: Для Opera: Google Chrome использует настройки Internet Explorer, однако не умеет получать настройки по DHCP, поэтому потребуется дополнительно указать прямой путь к скрипту автонастройки: На этом настройку можно считать законченной. Остается пожелать аптайма вашему серверу.\n","id":"df9a14c951ed8efe179cb7f6780e5423","link":"https://interface31.ru/post/ubuntu-server-nastraivaem-avtorizaciyu-cherez-squid/","section":"post","tags":["Squid","Ubuntu Server","Сетевые технологии"],"title":"Ubuntu Server. Настраиваем аутентификацию через Squid"},{"body":"При установке Ubuntu на большое число ПК головной болью администратора становится доведение каждой машины \u0026quot;до ума\u0026quot;. Ведь на каждый компьютер нужно установить полный пакет локализации, шрифты, кодеки и прочий необходимый софт. Как хорошо было бы собрать свой дистрибутив, где все это уже есть \u0026quot;из коробки\u0026quot;. Я думаю, такие мысли посещали каждого, кто устанавливал Ubuntu на несколько ПК. Спешу вас обрадовать, это легко претворить в жизнь. Как? Читайте нашу статью.\nВсе началось вечером в пятницу, когда мне позвонил старый знакомый - начальник технического отдела фирмы специализирующейся на розничной продаже ПК. Они решили вместо DOS на компьютеры без ОС предустанавливать Ubuntu и он спросил меня, можно ли как нибудь сделать дистрибутив, чтобы все необходимое устанавливалось сразу.\nЯ решил, что данный вопрос будет интересен широкому кругу читателей и потратил вторую половину дня воскресенья на изучение данного вопроса. Все оказалось не просто, а очень просто. Нам понадобится установленный экземпляр Ubuntu, установочный образ и полчаса свободного времени.\nДля создания собственного дистрибутива нам понадобится пакет Ubuntu Customization Kit, его можно установить через Центр приложений Ubuntu - Система - Набор для пользовательской настройки Ubuntu.\nЛибо с помощью команды:\n1sudo apt-get install uck Любители свежих версий ПО, всегда могут загрузить самую последнюю версию со страницы: http://sourceforge.net/projects/uck/files/.\nПеред запуском UCK убедитесь, что установочный образ нужной вам архитектуры скачан и доступен на данном ПК. После запуска UCK предложит выбрать, какие именно локализации вы хотите включить в образ, выбираем русскую. В следующем окне предстоит выбрать, какие языки будут доступны при запуске в режиме LiveCD, т.к. многоязыковой диск нам ни к чему, оставляем один русский. Затем выбираем, какой язык использовать по умолчанию, в данном случае вариант будет всего один. После чего выбираем необходимые оконные менеджеры (можно выбрать сразу несколько) и на следующий вопрос (\u0026quot;хотите ли настроить образ перед созданием\u0026quot;) отвечаем утвердительно. Еще одно окно предложит нам удалить из образа программы для Windows (оболочка для запуска под этой ОС), можно ответить положительно, уменьшив итоговый размер образа, хотя это не критично, в большинстве случаев сохранить размер одного CD не удастся.\nЗакончив отвечать на вопросы выбираем образ и вводим название нового диска, начнется распаковка образа во временную папку, а вы пока можете сходить заварить кофе. По окончании этого процесса вам будет предложено запустить пакетный менеджер или консоль, если вам привычней работать в командной строке, а также создать итоговый образ (последний пункт). Пакетный менеджер ничем ни отличается от привычного нам Synaptic. Сразу подключим все репозитории Settings - Repositories. Выходим по кнопке Close и обновляем список пакетов, нажав на кнопку Reload. После чего в нашем распоряжении привычный пакетный менеджер, можете выбирать необходимые вам пакеты. Мы выбрали:\nunrar - распаковщик популярных в нашей стране архивов RAR, mc - Midnight Commander для целей администрирования, f-spot- удобный менеджер фотографий, ubuntu-restricted-extras - пакет несвободных дополнений, включающий в себя шрифты, кодеки, флеш-плеер, java-машину и т.п., samba - для работы с Windows сетью. Не забудьте также про пакет локализации для OpenOffice, для этого выберите следующие пакеты:\nopenoffice.org-help-ru openoffice.org-hyphenation openoffice.org-l10n-ru openoffice.org-thesaurus-ru Выбрав все необходимые пакеты нажмите Apply, начнется их закачка и интеграция в образ. По окончании процесса, закрываем пакетный менеджер и выбираем пункт Continue Building, программа создаст образ нашего дистрибутива, который можно найти в /home/имя_пользователя/tmp/remaster-iso. Прожигаем образ на болванку и пробуем установить систему на тестовый ПК. Вполне возможно, что потребуется доустановить какие-либо пакеты, чаще всего языковые. Фиксируем все, что требуется доустановить, и после всестороннего тестирования создаем новый дистрибутив, в котором учитываем все недочеты.\n","id":"26cc56bedad81811dda5e1a704652a2b","link":"https://interface31.ru/post/ubuntu-sozdaem-svoj-distributiv/","section":"post","tags":["Ubuntu","Персонализация","Развертывание"],"title":"Ubuntu. Создаем свой дистрибутив"},{"body":"Протокол RDP с защитой на уровне сети (SSL), к сожалению, не получил широкого распространения среди системных администраторов, предпочитающих защищать терминальные соединения другим способом. Возможно это связано с кажущейся сложностью способа, однако это не так, в данном материале мы рассмотрим как просто и без затруднений организовать такую защиту.\nКакие преимущества дает нам защита RDP при помощи SSL? Во первых надежное шифрование канала, проверку подлинности сервера на основании сертификата и проверку подлинности пользователя на уровне сети. Последняя возможность доступна начиная с Windows Server 2008. Проверка подлинности на уровне сети позволяет повысить безопасность сервера терминалов за счет того, что проверка происходит еще до начала сеанса.\nПроверка подлинности на уровне сети производится до подключения к удаленному рабочему столу и отображения экрана входа в систему, это снижает нагрузку на сервер и значительно увеличивает его защиту от злоумышленников и вредоносных программ, а также снижает вероятность атак типа \u0026quot;отказ в обслуживании\u0026quot;.\nДля полноценного использования всех возможностей RDP через SSL клиентские ПК должны работать под управлением Windows XP SP3, Windows Vista или Windows 7 и использовать RDP клиент версии 6.0 или более поздней.\nПри использовании Windows Server 2003 SP1 и более поздних версий, будут доступны шифрование канала при помощи SSL (TLS 1.0) и проверка подлинности сервера, клиентские ПК должны иметь версию RDP клиента 5.2 или более позднюю.\nВ нашей статье мы будем рассматривать настройку терминального сервера на базе Windows Server 2008 R2, однако все сказанное будет справедливо и для Windows Server 2003 (за исключением отсутствующих возможностей).\nДля успешной реализации данного решения в вашей сети должен находиться работающий центр сертификации, настройку которого мы рассматривали в предыдущей статье. Для доверия сертификатам выданным данным ЦС на терминальный сервер необходимо установить сертификат ЦС (или цепочку сертификатов) в хранилище Доверенные корневые центры сертификации.\nЗатем следует выполнить запрос сертификата подлинности сервера со следующими параметрами: Имя - полное имя терминального сервера (т.е. server.domain.com если сервер входит в домен domain.com)\nТип сертификата - Сертификат проверки подлинности сервера Установите опцию Создать новый набор ключей CSP - Microsoft RSA SChannel Cryptographic Provider. Установите флажок Пометить ключ как экспортируемый. Для ЦС предприятия установите флажок Использовать локальное хранилище компьютера для сертификата. (В автономном ЦС данная опция недоступна). Отправьте запрос центру сертификации и установите выданный сертификат. Данный сертификат должен быть установлен в локальное хранилище компьютера, иначе он не сможет быть использован службами терминалов. Чтобы проверить это запустим консоль MMC (Пуск - Выполнить - mmc) и добавим оснастку Сертификаты(Файл - Добавить или удалить оснастку) для учетной записи компьютера. В корне консоли выберите Сертификаты (локальный компьютер) нажмите Вид - Параметры и установите режим просмотра Упорядочить сертификаты по назначению. Выданный сертификат должен находиться в группе Проверка подлинности сервера. Если вы получали сертификат с помощью изолированного (автономного) ЦС (сеть не имеет доменной структуры) то он по умолчанию будет установлен в хранилище учетной записи пользователя и придется выполнить ряд дополнительных действий.\nОткройте Internet Explorer - Свойства обозревателя - Содержимое - Сертификаты, выданный сертификат должен быть установлен в хранилище Личные. Произведите его экспорт. При экспорте укажите следующие опции:\nДа, экспортировать закрытый ключ Удалить закрытый ключ после успешного экспорта После чего удалите сертификат из данного хранилища. В оснастке Сертификаты (локальный компьютер) выберите раздел Проверка подлинности сервера, щелкните на него правой кнопкой мыши Все задачи - Импорт и импортируйте сертификат.\nТеперь в Администрирование - Службы удаленных рабочих столов откройте Конфигурация узла сеансов удаленных рабочих столов ( в Windows Server 2003 Администрирование - Настройка служб терминалов). Выберите необходимое подключение и откройте его свойства. В самом низу нажмите кнопку Выбрать и выберите полученный на предыдущем шаге сертификат (в Windows Server 2003 это окно выглядит несколько по другому). После выбора сертификата укажите остальные свойства: Уровень безопасности SSL Уровень шифрования Высокийили FIPS-совместимый Установите флажок Разрешить подключаться только с компьютеров... (недоступно в Windows Server 2003) Сохраните введенный параметры, на этом настройка сервера закончена. На клиентском ПК создайте подключение к удаленному рабочему столу, в качестве адреса используйте полное имя сервера, которое указано в сертификате. Откройте свойства подключения и на закладке Подключение - Проверка подлинности сервера установите опцию Предупреждать.\nЧтобы данный ПК доверял сертификатам выданным нашим центром сертификации не забудьте установить на него сертификат ЦС в хранилище Доверенные корневые центры сертификации. В Windows 7 (при использовании RDP клиента версии 7) данный сертификат требуется установить в хранилище учетной записи компьютера, для этого импортируйте его через оснастку Сертификаты (локальный компьютер) в консоли MCC, аналогично тому, как это делали выше. В противном случае подключение будет невозможно и вы получите следующую ошибку:\nУстановив сертификат ЦС можете пробовать подключиться, обратите внимание, что имя пользователя и пароль будет предложено ввести еще до создания RDP сессии. При успешном соединении обратите внимание на замок в заголовке окна, который свидетельствует о работе через SSL. Нажав на него можно просмотреть информацию о сертификате. После удачного подключения советуем изменить опцию Предупреждатьна закладке Подключение - Проверка подлинности сервера на Не соединять, разрешив таким образом подключения только к доверенным серверам.\nИ напоследок капля дегтя в бочке меда. Терминальные службы Windows не умеют проверять подлинность подключающихся клиентов, поэтому если стоит такая необходимость следует использовать дополнительные методы защиты, такие как SSH туннель или IPSec VPN.\n","id":"1411bdb5aac159737f0704ce1407cdc6","link":"https://interface31.ru/post/zashhita-rdp-soedineniya-pri-pomoshhi-ssl/","section":"post","tags":["PKI","RDP","SSL","Windows Server","Сервер терминалов"],"title":"Защита RDP соединения при помощи SSL"},{"body":"Перед каждым администратором рано или поздно возникает необходимость обеспечить безопасный обмен информации через интернет, внешние и внутренние сети, а также проверку подлинности каждой из сторон, участвующих в обмене информацией. На помощь здесь приходит инфраструктура открытых ключей (PKI) и службы сертификации Windows.\nИнфраструктура открытых ключей позволяет использовать цифровые сертификаты для подтверждения подлинности владельца и позволяет надежно и эффективно защищать трафик передаваемый по открытым сетям связи, а также осуществлять с их помощью аутентификацию пользователей. Основой инфраструктуры открытых ключей является центр сертификации, который осуществляет выдачу и отзыв сертификатов, а также обеспечивает проверку их подлинности.\nДля чего это может быть нужно на практике? Цифровые сертификаты позволяют использовать шифрование на уровне приложений (SSL/TLS) для защиты веб-страниц, электронной почты, служб терминалов и т.п., регистрацию в домене при помощи смарт-карт, аутентификацию пользователей виртуальных частных сетей (VPN), шифрование данных на жестком диске (EFS), а также в ряде случаев обойтись без использования паролей.\nДля создания центра сертификации нам понадобится сервер, работающий под управлением Windows Server, который может быть как выделенным, так и совмещать роль центра сертификации с другими ролями. Однако следует помнить, что после развертывания центра сертификации вы не сможете поменять имя компьютера и его принадлежность к домену (рабочей группе).\nЦентр сертификации (ЦС) может быть двух типов: ЦС предприятия и изолированный (автономный) ЦС, рассмотрим их отличительные особенности:\nЦС предприятия Требует наличия ActiveDirectory Автоматическое подтверждение сертификатов Автоматическое развертывание сертификатов Возможность запроса сертификатов через Web-интерфейс, мастер запросов и автоматическое развертывание Изолированный (автономный) ЦС Не требует наличия ActiveDirectory Ручное подтверждение сертификатов Отсутствие возможности автоматического развертывания Запрос сертификатов только через Web-интерфейс Методика развертывания ЦС для Windows Server 2003 и Windows Server 2008 несколько различаются, поэтому мы решили рассмотреть их в отдельности.\nWindows Server 2003 Для возможности использования Web-интерфейса для выдачи сертификатов нам понадобится установленный web-сервер IIS. Установим его через диспетчер сервера: Пуск - Управление данным сервером - Добавить или удалить роль. В списке ролей выбираем роль Сервера приложений. В следующем окне устанавливаем галочку Включить ASP.NET, если IIS уже установлен данный шаг можно пропустить.\nПосле установки IIS приступим к развертыванию Центра сертификации, это делается через оснастку Установка и удаление программ - Установка компонентов Windows, где выбираем Службы сертификации. Следующим шагом выберите тип ЦС и его подчиненность. Так как в нашем случае сеть не имеет доменной структуры, то ЦС Предприятия недоступен для выбора. Поскольку это первый (и пока единственный ЦС) следует выбрать корневой сервер, подчиненный тип следует выбирать для развертывания следующих ЦС, например для филиалов. Далее вводим имя ЦС (должно совпадать с именем сервера) и пути размещения файлов. В процессе установки программа предложит перезапустить IIS и, если не была включена поддержка страниц ASP.NET, предложит ее включить, с чем следует согласиться.\nWindows Server 2008 R2 В Windows Server 2008 (2008 R2) все настройки консолидированы в одном месте, что делает установку ЦС более простой и удобной. Выбираем Диспетчер сервера - Роли - Добавить роли, в списке ролей выбираем Службы сертификации Active Directory. В следующем окне обязательно добавляем компонент Служба регистрации в центре сертификации через интернет. При этом будут автоматически определены необходимые службы ролей и компоненты (такие как IIS) и будет предложено их добавить. Дальнейшая настройка аналогична Windows Server 2003. Вводим тип ЦС, его имя и место хранения файлов, подтверждаем выбор компонент и завершаем установку.\nПроверка работы ЦС Для первоначальной проверки работоспособности ЦС можете запустить оснастку Центр сертификации (Пуск - Администрирование - Центр Сертификации). Если все сделано правильно вы должны увидеть следующее окно: Попробуем теперь получить сертификат для клиентского ПК. Запустим браузер, в адресной строке которого укажем адрес http://имя_сервера/certsrv, где имя_сервера - имя сервера ЦС. Вы попадете на главную страницу центра сертификации. Прежде всего необходимо загрузить сертификат ЦС и поместить его в хранилище доверенных коренных центров сертификации. Если в вашей сети несколько ЦС следует загрузить и установить цепочку сертификатов. Для этого выбираем: Загрузка сертификата ЦС, цепочки сертификатов или CRL, затем Загрузка сертификата ЦС или Загрузка сертификата ЦС и сохраняем сертификат в любое удобное место.\nТеперь перейдем к установке, для этого щелкнем правой кнопкой на файле сертификата и выберем Установить сертификат, откроется мастер импорта, в котором откажемся от автоматического выбора хранилища вручную выбрав Доверенные корневые центры сертификации, теперь данный ПК будет доверять всем сертификатам выданным данным ЦС. Для получения клиентского сертификата снова откроем сайт ЦС и выберем Запрос сертификата - расширенный запрос сертификата - Создать и выдать запрос к этому ЦС. Заполняем форму запроса, в качестве имени указываем имя ПК или пользователя, в качестве типа сертификата указываем Сертификат проверки подлинности клиента и жмем кнопку Выдать.\nПри попытке создать запрос сертификата вы можете получить следующее предупреждение: В этом случае можно добавить данный узел в зону Надежные узлы и установить низкий уровень безопасности для этой зоны. В Windows Server понадобится также разрешить загрузку неподписанных ActiveX. Теперь на сервере откроем оснастку Центр сертификации и в разделе Запросы на ожидание найдем наш запрос и щелкнув на него правой кнопкой выберем Все задачи - Выдать. Теперь вернемся на клиентский ПК и еще раз откроем сайт ЦС. На этот раз выберем Просмотр состояния ожидаемого запроса сертификата, вы увидите свой запрос, щелкнув на которой вы попадете на страницу Сертификат выдан и сможете сразу его установить. Если все сделано правильно, то сертификат успешно установится в хранилище личных сертификатов.\nПо окончании проверки не забудьте удалить ненужные сертификаты с клиентского ПК и отозвать их в центре сертификации на сервере.\n","id":"c400577f5cd6339633ede266e80b72f2","link":"https://interface31.ru/post/windows-server-sozdanie-avtonomnogo-centra-sertifikacii/","section":"post","tags":["PKI","Windows Server"],"title":"Windows Server. Создание автономного центра сертификации."},{"body":"Очень часто встречается необходимость сохранять определенные изменения документа без его перепроведения. Однако штатные средства 1С не предоставляют такой возможности. Хотя мы знаем: если нельзя, но сильно хочется, то можно! В данной статье мы рассмотрим простой способ, позволяющий это сделать.\nПрежде всего коротко о проблеме. 1С Предприятие 7.7 при любых изменениях документа, даже не затрагивающих регистры, требует его перепроведения. Это вызывает определенные трудности, в частности при разграничении прав, когда сотруднику не имеющему права проведения документа требуется доступ к изменению определенных реквизитов, скажем комментария.\nНедавно подобная проблема возникла и перед нами. Потребовалось добавить в документ реализации два чекбокса, которые должны были проставляться кассиром и кладовщиком: \u0026quot;Оплачено\u0026quot; и \u0026quot;Товар отпущен\u0026quot;. Что в совокупности со штрихкодированием документов должно было значительно ускорить отпуск товара и улучшить уровень обслуживания клиентов.\nДобавить на форму два чекбокса и привязать к ним два реквизита не составило труда, а вот после начались проблемы. Ни кладовщики, ни кассир не должны иметь возможности изменять табличную часть документа, но в тоже время должны иметь право устанавливать соответствующую галочку.\nРассмотрим решение. В Конфигураторе отркываем Модуль формы документа Реализация и в начале модуля объявляем новую переменную НадоЗаписать:\n1Перем НадоЗаписать; После этого добавим новую процедуру:\n1Процедура ПриВыбореОплата() 2 3Форма.Закрыть(0); 4НадоЗаписать = 1; 5 6КонецПроцедуры Теперь привяжем к чекбоксу Оплата вызов созданной процедуры: Аналогичным образом создадим процедуру для чекбокса \u0026quot;Товар отпущен\u0026quot;. После чего добавим в модуль следующую процедуру:\n1Процедура ПриЗакрытии() 2 3Если НадоЗаписать = 1 Тогда 4ПриЗаписиПерепроводить (0); 5Записать(); 6ПриЗаписиПерепроводить (1); 7НадоЗаписать = 0; 8СтатусВозврата(0); 9Возврат; 10КонецЕсли; 11 12КонецПроцедуры Сохраняем изменения, проверяем. Все должно работать.\n","id":"1a6f5bcc99aa6538963fdd6686ed8cfd","link":"https://interface31.ru/post/1s-torgovlya-i-sklad-zapis-dokumenta-bez-pereprovedeniya/","section":"post","tags":["1С Предприятие 7.7"],"title":"1С Торговля и Склад. Запись документа без перепроведения"},{"body":"У каждого системного администратора рано или поздно возникает ситуация когда невозможно или нецелесообразно приобрести выделенный IP для удаленного хоста, а доступ к нему, чаще всего в целях администрирования, все таки требуется. В этом случае нам на помощь придет сервис DynDNS, который позволяет связать некое доменное имя с динамическим IP адресом.\nDynDNS можно использовать для административного доступа к удаленному хосту или для публикации в интернет малонагруженных некритичных сервисов. Для критичных сервисов, а также для электронной почты лучше будет приобрести выделенный IP адрес.\nСледует также помнить, что если ваш хост находится за корпоративным или провайдерским NAT'ом, то использование DynDNS в таком случае будет бессмысленным.\nКак начать использовать DynDNS? В первую очередь зарегистрируйте аккаунт на http://www.dyndns.com/ Укажите имя аккаунта, пароль и действующий адрес электронной почты. По окончании регистрации будет необходимо обязательно активировать аккаунт, перейдя по ссылке в полученном вами письме.\nЗакончив с регистрацией, входим в свой аккаунт и находим ссылку Add Host Services: DynDNS позволяет бесплатно добавить два хоста с доменами третьего уровня. В принципе, вполне достаточно для повседневных нужд. Добавить новый хост несложно, выбираем доменное имя и домен второго уровня. Вводим IP адрес (щелкнув на соответствующую ссылку), почта нас не интересует, поэтому в поле Mail Routing ничего не выставляем. Добавляем наш сервис в корзину и движемся далее, пройдя несколько страниц бесплатно активируем новый хост. Теперь даже можно попробовать обратиться к домену mydomain.dyndns.org и получить доступ к нужному хосту. Но как служба DynDNS будет узнавать о изменении нашего внешнего IP адреса? Для этого на хосте нужно установить DynDNS клиент, который существует в версиях для Windows, Linux и MacOS X. Подробнее об этом мы поговорим в отдельных статьях.\n","id":"d4f60487bed0b10d60be28ffe9fa73ce","link":"https://interface31.ru/post/dyndns-kogda-staticheskij-ip-nedostupen/","section":"post","tags":["DNS","DynDNS","Сетевые технологии"],"title":"DynDNS. Когда статический IP недоступен"},{"body":"Не так давно мы рассказали как настроить форвардинг портов на платформе Ubuntu. Сегодня мы рассмотрим реализацию форвардинга на платформе Windows Server. Для этого не понадобится никаких сторонних компонентов, все необходимое входит в штатные возможности службы RRAS.\nБудем считать, что роутер настроен и функционирует. Подробнее о его настройке вы можете прочитать здесь. В нашей тестовой лаборатории мы собрали следующую схему: В тестовой сети имеется роутер с внутренним адресом 10.0.0.2 и терминальный сервер с адресом 10.0.0.5, к которому мы будем организовывать доступ. Внешний адрес условно принят нами как 192.168.64.203. Оба сервера работают под управлением Windows Server 2008 R2.\nНастроить форвардинг портов в Windows Server не просто, а очень просто. Откроем Пуск - Администрирование - Маршрутизация и удаленный доступ. Последовательно разворачивая пункты, находим Преобразование сетевых адресов (NAT), в окне справа выбираем внешний интерфейс и, щелкнув на него правой кнопкой мыши, заходим в его Свойства. За форвардинг портов отвечает отдельная закладка Службы и порты, на которой уже созданы шаблоны для наиболее часто встречающихся задач. Достаточно выбрать нужную службу и указать ее адрес во внутренней сети, все остальные параметры имеют стандартные значения и изменению не подлежат. Подтверждаем изменения и пробуем подключиться с удаленного ПК. Все должно работать без перезапуска сервера и службы RRAS.\nПоставим более сложную задачу. Нам необходимо подключаться из внешней сети к удаленному рабочему столу роутера для административных целей и в тоже время обеспечить удаленным клиентам доступ к терминальному серверу. Оба сервера используют для удаленных подключений порт 3389 и пробросив его для сервера 10.0.0.5 как указано выше, мы лишимся возможности удаленно подключаться к серверу 10.0.0.2. Как быть? Ответ прост: использовать другой порт. Для сервера 10.0.0.5 мы будем использовать порт 3390, в то время как подключение на 3389 даст нам возможность управлять роутером.\nНа закладке Службы и порты нажимаем Добавить и в открывшемся окне указываем имя службы, входящий порт (порт на который будут подключаться из внешней сети), адрес службы во внутренней сети и исходящий порт (на котором служба работает во внутренней сети). В нашем примере исходящим портом будет 3389, а входящим 3390. Данное правило перенаправит все запросы на порт 3390 внешнего интерфейса роутера на порт 3389 терминального сервера во внутренней сети. Для подключения в строке адреса необходимо указать также порт подключения через двоеточие: Как видим служба RRAS предоставляет в руки администратора мощный и в то же время простой инструментарий для управления перенаправлением портов, позволяя легко публиковать внутренние службы во внешней сети.\n","id":"2caebfd03b874ecdee11d709dba74d01","link":"https://interface31.ru/post/windows-server-nastravivaem-forvarding-portov-cherez-rras/","section":"post","tags":["Windows Server","Сетевые технологии","RRAS"],"title":"Windows Server. Настравиваем форвардинг портов через RRAS"},{"body":"Для правильной работы почтового сервера важно иметь правильно настроенную DNS зону. В прошлой статье мы уже касались некоторых аспектов, связанных с системой DNS, сегодня мы остановимся на этом вопросе более подробно. Настройка DNS зоны относится к подготовительным операциям перед развертыванием почтового сервера и от нее непосредственно зависит работоспособность системы электронной почты.\nНеправильные настройки способны привести к тому, что почту будет невозможно доставить вашему почтовому серверу или сервера получателей будут отклонять вашу почту. Действительно, если записи вашей зоны не содержат сведений о почтовом сервере, куда должна отправляться почта? На деревню дедушке? Можно, конечно, попросить настроить DNS зону вашего провайдера, но лучше сделать это самим.\nЧто нам понадобиться? Выделенный IP адрес (допустим 11.22.33.44), который вы должны получить у своего провайдера. Доменное имя (например example.com), его можно зарегистрировать у любого регистратора или их партнера. При регистрации у партнера уточняйте, предоставляет ли он доступ к управлению DNS зоной, иначе придется потратить дополнительное время, нервы и деньги на перенос домена к регистратору.\nЕсли у вас уже есть домен и, скорее всего, на нем функционирует сайт, уточните, возможно ли управление DNS зоной из панели хостинг провайдера, в противном случае лучше перенести домен к регистратору, для этого обратитесь в поддержку провайдера.\nИтак, домен у нас есть. Какие записи содержит его DNS зона? Во первых это SOA запись - описание зоны. Мы не будем подробно разбирать все записи, это выходит за рамки нашей статьи, но иметь общее представление о них необходимо. Также должны быть две NS записи, указывающие на сервера имен (DNS сервера) обслуживающие данный домен, это будут сервера регистратора или хостинг провайдера.\nПервой записью, которую необходимо добавить будет A запись или запись имени. Она должна указывать на IP-адрес вашего сервера, если вы решите обслуживать все запросы к домену у себя или на IP адрес хостинг провайдера, если решите разместить свой сайт на хостинге. При размещении сайта у хостера домен обычно делегируется на его DNS сервера (прописываются соответствующие NS записи) и A запись будет сделана автоматически при парковке домена.\nЧаще всего встречается этот вариант, но при необходимости вы всегда сможете создать A запись сами. Данная запись имеет вид\n1example.com. IN A 22.11.33.44 В нашем примере 22.11.33.44 адрес нашего хостинг провайдера, у которого расположен сайт. Обратите внимание на точку в конце имени, это указывает что имя абсолютное, при отсутствии точки имя считается относительным и к нему добавляется доменное имя из SOA. Проверить запись можно командой nslookup. Для работы почтового сервера нужно создать MX запись, которая должна указывать на наш почтовый сервер. Для этого создадим запись:\n1example.com. IN MX 10 mail.example.com. Также можно написать просто:\n1example.com. IN MX 10 mail К такому имени (без точки на конце) example.com будет добавлено автоматически. Цифра 10 определяет приоритет сервера, чем она меньше, тем выше приоритет. Кстати, DNS зона уже может содержать MX запись вида:\n1example.com. IN MX 0 example.com. Oбычно эта запись автоматически создается хостинг провайдером при размещении сайта, ее нужно удалить.\nТеперь создадим A запись для mail.example.com\n1mail.example.com. IN A 11.22.33.44 Теперь вся почта для домена example.com будет направляться хосту mail имеющему адрес 11.22.33.44, т.е. вашему почтовому серверу, в то-же время сайт example.com продолжит работать на сервере провайдера по адресу 22.11.33.44.\nМожет возникнуть вопрос, а почему нельзя сразу указать в MX записи IP адрес почтового сервера? В принципе можно, некоторые так и делают, но это не соответствует спецификациям DNS.\nТакже можно сделать алиасы для почтового сервера типа pop.example.ru и smtp.example.ru. Зачем это надо? Это позволит клиенту не зависеть от особенностей вашей инфраструктуры, один раз прописав настройки. Допустим, что ваша компания разрослась и выделила для обслуживания внешних клиентов отдельный почтовый сервер mail1, все что вам понадобиться, это изменить две DNS записи, клиенты и не заметят того, что работают с новым сервером. Для создания алиасов используются записи типа CNAME:\n1pop IN CNAME mail.example.com. 2smtp IN CNAME mail.example.com. На этом настройку прямой DNS зоны можно считать законченной, остается самое интересное - обратная зона. Обратная зона управляется провайдером, выдавшим вам IP адрес и самостоятельно управлять ей вы не можете (если только вы не владелец блока IP адресов). Но добавить как минимум одну запись в обратную зону необходимо. Как мы писали в прошлой статье, многие почтовые сервера проверяют PTR записи (записи обратной зоны) для отправляющего сервера и при их отсутствии или несовпадении с доменом отправителя такое письмо будет отклонено. Поэтому попросите провайдера добавить для вас запись вида:\n144.33.22.11.in-addr.arpa. IN PTR mail.example.com. Немного странный вид, не правда ли? Разберем структуру PTR записи более подробно. Для обратного преобразования имен используется специальный домен верхнего уровня in-addr.arpa. Это сделано для того, чтобы использовать для прямого и обратного преобразования имен одни и те же программные механизмы.\nДело в том, что мнемонические имена пишутся слева направо, а IP адреса справа налево. Так mail.example.com. означает что хост mail находится в домене example, который находится в домене верхнего уровня com., 11.22.33.44 означает что хост 44 находится в подсети 33, которая входит в подсеть 22, принадлежащую сети 11. Для сохранения единого порядка PTR записи содержат IP адрес \u0026quot;задом наперед\u0026quot; дополненный доменом верхнего уровняin-addr.arpa.\nПроверить MX и PTR записи также можно командой nslookup используя дополнительный параметр -type=MX или -type=PTR Ну и конечно не стоит забывать, что любый изменения в DNS зонах происходят не мгновенно, а в течении нескольких часов или даже суток, необходимых для распространения изменений в мировой системе DNS. Это означает, что несмотря на то, что почтовый сервер у вас начнет работать через 2 часа после внесения изменений, у вашего партнера почта может не отправляться к вам в течении более длительного времени.\n","id":"f7f99587cfeabf77a842387310967079","link":"https://interface31.ru/post/pochtovyj-server-dlya-nachinayushhix-nastraivaem-dns-zonu/","section":"post","tags":["DNS","E-mail","Сетевые технологии"],"title":"Почтовый сервер для начинающих. Настраиваем DNS зону"},{"body":"Уже не первый раз мы сталкиваемся с проблемой циклической перезагрузки Windows Server после обновления. Для неподготовленного администратора это серьезный вызов. Только что совершенно исправный сервер становится невозможным загрузить ни в одном режиме. Здесь есть от чего впасть в отчаяние. Но не стоит расстраиваться, после прочтения нашей статьи восстановление системы не займет у вас более пяти минут.\nДанная проблема заключается в том, что после установки некоторых обновлений, Windows просит перезагрузки, во время которой пытается продолжить установку. Но из-за ошибок при установке не может завершить обновление, откатывает его и инициирует перезагрузку, во время которой все повторяется по новой. Данной проблеме подвержены Windows Server 2008 и Windows Vista (особенно версии ранее SP2) и потенциально Windows Server 2008 R2 и Windows 7.\nСтолкнувшись с данной проблемой многие администраторы не видят другого выхода, кроме как переустановка системы. Но не стоит спешить. За установку обновлений при загрузке отвечает файл C:\\Windows\\winsxs\\pending.xml достаточно удалить или переименовать данный файл и система нормально загрузится. Это можно сделать с любого загрузочного диска, дающего доступ к файловой системе, или сняв жесткий диск и подключив его к другому ПК.\nОднако, как назло, под рукой ни оказывается ничего, даже чистой болванки, а восстановить сервер нужно в кратчайшие сроки. Поэтому воспользуемся тем, что всегда есть под рукой - установочным диском Windows. Не обязательно чтобы это был диск именно от Windows Server, одинаково подойдут диски от Windows 7 или Vistа.\nВставляем диск в дисковод и загружаемся, но вместо привычной кнопки \u0026quot;Установка\u0026quot; нажимаем на ссылку \u0026quot;Восстановление системы\u0026quot;.\nВ случае с диском от настольных систем будет предпринята попытка автоматического устранения неисправностей. Терпеливо ждем окончания, затем выбираем установленную копию ОС и жмем \u0026quot;Далее\u0026quot;. В открывшемся окне нас интересует опция - Командная строка.\nЗапускаем командную строку и вводим единственную команду:\n1del c:\\windows\\winsxs\\pending.xml Выходим, перезагружаемся. После удачной загрузки рекомендуем детально разобраться, какое именно обновление привело к данному сбою.\n","id":"e6c26b4f9613ce2b5024d80a4d23426a","link":"https://interface31.ru/post/windows-server-problema-ciklicheskoj-perezagruzki-pri-obnovlenii/","section":"post","tags":["Windows 7","Windows Server","Windows Update","Восстановление системы"],"title":"Windows Server. Проблема циклической перезагрузки при обновлении"},{"body":"Этим вы убьете сразу несколько зайцев: значительно уменьшите загрузку канала и потребляемый интернет трафик, а также получите в руки мощный инструмент для контроля и управления процессом обновлений. Отныне все локальные ПК будут обновляться с вашего сервера и устанавливать только выбранные вами обновления.\nКаждый администратор осознает важность своевременных обновлений, особенно если это касается критических обновлений безопасности. Однако с ростом сети и увеличением числа программных продуктов это становится весьма непростой задачей. Значит самое время развернуть WSUS (Windows Server Update Services) - локальный сервер обновлений в вашей сети.\nВнимание! Внимание! Данный материал предназначен для устаревших версий Windows Server, рекомендуем также ознакомиться с актуальной статьей: Windows Server 2012 - установка и настройка WSUS.\nПриступим. Перед установкой WSUS следует подготовить сервер, мы будем использовать Windows Server 2008 R2, однако с небольшими поправками все сказанное будет справедливо для других версий Windows Server. Что нам понадобится:\nIIS 6 или выше, .NET Framework 2.0 или выше, Report Viewer Redistributable 2008, SQL Server 2005 SP2 Express или выше. WSUS может хранить обновления в собственной БД или использовать SQL-сервер, последнее более предпочтительно с точки зрения производительности. Если в вашей сети уже развернут SQL-сервер можно использовать его, иначе вполне подойдет бесплатный SQL Express.\nПолучить все необходимые компоненты можно на сайте Microsoft:\nWindows Server Update Services 3.0 SP2 Microsoft Report Viewer 2008 SP1 Redistributable Microsoft SQL Server 2008 R2 Express При скачивании обращаем внимание на разрядность, для 64-битной ОС скачиваем 64-битные версии продуктов.\nПока идет скачивание добавим роли сервера. Нам понадобятся Веб-сервер (IIS) и Сервер приложений (в предыдущих версиях Windows Server установите .NET Framework). Сервер приложений устанавливается со значениями по умолчанию, а в Веб-сервере необходимо добавить следующие опции:\nASP.NET Windows - проверка подлинности Сжатие динамического содержимого Совместимость управления IIS 6 Добавив необходимые роли, установим Report Viewer и SQL Server c параметрами по умолчанию. Все готово, можно устанавливать WSUS.\nЗапустив инсталлятор, выбираем установку сервера и консоли администрирования, папку установки. В параметрах базы данных указываем наш SQL-сервер. Остальные настройки можно оставить по умолчанию. Сразу после установки запустится мастер начальной настройки. Все опции довольно просты и понятны. В параметрах синхронизации указываем откуда наш сервер будет получать обновления: с сервера Microsoft или с другого WSUS сервера. Последний вариант следует использовать если вам требуется развернуть дополнительный сервер обновлений, например, для филиала. В этом случае подчиненный сервер будет получать только одобренные вами обновления. На следующей закладке, при необходимости, указываем параметры прокси-сервера, и выполняем первичное подключение. Будет загружена информация от вышестоящего сервера: списки продуктов, типов обновлений и т.д.\nПри выборе продуктов не жадничайте, указывайте только то, что вам реально нужно, впоследствии вы всегда сможете изменить данный список. На следующей странице укажите какие классы обновлений вы хотели бы получать, здесь все зависит от политики обновлений на вашем предприятии. Следует помнить, что обновления драйверов и пакеты новых функций крайне не рекомендуется разворачивать автоматически, без предварительного тестирования. Если у вас нет возможности этим заниматься, то указывать эти классы вам ни к чему. Не забудьте также задать расписание для синхронизации с вышестоящим сервером. На этом первоначальная настройка закончена.\nОткрыв консоль (доступна в меню Администрирование), первым делом запустите ручную синхронизацию, чтобы скачать все имеющиеся на сегодняшний день обновления для выбранных продуктов. В зависимости от того, чего и сколько вы выбрали при настройке, а также скорости вашего подключения это может занять продолжительное время. Пока идет синхронизация займемся настройкой клиентских ПК. Если у вас развернута Active Directory это можно сделать с помощью групповых политик. Откройте Управление групповой политикой, выберите необходимый объект и щелкнув правой кнопкой мышки нажмите Изменить. В открывшемся окне выберите Конфигурация компьютера - Политики - Административные шаблоны - Центр обновления Windows. Нас интересует параметр Указать размещение службы обновлений Microsoft в интрасети. Переводим его в положение Включено и указываем путь к нашему WSUS серверу в виде http://ИМЯ_СЕРВЕРА. Также советуем настроить опцию Настройка автоматического обновления, которая полностью повторяет аналогичную настройку на клиентских ПК. Через некоторое время, необходимое для обновления групповых политик, компьютеры вашей сети начнут подключаться к серверу и получать обновления.\nЕсли ваша сеть имеет одноранговую структуру, то вам придется настраивать каждый ПК в отдельности. Делается это через Редактор локальной групповой политики (Пуск - Выполнить - gpedit.msc), сам процесс настройки полностью аналогичен вышеописанному. Контролировать количество ПК и их статус вы можете в разделе Компьютеры консоли администрирования. Информации вполне достаточно, чтобы быстро оценить общую ситуацию и обратить внимание на проблемные места. Красные крестики указывают на то, что на данных ПК произошли ошибки в обновлении, с каждым таким случаем надо разбираться в отдельности. По каждому обновлению формируется детальный отчет, содержащий все необходимые для анализа проблемы данные. Также рекомендуем разбить ПК на группы, для каждой группы можно назначить свою политику обновлений. Так в отдельную группу можно выделить сервера, для которых автоматически устанавливать только критические обновления безопасности.\nВот мы и подошли к еще одной важной настройке сервера - автоматическом одобрении. Клиентские ПК могут получать только одобренные обновления, но каждый раз делать все вручную нереально, поэтому часть обновлений можно одобрять автоматически. Откроем Параметры - Автоматические одобрения и активируем уже имеющуюся там политику, которая позволяет автоматически устанавливать критические обновления и обновления безопасности. Здесь вы можете создавать свои правила и назначать их любой группе ПК. Например мы создали правило: автоматически одобрять все обновления MS Office группы Рабочие станции. Просмотреть все доступные обновления можно в разделе Обновления, здесь же можно одобрять их вручную. Мы рекомендуем завести один или несколько тестовых ПК (можно виртуальных) и тестировать на них обновления и пакеты новых функций и только после этого одобрять обновления для установки. Одобрить обновления можно как для всех ПК, так и для группы, в качестве примера мы одобрили установку пакета Silverlight для группы Рабочие станции. В качестве обслуживания сервера стоит время от времени (где-то раз в месяц) проводить очистку сервера. Это позволит избежать черезмерного увеличения размеров базы за счет удаления невостребованных, уже не нужных и неодобренных вами обновлений. а этой ноте мы и закончим наше повествование, материал данной статьи позволит вам быстро развернуть и сделать базовые настройки сервера обновлений. С задачей тонкой настройки вы должны без труда справиться самостоятельно.\n","id":"c4ded2b1a2c56e7149f4866bbf0f42b4","link":"https://interface31.ru/post/ustanavlivaem-i-nastraivaem-wsus/","section":"post","tags":["Windows Server","Windows Update","WSUS"],"title":"Устанавливаем и настраиваем WSUS."},{"body":"Как показал читательский отклик, многие системные администраторы испытывают определенные трудности при настройке фильтрации русскоязычного контента. В общем плане это сводится к тому, что контент-фильтр не блокирует то, что надо. В данной статье мы решили уделить повышенное внимание этому вопросу.\nОсновная сложность фильтрации русскоязычных текстов - это наличие нескольких кодировок страниц. Наиболее распространена в русскоязычном сегменте Windows-1251, последнее время получает все более широкое распространение UTF-8, а местами до сих пор встречается KOI8-R.\nВторая проблема заключается в том, что настроенный по умолчанию DansGuardian не фильтрует кириллицу в кодировке UTF-8.\nВсе это довольно неприятно, особенно для школьных администраторов, в чьи служебные обязанности входит обеспечение фильтрации трафика. Значит будем исправлять ситуацию.\nПервым делом проведем тонкую настройку, которая позволит DansGuardian наиболее эффективно фильтровать контент в любой из трех возможных кодировок. Откроем /etc/dansguardian/dansguardian.conf в котором найдем и установим следующие значения параметров:\n1preservecase = 2 Данный параметр проводит фильтрацию в два приема, первый раз приведя все символы к нижнему регистру, а затем используя оригинальное написание.\n1hexdecodecontent = on Включает HEX кодировку всех символов для фильтрации страниц с разными кодировками.\n1forcequicksearch = on Заменяет стандартный алгоритм DFA, некорректно работающий с Юникодом, алгоритмом Force Quick Search.\nСохраним файл конфигурации и перезапустим DansGuardian, проверим на UTF-8 сайте, ключевые слова должны блокироваться.\nСледующим шагом будет составление списков фраз. Понятно, что готовить списки нам придется сразу в трех кодировках, но не стоит пугаться раньше времени. Перейдем в каталог /etc/dansguardian/lists/phraselists и создадим там папку для наших списков:\n1cd /etc/dansguardian/lists/phraselists 2sudo mkdir rus Перейдем в эту папку и создадим заготовки для файлов списка:\n1сd rus 2touch rus1251 rusutf8 ruskoi8 Так как системной консолью Ubuntu является UTF-8 основная работа у нас будет происходить с файлом rusutf8. Добавим в него необходимые фразы и их вес. Формат записи следующий:\n1\u0026lt;фраза\u0026gt;,\u0026lt;40\u0026gt; Остановимся на одном тонком моменте, пробелах перед и после фразы. Их наличие не допускает подстановку символов при проверке. Так например запись \u0026lt; наркотик \u0026gt; будет блокировать слово \u0026quot;наркотик\u0026quot;, но не будет \u0026quot;наркотики\u0026quot;. А фраза \u0026lt;эро\u0026gt; заблокирует даже такие слова как \u0026quot;аэрофлот\u0026quot;, правильнее будет записать \u0026lt; эро\u0026gt;, что будет блокировать все слова с таким началом.\nСоздав список в Юникоде, перекодируем его в остальные кодировки:\n1iconv -f UTF-8 -t WINDOWS-1251 rusutf8 \u0026gt; rus1251 2iconv -c -f UTF-8 -t KOI8-R rusutf8 \u0026gt; ruskoi8 Параметр -с во второй строке предписывает выбрасывать те символы, которые не могут быть преобразованы, потому что KOI8, по сравнению с современными кодировками, содержит ограниченное число символов.\nТеперь подключим наши списки, для этого в конец файла /etc/dansguardian/lists/weightedphraselist добавим строки:\n1#Russian 2.Include\u0026lt;/etc/dansguardian/lists/phraselists/rus/rus1251\u0026gt; 3.Include\u0026lt;/etc/dansguardian/lists/phraselists/rus/rusutf8\u0026gt; 4.Include\u0026lt;/etc/dansguardian/lists/phraselists/rus/ruskoi8\u0026gt; Сохраним файл и еще раз перезапустим DansGuardian, после чего можем проверить фильтрацию по указанным нами словам.\n","id":"fcb054f6ad1e3ea6c85a117a9c1826ad","link":"https://interface31.ru/post/dansguardian-slozhnosti-filtracii-russkoyazychnogo-kontenta/","section":"post","tags":["DansGuardian","Ubuntu Server","Сетевые технологии"],"title":"DansGuardian. Сложности фильтрации русскоязычного контента"},{"body":"Многие системные администраторы испытывают определенные трудности при работе с системами электронной почты. Это неудивительно, почтовый сервер имеет гораздо более сложную структуру, чем файловый сервер, роутер или сервер терминалов. В этой статье мы рассмотрим структуру и принцип работы почтовых серверов, без понимания которых настройка системы электронной почты вполне способна превратиться в шаманские танцы с бубном.\nДанный материал содержит довольно много упрощений и обобщений, с целью дать системным администраторам необходимый минимум знаний. На наш взгляд, ради администрирования одного-двух почтовых серверов начального уровня становиться специалистом в области электронной почты совсем не обязательно.\nДля большинства пользователей и начинающих администраторов почтовый сервер представляет собой некий \u0026quot;черный ящик\u0026quot;, который получив письмо \u0026quot;неведомыми\u0026quot; путями доставляет его адресату и наоборот. Все взаимодействие с таким сервером заключается в обращении почтового клиента к определенным портам, а то и вообще через веб-интерфейс. Однако внутри скрыт целый механизм, понимание работы которого имеет ключевое значение для успешной настройки и обслуживания системы электронной почты. Это особенно важно для администрирования серверов на платформе Linux. В отличии от Windows, где почтовый сервер представляет собой законченное программное решение и о внутреннем взаимодействии уже позаботились разработчики, в Linux компоненты почтового сервера представляют собой отдельные программы и настраивать их взаимодействие нужно самостоятельно.\nРассмотрим структуру почтового сервера, а также что происходит когда пользователь пытается отправить почту. Важнейшей часть почтового сервера является MTA (Mail Transfer Agent -- агент пересылки почты) в задачи которого входит прием и передача почты. Очень часто (в Linux / UNIX) МТА называют также почтовым сервером. MTA работает по протоколу SMTP, и его одного, в принципе, уже достаточно для создания системы электронной почты. Когда-то давно именно так и было и для доступа к своему почтовому ящику требовалось обладать определенными техническими знаниями.\nОднако прогресс не стоит на месте, MTA, получая письмо, помещает его в почтовый ящик пользователя на сервере, к которому последний должен получить доступ, желательно наиболее простым и понятным способом. Вот здесь на сцену выходит MDA (Mail Delivery Agent -- агент доставки почты), его задача по запросу почтового клиента передать ему почту из почтового ящика на сервере. MDA может работать по протоколам POP3 или IMAP, в ряде случаев для \u0026quot;общения\u0026quot; почтового клиента и агента доставки могут применяться собственные протоколы, обладающие расширенной функциональностью, например MAPI (Exchange Server).\nВопреки распространенному заблуждению, MDA не имеет никакого отношения к процессу передачи почты. Это прерогатива MTA. Если провести аналогию, MTA можно представить как почтовое отделение, которое занимается приемом и отправкой почты, а MDA с почтальоном, который приносит пришедшую корреспонденцию к вам домой. Если почтальон заболел, то это никак не скажется на работе почты, просто вы не получите письма на дом. Также и MDA, его отказ не приводит к неработоспособности почтового сервера, становится недоступно только получение почты почтовым клиентом, в то же время к ней можно спокойно получить доступ другими путями, например, через веб интерфейс.\nПосмотрим, что происходит при отправке почты. В нашем примере пользователь Иванов, находящийся в домене example.org (ivanov@example.org), пишет письмо Козлову в домен example.com (kozlov@example.com). Для Иванова процесс отправки почты состоит из создания сообщения и нажатия кнопки \u0026quot;Отправить\u0026quot; в почтовом клиенте. Почтовый клиент соединяется с МТА по протоколу SMTP и первым делом сообщает свои учетные данные. Авторизовав пользователя, MTA принимает сообщение и пытается доставить его дальше.\nВообще-то авторизация не является обязательной процедурой для MTA, но без авторизации мы получим открытый релей, т.е. любой может воспользоваться нашим сервером для пересылки почты, а как спамеры обрадуются! В настоящее время открытые релеи возникают в основном из-за ошибок настройки сервера. Однако вполне допустима ситуация, когда MTA без авторизации принимает почту от доверенных пользователей, например из локальной сети предприятия.\nДля авторизации MTA может использовать собственный список пользователей, системный список, списки пользователей LDAP или AD. Также существует способ: авторизация POP прежде SMTP, когда пользователь перед отправкой почты авторизуется на MDA, который, в свою очередь подтверждает аутентификацию пользователя для MTA.\nСледующим шагом MTA анализирует служебную информацию письма, определяя домен получателя, если он относится к доменам обслуживаем данным МТА, производится поиск получателя и письмо помещается в его ящик. Так произошло, если бы Иванов написал письмо Петрову или Сидорову.\nЕсли домен получателя не обслуживается MTA, формируется DNS-запрос, запрашивающий MX-записи для данного домена. MX-запись представляет особый вид DNS-записи, которая содержит имена почтовых серверов, обрабатывающих входящую почту для данного домена. MX-записей может быть несколько, в этом случае MTA пробует последовательно установить соединение, начиная с сервера с наибольшим приоритетом. При отсутствии MX-записи запрашивается A-запись (запись адреса, сопоставляющая доменное имя с IP-адресом) и выполняется попытка доставить почту на указанный там хост. При невозможности отправить сообщение, оно возвращается отправителю (помещается в почтовый ящик пользователя) с сообщением об ошибке.\nМы не будем рассматривать работу принимающего сервера, будем считать что все прошло нормально, Козлов получил письмо от Иванова и написал ему ответ. Сервер, обслуживающий домен example.com, проводит точно такие же действия и пробует передать почту нашему серверу. Получив входящее сообщение MTA, как и в случае с локальным отправителем, проверяет домен получателя, если он входит в число обслуживаемых MТА, обработка сообщения продолжается, иначе сервер отказывается принимать почту. После проверки домена проверяется получатель, если он присутствует в списке пользователей, сообщение доставляется в его ящик, в противном случае возможны два варианта: отказ от приема сообщения или прием сообщения в общий почтовый ящик (ящик администратора). С одной стороны такая настройка увеличивает число принимаемого спама, с другой позволяет не потерять письма с ошибками в написании адреса.\nЕще одной мерой защиты от спама является запрос PTR-записи. PTR-запись (запись указателя) связывает IP-адрес с именем домена. Запрашивая PTR, MTA принимает почту только в том случае если домен отправителя совпадает с доменом отправляющего сервера. Рассмотрим пример более подробно. Некий спамерский сервер spam.com пытается рассылать письма с поддельным отправителем, якобы от известного нам сервера example.com. В случае фильтрации по белым / черным спискам такое письмо будет доставлено, так как отправителем числится пользователь из доверенного домена (на что и рассчитывали спамеры). В целях борьбы со спамом MTA формирует запрос PTR записи для IP-адреса отправляющего сервера, который он сообщает в процессе SMTP сессии. Для адреса y.y.y.y PTR-запрос вернет имя домена spam.com, которое не совпадает с доменом отправителя, что будет причиной отказа в приеме данного сообщения. В то-же время сообщения от сервера x.x.x.x будут получены, так как домен из PTR-записи для x.x.x.x(example.com) совпадает с доменом отправителя.\nИтак, сообщение получено и находится в почтовом ящике пользователя. Как его прочитать? Почтовое хранилище, где находятся ящики пользователей, может быть организовано самыми различными способами: начиная от банальных папок и фалов, заканчивая базой данных. Не обладая техническими знаниями, прочитать собственную почту вряд-ли удастся. Но разве это должно волновать пользователя Иванова? Для него процесс получения почты сводится к нажатию кнопки \u0026quot;Получить\u0026quot; в почтовом клиенте.\nДля получения почты клиент устанавливает соединение с MDA по протоколу POP3 или IMAP, обязательно передавая данные для авторизации. MDA проверяет наличие пользователя в списках и, при успешной проверке, передает клиенту все новые сообщения находящиеся в его почтовом ящике. Пользователь Иванов получает свою корреспонденцию и может работать с ней удобным ему способом.\nНа этом наша статья заканчивается, мы настоятельно рекомендуем вдумчивое прочтение и усвоение изложенного в ней материала. В последующем, при рассмотрении практических реализаций почтовых серверов мы будем подавать материал из расчета, что читатель имеет знания в объеме не менее данной статьи.\n","id":"5d07f42f65b7369b6d918154d2afdb90","link":"https://interface31.ru/post/pochtovyj-server-struktura-i-princip-raboty/","section":"post","tags":["E-mail","Сетевые технологии"],"title":"Почтовый сервер для начинающих. Структура и принцип работы"},{"body":"Мы не будем говорить, насколько важно обеспечить защиту файловому серверу организации. Это очевидно. Несмотря на то, что Ubuntu вирусы не страшны, оставленный без защиты сервер очень быстро может стать очагом распространения вредоносных программ в локальной сети предприятия. В качестве решения начального уровня можно использовать бесплатный антивирус ClamAV.\nЗа основу решения мы взяли наш Samba-сервер, который был обновлен до Ubuntu 10.04. Нам необходимо настроить проверку \u0026quot;на лету\u0026quot; всех файлов в общих папках к которым обращаются пользователи. Собственно ClamAV ничего проверять в режиме реального времени не умеет, поэтому нужно воспользоваться сторонними модулями.\nНаиболее современным способом является использование виртуальной файловой системы ClamFS, смонтировав в нее любой каталог, мы обеспечим ему антивирусную проверку при обращении к файлам.\nУстановим необходимые пакеты:\n1sudo apt-get install clamav clamfs Создадим каталоги для монтирования виртуальной файловой системы. Будем придерживаться существующей системы каталогов, если пользовательские данные хранятся у нас в /data, то в виртуальной ФС будем использовать /clamfs/data:`\n1sudo mkdir /clamfs 2sudo mkdir /clamfs/data Установим права на папку /clamfs и вложенные подпапки:\n1 sudo chmod -R 777 /clamfs Теперь займемся настройкой ClamFS. Заготовка конфигурационного файла находится в /usr/share/doc/clamfs/clamfs-sample.xml.gz, перейдем в данный каталог, распакуем файл и скопируем его в /etc/clamav под именем clamfs.xml:\n1cd /usr/share/doc/clamfs/ 2sudo gunzip clamfs-sample.xml.gz 3sudo cp /usr/share/doc/clamfs/clamfs-sample.xml /etc/clamav/clamfs.xml Откроем clamfs.xml, найдем опцию File system settingsи зададим ее следующим образом:\n1\u0026lt;filesystem root=\u0026#34;/data\u0026#34; mountpoint=\u0026#34;/clamfs/data\u0026#34; public=\u0026#34;yes\u0026#34; nonempty=\u0026#34;yes\u0026#34; /\u0026gt; Подробно разбирать формат строки мы не будем, все и так должно быть понятно. Теперь изменим параметр отвечающий за запись логов, по умолчанию ClamFS пишет логи в syslog, что неудобно, лучше если все события будут записываться в отдельный лог. Найдем и закомментируем строку (должно выглядеть следующим образом):\n1 \u0026lt;!-- \u0026lt;log method=\u0026#34;syslog\u0026#34; /\u0026gt; --\u0026gt; Обращаем ваше внимание, что в xml комментарии заключаются в символы . И раскомментируем строку ниже:\n1\u0026lt;log method=\u0026#34;file\u0026#34; filename=\u0026#34;/var/log/clamav/clamfs.log\u0026#34; verbose=\u0026#34;no\u0026#34; /\u0026gt; Сохраняем настройки. Последовательно запускаем clamd и clamfs:\n1sudo /etc/init.d/clamav-daemon start 2sudo clamfs /etc/clamav/clamfs.xml Проверяем, каталог /data должен смонтироваться в /clamfs/data.\nТеперь о ложке дегтя. Как выяснилось, в Ubuntu 10.04 ClamFS при включенном Apparmor полностью блокирует все файлы на чтение. Выходов из этой ситуации несколько, так как файловый сервер обычно является сугубо внутрисетевым ресурсом, то мы пойдем по наиболее простому пути и просто удалим профиль clamd для Apparmor:\n1sudo rm /etc/apparmor.d/usr.sbin.clamd Осталось обеспечить автоматический запуск и монтирование ClamFS при загрузке системы. Распространённые в интернете рекомендации по монтированию ClamFS через fstab не приводят к желаемому результату, т.к. fstab обрабатывается гораздо раньше, чем загружаются модули ядра отвечающие за функционирование ClamFS. Поэтому поместим команду запуска ClamFS в скрипт автозапуска /etc/rc.local. Добавим в него следующую строку:\n1clamfs /etc/clamav/clamfs.xml Перезагружаемся:\n1sudo reboot Убедившись, что все работает, перейдем к настройке Samba. Изменим пути к общим папкам так, чтобы они вели на ClamFS, например для папки ADM вместо:\n1path = /data/ADM будет:\n1 path = /clamfs/data/ADM Изменив таким образом пути для всех общих ресурсов, которым требуется антивирусная защита, перезапускаем Samba:\n1sudo /etc/init.d/smbd restart Скачиваем с сайта EICAR тестовые файлы (не забыв выключить антивирус), помещаем их в общую папку на сервере и пробуем получить к ним доступ. ClamAV сразу пресекает наши попытки как открыть (запустить): так и скопировать зараженный файл: Вредоносные программы блокируются, это хорошо, а вот то, что они остаются в общих папках не очень хорошо. Что делать? На помощь нам придет сканер clamscan, он может проверять нашу папку по расписанию и перемещать вредоносные объекты в папку карантина. Почему именно на карантин? Во первых ClamAV иногда ошибается, во вторых он не умеет лечить отдельные типы вирусов (только удалять), поэтому лучшим вариантом будет именно помещение подозрительных объектов на карантин с последующей проверкой коммерческим антивирусом.\nСоздадим карантинную папку и установим права на нее:\n1sudo mkdir /data/quarantine 2sudo chmod 777 /data/quarantine Данную папку следует опубликовать как общий ресурс, однако доступ к ней должен иметь только администратор отвечающий за антивирусную защиту. Заведем на сервере отдельного пользователя (допустим avadmin) и установим ему SMB пароль, пароль на доступ в систему ему устанавливать необязательно.\n1sudo useradd avadmin 2sudo smbpasswd -a avadmin Теперь создадим в /etc/samba/smb.conf следующую секцию:\n1[Quarantine] 2path = /data/quarantine 3read only = No 4valid user = avadmin Перезапускаем Samba, папка Quarantine появилась в списке общих ресурсов, однако для доступа к ней нужно пройти авторизацию: Создадим скрипт для антивирусной проверки:\n1sudo touch /etc/clamav/clamscan Добавим в него следующие строки:\n1#!/bin/sh 2/usr/bin/clamscan -r /data/ADM --move=/data/quarantine Если нужно проверять несколько общих ресурсов добавляем несколько строк, ключ -r указывает на рекурсивную проверку (вместе с подпапками). Сохраним изменения и сделаем наш скрипт исполняемым:\n1sudo chmod +x /etc/clamav/clamscan Теперь настроим расписание. Допустим мы хотим запускать проверку каждый день в 17:45, для этого добавим в файл /etc/crontab следующую строку:\n145 17 * * * root /etc/clamav/clamscan Выбирая время проверки следует учитывать загрузку сервера. Если нужно проверять разные ресурсы с разной периодичностью (например базы 1С реже, офисные документы чаще) то нужно создать несколько скриптов и несколько расписаний.\nВ указанное нами время скрипт выполнится и зараженные файлы будут перемещены в карантин. На этом настройку антивирусной защиты можно считать законченной.\n","id":"1794b596ebe0764bf0924dd5df07b1f0","link":"https://interface31.ru/post/ubuntu-server-antivirusnaya-zashhita-dlya-fajlovogo-servera-samba-clamav/","section":"post","tags":["ClamAV","Samba","Ubuntu Server","Антивирус","Файловый сервер"],"title":"Ubuntu Server. Антивирусная защита для файлового сервера (Samba + ClamAV)"},{"body":"Рассмотрев в предыдущих частях теоретические вопросы перейдем к практической реализации. Сегодня мы рассмотрим создание VPN сервера PPTP на платформе Ubuntu Server. Данный материал рассчитан на читателей, имеющих навыки работы с Linux, поэтому мы не будем отвлекаться на вещи описанные нами в других статьях, таких как настройку сети и т.п. Если вы испытываете затруднения - предварительно изучите другие наши материалы.\nПрактическое знакомство с VPN мы начнем с PPTP, как наиболее простого в реализации. Однако следует помнить о том, что это слабозащищенный протокол и его не следует использовать для доступа к критически важным данным.\nРассмотрим схему, которую мы создали в нашей тестовой лаборатории для практического знакомства с данной технологией: У нас имеется локальная сеть 10.0.0.0/24 с сервером терминалов 10.0.0.2 и роутером 10.0.0.1, который будет выполнять функции VPN сервера, для VPN мы зарезервировали сеть 10.0.1.0/24. Внешний интерфейс сервера имеет условный выделенный IP адрес X.X.X.X. Наша цель - предоставить удаленным клиентам доступ к терминальному серверу и общим ресурсам на нем.\nНастройка сервера PPTP Установим пакет pptpd реализующий функционал PPTP VPN:\n1sudo apt-get install pptpd Теперь откроем файл /etc/pptpd.conf` и зададим основные настройки VPN сервера. Перейдем в самый конец файла, где укажем адрес сервера в VPN сети:\n1localip 10.0.1.1 И диапазон адресов для выдачи клиентам:\n1remoteip 10.0.1.200-250 Адресов нужно выделить не меньше, чем возможных одновременных соединений, лучше с небольшим запасом, так как их увеличение без перезапуска pptpd невозможно. Также находим и раскомментируем строку:\n1bcrelay eth1 Это позволит передавать VPN клиентам широковещательные пакеты внутренней сети.\nТакже можно использовать опции listen и speed, первая позволяет указать IP адрес локального интерфейса для прослушивания входящих PPTP соединений, второй указать скорость VPN соединений в бит/с. Например разрешим серверу принимать PPTP соединения только с внешнего интерфейса:\n1listen X.X.X.X Более тонкие настройки находятся в файле /etc/ppp/pptpd-options. Настройки по умолчанию вполне соответствуют нашим требованиям, однако кратко рассмотрим некоторые из них, чтобы вы имели представление о их назначении.\nСекция #Encryption отвечает за шифрование данных и проверку подлинности. Данные опции запрещают использование устаревших и небезопасных протоколов PAP, CHAP и MS-CHAP:\n1refuse-pap 2refuse-chap 3refuse-mschap Далее предписывается использовать безопасный протокол проверки подлинности MS-CHAP v2 и 128-битное шифрование MPPE-128:\n1require-mschap-v2 2require-mppe-128 Следующая секция #Network and Routing, здесь следует обратить внимание на опцию ms-dns, которая позволяет использовать DNS сервер во внутренней сети. Это может быть полезно при доменной структуре сети или наличия в ней DNS сервера который содержит имена всех ПК сети, что дает возможность обращаться к компьютерам по их именам, а не только по IP. В нашем случае данная опция бесполезна и закомментирована. Подобным образом можно задать и адрес WINS сервера опцией ms-wins.\nЗдесь же находится опция proxyarp, включающая, как несложно догадаться из названия, поддержку сервером Proxy ARP.\nВ секции #Miscellaneous содержится опция lock, которая ограничивает клиента одним подключением.\nНа этом настройку сервера можно считать законченной, осталось создать пользователей. Для этого внесем необходимые записи в /etc/ppp/chap-secrets. Записи должны иметь вид:\n1ivanov * 123 * 2petrov * 456 10.0.1.201 Первая запись позволяет подключаться к серверу пользователю ivanov c паролем 123 и присваивает ему произвольный IP адрес, вторая создает пользователя petrov с паролем 456, которому при подключении будет присваиваться постоянный адрес 10.0.1.201.\nПерезапускаем pptpd:\n1sudo /etc/init.d/pptpd restart Важное замечание! Если pptpd не хочет перезапускаться, зависая на старте, а в /var/log/syslog добавляя строку long config file line ignored обязательно добавьте в конец файла /etc/pptpd.conf перенос строки.\nНаш сервер готов к работе.\n","id":"eaf07783578248efd0fd208b10b2062f","link":"https://interface31.ru/post/nastraivaem-vpn-server-chast-3-pptp-platforma-linux/","section":"post","tags":["PPTP","Ubuntu Server","VPN","Сетевые технологии"],"title":"Настраиваем VPN сервер. PPTP. Платформа Linux"},{"body":"Блокирование торрент-трафика в корпоративных сетях одна из актуальных задач на сегодняшний день. Первый вопрос, который задают системные администраторы по этому поводу - можно ли эффективно заблокировать торренты техническими средствами? Мы решили провести собственное исследование для нашего роутера на базе Ubuntu Server.\nЧем же так досадили торренты? Если брать чисто технический аспект вопроса, то основная проблема заключается в чрезмерной загрузке канала. Торрент клиент в процессе работы устанавливает множество соединений с разными клиентами, что даже при небольшой скорости каждого клиента в отдельности позволяет получить высокую скорость закачки / раздачи в целом. Особые неприятности способны доставить торрент клиенты с большим количеством раздач, постоянно загружая ваш исходящий канал. В итоге важные для бизнеса сетевые сервисы могут работать с перебоями или не работать вообще (например ip-телефония).\nКакие методы борьбы с торрентами можно использовать?\nАдминистративный. Требуется запретить использование торрентов приказом по предприятию. Нарушение приказа должно наказываться дисциплинарно и / или финансово. Данный метод один из самых эффективных, однако трудноприменим в небольших фирмах, где производственная дисциплина невысока.\nБлокирование адресов трекеров. Эффективность данного способа весьма низка. Всех не заблокируешь, да и публичные прокси никто не отменял. Также можно принести торрент файл из дома.\nБлокирование портов. Также крайне неэффективный способ. Торрент клиент способен использовать абсолютно любой порт, не поможет даже блокирование всех портов по умолчанию с открытием нужных. Хотя может отсечь определенную часть технически неграмотных пользователей.\nАнализ трафика. На первый взгляд, метод весьма привлекателен. Попробуем реализовать его на практике.\nДля анализа трафика в Linux можно использовать пакеты ipp2p (специально предназначен для выделения p2p трафика) и layer7. Последний требует патча для ядра и iptables, в то время как первый доступен в качестве модуля в пакете xtables-addons. Но в бочке меда есть ложка дегтя: разработка ipp2p прекращена, однако отзывы о качестве анализа трафика с его помощью достаточно высокие и мы решили пойти по более простому пути.\nМы не будем останавливаться здесь на подробностях установки xtables-addons, это тематика для отдельной статьи, нас же более интересуют результаты. Модуль ipp2p умеет распознавать различные виды p2p трафика, что позволяет указывать для них отдельные правила в iptables. Попробуем заблокировать торренты. В нашем тестировании приняли участие две версии клиента uTorrent: более старая 1.8.2 и новая 2.0.4. Основным отличием версии 2.х является поддержка протокола uTP, также оба клиента умеют шифровать трафик.\nИтак версия 1.8.2, без ограничений. Как видим все довольно бодро качается: Теперь пробуем заблокировать торрент трафик с помощью ipp2p, как видим у нас получилось: Теперь запускаем 2.0.4, картина аналогичная: Казалось бы можно праздновать победу, но не будем спешить, скачаем торрент с другого трекера. Вот здесь то и притаилась засада, клиент начал спокойно качать через uTP: Включим шифрование, как видим, кроме uTP стали соединяться и обычные клиенты: При этом стоит отметить, что торренты с официального трекера Ubuntu так и не стали качаться ни по uTP, ни по шифрованному каналу, скорее всего это зависит от трекера, но не стоит испытывать иллюзий по этому поводу, все популярные трекеры эту технологию поддерживают.\nКакие выводы можно сделать? Даже если допустить, что ipp2p не понимает uTP в силу прекращения разработки проекта и у layer7 дела с этим обстоят гораздо лучше, шифрование сводит на нет все попытки анализа трафика с целью выделения и блокировки торрентов. В принципе, можно допустить возможность дешифровки (шифрование там не очень сильное), но при значительном объеме проходящего трафика требуемые для этого вычислительные ресурсы окажутся неприемлемо велики.\nНа наш взгляд оптимальным вариантом будет административный метод совместно с блокировкой адресов наиболее популярных трекеров и открытых прокси. Для выявления \u0026quot;качков\u0026quot; можно воспользоваться любой биллинг-системой (об этом поговорим в отдельной статье), обращая внимание на объемы трафика и их источник / назначение. В любом случае только комплексный подход поможет решить данную проблему, технического решения на сегодняшний день нет.\nP.S. Мы долго думали, публиковать данный материал или нет. С одной стороны наша попытка блокировать торренты техническими методами потерпела полное фиаско, с другой стороны отрицательный результат - тоже результат и возможно данный материал поможет кому-то сберечь время и сразу пойти по верному пути.\n","id":"f62768d32db08f21721bacc824bf3861","link":"https://interface31.ru/post/ubuntu-server-mozhno-li-effektivno-zablokirovat-torrenty/","section":"post","tags":["iptables","Ubuntu Server","Сетевые технологии"],"title":"Ubuntu Server. Можно ли эффективно заблокировать торренты?"},{"body":"Хорошо когда всё работает, можно расслабиться и поразмышлять о возвышенном. Но когда ваш терминальный сервер вдруг перестает принимать подключения времени на размышление не остается, нужно в кратчайшие сроки все исправить. Обычно большинство проблем связано с лицензированием сервера терминалов. В данной статье мы рассмотрим характерные неисправности и способы их устранения.\nНе установлен или не активирован сервер лицензирования. Вы будете смеяться, но значительная доля проблем с лицензированием возникает по этой причине, во многом \u0026quot;благодаря\u0026quot; тому, что сервер терминалов имеет 120 дневный ознакомительный период. По его окончанию, как правило, у администратора наступает прозрение и возникает масса проблем из-за вынужденного простоя сервера.\nДля Windows Server 2003 чаще всего характерна ситуация когда сервер лицензирования не установлен, потому что он устанавливается отдельно от роли терминального сервера и совсем из другого места [1]. В Windows Server 2008 допустить данную ошибку труднее, все компоненты устанавливаются в одном месте, да и система не забудет вам напомнить об отсутствии сервера лицензирования. Но не менее часто встречаются ситуации когда, установив сервер лицензирования, администратор забывает его активировать. Значительно реже, активировав, забывают установить клиентские лицензии.\nВ любом случае, если вы недавно установили роль терминального сервера, причем делали это сами и в первый раз, обязательно проверьте наличие сервера лицензирования, его активацию и наличие клиентских лицензий. Как это сделать подробно описано в наших материалах [1, 2]\nТерминальный сервер не находит сервер лицензирования. Данная проблема проявляется в случае, когда терминальный сервер и сервер лицензирования разнесены по разным ПК. В первую очередь надо проверить доступность сервера лицензирования в сети и возможность установить с ним RDP соединение. Это особенно актуально для серверов терминалов находящихся в отдельном сегменте сети (например DMZ) и отделенных от сервера лицензирования маршрутизатором или брандмауэром.\nУбедитесь, что сервер лицензирования поддерживает ОС сервера терминалов. Сервера лицензирования поддерживают все более ранние выпуски серверных ОС Microsoft (начиная с Windows 2000), но сервера терминалов требуют чтобы сервер лицензирования имел аналогичную или более старшую версию ОС. Так например сервер лицензирования на базе Windows Server 2008 R2 может обслуживать сервера терминалов с любыми версиями ОС, а сервер терминалов под управлением Windows Server 2008 R2 сможет работать только с сервером лицензирования на базе Windows Server 2008 R2.\nОтдельного разговора заслуживает такой параметр, как область обнаружения сервера лицензирования. Существуют три области:\nрабочая группа домен лес (уровень предприятия в Windows Server 2003) Если роль сервера лицензирования находится на компьютере который не входит в домен, то доступна только одна область: рабочая группа. Все серверы терминалов находящиеся в одной группе с сервером лицензирования обнаружат его без дополнительной настройки. При включении этого ПК в домен область обнаружения автоматически изменится на домен.\nДля области обнаружения домен серверы терминалов смогут находить сервер лицензирования без дополнительной настройки только в том случае, если он находится на контроллере домена. Можно установить сервер лицензирования и на ПК не являющийся контроллером домена, однако в этом случае серверы терминалов не смогут находить его автоматически.\nРекомендуемая область для сервера лицензирования - лес. В этом случае серверы терминалов находящиеся в одном лесу с сервером лицензирования обнаружат его автоматически, так как в этом случае сервер лицензирования будет опубликован в доменных службах Active Directory.\nДля того, чтобы сервер лицензирования мог выдавать лицензии \u0026quot;на пользователя\u0026quot; пользователям других доменов, он должен входить в группу «Серверы лицензирования служб терминалов» этих доменов, независимо от области обнаружения (домен или лес).\nКак быть если сервер лицензирования не обнаруживается автоматически? Можно задать путь к нему вручную. Это делается из оснастки Настройка служб терминалов - Параметры сервера в Windows Server 2003: или Службы терминалов - Конфигурация служб терминаловв Windows Server 2008: Здесь мы имеем возможность явно задать адрес сервера лицензирования как в виде имени, так и по IP адресу. К данной настройке стоит прибегнуть и в том случае, когда сервер терминалов по какой-либо причине не хочет автоматически находить сервер лицензирования в пределах своей области обнаружения.\nДля Windows Server 2008 рекомендуем также воспользоваться инструментом Диагностика лицензирования, который позволяет обнаруживать возможные проблемы с настройкой и обнаружением серверов.\nНеправильный режим лицензирования терминального сервера. Довольно распространенная ошибка до выхода Windows Server 2003 SP1. Суть ее заключалась в том, что после установки роли сервера терминалов любое добавление компонентов Windows приводило к возврату режима лицензирования \u0026quot;на устройство\u0026quot;. С выходом SP1 данная ошибка была исправлена. Но несмотря на это многие до сих пор продолжают путать режимы лицензирования.\nКак известно, сервер терминалов может иметь два режима лицензирования: \u0026quot;на пользователя\u0026quot; и \u0026quot;на устройство\u0026quot;. Режим лицензирования должен соответствовать приобретенным лицензиям. Рассмотрим работу сервера более подробно.\nВ режиме \u0026quot;на устройство\u0026quot; при первом подключении сервер терминалов выдает клиенту временную лицензию на 90 дней, при последующих подключениях сервер стремиться обновить временную лицензию до постоянной. При наличии на сервере лицензирования свободных лицензий \u0026quot;на устройство\u0026quot; одна из них будет выдана клиенту уже при втором подключении. Постоянная лицензия выдается на срок от 52 до 89 дней и автоматически продлевается при очередном подключении клиента за несколько дней до окончания срока. Непродленные лицензии освобождаются и могут быть выданы другим клиентам.\nВот здесь и заложена первая бомба замедленного действия. Имея сервер лицензирования с лицензиями \u0026quot;на пользователя\u0026quot; и сервер терминалов с режимом \u0026quot;на устройство\u0026quot; мы сможем работать 90 дней (на временных лицензиях), после чего сервер откажется принимать подключения.\nВ режиме \u0026quot;на пользователя\u0026quot; сервер не проверяет фактическое наличие клиентских лицензий, если терминальный сервер может связаться с сервером лицензирования, то он принимает подключение. За наличием достаточного количества клиентских лицензий должен следить администратор. При наличии сервера лицензирования с лицензиями \u0026quot;на устройство\u0026quot; и терминального сервера в режиме \u0026quot;на пользователя\u0026quot; клиенты смогут подключаться без каких либо ограничений, однако такая работа будет нарушать лицензионное соглашение, что может послужить источником неприятностей при проверке.\n","id":"83108fca6615d156ec6c51cb9140a2dd","link":"https://interface31.ru/post/licenizrovanie-servera-terminalov-poisk-i-ustranenie-neispravnostej-1/","section":"post","tags":["RDP","Windows Server","Лицензирование","Сервер терминалов"],"title":"Лиценизрование сервера терминалов. Поиск и устранение неисправностей"},{"body":"При создании файлового сервера неизбежно возникает вопрос выбора операционной системы. Здесь есть над чем задуматься: потратить деньги на Windows Server или обратить внимание на бесплатные Linux и BSD? Во втором случае придется еще определиться с выбором файловой системы, которых в Linux довольно много. Однозначного ответа на поставленные вопросы дать нельзя, нужно разностороннее тестирование, которое мы провели в нашей тестовой лаборатории.\nКак мы тестировали Нельзя объять необъятное. Так и в нашем случае. Невозможно протестировать все варианты файловых серверов. Поэтому мы решили ограничиться самыми распространенными. Для Windows Server это версии 2003 и 2008 R2, поскольку первая еще продолжает широко использоваться, а последняя интересна техническими новинками, в частности поддержкой протокола SMB2, файловая система NTFS.\nДля Linuх платформы был выбран Ubuntu 10.04 LTS, проведя ряд дополнительных тестов, мы выяснили, что производительность файловых серверов практически не зависит от дистрибутива Linux, в тоже время наблюдается определенная зависимость от версии Samba (в нашем случае 3.4.7). Из всего многообразия файловых систем мы выбрали наиболее распространенные и популярные: ext3, ext4, reiserfs, XFS, JFS. Также был протестирован дистрибутив FreeNAS, как представитель семейства BSD (собран на базе FreeBSD 7.2) с UFS.\nВ качестве клиента использовали Windows 7 32-бита. Сразу огорчим поклонников XP, нравится вам это или нет, именно Windows 7 станет в ближайшие годы корпоративной OC по умолчанию.\nДля тестовой платформы использовались два ПК Core2 Duo E8400 - P45 - 2 Гб PC2-8500, соединенных гигабитной сетью. На одном из них установлена Windows 7, на втором устанавливались серверные ОС и был подключен дополнительный жесткий диск 750 Gb Western Digital RE3 WD7502ABYS использовавшийся исключительно для тестирования. Этот диск форматировался в нужную файловую систему и настраивался в качестве общего ресурса.\nТестирование проводилось при помощи пакета Intel NASPT 1.0.7, подробнее о входящих в его состав тестах можно прочитать здесь. Для каждой конфигурации мы производили 5 прогонов теста, используя в качестве окончательного средний результат.\nФайловые операции Работа с файлами На операциях записи уверенно лидирует Windows Server, опережая Linux более чем в два раза, на операциях чтения разрыв между Linux и Windows Server 2003 практически сокращается, однако Windows Server 2008 R2 удерживает высокие позиции, значительно опережая как Linux, так и Windows Server 2003.\nВ семействе файловых систем Linux при работе с большими файлами неожиданно лидирует reiserfs, ext4 показала довольно низкие результаты при записи, а ext 3 при чтении. JFS - аутсайдер тестирования, и имеет проблемы с записью больших файлов, показав неприемлемо низкий результат. FreeNAS показал весьма скромный результат, по нижней планке Linux систем.\nРабота с папками При работе с большим количеством небольших файлов распределенных по папкам разной степени вложенности результат более равномерный. Windows системы снова лидируют, хотя не со столь впечатляющим отрывом. SMB2 и здесь дает о себе знать, выводя Windows Server 2008 R2 в несомненные лидеры с 40% превосходством над Linux.\nВ Linux стане результаты довольно ровные, на запись незначительно лидируют reiserfs и JFS, на чтение явного лидера нет, JFS явный аутсайдер. FreeNAS имеет сопоставимые результаты, незначительно опережая при чтении и незначительно отставая при записи.\nРабота с приложениями При использовании файлового сервера в качестве хранилища для общих файлов и общей работе с ними уверенно, с двойным отрывом лидирует Windows Server 2008 R2. В Unix стане результат средний, явных лидеров или аутсайдеров нет. При активной офисной работе явных лидеров нет, худшие результаты у FreeNAS. При работе с фотографиями (последовательное чтение среднего размера файлов) лидирует Windows Server 2008 R2, за ним идут Windows Server 2003, FreeNAS и различные реализации на Linux.\nМультимедиа Воспроизведение И снова мы видим значительное превосходство SMB2. Windows Server 2008 R2 при воспроизведении HD видео показывает лучшие результаты и отлично держит нагрузку при увеличении потоков. Чего не скажешь о Windows Server 2003, который при увеличении потоков значительно снижает производительность и выходит в число аутсайдеров.\nLinux показывает неплохие результаты, ext3 и XFS идут наравне с Windows Server 2003 при воспроизведении в один поток и значительно опережают его при многопоточном чтении, уступая при этом Windows Server 2008 R2 20-30%. JFS показывает стабильно низкий результат независимо от числа потоков, похоже причина в устаревшей архитектуре этой ФС. FreeNAS также не может похвастаться результатами, разделив с Windows Server 2003 последнее место.\nЗапись При записи HD видео семейству Windows Server нет конкурентов, обе системы идут вровень. Linux, исключая JFS, имеющую явные проблемы с записью, и FreeNAS идут вровень, лидируют ext3 и XFS. При одновременной записи и воспроизведении Linux и Windows Server 2003 показывают практически равные результаты, FreeNAS снова показывает неспособность держать нагрузку с худшим результатом. Windows Server R2 снова демонстрирует значительное (практически двукратное) превосходство.\nОбщий результат и выводы Для обобщения результатов тестирования мы приняли лучший результат каждого теста за 100%, рассчитав все остальные значения в % относительно него, затем вычислили средний процент по каждому участнику тестирования. Подобный метод позволяет отвлечься от абсолютных цифр и получить хорошее представление об общем раскладе сил. Итак, абсолютный лидер на сегодня это Windows Server 2008 R2, протокол SMB2 показывает значительное преимущество, не оставляя шансов конкурентам. Если перед вами стоит задача создать высокопроизводительный файловый сервер для работы в современной инфраструктуре то выбора как такового нет. Новая серверная ОС от Microsoft безусловно оправдает затраченные на нее средства.\nWindows Server 2003 в общем зачете получает второе место с 76,31%, учитывая что в некоторых задачах он показал довольно низкий результат и небольшой отрыв от Linux решений (10-15%) развертывать новые сервера под этой ОС не представляется целесообразным. Это же следует учитывать при легализации ПО, в этом случае целесообразен апгрейд до Windows Server 2008 R2 или переход на Linux решения.\nСреди Linux решений, за исключением JFS, результат довольно равномерный, с небольшим отрывом (3-5%) вперед выходят XFS и reiserfs. JFS явный аутсайдер, к применению категорически не рекомендуется. Решения на базе FreeBSD также нельзя рекомендовать к серьезному применению, они проигрывают Linux 10-15%, не говоря уже о гораздо более серьезном отставании от Windows систем.\nНадеемся что проведенное нами тестирование поможет вам принять правильное решение в выборе операционной и файловой систем для вашего файлового сервера.\n","id":"9f5164a4429883d0a3d9dbc6110043a3","link":"https://interface31.ru/post/fajlovyj-server-kakuyu-os-i-fajlovuyu-sistemu-vybrat/","section":"post","tags":["Samba","SMB","Производительность","Файловый сервер"],"title":"Файловый сервер. Какую ОС и файловую систему выбрать?"},{"body":"Одной из наиболее частых задач для системного администратора является предоставление доступа к ресурсам локальной сети для удаленных пользователей. Сделать этом можно разными способами, один из них - форвардинг портов. Суть этого метода в том, что клиент обращается к определенному порту шлюза, который в свою очередь перенаправляет запрос к порту локального ПК.\nПо сути, форвардинг (перенаправление, проброс на жаргоне) портов дает возможность вынести определенные сервисы локальной сети в интернет. Это дает возможность держать почтовые (Web, FTP и т.п.) сервера в более безопасной зоне локальной сети (а лучше в DMZ).\nПри этом следует осознавать потенциальную опасность подобного способа по сравнению с VPN или DirectAccess доступом, в данном случае ваши сервисы будут доступны всем желающим и стоит уделить особое внимание безопасности подобного решения.\nВ качестве примера рассмотрим организацию доступа к терминальному серверу в локальной сети через интернет, используя в качестве шлюза роутер на базе Ubuntu Server, настройка которого описана здесь. В нашей тестовой лаборатории была собрана следующая схема: В данном случае у нас имеется локальная сеть 10.0.0.0/24 в которой присутствует сервер терминалов по адресу 10.0.0.2, роутер с внутренним адресом 10.0.0.1 и внешним 192.168.64.134 (данный адрес взят нами для примера, в реальности здесь должен быть белый IP адрес) и ноутбук во внешней сети, который должен получить доступ к серверу терминалов.\nНаиболее очевидным способом для многих будет форвардинг портов при помощи iptables, однако, прежде чем рубить с плеча, вспомним, каким образом работает iptables. Данный момент очень важен и предупреждает ситуации: \u0026quot;я все сделал как написано, но не работает\u0026quot;. Правила (цепочки) iptables обрабатываются последовательно, в порядке их перечисления в файле /etc/nat. Допустим у нас там записано три правила:\n1Правило1 2Правило2 3Правило3 Пришедший пакет анализируется и если он удовлетворяет условиям Правила 1, то к нему применяется указанное в правиле действие, иначе переходим к Правилу 2 и т.д. Очевидно, что если мы укажем в Правиле 1 общее правило для всего приходящего трафика, а в Правилах 2 и 3 частные ситуации, то эти правила работать не будут, т.к. более общее Правило 1 стоит раньше. Поэтому сначала требуется описать более частные случаи, затем более общие и следить за тем, чтобы вышестоящие правила не перекрывали нижестоящие.\nИтак, приступим. Для выполнения нашего условия (перенаправление порта 3389 во внутреннюю сеть) добавим в файл /etc/nat до правила \u0026quot;# Запрещаем доступ снаружи во внутреннюю сеть\u0026quot; следующие строки:\n1#Разрешаем входящие подключения на 3389 2iptables -A FORWARD -i eth0 -p tcp --dport 3389 -j ACCEPT Это правило разрешает прохождение входящих пакетов на порт 3389 внутрь сети. Теперь опишем форвардинг:\n1# Форвардинг 3389 2iptables -t nat -A PREROUTING -p tcp -d 192.168.64.134 --dport 3389 -j DNAT --to-destination 10.0.0.2:3389 3iptables -t nat -A POSTROUTING -p tcp -d 10.0.0.2 --dport 3389 -j SNAT --to-source 10.0.0.1 Первая строка изменяет адрес назначения на адрес внутреннего сервера и ее одной уже достаточно для того, чтобы проброс работал. Вторая строка заменяет адрес источника на внутренний адрес роутера, чтобы ответный пакет обязательно вернулся именно роутеру. Это нужно для случая, если устройство, работающее через проброшенный порт, появится во внутренней сети. Если не будет этого правила, то сервер будет пытаться отвечать непосредственно устройству, но оно ждет ответа от роутера и связь работать не будет.\nСохраняем файл, перезагружаем сервер:\n1sudo reboot Проверяем, все должно работать: Как видим, ничего сложного. Главное - понимание того, что вы делаете. Не тупое повторение скопированных команд, а знание того, что вы делаете, зачем и почему именно таким образом. Успехов!\n","id":"c2845fbe5d779d4aca82eee0f19b4eda","link":"https://interface31.ru/post/ubuntu-server-nastraivaem-forvarding-portov-na-routere/","section":"post","tags":["iptables","Ubuntu Server","Сетевые технологии"],"title":"Ubuntu Server. Настраиваем форвардинг портов на роутере"},{"body":"Попытка установить сервер 1С на Ubuntu Server 10.04 преподнесла нам неприятный \u0026quot;сюрприз\u0026quot; - драйвер USB ключа защиты от Аладина больше не работает в этой системе. Несмотря на то, что проблема проявилась раньше, начиная с ядра 2.6.31.20 в Ubuntu 9.10, на сегодняшний день работа HASP ключа под этими системами официально не поддерживается. Но выход есть, о нем и поговорим в нашей статье.\nПричина возникновения данной проблемы - изменение механизма работы с USB устройствами в Linux, а именно отсутствие /proc/bus/usb, что сделало невозможным монтирование ключа и нормальную работу драйвера. Что делать? Сидеть на Ubuntu 9.10 со старым ядром? Оно конечно можно, но нужно искать решение, тем более что оно есть. Компания Etersoft выпустила переработанную версию драйвера HASP в котором данная проблема обходится.\nПриступим. Если у нас чистая установка, можно сразу приступить к установке драйвера, если же вы обновили систему с 9.10, с установленным драйвером от Аладина, его нужно предварительно удалить. Для этого запустите скрипт dunst из комплекта поставки драйвера. Если вы настраивали сервер по нашей статье он находится в каталоге HASP_SRM_LINUX_3.50_Run-time_Installer_script:\n1./dunst Также убираем из /etc/fstab строку:\n1none /proc/bus/usb usbfs defaults 0 0 Теперь скачаем с сайта Etersoft доработанную версию драйвера haspd_3.2-eter3ubuntu_i386.deb, это можно сделать прямо на сервере следующей командой (учтите закачка будет произведена в текущий каталог):\n1wget http://download.etersoft.ru/pub/Etersoft/HASP/last/Ubuntu/10.04/haspd_3.2-eter3ubuntu_i386.deb Установим скачанный пакет\n1dpkg -i haspd_3.2-eter3ubuntu_i386.deb Запускаем службу:\n1/etc/init.d/haspd start Если все сделано правильно вы должны увидеть следующее: На первую ошибку не обращаем внимания, она связана с отсутствием поддержки LPT ключа, который нас не интересует, ключи защиты сервера 1С Предприятие исключительно USB.\nДанный пакет имееет одну тонкость, загружаются только те драйверы, ключи для которых вставлены в USB. Если вы вставили ключ позже нужно перезапустить драйвер:\n1/etc/init.d/haspd restart На этом установка драйвера ключа закончена, все должно работать.\n","id":"90e47b14e35c1d9f84b8e87b683abd86","link":"https://interface31.ru/post/ustanovka-klyucha-zashhity-1s-predpriyatie-na-ubuntu-1004/","section":"post","tags":["1С Предприятие 8.х","HASP","Ubuntu Server"],"title":"Установка ключа защиты 1С Предприятие на Ubuntu 10.04"},{"body":"Несмотря ни на что, 1С:Предприятие 7.7 все еще продолжает широко использоваться на просторах нашей страны. В связи с этим вопросы обеспечения максимального быстродействия остаются весьма актуальными для системных администраторов. Вместе с тем стоит отметить, что в админских кругах и интернете широко распространено большое количество мифов и заблуждений относительно различных режимов работы 1С. Чтобы развеять их мы решили провести свое тестирование.\nО тестировании Основной целью проводимого исследования было нахождение оптимального режима работы 1С:Предприятие 7.7 конфигурации \u0026quot;Торговля и склад\u0026quot; применительно к условиям конкретного заказчика. Вторичной целью было исследование влияния различных режимов работы 1С:Предприятия на производительность при выполнении различных действий и операций.\nНами были протестированы: файловый и SQL режимы работы 1С с использованием как MS SQL Server 2000, так и PostgreSQL совместно с SELTA@Etersoft в сетевом и терминальном режимах. Все тесты проводились на Windows платформе. Тестирование варианта с PostgreSQL на Linux нами не проводилось в связи с окончанием тестовой лицензии на Selta и тем, что разработчик (Etersoft), ознакомившись с результатами тестирования под Windows, потерял интерес к дальнейшему сотрудничеству.\nРезультаты данного тестирования могут оказаться для кого-то неожиданными. Мы советуем тщательно ознакомиться с ними и сделать выводы, что позволит избежать ряда проблем и недоразумений, когда результат внедрения окажется прямо противоположным ожиданиям.\nТестовый стенд В качестве тестового стенда использовались 2 ПК Core2 Duo E8400 - P45 - 2 Гб PC2-8500 под управлением Windows Server 2003 SP2 и Windows XP SP3 в качестве сервера БД, сервера терминалов и основной рабочей станции. Еще два ПК AMD ATHLON II X2 245 - nForce630a - 2 Гб PC3-8500 использовались в качестве дополнительных рабочих станций. Все ПК объединены в сеть 1 Гбит.\nВ качестве тестовой использовалась информационная база конфигурации \u0026quot;Торговля и склад\u0026quot; реального оптово-розничного предприятия за 6 месяцев. Тесты отражают реальные условия эксплуатации данной информационной базы.Тестировались следующие режимы:\nФайловый (DBF) MS SQL 2000 SP4 (MS SQL 2000) PostgreSQL 8.3 через транслятор SELTA@Etersoft (PostgreSQL)' Результаты тестирования последнего режима следует рассматривать не как результаты PostgreSQL, а как результаты SELTA в связке с PostgreSQL.\nЗагрузка дампа БД Загрузка дампа производилась локально на сервере в режиме Конфигуратора, общий объем дампа перед развертыванием 354 Мб. Результаты в файловом режиме и c использованием MS SQL 2000 незначительно отличаются друг от друга, явный аутсайдер PostgreSQL, возможно дает о себе знать транслятор SELTA, но в любом случае результат неудовлетворительный.\nПроведение документов Скорость проведения документов один из наиболее важных параметров, характеризующих быстродействие ИБ. В нашем случае использовалось групповое проведение документов за неделю в сетевом и терминальном режиме. Два дополнительных ПК выполняли во время тестирования дополнительную нагрузку на ИБ в виде заранее предопределенного набора действий (ввод новых документов, проведение, подбор остатков, печать), характерных для повседневной деятельности фирмы. Результаты данного теста могут оказаться для многих неожиданными, поэтому разберем их подробнее. В терминале файловый вариант однозначно быстрее MS SQL. Почему? 1С:Предприятие 7.7 не использует большинства возможностей SQL сервера, который выполняет исключительно функции хранилища. Работа с данными выполняется по прежнему средствами 1С, не используя возможностей SQL, добавьте сюда накладные расходы - результат налицо.\nОднако все меняется при работе по сети, падение производительности в файловом режиме (всего при 3 клиентах) уже весьма ощутимо, в 3,88 раз, чего не скажешь о SQL версии, всего лишь в 1,43 раза. Уже сейчас можно говорить о сравнимой производительности DBF и MS SQL, при 5-7 клиентах результаты будут уже в пользу SQL версии. Стоит также учитывать запас по пропускной способности сети, которого в реальных условиях (сеть загружена иным трафиком) может и не быть, да и наиболее распространены сейчас все еще менее скоростные сети 100 Мбит.\nРезультаты SELTA + PostgreSQL комментировать не хочется, они крайне низки и мало зависят от режима (сеть / терминал), что заставляет подозревать узкое место в трансляторе SELTA.\nОтчеты Сразу честно признаемся - отчеты в 1С:Предприятие 7.7 слабое место SQL версий. Причины описаны выше. В повседневной работе нужно найти разумный компромисс между скоростью выполнения основных операций и скоростью формирования отчетов.\nОдним из наиболее актуальных и востребованных отчетов можно назвать \u0026quot;Остатки ТМЦ\u0026quot;, он же наиболее ресурсоемок, если выполняется в разрезе всего предприятия. Мы сформировали отчет с детализацией по складам. MS SQL 2000 стабильно отстает от файлового режима почти вдвое как в сетевом, так и в терминальном режиме. Если вы часто используете отчеты, то возможно потребуется дополнительное исследование для выбора оптимального режима. В терминале с большой долей вероятности следует отдать предпочтение файловому режиму 1С.\nPostgreSQL показал гораздо более низкие результаты, особенно в терминале, и опять таки слабо зависящие от режима работы, хотя общее быстродействие в данном случае вполне приемлемо.\nСледующим отчетом, попавшим в наше тестирование, будет \u0026quot;Отчет по продажам ТМЦ\u0026quot; за месяц. Тестирование проводилось в двух режимах: в первом отчет формировала одна рабочая станция, остальные имитировали рабочую нагрузку на ИБ, во втором на трех рабочих станциях одновременно, результат представляет среднюю от трех измерений. Несомненный лидер - файловый режим, однако он демонстрирует сильное падение производительности при переходе от терминального режима к сетевому и при увеличении одновременной нагрузки на ИБ. MS SQL 2000 при более низких показателях быстродействия показывает гораздо лучшую способность держать нагрузку, особенно в сетевом режиме.\nSELTA + PostgreSQL снова разочаровали, результат весьма низкий, при увеличении нагрузки достигающий неприемлемых значений.\nНа десерт мы оставили довольно простой отчет \u0026quot;Динамика продаж\u0026quot; по группе номенклатуры.Количество данных требуемых для данного отчета и количество запросов гораздо ниже, чем для вышеперечисленных, результат не заставил себя долго ждать. В терминальном режиме результаты примерно у всех равны, в сетевом SQL версии даже оказываются быстрее файловых. Но это скорее исключение, чем правило.\nЗамер производительности Цель данного теста - оценка производительности при выполнении набора определенных действий, максимально приближенных к повседневной работе отдела продаж, составляющих основную нагрузку на ИБ. Тестирование производилось в монопольном режиме с помощью одноименного инструмента из Отладчика. Тест представляет собой воспроизведение ряда заранее определенных действий: получения заявки от покупателя, выставления счета, выписки накладной и т.п. Мы использовали два варианта теста: с расчетом задолженности по контрагенту (формирование отчета) и без. Если необходимости в получении отчетов нет, то результаты вполне удовлетворительны и ожидаемы. Файловый режим по прежнему лидирует, за ним идет MS SQL 2000 и PostgreSQL. Производительность во всех случаях достаточно высока.\nТеперь посмотрим на ту же ситуацию с формированием задолженности по контрагенам, наиболее популярного повседневного отчета. Вот здесь и начались проблемы. Если быстродействие MS SQL еще можно с некоторой натяжкой назвать приемлемым, то PostgreSQL (точнее его связка с SELTA) демонстрирует совсем беспомощные результаты.\nВыводы Какие выводы можно сделать из полученных результатов? Небольшие по размеру базы с небольшим количеством пользователей покажут наилучшую производительность в файловом режиме. При увеличении размеров базы при небольшом количестве активных пользователей лучшим вариантом будет переход к терминальному режиму, нежели использование SQL. При большом количестве пользователей активно использующих базу переход на SQL будет вполне оправдан, особенно в сетевом режиме.\nСильные стороны DBF: высокая скорость формирования отчетов и проводок, высокая скорость в терминальном режиме. Недостатки DBF: сильное падение производительности в сетевом режиме и при активном использовании базы несколькими пользователями. К достоинствам SQL следует отнести способность выдерживать гораздо более высокую нагрузку без сильного снижения быстродействия, на небольших базах SQL всегда будет медленнее DBF. Слабая сторона SQL - проводки и отчеты и это следует учитывать.\nТеперь о практической стороне данных исследований. На момент их проведения у заказчика имелась собственно ИБ объемом 354 Мб работавшая на MS SQL 2000 в сетевом режиме. Нагрузку на базу составляли 12 пользователей. Субъективно SQL обеспечивал гораздо более высокую производительность, чем файловый режим по сети. По результатам данного тестирования был приобретен терминальный сервер и база была переведена обратно в файловый режим. Сотрудники много работающие с отчетами отметили значительное увеличение быстродействия.\nНесколько слов о SELTA. Использование транслятора, позволяющего отказаться от использования дорогого MS SQL Server 2000, безусловно весьма привлекательно. Однако производительность связки SELTA + PostgreSQL не оставляет данному решению шансов. Разве что только для случаев, когда на первый план выходит экономическая составляющая и на недостатки можно закрыть глаза. Например при наличии большого количества рабочих мест использующих базу только для формирования первичных документов (выписка товара и т.п.), а на длительное формирование отчетов можно закрыть глаза.\n","id":"d1bb00c788a07ff1d8a7a60be6537855","link":"https://interface31.ru/post/1s-predpriyatie-77-testirovanie-proizvoditel-nosti-v-razlichnyx-rezhimax/","section":"post","tags":["1С Предприятие 7.7","MS SQL","PostgreSQL","SQL","Производительность"],"title":"1С Предприятие 7.7 Тестирование производительности в различных режимах."},{"body":"В нашей прошлой статье мы рассматривали настройку антивирусного фильтра ClamAV для роутера на платформе Ubuntu Server. Сегодня мы рассмотрим более частный случай - настройку совместной работы контент-фильтра DansGuardian и антивируса ClamAV.\nСуществует два варианта организации антивирусной проверки трафика совместно с использованием контент-фильтра DansGuardian. Первый: используя встроенные возможности. Второй: аналогично описанному в прошлой статье, при помощи антивирусного прокси HAVP. Какой из них выбрать? Если вы не планируете расширять инфраструктуру и использовать коммерческие антивирусные продукты можно воспользоваться первым вариантом, который наиболее прост и надежен. Второй вариант дает большую гибкость в выборе как антивирусных продуктов, так и вариантов построения инфраструктуры, позволяя разнести контент-фильтр и антивирус по разным ПК.\n1. DansGuardian + ClamAV Если вы установили DansGuardian по нашим рекомендациям то ClamAV у вас уже установлен. Иначе следует установить его самостоятельно. Сейчас мы не будем останавливаться на этом подробно, все необходимые рекомендации вы найдете в предыдущей статье. Для того, чтобы заставить DansGuardian использовать антивирус достаточно найти и раскомментировать в конфигурационном файле /etc/dansguardian/dansguardian.conf строку:\n1contentscanner = \u0026#39;/etc/dansguardian/contentscanners/clamav.conf\u0026#39; Перезагружаем DansGuardian:\n1sudo /etc/init.d/dansguardian stop 2sudo /etc/init.d/dansguardian start Проверяем при помощи тестовых сигнатур EICAR: 2. DansGuardian + HAVP + ClamAV В первую очередь убедимся, что DansGuardian использует порт отличный от 8080, если вы выполняли настройку по нашей статье, то он должен работать на 8081. В любом случае проверяем что указано в параметре filterport конфигурационного файла /etc/dansguardian/dansguardian.conf и куда перенаправляется трафик в последнем правиле (# Заворачиваем http на прокси) в /etc/nat. В случае необходимости исправляем, перезагружаемся и проверяем работу системы. Если все работает нормально можно переходить к следующему этапу.\nУстановка HAVP и настройка Squid ничем не отличается от уже рассмотренного нами примера. Настраиваем, проверяем: Как видим, ничего сложного нет. Дополнить контент-фильтр антивирусной защитой можно всего за несколько минут.\n","id":"be74d4722d302b731ac21621c91fb851","link":"https://interface31.ru/post/ubuntu-server-dopolnyaem-kontent-filtr-routera-antivirusom-dansguardian-clamav/","section":"post","tags":["ClamAV","DansGuardian","Ubuntu Server","Антивирус","Сетевые технологии"],"title":"DansGuardian. Дополняем контент-фильтр роутера антивирусом ClamAV"},{"body":"Антивирусная защита корпоративной сети одна из наиболее актуальных задач для системного администратора. Одним из основных путей проникновения вирусов и прочих вредоносных программ является Интернет, поэтому весьма логично будет проверять проходящий HTTP трафик на наличие вирусов еще на роутере, до того как потенциально опасное ПО попадет во внутреннюю сеть.\nТакой подход позволяет существенно повысить безопасность сети, особенно для небольших организаций, где у администратора зачастую нет инструментов централизованного контроля и управления антивирусной защитой на клиентских ПК.\nВ UNIX-like системах весьма популярен антивирусный сканер ClamAV, во многом благодаря своей бесплатности. Он неплохо подойдет для учебных и некоммерческих организаций, а также при ограниченном бюджете. В иных случаях стоит обратить внимание на коммерческие решения, например от \u0026quot;Лаборатории Касперского\u0026quot;, потому что эффективность ClamAV довольно низка, хотя вполне приемлема для бесплатного продукта.\nВ качестве примера будем использовать роутер из нашей тестовой лаборатории, настройку которого мы рассматривали здесь.\nКроме антивируса ClamAV мы будем использовать HAVP - HTTP Antivirus Proxy - специализированный прокси-сервер для антивирусной проверки трафика. Общая схема будет выглядеть следующим образом: клиентский запрос поступает кэширующему прокси-серверу Squid, который либо выдает результат из кэша, либо передает запрос вышестоящему прокси HAVP, тот обрабатывает запрос, проверяет трафик антивирусным сканером и передает его обратно Squid'у который отдает запрос клиенту и помещает его в кэш. Этим достигается высокое быстродействие - кэш Squid'а не проверяется антивирусом. Преимуществами HAVP, по сравнению с редиректорами (squidclamav и т.п.) является более высокая скорость работы и поддержка широкого спектра антивирусных приложений, что дает возможность сменить антивирус без кардинального перестроения всей системы.\nИтак, приступим. Установим ClamAV:\n1sudo apt-get install clamav Приложение в настройке не нуждается. По умолчанию обновление антивирусных баз происходит один раз в час.\nУстановим HAVP:\n1sudo apt-get install havp HAVP по умолчанию настроен на работу с ClamAV и практически не требует настройки. В первую очередь ограничим только локальными соединениями, это необходимо для того, чтобы клиенты не могли подключаться напрямую к HAVP, явно указав его порт. Для этого в /etc/havp/havp.config найдите и раскомментируйте следующую опцию:\n1BIND_ADDRESS 127.0.0.1 Также раскомментируйте и измените указанным образом опцию:\n1TEMPLATEPATH /etc/havp/templates/ru Это позволит выводить страницы ошибок и сообщений о найденных вирусах на русском языке. Также может потребоваться изменить опцию PORT. По умолчанию HAVP работает на порту 8080, что не всегда приемлемо, данный порт часто бывает занят другими программами (например DansGuardian). Перезапускаем HAVP:\n1sudo /etc/init.d/havp restart Теперь настроим Squid на использование вышестоящего прокси и сканирование только HTTP трафика. В конец файла /etc/squid/squid.conf добавляем следующие строки:\n1cache_peer 127.0.0.1 parent 8080 0 no-query no-digest no-netdb-exchange default 2cache_peer_access 127.0.0.1 allow all 3acl Scan_HTTP proto HTTP 4never_direct allow Scan_HTTP Перезапускаем Squid:\n1sudo /etc/init.d/squid restart Теперь с клиентского ПК заходим на эту страничку и пробуем скачать тестовый вирус (не опасен, представляет собой специальную сигнатуру для проверки антивирусного ПО). Если все настроено правильно мы должны увидеть следующую страничку: Шаблоны страничек выполнены в виде HTML файлов и находятся в /etc/havp/templates/ru, можете отредактировать их на свое усмотрение.\n","id":"831812be1964b3afb558fe50f9170453","link":"https://interface31.ru/post/ubuntu-server-nastraivaem-antivirusnyj-fil-tr-routera-clamav/","section":"post","tags":["ClamAV","Squid","Ubuntu Server","Антивирус","Сетевые технологии"],"title":"Ubuntu Server. Настраиваем антивирусный фильтр роутера (ClamAV)"},{"body":"В нашем прошлом материале мы рассмотрели настройку NAT для платформы Windows Server. Как показал читательский отклик, определенные трудности возникают при использовании коммутируемых подключений к Интернету: VPN или PPPoE. Сегодня мы рассмотрим порядок и особенности настройки маршрутизации для этих случаев.\nМы не будем заново описывать весь процесс настройки сервера, для этого следует обратиться к предыдущей статье, а остановимся только на различиях. Будем считать, что роль Службы маршрутизации и удаленного доступа уже установлена и вы приступили к настройке маршрутизации и удаленного доступа. В качестве конфигурации выбираем Преобразование сетевых адресов (NAT) и переходим к следующему экрану. Здесь выбираем Создать интерфейс для нового подключения по требованию к Интернету. Существующее подключение (если есть) следует удалить или отключить. Следующий экран имеет не совсем понятное описание, на нем требуется указать интерфейс внутренней сети которая будет иметь доступ в Интернет. На этом настройки маршрутизации заканчиваются, добираемся до конца и жмем кнопку Готово, после чего автоматически запустится мастер интерфейса вызова по требованию. Выбираем тип подключения: через модем (в нашем случае недоступен из-за отсутствия модема), VPN или PPPoE. Мы будем рассматривать подключение через VPN, как более сложное, другие типы подключений настраиваются аналогично. Для дальнейшей настройки вам понадобятся данные выданные вашим провайдером, некоторые данные возможно придется уточнить. Так тип сети VPN лучше указать явно, при автоматическом выборе система будет перебирать доступные варианты, что может сильно увеличить время подключения. Указываем имя или адрес VPN сервера. И учетные данные выданные вашим провайдером. Остальные параметры оставляем в значениях по умолчанию и заканчиваем работу мастера. После чего служба маршрутизации будет запущена и в сетевых интерфейсах появится интерфейс вызова по требованию, в нашем случае VPN. Перейдем к свойствам подключения и укажем тип подключения и политики набора номера. Постоянное подключение подразумевает автоматическую активацию VPN соединения при загрузке сервера, естественно вы можете выбрать более подходящий вам вариант. Не стоит забывать о правилах набора номера, укажем количество попыток и интервал между ними, что позволит автоматически переподключаться при разрыве связи. Не стоит указывать слишком большое количество попыток или слишком маленький интервал, так как в случае каких либо проблем на стороне провайдера или отрицательного баланса это может создать повышенную нагрузку на VPN сервер. На закладке Безопасность указываем параметры шифрования выданные вашим провайдером, либо уточните их при отсутствии данных. Приведенные на рисунке настройки отражают лишь наш частный случай. Настроив соединение переходим в раздел IPv4 - Статические маршруты, выбираем маршрут относящийся к нашему интерфейсу по требованию (в данном примере это единственный маршрут) и обязательно устанавливаем галочку Использовать этот маршрут для подключений по требованию. На этом настройка закончена. Проверяем правильность настроек NAT (что указаны необходимые интерфейсы) и перейдя обратно в интерфейсы сети подключаем наше соединение. Если все параметры указаны верно все должно работать.\nИз дополнительных настроек стоит отметить возможность устанавливать расписание для исходящих вызовов (доступно в меню по правой кнопке мыши на соединении), что позволяет указать время, в которое доступ к интернет посредством коммутируемого интерфейса будет доступен. В нашем примере мы настроили доступ с 8 до 19 часов в рабочие дни. ","id":"3d1b24aac60b59b8f330bbd5fc3552be","link":"https://interface31.ru/post/windows-server-nastrojka-nat-pri-ispolzovanii-vpn-ili-pppoe/","section":"post","tags":["NAT","PPPoE","RRAS","VPN","Windows Server","Сетевые технологии"],"title":"Windows Server. Настройка NAT при использовании VPN или PPPoE подключения"},{"body":"В отличии от Vista, c установочного диска которой можно было установить любую версию ОС, диски Windows 7 содержат только одну, приобретенную версию, что не всегда удобно. Предлагаем вашему вниманию статью нашего зарубежного коллеги, рассказывающую как преобразовать имеющийся у вас образ Windows 7 в универсальный диск.\nЗагружая ISO образы Windows 7 с MSDN или TechNet вы увидите, что существует несколько версий одного и того же диска. Эти загрузки включают в себя редакции: Домашняя расширенная, Профессиональная и Максимальная (Home Premium, Professional, Ultimate).\nФайл образа ISO-9660 содержит точную копию CD или DVD, включая содержимое и логический формат. Двоичные файлы для всех редакций Windows 7 идентичны, отличается только ключ продукта, который открывает различные возможности, присущие той или иной редакции.\nСуществует небольшой файл с именем ei.cfg в папке sources ISO образа, который блокирует образ для выбранной редакции. Если его удалить, то образ будет разблокирован и появится возможность выбрать редакцию Windows 7 для установки, как показано ниже: Как видите, теперь вы можете установить не только Домашнюю расширенную, Профессиональную и Максимальную редакции, но и Начальную (только для x86 систем, прим. перев.) или Домашнюю базовую (Starter, Home Basic). Эти редакции менее популярны и предназначены для развивающихся стран, а также для маломощных нетбуков и ноутбуков.\nВы можете отредактировать ISO и удалить ei.cfg с помощью любого ISO редактора, таких как PowerISO или UltraISO. Имейте ввиду, что вам потребуется создать новый ISO образ, что может занять некоторое время и дисковое пространство.\nЕще лучше это сделать с помощью небольшой утилиты eicfg_remover от code.kliu.org. Утилита отключает ei.cfg удалением бита в таблице UDF ISO образа, делая его как бы несуществующим. Это устраняет необходимость создавать новый образ и дает возможность вернуть все в исходное состояние. Для этого еще раз запустите eicfg remover.\nСоздав \u0026quot;универсальный\u0026quot; диск Windows 7 вы сэкономите дисковое пространство и увеличите гибкость вашего ISO образа.\nАвтор: Jeff Guillet\nПеревод: Уваров А.С.\nООО \u0026quot;Интерфейс\u0026quot;, РФ, Белгород.\n","id":"a00db544563599fd4562671e58cfe85a","link":"https://interface31.ru/post/preobrazovanie-iso-obraza-windows-7-v-universal-nyj-iso-disk/","section":"post","tags":["Windows 7"],"title":"Преобразование ISO образа Windows 7 в универсальный ISO диск"},{"body":"Плохо, если ваш терминальный сервер отказывается принимать подключения, еще хуже, если он делает это случайным образом. Подобные неисправности, не позволяющие выявить систему и провести полноценный анализ и диагностику - головная боль любого системного администратора. Сегодня мы предлагаем вашему вниманию перевод публикации нашего зарубежного коллеги посвященную данной проблеме.\nПроблема: Вы пытаетесь подключиться к серверу при помощи подключения к удаленному рабочему столу (RDP) и получаете следующую ошибку: Если вы используете клиент RDP 6 и выше сообщение об ошибке будет выглядеть так: Вы проверили, что функция удаленного рабочего стола включена и вы имеете право подключиться, но это удается не каждый раз. Что, черт возьми, происходит???\nСкорее всего у вас проблема с соединением RDP - Tcp. Это обычно происходит на серверах имеющих два или более сетевых адаптера (например ISA сервер). Для решения проблемы выполните следующие действия: Изменения вступают в силу немедленно, необходимости в перезагрузке сервера нет.\nАвтор: Jeff Guillet\nPacifica, CA, United States\nMicrosoft MVP and Senior consultant for Convergent Computing (CCO)\nMicrosoft Gold Partner in Oakland, CA.\nПеревод: Уваров А.С.\nООО \u0026quot;Интерфейс\u0026quot;, РФ, Белгород.\n","id":"0b3f8d26a84a58435c464a443929e454","link":"https://interface31.ru/post/ne-udaetsya-podklyuchit-sya-k-serveru-s-neskol-kimi-setevymi-adapterami-pri-pomoshhi-rdp/","section":"post","tags":["RDP","Windows Server","Сервер терминалов"],"title":"Не удается подключиться к серверу с несколькими сетевыми адаптерами при помощи RDP"},{"body":"Как показал читательский отклик, интерес к 1С:Предприятие 7.7 до сих пор весьма велик. Поэтому мы решили опубликовать статью посвященную наиболее часто встречающимся проблемам и способам их решения для данной платформы.\n1С Предприятие закрывается не выводя никаких сообщений об ошибке сразу после сплеш-заставки. Проблема связана с тем, что текущий пользователь не имеет права записи в каталог информационной базы. Чаще всего проблема проявляется при сетевом доступе к ИБ, переносе жесткого диска с базами на другой ПК или после переустановки системы. Решение - выставить необходимые разрешения на папку с базой.\nОшибка \u0026quot;Доступ возможен только из одного каталога ИБ\u0026quot; Данная ошибка возникает в SQL версии после того, как один из пользователей некорректно вышел из программы. Причина возникновения ошибки: при некорректном выходе не останавливается SQL процесс запущенный пользователем. Для решения данной проблемы надо принудительно завершить процесс через SQL Enterprise Manager, информация об активных процессах содержится в ветке Management - Current Activity - Process Info, также можно просто перезагрузить SQL сервер. К возникновению этой ошибки также может привести неправильное конфигурирование 1С, когда информационные базы из разных каталогов пытаются использовать одну и ту же SQL-базу.\nОшибка \u0026quot;SQL State: 42000 Native: 170 Line 1: Incorrect syntax near 'N' Довольно распространенная ошибка у начинающих, возникает на этапе создания / подключения ИБ. Причина ошибки - недопустимый символ в имени SQL базы. Обычно возникает при попытке создать БД с именем начинающимся с цифры, параметр ошибки Incorrect syntax near 'N' указывает на недопустимый символ (N). Решение: создать (переименовать) БД с корректным именем.\nОшибка \u0026quot;Microsoft Visual C++ Runtime Library: Runtime Error: abnormal program termination\u0026quot; Причина возникновения - поврежденный файл журнала регистраций 1cv7.mlg в каталоге SYSLOG. Наиболее простым решением будет удалить этот файл, однако журнал при этом будет потерян. Если вам нужен журнал (для \u0026quot;разбора полетов\u0026quot;) просто переместите этот файл в другое место. Можно попробовать исправить файл, для этого откройте его блокнотом и проверьте содержимое. Обычно к ошибке приводит неполная или пустая последняя строка, иногда бывает достаточно только пересохранить файл. Также полезно бывает проверить папку ИБ на наличие \u0026quot;забытых\u0026quot; .lck файлов и удалить их.\nЕсть еще одна похожая ошибка, когда программа аварийно завершается только при входе конкретного пользователя. Метод \u0026quot;в лоб\u0026quot; - очистить каталог пользователя, но при этом будут потеряны все его настройки. Можно попробовать более изящный способ: копируем каталог пользователя в другое место, переименовываем, возвращаем обратно и указываем его пользователю в качестве рабочего, старый каталог впоследствии можно удалить.\nПодобная методика можно использовать и в том случае, когда удаление 1cv7.mlg не помогает избавиться от ошибки, просто копируем каталог ИБ в другую папку и запускаем оттуда.\nПрограмма выполнила недопустимую операцию и будет закрыта. К этой ошибке может приводит множество факторов и не все из них связаны с 1С. Коротко остановимся на наиболее часто распространенных. Если ошибка проявляется только для одной ИБ или одного пользователя то следует воспользоваться рекомендациями для предыдущей ошибки. В других случаях к краху могут приводить поврежденные файлы и библиотеки 1С, Windows, вирусы, а также аппаратные неисправности. В этом случае можно посоветовать сделать антивирусную проверку, проверить состояние файловой системы и после устранения возможных причин переустановить платформу (можно поверх, главное - перезаписать измененные или поврежденные файлы), не будет лишним проверить целостность системных файлов Windows, это можно сделать командой: 1sfc /scannow ","id":"083a9ed13e528521bd481ce6b1933a16","link":"https://interface31.ru/post/1s-predpriyatie-77-chasto-vstrechayushhiesya-problemy-i-sposoby-ix-resheniya/","section":"post","tags":["1С Предприятие 7.7","Диагностика"],"title":"1С Предприятие 7.7 Часто встречающиеся проблемы и способы их решения"},{"body":"Специализированные программные решения давно привлекают наше внимание. С одной стороны они не имеют гибкости и богатства возможностей полноценных серверных решений, с другой позволяют реализовать заданный функционал за считанные минуты, причем справится с ними и неподготовленный пользователь. Сегодня мы рассмотрим FreeNAS, специализированный дистрибутив для создания сетевого хранилища на базе FreeBSD.\nFreeNAS доступен для скачивания на официальном сайте проекта, на момент написания статьи последней версией была 0.7.1. Основным вариантом поставки служит LiveCD, загрузившись с которого мы получим полностью работоспособную систему, это очень удобно когда нужно быстро развернуть временное сетевое хранилище, например для обеспечения мероприятия, в учебных или демонстрационных целях. Однако стоит помнить, что настройки будут действовать до первой перезагрузки, поэтому лучше установить систему на жесткий диск, тем более что это не занимает много времени.\nПеред развертыванием FreeNAS рекомендуем ознакомиться со списком совместимого оборудования, дабы оградить себя от неприятных сюрпризов, особенно если ваш ПК содержит нестандартное оборудование. Дистрибутив неприхотлив к оборудованию и вполне может вдохнуть вторую жизнь в старое железо, в случае если от хранилища не требуется высокой производительности (домашний NAS или файловый сервер для небольшого отдела).\nУстановка На этом с теорией закончим и перейдем к практике. К этому моменту у вас уже должен быть скачанный и записанный на CD образ диска, вставляем его в дисковод и загружаемся.\nПроцесс загрузки стандартный для BSD систем и через некоторое время на экране появится меню настройки FreeNAS, нас интересует установка на диск, для этого выбираем пункт 9 меню. В появившемся окне инсталлятора выбираем \u0026quot;полную\u0026quot; установку на HDD с полноценным разбиением диска, находящуюся под номером 3. Соглашаемся с предложенным разбиением диска и прочими параметрами установки, единственное значение, которое потребуется изменить, это запрос на создание раздела подкачки. По умолчанию он не создается, поэтому отвечаем на запрос положительно и указываем размер раздела, установщик предлагает размер равный размеру оперативной памяти, в большинстве случаев с этим стоит согласиться. Если же ваш ПК имеет большой обьем оперативной памяти, то имеет смысл ограничить подкачку 1-2 Гб. Сам процесс установки длится считанные секунды и по его окончанию вы снова, в лучших традициях BSD установщика попадете в начальное окно. На этот раз выбираем Exit и перезагружаем ПК (пункт 7 меню), не забыв извлечь CD из дисковода и указав загрузку с нужного HDD.\nПосле перезагрузки потребуется настроить сеть, для этого выбираем пункт 2. По умолчанию хранилищу присваивается IP адрес 192.168.1.250, также существует возможность получения адресов по DHCP, но так как это все-таки сервер IP адрес лучше задать вручную. Настройки предельно просты, ошибиться довольно трудно. Отказавшись от настройки через DHCP, указываем IP адрес, маску, шлюз и адрес DNS сервера. Поддержку IPv6 отключаем.\nДля того, чтобы проверить работоспособность сети вводим в браузере на клиентской машине IP адрес хранилища, если все работает нормально, вы увидите окно входа в веб-интерфейс. Теперь можете смело задвигать хранилище на полку в серверной (или убирать на антресоль), все остальные настройки доступны через веб-интерфейс. Для входа по умолчанию используются логин: admin и пароль: freenas. Из первоначальных настроек советуем сразу включить русский System - General и поменять пароль доступа на соседней вкладке.\nНастройка дисков Перед тем, как использовать хранилище, необходимо произвести конфигурирование жестких дисков. Задача это несложная, однако требующая определенных знаний и внимательности.\nПрежде всего разберемся с разметкой основного жесткого диска. В FreeBSD принята своя система обозначения дисков и новичку бывает довольно непросто разобраться, поэтому воспользуемся \u0026quot;шпаргалкой\u0026quot;.\nОткрываем Диагностика - Информация - Разделы и внимательно изучаем представленную информацию. Как видим в системе установлены два жестких диска da0 и da1, первый из которых является системным и уже размечен. В информации о разметке ищем номера разделов (partition) и их размеры.\nВ нашем случае раздел 1 содержит систему (125 Мб), раздел 3 (1936 Мб) отведен под подкачку, а раздел 2 содержит остальное дисковое пространство и может быть использован для хранения пользовательских данных. Теперь подключим раздел подкачки, несмотря на то, что программа установки его создает, автоматически он не монтируется. Переходим Система - Дополнительно - Файл подкачки, ставим галочку Включить, тип - устройство. В качестве устройства указываем существующий раздел подкачки, как мы установили - это третий раздел первого диска, следовательно полное наименование раздела будет da0s3, а полный путь /dev/da0s3. Раздел подкачки подключен, самое время заняться разделами для хранения пользовательских данных. Чтобы использовать разделы диска его нужно подключить. Диски - Управление нажимаем на синий \u0026quot;плюсик\u0026quot; и перед нами страница добавления нового диска.\nВыбираем физический диск (в нашем случае da0), указываем необходимые параметры (в 99% случаев можно все оставить по умолчанию). Так как наш диск уже размечен указываем в качестве файловой системы UFS with Soft Updates, затем жмем Добавить и подтверждаем изменения на следующей странице. Подключив диск нужно указать точку монтирования раздела для пользовательских данных. Диски - Точка монтирования - Добавить (синий плюс), указываем диск (da0) - тип раздела (для загрузочного диска MBR) - номер раздела (в нашем случае 2, см. \u0026quot;шпаргалку\u0026quot;) - тип файловой системы (UFS) и имя точки монтирования (придумайте сами, мы выбрали data). Для подключения второго жесткого диска проделываем те же самые шаги, только при подключении указываем в качестве файловой системы Unformated, и перед монтированием не забываем отформатировать раздел Диски - Форматирование.\nНастройка CIFS/SMB Протокол SMB служит для организации простого общего доступа к файлам в сетях Windows и то, что нужно от сетевого накопителя подавляющему большинству пользователей.\nНастроить общий доступ во FreeNAS не просто, а очень просто (Службы - CIFS/SMB). Нам нужно указать всего три обязательных параметра (или оставить их по умолчанию) на закладке Параметры и подключить одну (или несколько) из наших точек монтирования в качестве общего ресурса на закладке Общие ресурсы. Все, сетевое хранилище готово, можно размешать файлы. Опытных пользователей и системных администраторов порадуют расширенные настройки, такие как возможность авторизации по логину и паролю или включения накопителя в домен.\nНастройка FTP FreeNAS также позволяет в считанные минуты развернуть FTP сервер, например можно организовать удобный доступ к пользовательским данным посредством общих папок для локальной сети и через FTP для удаленных пользователей, достаточно будет организовать проброс FTP портов (20, 21) на роутере.\nНастройку FTP (Службы - FTP) также нельзя назвать сложной, обязательных параметров немного и они просты для понимания позволяя открыть анонимный доступ к всему накопителю (за исключением системного раздела). Настройка доступа с авторизацией пользователя требует некоторых дополнительных действий.\nВо первых следует установить флажок Только локальные пользователи, в расширенных настройках можно выбрать опцию Корневой каталог по умолчанию, если мы хотим изолировать пользователя от остальной файловой системы в его корневой папке. Мы рекомендуем выбирать эту опцию для интернет пользователей как наиболее безопасную, даже получив доступ к учетным данным пользователя злоумышленник не попадет дальше его папки. Сохраняем опции и перезапускаем сервис.\nДобавить пользователя можно в меню Доступ - Пользователи и группы вводим имя пользователя, полное имя, желаемый пароль. В качестве основной группы указываем ftp, ниже указываем желаемый домашний каталог, если он не существует, то будет создан. Можно также разрешить доступ к порталу пользователя, портал в данном случае громко сказано, пользователю доступен только простенький файловый менеджер на основе веб интерфейса. Так что особого смысла мы в этой опции не видим.\nДобавив пользователя можем пробовать подключатся к нашему FTP серверу, если вы не допустили никакой ошибки все должно работать.\nНастройка UPnP Данная служба представляет интерес для домашних пользователей, позволяя обеспечить легкий доступ к мультимедиа содержимому хранилища, в т.ч. с помощью аппаратных плееров и HTPC, удобно организовав его содержимое в виде библиотеки.\nУдобство такого способа доступа прежде всего оценят обычные пользователи, которым не придется выискивать нужный им фильм или альбом в россыпях файлов и папок, получив возможность работать со структурированной библиотекой.\nСлужбы - UPnP, как и в предыдущих случая почти все уже настроено за нас, нам остается указать каталог для хранения базы данных и добавить папки с медиафайлами. Если вы хотите получать доступ к хранилищу с игровых консолей или иного специфичного оборудования укажите соответствующий профиль. База данных формируется в момент добавления папок по их текущему содержимому и, к сожалению, веб интерфейс не имеет инструментов для ее обновления при добавлении / удалении/ перемещении файлов. Поэтому обязательно поставьте галочку Включить интерфейс управления в пункте Web-интерфейс. Он будет доступен по адресу http://адрес_накопителя:49152, несмотря на то, что интерфейс английский, разобраться в нем несложно, опций - необходимый минимум.\nХранилище с настроенным UPnP дополнительно отображается в сетевом окружении к качестве Устройства мультимедиа, двойной щелчок по которому обеспечивает запуск WMP и удобный доступ ко всему мультимедийному содержимому. Во всяком случае у нас каких либо трудностей не возникло. Настройка BitTorrent Поддержка еще одной популярной технологии делает FreeNAS отличным выбором для домашнего сетевого хранилища / медиасервера. В качестве торрент клиента используется знакомый по обзорам Ubuntu Transmission, который не может похвастаться обилием функции и настроек, представляя простую и неприхотливую \u0026quot;рабочую лошадку\u0026quot;.\nНастройка службы Службы - BitTorrentкрайне проста и не вызовет затруднения у любого пользователя торрентов, единственная тонкость - настройка доступа к веб интерфейсу торрент клиента. Несмотря на имя пользователя admin учетные данные не совпадают с учетными данными одноименного пользователя веб интерфейса FreeNAS, поэтому сразу рекомендуем задать пароль.\nДля доступа к торрент клинету наберите в браузере адрес: http://адрес_накопителя:9091, набор опций спартанский, но все необходимое присутствует. Для того, чтобы начать закачку вам нужен уже скачанный торрент файл или URL для его скачивания. Теперь можно смело выключать по ночам мощный домашний ПК, доверив закачки FreeNAS (и тем самым уменьшив счета за электроэнергию).\nМы рассмотрели далеко не все возможности FreeNAS, а только наиболее интересные и востребованные, остальные рассчитаны на более опытных пользователей и системных администраторов. Тем не менее все достаточно легко и понятно настраивается через веб интерфейс. Так что если вам нужно сетевое хранилище для дома / небольшого офиса стоит обратить свое внимание на FreeNAS\n","id":"35251d36b24c5be1db48baf7fd721aaf","link":"https://interface31.ru/post/freenas-setevoe-xranilishhe-za-5-minut/","section":"post","tags":["FreeBSD","FTP","NAS","Samba","Файловый сервер"],"title":"FreeNAS - сетевое хранилище за 5 минут"},{"body":"Несмотря на то, что правила лицензирования 1С Предприятие 8 довольно просты и каждый экземпляр программы содержит лицензионное соглашение на русском языке (которое никто не читает) вопросов на эту тему меньше не становится. Данный материал представляет переработанный конспект-памятку, которую мы готовили для себя, и опирается только на официальные источники, а также включает в себя наш практический опыт лицензирования 1С Предприятия 8.\nБазовые понятия Для понимания всех тонкостей лицензионной политики 1С следует изучить и накрепко запомнить лежащие в ее основе базовые понятия:\nОсновная поставка - платформа + прикладное решение (конфигурация) + лицензия на одно рабочее место. Это основополагающий продукт, вся лицензионная политика строится вокруг пакета основной поставки и клиентских лицензий к нему. Физически представляет собой коробочный продукт содержащий диск(и), документацию и однопользовательский ключ защиты\nКлиентская лицензия - позволяет использовать любую правомерно приобретенную конфигурацию фирмы 1С (можно несколько) на количестве рабочих мест не превышающих число купленных лицензий. Данное правило не распространяется на прикладные решения 1С:Совместимо которые могут иметь свои особенности лицензирования.\nЛицензия на сервер - позволяет использовать на сервере приложений неограниченное количество информационных баз любых правомерно приобретенных конфигураций на количестве рабочих мест не превышающем число уже имеющихся лицензий. Следует помнить, что лицензии для доступа к серверу СУБД следует приобретать отдельно.\nОбласть правомерного использования - применяется к основной поставке и ограничивается локальной сетью предприятия / отдела, разрешается удаленный доступ к сети посредством VPN, веб-интерфейса или терминального режима, во всех остальных случаях для использования 1С Предприятия вне локальной сети требуется обязательное приобретение основной поставки, даже при наличии свободных лицензий.\nСуществуют также наборы, включающие в себя несколько базовых продуктов. Самым распространенным является 1С:Бухгалтерия 8. Комплект на 5 пользователей, которая также дает право на использование на пяти рабочих местах, помимо Бухгалтерии предприятия, любых правомерно приобретенных конфигураций. Недостатком данного комплекта является его неделимость, например при необходимости расширить количество рабочих мест до 10 вы не сможете заменить один ключ на 5 лицензий одним ключом на 10, придется купить еще один ключ на 5.\nДля клиент-серверного варианта определенный интерес представляют продукты 1С:Предприятие 8 + MS SQL Server и 1С:Предприятие 8.2 + DB2 v9.x лицензии на сервер которых содержат кроме серверной лицензии 1С Предприятие лицензию на сервер СУБД и клиентскую лицензию на доступ к БД одного пользователя. Клиентские лицензии содержат кроме лицензий 1С Предприятия соответствующее количество лицензий на доступ к БД. Такое решение обходится существенно дешевле чем приобретение 1С Предприятия и СУБД по отдельности, однако содержит одно важное ограничение: СУБД может быть использована исключительнодля работы с системой 1С Предприятие. Для любого другого применения потребуется купить полную версию СУБД.\nПравила лицензирования Начнем с основного - в каждой области правомерного использования, т.е. в пределах одной физической локальной сети, для каждой применяемой конфигурации вы должны приобрести основную поставку. Лицензии не привязаны к конфигурациям и приобретаются по числу необходимых рабочих мест.\nПример 1. Необходимо организовать работу сотрудников с конфигурациями Бухгалтерия Предприятия на 6 рабочих мест и Управление Торговлей на 8 рабочих мест. Приобретается основная поставка Бухгалтерия предприятия (БП) и основная поставка Управление Торговлей (УТ) + 10 клиентских лицензий. В этом случае можно правомерно использовать каждую конфигурацию на 11 рабочих станциях.\nВторой вариант : приобретается **Бухгалтерия предприятия комплект на 5 пользователей,**Управление Торговлей + 5 клиентских лицензий. В данном случае БП можно использовать на 10, а УТ на 11 рабочих местах.\nЗдесь мы подошли к одному важному моменту. Однопользовательские ключи входящие в состав основных поставок дают право на использование на 1 рабочем месте исключительно данной конфигурации, в отличии от клиентских лицензий и комплекта на 5 пользователей, которые дают право использовать любую конфигурацию на указанном числе мест.\nПри наличии у организации нескольких отделов расположенных в пределах одной территории, но не связанных в единую локальную сеть, для каждого отдела потребуется приобрести свою основную поставку.\nОтдельного разговора заслуживают варианты удаленного подключения к сети предприятия, рассмотрим их подробнее. При VPN подключении образуется единая виртуальная сеть, т.е. клиент имеет непосредственный доступ к ресурсам локальной сети предприятия, согласно информационного письма №3895 от 31.03.2005если работа осуществляется с информационной базой расположенной в основном офисе и на удаленном рабочем месте информационные базы отсутсвуют, то в этом случае приобретать основную поставку не надо, достаточно обеспечить удаленное рабочее место клиентской лицензией. Аналогичные правила действуют и для терминального режима.\nПример 2. Филиалу организации необходимо обеспечить работу с конфигурациями БП и УТ на 3 рабочих места каждая в терминальном режиме и еще на 5 мест УТ локально, в распределённом режиме (РИБ), основной узел РИБ находится в центральном офисе. Необходимо приобрести основную поставку только для УТ и пять клиентских лицензий. Также в центральном офисе должны быть предусмотрены клиентские лицензии для трех удаленных клиентов.\nЕще один часто упускаемый из виду момент, это подключения к информационной базе или конфигурации других программ (например через COM соединение), в этом случае на каждое такое подключение необходима отдельная клиентская лицензия.\nБольше всего вопросов и ошибок возникает при лицензировании веб-расширений и веб-сервисов. Многие считают политику лицензирования в их отношении излишне строгой или излишне сложной, на самом деле все довольно просто.\nСами по себе веб-сервисы объектом отдельного лицензирования не являются, однако каждое рабочее место с которого тем или иным образом осуществляется доступ к данным находящимся в информационной базе требует отдельной клиентской лицензии.\nЕсли при помощи веб-сервисов 1С Предприятие планируется организовать доступ к данным для широкого круга лиц (например дилерский интерфейс) необходимо будет приобрести количество лицензий позволяющее осуществлять одновременный доступ к информационной базе полному количеству пользователей.\nНапример, если планируется организовать доступ к веб-сервисам для 30 дилеров необходимо приобрести 30 клиентских лицензий, независимо от количества пользователей использующих систему одновременно.\n","id":"1b6a02e08f0715dda3cb55c27b55c377","link":"https://interface31.ru/post/licenzirovanie-1s-predpriyatie-8/","section":"post","tags":["1С Предприятие 8.х","Лицензирование"],"title":"Лицензирование 1С Предприятие 8"},{"body":"При создании файлового сервера или производительной рабочей станции часто приходится сталкиваться с проблемой выбора конфигурации дисковой подсистемы. Современные материнские платы, даже бюджетного уровня, предлагают возможность создания RAID массивов всех популярных уровней, не стоит также забывать и о программной реализации RAID. Какой из вариантов будет надежнее и производительнее? Мы решили провести свое тестирование.\nКак правило в организациях малого и среднего бизнеса на роль файловых серверов, серверов уровня отдела и т.п. используется обычный ПК, собранный из обычных, бюджетных, комплектующих. Целью нашего тестирования было изучение производительности дисковой подсистемы собранной с помощью RAID контроллера чипсета и его сравнение с программными реализациями RAID массивов (средствами ОС).\nПоводом для проведения тестирования стало отсутствие в широком доступе объективных тестов бюджетных RAID, а также большое количество \u0026quot;мифов и легенд\u0026quot; по этому вопросу. Мы специально не подбирали железо, а воспользовались тем, что было под рукой. А под рукой оказались несколько обычных ПК для очередного внедрения, один из которых был использован в качестве тестового стенда.\nТестовый стенд Конфигурация ПК: Материнская плата: ASUS M4N68T-M SocketAM3 Процессор: CPU AMD ATHLON II X2 245 (ADX245O) 2.9 ГГц/ 2Мб/ 4000МГц Socket AM3 Оперативная память: 2 х Kingston ValueRAM \u0026lt;KVR1066D3N7/1G\u0026gt; DDR-III DIMM 1Gb Жесткие диски: HDD 320 Gb SATA-II 300 Western Digital Caviar Blue 7200rpm 16Mb Операционная система: Windows Server 2008 SP2 (32-bit) Файловая система: NTFS Дисковая подсистема была сконфигурирована следующим образом: на один диск была установлена операционная система, из двух или трех других собирался RAID массив.\nМетодика тестирования В качестве тестового ПО нами был выбран Intel NAS Performance Toolkit, данный пакет представляет набор тестов, позволяющий оценить производительность дисковой подсистемы на основных характерных задачах. Каждый тест выполнялся пять раз, конечный результат представляет среднее значение. За эталон мы взяли производительность одиночного жесткого диска.\nНами были протестированы массивы RAID0, RAID1 и RAID5, причем RAID5 был протестирован как в нормальном режиме, так и в аварийном, с одним изъятым диском. Почему в аварийном режиме мы протестировали только этот массив? Ответ прост: для RAID0 такого режима не существует, при отказе любого из дисков массив разрушается, а единственный оставшийся диск RAID1 ничем ни будет отличатся от одиночного диска.\nТестировались как аппаратные, так и программные реализации, первоначально мы еще замеряли среднюю загрузку ЦПУ, так как бытует мнение, что программный RAID сильно грузит процессор. Однако от включения данного замера в результаты тестов мы отказались, нагрузка на процессор оказалась приблизительно равна и составила около 37-40% для одиночного диска, RAID0, RAID1 и 40-45% для RAID5.\nФайловые операции Классическими операциями для любого накопителя являются операции чтения и записи. В Intel NASPT эти параметры оцениваются в четырех тестах: копирование на накопитель и обратно файла размером 247 Мб и 44 папок содержащих 2833 файла общим объемом 1,2 Гб. Чтение / запись файлов Если обратить внимание на результаты эталонного диска, то увидим, что скорость записи почти вдвое (на 89%) выше скорости чтения. Это связано с особенностями работы файловой системы и этот факт также следует учитывать. RAID0 (чередующийся массив), вне зависимости от способа реализации показал на 70% более высокую производительность, чем одиночный диск, в то время как скоростные параметры RAID1 (зеркало) полностью ему идентичны.\nОтдельного разговора заслуживает RAID5, скорость записи на него неприемлемо низкая, замедление составляет до 70%, в то время как скорость чтения не уступает быстрому RAID0. Возможно это связано с недостатком вычислительных ресурсов и несовершенством алгоритмов, ведь при записи тратятся дополнительные ресурсы для вычисление контрольной суммы. При отказе одного из дисков скорость записи падает, у аппаратного решения спад менее выражен (15%), чем у программного (40%). Скорость чтения при этом падает значительно и соответствует скорости одиночного диска.\nЧтение / запись папок Каждый, кто пробовал скопировать россыпь мелких файлов, знает - лучше предварительно запаковать их в архив, так будет значительно быстрее. Наши тесты только подтверждают это эмпирическое правило, чтение россыпи мелких файлов и папок почти на 60% медленнее, чтения крупного файла, скорость записи также незначительно (10%) ниже.\nRAID0 дает гораздо меньшее преимущество на операциях записи (30-40%), а на операциях чтения разницей вообще можно пренебречь. RAID1 ожидаемо не подносит нам никаких сюрпризов, идя один в один с одиночным диском.\nRAID5 на мелких файлах показывает гораздо более лучший результат, но все равно продолжает уступать одиночному диску в среднем 35%. Скорость чтения ничем не отличается от остальных конфигураций, мы склонны считать, что в данном случае сдерживающим фактором является время произвольного доступа винчестера. А вот при изъятии из массива одного диска мы получили весьма неожиданный результат, который заставил нас его несколько раз перепроверить, в том числе и на другой модели винчестеров (500 Gb Seagate/Maxtor Barracuda 7200.12/DiamondMax 23 \u0026lt;3500418AS\u0026gt; 7200rpm 16Mb). Дело в том, что скорость записи аппаратного массива резко упала (почти в три раза), а скорость записи программного RAID5 наоборот выросла, возможно это связано с алгоритмом программной реализации массива. И все же мы предпочитаем оставить данный \u0026quot;феномен\u0026quot; без комментариев.\nРабота с приложениями Следующие тесты отражают производительность дисковой подсистемы при работе с различного рода приложениями, прежде всего офисными. Первый тест (Content Creation) отражает использование диска для хранения и работы с данными, пользователь создает, открывает, сохраняет документы не проявляя особой активности. Наиболее мощный тест - Office Productivity, он моделирует активную работу с документами, поиск информации в интернете (на накопитель сбрасывается кэш браузера), в общей сложности 616 файлов в 45 каталогах объемом 572 Мб. Последний тест - работа с фотоальбомом (преимущественно просмотр), более характерен для домашнего применения, включает в себя 1,2 Гб фото (169 файлов, 11 каталогов). Работа с документами При работе с одиночными файлами RAID0 вполне предсказуемо почти в два раза опережает RAID1 и одиночный жесткий диск (тест Content Creation), однако при активной работе теряет все свои преимущества, в тесте Office Productivity RAID0, RAID1 и одиночный диск показывают одинаковые результаты.\nRAID5 в данных тестах явный аутсайдер, на одиночных файлах производительность массива крайне низка, причем аппаратная реализация показывает гораздо более лучший (но все равно крайне низкий) результат. При активной офисной работе результаты гораздо лучше, но все равно ниже чем у одиночного диска и более простых массивов.\nРабота с фотографиями В данном режиме все массивы показали примерно одинаковый результат, сравнимый с производительностью одиночного диска. Хотя RAID5 показал несколько более низкий результат, хотя в данном случае отставание вряд ли удастся заметить \u0026quot;невооруженным глазом\u0026quot;.\nМультимедиа Ну и напоследок мультимедийные тесты, которые мы разбили на две части: воспроизведение и запись. В первом случае с накопителя воспроизводится HD видео в один, два и четыре потока одновременно. Во втором производится запись и одновременная запись - воспроизведение двух файлов. Данный тест применим не только к видео, так как характеризует общие процессы линейной записи / чтения с дискового массива.\nВоспроизведение Исходя из результатов предыдущих резульатов можно сделать предположение, что RAID0 будет фаворитом данного теста. Так оно и есть, чередующийся массив показывает отличную производительность и нагрузочную способность, плавно снижая производительность при увеличении количества параллельных операций чтения. RAID1 и одиночный жесткий диск уже на втором потоке снижал скорость до своего минимума, повторяя данный результат и для 4 потоков. Кроме того, следует отметить, что программные реализации RAID показали себя в этом тесте как более производительные, особенно RAID0.\nRAID5 на одном потоке показал себя довольно неплохо, идя практически вровень с RAID0, однако при увеличении одновременных процессов чтения его производительность падает гораздо более быстро. В аварийном режиме аппаратная реализация дала относительно стабильные и относительно не зависящие от нагрузки результаты (в тоже время выше RAID1 и одиночного диска), а программный массив начал ощутимо снижать скорость при увеличении одновременных потоков.\nЗапись Для большей наглядности мы добавили на этот график скорость воспроизведения из предыдущего теста. RAID0, RAID1 и одиночный диск показывают на запись просто замечательные результаты. Безусловный лидер - RAID0, причем его софтверная версия опять заметно вырывается вперед. При одновременной записи /чтении скорость падает и примерно соответствует скорости воспроизведения.\nОперации записи не оставляют RAID5 никаких шансов в этом тесте, скорость гораздо более низкая, чем у одиночного диска, не говоря уже о RAID0 (разница где-то в 6 раз). Причем это единственный тест, где программный RAID5 показал более высокий результат, чем аппаратный. В аварийном режиме скорость падает еще более значительно до абсолютно неприемлемых значений.\nВыводы Тесты проведены, результаты разобраны, пора делать выводы. Для удобства мы объединили результаты в одну сводную диаграмму. RAID0 Данный вид дискового массива уверенно лидирует при работе с крупными файлами и мультимедиа. В большинстве случаев позволяет достичь значительного преимущества (около 70%) по сравнению с одиночным диском, однако имеет один существенный недостаток - крайне низкую отказоустойчивость. При выходе из строя одного диска разрушается весь массив. При работе с офисными приложениями и фотографиями особых преимуществ не имеет.\nГде можно применять RAID0? В первую очередь на рабочих станциях, которым по роду задач приходится работать с большими файлами, например, видеомонтаж. Если требуется отказоустойчивость можно применить RAID10 или RAID0+1 которые представляют чередующийся массив из двух зеркал или зеркало из чередующихся массивов, данные уровни RAID сочетают скоростные параметры RAID0 и надежность RAID1, из недостатков можно назвать существенные накладные расходы - для хранения используется только половина емкости дисков входящих в массив.\nRAID1 Никаких скоростных преимуществ перед одиночным диском \u0026quot;зеркало\u0026quot; не имеет, основная задача этого массива - обеспечение отказоустойчивости. Рекомендуется к применению при работе с офисными файлами и мелкими файлами, т.е. на тех задачах где разница между более скоростными массивами не столь велика. Неплохо подойдет для работы с 1С:Предприятие 7.7 в файловом режиме, который по характеру работы с диском представляет нечто среднее между Office Productivity и Dir copy from / to NAS. Для более производительных задач не рекомендуется, здесь стоит обратить внимание на RAID10 и RAID0+1.\nRAID5 Мы бы не рекомендовали применять этот вид массива в бюджетных системах, на операциях записи RAID5 значительно проигрывает даже одиночному жесткому диску. Единственная сфера, где его применение будет оправдано, это создание медиасерверов для хранения мультимедийных данных, основной режим которых - чтение. Здесь на первый план выходят такие параметры как высокая скорость чтения (на уровне RAID0) и меньшие накладные расходы на обеспечение отказоустойчивости (1/3 емкости массива), что дает неплохой выигрыш при создании хранилищ значительного объема. Однако следует помнить, что попытка записи на массив приводит к резкому снижению производительности, поэтому заливку новых данных на подобные медиасервера следует производить в часы наименьшей загруженности.\nАппаратный или программный? Результаты тестов не выявили каких либо заметных достоинств или недостатков для обоих вариантов реализации, разве что RAID5, аппаратный вариант которого показывал в ряде случаев более высокий результат. Поэтому следует исходить из других особенностей. Таких как совместимость и переносимость.\nАппаратные RAID реализуются силами южного моста чипсета (либо отдельным контроллером) и требуют поддержки со стороны ОС, либо подгрузки драйверов на стадии установки. Этот же факт делает зачастую невозможным использование ряда дисковых и системных утилит использующих собственные загрузочные диски, если их загрузчик не имеет поддержки RAID контроллера, то ПО просто не увидит вашего массива.\nВторой недостаток - привязка к конкретному производителю, если вы решитесь сменить платформу или выберете материнскую плату с другим чипсетом вам придется скопировать свои данные на внешний носитель (что само по себе бывает проблемно) и собирать массив заново. Главная неприятность заключается в том, что при неожиданном выходе материнской платы из строя вам придется искать аналогичную модель для получения доступа к своим данным.\nПрограммный RAID поддерживается на уровне OC, поэтому во многом лишен этих недостатков, массив легко собирается и легко переносится между аппаратными платформами, в случае выхода из строя оборудования доступ к данным можно легко получить на другом ПК, имеющем совместимую версию Windows (младшие редакции не поддерживают динамических дисков).\nИз недостатков следует отметить невозможность установки Windows на тома RAID0 и RAID5, по той причине, что установка Windows на динамический том возможна только тогда, когда этот том был преобразован из базового загрузочного или системного тома. Подробнее о динамических томах можно прочитать здесь.\n","id":"ff7d95f012ce0240967a4cab0b62586c","link":"https://interface31.ru/post/byudzhetnyj-raid-testiruem-proizvoditel-nost/","section":"post","tags":["RAID","Производительность","Файловый сервер"],"title":"Бюджетный RAID. Тестируем производительность"},{"body":"Актуальной проблемой использования 1С Предприятия 7.7 для SQL является практическая невозможность вписать ее в современную IT инфраструктуру. Не менее серьезные затруднения возникают и при попытке лицензирования пиратских версий. Основной камень преткновения - возможность официальной работы только с SQL Server 2000. Однако выход есть: компания Etersoft разработала транслятор запросов MS SQL в запросы PostgreSQL, что позволяет заменить дорогой и устаревший SQL Server 2000 бесплатным Postgre. Насколько удобно и надежно такое решение мы решили рассмотреть в данной статье.\nМы не будем заострять особого внимания на проблемах использования SQL версии 1С Предприятие 7.7, они и так всем известны. Это невозможность полноценной работы в среде Windows 7 (Vista) / Server 2008 и высокая стоимость SQL сервера и лицензий к нему в случае лицензирования. Однозначно рекомендовать переход на 1С Предприятие 8 не всегда представляется возможным, зачастую конфигурации довольно сильно переписаны под особенности конкретного предприятия и их адаптация к \u0026quot;восьмерке\u0026quot; требует довольно серьезных затрат, как финансовых, так и временных (надо заново доработать конфигурацию, отладить и протестировать).\nКомпромиссным решением в данной ситуации будет использование 1С Предприятия совместно с PostgreSQL, для этого мы рекомендуем использовать продукт SELTA@Etersoft. Данный продукт является коммерческим, однако его стоимость значительно ниже стоимости SQL Server от Microsoft и лицензий к нему, для оценки целесообразности перехода можно запросить полнофункциональную пробную версию на сайте компании.\nИтак, что нам понадобится? Собственно SELTA@Etersoft и файл лицензии к ней, а также PostgreSQL в редакции Etersoft. В качестве платформы мы будем использовать Windows Server 2008 R2 и проверим работу программы с использованием клиентских компьютеров под управлением Windows ХР и Windows 7.\nУстановка Для успешной установки SELTA@Etersoft в среде Windows 7 (Vista) / Server 2008 необходимо выполнить ряд подготовительных действий:\nЗапуск установки должен осуществляться от имени Администратора.\nПеред установкой необходимо сделать Администратора владельцем файла c:\\windows\\system32\\odbcbcp.dll и дать ему все права на этот файл.\nПроверить, что Администратор имеет полные права на ветку реестра HKLM/SOFTWARE/ODBC/ODBCINST.INI/SQL SERVER.\nТеперь можно начинать установку SELTA@Etersoft. В ходе установки мы столкнулись с нестандартным поведением инсталлятора: на определенном моменте процесс установки остановился. Как выяснилось, инсталлятор ожидает нашего решения в диалоговом окне, которое почему-то выводится под основным окном. Для доступа к нему переместите основное окно в другую часть экрана. С какими либо другими сложностями мы не столкнулись, по завершении установки перезагружаем ПК и приступаем к инсталляции PostgreSQL, запустив SETUP.BAT из комплекта поставки. Принимаем значения по умолчанию до появления экрана Конфигурация сервиса, здесь мы указываем пользователя (по умолчанию postgres), от имени которого будет запускаться сервис и пароль для него. Следует помнить, что в данном случае postgresэто системный пользователь (не путать с одноименным суперпользователем PostgreSQL) и к его паролю предъявляются установленные в системе требования (по умолчанию обязательно наличие заглавных и строчных букв, цифр и длина не менее 7 символов). Следующий экран содержит настройки сервера PostgreSQL. Обязательно установите галочку Поддерживать соединения с любых IP..., даже в том случае если планируется работа исключительно в терминальном режиме. Здесь снова фигурирует пользователь postgres, теперь это суперпользователь БД, от имени которого мы будем подключаться к PostgreSQL, устанавливаемый для него пароль должен отличатся от пользователя сервиса. Перед тем как нажать кнопку Далее, обязательно проверьте состояние службы \u0026quot;Вторичный вход в систему\u0026quot;, для нее должен быть установлен автоматический тип запуска, а сама она должна быть запущена. Если это не так - исправьте, иначе получите следующую ошибку: Настройка на сервере Завершив установку PostgreSQL, запускаем SELTA@Etersoft, не забыв поместить файл лицензии в каталог установки последней. Теперь создадим и инициализируем новую БД для конфигурации 1С:Утилиты - Инициализация БД. Появится окно параметров соединения с сервером PostgreSQL. Адрес сервера необходимо указать в виде IP: 127.0.0.1 или адрес сетевого интерфейса сервера (в нашем случае 192.168.85.131). Ниже указываем имя суперпользователя (postgres) и его пароль. Появившееся окно позволяет создать новую БД, либо инициализировать для работы с Selta уже существующую, хотя мы крайне не советуем этого делать (особенно если в базе есть данные). После чего в БД можно загружать данные. Мы не будем заострять на этом внимание, весь процесс был подробно описан нами в статье Настраиваем 1С Предприятие 7.7 для работы с SQL Server 2000. И для файлового и для SQL вариантов 1С процесс одинаков: выгрузка в файл - загрузка. Единственная тонкость: эту операцию следует проводить на машине с Windows XP / Server 2003. Нам так и не удалось загрузить базу под Windows 7 / Server 2008 из-за ошибки \u0026quot;порядок сортировки данных отличается от системного\u0026quot;, хотя мы предварительно загружали базу в среду новых ОС и приводили кодовую страницу в соответствие с системной, и только потом делали выгрузку.\nЗагрузив информационную базу в БД можем устанавливать версию 1С для SQL и настраивать базу для работы с PostgreSQL сервером. Здесь все делается так-же как при работе с MS SQL (во всяком случае сама 1С продолжает так \u0026quot;думать\u0026quot;). Опытным путем мы выяснили что имя SQL сервера в 1С лучше указывать в виде IP адреса, в этом случае соединение с сервером БД происходит гораздо быстрее. Мы испытали работу 1С как непосредственно на сервере в терминальном режиме, так и опубликовав 1С:Предприятие с помощью RemoteApp, в обоих случаях все работало нормально. При расположении БД на ПК с Windows 7 / Server 2008 не забываем добавлять в папку BIN (в каталоге установки 1С) сигнальный файл ordnochk.prm (скачать).\nНастройка на клиентских ПК Предварительно на каждый клиентский ПК устанавливаем SELTA@Etersoft, для Vista / 7 не забываем установить необходимые права на файлы и ветки реестра (см. выше), затем устанавливаем 1С для SQL и подключаем необходимые информационные базы. При включенном брандмауэре проверяем и, при необходимости, открываем порт 5432 для PostgreSQL. Мы одинаково успешно проверили работу 1С:Предприятие в операционных системах Windows XP и Windows 7 (32 и 64 бит). Необходимые действия при обновлении конфигурации 1C Сразу обращаем ваше внимание, все административные действия с информационной базой, в том числе обновление, следует производить в среде Windows XP / Server 2003. После каждого обновления конфигурации следует пересоздать триггеры. Это связано с особенностями работы 1С + Selta + PostgreSQL, невыполнение этого требования способно существенно замедлить работу со справочниками и журналами.\nДля работы с PostrgreSQL мы рекомендуем установить pgAdmin, удобную утилиту управления SQL сервером. Для пересоздания триггеров следует при помощи pgAdmin выполнить следующий запрос:\n1SELECT pg_create_delete_trigger_from_mask() Для этого разворачиваем дерево Базы, выбираем необходимую БД и нажимаем кнопку Выполнить пользовательские SQL запросы, в открывшееся окно вводим запрос и жмем кнопку Выполнить запрос. ","id":"20c9e1ffdd28d571b02ea3d8beb49c7a","link":"https://interface31.ru/post/1s-predpriyatie-77-postgresql-realno-da/","section":"post","tags":["1С Предприятие 7.7","PostgreSQL","SQL"],"title":"1С Предприятие 7.7 + PostgreSQL. Реально? Да!"},{"body":"Не столь давно мы рассматривали процесс установки сервера 1С Предприятия 8.1 на платформу Ubuntu Server. Все описанное в нашей статье, с некоторыми поправками, справедливо и для платформы 1С Предприятие 8.2, но существуют и свои особенности, о чем и поговорим ниже.\nМы не будем заново подробно рассматривать весь процесс установки, он полностью идентичен описанному. Отдельно рассмотрим только особенности установки сервера 1С Предприятия. Естественно не забываем, что при установке платформы 8.2 вместо 1cv81 везде указываем 1cv82.\nВыполнив установку согласно нашей инструкции при первом запуске информационной базы на платформе 8.2 получим ошибку: \u0026quot;Ошибка инициализации графической подсистемы\u0026quot;. Для устранения этой ошибки следует установить некоторые дополнительные компоненты и сконфигурировать сервер.\n1sudo apt-get install imagemagick 2sudo apt-get install libgsf-1-dev 3sudo apt-get install ttf-mscorefonts-installer 4sudo apt-get install t1utils 5sudo apt-get install libt1-5 Далее необходимо установить пакет ttf2pt1 которого нет в репозитории, его можно скачать в исходниках на сайте разработчиков или в виде пакета для Ubuntu здесь. Естественно, мы выбираем второй путь. Создадим новую папку (где user - имя вашего пользователя) и перейдем в нее:\n1sudo mkdir /home/user/ttf2pt1 2sudo cd /home/user/ttf2pt1 Теперь скачаем нужный нам пакет:\n1sudo wget http://es.archive.ubuntu.com/ubuntu/pool/universe/t/ttf2pt1/ttf2pt1_3.4.4-1.3_i386.deb И установим его:\n1sudo dpkg -i *.deb Необходимые пакеты установлены, переходим к конфигурированию сервера:\n1sudo cd /opt/1C/v8.2/i386/utils 2sudo ./config_server 3sudo reboot Проверяем, все должно работать. ","id":"d0947a0c51357a60c416c75fd0760c82","link":"https://interface31.ru/post/osobennosti-ustanovki-servera-1s-predpriyatie-82-na-ubuntu-910/","section":"post","tags":["1С Предприятие 8.х","PostgreSQL","SQL","Ubuntu Server"],"title":"Особенности установки сервера 1С Предприятие 8.2 на Ubuntu 9.10"},{"body":"MS SQL Server 2000 несмотря на свой преклонный возраст продолжает активно использоваться на просторах нашей страны, во многом \u0026quot;благодаря\u0026quot; системе 1С:Предприятие 7.7, работающему только с этой версией SQL сервера. Второй по важности, после обеспечения бесперебойного функционирования, задачей для системного администратора является организация своевременного резервного копирования данных, этот вопрос мы и рассмотрим в настоящей статье.\nMS SQL Server 2000, как и любой другой серверный продукт Microsoft имеет штатные инструменты резервного копирования, возможностей которых вполне достаточно для любых повседневных задач. Не будем повторять общие правила, которых следует придерживаться разрабатывая политику резервного копирования, но настоятельно рекомендуем ознакомится с ними.\nПерейдем непосредственно к практике. Запускаем Enterprise Manager. Разворачиваем дерево и выбираем сервер, для которого будем настраивать резервное копирование, в нашем случае это (local) (Windows NT), щелкаем правой кнопкой мыши и выбираем Cвойства (Properties), на первой закладке устанавливаем галочку Autostart SQL Server Agent. Теперь, чтобы не перезагружать сервер, запустим SQL Server Agent вручную. Для этого разворачиваем папку Management и запускаем Agent правой кнопкой мыши, выбрав Start в выпадающем меню. Переходим к пункту Database Maintenance (ниже в той же папке) и щелкнув ПКМ в свободной области справа выбираем New Maintenance Plan, запустится мастер. Сначала выберем базы, для которых будет действовать этот план (планов может быть несколько), можно выбрать все базы, только системные, только пользовательские или произвольно. Следующие несколько закладок просто пролистываем, пока не доберемся до Specify the Database Backup Plan. Здесь оставляем все по умолчанию и переходим к настройке расписания нажав кнопку Change. С расписанием особых сложностей возникнуть не должно, все предельно понятно. Мы настроили ежедневное копирование в 21:00 начиная с 31 Марта. На следующей закладке выбираем папку для хранения резервных копий (крайне желательно чтобы это был внешний или сетевой диск). Если мы создаем (планируем создавать) копии более чем одной базы можно установить галочку для автоматического создания подпапок для каждой БД, здесь же задаем срок хранения резервных копий. Мы не видим смысла хранить копии более 1 месяца, поэтому поставили срок в 4 недели. На закладке Specify the Transaction Log Backup Plan аналогичным образом настраиваем резервное копирование лога транзакций, задаем ему расписание и место хранения, если баз много советуем разнести резервное копирование баз и логов по времени. Копирование лога транзакций не является обязательным, однако его наличие позволяет откатить базу на произвольное время с момента создания предыдущей копии, что очень удобно, нужное время довольно быстро находится последовательным делением временного промежутка пополам.\nОстальные настройки оставляем по умолчанию и только на последней закладке переименовываем план во что нибудь понятное, для собственного удобства. Теперь разворачиваем SQL Server Agent и выбрав пункт Jobs убеждаемся в наличии там двух заданий. Запускаем их вручную (ПКМ - Start Job) и проверяем правильность выполнения. Все, можем спать спокойно, резервное копирование настроено.\nДля восстановления базы из резервной копии щелкаем на нужной базе правой кнопкой мыши и выбираем Все задачи - Restore Database. В открывшемся окне указываем дату и внизу выбираем необходимый архив. Если у нас есть копия лога транзакций, то доступна опция Point in time restore с помощью которой можно выбрать момент времени, на который мы хотим восстановить базу. Удостоверившись в правильности всех настроек можем нажать ОК и приступить к процессу восстановления. Однако мы не советуем восстанавливать базу данных поверх рабочей, лучше создайте для этого отдельную, чистую, базу. Это несложно и занимает минимум времени, зато отлично страхует вас на случай если что-то пойдет не так. В том случае, если SQL база не является единственным хранилищем данных и настроек программы не следует забывать о резервных копиях для этой информации. Работая с SQL версией 1С:Предприятие 7.7 не забывайте копировать папку с базой (убедившись что не копируете при этом файлы SQL базы) каждый раз после внесения изменений в конфигурацию, внешние отчеты и т.п. А лучше это делать регулярно, вместе с копированием SQL баз данных. О том как настроить резервное копирование папок и файлов читайте нашу статью: Windows Server 2003. Резервное копирование.\n","id":"ab3bb4422bda0789ba1a21d11224cc66","link":"https://interface31.ru/post/rezervnoe-kopirovanie-baz-dannyx-ms-sql-server-2000/","section":"post","tags":["MS SQL","SQL","Резервное копирование"],"title":"Резервное копирование баз данных MS SQL Server 2000"},{"body":"Файловый сервер, наряду с роутером, можно без преувеличения назвать предметом первой необходимости для любой организации. Использование ОС Linux для такого сервера выглядит весьма привлекательно, во всяком случае в небольших организациях, где не требуется тесной интеграции с AD. А сэкономленные на стоимости Windows Server и клиентских лицензий к нему деньги будут весьма кстати в наши кризисные времена.\nМы будем рассматривать настройку файлового сервера на примере нашей условной сети, в которой уже присутствует роутер, настройку которого мы рассматривали ранее, хотя никто не мешает объединить эти функции на одном сервере. Основными требованиями к файловому серверу являются производительность и надежность дисковой подсистемы, также не следует забывать о регулярном резервном копировании. Производительность сервера во многом будет зависеть от быстродействия жестких дисков, конфигурации дискового массива и файловой системы. При этом надежность и быстродействие зачастую являются противоположными величинами. Поэтому уделим этому вопросу отдельное внимание.\nИмеет смысл разнести ОС и пользовательские данные по различным винчестерам, это позволит увеличить быстродействие избежав конкуренции за головки HDD между ОС и пользовательскими запросами. Для хранения данных следует использовать жесткие диски повышенной надежности (например серии Western Digital RE3), объединенные в массив RAID1 (зеркало) или RAID10, если требуется повышенное быстродействие. Проведенные нами эксперименты показали, что для современных систем разница в быстродействии между программным RAID и RAID организованным с помощью интегрированного в обычную (не серверную!) материнскую плату контролером полностью отсутствует. В обоих случаях обработка запросов ложится на плечи ЦПУ, быстродействия которых сегодня более чем достаточно для выполнения данной задачи.\nВ качестве платформы для файлового сервера будем использовать уже знакомый нам Ubuntu Server 9.10. На этапе установки системы следует отказаться от автоматической разметки жестких дисков и выполнить данную операцию вручную. В нашем примере мы будем использовать два жестких диска, первый из них предназначен для системы и его можно разметить автоматически.\nДля этого выбираем в списке нужный нам диск и далее следуем указаниям мастера. Никаких изысков с системным диском не требуется, вполне достаточно будет создать на нем swap раздел размером 0,5 - 1 Гб, и корневой раздел на оставшемся пространстве, именно такой результат вы получите выбрав автоматическую разметку. Второй диск (дисковый массив) размечаем отдельным разделом и создаем для него собственную точку монтирования, например /data. В качестве файловой системы мы рекомендуем выбрать XFS, по результатам проведенного нами тестирования (которое мы опубликуем позднее) XFS показала наилучшие результаты, уверенно опередив конкурентов. В результате должно получится что-то аналогичное рисунку ниже. Еще раз проверяем правильность разметки, если надо вносим исправления. До этого момента все еще можно изменить. Убедившись, что все сделано правильно подтверждаем наш выбор и записываем изменения на диск. После чего продолжаем установку, отказавшись от выбора готовых ролей. Несмотря на то, что на этом этапе можно выбрать роль Samba сервера и автоматически установить все необходимые пакеты, мы не советуем этого делать. Самостоятельная установка даст вам больше знаний о назначении того или иного пакета и позволит вам осмысленно подходить к настройке и локализации неисправностей, если они вдруг возникнут. Если же вы знаете что и как делать, то зачем вам это руководство? Сразу рекомендуем установить Midnight Commander и SSH для удобства администрирования:\n1sudo apt-get install mc 2sudo apt-get install ssh Для этого у вас должна быть настроена сеть и доступ в интернет для этого сервера, в нашем случае все сетевые настройки были получены по DHCP еще на этапе установки, в противном случае следует настроить сеть вручную, как это сделать описано здесь.\nТеперь перейдем непосредственно к настройке роли файлового сервера. Для ее реализации нам потребуется Samba, этот пакет предоставляет общий доступ к файлам и принтерам клиентам сетей Microsoft.\n1sudo apt-get install samba Для настройки отредактируем файл /etc/samba/smb.conf, начнем с глобальной секции, параметры которой применяются для всех сервисов. Зададим имя рабочей группы:\n1[global] 2workgroup = WORKGROUP Для доступа к ресурсам файлового сервера без авторизации на нем зададим следующий параметр:\n1security = share Если сервер имеет несколько сетевых интерфейсов, например совмещен с роутером, то можно (и нужно) ограничить доступ к файловому серверу внутренней сетью. Допустим у нас eth0 - внешняя сеть, eth1 - внутренняя, для работы только с внутренним интерфейсом укажем:\n1interfaces = lo, eth1 2bind interfaces only = true Первоначально этих настроек достаточно, не забываем сохранить изменения. Рассмотрим настройки сервисных секций, допустим нам нужен общий ресурс 1CBases для размещения баз 1C:Предприятие. Создадим новый каталог /data/1CBases, и установим полные права на него для всех:\n1sudo mkdir /data/1CBases 2sudo chmod 777 /data/1CBases В самом конце smb.conf добавляем следующую секцию:\n1[1CBases] 2path = /data/1CBases 3guest ok = yes 4writeable = yes С параметрами секции все предельно понятно, название секции (в квадратных скобках) определяет имя общего ресурса. Первый параметр указывает путь к нему, второй и третий разрешают гостевой доступ и запись соответственно. Сохраняем файл конфигурации и перезапускаем Samba:\n1sudo /etc/init.d/samba restart После чего наш сервер должен быть виден в сетевом окружении Windows и на нем будет доступна общая папка 1СBases. Для удаленного администрирования Samba рекомендуем установить предоставляющий web-интерфейс пакет Swat:\n1sudo apt-get install swat Для того, чтобы воспользоваться всеми возможностями пакета необходимо будет авторизоваться под root'ом. Но по умолчанию в Ubuntu root не имеет пароля, поэтому зададим его (и не забудьте, что теперь для выполнения административных задач вам нужно вводить именно его) и перезагрузимся:\n1sudo passwd root 2sudo reboot Теперь в любом браузере достаточно набрать http://имя_сервера:901 и, после авторизации, получить полный доступ к настройкам Samba. Авторами Swat являются разработчики Samba, поэтому можно расценивать это решение как \u0026quot;родное\u0026quot;. Действительно Swat предоставляет полный доступ ко всем настройкам Samba и позволяет выполнять практически любые задачи без ручной правки smb.conf.\n","id":"de9b548085b8575ec781b622f7fef82d","link":"https://interface31.ru/post/sozdanie-fajlovogo-servera-na-ubuntu-910/","section":"post","tags":["Samba","Ubuntu Server","Файловый сервер"],"title":"Создание файлового сервера на Ubuntu 9.10 (Samba)"},{"body":"В определенный момент перед каждым системным администратором встает вопрос фильтрации интернет контента. Особенно актуально этот вопрос стоит в учебных заведениях. Фильтрации по URL и IP в данном случае недостаточно, при таком подходе администратор будет \u0026quot;вечным догоняющим\u0026quot;, блокируя нежелательный контент уже после его посещения пользователем. Поэтому наиболее эффективным решением будет установка контент-фильтра.\nКонтент-фильтр позволяет эффективно блокировать нежелательный контент на основе анализа содержимого веб страниц. Достоинством этого метода является высокая определения нежелательного контента на любых сайтах, возможность блокировать отдельный материал, не блокируя доступ к сайту в целом. Недостатки тоже довольно существенны. Это повышенная нагрузка на сервер, что в случае большого количества активных клиентов может потребовать значительного увеличения вычислительных возможностей сервера. Вторым недостатком можно назвать возможность ложных срабатываний контент фильтра. Так, например, могут быть заблокированы сайты медицинской тематики из-за того, что на странице встретится слово \u0026quot;секс\u0026quot;. Этот фактор делает иногда довольно затруднительным составление правил для фильтрации.\nНа наш взгляд контент-фильтр можно рекомендовать к применению там, где необходимость надежно блокировать нежелательный контент имеет больший приоритет, чем возможная недоступность нужной информации. В первую очередь это учебные заведения, где задача фильтрации контента стоит весьма остро. Для коммерческих структур на первый план выходит требование к доступности информации, поэтому контент-фильтр будет для них не самым лучшим решением. В этом случае более приемлем способ разграничения доступа по URL и IP.\nОдним из лучших решений для платформы Linux, и одним из лучших контент-фильтров вообще, является DansGuardian. Он бесплатен для некоммерческого применения, цена лицензий тоже невысока. Для установки контент-фильтра необходим настроенный роутер с прокси-сервером Squid. Мы использовали сервер, настройку которого описали в статье: Linux. Настройка роутера (NAT + DHCP + Squid), все дальнейшие рекомендации мы будем давать применительно к его настройкам и конфигурации.\nДля установки DansGuardian выполним в терминале следующую команду:\n1sudo apt-get install dansguardian Внимание! Внимание! В Ubuntu Server 12.04 и 14.04 при установке Dansguardian может возникнуть ошибка: Внимание: указанный домашний каталог /var/log/dansguardian уже существует, которую следует проигнорировать.\nТеперь откроем конфигурационный файл программы /etc/dansguardian/dansguardian.conf, первое что вы должны сделать, это закомментировать или удалить строку:\n1UNCONFIGURED - ... Следующий параметр reportinglevel задает уровень фильтрации, он может принимать значения:\n-1 - Скрытый режим, страницы не блокируются, но ведется лог, 0 - Выводится \u0026quot;Доступ заблокирован\u0026quot;, 1 - Выводится страница без показа запрещенных фраз, 2 - Полный отчет 3 - Выводится HTML шаблон страницы запрета. По умолчанию уже установлено значение:\n1reportinglevel = 3 Этот режим наиболее подходит для повседневного применения. Для тестирования правил удобно выставлять уровень фильтрации 1 или 2 (это потребует настройки на машине web-сервера). Следующий интересующий нас параметр, это язык HTML шаблона страницы запрета:\n1language = \u0026#39;russian-koi8-r\u0026#39; Теперь раскомментируем строку указывающую путь к файлу лога:\n1loglocation = \u0026#39;/var/log/dansguardian/access.log\u0026#39; Укажем сетевой интерфейс и порт на котором DansGuardian будет принимать соединения от клиентов:\n1filterip = 10.0.0.1 2filterport = 8081 Остальные параметры менять не нужно. DansGuardian будет работать на порте 8081, в свою очередь Squid должен использовать порт 3128. В конфигурационном файле Squid /etc/squid/squid.conf находим следующую строку:\n1http_port 10.0.0.1:3128 transparent Меняем ее на:\n1http_port 127.0.0.1:3128 Информация Внимание! В Squid3 вместо опции transparent используется intercept\nПерезапускаем Squid:\n1sudo /etc/init.d/squid restart Если вы собираетесь использовать уровни фильтрации 1 и 2 укажите путь к скрипту вывода страницы запрета:\n1accessdeniedaddress = \u0026#39;http://10.0.0.1/cgi-bin/dans.pl\u0026#39; Запускаем DansGuardian:\n1sudo /etc/init.d/dansguardian start Для проверки настроим браузер клиентского компьютера на использование прокси-сервера 10.0.0.1:8081 Попробуем посетить сайты с сомнительным контентом. Мы решили набрать в Яндексе поисковый запрос \u0026quot;терроризм\u0026quot; и походить по ссылкам. Фильтр пропустил статью на Википедии, но в то-же время заблокировал статью на стороннем сайте вполне корректного содержания, сыграло роль слишком частое употребление слова \u0026quot;терроризм\u0026quot; в тексте страницы. Четко блокируется доступ к \u0026quot;веселым картинкам\u0026quot;, даже по вполне невинным запросам, были заблокированы отдельные страницы форума на которых встречался нежелательный контент. Убедившись в работоспособности контент-фильтра перенастроим наш роутер так, чтобы весь HTTP трафик по умолчанию заворачивался на DansGuardian. Для этого открываем /etc/nat и следующим образом изменяем в нем последнюю строку:\n1# Заворачиваем http на прокси 2iptables -t nat -A PREROUTING -i eth1 ! -d 10.0.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 10.0.0.1:8081 Перезагружаем роутер:\n1sudo reboot Убираем прокси из настроек браузера и проверяем еще раз. Все должно работать.\nТеперь самое время перейти к тонкой настройке фильтрации. Как показали наши испытания, DansGuardian \u0026quot;из коробки\u0026quot; неплохо справляется с большей частью нежелательного контента, но есть и исключения. Существуют тематики где фильтр оказался практически неработоспособным. Например, нецензурная брань, мы без труда посетили \u0026quot;официальный сайт символического направления\u0026quot; и несколько аналогичных ресурсов, также без особого труда нашли инструкцию по изготовлению бомбы и рекомендации по выращиванию конопли. Понятно, что это настраивается, чем мы сейчас и займемся.\nВсе фильтры DansGuardian представляют собой простые текстовые файлы и расположены в /etc/dansguardian/lists, однако каждый раз править их через консоль сервера не очень удобно, гораздо удобнее было бы работать через web-интерфейс. И такая возможность есть, для этого потребуется установить Webmin, утилиту удаленного администрирования сервера, имеющую весьма широкие возможности. В репозиториях Ubuntu Webmin отсутствует, но его можно установить загрузив deb-пакет с сайта разработчиков, либо подключив их репозиторий. Второй путь кажется нам более оптимальным. Добавим в /etc/apt/sources.list строку:\n1deb http://download.webmin.com/download/repository sarge contrib Теперь установим GPG ключ, которым подписаны пакеты в репозитории Webmin, выполним следующие команды:\n1sudo -s 2cd /root 3wget http://www.webmin.com/jcameron-key.asc 4apt-key add jcameron-key.asc Обновим список пакетов и приступим к установке:\n1apt-get update 2apt-get install webmin Доступ через Webmin можно получить с любого ПК набрав в браузере следующий адрес: https://10.0.0.1:10000/ В настройках Webmin - Webmin Configuration переключаем язык интерфейса на русский и, в целях безопасности, через Управление доступом по IPразрешаем доступ только с машины администратора. Также на закладке Порт и адрес можно ограничить доступ к Webmin только через внутренний интерфейс.\nДля управления DansGuardian нам нужен соответствующий модуль для Webmin, скачать его можно с сайта разработчиков, на момент написания статьи актуальной была версия 0.7.0beta1. Установим его через закладку Модули Webmin, теперь он будет доступен в разделе Службы. В первую очередь правильно сконфигурируем модуль, настройки доступны по ссылке Настройка модуля слева вверху. Нам потребуется изменить настройку Full path to DG binary на /usr/sbin/dansguardian.\nИз всего многообразия настроек нас интересуют в основном две: настройка доступа к интернет и настройка списков. Настройка доступа производится через закладку View/Edit System-Wide Lists, она содержит черный список IP адресов и список исключений. Первый содержит перечень адресов которым запрещен веб-доступ, для второго списка фильтрация не производится. Есть смысл включить в него машины преподавателей или иных сотрудников, которым требуется неограниченный доступ.\nЗакладка View/Edit A Filter Group's Lists содержит разрешающие и запрещающие списки фраз, заголовков страниц, URL, расширений файлов и т.п. За что отвечает тот или иной список вполне понятно из названия, каждый список содержит описание и примеры записей, так что разобраться и добавить свои правила не представляет особого труда.\nНо не обошлось и без ложки дегтя, а именно с составлением списка русскоязычных фраз. Основная проблема здесь кириллические кодировки, добавленная в \u0026quot;неправильной\u0026quot; кодировке фраза просто не сработает. Методом проб и ошибок мы нашли наиболее оптимальный способ: через оснастку Прочее - Менеджер файловскачиваем на ПК любой список с русскоязычными фразами, например, ``/etc/dansguardian/lists/phraselists/pornography/weighted_russian` и открыв его любым текстовым редактором (мы рекомендуем AkelPad) добавляем необходимые фразы, строки имеют формат \u0026lt;абв\u0026gt;\u0026lt;40\u0026gt;, где цифра указывает на \u0026quot;степень нетерпимости\u0026quot;, чем она больше, тем меньшее количество раз слово должно встретиться на странице для ее блокировки. После чего закачиваем файл обратно на сервер. После любых изменений в фильтрах не забываем перезагрузить их, нажав на ссылку Reload DG Groups в правом верхнем углу.\nГотовых рекомендаций давать не будем, в каждом конкретном случае существуют свои требования к строгости фильтрации контента. В любом случае DansGuardian дает в руки администратора мощный инструмент, позволяющий гибко, с учетом различных факторов и их значимости фильтровать web-контент передаваемый пользователю.\n","id":"cf5383d4167ef0b93c079738baac22bb","link":"https://interface31.ru/post/ubuntu-server-nastraivaem-kontent-fil-tr-routera-dansguardian/","section":"post","tags":["DansGuardian","Ubuntu Server","Сетевые технологии"],"title":"DansGuardian. Настраиваем контент-фильтр роутера"},{"body":"В связи с последними событиями, а именно переводом КАМИН:Расчет заработной платы. Версия 1.2 на платное сопровождение и фактическим прекращением развития программы перед пользователями встает вопрос о переходе на более современные версии. Для тех кто остается на платформе 1С Предприятие 7.7 наиболее целесообразным будет переход на версию 2.0.\nЕсли вы являетесь обладателем лицензионной версии 1.2 то можете произвести апгрейд до версии 2.0 со скидкой. Расчет апгрейда производится следующим образом: стоимость приобретаемого продукта минус стоимость используемого продукта плюс 150 рублей, но не менее 50% от стоимости приобретаемого продукта.\nТак для перехода с версии 1.2 на версию 2.0 ПРОФ потребуется заплатить 4000 руб. (8000 - 6000 = 2000, что меньше 50% стоимости 2.0 ПРОФ), а переход на 2.0 ПРОФ Сетевая обойдется в 10500 руб (16000 - 6000 + 150).\nСледующим важным шагом после приобретения новой программы будет перенос данных из старой программы в новую, обработка для его осуществления входит в комплект поставки КАМИН:Расчет заработной платы. Версия 2.0. Перед тем как приступать к переносу следует привести в порядок информационную базу: удалить помеченные на удаление объекты, исправить ошибки учета, проверить полноту и правильность заполнения справочников и констант. Теперь, находясь в информационной базе версии 1.2 откроем обработку Vygr_11.ert, которая находится в папке ExtForms информационной базы версии 2.0. В окне обработки не забываем правильно указать период выгрузки (по умолчанию ставится текущий год) и, при необходимости, редактируем список удержаний. Если вы работаете под ограниченной учетной записью (или включен UAC) то поменяйте путь выгрузки на папку в которую вы имеете право записи. В версии 2.0 откройте Отчеты - Внешние отчеты и обработки - Служебные и выберите Перенос из редакции 1.1 Выберите файл выгрузки и загрузите данные. Теперь следует настроить таблицу соответствия ЕСН, если вы не знаете как это сделать пригласите бухгалтера, работающего с программой (этим вы сэкономите время и нервные клетки себе и ему). Имеет смысл также установить галочку Очистить базу перед конвертацией и можно приступать к переносу.\nВо время конвертации внимательно следите за сообщениями в окне сообщений. При возникновении ошибок они должны быть проанализированы, при необходимости исправлены в исходной базе (версии 1.2), после чего процедуру переноса следует повторить. Как показывает практика, намного легче, опираясь на лог ошибок, исправить их в старой базе, чем приводить в порядок новую, особенно если ошибки дадут о себе знать в разгар отчетного периода. На этом собственно и всё. Данные перенесены, можно работать далее. Мы бы посоветовали еще разместить новые базы по тем же путям, что и старые, дабы избежать перепрописывания путей на клиентских машинах. А старые базы обязательно поместите в архив.\n","id":"73dd6d5186a9a2f06562bc4a0fd6a55f","link":"https://interface31.ru/post/kaminraschet-zarabotnoj-platy-perexodim-s-versii-12-na-versiyu-20/","section":"post","tags":["1С Предприятие 7.7","Камин"],"title":"КАМИН:Расчет заработной платы. Переходим с версии 1.2 на версию 2.0"},{"body":"Действия многих системных администраторов, столкнувшихся со сложностями при установке ключей защиты для 1С Предприятия, более всего напоминают шаманские камлания с бубном. В \u0026quot;админских кругах\u0026quot;, да и в интернете, ходят мифы и легенды о \u0026quot;капризности\u0026quot; ключей защиты, о ее \u0026quot;кривой\u0026quot; реализации и т.п. В тоже время большинство нестандартных ситуаций является следствием крайне низкого уровня знаний о ключах защиты и особенностях их использования.\nКакие бывают ключи Локальные однопользовательские ключи представлены моделью HASP HL Basic (синего цвета), данный ключ имеет маркировку H4 M1 ORGL8, не имеет встроенной памяти и персонального ID, не хранит в себе никаких параметров и настроек. Поставляется продуктами имеющими лицензию на одно рабочее место. Сетевые клиентские ключи включают серию HASP HL Net (красного цвета). Имеют внутреннюю память, в которой хранится количество лицензий, и уникальный ID. Существуют разновидности на 5, 10, 20, 50 и 100 пользователей. Имеет маркировку NETXX ORGL8, где ХX - количество лицензий (например NET5 ORGL8). Существуют также ключи на 300 и 500 пользователей которые имеют маркировку NET250+ ORG8A и NET250+ ORG8B. Поставляются с продуктами имеющими лицензию на 5 рабочих мест, а также отдельно, в виде дополнительных клиентских лицензий. Ключи для сервера 1С Предприятие бывают только локальные. 32-битная версия имеет ключ защиты HASP HL Pro (фиолетового цвета), который имеет внутреннюю память и уникальный ID. Имеет маркировку ENSR8, поставляется вместе с лицензией на сервер 1С Предприятие. Для 64-битного сервера используется ключ HASP HL Max (зеленого цвета) с внутренней памятью и уникальным ID. Имеет маркировку EN8SAи поддерживает также 32-битный сервер. Т.е. имея лицензию на 64-битный сервер можно, не меняя ключа, использовать 32-битную версию, но не наоборот. Как правильно устанавливать ключи Следует запомнить одно важное правило: на один компьютер нельзя устанавливать более одного ключа одной серии. Также не рекомендуется ставить вместе локальный и сетевой ключ, это связано с особенностью защиты 1С Предприятия: находя локальный ключ программа никогда не будет искать сетевой. Локальные ключи сервера 1С Предприятия не мешают работе других ключей.\nВторое важное правило: ключ не должен находится на машине с активным терминальным ПО. Также не стоит ставить менеджер лицензий в терминале. 1С на сервере терминалов может работать только с сетевым ключом, расположенным на другом ПК.\nПри наличии двух и более сетевых ключей недостаточно разнести их по разным компьютерам. Следует выполнить настройку менеджеров лицензий. Каждый менеджер лицензий должен иметь уникальное имя, которое следует явным образом сообщить защищаемой программе. Рекомендуется выполнить аналогичную настройку и в случае использования сервера терминалов, даже при одном сетевом ключе.\nНа машине где установлен ключ находим файл nhsrv.ini в папке с менеджером лицензий. За имя сервера лицензий отвечает параметр NHS_SERVERNAMES, оно может состоять из латинских букв и цифр и содержать не более 7 символов.\n1[NHS_SERVER] 2NHS_SERVERNAMES = NAME1 После чего на клиентских машинах следует отредактировать файл nethasp.ini, явным образом указав адреса и имена менеджеров лицензий:\n1[NH_COMMON] 2NH_TCPIP = Enabled 3 4[NH_TCPIP] 5NH_SERVER_ADDR = 192.168.0.10, 192.168.0.11 6NH_SERVER_NAME = NAME1, NAME2 Какие бывают ошибки К сожалению 1С Предприятие вместо штатных сообщения HASP об ошибках выводит собственное «Не обнаружен ключ защиты программы!». Под этим сообщением может скрываться четыре вида ошибок, рассмотрим их подробнее. Не найден ключ. Пожалуй самая распространенная ошибка. Возникает при отсутствии ключа, попытке использования ключа от другого продукта. Для сетевых ключей эта ошибка может возникать при отсутствии сети, если на машине с ключом не запущен менеджер лицензий, закрыт 457 порт или ошибочно установлен несетевой ключ.\nКлюч не содержит лицензии. Возникает при установке на один ПК двух ключей одной серии, при этом виден тот из них, на котором отсутствует нужная лицензия. При работе в сети двух менеджеров лицензий с одинаковыми именами и обслуживающими ключи одной серии приложение может найти первым ключ не содержащий нужной лицензии, что также приведет к получению этой ошибки.\nОбнаружена служба терминалов. Возникает при попытке запустить приложение из терминальной сессии с локальным ключом. Может также возникнуть в случае если в nethasp.ini явно не прописан адрес менеджера лицензий.\nПревышено число лицензий. Возникает когда количество пользователей (активных сессий) превышает число указанных в ключе лицензий. При работе в сети двух менеджеров лицензий с одинаковыми именами и обслуживающими ключи одной серии приложение может найти первым ключ с которым уже установлено максимальное количество соединений, что также приведет к получению этой ошибки.\n","id":"e33c87e58d97d9be84178e111d629c69","link":"https://interface31.ru/post/klyuchi-zashhity-1s-predpriyatie-81/","section":"post","tags":["1С Предприятие 8.х","HASP","Лицензирование"],"title":"Ключи защиты 1С Предприятие 8.1. Особенности использования"},{"body":"Версия сервера 1С:Предприятие 8.1 для платформы Linux вызывает повышенный интерес у пользователей и системных администраторов, так как позволяет сэкономить значительные средства отказавшись от покупки связки Windows Server + SQL Server (или Small Business Server). Сегодня мы рассмотрим установку сервера 1С на Ubuntu Server 9.10.\nПрежде всего следует определится с платформой. Это зависит от того, какая версия сервера 1С:Предприятие 8.1 приобретена: 32-х или 64-х битная, последняя стоит почти в два раза дороже (42 000 и 72 000 руб. соответственно), так что есть над чем призадуматься.\nДополнительным поводом к раздумью является тот факт, что, в отличие от платформы Windows, на 64-х битную версию Linux нельзя поставить 32-х битную версию сервера. Поэтому придется мирится с ограничениями 32-х битной платформы или выносить PostgreSQL на отдельный 64-х битный сервер, что нивелирует экономию на ПО дополнительными затратами на \u0026quot;железо\u0026quot;, либо рассматривать вариант на платформе Windows Small Business Server.\nУчитывая, что решения на платформе Linux выбирают в первую очередь небольшие предприятия, для которых во главу угла ставится экономия средств, то в большинстве случаев возможностей 32-битной платформы будет вполне достаточно. Поэтому мы будем рассматривать установку именно 32-битного сервера, хотя все описанное нами будет работать и на 64-битной платформе.\nПодготовка Подготовительные процедуры сводятся к установке и настройке на целевом сервере Ubuntu Server 9.10 32-бит. При разметке диска стоит вынести**/var** на отдельный раздел (а еще лучше на отдельный жесткий диск) в целях повышения быстродействия хранящихся там БД. Также стоит подумать об обеспечении отказоустойчивости дисковой подсистемы (RAID1 или RAID5). Во время установки не выбираем никакого дополнительного ПО, особенно PostgreSQL, почему, будет ясно чуть позже.\nПока устанавливается ОС следует подготовить дистрибутив. Желательно использовать последнюю версию платформы (релизы серверной и клиентской части должны совпадать), ее можно получить на дисках ИТС или на сайте http://users.v8.1c.ru/. Мы использовали версию 8.1.14.72 шедшую в комплекте поставки, нас интересуют пакеты для Debian, копируем их в отдельную папку.\nВ качестве SQL сервера будет использоваться PostgreSQL. Однако версия из репозитариев для работы с 1С не подходит, проблема заключается в том, что PostgreSQL не накладывает блокировки на прочитанные таблицы в автоматическом режиме, как это делают DB2 и MSSQL. Нам нужна версия PostgreSQL пропатченная для 1С. К сожалению 1С предоставляет PostgreSQL только в rpm формате, которые можно конвертировать в deb и установить, но при этом потребуется \u0026quot;доработка напильником\u0026quot; в виде ручного прописывания настроек. Есть способ лучше, компания Ethersoft бесплатно предоставляет свои сборки PostgreSQL уже содержащие все необходимые патчи в виде установочных пакетов под большинство популярных дистрибутивов. Версию для Ubuntu берем здесь: ftp://updates.etersoft.ru/pub/Etersoft/Postgres@Etersoft/stable/Ubuntu/9.10/, скачиваем и помещаем в отдельную папку.\nПоследним этапом будет скачивание HASP драйверов ключа защиты. Надо отметить, что Linux версия сервера 1С без ключа допускает до 12 соединений включительно. Если у вас количество клиентских лицензий меньше этого числа, то драйверы ключа можно не качать и не устанавливать, а сам ключ воткнуть в сервер \u0026quot;для красоты\u0026quot;. Драйвер берем здесь: ftp://ftp.aladdin.com/pub/hasp/srm/Linux/HASP_SRM_LINUX_3.50_Run-time_Installer_script.tar.gz Подготовленные дистрибутивы записываем на CD (или помещаем на флешку).\nК этому времени на сервере должна уже установится операционная система. Настраиваем на ней сеть и доступ в интернет, а также сразу обновляем ее и устанавливаем mc:\n1sudo apt-get update 2sudo apt-get upgrade 3sudo apt-get install mc Установка PostgreSQL Запускаем mc с правами супер пользователя, теперь, если свернуть mc с помощью Ctrl+O мы получим сессию root в командной строке, где будем выполнять необходимые команды:\n1sudo mc Вставляем компакт диск с записанными дистрибутивами и монтируем его командой:\n1mount /media/cdrom При помощи mc создадим временную папку, скажем tmp (в домашней директории) и скопируем туда содержимое CD. Переходим в папку с дистрибутивом PostgreSQL, сворачиваем mc, при этом рабочей папкой окажется папка с дистрибутивом и устанавливаем пакеты командой:\n1dpkg -i *.deb PostgreSQL установлен, но перед первым запуском нужно выполнить ряд настроек. В файл /etc/sysctl.conf добавляем две строки, отвечающие за размер выделяемого БД сегмента памяти:\n1kernel.shmall=134217728 2kernel.shmmax=134217728 Применим эти настройки:\n1sysctl -p Следующим шагом установим необходимые для работы Postgres библиотеки:\n1apt-get install libxslt1.1 Проверим наличие библиотеки libreadline.so.5 в папке /lib, может получиться так, что эта библиотека будет отсутствовать, однако будет более новая версия libreadline.so.6. В таком случае надо сделать символьную ссылку:\n1ln -s /lib/libreadline.so.6 /lib/libreadline.so.5 Запускаем сервер PostgreSQL:\n1/etc/init.d/postgresql start При первом запуске Postgres должен проинициализироваться и запуститься. Для того, чтобы иметь возможность подключится к нему следует задать пароль главному пользователю СУБД - postgres, для этого в файле /var/lib/pgsql/data/pg_hba.conf находим строку\n1local all all ident sameuser и изменяем ее следующим образом:\n1local all all trust Это дает возможность подключится к СУБД любым локальным пользователем без пароля. Перезапускаем Postgres:\n1/etc/init.d/postgresql restart Теперь установим пароль:\n1psql -U postgres -d template1 -c \u0026#34;ALTER USER postgres PASSWORD \u0026#39;password\u0026#39;\u0026#34; После чего в pg_hba.conf меняем обратно trust на ident sameuser и еще раз перезапускаем Postgres.\nУстановка сервера 1С:Предприятие При помощи mc переходим в папку с установочными пакетами сервера 1С, сворачиваем mc и даем команду:\n1dpkg -i *.deb Установим необходимые для работы 1С права:\n1chown -R usr1cv81:grp1cv81 /opt/1C И добавим скрипты автоматического запуска сервера 1С при старте системы и остановки при завершении работы:\n1update-rc.d srv1cv81 defaults Теперь установим необходимые для работы 1С локали:\n1locale-gen en_US 2locale-gen ru_RU 3dpkg-reconfigure locales Убеждаемся что локаль en_US.ISO-8859-1 установлена, иначе при попытке создать ИБ в 1С получите ошибку: неверное значение для параметра \u0026quot;lc_messages\u0026quot;: \u0026quot;en_US\u0026quot;.\nУстановка ключа защиты Переходим в папку где находится архив скачанный нами с сайта Аладдина. Распаковываем его:\n1tar xzvf HASP_SRM_LINUX_3.50_Run-time_Installer_script.tar.gz Переходим в каталог HASP_SRM_LINUX_3.50_Run-time_Installer_script и запускаем скрипт установки (не забываем про точки в начале и конце):\n1./dinst . В /etc/fstab добавим строку, для автоматического монтирования USB ключа:\n1none /proc/bus/usb usbfs defaults 0 0 На этом настройка сервера закончена. Перезагружаем его:\n1reboot Настройка клиентской части и перенос информационной базы. Установим клиентскую часть платформы вместе с компонентой Средства доступа к серверу предприятия 1С. Для того, чтобы Windows машины могли обращаться по имени к Linux серверу в файл C:\\Windows\\System32\\drivers\\etc\\hosts добавим строку вида:\n110.0.0.10 1CSERVER где 10.0.0.10 IP адрес, а 1CSERVER имя нашего 1С сервера.\nОткрываем оснастку Серверы 1С Предприятия, выбираем пункт Центральные серверы 1С Предприятия 8.1и через меню Действие - Создать создаем новый сервер. Теперь создадим новую базу и перенесем туда данные из файлового варианта 1С. В левой колонке выбираем Информационные базы и через меню Действие выбираем создание новой информационной базы. Заполняем поля и ставим галочку Создать базу данных в случае ее отсутствия, при нажатии на кнопку OK произойдет создание новой БД. Таким же образом можно присоединить уже существующую и расположенную на сервере базу. Загружаем существующую информационную базу из которой мы хотим выгрузить данные на сервер в режиме конфигуратора, Администрирование - Выгрузить информационную базу. Вся информация будет выгружена в файл. Штатными средствами 1С добавим существующую базу, в качестве ее местоположения укажем Сервер 1С, в следующем окне указываем имя сервера и название созданной нами базы данных. Запускаем созданную базу в режиме конфигуратора и через Администрирование - Загрузить информационную базупроизводим загрузку данных из файла. Готово, мы перенесли существующую информационную базу на сервер. Создание новой информационной базы. Обычным путем создадим новую базу из шаблона, в качестве хранилища также указываем Сервер 1С. В открывшемся окне указываем имя сервера БД, желаемое название базы, тип (PostgreSQL) и параметры доступа к серверу базы данных. По нажатию кнопки Готово будет создана новая база по выбранному нами шаблону. ","id":"bc5e2f837d10771b1f71d81b72bf3827","link":"https://interface31.ru/post/ustanovka-servera-1s-predpriyatie-81-na-ubuntu-910/","section":"post","tags":["1С Предприятие 8.х","PostgreSQL","SQL","Ubuntu Server"],"title":"Установка сервера 1С Предприятие 8.1 на Ubuntu 9.10"},{"body":"Сегодня мы рассмотрим вопрос организации общего доступа к интернет и автоматической настройки сети на платформе Windows. Несмотря на то, что это более дорогое решение, его применение будет оправдано когда необходима тесная интеграция с сетевой инфраструктурой развернутой на базе Windows Server.\nВ качестве рабочей платформы мы использовали Windows Server 2008 R2, как наиболее актуальную на сегодняшний день платформу, однако все сказанное с небольшими поправками применимо и к предыдущим версиям Windows Server 2003 / 2008.\nПервоначально необходимо настроить сетевые интерфейсы. В нашем случае интерфейс смотрящий в сеть провайдера получает настройки по DHCP, мы переименовали его в EXT. Внутренний интерфейс (LAN) имеет статический IP адрес 10.0.0.1 и маску 255.255.255.0. Настройка NAT Простейшим способом организовать общий доступ к интернет будет включение соответствующей опции в настройках сетевого подключения. Однако при всей простоте такой способ чрезвычайно негибок и приемлем только если никаких других задач маршрутизации перед сервером ставиться не будет. Лучше пойти более сложным, на первый взгляд, путем, зато получить в свои руки весьма мощный и гибкий инструмент, позволяющий решать гораздо более сложные сетевые задачи. Начнем, как полагается, с добавления новой роли сервера: Служб политики сети и доступа. В службах ролей отмечаем Службы маршрутизации и удаленного доступа, все остальное нас сейчас не интересует. После успешной установки роли можно будет переходить к настройкам маршрутизации. В Ролях находим службу маршрутизации и через меню Действия выбираем Настроить и включить маршрутизацию и удаленный доступ. Настройка производится с помощью мастера, который пошагово проведет нас через все этапы настройки. В качестве конфигурации выбираем Преобразование сетевых адресов (NAT), любые другие возможности можно будет настроить позже вручную. Здесь нужно указать интерфейс которым наш сервер подключен к интернету, при необходимости его можно создать (например при использовании PPPoE или VPN соединения). Остальные настройки оставляем по умолчанию и после нажатия на кнопку готово произойдет запуск службы Маршрутизации и удаленного доступа, наш сервер готов обслуживать клиентов из внутренней сети. Проверить работоспособность можно указав клиентской машине IP адрес из диапазона внутренней сети и указав в качестве шлюза и DNS сервера адрес нашего сервера. Настройка DHCP Для автоматической настройки сетевых параметров на клиентских машинах, ну не бегать же от места к месту вручную прописывая IP адреса, следует добавить роль DHCP сервера.\nДля этого выбираем Добавить роль в Диспетчере сервера и отмечаем необходимую нам опцию. Теперь нам предстоит ответить на ряд несложных вопросов. В частности выбрать для каких внутренних сетей следует использовать DHCP, при необходимости можно настроить различные параметры для разных сетей. Потом последовательно указать параметры DNS и WINS серверов. Последний, при его отсутствии, можно не указывать. Если в вашей сети отсутствуют старые рабочие станции под управлением ОС отличных от Windows NT 5 и выше (2000 / XP / Vista / Seven), то необходимости в WINS сервере нет. К добавлению DHCP-области нужно отнестись с повышенной внимательностью, ошибка здесь может привести к неработоспособности всей сети. Ничего сложного здесь нет, просто внимательно вводим все необходимые параметры сети, следя, чтобы выделяемый диапазон IP не перекрывал уже выделенный для других устройств и не забываем правильно указывать маску и шлюз. Отдельно следует обратить внимание на такой параметр как срок аренды адреса. По истечении половины срока аренды клиент посылает серверу запрос на продление аренды. Если сервер недоступен, то запрос будет повторен через половину оставшегося срока. В проводных сетях, где компьютеры не перемещаются в пределах сети, можно выставлять достаточно большой срок аренды, при наличии большого количества мобильных пользователей (например публичная Wi-Fi точка в кафе) срок аренды можно ограничить несколькими часами, иначе не будет происходить своевременное освобождение арендованных адресов и в пуле может не оказаться свободных адресов.\nСледующим шагом отказываемся от поддержки IPv6 и после установки роли DHCP сервер готов к работе без каких либо дополнительных настроек. Можно проверять работу клиентских машин.\nВыданные IP адреса можно посмотреть в Арендованных адресах, относящихся к интересующей нас области. Здесь же можно настроить резервирование за определенным клиентом конкретного адреса (привязав по имени или MAC-адресу), при необходимости можно добавить или изменить параметры области. Фильтры позволяют создать разрешающие или запрещающие правила основываясь на MAC-адресах клиентов. Более полное рассмотрение всех возможностей DHCP-сервера Windows Server 2008 R2 выходит за рамки данной статьи и скорее всего мы посвятим им отдельный материал.\n","id":"531553caf89b3ea98ae735086eb3b7cc","link":"https://interface31.ru/post/windows-server-nastrojka-nat-dhcp/","section":"post","tags":["DHCP","DNS","NAT","RRAS","Windows Server","Сетевые технологии"],"title":"Windows Server. Настройка NAT + DHCP"},{"body":"Последние месяцы в российском сегменте сети ознаменовались небывалым разгулом SMS мошенников. Начиная от откровенных лохотронов типа \u0026quot;читай чужие СМС\u0026quot;, рассчитанных на не особо умную и подростковую аудиторию, попасться на которые здравомыслящему человеку в общем то затруднительно, этот вид мошенничества быстро достиг своей вершины в виде фишинговых сайтов и вредоносного ПО, которое прямо таки вынуждает человека отправить дорогостоящую СМС.\nМы бы не обращались к этому вопросу, если бы не огромное количество пострадавших, причем даже среди вполне осторожных пользователей, не посещающих сайты сомнительного содержания.\nОсновным оружием мошенников служит Trojan.Winlock (Trojan-Ransom) блокирующий работу компьютера и требующий выкуп в виде платной SMS . Пути распространения этой заразы давно вышли за рамки характерные для обычных вирусов и прочего вредоносного ПО. Данный троян устанавливается на компьютер пользователя под видом обновления флеш-плеера, кодеков для проигрывания он-лайн видео, активно продвигается в рекламных сетях, наряду с другими видами SMS мошенничества.\nПричем очень часто такие объявления маскируются под тематические и определить их бывает весьма непросто. Усугубляет ситуацию то, что подобные объявления появляются на вполне авторитетных сайтах, никоим образом не связанных с мошенниками, эксплуатируя доверие пользователя к сайту, которое переносится на рекламу на нем.\nМы понимаем, что отследить подобные объявления для рекламных систем задача трудновыполнимая, обычно они снимаются только после поступления жалоб от пользователей. С такой же задержкой они могут попадать в антивирусные базы и базы фишинговых сайтов, а за это время мошенники успеют запустить новую порцию своих поделий. Не стал исключением и наш блог. Мы и раньше замечали и старались оперативно фильтровать рекламу всяких \u0026quot;SMS - детекторов\u0026quot; и т.п., но то что мы увидели сегодня послужило поводом для серьезного беспокойства. В связи с этим мы советуем всем нашим читателям в обязательном порядке использовать антивирусное ПО, проверив и включив в нем функции веб-антивируса и антифишинга, а также задействовать, при наличии, антивирусный фильтр браузера.\nТакже советуем крайне осторожно относиться к ссылкам на сторонние сайты, особенно рекламирующие анитвирусы, инструменты для защиты ПК и т.п. Не переходите по ссылкам на сайты которые вам не известны, в крайнем случае предварительно проверьте сайт в поисковике.\nВ любом случае, обнаружив подобную ссылку не поленитесь, поставьте в известность администрацию сайта (у нас вы можете это сделать в комментариях к данной заметке), вместе мы быстрее справимся с этой заразой.\n","id":"8945f8e130ba8d95670a93d682297d2d","link":"https://interface31.ru/post/ostorozhno-sms-moshenniki-v-seti/","section":"post","tags":["Антивирус"],"title":"Осторожно! SMS мошенники в сети"},{"body":"Организация резервного копирования, одна из первых по важности задач, стоящих перед системным администратором. Однако многие вспоминают о нем только тогда, когда эти резервные копии внезапно понадобятся. В данной статье мы рассмотрим организацию резервного копирования для популярной серверной платформы Windows Server 2003.\nПеред тем, как приступить к практической части нашей статьи, необходимо усвоить немного теории. А именно базовые принципы, которые должны лежать в основе вашей политики резервного копирования. Многие начинающие админы путают резервное копирование с обеспечением отказоустойчивости, думая что наличие \u0026quot;зеркала\u0026quot; или RAID5 избавляет их от необходимости делать резервные копии. Но это не так. Отказоустойчивость предупреждает потерю данных в случае аппаратных сбоев, никак при этом не защищая от программных и человеческого фактора. Сбой в программе способен разрушить БД сразу на всех дисках RAID, то же самое произойдет и с ошибочно удаленными данными.\nКак видим, резервное копирование никоим образом не заменяет и не дополняет необходимость обеспечения отказоустойчивости, а является независимой операцией, преследующей совершенно иные цели. А именно обеспечить сохранность данных от логических ошибок и человеческого фактора.\nОтветом на следующий вопрос должен быть перечень данных подлежащих резервному копированию, частота создания резервных копий и период в течении которого они должны хранится. Для одних данных будет достаточно еженедельного копирования, для других потребуется ежедневное. Для оперативно меняющихся и активно используемых данных вполне хватает одной резервной копии, для других, когда ошибка может быть замечена по прошествии более длительного периода времени желательно иметь резервные копии за период превышающий время обнаружения ошибки. При этом следует соблюдать \u0026quot;золотую середину\u0026quot;, помня что резервные копии \u0026quot;продукт скоропортящийся\u0026quot; и устанавливать разумные сроки. Например, для активно использующейся базы 1С резервная копия месячной давности уже не представляет особой практической ценности, а только занимает место на диске.\nНу и последний вопрос, где хранить резервные копии. На наш взгляд наиболее оптимально использовать внешний жесткий диск подключенный через USB или eSATA. И безусловно не стоит хранить резервные копии на одном логическом диске с основными данными, хотя ниже, в практическом примере мы поступим именно так. Но одно дело пример, для ознакомления с технологией, а совсем другое ее применение в производственных целях. Будьте благоразумны, не подвергайте себя неоправданным рискам.\nНа этом закончим с теорией и перейдем к практике. Для решения поставленной задачи мы будем использовать штатные инструменты предоставляемые нам операционной системой. Это позволит избежать необоснованных расходов на дополнительное ПО и повысит надежность системы в целом (мы считаем что каждое лишнее приложение на сервере вносит дополнительный риск сбоев). Да и зачем изобретать велосипед, когда все уже придумано до нас. Пуск - Стандартные - Служебные - Архивация данных. В открывшемся в режиме мастера приложении последовательно выбираем: Архивация файлов и параметров, затем Предоставить возможность выбора объектов для архивации. В следующем окне выбираем файлы и папки для которых мы хотим создать резервные копии. Не стоит пытаться объять необъятное и одним махом архивировать все данные. Более разумно создать отдельные задания для каждого типа данных, это позволит более гибко управлять как параметрами архивации, так и восстановления, а также избежать таких ситуаций, когда вместе с нужными документами случайно \u0026quot;восстановили\u0026quot; ненужные, уничтожив результат труда за последний день / несколько дней / неделю. Далее предстоит указать месторасположение и наименование архива, после чего с основными настройками будет закончено. Но не спешите жать кнопку Готово. Самое время перейти к настройке дополнительных параметров. На этом этапе мы можем выбрать тип архивации в зависимости от типа данных и наших требований. Так как в нашем примере архивируются базы 1С, то мы выбрали Обычный способ, так как при активной работе затрагиваются практически все файлы БД. Для папки с офисными документами более подойдет Добавочный способ, позволяющий архивировать только вновь измененные или созданные файлы. Следующим шагом следует указать: добавить ли данный архив к существующим или перезаписать его. В нашем случае была выбрана опция перезаписать, в активно используемой 1С базе ошибки как правило выявляются сразу и необходимости иметь множество резервных копий как правило нет. Наконец мы добрались до логического завершения, настройки расписания для резервного копирования. Мастер архивации предложит нам выполнить архивацию немедленно или создать задание для планировщика. Естественно, что нас интересует последний вариант. Мы настроили ежедневное выполнение задания в 20:00, когда в офисе гарантированно никого не будет. Затем следует перейти в Панель управления - Назначенные задания и щелкнув правой кнопкой мыши выбрать Выполнить. Если все сделано правильно мы увидим окно как на рисунке выше и в папке для резервных копий должен появится файл архива.\nВосстановление данных можно выполнить двойным щелчком по файлу архива, либо запустив Архивацию данных и выбрав вручную необходимый файл. Мастер последовательно предложит нам выбрать файлы для восстановления (не обязательно восстанавливать весь архив целиком), место для восстановления (есть возможность восстановить файлы по их изначальному расположению либо в отдельную папку) и, в дополнительных опциях, настройки перезаписи уже существующих файлов. Для баз 1С, во избежание коллизий и разрушения БД, следует выбирать полную перезапись, для архива документов, в случае удаления отдельных файлов можно восстановить только их, не затрагивая существующие.\nМы рассмотрели самый простой способ, организацию ежедневного копирования с перезаписью архива, попробуем усложнить условия. Допустим нам требуется ежедневное копирование с сохранением архивов за неделю. Ничего сложного в этом нет, все решается на уровне планировщика. Для начала откроем и изменим существующее задание. В строке Выполнить изменим имя создаваемого файла архива, добавив сокращенное наименование дня недели (МО - Monday - Понедельник и т.д.). На закладке Расписание назначим заданию еженедельное исполнение по Понедельникам в 20:00 с перезаписью существующего архива. Теперь скопируем это задание (перетянуть на свободное место ПКМ) и изменим его для Вторника, аналогично поступим для Среды и т.д. В итоге получим пять заданий, выполняющихся каждое в свой день недели с понедельника по пятницу. Последовательно запустим их и убедимся в корректности работы. В результате мы должны получить пять архивов на каждый день недели. Таким же способом можно задать любое расписание для архивации данных, либо скомбинировать любые варианты. Например в добавок к ежедневному архиву создавать еженедельный по пятницам и т.п.\nВ любом случае не забывайте, что грамотно настроенное резервное копирование залог сохранности и бесперебойного доступа к вашим данным.\n","id":"bfb87cad28c22c386e87b62814380a34","link":"https://interface31.ru/post/windows-server-2003-rezervnoe-kopirovanie/","section":"post","tags":["Windows Server","Резервное копирование"],"title":"Windows Server 2003. Резервное копирование"},{"body":"Не так давно мы рассказывали о настройке сервера на базе Ubuntu 9.04. С тех пор прошло не так уж много времени, но за это время успел увидеть свет дистрибутив 9.10 и было бы неплохо обновить сервер до последней версии. Также мы расскажем как настроить автоматическое обновление - залог стабильности и безопасности вашего сервера.\nОбновление дистрибутива Если вы не используете LTS версии Ubuntu Server, то потребность в переходе на новую версию будет возникать раз в полгода. Но стоит ли обновляться так часто? Наше мнение - стоит. Несмотря на то, что любая версия Ubuntu имеет 18 месячную поддержку (LTS версии 3 и 5 лет), это будут обновления безопасности, в то время как новая версия дистрибутива содержит последние версии используемого ПО. Мы советуем рассматривать новые выпуски Ubuntu Server как Service Pack Windows (ведь ни у кого не вызывает сомнений ставить их или нет), которые тоже содержат как обновления безопасности так и новые версии ПО.\nИтак, мы решили обновить свой сервер под управлением Ubuntu Server 9.04 до версии 9.10. Сделать это несложно, все что вам нужно это аккуратность, работающий интернет канал и немного свободного времени. Не забудьте предупредить клиентов, которых обслуживает данный сервер о временных перебоях в обслуживании (а лучше всего это сделать в перерыв или во внерабочее время).\nСначала нужно установить update-manager-core (если он ещё не установлен):\n1 sudo apt-get install update-manager-core Теперь выполним обновление дистрибутива:\n1sudo do-release-upgrade Система проверит наличие нового релиза, обновит информацию о пакетах и репозиториях, и выдаст вам заключение, где будет указан размер архивов и предполагаемое время загрузки для вашего канала. Вы можете подтвердить или отказаться от обновления, например если скорость вашего интернета не позволяет скачать такой объем трафика в течении перерыва.\n1error_directory /usr/share/squid/errors/Russian-koi8-r на:\n1error_directory /usr/share/squid/errors/ru В любом случае, если что-то перестало работать, попробуйте вручную перезапустить нужные службы, скорее всего вы получите сообщение об ошибке или перезагрузите сервер и посмотрите логи (/var/log/syslog).\nАвтоматическая установка обновлений Следующим важным шагом будет настройка автоматической установки обновлений безопасности. По умолчанию это действие производится вручную администратором, однако гораздо лучше если сервер будет устанавливать обновления сам, скажем раз в неделю. Для этих целей будем использовать планировщик cron. Сначала создадим файл скрипта в директории /etc/cron.weekly, что обеспечит ему еженедельное исполнение:\n1sudo touch /etc/cron.weekly/updates Откроем его в редакторе Midnight Commander (F4) и внесем следующий текст:\n1echo \u0026#34;**************\u0026#34; \u0026gt;\u0026gt; /var/log/updates 2date \u0026gt;\u0026gt; /var/log/updates 3aptitude update \u0026gt;\u0026gt; /var/log/updates 4aptitude safe-upgrade -o Aptitude::Delete-Unused=false --assume-yes --target-release `lsb_release -cs`-security \u0026gt;\u0026gt; /var/log/updates 5echo \u0026#34;Security updates (if any) installed\u0026#34; Сохраним (F2) и, выйдя из mc, добавим ему права на исполнение:\n1sudo chmod +x /etc/cron.weekly/updates Теперь наш скрипт будет исполняться еженедельно записывая результат своей работы в /var/log/updates, чтобы избежать излишнего разрастания лог-файла необходимо обеспечить его ротацию. Для этого воспользуемся штатной утилитой logrotate. Создадим файл:\n1sudo touch /etc/logrotate.d/updates И внесем в него следующий текст:\n1/var/log/updates { 2 rotate 2 3 weekly 4 size 250k 5 compress 6 notifempty 7} При указанных настройках файл будет заменяться новым каждую неделю (weekly) или по превышении им размера 250 кБ (size 250k), при этом будут сохранятся два предыдущих файла (rotate 2) в сжатом виде (compress), при пустом логе ротация не происходит (notifempty).\nПри необходимости можно легко изменить период установки обновлений. Достаточно переместить скрипт updates в соответствующую директорию. Например его перемещение из /etc/cron.weekly в /etc/cron.daily позволит устанавливать обновления ежедневно.\n","id":"383bc8e9e4254e0c339f0e02d5c4ca49","link":"https://interface31.ru/post/ubuntu-server-nastraivaem-obnovlenie/","section":"post","tags":["Ubuntu Server"],"title":"Ubuntu Server. Настраиваем обновление"},{"body":"Скажем честно, наше прошлое знакомство с Fedora прошло не слишком удачно. Вопреки ожиданиям мы получили откровенно сырой дистрибутив, который разработчики буквально переписывали на ходу. О какой либо серьезной работе и речи идти не могло. В ноябре увидел свет двенадцатый выпуск дистрибутива и мы решили посмотреть что изменилось в лучшую сторону и изменилось ли вообще.\nРекомендуем к прочтению Обзор популярных Linux дистрибутивов. Fedora 11 Мы не стали обновлять уже установленную Fedora 11, а предпочли чистую установку, дабы максимально оградить себя от старых ошибок. Заострять внимание на этом процессе мы не будем, отличия от предыдущей версии минимальны, установка прошла привычно и ровно.\nСобственно ничего нового мы и не увидели, тот же самый рабочий стол, папки также продолжают открываться каждая в новом окне. Похоже у разработчиков свои понятия об удобстве. Это несложно поправить, главное знать где: Правка - Параметры - Поведение - Всегда открывать папки в обозревателе, на наш взгляд эту опцию следовало назвать как нибудь поочевиднее, неподготовленный пользователь вряд ли догадается о ее истинном предназначении. Не обошлось и без недочетов, локальную сеть после перезагрузки приходилось подключать вручную, почему то оказалась выключена опция \u0026quot;Подключать автоматически\u0026quot;. Немного поработав мы не нашли существенных отличий от предыдущей версии, хотя система стала намного стабильней и отзывчивей. Объема памяти в 512 Мб оказалось вполне достаточно для комфортной работы.\nОфисные возможности системы представлены пакетом Оpen Office 3, обеспечена поддержка форматов Zip и PDF \u0026quot;из коробки\u0026quot;. Для работы с графикой и мультимедиа предназначен стандартный набор среды Gnome: GIMP, F-Spot, gThumb, Totem. Поддержка Rar архивов и мультимедиа кодеков в официальных репозитариях отсутствует. Хотя при попытке открыть мультимедиа файл Totem честно пытается провести поиск нужных пакетов. Для решения данной проблемы необходимо подключить сторонние репозитарии RPM Fusion:\nСкачать RPM Fusion free for Fedora RPM Fusion nonfree for Fedora После чего Totem сам нашел и предложил установить недостающие кодеки. Оттуда же мы установили пакет unrar для поддержки Rar архивов. Менеждер обновлений сообщил нам, что установки ждут 388 обновлений объемом 345 Мб, большинство из них носят статус исправлений. В принципе это не много, в отличии от Fedora 11, где разработчики за пару месяцев переписали треть дистрибутива.\nОбщие впечатления от новой версии дистрибутива достаточно неплохие. Разработчики проделали большую работу над ошибками, выпустив достаточно стабильный и законченный продукт. И все же мы не станем его рекомендовать, разве что тем, кто любит изучать внутренне устройство операционных систем.\n","id":"34e63dca5c456e2f669d38df4420b3b3","link":"https://interface31.ru/post/fedora-12-rabota-nad-oshibkami/","section":"post","tags":["Fedora","Linux"],"title":"Fedora 12. Работа над ошибками"},{"body":"Как показал читательский отклик на наш предыдущий материал, посвященный особенностям работы 1С Предприятия 7.7 в среде Windows 7 (Vista), мы подняли актуальную проблему. В тоже время трудности, с которыми приходится сталкиваться нашим читателям, начинаются еще на стадии установки. Поэтому мы решили заполнить данный пробел .\nНебольшое лирическое отступление или \u0026quot;а оно вам надо?\u0026quot; Перед тем, как приступить к рассмотрению технических проблем, мы хотели бы попробовать разобраться в вопросе: \u0026quot;а стоит ли овчинка выделки?\u0026quot;. Вопрос далеко не праздный. Последний релиз 1С Предприятие 7.7 (7.70.027) вышел в конце 2006 года, фактически развитие платформы закончилось двумя годами ранее с выходом 25-го релиза.\nПоэтому надо четко осознавать, что сегодня мы пытаемся запустить в среде современной ОС приложение пятилетней давности, к тому же находящееся в конце своего жизненного цикла, тот же 25-й релиз даже на момент своего выхода уже во многом был морально устаревшим. Следовательно вы все делаете на свой страх и риск, все возможные проблемы, включая простой предприятия, потерю данных и т.п. будут исключительно вашими, ни 1С, ни Microsoft здесь ответственности не несут и нести не могут.\nЕсли ваше предприятие всерьез планирует переход на новую платформу, особенно если планируется использование 64 битных систем, то мы советуем рассмотреть вариант перехода на 1С Предприятие 8.1, тем более 1С предлагает неплохие скидки при апгрейде. Мы склонны рассматривать использование 1С Предприятие 7.7 в среде Windows 7 исключительно как временное решение, используемое в пределах переходного периода (внедрение 1С 8.1, обучение персонала и т.п.) и категорически не рекомендуем в качестве типового решения.\nПлатформа 32 бита Никаких особых проблем с установкой релиза 7.70.027 на 32 битные версии Windows 7 мы не встретили, вне зависимости от версии дистрибутива и состава компонент. Мы принципиально не рассматривали возможные проблемы с установкой предыдущих релизов, если приходится использовать устаревшее ПО, то надо использовать наиболее свежую версию. Если у вас нет 27-го релиза, то его можно получить у любого партнера фирмы 1С.\nПервая проблема поджидает нас при запуске, программа сообщает об отсутствующем ключе защиты. Это нормально, драйвер HASP идущий в комплекте 1С несовместим с новыми ОС. Необходимо скачать свежую версию HASP с сайта производителя, для сетевой версии потребуется также последняя версия NetHASP License Manager.\nАналогичным образом устанавливаются конфигурации, с последними релизами проблем у нас не возникло. Если же установить релиз или конфигурацию по какой либо причине не удается, но такая необходимость присутствует, можно воспользоваться другим способом, для 64 битных систем это единственный способ \u0026quot;установить\u0026quot; 1С Предприятие. Об этом ниже.\nПлатформа 64 бита Непосредственно установить 1С 7.7 на 64 битную систему невозможно, виной всему 16-битный инсталлятор, который применяется до сих пор, однако само приложение является 32 битным, что позволяет ему успешно работать в 64 битных версиях Windows. 1С Предприятие 7.7 не хранит в реестре никаких глобальных настроек, все записи находятся в ветке HKEY_CURRENT_USER\\Software\\1C относящейся к текущему пользователю (а также в ветках HKEY_USERS для многопользовательских систем) и содержат список баз, пути к ним и иные пользовательские настройки. В случае отсутствия эти ключи создаются автоматически при первом запуске программы. Это позволяет просто перенести папку с установленной программой с одной машины на другую полностью сохранив функциональность приложения.\nДля \u0026quot;установки\u0026quot; 1С 7.7 на 64 битную ОС нам понадобится машина с 32 битной системой (лучше всего Windows XP) на которой производится инсталляция приложения и необходимых конфигураций к нему. После чего папка с программой (по умолчанию C:\\Program Files\\1Cv77) копируется в соответствующее место в 64 битной системе (по умолчанию C:\\Program Files (x86)\\1Cv77). Затем устанавливаются драйвера HASP для 64 битных систем и, при необходимости, NetHASP License Manager. Остается только вывести ярлыки и работать.\nНо не все так радужно. В силу вышеперечисленных особенностей инсталлятора вы не сможете полноценно сопровождать 1С, релизы обновлений и регламентированные отчеты вам придется предварительно устанавливать в 32 битной среде. В сетевом варианте следует избегать использования 64 битных рабочих станций для сотрудников занимающихся сопровождением или программированием для 1С.\nВерсия для SQL 1C Предприятие 7.7 для SQL конечно же можно установить в среде Windows 7 (Vista), но смысл такого действа стремится к нулю. Windows 7 не поддерживает работу с SQL Server 2000, 1С Предприятие 7.7 не поддерживает более поздние выпуски SQL Server.\nСуществуют два неофициальных способа \u0026quot;скрестить ужа с ежом\u0026quot;: пропатчить 1С для работы с SQL Server 2005 или заменить в Windows 7 библиотеки ODBC драйвера, отвечающего за работу с SQL, на их аналоги из Windows XP. Мы категорически не рекомендуем пробовать ни один из них. Первый способ сомнителен с точки зрения лицензионной чистоты, второй ставит под угрозу стабильность работы системы в целом, в первую очередь иных приложений использующих ODBC. Кроме того существует вероятность разрушения или искажения информации в базе данных вследствие некорректного запроса или иной нестандартной ситуации, либо возникновение простоя (что ничем ни лучше) по причине сбоя в \u0026quot;хитрой\u0026quot; связке.\nПредвидя возражения, что мол кто-то там пропатчил и уже месяц (квартал, год) работает, хотим еще раз напомнить, что подобными действиями вы принимаете на себя всю возможную ответственность за любые сбои, простои, потери данных и прочие возможные внештатные ситуации. Никто не будет разбираться, что именно послужило причиной сбоя. Любой квалифицированный специалист непременно укажет на использование несовместимых продуктов и умоет руки или будет работать, но уже по совсем иному прайсу (при этом не давая абсолютно никаких гарантий). Вы готовы брать на себя такую ответственность? Если да, то не говорите потом, что вас не предупреждали.\n","id":"6edf854b264c815afbc765360a61819c","link":"https://interface31.ru/post/1s-predprijatie-77-osobennosti-ustanovki-v-srede-windows-7-vista/","section":"post","tags":["1С Предприятие 7.7","Windows 7"],"title":"1С Предприятие 7.7 Особенности установки в среде Windows 7 (Vista)"},{"body":"29 октября, неделей позже релиза Windows7 состоялся очередной релиз Ubuntu 9.10, получивший имя Karmic Koala. Поскольку от тестирования предыдущей версии у нас остались самые благоприятные впечатления мы решили, как только появится свободное время, познакомится с поближе с новой версией системы.\nУчитывая полугодовой цикл разработки Ubuntu, следует признать, что переустанавливать систему раз в полгода как-то неинтересно, поэтому наиболее правильным решением будет ее обновить. Тем более что различия между очередными версиями Ubuntu куда менее глобальные, чем между очередными версиями Windows, и исходя из этих позиций тянут более на сервис-пак, чем на новую систему.\nИсходя из вышеизложенного мы загрузили т.н. Alternate CD, который позволяет как обновить систему, так и выполнить чистую установку в текстовом режиме. После загрузки записанного диска в дисковод Ubuntu 9.04 самостоятельно определила наличие диска с новой версией системы и предложила запустить обновление. После чего нам было предложено получить последние версии пакетов через интернет. Следует учитывать, что CD содержит обновление только базовой системы, все языковые пакеты, как и при чистой установке, докачиваются через интернет. Поэтому, если вы не хотите после обновления докачивать языковые пакеты вручную, мы бы советовали согласится с этим предложением. Если мы ответим положительно система загрузит новые списки пакетов, сообщит о более не поддерживающихся версиях и выведет всю необходимую информацию, ознакомившись с которой мы можем либо приступить к обновлению, либо отказаться, если вдруг что-то нас не устроит. По окончании загрузки новых пакетов, которая при нашем мегабитном канале заняла около 40 минут, начнется установка обновлений, мы можем щелкнуть на Терминал и самостоятельно контролировать ход процесса, либо оставить все как есть и отправиться варить кофе. В ходе обновления система может спросить о замене некоторых конфигурационных файлов, нам будет предоставлена возможность ознакомится с вносимыми изменениями и выбрать один из вариантов: оставить старый или заменить новым. Вопреки нашим ожиданиям обновление прошло достаточно быстро. Весь процесс, включая загрузку обновлений занял немногим больше часа. И вот финальный аккорд - предложение перезагрузить систему. Согласно известной пословице - встречают по одежке. С этим у новой Ubuntu все в порядке. Нас встречает новый экран загрузки в коричневых тонах, к этому моменту драйвера видеокарты уже загружены и картинка выводится с высоким разрешением. Далее перед нами предстает обновленный рабочий стол, в первую очередь обращают внимание новые значки. Выполненные в строгом стиле и не имеющие ничего общего с аляповатостью значков предыдущих версий Gnome они производят исключительно приятное впечатление. На высоте и новая тема оформления: темно-коричневый цвет заголовков окон и несколько более светлый тон выделения смотрятся свежо и достойно.\nДизайнеры действительно поработали на славу, строгий, завершенный стиль, аккуратный дизайн окон разительно отличаются от традиционных для Linux незавершенности, аляповатости и ощущения какой-то недоделанности графического оформления. Наша оценка - пять с плюсом! Теперь самое время проверить работу системы. Как мы и ожидали, все работает как положено. Изменения вошедшие в новую версию сложно назвать революционными, но это и к лучшему, нам остается только перечислить новые версии программ: Gnome 2.28, Firefox 3.5.5, OpenOffice 3.1. Из интересных нововведений можно отметить он-лайн сервис Ubuntu One, позволяющий хранить на удаленном сервере файлы, заметки, контакты и обеспечить совместный доступ к ним.\nДля того, чтобы воспользоваться этим сервисом достаточно иметь аккаунт на официальном сайте Ubuntu, если вы хоть раз заказывали диски по почте он у вас уже есть. Доступ к Ubuntu One может осуществляться двумя способами: через браузер, что позволяет получать доступ из любого места и из под любой ОС и через приложения Ubuntu. Заметки синхронизируются с Tomboy, контакты с Evolution, а доступ к файлам на серверах Ubuntu One возможен прямо из файлового менеджера Nautilus. Кроме того можно открыть общий доступ к файлам для других пользователей сервиса, для этого нужно будет явно указать аккаунты пользователей которым вы хотите дать доступ. Удобно? Да. По умолчанию предоставляется 2 Гб дискового пространства, что на наш взгляд более чем достаточно, в противном случае можно приобрести дополнительно 50 Гб всего за 10 USD в месяц. Единственное, чего на наш взгляд не хватает в этом сервисе - это синхронизации закладок Firefox, но не будем забывать: Ubuntu One пока находится в статусе Beta, так что - поживем увидим.\nТакже стоит отметить Центр приложений Ubuntu, пришедший на смену оснастке Установка и удаление и обеспечивающий более наглядный и удобный подход к управлению программным обеспечением. Новички смогут теперь быстрее и проще установить необходимое ПО. Подводя итоги хочется отметить, что разработчики в очередной раз выпустили качественный продукт. Работать с Ubuntu легко и приятно, освоение системы не вызывает существенных затруднений. С обновлением справится даже неподготовленный пользователь. Поэтому мы настоятельно советуем всем, кто еще не обновился до Ubuntu 9.10 сделать это, а тем кто только подумывает о знакомстве с Linux начать его именно с этого дистрибутива.\n","id":"d0869e14445bb54728b9cf006edfb486","link":"https://interface31.ru/post/obzor-ubuntu-910-chto-noven-kogo/","section":"post","tags":["Ubuntu"],"title":"Ubuntu 9.10 - что новенького?"},{"body":"Сегодня пришлось столкнуться с достаточно интересной проблемой. Клиенту потребовалось подключение к терминальному серверу под управлением Windows Server 2008 сканера. Задача для сервера, в принципе, нетиповая, но не такая уж малораспространенная. Если в Windows Server 2003 всего лишь требовалось включить службу загрузки изображений (WIA), то в Server 2008 стало неприятным сюрпризом отсутствие этой службы вообще...\nНачнем по порядку, в наличии имелся сервер под управлением Windows Server 2008 SP2 64-бит и далеко не новый сканер Canon LiDE 25. Ничто не предвещало беды, сканер нормально определился и установил необходимые драйвера, без проблем установилась фирменная утилита, казалось бы - работай. Первая засада поджидала нас при попытке что-либо отсканировать, система неожиданно сообщила нам, что невозможно загрузить сервер TWAIN. Предположение о несовместимости не поднималось - данный сканер нормально работает в 64-битных версиях Windows Vista / 7, значит проблему следует искать где-то в системе. Более детальное изучение показало, что в системе полностью отсутствует инструментарий для работы со сканером или камерой: нет службы WIA и нет TWAIN драйверов. Беглый поиск в интернет также не нашел решения данной проблемы. Большинство привычно мыло кости дяде Билли, сокрушаясь что Microsoft опять решает за нас, что нам нужно, а что нет. Отдельные отмороженные радикально настроенные личности предлагали решение проблемы копированием недостающих файлов из Vista и запуском необходимых служб через реестр. Может быть в экспериментальных целях или для отдельной категории извращенцев энтузиастов использующих серверные ОС на десктопе это решение и сгодится, но для сервера обслуживающего розничные продажи предприятия такой вариант абсолютно неприемлем.\nТеперь самое время помыслить логически. Использование сканера на сервере задача нетиповая, следовательно то, что в базовой поставке данный инструментарий отсутствует, выглядит вполне обоснованно: меньше уязвимостей, выше стабильность и ресурсы впустую не расходуются. Полное же исключение данного функционала маловероятно, серверные ОС Microsoft традиционно включают практически все функции десктопных версий, главное знать где включать.\nОдним из приятных нововведений Server 2008 является новая оснастка для управления компонентами системы. Если в предыдущих версиях дополнительные компоненты устанавливались, в зависимости от назначения, из разных мест и не всегда было понятно где что искать, то теперь все дополнительные компоненты устанавливаются из оснастки Компоненты в Диспетчере сервера. В нашем случае необходимый функционал содержится в компоненте Возможности рабочего стола. Устанавливаем, перезагружаемся, проверяем. Сканер работает. Кроме этого в систему добавляются ряд мультимедийных приложений: Средство просмотра фотографий, Windows Media Player (а вот это, на наш взгляд, лишнее) и еще ряд настольных приложений. Какие выводы напрашиваются из данной ситуации? Прежде всего стоит раз и навсегда запомнить, что прежде чем \u0026quot;рубить с плеча\u0026quot; и делать опрометчивые заявления, или, Боже упаси, патчить систему самопальными патчами, следует досконально изучить возможности самой системы, в том числе опциональные. В большинстве случаев все уже придумано до нас (и для нас). Остается только пожелать вам благоразумия и аптайма вашему серверу.\n","id":"aa70aeb7dbcbb228a270c14416395168","link":"https://interface31.ru/post/windows-server-2008-podkljuchaem-skaner/","section":"post","tags":["Windows Server"],"title":"Windows Server 2008. Подключаем сканер"},{"body":"Наиболее частым применением Linux серверов является организация общего доступа в интернет. Это обусловлено низкой стоимостью такого решения и невысокими требованиями к железу. Во многих случаях это бывает первый Linux сервер в организации, что способно вызвать у администраторов определенные сложности. В данной статье мы пошагово рассмотрим настройку роутера (NAT + DHCP + Squid) на базе Ubuntu Server 9.04\nВнимание! Внимание! Данный материал устарел, при настройке роутера на базе Ubuntu Server 12.04 и старше рекомендуем воспользоваться обновленной статьей.\nУстановка и первоначальная настройка Ubuntu Server отличается от своей настольной версии отсутствием графической оболочки и пользовательских приложений, а также возможностью предустановки заранее выбранных ролей сервера. Несмотря на это, все сказанное будет справедливо для любой версии Ubuntu и, с некоторыми поправками, для любого Linux дистрибутива. Установка Ubuntu Server происходит в текстовом режиме на русском языке и, как правило, не вызывает сложностей. Отдельно стоит только остановится на списке ролей: из предложенного нас, пожалуй, может заинтересовать только OpenSSH, для удаленного доступа, однако воспользовавшись пунктом Manual package selectionопытный пользователь может сразу установить необходимые ему пакеты. Если же это ваш первый сервер, то лучше всего продолжить не выбирая никакого варианта, все необходимые пакеты мы установим позже. Это позволит иметь более четкое представлении о назначении того или иного пакета и позволит успешно справляться с возможными неполадками. По окончании установки система перезагрузится и встретит нас черным экраном командной строки. Непривычного к консоли Windows-администратора это может неприятно удивить, однако ситуация на сегодняшний день такова, что все серверные роли Linux настраиваются исключительно через консоль и файлы конфигурации. В первую очередь настроим сетевые соединения. Вводим в консоли:\n1sudo nano /etc/network/interfaces Эта команда откроет в консольном редакторе nano конфигурационный файл с сетевыми интерфейсами, аналогичный рисунку ниже. Пока там прописан единственный интерфейс eth0, настроенный на работу по DHCP. К eth0 у нас подключен ADSL модем (или любая сеть провайдера), а eth1 смотрит во внутреннюю сеть. IP адрес на внешнем интерфейсе 192.168.1.2, шлюз (ADSL модем) 192.168.1.1, внутренняя сеть лежит в диапазоне 10.0.0.1 - 254. Тогда настройки будут выглядеть следующим образом:\n1auto eth0 2 iface eth0 inet static 3 address 192.168.1.2 4 netmask 255.255.255.0 5 gateway 192.168.1.1 6 7auto eth1 8 iface eth1 inet static 9 address 10.0.0.1 10 netmask 255.255.255.0 Сохраняем изменения Ctrl+O и выходим Ctrl+X. Теперь нужно настроить DNS, для этого выполняем:\n1sudo nano /etc/resolv.conf В этом файле необходимо указать адреса DNS серверов, лучше всего указать DNS провайдера или, как в нашем случае, OpenDNS.\n1#OpenDNS Servers 2nameserver 208.67.222.222 3nameserver 208.67.220.220 Сохраняем. Теперь нужно перезапустить сетевые службы (либо перезагрузиться):\n1sudo /etc/init.d/networking restart Собственно сеть настроена, можно переходить к следующему этапу, однако мы рекомендуем установить еще несколько пакетов для удобства администрирования. Сначала обновим список доступных пакетов:\n1sudo apt-get update Также рекомендуем обновить версии пакетов до актуальных:\n1sudo apt-get upgrade Теперь установим Midnight Commander (mc), файловый менеджер по образу и подобию Norton Commander или Far:\n1sudo apt-get install mc Для запуска Midnight Commander достаточно набрать в консоли его краткое имя: mc. Сразу рекомендуем включить встроенный редактор, более удобный чем nano: F9 - Настройки - Конфигурация - Встроенный редактор. Для удаленного управления сервером (не бегать же к нему каждый раз) установим OpenSSH, что позволит подключаться к нему из любого места, даже из дома, по защищенному протоколу:\n1sudo apt-get install ssh Для подключения с Windows станций можно использовать программу PuTTY (скачать), для корректного отображения символов перед подключением необходимо на закладке Window - Translation выбрать кодировку UTF8. Для ограничения доступа к серверу можно дописать в файл /etc/ssh/sshd_config параметр AllowUsers с указанием пользователя имеющего доступ по SSH, например для пользователя admin:\n1AllowUsers admin Также можно разрешить доступ определенной группе пользователей используя параметр AllowGroups, либо запретить доступ определенным пользователям / группам использовав DenyUsers и DenyGroups.\nНастраиваем NAT Для организации общего доступа к интернет необходимо настроить трансляцию сетевых адресов (NAT), что позволит сетевым службам внутренней сети получать доступ к внешней сети. Для этого достаточно выполнить всего одну команду, но есть одна тонкость: все будет работать только для перезагрузки. На настоящий момент в Linux нет механизма, который бы сохранял настойки iptables при перезагрузке сервера или сети. Поэтому мы пойдем другим путем и вынесем эти настройки в отдельный скрипт, запускаемый при загрузке системы. Сначала создадим файл скрипта:\n1sudo touch /etc/nat Потом откроем его в редакторе Midnight Commander (F4) и внесем следующий текст:\n1#!/bin/sh 2 3# Включаем форвардинг пакетов 4echo 1 \u0026gt; /proc/sys/net/ipv4/ip_forward 5 6# Сбрасываем настройки брандмауэра 7iptables -F 8iptables -X 9iptables -t nat -F 10iptables -t nat -X 11 12# Разрешаем доступ из локальной сети 13iptables -A INPUT -i eth1 -j ACCEPT 14 15# Разрешаем инициированные нами подключения извне 16iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT 17 18# Разрешаем подключения по SSH 19iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT 20 21#Запрещаем входящие извне 22iptables -A INPUT -i eth0 -j DROP 23 24# Разрешаем инициированные нами транзитные подключения извне 25iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT 26 27# Запрещаем транзитный трафик извне 28iptables -A FORWARD -i eth0 -o eth1 -j DROP 29 30# Включаем NAT 31iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -j MASQUERADE Сохраняем (F2), для автоматического запуска скрипта снова открываем /etc/network/interfaces и в самый конец файла дописываем:\n1post-up /etc/nat Также не забываем дать нашему скрипту права на исполнение:\n1sudo chmod +x /etc/nat Перезапускаем сеть:\n1sudo /etc/init.d/networking restart Если нигде не допущено ошибок все должно работать. Для проверки укажем на машинах внутренней сети в качестве шлюза и DNS адрес нашего роутера: 10.0.0.1 и пропингуем любой внешний адрес, например один из OpenDNS серверов: 208.67.222.222. Но интернет пока работать не будет. Почему? Да потому, что мы указали в качестве DNS сервера наш роутер, который пока таковым не является. Можно конечно явно прописать DNS на клиентской машине,однако, это не наш метод, если вдруг DNS сервера изменятся, нам что, бегать перепрописывать? Одно из решений: поднять на нашем роутере полноценный DNS сервер, но в большинстве случаев это избыточно, поэтому мы ограничимся простым кеширующим DNS (а также и DHCP) сервером Dnsmasq.\n1sudo apt-get install dnsmasq После установки открываем /etc/dnsmasq.conf, находим, раскомментируем и изменяем следующим образом строку, чтобы разрешить серверу принимать DNS запросы из внутренней сети.:\n1listen-address=127.0.0.1, 10.0.0.1 Перезапускаем DNS сервер:\n1sudo /etc/init.d/dnsmasq restart После чего на клиентских машинах должен заработать интернет.\nНастраиваем DHCP Теперь, когда наш сервер работает, нужно настроить клиентские машины. Можно, конечно, прописать все параметры вручную, но как быть если клиентских машин много и расположены они по всему зданию? Здесь нам на выручку приходит протокол DHCP, который позволяет клиентским машинам получать сетевые настройки автоматически. В качестве DHCP сервера выступит уже установленный Dnsmasq. Настроить его не просто, а очень просто, для чего снова открываем /etc/dnsmasq.conf.\nВсе что нам надо, это задать диапазон выдаваемых адресов (в нашем случае 10.0.0.100-150), сетевую маску и время, на которое выдается IP адрес:\n1dhcp-range=10.0.0.100,10.0.0.150,255.255.255.0,12h Адреса DNS сервера и шлюза сервер берет автоматически из системных настроек. Еще раз перезапускаем Dnsmasq:\n1sudo /etc/init.d/dnsmasq restart Теперь можно выставить на клиенте автоматическое получение IP адреса и убедиться, что все работает нормально. Просмотреть выданные адреса можно командой:\n1cat /var/log/syslog | grep DHCPOFFER В выдаче будут перечислены выданные IP адреса и MAC адреса которым они выданы.\nНастраиваем кеширующий прокси-сервер Squid В любой большой сети определенная часть трафика повторяется от пользователя к пользователю и порой его доля доходит до 50%. Логично бы было кешировать наиболее повторяющиеся запросы и тем самым снизить нагрузку на канал, сэкономить входящий трафик и ускорить выдачу страниц конечному пользователю. Для этих задач мы используем Squid - кеширующий прокси с широчайшими возможностями.\n1sudo apt-get install squid Останавливаем прокси-сервер и приступаем к настройке:\n1sudo /etc/init.d/squid stop Открываем /etc/squid/squid.conf, находим и корректируем следующие строки, не забыв их раскомменитровать:\nУказываем порт и адрес на котором squid будет принимать соединения:\n1http_port 10.0.0.1:3128 transparent Настраиваем кэш:\n1cache_dir ufs /var/spool/squid 4096 32 256 Указываем внутренние сети, лишние комментируем:\n1acl localnet src 10.0.0.0/24 # RFC1918 possible internal network 2#acl localnet src 172.16.0.0/12 # RFC1918 possible internal network 3#acl localnet src 192.168.0.0/16 # RFC1918 possible internal network Разрешаем доступ из внутренних сетей (найти и раскомменитровать):\n1http_access allow localnet Устанавливаем лимит использования памяти:\n1memory_pools on 2memory_pools_limit 50 MB Задаем язык вывода ошибок для пользователя\n1error_directory /usr/share/squid/errors/Russian-koi8-r Внимание! Важное замечание! В Ubuntu 9.10 эта строка может выглядеть так, рекомендуем проверить правильность пути: error_directory /usr/share/squid/errors/ru\nСохраняем файл конфигурации. Теперь строим кэш и запускаем:\n1sudo /usr/sbin/squid -z 2sudo /etc/init.d/squid start Для проверки указываем в браузере на клиентской машине использование прокси-сервера с адресом 10.0.0.1 и портом 3128, убеждаемся что все работает. Остается настроить прозрачную работу прокси-сервера, чтобы http трафик заворачивался на Squid автоматически, без прописывания прокси на клиенте. Для этого открываем /etc/nat и дописываем в конец строку:\n1# Заворачиваем http на прокси 2iptables -t nat -A PREROUTING -i eth1 ! -d 10.0.0.0/24 -p tcp --dport 80 -j REDIRECT --to-ports 3128 Перезапускаем сеть:\n1sudo /etc/init.d/networking restart Все. В нашем распоряжении рабочий сервер, позволяющий организовать общий доступ к интернет, кешируюший http трафик и DNS запросы, а также умеющий раздавать клиентским машинам необходимые для работы в сети настройки.\n","id":"cda669a6a2efbbde0f664d94c0c8f4f5","link":"https://interface31.ru/post/linux-nastrojka-routera-nat-dhcp-squid/","section":"post","tags":["DHCP","DNS","Dnsmasq","iptables","NAT","Squid","Ubuntu Server","Сетевые технологии"],"title":"Linux. Настройка роутера (NAT + DHCP + Squid)"},{"body":"Недавно некоторые наши клиенты столкнулись с проблемой выгрузки в клиент-банк платежных поручений с четырехзначными номерами, в процессе формирования файла выгрузки 1С Бухгалтерия 7.7 обрезает номер платежки до 3 знаков, тем самым делая автоматическую передачу платежных поручений невозможной. Ничего нового в этой проблеме нет, кроме того, что 1С так и не спешит устранять этот недочет. То-ли считает проблему несущественной, то-ли все силы брошены на продвижение 1С 8. Поэтому исправлять придется самостоятельно, тем более это совсем несложно.\nКак показал анализ ситуации, проблема кроется в обработке \u0026quot;1С Предприятие - Клиент банка\u0026quot;, где программно установлено ограничение на 3 символа при получении номера выгружаемого документа.\nДля решения проблемы заходим в конфигуратор и находим обработку ПредприятиеКлиент. Открыв его переходим на закладкуМодуль и ищем фразу НомерДокумента. Первый полученный результат и есть искомое место. В строке:\n1Результат = Строка(Число ... 0, 0) ) ,3 ) ) ); меняем тройку на четверку (я не думаю, что до конца года бухгалтера введут более 9999 платежек) и радуемся жизни.\nПросто? Да! Вопрос \u0026quot;почему 1С до сих пор не исправила этот недочет\u0026quot; оставим на совести разработчиков.\n","id":"d2279ad78f193f223dea0485a1bf7c57","link":"https://interface31.ru/post/1s-buxgalteriya-77-problema-vygruzki-v-klient-bank/","section":"post","tags":["1С Предприятие 7.7","Клиент-банк"],"title":"1С Бухгалтерия 7.7 Проблема выгрузки в клиент-банк платежных поручений с четырехзначными номерами"},{"body":"Компьютерная история не так проста и прямолинейна, как кажется на первый взгляд, сегодняшние лидеры не всегда были таковыми, а временами их лидерство серьезно оспаривалось. И кто знает, как выглядели бы современные ПК, сложись тогда все несколько иначе... Сегодня мы хотим вспомнить BeOS, систему опередившую свое время, но, по стечению обстоятельств, сошедшей со сцены на самом своем взлете...\nУ истоков История BeOS начинается в 1990 году, когда бывший исполнительный директор Apple Жан-Луи Гассе основал компанию Be Inc. Целью новой компании было создание компьютера нового поколения: мощного, надежного, простого в использовании. В 1995 году был представлен компьютер BeBox имевший впечатляющие в то время характеристики: два 66 МГц процессора PowerPC, в следующем году добавилась модель с двумя 133 Мгц процессорами. Поставлялись компьютеры под управлением собственной операционной системы BeOS.\nНовая система изначально разрабатывалась как мультимедийная и имела такие, выгодно отличающие ее от конкурентов, особенности как: микроядерность, многопоточность, поддержку многопроцессорности, журналируемую 64-битную файловую систему и удобный графический интерфейс. BeBox показывали отличную производительность при работе с графикой при относительно невысокой стоимости, всего с 1995 по 1997 было продано около 2000 компьютеров. В 1997 году Be Inc. прекратила производство BeBox и сосредоточилось на продвижении операционной системы.\nВзлет и крушение BeOS Первоначально BeOS была портирована на компьютеры Macintosh (портирование заняло всего 2 дня), затем из-за возникших разногласий с Apple была выпущена (в конце 1996 года) версия R3 для IBM совместимых ПК. За ней последовали версии 4, 4,5 и 5, версия R5 (2000 год) сосредоточила в себе все самые последние достижения и именовалась многими специалистами как \u0026quot;система будущего\u0026quot;. И надо сказать не зря, по производительности ей на тот день не было равных. Если вернуться в 2000 год, то средним ПК окажется какой нибудь Celeron 333-466 Мгц с 32 Mб оперативки, также еще довольно велик парк Pentium I и Pentium I MMX, на которых безраздельно властвуют Windows 95 / 98. Вышедшая в том же году Windows 2000 не могла стать массовой, так как имела куда более высокие системные требования, в частности к оперативной памяти, с 32 Мб работа Win2k напоминала улитку в студне. Windows 95 / 98 несли в себе наследие MS-DOS и не могли похвастаться ни настоящей многозадачностью, одно повисшее приложение вешало всю систему, ни надежностью, кто работал с этими ОС помнит сообщения \u0026quot;Программа выполнила недопустимую операцию и будет закрыта\u0026quot;. Отдельного разговора заслуживает файловая система FAT, в частности FAT32, которая в принципе малопригодна для надежного хранения файлов, особенно большого размера: потерянные кластеры, перекрестные ссылки, сильная зависимость производительности (и надежности) от фрагментации, все это доставляло головную боль большинству пользователей ПК.\nНа этом фоне BeOS выглядел весьма привлекательно: четкое распределение виртуальной памяти (что не давало одному процессу подвесить всю систему), действительная вытесняющая многозадачность, журналируемая файловая система и отличная производительность вкупе с богатыми мультимедийными возможностями.\nНедаром в 1998 году Hitachi планировала выпуск ПК с двумя предустановленными системами: Windows 98 и BeOS, причем BeOS позиционировалась как MediaOS, потому как наиболее подходила для работы с видео и аудиоматериалами. В это же время Compaq, нацелившись на зарождающийся рынок КПК всерьез рассматривала BeIA (разработку Be Inc. для мобильных устройств) как основную ОС для мобильных устройств. К сожалению оба эти проекта не увенчались успехом, Microsoft приложила все усилия чтобы не допустить выход на рынок опасного конкурента.\nСледующей крупной промашкой Be Inc. был выпуск бесплатной BeOS 5 Personal Edition, которая устанавливалась как приложение Windows и задумывалась как ознакомительная версия. В тоже время эта версия имела практически полный функционал платной BeOS 5 Professional ($70) и при наличии ровных рук и свободного времени позволяла создать собственными средствами загрузочный образ, который уже можно было использовать для полноценной установки ОС на чистый компьютер. Интерес к бесплатной версии системы был чрезвычайно велик: всего на CD и через интернет было распространено более миллиона копий, в тоже время продажи катастрофически падали и в 2001 году Be Inc. обьявила себя банкротом и была куплена компанией Palm.\nBeOS 5 - живое знакомство Теперь самое время своими глазами посмотреть, что же представляла из себя BeOS 5, для этих целей мы взяли образ, созданный еще когда-то давно на базе бесплатной персональной версии. Как мы уже говорили, скачав всего 44 Мб, что по тем временам было не так уж и много, опытный пользователь вдумчиво следуя инструкциям без особого труда получал полноценный установочный диск с этой операционной системой, успешно сэкономив $70. Установка полностью проходит в графическом режиме, одним из основных системных требований является наличие мыши, без которой работать в BeOS не получится. Ввиду того, что система неправильно определила видеоадаптер установка проходит в черно-белом режиме. Сам процесс прост и бесхитростен, нам нужно указать ядро системы (Pentium или Athlon) и указать раздел для установки. Для установки используется свой тип раздела (BeOS) и своя файловая система (BeFS). Для разметки диска в инсталлятор входит графическая утилита, работа с ней несколько непривычна, чего только стоит ползунок, с помощью которого указывается размер раздела, который нужно перемещать справа налево, однако все довольно просто осваивается методом \u0026quot;научного тыка\u0026quot; (здесь мы еще раз предупреждаем, для всех подобных экспериментов с альтернативными ОС крайне желательно использовать отдельный жесткий диск, дабы потом не было мучительно больно за свои данные). Больше никаких вопросов система задавать нам не будет, смело жмем \u0026quot;Begin\u0026quot; и идем варить кофе, ставиться система довольно долго. На нашей системе: VmWare Workstation 2*1900 МГц с 256 Mб RAM установка заняла более получаса. После перезагрузки видеоадаптер определился как VESA и позволил выставить разрешение 1024*768 при 16 битной глубине цвета. О поддержке больших разрешений и широкоформатных мониторов речи конечно же не идет, не будем забывать на дворе 2000 год и 15\u0026quot; CRT норма жизни. Список программ смотрится для тех лет достаточно необычно - основной упор сделан на мультимедийные и сетевые возможности, а если помнить, что все это появилось не в пятой версии, а значительно раньше, то становится понятной крайняя озабоченность Microsoft, мультимедийные возможности Windows 98 находились практически в зачаточном состоянии. BeOS действительно показывает замечательную производительность при работе с мультимедиа. Видеофайлы загружаются очень быстро и отлично перематываются даже на слабой конфигурации. Мы специально уменьшили обьем RAM до 32 Мб, при перемещении ползунка панели воспроизведения видеофайл практически мгновенно начинает проигрываться с нового места. В 2000 году это заслуженно вызывало восхищение, тот же Windows 98 долго думал, прежде чем продолжить воспроизведение, а после нескольких таких перемещений запросто срывалась синхронизация аудио и видео дорожек. Даже при открытии большого количества мультимедийных файлов нам так и не удалось подвесить систему, после того как мы запустили одновременно два mp3 файла и два видеоролика звук начал запинаться, а видео рассыпаться, однако мы смогли запустить другие приложения и без проблем закрыть не нужные нам окна. Отзывчивость системы оставалась весьма высокой. При увеличении объема памяти работа с системой становилась полностью комфортной.\nТеперь о грустном. Основной болезнью BeOS, как и всех альтернативных систем, были драйвера. Если ваше железо заработало - хорошо, если нет, скорее всего вам так и не удастся заставить его работать. Нам так и не удалось заставить работать эмулируемую VmWare сетевую карту AMD PCnetII, и только заменив ее на Intel PRO 1000, путем добавления в *.vmx файл нижеуказанной строки, и скачав драйвер мы смогли настроить сеть. :\n1ethernet0.virtualDev = \u0026#34;e1000\u0026#34; Сетевые возможности системы стандартны для того времени. Собственные почтовый клиент BeMail и браузер NetPositive, а также порт Mozilla представляют не самый плохой вариант для 2000 года. NetPositive сегодня абсолютно не пригоден для серфинга, разве что текстовых сайтов, да и по меркам 2000 года выглядит слабовато, а вот Mozilla неплохо отображает сайты сверстанные традиционным образом и не содержащие флеш, скриптов и прочих излишеств, в те времена отсутствовавших. Проблемы только с русским языком, в кодировке win1251 страницы еще более-менее пристойно отображаются, чего не скажешь о Юникоде. Однако следует учесть, поддержка русского языка и кириллицы в системе полностью отсутствует. Англоязычные сайты отображаются в большинстве своем корректно.\nОфисный пакет в бесплатной версии системы отсутствует, в платную версию был включен GoBe Productive 2.0.1, однако по функциональности ему было далеко даже до MS Office 7, ближайшим аналогом текстового редактора можно назвать разве что WordPad.\nНа наш взгляд, перекос в сторону мультимедиа сыграл с системой злую шутку, BeOS действительно опередила свое время, но эти возможности остались невостребованными. В конце 90-х мультимедиа на ПК рассматривалось сугубо как развлечение, ни о какой серьезной работе речи еще не шло. Эпоха домашнего фото и видео наступит несколько позже, но увы уже без BeOS. А пока рыночное положение системы крайне неопределенное, те задачи для которых используется ПК она решает хуже конкурентов, время для тех задач в которых она сильна еще не наступило, хотя интерес к ним уже велик.\nСобственно выпуск бесплатной версии и поставил точку в этой истории. Все те возможности, ради которых покупали BeOS (мультимедиа) в ней были, а платить за дополнительное ПО с сомнительными возможностями потребитель не стал. Наследники BeOS Несмотря на банкротство Be Inc. история BeOS не закончилась, в 2003 году немецкая компания yellowTab анонсировала бета-версию ОС Zeta, основанной на BeOS 5.1d0. По данным одних источников yellowTab приобрела у Be Inc. незадолго до банкротства исходные коды BeOS, по данным других - лицензию на перепродажу и модификацию BeOS (что более соответствует действительности). В 2004 году был выпущен релиз Zeta, по сути это оставался BeOS 5 с расширенной поддержкой оборудования и дополнительным набором ПО. Zeta неплохо продавалась, за 2005 год было продано более 80 000 копий, что было больше чем всех проданных копий BeOS. Однако было упущено главное - время. То, что было революционным в 2000 году, в 2005 уже таковым не являлось, мощность домашних ПК значительно выросла, и мультимедийные задачи стали повседневной реальностью. Windows XP, пришедшая на смену Windows 98, быстро свела на нет все мультимедийные преимущества BeOS / Zeta. В середине 2006 года yellowTab попала в затруднительное финансовое положение и продала все права на Zeta компании Мagnussoft (известному немецкому производителю игр). В начале 2007 года свет увидела Zeta 1.5, ставшая последней. Уже в апреле Мagnussoft прекратила дальнейшую разработку и поддержку Zeta по причине экономической нецелесообразности. Действительно, на фоне возможностей XP SP2 и недавно вышедшей Vista, система основанная на ядре семилетней давности, несмотря на все доработки выглядела довольно беспомощно.\nHaiku История BeOS будет не полной, если не рассказать об этом проекте. В 2001 году стартовал проект OpenBeOS нацеленный на написание свободной ОС имеющей двоичную совместимость с BeOS 5, позже проект был переименован в Haiku. 19 сентября 2009 года состоялся релиз Haiku R1 Alpha 1. Мы решили не проходить мимо и посмотреть на результат этого \u0026quot;долгостроя\u0026quot;. Установка системы мало чем отличается от установки прародителя, тот же интерфейс, аналогичный менеджер разделов и столь же долгое время инсталляции. Разве что только немного облагородили графику, чтобы соответствовать современным представлениям о дизайне. Внутри нас встречает знакомый рабочий стол BeOS, даже набор приложений практически один в один повторяет прототип. Упор как и прежде делается на мультимедийные возможности или это всего лишь старательное копирование оригинала? Несколько веселее обстоят дела с поддерживаемым оборудованием, Haiku поддерживает весь спектр USB-накопителей (которые BeOS в упор не видел, справедливости ради надо сказать, что Windows 98 тоже не очень жаловал флешки). Не возникло проблем и с современной периферией, и если принтер HP 1160 нормально заработал, то мы так и не нашли приложений способных хоть как то использовать сканер, не говоря уж о Bluetooth.\nСеть заработала после таких же самых манипуляций по замене эмулируемой сетевой карты на Intel PRO 1000. В качестве браузера используется pre-версия Firefox 2 под названием BeZilla, благодаря этому проблемы с Web-серфингом практически отсутствуют, хотя о флеш, ява, мультимедиа контенте и т.п. пока остается только мечтать. Тем более странно было увидеть в качестве почтового агента клон BeMail программы девятилетней давности, чьих возможностей уже тогда было недостаточно.\nС мультимедиа все обстоит неплохо, впрочем иного и не ожидалось. Поддерживаются все современные форматы, воспроизводится все быстро и четко. Какое либо подобие офисного пакета также отсутствует.\nВо время тестирования Haiku нас не покидала одна мысль - зачем? Мы понимаем, что у каждой системы, включая BeOS, есть свои поклонники и что у них есть такое хобби. Но зачем реконструировать систему десятилетней давности, копируя ее до уровня интерфейса программ и практически один в один сохраняя их функционал? Получится очередная мертворожденная система для узкой группы энтузиастов, если BeOS в свое время имел мультимедийные возможности и производительность на порядок лучше своих конкурентов, то Haiku похвастаться абсолютно нечем. Мультимедиа перестала быть козырной картой, превратившись в повседневную задачу, поддержка современных интернет технологий отсутствует чуть менее чем полностью, про офисные приложения промолчим...\nНе хочется завершать наш обзор на грустной ноте, поэтому мы все таки советуем помнить, что хотя BeOS не получила широкого распространения, идеи реализованные в ней намного определили свое время и оказали определенное влияние на индустрию в целом. А историю полезно знать, ведь часто незаметные на первый взгляд события зачастую становятся инициаторами значительных свершений.\n","id":"5ce8197427f402c9e048ffb041bb84f7","link":"https://interface31.ru/post/beos_sistema_operedivshaya_vremya/","section":"post","tags":["BeOS","Haiku"],"title":"BeOS - система опередившая время"},{"body":"Сегодня начались официальные продажи Windows 7. Произошло это как то буднично и незаметно, что вполне объяснимо: за время прошедшее с выхода первой публичной бета-версии все желающие с системой ознакомились, а с выходом релиз-кандидата многие успели установить себе эту ОС в качестве основной. Одна из первых задач о которой задумывается пользователь это персонализация, тем более что Windows 7 представляет для этого широкие возможности.\nЕсли мы перенесемся немного назад, то увидим, что возможности персонализации, да и вообще оформление операционных систем семейства Windows сделали громадный шаг вперед. Во времена Windows 95 / 98 мы могли поменять обои рабочего стола (которых по умолчанию не было) и цветовое оформление окон. Большего тогдашние ресурсы не позволяли, да и многие предпочитали однородную заливку рабочего стола, экономя несколько мегабайт драгоценной тогда оперативки. Были конечно сторонние пакеты для изменения интерфейса, но большого распространения они не получили все по той же причине - потребления лишних ресурсов ПК.\nВсе начало меняться с приходом Windows XP, вместе с новым оформлением Microsoft реализовала механизм установки сторонних стилей, правда только от доверенных производителей (что легко обходилось). Особой популярностью стала пользоваться программа StyleXP, а стили оформления не делал только ленивый. С выходом Windows Vista мы получили прозрачность интерфейса, гаджеты и 3D эффекты рабочего стола, анимированные \u0026quot;обои\u0026quot; DreamScene, правда реализация отдельных моментов вызывала вполне справедливые нарекания.\nВ Windows 7 учли многие недоработки Vista, а также добавили ряд, на первый взгляд незаметных, но довольно интересных новшеств. Например значительно улучшена прозрачность, теперь, в отличие от мутной \u0026quot;прозрачности\u0026quot; Vista, рамка окон и панель задач кажутся действительно стеклянными. Любителей менять обои на рабочем столе порадует функция \u0026quot;Показ слайдов\u0026quot;, которая позволяет автоматически менять изображения на рабочем столе в соответствии с заданными параметрами. Пользователь может использовать как свои изображения, так и готовые наборы, выполненные в виде тем. Тема Windows 7, несмотря на название, понятие новое и подразумевает набор тщательно подобранных высококачественных изображений в сочетании с заданным цветом окон и набором звуков. С выходом релиз-кандидата в сети появились международные темы, содержащие обои связанные тематикой конкретной страны, которые пользовались достаточно большой популярностью.\nС выходом релиза темы стали доступны на официальном сайте Microsoft, кроме международных тем доступны весьма неплохие наборы на автомобильную, кино и игровую тематику. Кроме того были обновлены и международные темы, как и прежде доступны 20 тем, но теперь все они содержат абсолютно новые изображения. Также существует возможность создания собственной темы, которой можно потом поделится с друзьями. Для этого настройте рабочий стол по своему вкусу, установите набор обоев и параметры их показа, цвет окон и набор звуков, затем в оснастке Персонализация на Панели управления щелкните правой кнопкой мыши по созданной вами теме и выберите \u0026quot;Сохранить тему для общего доступа\u0026quot;. Другим полезным усовершенствованием является отказ от боковой панели, теперь гаджеты можно размещать в произвольном месте рабочего стола. Ради справедливости можно отметить, что подобное можно было сделать и в Vista, однако там это решение относилось к числу \u0026quot;недокументированных возможностей\u0026quot;. Сами гаджеты особых изменений не претерпели, все, что работало у нас в Vista, без проблем заработало и в Windows 7, разве что, отдельно стоит отметить, наконец то заработавший гаджет погоды. Единственный непонятный момент - это удаление из Windows 7 поддержки DreamScene. Возможно в будущем он будет доступен для загрузки через Windows Update, как это было в Vista, хотя в сети уже присутствуют патчи, возвращающие в Windows 7 эту возможность. С другой стороны потеря не так уж велика, учитывая что DreamScene был доступен только в редакции Vista Ultimate, а переплачивать за анимированные обои и пару других столь же сомнительных бонусов я думаю найдется не очень много желающих.\nВ любом случае имеющихся в Windows 7 вполне достаточно, чтобы настроить рабочее окружение по собственному вкусу, а большое количество доступных уже сегодня тем внесут приятное разнообразие. А учитывая популярность новой версии Windows, можно с уверенностью говорить, что в будущем возможностей по персонализации должно только прибавиться.\n","id":"dcf5f67d83fa526e07b9b02d72ef45d3","link":"https://interface31.ru/post/personalizacija-windows-7/","section":"post","tags":["Windows 7","Персонализация"],"title":"Персонализация Windows 7"},{"body":"Несмотря на нежелание корпоративных пользователей прощаться с Windows XP, становится очевидно, что сделать это в ближайшем будущем все-таки придется. А следовательно возникнет необходимость запуска 1С Предприятия 7.7 в среде Windows 7 (Vista). В данной статье мы решили рассмотреть \u0026quot;типовые\u0026quot; проблемы, возникающие при работе 1С в среде новых ОС, и способы их решения.\nОшибка \u0026quot;порядок сортировки данных отличается от системного\u0026quot; Об этой ошибке наверное не знает только ленивый, как и о способе ее решения. Однако не все так просто, как кажется, поэтому рассмотрим этот вопрос более подробно.\nПричина ошибки банальна - несоответствие кодовых страниц OC семейства NT6 и 1С. Существует два способа решения данной проблемы:\n\u0026quot;Применение данной возможности может быть рекомендовано только в крайних случаях, когда не имеется возможности согласовать системный порядок сортировки с порядком сортировки, устанавливаемым для информационной базы. При отключении проверки порядка сортировки в условиях применения компоненты управления распределенными информационными базами НЕ СЛЕДУЕТ использовать символы любых алфавитов, кроме латинского, в трехбуквенном идентификаторе информационных баз, входящих в состав распределенной. Следует иметь в виду, что 1С:Предприятие при работе использует возможности по сортировке обоих механизмов, и отключение проверки идентичности порядка в них может привести к неожиданному для пользователя порядку следования строк, например, при формировании отчетов.\u0026quot;\nКакой же способ выбрать? Если у вас однородный парк ОС, т.е. все машины работают под Windows 7 (Vista), то однозначно следует использовать первый вариант. Второй вариант следует применять при необходимости одновременной работы с базами под обоими семействами ОС. При этом базы желательно располагать на машине с Windows XP, а ordnochk.prm поместить в папку BIN на машине с Windows 7 (Vista). Это позволит избежать потенциальных проблем с работой таких компонент как УРИБ.\nПри этом следут помнить, что машину с Windows 7 (Vista) можно использовать только для работы в режиме 1С Предприятие. Любые изменения в режиме Конфигуратора должны вносится только на машине с Windows XP. При расположении баз на машине с Windows 7 (Vista) обязательно следует привести кодовую страницу ИБ к системной (по первому способу), а ordnochk.prm использовать уже на машинах с Windows XP, в противном случае работа с УРИБ или просто загрузка ранее выгруженных данных в ИБ будут невозможны.\nОшибка при создании из компоненты V7Plus.dll (Отсутсвует CLSID) Данная проблема возникает при включенном UAC, при обращении к внешним обработкам или при иных действиях требующих библиотеку V7Plus.dll (выгрузка данных, отчетов и т.п.), при этом V7Plus.dll в каталоге с базой присутствует. Причина возникновения ошибки в том, что 1С Предприятие регистрирует эту библиотеку динамически, при возникновении необходимости использования. При включенном UAC 1C работает с правами пользователя и следовательно зарегистрировать библиотеку не может. Решение простое - зарегистрировать V7Plus.dll вручную, для этого мы рекомендуем скопировать ее в папку BIN (чтобы не привязываться к конкретной базе), запустить Командную строку с правами администратора и выполнить команду:\n1regsvr32 \u0026lt;путь к 1С\u0026gt;\\BIN\\V7Plus.dll результатом выполнения должно быть сообщение об успешной регистрации библиотеки.\nОшибка \u0026quot;Для доступа к базе данных требуется ODBC-драйвер для MS SQL Server версии 3.50.0303 или старше Ошибка возникает при попытке запуска SQL версии 1С Предприятие 7.7 на Windows 7 (Vista) и заключается в отсутствии поддержки этими ОС версий SQL сервера ниже SQL Server 2005 SP2. Выдержка из официального пресс-релиза Microsoft:\nДля обеспечения более высокого уровня безопасности, операционные системы Microsoft Windows Server 2008 и Microsoft Windows Vista будут поддерживать выпуск SQL Server 2005 Express с пакетом обновлений 1 (SP1), а для всех остальных выпусков SQL Server потребуется SQL Server 2005 с пакетом обновлений 2 (SP2) или более поздняя версия. Более ранние версии SQL Server, включая SQL Server 2000 (все выпуски, включая выпуск Desktop Engine, так же известный как MSDE), SQL Server 7.0 и SQL Server 6.5, операционными системами Windows Server 2008 и Windows Vista поддерживаться не будут.\nРешения на сегодняшний день не существует (и вряд ли оно появится). Встречающееся в интернет \u0026quot;решение\u0026quot; с заменой файлов драйвера ODBC файлами из Windows XP всерьез рассматривать не следует и применять его категорически не рекомендуется.\nВ качестве альтернативного варианта можно посоветовать запуск 1С Предприятия на Windows Server 2003 в терминальном режиме, этот же вариант мы рекомендуем и для файлового режима 1С в сети с различными версиями Windows.\n","id":"237e0fb954a504a5c463290bd96277ab","link":"https://interface31.ru/post/1s-predpriyatie-77-osobennosti-raboty-v-windows-7-vista/","section":"post","tags":["1С Предприятие 7.7","Windows 7"],"title":"1С Предприятие 7.7 Особенности работы в Windows 7 (Vista)"},{"body":"У большинства пользователей слово Microsoft четко ассоциируется с операционными системами семейства Windows, ну может быть еще XBox, оставляя вне зоны внимания остальную продукцию фирмы. А обратить внимание есть на что, ведь Microsoft давно выпускает свою линейку мышей и клавиатур, подходя к этому вопросу весьма основательно. Microsoft Wireless Laser Mouse 5000 младшая и относительно недорогая модель в линейке беспроводных лазерных мышей компании, но тем не менее имеющая все отличительные черты данной серии.\nКак то так повелось, что большинство пользователей, даже те, кто весьма тщательно подходит к вопросу выбора железа для своего ПК, не уделяют должного внимания выбору клавиатуры и мыши. Казалось бы, чего ждать от этих нехитрых устройств, и при выборе первую роль играет цена и внешний вид приобретаемого устройства. Более тщательно к этому вопросу подходят геймеры (правда у них свои запросы) и люди долго и профессионально работающие на ПК и на \u0026quot;своей шкуре\u0026quot; прочувствовавшие все преимущества эргономики и качественных продуктов.\nНаписать сей обзор меня побудил довольно неприятный дефект мыши A4-Tech Glaser Mouse , которую я использовал на работе. Вроде бы и мышка не самая дешевая в своем классе, но где-то через три месяца начала самым противным образом скрипеть при щелчке левой кнопкой мыши и довольно ощутимо скрежетать при перемещениях по столу. На третий день такого непотребства, всерьез озаботившись сменой мыши, я вспомнил об уже полгода лежащей дома в шкафу Microsoft Wireless Laser Mouse 5000, которая отработала у меня без нареканий полтора года и была позже заменена на Wireless Laser Mouse 6000 v2.0 просто потому что захотелось чего-то новенького. Вечером мышь была извлечена из шкафа, протерта от пыли и продолжила свою трудовую деятельность уже в офисе, а я в очередной раз на собственном опыте убедился в том, что качество и удобство своих денег стоят.\nКак я уже говорил, Wireless Laser Mouse 5000относительно недорогая мышь, на nix.ru ее стоимость на сегодняшний день 1228 руб. 50 коп. (или $39), что вполне сравнимо с аналогичными моделями известных брендов. Поставляется мышь в презентабельной красной коробке, которая кроме мышки содержит приемопередатчик, две батарейки АА, инструкции и диск с ПО. Отличный внешний вид упаковки и характеристики мыши делают ее неплохим подарком. Батареек хватает надолго, может быть не на полгода, как это заявляет производитель, но на три-четыре месяца точно. Аккумуляторы емкостью 1200 mА/час работают около полутора-двух месяцев, что тоже неплохо. Собственно, мышь выполнена целиком из пластика, на верхней поверхности пластик глянцевый, цвета \u0026quot;черный металлик\u0026quot;, по бокам и снизу черный немного прозрачный и шероховатый на ошупь, это удобно - пальцы не скользят. По центру внизу вставлен серебристый значек High Definition Laser Technology, чуть ниже серебристая надпись Microsoft. Мышь лежит в руке очень удобно, отличается плавным ходом и хорошим позиционированием на любой поверхности. Кстати, это единственная мышь серии Wireless Laser Mouse одинаково подходящая и для левшей и для правшей.\nШелчок четкий по всей поверхности кнопки, звук щелчка достаточно приглушенный, особенно по сравнению с недорогими мышами. Колесико широкое с приятным для пальцев силиконовым покрытием, прокрутка несколько туговата, однако очень четкая, привыкнув позволяет очень точно прокручивать документы или управлять масштабом. Колесико также отклоняется в стороны, позволяя прокручивать документы по горизонтали. Щелчок средней кнопкой четкий, требующий небольших усилий, что исключает ложное срабатывание. По бокам присутствует две кнопки, по умолчанию выполняющие функции \u0026quot;Назад\u0026quot; и \u0026quot;Вперед\u0026quot;.\nБез установки ПО мышь работаеткак обычная пятикнопочная со стандартным назначением кнопок. Установка идущего в комплекте программного обеспечения IntelliPoint позволяет очень гибко настроить кнопки, присвоив каждой из действие из весьма обширного списка, точно настроить скорость горизонтальной прокрутки и вертикальной прокрутки, а также дублирует настройки мыши из панели управления. Отдельно стоит отметить такую функцию, как увеличение. По умолчанию она назначается правой боковой кнопке (вместо \u0026quot;Вперед\u0026quot;), которую лично мне нажимать неудобно. Учитывая, что кнопками \u0026quot;Назад\u0026quot; и \u0026quot;Вперед\u0026quot; на мыши я не пользуюсь, то всегда переназначаю эту функцию левой боковой кнопке (вместо \u0026quot;Назад\u0026quot;), которую удобно нажимать большим пальцем. Активация этой функции выводит на экран окно экранной лупы в области курсора, которое позволяет не только рассматривать увеличенное изображение но и выполнять любые действия. Удобно, например, когда требуется отредактировать несколько мелких объектов на большом изображении, позволяя увеличить только нужный участок, без увеличения всего изображения.\nКачество изготовления мыши также на высоте, за более чем полтора года эксплуатации ничего нигде не скрипит, не разошлось, не отвалилось. В свете всего вышеперечисленного цена уже не кажется довольно высокой, а вполне соответствует качеству и возможностям продукта. Правда хочу вас предупредить об одной опасности, после покупки этой мыши, мыши остальных производителей могут перестать для вас существовать,а потом еще захочется Майкрософтовскую клавиатурку... Кстати данная мышь доступна не только как отдельный продукт, но и входит в состав набора Microsoft Wireless Laser Desktop 5000, куда кроме мыши входит еще очень неплохая беспроводная эргономичная клавиатура. Так что можно одной покупкой сразу убить двух зайцев... ","id":"e4ab33521125efc487a9153f0d18a2cd","link":"https://interface31.ru/post/obzor-microsoft-wireless-laser-mouse-5000/","section":"post","tags":["Microsoft","Мыши и клавиатуры"],"title":"Обзор Microsoft Wireless Laser Mouse 5000"},{"body":"29 сентября 2009 Microsoft анонсировала релиз бесплатного антивирусного пакетаSecurity Essentials (MSE). Естественно мы не могли пройти мимо такого события и как только у нас появилось свободное время, мы решили потратить его для ознакомления с данным программным продуктом. Результат нас приятно удивил, очень похоже что на рынке антивирусного ПО появился новый серьезный игрок...\nSecurity Essentials доступен для свободного скачивания в трех версиях: 32-бит для Windows XP, 32-бит и 64-бит для Windows Vista / Seven (скачать), к сожалению русская версия пока недоступна. Обращает внимание непривычно маленький размер инсталляционного файла: 8,61 Мб для XP и 4,28 / 4,71 Мб для 32 / 64 бит версии под Vista / Seven. Сразу хочется огорчить владельцев пиратских копий Windows, программа проводит проверку подлинности ОС и устанавливается только при ее успешном прохождении. По результатам тестирования AV-Test.org Security Essentials занял четвертое место, обнаружив 97,8% предложенных вирусов. Результат более чем серьезный и говорит о том, что продукт способен составить серьезную конкуренцию ведущим производителям антивирусного ПО.\nСначала мы решили ознакомится с 64-битной версией, установив ее на Windows 7 RC1. Порадовало то, что данная версия действительно 64-битная, что должно положительно сказаться на быстродействии и надежности данного решения. Это также дает пакету серьезное преимущество перед конкурентами на платформе x64.\nНе секрет, что большинство антивирусных программ ведущих производителей для 64-битной платформы остаются 32-битными, работая в режиме программной эмуляции (WoW64), что составляет потенциальную уязвимость, так как действительно 64-битный вирус вполне может, обойдя первую стадию защиты (антивирусный монитор, который работает через драйвер имеющий ту-же разрядность, что и система), оказаться \u0026quot;неизлечимым\u0026quot;, потому как 32-битное приложение будет неспособно получить доступ к 64-битному коду. Хотя это больше теоретические построения, реальной 64-битной заразы настолько мало, что не найти днем с огнем.\nИнтерфейс программы весьма лаконичен и не перегружает пользователя не нужной ему информацией, в то же время все необходимые данные присутствуют (статус защиты и актуальность баз). Настройки представляют из себя золотую середину - их немного, но все необходимое присутствует. Обычных пользователей вполне устроят настройки по умолчанию, для более опытных существует возможность задать исключения, настроить действия при обнаружении различных типов вредоносных объектов и т.п. Хочется отметить две отсутствующие у конкурентов полезных функции:\nСканирование по расписанию можно запускать только тогда, когда компьютер простаивает. Переоценить эту возможность трудно, ведь запуск антивирусного сканирования в процессе работы может быть довольно неприятным сюрпризом. Microsoft Security Essentials вполне способен подождать, пока вы завершите работу и только тогда приняться за выполнение задачи.\nСоздание точки восстановления системы перед лечением. Очень нужная и полезная функция. Нередки случаи когда после лечения система оказывается частично или полностью неработоспособна и восстановление системы может оказаться единственным способом быстро вернуть все как было, хотя бы для того, чтобы попробовать найти решение проблемы или сделать бэкап важных данных и настроек перед переустановкой.\nРесурсоемкость программы по сегодняшним меркам весьма скромная: около 40 Мб оперативной памяти в режиме монитора и до 100 Мб при проверке (в системе с 1 ГБ RAM), субъективно наличие антивируса в системе не ощущается. При выполнении проверки весьма сильно нагружается процессор, что впрочем типично для всех антивирусов. 32-битные версии ничем существенным не отличаются, разве что более умеренным потреблением оперативной памяти (примерно на 30-40% ниже), что вполне ожидаемо, 32-битный код сам по себе более компактен. Обновляется антивирус через службу Windows Update или вручную, по требованию пользователя.\nПри обнаружении вируса пользователю (при настройках по умолчанию) выводится окно с сообщением, которое позволяет выполнить действие по умолчанию (очистка системы) либо, развернув окно, получить более подробные сведения и самостоятельно выбрать необходимое действие. Что и говорить, новый антивирус произвел на нас только приятные впечатления. Единственным недостатком по мнению AV-Test.org является отсутствие эвристического анализатора. В тоже время мы не склонны усматривать в этом существенный недостаток. Большинство современных антивирусов, имеющих эвристический анализатор по умолчанию настроены на поверхностный анализ, что практически равносильно его отсутствию, на нашей памяти, кроме ложных срабатываний , что-то не припоминается случаев когда эвристический анализатор ловил заразу. Выставление же более глубокого анализа существенно замедляет проверку и увеличивает нагрузку на систему, да и большинство пользователей редко что либо меняют в настройках.\nЕсли Microsoft Security Essentials так же хорошо себя покажет в реальных ситуациях, то можно смело предполагать существенное изменение расклада на рынке антивирусного ПО. Бесплатный антивирус от известного производителя (что в данном случае немаловажно) способен потеснить коммерческие продукты на компьютерах многих бережливых пользователей. А производителям антивирусного ПО придется придумывать что-то новенькое. В выигрыше, не зависимо от выбора, все-равно должны остаться конечные пользователи, получив более лучшее и, возможно, более дешевое антивирусное ПО.\n","id":"17a78826808f8eb6b3966bc10597d0bc","link":"https://interface31.ru/post/microsoft-security-essentials-besplatnij-antivirus-dlja-windows/","section":"post","tags":["Microsoft","Windows Defender","Антивирус"],"title":"Microsoft Security Essentials - бесплатный антивирус для Windows"},{"body":"Вопрос правильного лицензирования серверных продуктов Microsoft один из наиболее актуальных для системного администратора. Необходимо правильно определить тип и количество необходимых лицензий, что не так то просто сделать. Схема лицензирования довольно сложна и запутана, а многочисленные советы, руководства и памятки на сайтах и форумах зачастую вносят еще большую неясность.\nОсновы лицензирования Среди всего многообразия семейства Windows Server 2008 наибольший интерес для малого и среднего бизнеса представляют две его редакции: Standart и Enterprise, поэтому мы будем рассматривать схему лицензирования применительно к этим версиям. Взяв за основу информацию только с официального сайта Microsoft мы постараемся сделать краткий конспект, позволяющий быстро определиться с необходимой схемой лицензирования и количеством лицензий.\nОсновная схема лицензирования для данных редакций это Сервер + Лицензия клиентского доступа (CAL). Это означает, что для каждого сервера в организации должна быть приобретена лицензия на серверную ОС + необходимое количество лицензий клиентского доступа. Серверную лицензию можно присвоить другому серверу не ранее, чем через 90 дней после последнего присвоения, или раньше, если исходный сервер окончательно вышел из строя.\nЛицензия Windows Server 2008 дает право использовать 32-битную либо 64-битную версию ПО, однако следует помнить, что некоторые средства (например технологию виртуализации Hyper-V) можно запустить только на 64-битной версии Windows Server.\nТипы лицензий и модели лицензирования Существуют два типа клиентской лицензии (CAL):\nна устройство (per Devices) - позволяет любому числу пользователей получать доступ к серверу с одного устройства. Данный тип лицензий удобно применять когда количество пользователей в сети больше количества устройств. Например когда шесть пользователей посменно работают с трех ПК.\nна пользователя (per Users) - позволяет одному пользователю получать доступ к серверу с неограниченного числа устройств. Данный тип лицензий удобен для организаций имеющий много мобильных пользователей или пользователей которым необходим доступ к серверу с нескольких устройств сети.\nЛицензии на пользователя и устройство имеют одинаковую стоимость и при их выборе следует исходить из реальной инфраструктуры предприятия. Допустимо использовать оба типа лицензий одновременно.\nДля Windows Server существует две модели лицензирования:\nна пользователя или устройство, эта модель предусматривает наличие лицензии CAL на каждого пользователя или устройство в сети не зависимо от количества серверов и дает возможность подключаться к любому из них. Данная модель обычно применяется в сети с несколькими серверами и применяется для любых серверных продуктов Microsoft (например SQL Server). Общее количество лицензий при такой схеме лицензирования должно быть равно общему числу ПК или пользователей в сети. на сервер, эта модель подразумевает ограничение количества подключений к серверу по количеству купленных лицензий. Лицензии приобретаются для конкретного сервера и их количество должно соответствовать максимальному количеству подключений к серверу в каждый конкретный момент времени. При достижении максимального числа подключений к серверу остальные устройства и пользователи сети, пытающиеся получить доступ к серверу не будут иметь такой возможности. Данная модель обычно применяется в сети с одним сервером или с редким использованием базовых функций сервера, а также для серверов удаленного доступа. Такая схема лицензирования применяется только для Windows Server. Лицензирование сервера терминалов Службы терминалов Windows Server 2008 требуют отдельного лицензирования. Для использования возможностей служб терминалов (TS) помимо клиентской лицензии (CAL) необходима клиентская лицензия на службы терминалов (TS CAL).\nTS CAL, также как и CAL предусматривает два вида лицензий: на устройство и на пользователя, предусматривающие аналогичные правила использования. Модель лицензирования предусмотрена только одна: на пользователя или устройство.\nHyper-V Средство виртуализации Hyper-V является одной из ключевых возможностей базовой ОС Windows Server 2008, однако не все пользователи испытывают потребность в виртуализации, поэтому предусмотрены версии Windows Server 2008 без Hyper-X, что явно отражено в их наименовании. Хотя стоимость этих версий несколько ниже, они имеют одинаковые с базовыми условия лицензирования, в т.ч. и по использованию виртуализации. В этом случае потребуется отдельно приобрести лицензию на средство виртуализации, будь то Hyper-V, Microsoft Virtual Server R2 или технология другого производителя (например VMware).\nДля лицензирования виртуальных машин предусмотрена следующая схема: 1+1 для Standart и 1+4 для Enterprise. Цифры обозначают количество виртуальных экземпляров ОС которые могут быть запущены на одном физическом экземпляре. Общее количество экземпляров ОС доступных для клиентов в каждый текущий момент времени не должно превышать 1 для Standart и 4 для Enterprise, т.е. при запущенной виртуальной системе физический экземпляр ОС Windows Server 2008 Standart можно использовать только для обслуживания виртуальной системы. Windows Server 2008 Enterprise позволяет использовать физическую систему вместе с тремя виртуальными. При запуске четвертой виртуальной системы физическую ОС также можно использовать только для обслуживания виртуальных машин.\nДанные правила распространяются не только на Hyper-V, но и на любую иную технологию виртуализации (MS Virtual Server, VMware и т.п.)\nСколько нужно лицензий? Теперь, ознакомившись с основами лицензирования можно попытаться грамотно ответить на этот вопрос. При этом надо учитывать, что клиентская лицензия CALне требуется в следующих случаях:\nДоступ к серверу осуществляется только через Интернет, причем не выполняется проверка подлинности или какая-то другая процедура идентификации ни с помощью серверного ПО, ни как-то иначе. Пример: доступ к веб-серверу на базе IIS.\nДля каждой лицензии на сервер доступ могут иметь устройства или пользователи (не более двух) исключительно с целью администрирования этого сервера.\nКлиентские лицензии CAL требуются также для пользователей или устройств имеющих опосредованный доступ к серверным функциям, например использующих DHCP-сервер.\nРассмотрим несколько примеров.\nПример 1 Наиболее простой и распространенный случай. Сервер используется как файловый сервер и роутер, для организации общего доступа в интернет, также используется DHCP сервер для конфигурирования внутренней сети. На сервере используется гостевой доступ, идентификация пользователей не производится.\nМногие ошибочно считают, что в данном случае достаточно одной серверной лицензии, а лицензии клиентского доступа не требуются (особенно когда сервер используется только как роутер и DHCP). Однако это не так, необходимо иметь лицензии CAL общим количеством равные количеству устройств или пользователей в сети (в нашем случае 5).\nПример 2 Организация имеет сеть на 9 ПК из них пять машин должны иметь доступ к файловому серверу для 1С Предприятие. В данном случае можно применить схему лицензирования \u0026quot;на сервер\u0026quot; и приобрести 5 CAL лицензий.\nПример 3 Организация имеет файловый сервер и сервер терминалов, имеет парк из 9 ПК, 4 из которых должны иметь доступ к файловому серверу, а на 5 ПК работают в терминальном режиме посменно 10 пользователей, также имеется два мобильных пользователя, которые должны иметь доступ через VPN к серверу терминалов. Также имеется рабочее место администратора.\nВ данном случае наиболее оптимальной будет следующая схема: для всех стационарных ПК приобретается 9 САL лицензий на устройство, для 5 ПК использующих службы терминалов дополнительно приобретается 5 TS CAL на устройство. Для мобильных пользователей более правильным будет использовать лицензии CAL + TS CAL на пользователя. Администратору клиентская лицензия не требуется, так как он получает доступ к серверам исключительно с целью администрирования.\nДополнительные сведения по лицензированию Windows Server 2008 можно найти на сайте Microsoft.\n","id":"9fc24a6f3c64a8e38379949e31716fba","link":"https://interface31.ru/post/licenzirovanie-windows-server-2008/","section":"post","tags":["Windows Server","Лицензирование"],"title":"Лицензирование Windows Server 2008"},{"body":"Windows Server 2008 вместе с поддержкой нового протокола RDP 6.0 содержит значительные усовершенствования Служб терминалов. К сожалению многие администраторы слабо осведомлены об этих улучшениях и не спешат их использовать. В данной статье мы коротко остановимся на наиболее значительных и интересных новых возможностях Служб теминалов.\nСлужба терминалов в Windows Server 2008 сделала большой шаг вперед, предлагая администратору и пользователям новые возможности, делающими работу в терминальном режиме еще более простой, удобной и безопасной. Нам хотелось бы остановится на трех основных нововведениях, таких как: удаленные приложения RemoteApp, позволяющие работать удаленно с отдельно выбранным приложением; Веб-доступ к службам терминалов и Шлюз служб терминалов, позволяющий получить доступ к терминальному серверу расположенному во внутренней сети предприятия из любого места.\nБолее удобным стал и мастер добавления ролей, теперь все необходимые компоненты можно выбрать в одном месте и не доставлять дополнительно, как это было в Win2k3. Следует заметить, что установка некоторых Служб ролей потребует установки дополнительных компонентов, например Веб-доступ потребует обязательной установки IIS. Для корректной работы Шлюза сервера терминалов следует иметь действующий SSL сертификат, для тестов и применения в небольших организациях можно использовать самозаверяющий сертификат, но мы все таки рекомендуем приобрести и использовать сертификат выданный одним из центров сертификации.\nВ остальном установка и настройка терминального сервера в Windows 2008 ничем не отличается от аналогичного процесса в Windows 2003, описанного нами в предыдущей статье, поэтому мы более не будем заострять на этом внимание и перейдем к описанию новых возможностей.\nУдаленные приложения RemoteApp Данная функция представляет одно из самых заметных и значительных усовершенствований служб терминалов и, на наш взляд, обязана стать одной из самых популярных и востребованных. Суть ее состоит в том, что вместо удаленного рабочего стола позволяет работать с отдельно выбранным удаленным приложением так, как будто оно установлено на клиенте. Это значительно повысит комфортность и производительность работы, ведь основной недостаток терминального режима, с точки зрения пользователя, это неудобство от переключения между двумя рабочими столами. Диспетчер удаленных приложений RemoteApp позволяет нам управлять удаленными приложениями, работать с ним довольно просто, запускаем мастер и в списке указываем те приложения, к которым мы хотим предоставить удаленный доступ и параметры их запуска. Теперь выбрав в списке удаленное приложение мы можем создать либо RDP файл для его запуска либо пакет установки для развертывания его на клиентском компьютере. Никакой существенной разницы между этими двумя способами нет, пакет установки содержит тот же самый RDP файл и иконку приложения к нему, помещает все это в специальную папку и создает ярлыки в меню Пуск и на Рабочем столе. При запуске от нас потребуется указать имя пользователя и пароль для доступа к серверу терминалов, если сохранить эти данные, то запуск удаленного приложения будет мало чем отличаться от запуска локального. Допускается запуск нескольких, в том числе одинаковых приложений, которые будут работать в одной пользовательской сессии. На рисунке ниже представлены окна 1С Предприятие 7.7 запущенного в режиме RemoteApp, как видно, для конечного пользователя они абсолютно ничем не отличаются от окон локально запущенных приложений. Важно:для поддержки этой и других, описанных ниже, возможностей Служб терминалов необходимо наличие на клиентской машине RDP клиента версии 6 и выше. В противном случае запуск удаленного приложения приведет к открытию обычной терминальной сессии.\nВеб-доступ к службам терминалов Данная функция позволяет получать доступ к службам терминалов через Интернет, используя для этого протокол HTTP / HTTPS, что позволяет существенно увеличить безопасность сервера, так как позволяет закрыть порт 3389 (RDP) на внешнем интерфейсе, а все взаимодействие будет происходить через стандартные 80 / 443 порты. При установке Веб-доступа к службам терминалов будет обязательно установлен веб-сервер IIS 7. На клиентской машине нужно набрать в браузере (только IE6 и выше) http(s)://адрес_сервера/ts, при первом обращении система предложит установить ActiveX компонент, который правда не всегда включается автоматически и в случае необходимости нужно включить его вручную. После успешной установки ActiveX компоненты становятся доступны службы RemoteApp и удаленный рабочий стол. Дальнейшая работа в этом режиме мало чем отличается от работы через RDP, мы без проблем запустили 1C Предприятие 7.7 в режиме RemoteApp. Данный режим очень удобен когда нужно организовать безопасное подключение к серверу из любой точки и любого компьютера. Минимальные требования для клиента: Windows XP SP2 / Windows Server 2003 SP1 и RDP 6.0.\nШлюз служб терминалов Еще одно нововведение направленное, как и веб-доступ, на организацию безопасного доступа к службам терминалов из внешних сетей. Шлюз позволяет получить доступ к Серверу терминалов расположенному во внутренней сети предприятия из внешних сетей без использования VPN доступа. Преимущества такого решения очевидны: многие провайдеры либо предоставляют доступ в интернет через VPN, либо ограничивают GRE пакеты (мобильные операторы), что делает невозможным установление VPN соединения вообще. К тому же работа через VPN дает доступ ко всей корпоративной сети, что тоже с точки зрения безопасности не всегда приемлемо.\nВ данном же случае пользователь устанавливает безопасное соединение со шлюзом, который перенаправляет пользователя на сервер терминалов во внутренней сети. Необходимым условием для подключения к шлюзу служб терминалов является наличие на клиентском компьютере действующего сертификата выданного сервером шлюза. Для тестов и небольших организаций можно использовать самозаверяющий сертификат, в иных случаях мы бы советовали использовать сертификат выданный одним из центров сертификации. Для получения самозаверяющего сертификата следует зайти в Диспетчер шлюза служб терминалов, выбрать необходимый сервер и войти в его свойства.На второй закладке выбрать Создать самозаверяющий сертификат, после создания сертификат следует вручную распространить по клиентам. Для этого достаточно скопировать и запустить файл сертификата на машине клиента. При настройке подключения с использованием шлюза указывается адрес сервера так, как во внутренней сети, а на последней вкладке Подключение настраиваются параметры шлюза. Опция \u0026quot;Не использовать шлюз терминалов для локальных адресов\u0026quot; позволяет работать напрямую с сервером находясь в офисе и через шлюз за пределами офиса (например дома или в командировке). При подключении необходимо вначале указать пароль для авторизации на сервере шлюза, а затем на сервере служб терминалов.\nЗаключение Современный бизнес отличается высокими требованиями к своевременному доступу к информации из любого места и в любое время, также выросли объемы этой информации с требования к их обработке. Новые возможности служб терминалов Windows Server 2008 как раз направлены на максимальное соответствование этим требованиям. Наряду с более удобным доступом к удаленным приложениям посредством службы RemoteApp, система предоставляет богатые возможности для работы из любой точки в любое время. Веб-доступ позволяет работать находясь в гостях или интернет-кафе используя любой соответствующий требованиям компьютер: достаточно иметь систему не ниже Windows XP SP2 с RDP 5 (RDP 6 для использования RemoteApp). Шлюз сервера терминалов предоставляет защищенный доступ к серверу находящемуся во внутренней сети из любой точки мира без оглядки на способ доступа и инфраструктуру провайдера.\n","id":"378e2af72d9cc746d24e534e24b928ab","link":"https://interface31.ru/post/windows-server-2008-novie-vozmozhnosti-sluzhb-terminalov/","section":"post","tags":["RDP","Windows Server","Сервер терминалов"],"title":"Windows Server 2008. Новые возможности служб терминалов"},{"body":"OpenSUSE третий по популярности Linux дистрибутив по рейтингу DistroWatch, точнее делит третье место вместе с Linux Mint (являющимся по сути одной из сборок Ubuntu). Поддержка со стороны Novell, которая использует OpenSUSE в качестве основы для своих корпоративных SLES и SLED, а также сотрудничество последней с Microsoft позволяет ожидать от этого дистрибутива достаточно много.\nУстановка OpenSUSE встретил нас загрузочным меню в традиционных серо-зеленых тонах. Богатое загрузочное меню диска позволяет выполнить как установку, так и восстановление системы. Также мы можем выбрать язык, разрешение экрана, тип ядра и т.п. Мы выбрали русский язык и разрешение 1440х900, по размеру нашего монитора. С языком никаких проблем не было, но вот установка почему-то все равно началась в разрешении 800х600. Далее инсталлятор провел детальный анализ системы и предложил нам на выбор: новую установку, обновление и восстановление уже установленной системы. Следующим шагом, после установки часового пояса, был выбор рабочего окружения. Это единственное окно где отсутствует установленное значение по умолчанию, сообщается что выбор рабочего стола дело вкуса и предлагается сделать выбор самостоятельно. Мы выбрали привычного нам Gnome. Разметка диска уже предлагает вариант по умолчанию, однако никто не мешает выполнить ее вручную. Система поддерживает два способа разметки диска: на основе разделов или на основе LVM. По умолчанию используется первый вариант, что на наш взгляд правильно, на обычном компьютере разметка на базе LVM избыточна, а для серьезных применений админ вряд ли будет разбивать диск на автомате. После чего вводим имя пользователя и пароль и начинается собственно установка системы. У нас она заняла около получаса.\nПервые впечатления После перезагрузки перед нами рабочий стол во все тех же зеленых тонах, правда обои по умолчанию нам не понравились и мы их сменили. Стандартное меню Gnome полностью заменено своим, по структуре приближенным к стартовому меню Windows. Однако отдельные вещи на наш взгляд сделаны неудобно, так кнопка приложения открывает отдельное окно с перечнем приложений, хотя по логике вещей стоило ожидать выпадающего меню.\nСтиль и структура окон, расположение элементов управления также максимально приближены к стилю Проводника Windows. Приглушенная цветовая гамма приятна для глаз и придает системе некоторый офисный вид. Порадовало, что система без напоминаний установила выбранное нами при установке разрешение экрана, да и вообще с основным оборудованием проблем не возникло: звук и сеть поднялись \u0026quot;из коробки\u0026quot;. Работа принтера и сканера также не вызвала нареканий. Для установки принтера пришлось воспользоваться кнопкой \u0026quot;Создать\u0026quot; в Центр управления - Печать. Далее система сама определила тип принтера и установила на него драйвер. Сканер определился самостоятельно, также никаких затруднений не вызвало использование Bluetooth адаптера.\nБез проблем примонтировалась флешка, а вот с USВ HDD отформатированным под NTFS неожиданно возникли проблемы. Как следовало из описания ошибки, система посчитала что NTFS том извлечен небезопасно и помечен как используемый, проверка тома утилитой Windows chkdsk не обнаружила ошибок, Ubuntu и Fedora также без проблем примонтировали том и позволили с ним работать. Решить проблему удалось подключением HDD к Windows машине с последующим безопасным извлечением. Странная капризность, а если Windows машины рядом не окажется? На худой конец можно было смонтировать том только на чтение. И вообще, принимая во внимание сотрудничество Novell с Microsoft можно было бы ожидать большего прогресса в этом вопросе.\nОфисные приложения Благодаря наличию OpenOffice эта часть тестирования становится наименее интересной и наиболее предсказуемой. Популярные офисные форматы поддерживаются в полном объеме, а наличие привычных шрифтов стало приятной неожиданностью. Благодаря этому в OpenSUSE офисные документы выглядят точно также, как они выглядели в Windows. Для офисного применения это большой плюс, так как многие документы: договора, фирменные бланки и т.п. при замене шрифтов, даже на аналогичные по начертанию, становятся непригодны для печати без исправления форматирования. Ложкой дегтя оказалось определение системой документов формата MS Office 2007 как ZIP архивов (чем они в принципе и являются) с соответсвующим назначением программы по умолчанию, хотя при принудительном открытии этих документов через OpenOffice все открылось нормально. Учитывая что Linux определяет тип файла не по расширению, а по содержимому простого способа сопоставить этот тип документов с OpenOffice мы не нашли, будем надеятся в следующей версии разработчики исправят этот досадный недочет.\nПоддержка архивов также реализована в полном объеме, мы без труда открывали как RAR, так и ZIP архивы. Не вызывает затруднений и работа с PDF документами. Для работы с проектами предлагается Planner, подробно рассмотренный нами в обзоре Fedora. О серьезной работе с ним говорить не приходится: минимум возможностей и отсутствие совместимости с MS Project, хотя бы на чтение, делают его чем-то подобным редактору WordPad в Windows.\nС одной стороны вроде бы специализированное приложение, с другой чуть менее чем полностью к серьезной работе непригодное. Удивляет тот факт, что создатели дистрибутивов продолжают включать в состав малопригодный к работе Planner, находящийся к тому же в ранней стадии разработки (текущая версия 0.14.3), игнорируя более серьезный аналог OpenProj. Мы скачали и установили последнюю версию продукта, которым смогли без труда открыть файл формата MS Project и работать с ним. Вторым большим преимуществом этого пакета является его кроссплатформенность, что снимает проблему совместимости несмотря на то, что программа работает со своим форматом документов. Для работы под Windows достаточно установить соответствующую версию программы. Потому что, даже если разработчики и доведут Planner до приемлемого уровня, оставаясь приложением Gnome он так и останется \u0026quot;вещью в себе\u0026quot;, потому как кроме как под Linux работать с его форматом файлов будет негде.\nВ том, что ведущие Windows разработчики введут поддержку его формата надеятся не приходится, и дело здесь не в идеологических соображениях, все гораздо банальнее: доля Linux систем на рынке весьма невелика и вкладывать средства в поддержку экзотических форматов разработчике просто экономически невыгодно.\nМультимедиа За базовую работу с изображениями отвечают уже хорошо знакомые нам Глаз Gnome и F-Spot, оба приложения отлично справляются со своими обязанностями, работают быстро и удобны в использовании. Из редакторов присутствует растровый GIMP, вполне годящийся для любительской обработки изображений. Единственным существенным недостатком которого является крайне неудобный многооконный интерфейс. Также в состав входит векторный редактор Inkscape, по возможностям уступающий профессиональным пакетам, таким как Adobe Illustrator или CorelDRAW, однако его возможностей вполне хватает для непрофессионального применения: сделать визитку, макет рекламной листовки и т.п. Родным форматом для Inkscape является SVG, что обеспечивает полную совместимость со всеми популярными векторными редакторами. Для профессионального применения Inkscape не годится, отсутствует,как минимум, поддержка CMYK и палитр PANTONE, в результате чего при попытке изготовить в нем макет для полиграфии мы рискуем увидеть на бумаге совсем не то, что на экране. Также в системе присутствует утилита для работы со снимками формата RAW - UFRaw, однако проверить в деле мы ее не смогли по причине отсутствия снимков в этом формате.\nВ качестве мультимедиа плеера по умолчанию в OpenSUSE выступает Banshee, на наш взгляд один из лучших Linux плееров. А вот с кодеками ожидаемо тяжело. Практически во всех современных дистрибутивах кодеки по лицензионным соображениям отсутствуют, однако пользователю дается возможность самостоятельно загрузить их, взяв на себя возможную ответственность за нарушение лицензии. В этом ключе следует рассматривать дистрибутивы по легкости установки пользователем недостающих кодеков.\nВ нашем случае система предложила нам выполнить поиск недостающих кодеков, согласившись с ней мы попали на сайт OpenSUSE где нам были перечислены недостающие кодеки и предложено было проследовать в вебшоп или на сайт комьюнити. Мы выбрали второе и без особых проблем нашли страницу с инструкциями по установке кодеков. Правда вся информация доступна только на английском и у пользователей не владеющих языком могут возникнуть определенные трудности. Поэтому приведем здесь краткую инструкцию. Необходимо загрузить и открыть с помощью Обработчика метапакетов YaST файл codecs-gnome.ymp (находится на этой странице), после чего нам останется подтвердить добавление репозитрариев и вручную разрешить зависимости. Несмотря на грозное название ничего сложного в этом нет, достаточно в открывшемся окне три раза установить переключатель в вариант \u0026quot;установить пакеты ....\u0026quot; и подтвердить установку. Также следует иметь под рукой установочный диск, он тоже понадобится в процессе установки. По окончании установки мы снова запустили mp3 файл, однако вместо музыки услышали... Точнее мы не услышали ничего, хотя картинка видеофайла исправно воспроизводилась. Опытным путем мы установили, что в настройках звука в Центре управления в качестве микшера надо выставить OSS, после чего проблем со звуком больше не было. Кроме того плеер Banshee не всегда корректно воспроизводил видео, выдавая иногда вместо картинки черный экран, с видеоплеером Totem, также присутствующим в комплекте, таких проблем не возникало и мы сделали его видеоплеером по умолчанию.\nИнтернет OpenSUSE традиционно укомплектован браузером Firefox версии 3.0.13, который ничем не отличается от своей Windows версии. Порадовало что при установке кодеков автоматически установился весь пакет необходимых расширений для работы с мультимедиа на веб-страницах, хотя до этого браузер сообщал нам, что необходимо установить недостающие плагины. В остальном набор интернет приложений традиционен: почтовый клиент Evolution, тоорент клиент Monsoon, Pidgin для он-лайн общения. Использование данного софта не вызывает никаких затруднений.\nПрочее Для записи дисков предназначена уже знакомая нам Brasero, прекрасно справляющаяся со своими обязанностями. Кроме того мы проверили программу для учета домашних финансов GNUcash 2.27 однако сочли ее слишком путаной и неудобной. Зато нам понравилась утилита Создание сервис-паков, с помощью которой можно создать архив всех установленных на машине пактов или их части. Для этого сначала нужно создать копию списка пакетов пользуясь верхним пунктом, затем можем отредактировать его в текстовом редакторе, оставив только необходимые пакеты. Затем на основе нашего листа формируется архив, который можно установить на целевой машине не имеющей, например, доступа в интернет. Менеджер обновлений предложил установить три критических обновления, после чего стало доступно еще около 50 критических и 70 важных обновлений, которые мы установили где-то за полчаса.\nИтоговые выводы В общем и целом дистрибутив нам понравился: добротно сделанная немецкая система. OpenSUSE можно смело рекомендовать для офисного применения, наличие Windows шрифтов делает работу с документами простой и комфортной, а главное не нужно заботится о совместимости и править форматирование открыв файл на другой платформе. Также можно рекомендовать систему и для домашнего применения, хотя и с некоторыми оговорками. Хотя с критическими проблемами мы не столкнулись, для разрешения возникавших ситуаций все же требуется некоторый опыт и базовые знания английского языка (это касается и установки кодеков). В остальном система показала себя весьма стабильной и удобной, а также нетребовательной к ресурсам.\n","id":"f00cc29dfb68c28f59d526b8c8d3aed6","link":"https://interface31.ru/post/obzor-populjarnix-linux-distributivov-opensuse-111/","section":"post","tags":["Linux","OpenSUSE"],"title":"Обзор популярных Linux дистрибутивов. OpenSUSE 11.1"},{"body":"Еще одним способом увеличения быстродействия корпоративных приложений и сокращения расходов на инфраструктуру является использование сервера терминалов. Его применение способно значительно повысить скорость работы ресурсоемких приложений, например 1С Предприятие, и является единственным решением, если нужно предоставить доступ к корпоративным приложениям удаленным пользователям (например филиалам или директору из любого места через интернет).\nВ силу определенной специфики, связанной с многопользовательской работой с приложениями крайне желательно роль терминального сервера добавлять одной из первых, во всяком случае до установки прикладного ПО.\nВ качестве базовой системы рекомендуется использовать Windows Server 2003 или Windows Server 2008, принципиальных отличий в настройке сервера терминалов в этих версиях нет, поэтому все сказанное справедливо для обоих систем. В нашем случае будет использоваться Windows Server 2003 SP2.\nВ оснастке Управление данным серверомвыбираем Добавить или удалить роль, запустится мастер настройки сервера и, если мы еще не добавляли ролей, предложит использовать типовую настройку или особую конфигурацию. Выбираем второе, в следующем окне указываем Сервер терминалов и жмем Далее. На этом этапе нам потребуется установочный диск Windows Server, который следует заранее иметь под рукой, по завершении установки сервер будет перезагружен. После перезагрузки видим, что роль сервера терминалов успешно добавлена, однако присутствует надпись, что поскольку не найден сервер лицензирования служб терминалов выдача лицензий прекратится через 120 дней. Необходимо установить сервер лицензирования. Для этого в оснастке Установка и удаление программ выбираем Установка компонентов Windows и в открывшемся окне ставим галочку на Лицензирование сервера терминалов. Теперь выбираем Пуск - Администрирование - Лицензирование сервера терминалов. В открывшемся окне выбираем Действие - Активировать сервер. В качестве способа активации указываем Автоподключение (нужен интернет) и заполняем небольшую анкетку. Указываем сведения об организации и электронную почту никаких номеров здесь не требуется, сама активация носит номинальный характер и не совсем понятно какой смысл в нее вкладывает Microsoft. По завершению активации будет запущен мастер клиентских лицензий. В окне Вид лицензирования выбираем программу лицензирования соответствующую имеющимся терминальным лицензиям. Для небольших фирм это как правило \u0026quot;Open License\u0026quot;, перед тем как продолжить убедитесь что все необходимые данные есть под рукой. Следующим этапом вводим данные лицензии а также количество и тип приобретенных лицензий. Более подробно со схемами лицензирования и типами применямых лицензий можно ознакомится здесь. Если все введено правильно статус нашего сервера изменится на активировано и можно будет просмотреть количество и тип установленных лицензий (а также количество выданных лицензий). Закончив с лицензированием переходим к настройке непосредственно сервера терминалов. Пуск - Администрирование - Настройка служб терминалов. В открывшемся окне мы видим единственное на данный момент подключение RDP-tcp, щелкаем правой кнопкой и выбираем Свойства. Первая закладка позволяет настроить уровень безопасности.\nЕсли предполагается использование сервера терминалов во внутренней сети можно оставить все по умолчанию, иначе следует перевести Уровень безопасности в положение Согласование, а Уровень шифрования установить как Высокий. При этом следует помнить, что клиенты не поддерживающие данный уровень безопасности не смогут подключится к нашему серверу терминалов. Например клиент идущий по умолчанию в поставке Windows XP SP2 не соответствует данным требованиям и будет необходимо вручную установить последнюю версию клиента. Следующая интересующая нас закладка это Удаленное управление, настраиваем ее как показано на рисунке ниже. Данная настройка позволит, в случае необходимости, подключаться и взаимодействовать с сеансом пользователя для разрешения возникающих проблем. На закладке Сетевой адаптер мы можем выбрать адаптер с которым будет использоваться данное подключение. Это позволяет создать и назначить разным сетевым интерфейсам различные подключения, так например мы можем создать одно подключение с низкой безопасностью для внутренней сети предприятия, а второе с высокой для клиентов подключающихся извне (через интернет или VPN).\nИ наконец закладка Разрешения, если мы не предполагаем использования нескольких подключений и разграничения прав пользователей по группам можно оставить все как есть, для доступа к серверу терминалов достаточно будет добавить пользователей в группу Пользователи удаленного рабочего стола. В противном случае добавляем сюда необходимые нам группы пользователей и устанавливаем им права Доступ пользователя + Доступ гостя. Таким образом можно удобно разграничить использование подключений группами пользователей, например дав доступ к подключению извне только Администратору и Руководству, а к внутреннему всем необходимым группам. Терминальный сервер настроен и после установки ПО будет готов принимать подключения пользователей. Здесь хотелось бы заострить внимание на еще одной тонкости: всю установку ПО для терминального сервера следует производить только через Установка и удаление программ - Установка программ. Ну вот и все. Осталось только настроить подключение на клиентах и пустить пользователей. Желаем вашему серверу долгой и стабильной работы.\n","id":"74da360556246d0cedd5452a951e16c7","link":"https://interface31.ru/post/windows-server-nastrojka-servera-terminalov/","section":"post","tags":["RDP","Windows Server","Сервер терминалов"],"title":"Windows Server. Настройка сервера терминалов"},{"body":"Одним из способов повысить быстродействие 1С Предприятия 7.7, особенно при работе с большими базами, является переход от файлового режима 1С к использованию SQL сервера. Несмотря на то, что оба продукта уже заканчивают свой жизненный цикл, данная тема остается довольно актуальной. В данной статье мы рассмотрим практическую настройку сервера для работы 1С Предприятия совместно с SQL Server 2000.\nНемного теории, или что нам дает SQL? Перед тем как браться за реализацию проекта, необходимо усвоить базовый объем знаний и твердо знать ответы на следующие вопросы: в чем основное отличие файлового и SQL вариантов работы 1С Предприятия, от чего зависит быстродействие в обоих случаях и какие требования предъявляются к оборудованию и сети. Непонимание этих, в общем то простых, вещей приводит к тому, что переход на SQL версию 1С не приносит желаемых результатов или вообще, результат противоположный ожидаемому.\nРассмотрим работу 1С в режиме разделения файлов. Вся обработка информации производится на рабочей станции, сервер играет роль общего файлового хранилища. Основные требования к такому серверу: быстрый жесткий диск и отказоустойчивость дисковой системы (обычно реализуется RAID 1, реже RAID 10). Обычно такой \u0026quot;сервер\u0026quot; представляет из себя обычную бюджетную машину с RAID контроллером и гигабитным сетевым адаптером.\nПри выполнении операции (отчета, обработки и т.п.) часть базы или даже вся база закачивается по сети на рабочую станцию, где уже и выполняется вся необходимая обработка данных. От чего зависит быстродействие в данном случае? В первую очередь от мощности рабочей станции и пропускной способности сети, более мощная машина будет более быстро строить отчеты и выполнять проводки.\nЕще одним важным параметром является размер базы данных, с ее ростом выше некоторых пределов быстродействие начинает падать в геометрической прогрессии. Основным узким местом становится пропускная способность сети, а основным фактором влияющим на быстродействие и определяющий критический размер базы является количество активных пользователей.\nНаш практический опыт показывает: для небольших рабочих групп (5-10 пользователей) критический размер базы начинается от 200-300 Мб. Бороться с этим можно увеличением быстродействия сети и оптимизацией потоков трафика в организации или ежегодной (ежеквартальной) сверткой БД.\nОднако свертка это не выход, для нормальной работы торгового предприятия необходимы данные как минимум за текущий год, да и данные прошлых периодов также бывают частенько нужны. Вложения в расширение пропускной способности сети себя как правило не окупают, размеры БД и объемы трафика в сети растут намного быстрее, особенно если руководство решит \u0026quot;немного\u0026quot; расшириться, на 1-2 рабочих места.\nТеперь посмотрим как обстоят дела в SQL варианте. Вместо таблиц все данные хранятся в одной SQL базе данных. Теперь рабочая станция передает на сервер короткие запросы, которые полностью обрабатываются на стороне сервера и рабочей станции возвращается конечный результат запроса. Это позволяет снизить трафик в разы и во столько же раз повышает нагрузку на сервер. К быстродействию рабочих станций особых требований не предъявляется, также будет вполне достаточно обычной 100 Мб сети.\nХотя следует помнить, что 1С Предприятие 7.7 для SQL довольно неоптимально и не использует многие возможности SQL сервера, поэтому часть данных обрабатываются не сервером, а рабочей станцией и в случае работы с емкими отчетами и обработками быстродействие рабочей станции тоже будет играть не последнюю роль. Основная же нагрузка ложится на сервер.\nРаспространенная ошибка - использование в качестве SQL сервера того же железа, что использовалось в качестве файлового сервера. Можно с уверенностью сказать, что результат будет противоположен ожидаемому. Если сразу пять пользователей запустят формирование отчетов, все эти пять отчетов будут формироваться сервером, следовательно вычислительных ресурсов сервера должно хватать для одновременной обработки запросов сразу от всех пользователей. Объем оперативной памяти должен быть достаточным для того, чтобы в нем полностью помещались SQL базы, также базы желательно вынести на отдельный от системы и других данных жесткий диск (дисковый массив), чтобы избежать конкуренции за доступ к головкам жесткого диска.\nВ случае совмещения SQL сервера с сервером терминалов на одной физической машине следует удостовериться, что ее ресуров достаточно для одновременной обработки запросов SQL сервера и клиентских приложений 1С, а оперативной памяти достаточно как для SQL сервера, так и для пользовательских приложений. В любом случае желательно ограничится выносом в терминал только 1С, прочие приложения желательно оставить на рабочих станциях, либо разнести сервер терминалов и SQL сервер по отдельным машинам. Также нежелательно совмещать на одном SQL сервере несколько объемных 1С баз. Как показывает практика, бывает дешевле купить под вторую базу отдельный сервер, чем покупать мощный сервер сразу под все базы.\nПодведем краткие итоги. Основные преимущества SQL сервера раскрываются при работе с базами большого объема, в тоже время нет никакого смысла переводить на SQL небольшие базы с малым количеством пользователей.\nОт теории к практике. Установка SQL сервера. Установка MS SQL Server 2000 проста и незамысловата, однако уже на стадии установки необходимо указать несколько отличных от установки по умолчанию параметров, необходимых для нормальной работы 1С. Платформой для установки сервера будет Windows Server 2003 SP2. Если вы устанавливаете версию SQL сервера с пакетом обновления ниже чем SP3, то система выведет вам грозное предупреждение, что устанавливаемая версия несовместима с системой, которое можно смело проигнорировать, практика показала - все работает прекрасно. Далее, в процессе установке принимаем все значения по умолчанию пока не дойдем до экрана Services Accounts, здесь устанавливаем переключатель в положение Use the Local System account На следующем экране выбираем вариант Mixed Mode и вводим пароль для пользователя sa, от имени которого мы будем подключаться к БД. Остальные параметры оставляем по умолчанию. По завершению установки желательно обновить SQL сервер до последней версии, установив SP4. Установка SP4 производится со значениями по умолчанию, кроме параметров соединения с сервером, здесь переводим переключатель в верхнее положение и вводим пароль для sa. После установки SP4 обязательно требуется установить исправление KB899761 (скачать) исправляющее медленную работу и неполную загрузку памяти SQL сервером. При установке исправления также необходимо указать авторизацию через sa с вводом пароля. Настройка 1С Предприятие Теперь, когда SQL сервер установлен и готов к использованию необходимо настроить 1С Предприятие. Напомним, что для работы с SQL сервером необходима отдельная версия 1С для SQL. Для успешной работы с SQL сервером в базе 1С должен быть заведен хотя бы один пользователь. Далее загружаем целевую базу в конфигуратор и производим выгрузку данных через Администрирование - Выгрузить данные. После чего создаем заготовку будущей БД, для этого в отдельную папку копируем все папки из рабочей базы данных и все файлы кроме файлов конфигурации и таблиц (V7Plus, библиотеки для работы с торговым оборудованием и т.п.) Следующим шагом необходимо создать новую SQL базу для хранени наших данных. Для этого запускаем Enterprise Manager. Разворачиваем дерево до уровня Databases и щелкнув правой кнопкой мыши в окне справа выбираем New Database. На первой закладке открывшегося окна вводим имя создаваемой базы, вторая и третья закладка определяют пути хранения файла БД и файла лога транзакций. По умолчанию предполагается их хранение в папке установки SQL сервера, однако желательно хранить их в отдельной папке рядом с базой 1С (желательно на отдельном жестком диске или на отдельном разделе). Создав базу, подключаем папку с заготовкой в качестве базы 1С и загружаем Конфигуратор. На вопрос выбора формата хранения данных указываем MS SQL Server, в Конфигураторе выбираем Администрирование - Параметры базы данных SQL и заполняем поля. В качестве сервера указываем сетевое имя машины, его можно подсмотреть в SQL Server Service Manager, щелкнув на значке в трее рядом с часами. В поле База Данныхвводим название базы, которое мы указали при ее создании в Enterprise Manager. Пользователь sa, ниже вводим его пароль. Если все данные введены правильно 1С успешно соединится с SQL базой, в противном случае мы получим сообщение об ошибке. Теперь остается загрузить данные в базу воспользовавшись пунктом меню Администрирование - Загрузить данные и указав файл выгрузки созданный ранее. Система выдаст несколько предупреждений, соглашаемся с ними нажимая на кнопку ОК. Если все сделано правильно и исходная БД не содержала ошибок мы должны получить сообщение Загрузка успешно завершена, теперь мы можем загружать БД и работать с ней в обычном режиме. Как видим ничего сложного нет, и при наличии должных навыков весь процесс занимает не более часа, при этом большая часть времени уходит на загрузку - выгрузку базы.\n","id":"4e589c23647c93609a30ee7ae44734f7","link":"https://interface31.ru/post/nastraivaem-1s-predprijatie-77-dlja-raboti-s-sql-server-2000/","section":"post","tags":["1С Предприятие 7.7","MS SQL","SQL","Windows Server"],"title":"Настраиваем 1С Предприятие 7.7 для работы с SQL Server 2000"},{"body":"Сегодняшний OS-обзор мы решили посвятить операционной системе PC-BSD, тем более что 7 июля вышел ее очередной релиз. Разработчики обещают нам сочетание классических плюсов FreeBSD, таких как надежность и безопасность с простотой установки и использования.\nУстановка PC-BSD встречает нас классическим для BSD систем текстовым загрузочным меню, если не предпринимать никаких действий запустится установка по умолчанию. Радует широкий выбор вариантов загрузки, что должно помочь справиться с проблемами совместимости оборудования и в случае необходимости восстановить систему. Далее следует текстовый режим загрузки инсталлятора, на котором предлагается проверить целостность установочного диска, после чего начинается графический режим установки.Выбираем язык установки, раскладку и часовой пояс. Следующий экран предлагает нам варианты установки: выбираем новую установку для настольных систем, после чего нам необходимо ввести пароль root'а и создать пользователя для входа в систему. Здесь нас ожидает первый сюрприз, по умолчанию стоит русская раскладка и ни одна комбинация переключения не действует, при том что имя пользователя обязательно должно быть на латинице. Возвращаемся назад и убираем русскую раскладку из списка доступных. Заполняем учетные данные, выполняем разметку диска и выбираем необходимые компоненты. Мы выбрали все, кроме разработки и образовательных программ. После чего можно попить кофе, пока система устанавливается на жесткий диск. Этот процесс занял у нас где-то полчаса, после чего система попросила перезагрузку.\nПервые впечатления При первой загрузке система вывела окно настройки видеопараметров, хотя наш монитор был обозначен как \u0026quot;неизвестный\u0026quot; у нас не возникло проблем с выбором и установкой необходимого разрешения. При выходе в систему мы услышали звук, а внизу рабочего стола увидели активный значок сетевого подключения - вроде бы с основным оборудованием проблем не возникло, все определилось. В качестве рабочей среды безальтернативно используется KDE 4.2.4, собственно ничего другого, зная любовь разработчиков к KDE, мы и не ожидали. Посмотрим как обстоят дела с периферией. Подключаем принтер HP LJ1160, устанавливать который пришлось вручную, через Меню - Приложения - Система - Печать, после выбора порта подключения и установки драйвера принтер заработал, напечатав пробную страничку.\nА вот со сканером Canon LiDE 25 оказалось все куда хуже. Немотря на то, что в USB устройствах он правильно определился как CanoScan все наши попытки хоть что нибудь посканировать не увенчались успехом. Штатная программа для сканирования Skanlite после недолгих раздумий сама закрылась, GIMP оказался необучен работе со сканером, а digiKam при нажатии на кнопку сканирования просто повис. Позже, несколько раз переподключив сканер, нам таки удалось заставить его работать. Как нам удалось выяснить, проблема в начальной инициализации устройства, которая чаще не происходит, чем происходит. От чего это зависит (может от расположения звезд) нам выяснить так и не удалось.\nBluetooth донгла, несмотря на свой почтенный возраст, определилась как неизвестное USB устройство, на чем мы и прекратили дальнейшие с ней действия. Наши опасения подтвердились, PC-BSD имеет те же самые проблемы с оборудованием, что и FreeBSD. Если для серверного применения это не играет особой роли (потому что железо подбирают под систему), то среди разномастного парка домашнего железа это способно доставить массу головной боли.\nНапоследок мы проверили работу с флешками, здесь все прошло гладко: тома автоматически монтируются, кириллица отображается корректно. Потом мы решили все-таки настроить переключение раскладки. Меню - Компьютер - Параметры системы - Язык и стандарты, добавляем русскую раскладку, переходим на следующую закладку и видим, что комбинация клавиш для переключения по умолчанию не определена. Тут мы решительно отказываемся понять разработчиков, если человек устанавливает две (или более) раскладки, то логично предположить, что он будет между ними переключаться. Неужели трудно повесить любую комбинацию (тот же Alt+Shift) по умолчанию?\nОфисные приложения Сказать честно, мы не ожидали никаких неожиданностей от этого этапа тестирования. Кроссплатформенный пакет OpenOffice давно стал де-факто стандартом офисного пакета в UNIX-like ОС, и должен одинаково хорошо справляться со своими обязанностями на любой платформе. Документы формата MS Office 97-2003 открылись нормально, но шрифты испортили все, кроме ужасного внешнего вида они, в большинстве случаев, полностью искажают форматирование документа, делая его непригодным к использованию и печати без дополнительного редактирования. Как видно на рисунке выше, прайс в формате Excel открылся, но работать с ним в таком виде практически невозможно. Еще одно нарекание вызвал размер надписей меню, особенно по сравнению с мелкими и аляповатыми кнопками. На наш взгляд размер шрифта следовало бы уменьшить как минимум вдвое. На рисунке ниже открытое окно файлового менеджера, обратите внимание на размер надписей, которые местами банально не помещаются в окне, и размер значков с учетом того, что разрешение монитора 1440х900. Еще один неприятный сюрприз: файлы формата MS Office 2007 по умолчанию распознаются как архивы (по сути так оно и есть, это zip архив с xml внутри), и единственным способом их открыть оказалось использование меню \u0026quot;Open a document\u0026quot; в предварительно запущенном OpenOffice.\nК нашей радости RAR и ZIP архивы поддерживаются из коробки, не вызывает нареканий и поддержка PDF. Хотя в общем и целом выводы неутешительные, систему можно признать условно пригодной для офисной работы. Трудности с внешним видом и проблемы совместимости явно не настраивают на рабочий лад и вряд ли у кого возникнет желание долгой и кропотливой ручной настройки системы ради набора текста и работы с таблицами. Возникает закономерный вопрос - неужели так трудно дополнить систему набором нормальных шрифтов, взятых из того же Linux, где этой проблемы давно не существует.\nМультимедиа Для просмотра изображений используется Gwenview, имеющий кроме своей основной функции еще и базовые функции обработки изображений. Кроме него в системе имеется еще несколько программ для просмотра и обработки изображений, кроме редактора GIMP, предложен еще и простенький редактор KolourPaint по возможностям соответствующий своему Windows тезке. В качестве менеджера фотографий предложен digiKam имеющий достаточно широкие возможности импорта-экспорта, обработки изображений, создания слайд-шоу, флеш галерей и т.д. и т.п. Хотя эти огромные шрифты и здесь все испортили, работать с программой имея меню в полэкрана, половину которых невозможно использовать без горизонтального скроллинга крайне неудобно.\nРазобравшись с изображениями мы решили послушать музыку, по умолчанию для этих целей предназначен KMPlayer, который поддерживает все современные аудиоформаты, нарекания возникли только по поводу внешнего вида (скажите, зачем в списке воспроизведения мне нужен полный путь к играемому файлу). Хотя для прослушивания музыки мы рекомендовали бы использовать имеющийся в наличии Amarok, весьма продвинутый аудиоплеер с богатыми возможностями и неплохим качеством воспроизведения, хотя в нашем случае мы так и не смогли проиграть с его помощью файл в формате .ape.\nОт музыки мы плавно перешли к видео. Как и с аудиоформатами все современные видеоформаты также поддерживаются по умолчанию. Но не все так гладко, если с видео записанном в хорошем качестве в форматах с низким сжатием проблем не возникло, то традиционные сжатые форматы DivX и Xvid смотрятся просто отвратительно. Мало того, что в плеере по умолчанию выключена постобработка, но и ее включение никоим образом ситуацию не улучшает. Дефекты сжатия, интерлейсная гребенка и прочие подобные \u0026quot;эффекты\u0026quot; во всем своем великолепии \u0026quot;радуют\u0026quot; наш глаз. Мы специально наложили на рисунок выше картинку одного и того же клипа (не самого лучшего качества) в Windows 7 (WMP 12) и РС-BSD. Несмотря на то, что KMPlayer не единственный видеопроигрыватель в системе, ситуация нисколько не меняется к лучшему. Приятным исключением стал VLC, обеспечивший высокое качество изображения даже для сжатых форматов (Почему бы не поставить его по умолчанию? Вопрос к разработчикам дистрибутива.).\nИнтернет Ну уж здесь что-либо испортить трудно, подумали мы и, к счастью, оказались правы. Набор программ от Mozilla и KDE уверенно справляется со всеми задачами встречающимися при использовании сети интернет. Отдельно порадовало, что Firefox 3.5 уже имеет \u0026quot;на борту\u0026quot; необходимые плагины для поддержки flash-анимации и мультимедиа на интернет страницах.\nУдобно использовать менеджер закачек KGet - достаточно перетащить ссылку на значок винчестера с зеленой стрелочкой. Для работы в файлообменных сетях предназначен KTorrent, который отлично справляется со своими основными функциями. Остальной набор интернет приложений стандартен: Pidgin (IM-клиент),Filezilla (FTP-клиент), Thunderbird (эл. почта).\nОтдельного внимания заслуживает клиент удаленного рабочего стола поддерживающий протоколы VNC и RDP.Нас более заинтересовал последний, так как позволяет использовать рабочую станцию под управлением PC-BSD в качестве терминального клиента в корпоративной среде. Введя адрес сервера и необходимые учетные данные мы успешно присоединились к нашему терминальному серверу, а в полноэкранном режиме вообще забываешь под какой системой сейчас находишься.\nПрочее На протяжении всего тестирования нам хотелось отметить общую тормознутость системы, несмотря на довольно мощный тестовый компьютер: Core 2 Duo E8300 (2,83 ГГц), Intel P45, 1 Гб PC8500. Может быть дело в KDE4, а может и нет... В качестве источника программ доступен только свой репозитарий в формате PBI (собственный формат предусматривающий установку по образу и подобию инсталлятора Windows), который весьма скуден. Никакого доступного пользователю инструмента управления пакетами (несмотря на то, что BSD имеет весьма обширное дерево портов, содержащий разнообразнейшее ПО) нет. Также мы не нашли программы для записи компакт-дисков, или по мнению разработчиков сегодня это не актуально? В наборе ПО мы также обнаружили Wine и не упустили случая опробовать его в действии. 1С Предприятие хотя и установилось, но запускаться отказалось, в тоже время Total Commander заработал без проблем. Попытка установить более серьезный софт, такой как MS Office 2003 или Adobe Photoshop потерпела фиаско еще на стадии установки.\nИтоговые выводы Приходится констатировать: BSD с человеческим лицом не получилось (вышел какой-то звериный оскал), система явно не подходит рядовому пользователю ни смотря на громкие рекламные заверения разработчиков. Система не готова выполнять даже простейшие повседневные задачи, исключая разве что серфинг в интернете (если не сильно напрягают кривые шрифты). Во всем остальном сплошные проблемы и недоработки, начиная от интерфейса (который мягко говоря не юзабелен) и заканчивая многочисленными проблемами совместимости. Так что пока данная система остается уделом небольшой группы энтузиастов и, возможно, привлечет некоторых поклонников FreeBSD, желающих видеть любимую ОС и на рабочем столе.\n","id":"ea7932b87d45304a367598e2a90c6f94","link":"https://interface31.ru/post/pc-bcd-711-bsd-s-chelovecheskim-licom/","section":"post","tags":["FreeBSD","PC-BSD"],"title":"PC-BCD 7.1.1 - BSD с человеческим лицом?"},{"body":"В прошлой статье мы рассмотрели настройку автообмена с использованием FTP- сервера. При всех описанных достоинствах этому методу присущ недостаток - передача информации по незащищенным каналам связи, что не всегда приемлемо. В данной статье мы рассмотрим организацию защищенного автообмена на базе предложенной ранее схемы.\nОсновным незащищенным местом протокола FTP является передача учетных данных (логина и пароля) открытым способом в виде простого текста. Злоумышленнику не составит труда их перехватить и использовать, на рисунке ниже окно сниффера в котором прекрасно видны учетные данные. Учитывая, что в нашем случае передается информация в ряде случаев составляющая коммерческую тайну, становится очевидно, что требуются меры по защите данных в процессе автообмена. С другой стороны для пользователя, который чаще всего не является специалистом в данной области, процесс автообмена должен оставаться максимально простым (сводиться к нажатию ярлыка).\nИспользуем защищенный протокол SFTP Протокол SFTP предназначен для копирования и выполнения других операций с файлами поверх надёжного и безопасного соединения. Как правило, в качестве базового протокола, обеспечивающего соединение, используется протокол SSH, что обеспечивает весьма высокую защищенность соединения. Чтобы начать использование SFTP достаточно иметь его поддержку со стороны сервера, так большинство хостеров предоставляют доступ к шеллу через SSH, что дает возможность использовать SFTP. Так как в основу нашей системы положен WinSCP, то никаких дополнительных компонентов нам не понадобится, достаточно внести изменения в конфигурационные файлы.\nДля начала откроем get.ini, закомменитруем строку включающую автоподтверждение действия по умолчанию и внесем изменения в параметры соединения с сервером:\n1# Автоматическое подтверждение действия по умолчанию 2# option confirm off 3 4# Соединяемся с сервером 5open sftp://login:password@mysite.ru Теперь запустим WinSCP командой:\n1winscp.exe /console /script=get.ini В ответ получим приглашение принять ключ хоста и скопировать его в кэш, но не спешим этого делать, сначала скопируем ключ (клавиша C) и снова откроем get.ini. Раскомментируем автоподтверждение, а в параметры подключения добавим скопированный нами ключ:\n1# Автоматическое подтверждение действия по умолчанию 2option confirm off 3 4# Соединяемся с сервером 5open sftp://login:password@mysite.ru -hostkey=\u0026#34;ssh-dss 1024 xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx\u0026#34; В put.ini достаточно изменить только секцию соединения с сервером. Подключение настроено, теперь нужно разобраться с путями. Для FTP корневым является домашний каталог, все пути далее строятся от него, работая через SFTP пути необходимо указывать от корня файловой системы сервера (абсолютный путь), узнать этот параметр можно у хостера или администратора сервера. Так в нашем случае для FTP мы указывали путь:\n1/tis/F9.zip Для SFTP этот же путь имеет вид:\n1/www/users/interface31/tis/F9.zip Изменив пути в файлах скриптов можно проверять работу автообмена, только уже по защищенному протоколу. Можем запустить сниффер и убедиться, что никаких лишних данных в сеть не утекает. Как видим, благодаря использованию WinSCP, настройка системы на работу по защищенному протоколу занимает минимум времени и производится \u0026quot;легким движением руки\u0026quot;\nШифруем данные Следующим этапом защиты данных при автообмене является их шифрование. Описанный ниже метод кожно использовать как совместно с защищенным доступом так и отдельно, если применение SFTP по каким-то причинам невозможно. Несмотря на кажущуюся сложность этого процесса, реализуется шифрование довольно просто и если вы будете следовать нашим рекомендациям то никаких проблем быть не должно. В качестве программы для шифрования мы будем использовать GnuPG (скачать) бесплатную кроссплатформенную утилиту с интерфейсом командной строки. В качестве языка установки (не путать с языком инсталлятора) выбираем русский, чтобы было проще понимать, что она от нас хочет. После установки нужно добавить путь к каталогу с программой в переменнуюPATH.\nПеред ее использованием нам надо создать два (или более, по числу филиалов) набора ключей. Для этого запускаем командную строку и набираем команду:\n1gpg.exe --gen-key Система предложит выбрать тип генерируемого ключа, не вдаваясь в подробности выбираем тип 1 \u0026quot;DSA и ElGamal\u0026quot; , срок действия ключа (нас устроит бессрочный) а также вводим имя, e-mail и комментарий (необязательно). Далее задаем пароль, для защиты ключа и ждем пока идет процесс рандомизации, для его ускорения можем понажимать на клавиши или подвигать мышку. По завершении генерации ключа необходимо экспортировать открытый ключ для расшифровки, который мы передадим в филиал. Это можно сделать командой:\n1gpg.exe --output f:\\office.gpg --export office@company.com В нашем случае мы выгрузили ключ на съемный диск F: под именем office.gpg, параметр office@company.com указывает ID того ключа, который необходимо выгрузить (этот e-mail мы указали при генерации ключа шагом ранее).\nАналогичные действия проводим и на компьютере филиала. Теперь необходимо импортировать полученный из филиала открытый ключ (в нашем случае это filial.gpg):\n1gpg.exe --import f:\\filial.gpg и подписать его:\n1gpg.exe --edit-key filial@company.com По выполнении данной команды появится приглашение командного интерпретатора GnuPG, вводим команду sign и подтверждаем свои действия, после подписания вводим команду save. Такие же действия необходимо повторить с открытым ключом office.gpg на компьютере филиала. Теперь мы готовы принимать и отправлять зашифрованные данные.\nТеперь откорректируем Avtoobmen.bat, добавим в него строки для рашифровки полученного файла обмена:\n1gpg.exe --output С:\\1c_bases\\DB\\PC\\F9.zip --passphrase 123456 --yes --decrypt С:\\1c_bases\\DB\\PC\\F9.zip.pgp И зашифровки выгруженного:\n1gpg.exe --output С:\\1c_bases\\DB\\CP\\F8.zip.gpg --yes --encrypt --recipient office@company.com С:\\1c_bases\\DB\\CP\\F8.zip На первый взгляд приведенные выше команды могут показаться \u0026quot;китайской грамотой\u0026quot;, однако все очень просто, GnuPG имеет следующий синтаксис:\nВ итоге наш Avtoobmen.bat должен выглядеть следующим образом:\n1winscp.exe /console /script=get.ini 2 3gpg.exe --output С:\\1c_bases\\DB\\PC\\F9.zip --passphrase 123456 --yes --decrypt С:\\1c_bases\\DB\\PC\\F9.zip.pgp 4 5\u0026#34;C:\\Program Files\\1Cv77\\BIN\\1cv7.exe\u0026#34; CONFIG /D\u0026#34;С:\\1с_bases\\DB\\\u0026#34; /NAvtoobmen/P123456 /@С:\\1с_bases\\script\\autoexec 6 7gpg.exe --output С:\\1c_bases\\DB\\CP\\F8.zip.gpg --yes --encrypt --recipient office@company.com С:\\1c_bases\\DB\\CP\\F8.zip 8 9winscp.exe /console /script=put.ini Остается изменить команды get и put для выгрузки / загрузки не F8.zip / F9.zip а зашифрованных F8.zip.gpg / F9.zip.gpg в файлах get.ini и put.ini соответственно. Эти же операции проводим на компьютере филиала, после чего у нас будет полностью рабочая система автообмена с шифрованием данных.\n","id":"389a49f53b41e65da4b3eddf5b8a6679","link":"https://interface31.ru/post/1s-predprijatie-77-zaschischennij-avtoobmen-cherez-ftp/","section":"post","tags":["1С Предприятие 7.7","FTP","GnuPG","WinSCP","Автообмен"],"title":"1С Предприятие 7.7 Защищенный автообмен через FTP"},{"body":"По мере роста организации возникает необходимость оперативного обмена информацией бухгалтерского и оперативного учета. На базе 1С Предприятие данный вопрос решается при помощи стандартной компоненты управления распределенными информационными базами (УРИБ). В данной статье мы рассмотрим создание и настройку надежной системы автообмена на базе ftp-сервера.\nБазовые возможности УРИБ предусматривают использование электронной почты, в частности требуется наличия MS Office Outlook, что не всегда приемлемо. Альтернативой может служить использование компоненты URBD4Mail, однако у нее иногда бывают проблемы совместимости. Кроме того при использовании электронной почты трудно достичь стабильной работы системы.\nВо многом это связано с особенностями данного вида связи, такими как: ограничение максимального размера вложения, возможные задержки при передаче сообщения, ошибки в работе спам-фильтров, предельный размер почтового ящика (который может оказаться забит спамом). Более удобным и надежным способом способом организации автообмена будет использование ftp-сервера. Сервер может быть как корпоративным, так и внешним (провайдера интернет или хостинг провайдера).\nСоздаем распределенную БД Первым делом нам необходимо создать распределенную БД, это делается стандартными средствами 1С Предприятия и требует наличия компоненты УРИБ. В нашем случае это будет конфигурация Торговля и Склад (ТиС). Для этого заходим в Конфигуратор, выбираем Администрирование - Распределенная ИБ - Управление, сначала создаем центральную ИБ (нажав соответствующую кнопку) затем периферийные ИБ в необходимом количестве. В папке с базой не забываем создать два каталога с именами \u0026quot;PC\u0026quot; и \u0026quot;CP\u0026quot; на латинице (\u0026quot;периферия-центр\u0026quot; и \u0026quot;центр-периферия\u0026quot; соответственно), в настройках автообмена следует установить автоматический режим для всех периферийных баз. После чего необходимо выгрузить данные для каждой периферийной базы (кнопка Выгрузить данные). Отдельно хотелось бы обратить внимание, что все пути к базам и названия папок баз должны быть только на латинице. Теперь необходимо развернуть периферийную БД на целевой машине. Для этого нам потребуется файл выгрузки (находится в каталоге CP базы данных) и заготовка базы. Для создания заготовки необходимо скопировать из целевой базы все каталоги и необходимые файлы и библиотеки (V7Plus.dll, компоненты для работы с торговым оборудованием и т.п.), пример такой заготовки на рисунке слева. На удаленной машине подключаем папку с заготовкой базы и загружаем ее в Конфигуратор, далее Администрирование - Загрузить данные указываем файл выгрузки и загружаем в базу данные. Осталось произвести окончательную настройку баз - установить префиксы БД (каждая база должна иметь свой уникальный префикс), откорректировать списки пользователей и, если необходимо, привести в соответствие печатные формы. Следует помнить, что все изменения конфигурации следует производить только в центральной базе, а печатные формы, списки пользователей и прочее содержимое каталогов Extforms и ExtDb следует изменять для каждой базы в отдельности (изменения этих каталогов при автообмене не учитываются).Также необходимо создать в каждой базе пользователя для автообмена с правами Администратора и обязательно задать для него пароль, имя пользователя обязательно должно быть на латинице.\nНастраиваем автообмен Для настройки автообмена через ftp можно использовать входящий в поставку Windows клиент ftp.exe, однако мы рекомендуем использовать для этих целей бесплатную программу WinSCP (скачать), к преимуществам которой можно отнести широкие возможности скриптового языка и работу по защищенным протоколам. Из папки с установленной программой нам необходим только один файл WinSCP.exe, который мы помещаем в отдельную папку, здесь же будут храниться все необходимые скрипты (В нашем примере C:\\1c_bases\\script). Сама процедура автообмена выглядит следующим образом:\nДля пользователя процесс должен быть максимально простым и сводиться к запуску единственного ярлыка. Рассмотрим содержимое скриптов для центральной базы. Создадим текстовый документ следующего содержания:\n1# Вывод лога на экран 2option echo on 3 4# Автоматическое подтверждение действия по умолчанию 5option confirm off 6 7# Соединяемся с сервером 8open ftp://login:password@mysite.ru -passive 9 10# Загружаем файл обмена в каталог БД 11get /tis/F9.zip С:\\1c_bases\\DB\\PC\\F9.zip 12 13# Отсоединяемся от сервера 14close 15 16# Закрываем WinSCP 17exit Сохраним его как get.ini, это скрипт загрузки обмена с ftp, в данном файле мы использовали следующие обозначения:\nДля загрузки файлов на сервер создадим скрипт put.ini, который аналогичен get.ini и отличается от него одной строкой:\n1# Вывод лога на экран 2option echo on 3 4# Автоматическое подтверждение действия по умолчанию 5option confirm off 6 7# Соединяемся с сервером 8open ftp://login:password@mysite.ru -passive 9 10# Загружаем файл обмена на сервер 11put С:\\1c_bases\\DB\\CP\\F8.zip /tis/F8.zip 12 13# Отсоединяемся от сервера 14close 15 16# Закрываем WinSCP 17exit Для пакетного запуска 1С в режиме автообмена создаем следующий скрипт, и сохраняем его как autoexec.prm\n1[General] 2 3AutoExchange=Y 4Quit=Y 5Output=C:\\1c_bases\\script\\avtoobmen.log 6 7[AutoExchange] 8 9SharedMode=Y 10ReadFrom=* 11WriteTo=* Команда Output задает путь для вывода лог-файла в который будет выводится результат обмена. Для автоматического запуска наших скриптов создадим пакетный файл Avtoobmen.bat и напишем в него следующие строки:\n1winscp.exe /console /script=get.ini 2 3\u0026#34;C:\\Program Files\\1Cv77\\BIN\\1cv7.exe\u0026#34; CONFIG /D\u0026#34;С:\\1с_bases\\DB\\\u0026#34; /NAvtoobmen/P123456 /@С:\\1с_bases\\script\\autoexec 4 5winscp.exe /console /script=put.ini Первая строка запускает загрузку автообмена с ftp-сервера, вторая запускает 1С в пакетном режиме, после ключа /D указывается в кавычках путь к БД так, как он прописан в окне запуска 1С, ключ /N указывает пользователя для допуска у БД, а ключ /P его пароль. Последний ключ /@ указывает путь к файлу autoexec.prm без кавычек. Обратите внимание, что между ключем и его параметром пробелы отсутствуют. Третья строка запускает загрузку на сервер. Если все пути и учетные данные указаны правильно, то по запуску bat-файла должно появиться черное окно консоли WinSCP, затем окно конфигуратора 1С, затем снова консоль WinSCP, которая закроется автоматически.\nДля периферийной базы необходимо изменить get.ini и put.ini на загрузку / выгрузку файлов соответствующих базе. В нашем примере следует изменить следующие строки (будем считать, что пути к базам на обоих машинах одинаковы):\nget.ini\n1get /tis/F8.zip С:\\1c_bases\\DB\\CP\\F8.zip put.ini\n1put С:\\1c_bases\\DB\\PC\\F9.zip /tis/F9.zip В окончание настройки следует внести коррективы в Avtoobmen.bat с учетом реальных путей файлам и параметров доступа к базе. В дальнейшем обмен осуществляется запуском пользователем ярлыка на Avtoobmen.bat.\n","id":"ad971c693c785d3e481e195ed96d56be","link":"https://interface31.ru/post/1s-predprijatie-77-nastrojka-avtoobmena-cherez-ftp/","section":"post","tags":["1С Предприятие 7.7","FTP","WinSCP","Автообмен"],"title":"1С Предприятие 7.7 Настройка автообмена через FTP"},{"body":"Fedora 11 - второй по популярности дистрибутив на DistroWatch, хотя и довольно значительно уступающий Ubuntu. Но в тоже время поддержка и спонсирование фирмой Red Hat заставляют относится к этому дистрибутиву весьма серьезно. Мы скачали образ последней версии и решили проверить ее в работе.\nУстановка Простое текстовое меню содержит стандартный набор опций, для установки достаточно щелкнуть Enter или просто подождать, после чего запустится фирменный инсталлятор Fedora - Anaconda. Русский язык присутствует и каких либо сложностей инсталляция системы не вызывает. Опытные пользователи могут самостоятельно разметить диск и выбрать набор устанавливаемых пакетов, новичков устроят параметры по умолчанию. Единственное, на что мы хотели бы обратить внимание, не обладая достаточными знаниями в области файловых систем, разметки дисков и загрузчиков ОС, не пытайтесь ставить Linux на один диск с Windows, лучше выделите для этого отдельный жесткий диск, чтобы потом не было мучительно больно по поводу безвозвратно утерянной информации.\nВ остальном установка не вызывает каких либо сложностей и занимает не более получаса. Это, конечно дольше, чем у Ubuntu, но ведь здесь в нашем распоряжении целый DVD\nПервые впечатления Первая загрузка, окно авторизации, на все наши потуги нажать мышкой на свою учетную запись система отреагировала довольно странными тормозами и зависла... Перезагрузившись, мы все-таки смогли попасть в систему, однако наша тестовая машина с 512 Мб RAM на борту, на которой отлично работала Ubuntu, пришлась системе явно не по вкусу, для комфортной работы пришлось расширить оперативную память до 1 Гб. С одной стороны может и не стоило бы заострять на этом внимание, оперативка сегодня дешева до неприличия, с другой несколько странные вариации для систем имеющих идентичное ядро и рабочее окружение. Тем более одним из козырей Linux всегда была нетребовательность к системным ресурсам.\nРусский язык установился по умолчанию, никаких дополнительный действий по русификации предпринимать не нужно. С оборудованием каких либо проблем не возникло. Принтер HP LJ 1160, сканер Canon LiDE 25 и Bluetooth адаптер Tekram отлично распознались и заработали без каких либо усилий с нашей стороны. Достаточно большим минусом можно назвать то, что каждая новая пака открывается в новом окне и мы не нашли где это отключить. Весьма странное решение для современного дистрибутива, при необходимости работать с несколькими папками с уровнем вложенности 2-3 мы получим на рабочем столе кашу из открытых окон, в которой практически невозможно ориентироваться.\nОфисные приложения В качестве офисного пакета по умолчанию предусмотрен Open Office 3, поэтому никаких затруднений при работе с документами формата MS Office мы не испытывали, да и сама работа с пакетом ничем отличается от его Windows версии. Поддержка pdf также осуществляется \u0026quot;из коробки\u0026quot;, как и поддержка zip архивов. Поддержки rar традиционно нет, однако наша попытка получить необходимые пакеты в репозитории споткнулась о неожиданный результат: на наш запрос rarмы получили все что угодно, но только не архиватор, аналогичный результат ожидал нас и по запросу unrar. Поиск на сайте русскоязычного сообщества привел нас на rpmfusion.org, откуда мы скачали необходимый rpm-пакет. Который однако отказался устанавливаться, попытка установки через консоль также завершилась неудачно, вывалив большое количество ошибок. Поиск через Google по запросу rar rpm for fedora 10 (подсказанный самим Google) наконец-то привел нас на сайт, откуда мы смогли скачать и установить необходимый пакет. Мы понимаем, что rar не самый популярный на Западе формат архивов, но и не настолько малораспространенный, чтобы с ним не считаться. Практически для всего постсоветского пространства и части восточной Европы это формат архива по умолчанию.\nПопутно выявился еще один значительный недостаток: по умолчанию не установлено ни одно сочетание клавиш для переключения раскладки клавиатуры, хотя обе раскладки в настройках клавиатуры присутствуют. Следующий минус: меню Параметры раскладки \u0026quot;забыли\u0026quot; перевести на русский язык и для слабо знающего английский пользователя настройка необходимого сочетания клавиш может быть произведена только методом \u0026quot;научного тыка\u0026quot;. Непонятен подход разработчиков, неужели трудно повесить переключение раскладки на одну из распространенных комбинаций клавиш? Дополнительно в набор офисных инструментов включен Planner Управление проектами и мы не могли не ознакомится с его возможностями. Для повседневной работы и управления несложными проектами его возможностей вполне достаточно, интерфейс вполне понятен, работать удобно, диаграммы выглядят вполне приемлемо. После чего мы решили проверить, как обстоят дела с совместимостью. Наиболее популярным приложением для планирования является MS Project и хотелось бы иметь возможность свободно обмениваться файлами проектов с этим приложением. Но увы, Planner не открывает файлов в формате MS Project, возможен только импорт через XML, если это можно назвать импортом. На рисунке слева мы поместили поверх скриншота изображение импортированной диаграммы в родном приложении. Очевидно, что такой способ сгодится только как крайняя мера, в остальных случаях легче создать проект заново. Для сохранения Planner использует свой формат, несовместимый с иными аналогичными приложениями, нет возможности даже экспорта в XML. Здесь мы отказываемся понять логику разработчиков, будем смотреть правде в глаза - Linux на десктопе, в т.ч. в корпоративной среде, находится в роли догоняющего, и следовало бы стремиться к достижению совместимости с наиболее популярными Windows приложениями, а не возводить дополнительные стены в виде несовместимых форматов и т.п.\nМультимедиа Как и прошлый раз мы начали с работы с изображениями. Здесь все привычно для Gnome окружения: просмотрщик Глаз Gnome, каталогизатор F-Spot и редактор GIMP. Работа данных приложений слабо зависит от конкретного дистрибутива и ничего нового здесь не скажешь. Более подробно с их работой можно ознакомиться в нашем обзоре Ubuntu. А дальше пошли сплошные затруднения... При попытке проиграть mp3 файл Totem (проигрыватель по умолчанию) просто упал с ошибкой. Аналогичной была его реакция на любые другие аудиоформаты, даже на свободные Ogg Vorbis и FLAC. Как и в случае с rar, отыскать что либо подходящее (а именно Gstreamer) в репозитариях не увенчалось успехом, мы прекрасно понимаем, что разработчики по лицензионным соображениям исключили из дистрибутива поддержку закрытых мультимедиа форматов, но почему не дать пользователю возможность (как в Ubuntu) самому установить недостающие пакеты, беря на себя риск возможного нарушения лицензии.\nПришлось обратиться к Google. Теоретически ничего сложного: подключить репозитарии от rpmfusion.org и установить gstreamer. Для консоли этот вариант будет выглядеть так:\n1su -c \u0026#34;rpm -Uvh http://download1.rpmfusion.org/free/fedora/rpmfusion-free-release-stable.noarch.rpm\u0026#34; 2su -c \u0026#34;rpm -Uvh http://download1.rpmfusion.org/nonfree/fedora/rpmfusion-nonfree-release-stable.noarch.rpm\u0026#34; 3su -c \u0026#34;yum install gstreamer gstreamer-plugins-bad gstreamer-plugins-ugly\u0026#34; Если нет желания заморачиваться с консолью, то достаточно подключить два репозитария по ссылкам:\nИ установить пакеты gstreamer, gstreamer-plugins-bad и gstreamer-plugins-ugly.\nОднако это нисколько не повлияло на ситуацию, любое мультимедийное приложение при попытке что-либо проиграть продолжало падать с ошибкой. Установленный нами из репозитария Bansheeпри нажатии на кнопку Play без каких либо \u0026quot;объяснений\u0026quot; закрылся. Скажем сразу, добиться воспроизведения аудио- видеоформатов в Fedora 11 мы так и не смогли и дальнейшие \u0026quot;танцы с бубном\u0026quot; по этому вопросу сочли нецелесообразными и выходящими за рамки данного обзора.\nИнтернет Ну уж здесь испортить что либо трудно, подумали мы, но оказались не совсем правы, хотя обо всем по порядку. В качестве браузера традиционно используется Firefox 3.5 beta 4, для которого доступны обновления до последней версии. С плагинами для отображения мультимедиа содержимого все обстоит традиционно, правда Flash-плагин автоматически установится не смог, предложив сделать это вручную и перенаправив нас на страницу загрузки на сайте Adobe. Там мы выбрали rpm-пакет и успешно установили дополнение (под Windows мы тоже неоднократно сталкивались с подобной ситуацией).\nДля работы с почтой предложен Evolution, не ожидая никакого подвоха, мы ответили на все вопросы мастера начальной установки и при первом запуске приложение... закрылось с ошибкой. При повторном запуске программа успешно запустилась, приняла почту и повисла, причем наглухо, вместе с системой. В дальнейшем Evolutionзавис еще один раз, при добавлении еще одного почтового аккаунта, после чего нормально отправлял и принимал почту. К нашей радости IM- и торрент- клиенты Pidgin и Transmissionсправились с возложенными на них задачами без каких либо проблем.\nПрочее Из прочего софта мы проверили запись дисков, успешно записав DVD болванку, немного удивило наличие одной и той же программы сразу в двух пунктах меню, будучи запущен из раздела \u0026quot;Аудио и Видио\u0026quot; Brasero открывается с полноценным интерфейсом и предлагает создать новый проект, будучи запущен из раздела \u0026quot;Стандартные\u0026quot; он открывает единственное окно, в которое предлагает перетащить файлы для записи. Менеджер обновлений радостно сообщил нам, что нам доступны 403 обновления общим объемом 1,3 Гб, причем в большинстве своем это исправление ошибок. Что на наш взгляд несколько многовато для системы релиз которой состоялся чуть более двух месяцев назад (для сравнения Ubuntu 9.04, выпущенная в апреле, предложила нам загрузить всего 134,4 Мб обновлений). Фактически объем обновлений уже сейчас приблизился к трети объема дистрибутива, может стоило бы пожалеть время, деньги и нервы пользователей и пересобрать дистрибутив?\nИтоговые выводы Основное впечатление, которое навязчиво преследовало нас практически с самого начала тестирования, это ощущение очень сырой бета-версии, которую по непонятной причине нарекли релизом и вручили пользователю. Или Red Hat решила обкатать на пользователях рекордную массу технических новшеств, используя сообщество Fedora в качества армии бета-тестеров?\nВ любом случае мы настоятельно не рекомендуем Fedora 11 к установке, особенно для неподготовленного пользователя. Дистрибутив крайне нестабилен, часть функций практически неработоспособна (мультимедиа), постоянные баги делают невозможным даже базовое повседневное применение системы. Изменится ли ситуация? Возможно, когда разработчики перепишут дистрибутив, судя по объему обновлений дело как раз идет к этому.\nНаш вердикт: если изучение новых ОС не ваше хобби, то мы бы настоятельно советовали отложить свое знакомство с Fedora 11 - поберегите свое время и нервы.\nНеобходимое послесловие Несколько дней спустя мы все-таки решили установить все обновления и еще раз проверить работу систему. Основные причины побудившие нас сделать это: большой обьем обновлений (треть дистрибутива) и статус исправлений у большинства обновляемых пакетов. Обновление системы (включая закачку пакетов на мегабитном канале) заняло около шести часов. Перезагрузка. Сразу отмечаем повысившуюся отзывчивость системы, окно входа лишилось былой тормознутости и больше не собиралось повиснуть (что неоднократно случалось до этого).\nВходим в систему и получаем первый сюрприз: невозможно выставить необходимое разрешение на мониторе. Система \u0026quot;забыла\u0026quot; о том, какой монитор к ней подключен, хотя до обновления все прекрасно работало. На этом месте мы собственно и приплыли. Через GUI исправить это недоразумение не представляется возможным, надо править конфиги, задача для обычного пользователя нетривиальная. Открываем терминал, запускаем mc...\nВторой сюрприз: xorg.conf отсутствует. Поиск в Google подсказал нам, что это новая фича разработчиков, и снова знакомое в мире Linux \u0026quot;в своем поле каждый суслик агроном\u0026quot;. Ну вроде бы есть стандарт де-факто расположения конфигурационных файлов, зачем изобретать велосипед? Дальнейший поиск показал, что проблема решаема, надо установить и запустить пакет system-config-display. Не выходя из консоли:\n1su -c \u0026#34;yum install system-config-display\u0026#34; 2system-config-display Запустилась графическая утилита с помощью которой мы выбрали нашу модель дисплея, нажимаем ОК, перезапускаем Х (достаточно сделать выход из системы). Монитор радостно мигнув порадовал нас красиво рассыпавшись на цветные полосочки. Странно, настройки не подошли, а ведь только что все работало. Перезагружаемся и пять минут безуспешно пытаемся найти загрузочное меню, чтобы загрузить систему в VGA режиме или режиме восстановления. К нашему удивлению разработчики Fedora настолько суровы, что в системе выпуска 2009 года такая возможность отсутствует.\nВпрочем мы отвлеклись, пришлось грузиться с установочного диска выбрав пункт восстановления системы. Ответив на все вопросы мы наконец то получили доступ к консоли, запустили mc и просто удалили xorg.conf. Система загрузилась, мы снова запустили system-config-display, но на этот раз просто выбрали безликий LCD монитор с необходимым нам разрешением.\nСразу бросилась в глаза повысившаяся скорость работы и стабильность системы, мы снова уменьшили обьем ОЗУ до 512 Мб и не испытали дискомфорта при работе с системой.\nРешили вернуться к больной теме: мультимедиа. Запустили двойным щелчком mp3 файл, звук пошел, только вот незадача: у системы видимо свои представления о скорости воспроизведения, четырехминутная песня проигралась секунд за 30. Для wma система даже предложила скачать и установить недостающий кодек (что и было успешно сделано). Только проблемы со скорость воспроизведения это не решило. Перешли к видео: экран черный, но звук есть, однако и здесь та же проблема с ускоренным воспроизведением. Так и не найдя решения этой проблеме, мы на несколько дней отставили систему, а когда вернулись обнаружили новые обновления в размере 120 Мб. Похоже наши предположения имеют все шансы осуществиться и еще через пару тройку месяцев разработчики таки полностью перепишут систему. Загружаем их и устанавливаем, сильных изменений нет, разве что на видео пошла картинка, но опять на повышенной скорости.\nВозможно это не последний наш материал о Fedora 11, может быть месяца через три, загрузив и установив еще пару гигабайт обновлений мы наконец то получим рабочую систему или это уже будет Fedora 12, выход которой запланирован на ноябрь. А пока что мы имеем очень сырую бету, которая латается разработчиками буквально налету. Непонятен смысл выпуска релиза, разве что только ради соблюдения графика разработки?\n","id":"172644198ffc61c7aadd11e74a06d0e4","link":"https://interface31.ru/post/obzor-populyarnyx-linux-distributivov-fedora-11/","section":"post","tags":["Fedora","Linux"],"title":"Обзор популярных Linux дистрибутивов. Fedora 11"},{"body":"Очень часто перед системными администраторами возникает необходимость в развертывании операционной системы на несколько компьютеров. Как правило, кроме простой установки системы и драйверов, эта процедура требует установки и настройки определенного набора ПО, приведение пользовательского окружения к определенным стандартам, задания определенных политик безопасности и т.п. Ручная установка с последующей настройкой системы отнимает значительное количество времени, хорошо если надо развернуть систему на два-три компьютера, а если их десяток? Очевидный выход из ситуации - клонирование установленной и настроенной системы, однако эта, простая с виду операция, таит в себе ряд подводных камней и подходить к ней надо с умом.\nОбычно для этой цели используют клонирование системы при помощи Symantec Ghost или аналогичных программ. Однако такой подход имеет один существенный недостаток: все компьютеры получают одинаковый идентификатор защиты (SID) и имя, возможно возникновение неполадок в случае использования клонированных компьютеров в рабочей группе или домене. Кроме того они будут иметь один и тот же ключ установки, что не всегда допустимо по лицензионным требованиям. Чтобы избежать данной ситуации необходимо использовать средствоSystem Preparation Tool, предназначенное для системных администраторов и производителей оборудования (OEM).\nПервоначально необходимо подготовить систему к развертыванию. Рекомендуется сделать чистую установку системы, установить все необходимые обновления, драйвера и прикладные программы, выполнить необходимые настройки пользовательской среды. Проверяем работу системы и делаем небольшую уборку: удаляем временные файлы, кэш браузера, точки восстановления, очищаем корзину. После чего на установочном диске находим папку SUPPORT, в ней папку TOOLS, которая содержит архив DEPLOY.CAB из которого извлекаем sysprep.exe и setupcl.exe. Размещаем эти файлы в C:\\sysprep и запускаем sysprep.exe. В появившемся окне ставим галку «Мини-установка» (этот пункт доступен только для Windows XP Professional) и жмем «Запечатать систему». При первом включении на целевой машине запустится мини-установка которая произведет определение базового оборудования системы и предложит ответить на ряд стандартных вопросов и предложит ввести лицензионный ключ. Также будет сброшен период активации системы и регенерирован идентификатор безопасности (SID). Следует помнить, что системы, на которые производится развертывание, должны иметь однотипную архитектуру (предусматривающую использование одинакового ядра), а также иметь совместимый контроллер жестких дисков (или позаботиться о добавлении необходимых драйверов). Это вовсе не означает, что систему подготовленную на платформе Intel не удастся развернуть на AMD, но подготовленная на многоядерном процессоре система может не запуститься на одноядерном и наоборот. В случае возникновения проблем можно при подготовке системы дополнительно установить опцию \u0026quot;Обнаруживать устройства не Plug \u0026amp; Play\u0026quot;. По окончании мини-установки мы получим полностью настроенную, готовую для работы конечного пользователя систему. Если система разворачивается на партию одинаковых компьютеров мини-установку можно пропустить. Система запросит в окне приветствия лицензионный ключ, имя пользователя и компьютера, после чего пользователь получит доступ к полностью настроенной системе. Данный способ является удобным, если запечатанный компьютер нужно отдать непосредственно пользователю, даже неопытный пользователей без затруднений сможет указать все необходимые данные и начать пользоваться системой.\nВнимание! Важно! Версия используемой утилиты System Preparation Tool должна совпадать с версией используемой системы вплоть до сервис-пака. Так если вы установили Windows XP SP2, затем обновили его до Windows XP SP3 вам понадобится Sysprep для SP3.\n","id":"d70efcf34b9483f7cdb54989f9a5cfd5","link":"https://interface31.ru/post/razvertivanie-windows-xp-s-pomosch-ju-sredstva-sysprep/","section":"post","tags":["Sysprep","Windows XP","Развертывание"],"title":"Развертывание Windows XP с помощью средства Sysprep"},{"body":"Ubuntu давно и прочно удерживает пальму первенства среди Linux дистрибутивов. В рейтинге distrowatch.com он находится на первых позициях с 2007 года, постоянно поддерживая высокое значение рейтинга и хороший отрыв от конкурентов. Чем обусловлена такая популярность? Попробуем разобраться. Мы возьмем свежую версию дистрибутива, на сегодняшний день это Ubuntu 9.04, и взглянем на нее глазами обычного пользователя, оценив насколько хорошо она подходит для работы дома и в офисе.\nУстановка Каких либо сюрпризов этот этап не таит и позволяет разобраться даже неопытному пользователю. Выбрав русский язык, мы увидим меню предлагающее нам запустить Ubuntu без установки, установить ее на жесткий диск или выполнить ряд сервисных действий. Для опытных пользователей доступны различные опции установки и запуска, предусмотрены спецрежимы для людей с ограниченными возможностями. Установка производится в графическом режиме на русском языке, система корректно выставила раскладку клавиатуры и предложила разметить диски. Это единственный потенциально опасный момент. Мы надеемся, что пользователи решившие самостоятельно установить Ubuntu имеют необходимый минимум знаний для корректной переразметки диска (хотя ничего страшного там нет, внимательность и аккуратность послужат залогом успеха), и все таки хотим порекомендовать производить установку на отдельный, чистый диск.\nСама установка занимает порядка 5-10 минут, можно откинутся на спинку кресла и выпить кофе. Сразу хотим предупредить, если на этапе установки система получит доступ в интернет (что вполне реально при наличии в сети DHCP сервера), то она самостоятельно начнет скачивать обновления, что может занять длительное время. Внешне может показаться что установка зависла на 80%, поэтому, если не хотите ждать, просто отключите сеть на этапе установки.\nПервые впечатления Если ваш компьютер не содержит специфического оборудования, то проблем возникнуть не должно. Система корректно определяет и устанавливает драйвера к большому спектру современного оборудования. Все, что осталось нам сделать после входа в систему под приятную мелодию (звук установился из коробки) это выставить желаемое разрешение экрана и подключить на место сеть.\nА вот и первые недочеты: все меню и диалоговые окна почему-то на английском. Правда система сама это заметила и предложила (на русском языке) установить недостающие компоненты. В течении нескольких минут (зависит от скорости вашего соединения с интернет) будут скачаны и установлены все недостающие пакеты, чтобы увидеть изменения достаточно будет выйти из системы и снова войти в нее. Подход разработчиков понятен, поместить на одном диске языковые файлы для всех поддерживаемых языков не представляется возможным, сам процесс «русификации» прост и не вызывает затруднений. Стоит отметить, если бы мы не вытаскивали сетевой кабель система на стадии установки сама бы докачала и установила все необходимые пакеты. Однако вместе с языковыми пакетами она бы скачала еще 134,4 Мб обновлений (если верить Менеджеру обновлений), что не всегда желательно.\nТеперь самое время посмотреть как поведет себя периферийное оборудование. Наш старенький HP LaserJet 1160 без каких либо проблем установился и распечатал пробную страницу. Canon LiDE 25 также свободно заработал, позволив нам отсканировать первый попавшийся под руку цветной рекламный буклет. Bluetooth адаптер, после минутной задумчивости нашел мой телефон и позволил с ним соедениться. Флешки и прочие переносные накопители монтируются автоматически с появлением значка на рабочем столе, каких либо проблем с именами файлов набранных кириллицей у нас не возникло.\nОфисные приложения В качестве офисного пакета нам предложен Open Office 3, поэтому каких либо сюрпризов мы не ожидали. В качестве теста мы выбрали набор файлов .doc, .docx, .xls, .xlsx и презентацию в формате .pps, все файлы имеют сложную верстку, вставленные таблицы и диаграммы. С предложенным заданием пакет справился на отлично, все файлы открылись в том виде, в каком были созданы в MS Office и позволили полноценно с собой работать. Сохранять результат можно как в привычном формате MS Office, так и в родном ODF, хотя если вы предполагаете активно обмениваться документами с пользователями офисного пакета от Microsoft, то мы бы советовали сохранять документы именно в его формате, отношения MS Office и ODF все еще остаются весьма напряженными.\nМы также проверили, какие средства предоставляет Ubuntu для работы с PDF и архивами. Поддержка PDF иzip осуществляется «из коробки», но попытавшись открыть архив rarмы получили сообщение: «Тип архива не поддерживается». Следуя логике обычного пользователя необходимо установить RAR, чем мы и занялись, без труда найдя его через «Установка/удаление приложений», после этого каких либо проблем с архивами rar мы не испытывали. Опытные пользователи могут просто установить пакет unrar через менеджер пакетов Synaptic или консоль.\nМультимедиа Разобравшись с офисными приложениями мы плавно перешли к тестированию мультимедийных возможностей системы. Для просмотра изображений предусмотрен быстрый и удобный просмотрщик Глаз GNOME, который напомнил нам стандартный просмотрщик Windows, быстро, просто, удобно - что еще надо от подобной программы? Для более серьезной работы с архивом фотографий потребуется менеджер и каталогизатор фото. Здесь нам предлагается F-Spot, мощное и удобное средство, не уступающее аналогичным программам под Windows. F-Spot позволяет импортировать изображения с камеры, сменного носителя или произвольной папки, изображения автоматически сортируются по дате съемки, размещая их во вложенные папки по принципу год - месяц - день сьемки. Каждому изображению можно присвоить произвольное количество тэгов, позволяющих производить быстрый отбор фото по какому либо признаку. Есть также инструменты для простой обработки изображений: кадрирование, коррекция красных глаз, фокусировка, уровни. Для более сложной обработки изображений предназначен редактор GIMP, до Фотошопа ему конечно далеко, но на любительском уровне возможностей этого редактора вполне достаточно. Ощутимым недостатком программы является неудобный многооконный интерфейс программы, особенно неудобно работать имея несколько открытых изображений, каша из открытых окон не способствует продуктивной работе. При попытке проиграть mp3 файл система сообщила нам, что требуемое для проигрывания этого файла ПО не установлено и предложило выполнить поиск подходящего плагина. После его установки мы успешно смогли проиграть все распространенные аудиоформаты. Кроме проигрывателя Totem, который открывает мультимедиа файлы по умолчанию, в системе также установлен аудиоплеер Rhythmbox, который поддерживает списки воспроизведения, библиотеки, он-лайн радиостанции и имеет встроенную интеграцию с Last.fm. Вообще, за неказистым внешним видом оказался спрятан довольно мощный и функциональный плеер. Тем более подавляющее большинство времени аудиоплеер проводит в свернутом виде, не надо на него смотреть, его надо слушать. Также мы не испытали затруднений при просмотре большинства распространенных видеоформатов, только для flv пришлось дополнительно загрузить плагины (система предложила это сделать автоматически). Теперь о недостатках: ни в аудио- видео- приложениях, ни в настройках системы мы так и не смогли найти эквалайзера и регулировок баланса каналов (особо актуально для многоканальной акустики). Приходится констатировать: для высококачественного воспроизведения аудио видео система пока подходит слабо, хотя послушать музыку на рабочем месте и посмотреть какой нибудь ролик можно без каких либо проблем.\nИнтернет Для путешествий по всемирной паутине Ubuntu комплектуется браузером Mozilla Firefox 3.0, популярным и среди Windows пользователей. Каких либо неожиданностей его использование не таит, в случае необходимости браузер сам предлагает найти и установить недостающие плагины (например для просмотра флеш-анимации), каких либо трудностей у нас при этом не возникло.\nПравда есть одно существенное замечание, входящая в поставку версия браузера поддерживается разработчиками Ubuntu, а не Mozilla, это значит, что обновится до последней версии браузера станет возможным не раньше ее появления в репозитариях Ubuntu. На сегодняшний день это 3.0.13 (в то время как на сайте Mozilla уже доступна 3.5.2), линейка 3.5 доступна в репозитариях только в виде бета-версии. Опытные пользователи конечно же могут скачать и установить нужную версию самостоятельно.\nВ качестве почтового клиента по умолчанию предлагается Evolution, представляющий собой аналог Microsoft Office Outlook, кроме почты пользователю доступны контакты, календарь, заметки и задачи. Для общения можно использовать Pidgin (бывший Gaim) обеспечивающий поддержку большинства популярных протоколов (ICQ, MSN, Google Talk и т.п.). Мы также проверили в работе torrent-клиент Transmission, который вполне успешно справляется со своей основной задачей. Прочее Для записи дисков предназначено довольно простое приложение Brasero, с помощью которого мы успешно записали диск. Любителей «косынки» несомненно порадует набор простеньких игр, способных скрасить перерыв в офисе.\nВ остальном с играми в Ubuntu (да и в Linux вообще) дела обстоят плохо, в репозитариях можно найти набор самых разнообразных игр, однако назвать их современными язык не поворачивается.\nОтдельно мы решили остановиться на терминальном клиенте, наличие которого открывает реальные перспективы применения Ubuntu в офисе. Введя необходимые параметры мы соединились с терминальным сервером на базе Windows 2003 и смогли поработать с 1С Предприятием. Также к серверу успешно примонтировалась файловая система Ubuntu, что позволило полноценно работать с на сервере с файлами и папками расположенными на машине пользователя. За поддержание системы в актуальном состоянии отвечает весьма назойливый менеджер обновлений, который за время работы системы не раз напомнил нам о том, что пора обновиться. Для установки новых программ можно воспользоваться оснасткой «Установка/удаление приложений», приложения разбиты по группам, каждое сопровождается кратким описанием, также доступен поиск по имени программы или ее описанию. С его помощью мы установили Banshee, единственный плеер для Gnome в котором мы обнаружили эквалайзер. Итоговые выводы Ubuntu 9.04 произвел на нас исключительно приятное впечатление. Мы смогли установить и настроить дистрибутив ни разу не обратившись к консоли или за помощью. Дистрибутив отлично справился с нашими тестовыми задачами, все возникавшие затруднения как правило решались самой системой, пользователю лишь оставалось подтвердить эти действия.\nВизитной карточкой системы можно назвать дружелюбие к пользователю. Разработчики сделали все возможное, чтобы провести пользователя мимо острых углов и подводных камней, сделав работу с системой по возможности максимально комфортной.\n","id":"92b2d5726a4553e8c8161f9fa642d9cb","link":"https://interface31.ru/post/obzor-populjarnix-linux-distributivov-ubuntu-904/","section":"post","tags":["Ubuntu"],"title":"Обзор популярных Linux дистрибутивов. Ubuntu 9.04"},{"body":"Traffic Inspector одно из самых популярных решений для раздачи и подсчета трафика в небольших сетях, как домашних, так и офисных. Во многом это обусловлено разумной ценовой политикой разработчика, хорошим функционалом, стабильной работой и простым и понятным интерфейсом. Зачастую в качестве «сервера» используется обычная рабочая станция с обычной настольной ОС, что и понятно, заводить выделенный сервер для раздачи интернета на 5-10 пользователей дорогое удовольствие. В свете грядущего перехода на Windows 7 (а многие уже с удовольствием используют RC) мы решили проверить, как обстоят дела с совместимостью этих продуктов.\nВ первую очередь мы решили установить Traffic Inspector 1.1.5 на 32-х битную версию Windows 7. Инсталлятор попросил админских прав и без каких либо ошибок успешно завершил свою работу. Однако попытка запуска привела к появлению сообщения об ошибке «Ошибка соединения с сервером. Указанная служба не установлена». Ни запуск инсталлятора от имени администратора, ни режим совместимости, ни отключение UAC проблемы не решили. Анализ показал, что не устанавливается служба приложения. Скажем сразу решить ее нам не удалось и запустить Traffic Inspector 1.1.5 на Windows 7 нам так и не удалось. Из общения с разработчиками выяснили, что 1.1.5 работать на Windows 7 не будет, и вообще эта версия официально выпущена для платформы Win 2000/ХР/2003, все остальное - на свой страх и риск. В связи с этим мы решили взять новую версию продукта из новой линейки 2.0, установка также прошла успешно, однако при запуске мы снова получили ошибку, на этот раз другую: «Предупреждение! Сетевой драйвер не установлен». Программа оказалась не в состоянии установить драйвер минипорта, скорее всего не хватило прав. Попробуем установить данный драйвер вручную. Панель управления - Сеть и интернет - Сетевые подключения выбираем любое активное сетевое подключение и заходим в его Свойства. Далее нажимаем кнопку Установить и в появившемся окне выбираем Служба, появится пустое окно в котором следует выбрать Установить с диска и указать путь C:\\Program Files\\TrafInsp\\Redist\\Driver по которому будет доступен единственный файлticap.inf . После его выбора система предложит нам установитьTraffic Inspector network driver, соглашаемся, подтверждаем установку драйвера, перезагружаем систему, запускаем консоль - все работает. Успешно установив Traffic Inspector 32-х битную версию Windows 7 мы решили попробовать сделать тоже самое на 64-битной версии системы. Никаких дополнительных сложностей нам не встретилось и после ручной установки драйверов Traffic Inspector успешно заработал и на этой платформе.\n","id":"cd901794525537729b7cf97ddb438dc4","link":"https://interface31.ru/post/ustanovka-traffic-inspector-na-windows-7/","section":"post","tags":["Traffic Inspector","Windows 7"],"title":"Установка Traffic Inspector на Windows 7"},{"body":"Написание статей - серьезный труд, а написание хороших статей - еще более трудоемкое занятие. Мы стремимся представлять нашим читателям только качественные статьи. И отзывы говорят сами за себя - наши инструкции просто работают и ежедневно помогают тысячам читателей. Мы тоже не стоим на месте и не только пишем новые статьи, но и дорабатываем старые. Хотите быть всегда в курсе обновлении?\nПодпишись на наш Телеграм-канал: Если хотите, чтобы новые статьи выходили чаще или желаете выразить благодарность автору - поддержите проект! ","id":"1d6a89d3f6632e3f2b280eb8cddd0bfc","link":"https://interface31.ru/podderzhat-proekt/","section":"","tags":null,"title":"Поддержать проект"},{"body":"Все материалы блога \u0026quot;Записки IT-специалиста\u0026quot; являются интеллектуальной собственностью interface31.ru и их авторов (кроме случаев, когда прямо указано другое авторство) и охраняются законом \u0026quot;Об авторском праве и смежных правах\u0026quot;.\nМатериалы распространяются под лицензией Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International (CC BY-NC-SA 4.0).\nЛюбое использование материалов блога допускается только при соблюдении лицензионного соглашения. Под использованием понимается любое воспроизведение, распространение, переработка и другие способы, предусмотренные Законом РФ \u0026quot;Об авторском праве и смежных правах\u0026quot;.\nИспользование материалов блога с нарушением любого из условий данной Лицензии означает, что произведение используется без разрешения правообладателя, что является нарушением исключительных прав и может повлечь ответственность, предусмотренную законодательством об авторском и смежных правах.\nЧто означает данная лицензия? Creative Commons - это набор бесплатных лицензий, авторы которых вдохновлялись идеями GNU GPL, которые позволяют лицензировать произведения для свободного использования на определенных условиях.\nКакие это условия? Их немного - всего три:\nAttribution (С указанием авторства) - мы разрешаем копировать, распространять, воспроизводить, исполнять и перерабатывать наше произведение, защищенное авторскими правами, при условии указания автора произведения. Non-Commercial (Некоммерческая) - мы разрешаем копировать, распространять, воспроизводить, исполнять и перерабатывать наше произведение только в некоммерческих целях. Если вы хотите использовать наше произведение в коммерческих целях, вы должны обратиться к нам за соответствующим разрешением. Share Alike (Копилефт) - мы даем разрешение создавать переработанные версии и развивать произведение, на основании нашей творческой работы, если только результаты распространяются под той же лицензией, под которой опубликовано наше оригинальное произведение. ","id":"b746813d01506d0c5431b5eac48552bf","link":"https://interface31.ru/copyrights/","section":"","tags":null,"title":"Правила перепечатки"}]